天理网络安全实验1

1、计算机与通信工程学院天津理工大学计算机与通信工程学院实验报告2014 至 2015 学年第 二学期课程名称网络安全姓名吕帅霖20125872专业 网络工程年级 2012实验（1）实验名称防火墙配置实验时间2015年5月5 日 第6节至第7节主讲教师唐召东辅导教师唐召东分组人员 及各自完 成工作刘琪琪20125871PC1配置郭云浩20125867PC2 配置王博20125877PC3 配置王天杰20125878PC4 配置1. 本实验所需实验设备如下：软件环境硬件环境（1）PC: 4台有以太网接口和 CO口的PC（2）线缆：普通网线4根，Con sole线缆一根（3）防火墙：DPtech_UT

2、M2000统一威胁管理设备一台1. 本实验所需实验设备如下：（1）PC: 4台有以太网接口和 CO口的PC（2）线缆：普通网线4根，Con sole线缆一根（3）防火墙：DPtech_UTM2000统一威胁管理设备一台实验目的1. 了解防火墙的常用功能和配置2. 了解防火墙的两种配置方式3. 掌握ASPF勺面向对象AC啲配置4. 加深理解防火墙中安全域的概念实验内容（应包括实验题目、实验要求、实验任务等）本实验拓扑图如图1所示:PC3： FTP SentrDMZ图1实验环境搭建3 实验功能要求:通过对DPtech_UTM200（进行配置，实现如下的功能：（1） Trust 域（ PC1）和Un

3、 trust 域（ PC2）的机器都能访问 DM域 （如PC3 ）的FTP服务器, 但不能访问DM区的其它服务（通过ping命令测试）。（2） DM域的用户（如PC3不能获得Trust域和Un trust域所提供的任何服务。（用ping 命令测试）。（3）Un trust域的用户（如PC2不能获得Trust域任何机器（如PC1）所提供的服务。实验过程与实验结果（可包括实验实施的步骤、算法描述、流程、结论等）四、实验过程：步骤1:组网并架设FTP服务器1.组网按图1把各PC FTP服务器与防火墙连接起来，由于DPtech设备默认7号口为管理口，因此连接方法为:(1)用网线连接PC啲网口和防火墙的

4、第7个接口（ eth0_7）(3 )(4 )用网线连接用网线连接用网线连接PC1的网口和防火墙的第PC2的网口和防火墙的第PC3的网口和防火墙的第6个接口（ eth0_6）5个接口（ eth0_5）4个接口（ ethO_4）。142. 设置各PC的IP地址和网关地址(1)配置PCQ的 IP地址和网关:PC0的 IP 为 网关为。(3 )(4 )配置PC1的IP地址和网关:配置PC2的IP地址和网关:配置PC3的IP地址和网关:PC1 的 IP 为 PC2的 IP 为 PC3的 IP 为 192.168.3.

5、2网关为网关为网关为。。。配置如图2所示，注意：完成配置后，四台 PC之间应该是相互ping不通的状态。Internet 协议(TCP/IP)属性常规|如果冋络支持此功箒 则可以茯取自动抵脈的ip设星 否则, 侮需要从阿路察统管理员外枝谒适当的IF设宜.厂自动茯淳IF比址迎侯用下面的IF地址IF地址:孑网掩码血:r目丙狡得DHS脈欝辭it址c 便用下面的DWS服务器地址：!首选BHS服务器:厂厂:备用DBS服务器;I :图2计算机本地网卡IP地址配置(PC03. 架设FTP服务器(1 )在卩。3安装FTP Server软件3CD

6、aemon安装完毕后，创建 FTP用户，并设置FTP用户的目录。如图3所示：nf* L - Llb 如站 l- H:不 碍曲32J scniDKdbr-pnf1U 3JK12 L4192. iee J2J Tim疋就 bypf1C|：F：Uaeijri CortflaMivUloiiih 2aijanird CcritLsirs.ntfl N* h*erh.lB-iUsurrahlvTFTT Ci7dLfU-i.iao St:_oe .oja Oil it i - FiftkOV*8* H: H-ili .d-itirc Pth ikJ 4 pr-sxjl* IilIu1 IlL 匚mr Lz

7、XrviiAiiEL LeA, Oil Csrri xLac,! I 血IdTo di * ,pr r-fi 1 v K iJiL i ht -Fi-懾晝Tnjde吧|耳it图12配置完成后的地址对象步骤6:创建面向对象ACL在主界面中，依次选择选择【基本】=【防火墙】=【包过滤策略】，进入包过滤策略管理界面，实际上这里的包过滤策略就是ACL的配置，并进行如下的配置：(1) 从untrust域到DMZ域的ftp服务包全部做放行处理。(2) 从trust域到DMZ域的ftp服务包全部做放行处理。(3) 从trust域到DMZ域的所有服务包全部做丢包处理。(4) 从DMZ域到untrust域的所有

8、服务包全部做丢包处理。完成配置后，应如下图所示：图13配置完成后的包过滤策略( ACL)步骤7:测试与再配置:1 面向对象的ACI配置完成后，通过登录 FTP服务器来测试所配置 ACL规则的正确性。2通过Ping命令作为代表测试各域间服务的访问特性。3 如配置未能达到实验功能要求，则检查并修改各ACL,然后进行再测试，直到达到实验的功能要求。iWIfl*理论上，配置完成策略的结果应该如下表所示:PC号访问ftp服务访问其他服务PC1正常访问PC2正常，PC3丢包PC2正常访问PC1、PC3均丢包PC3访问PC1、PC2均丢包接下来依次验证四条规则： 验证规则1,如下图所示:图14在PC2上验证

9、规则1我们先关闭规则1，因为最早的配置中 PC2因为优先级原因无法访问PC3的任何服务，因此结果如图14(1)所示。当规则1生效后，FTP服务被自动放行，因此可以在PC2上面访问PC3的FTP服务目录，如图14(2)所示。(2)验证规则2和3,如下图所示：图15在PC1上验证规则2和3由于规则2和3实际上就是说PC1可以访问PC3上的FTP服务，但是其他的任何服务都 是被禁止的。因此我们使用ping命令（ICMP协议）来验证，在PC1上的CMD窗口 ping PC3, 结果自然是失败的，但却可以正常登陆PC3上的FTP服务。（3）验证规则4,如下图所示：图16在PC3上验证规则4规则4实际上说的是PC3本来因为优先级的缘故可以用任何协议访问PC2的资源