天理网络安全实验1

1、计算机与通信工程学院天津理工大学计算机与通信工程学院实验报告2014 至 2015 学年 第 二 学期课程名称网络安全姓名吕帅霖20125872专业网络工程年级2012实验（1）实验名称防火墙配置实验时间 2015年 5 月5 日 第 6节至第7 节主讲教师唐召东辅导教师唐召东分组人员及各自完成工作刘琪琪20125871PC1 配置郭云浩20125867PC2配置王博20125877PC3配置王天杰20125878PC4配置软件环境1.本实验所需实验设备如下：（1）PC：4台有以太网接口和COM口的PC（2）线缆：普通网线4根，Console线缆一根（3）防火墙：DPtech_UTM2000

2、统一威胁管理设备一台硬件环境1.本实验所需实验设备如下：（1）PC：4台有以太网接口和COM口的PC（2）线缆：普通网线4根，Console线缆一根（3）防火墙：DPtech_UTM2000 统一威胁管理设备一台实验目的1. 了解防火墙的常用功能和配置 2. 了解防火墙的两种配置方式 3. 掌握ASPF的面向对象ACL的配置 4. 加深理解防火墙中安全域的概念 实验内容（应包括实验题目、实验要求、实验任务等）本实验拓扑图如图1所示：图1 实验环境搭建3实验功能要求：通过对DPtech_UTM2000进行配置，实现如下的功能：（1）Trust域（PC1）和Untrust域（PC2）的机器都能访问

3、DMZ域(如PC3)的FTP服务器，但不能访问DMZ区的其它服务（通过ping命令测试）。（2）DMZ域的用户（如PC3）不能获得Trust域和Untrust域所提供的任何服务。（用ping命令测试）。（3）Untrust域的用户（如PC2）不能获得Trust域任何机器（如PC1）所提供的服务。实验过程与实验结果（可包括实验实施的步骤、算法描述、流程、结论等）四、实验过程：步骤1: 组网并架设FTP服务器1.组网按图1把各PC、FTP服务器与防火墙连接起来,由于DPtech设备默认7号口为管理口，因此连接方法为：（1）用网线连接PC0的网口和防火墙的第7个接口（eth0_7）；（2）用网线连接

4、PC1的网口和防火墙的第6个接口（eth0_6）；（3）用网线连接PC2的网口和防火墙的第5个接口（eth0_5）；（4）用网线连接PC3的网口和防火墙的第4个接口（eth0_4）。2设置各PC的IP地址和网关地址（1）配置PC0的IP地址和网关：PC0的IP为；网关为。（2）配置PC1的IP地址和网关：PC1的IP为；网关为。（3）配置PC2的IP地址和网关：PC2的IP为；网关为。（4）配置PC3的IP地址和网关：PC3的IP为；网关为1

5、。配置如图2所示，注意：完成配置后，四台PC之间应该是相互ping不通的状态。图2 计算机本地网卡IP地址配置（PC0）3.架设FTP服务器（1）在PC3上安装FTP Server软件3CDaemon，安装完毕后，创建FTP用户，并设置FTP用户的目录。如图3所示：图3 FTP服务器的配置（2）选择“开始”“管理工具”“Internet 信息服务”中的“默认FTP站点”，并关闭之，防止两个FTP服务发生冲突，如下图所示：图4 关闭本机自带的FTP服务（3）验证FTP服务器是否正常启动，在浏览器地址栏输入，如果打开的页面是设置的文件夹目录，即说

6、明配置成功，如图5所示：图5 验证FTP服务器配置结果步骤2:登录Web 网络管理界面在PC上启动浏览器，在地址栏中输入IP地址“”后回车，即可进入设备的Web登录页面，如图6所示。输入用户名“admin”、密码“admin”和验证码登录系统。登录成功后可以看到如图7所示的界面。图6 WEB管理界面登录窗口图7 WEB管理系统主界面步骤3:设置防火墙各接口的IP地址在主界面中，依次选择【基本】=>【网络管理】=>【接口管理】=>【组网配置】即可进入配置界面，并依次对eth0_4、eth0_5、eth0_6做以下处理：eth0_4: 选择【静态IP】，主地

7、址填写“”，然后直接点【确定】eth0_5: 选择【静态IP】，主地址填写“”，然后直接点【确定】eth0_6: 选择【静态IP】，主地址填写“”，然后直接点【确定】完成配置后的以太网口配置应为图8所示的结果。图8 防火墙以太网端口配置步骤4:把防火墙各接口加入到不同的域中 在主界面中，依次选择【基本】=>【网络管理】=>【网络对象】=>【安全域】即可进入安全域配置界面，并依次建立如下的安全域：(1)eth0_6划分到“Trust”域中(2)eth0_5划分到“Untrust”域中(3)eth0_4划分到“DM

8、Z”域中直接点击【端口】，然后将对应的以太网口挑勾，即可完成配置，配置过程如下图所示：图9 配置安全域的过程完成配置后，配置情况应该如图10所示。图10 配置完成后安全域此时，再次执行ping命令，应为如下表所示的结果：PC号Ping命令执行结果PC1可以ping通PC2、PC3PC2无法ping通任何机器PC3可以ping通PC2，无法ping通PC1步骤5:配置地址对象在主界面中，依次选择【基本】=>【网络管理】=>【网络对象】=>【IP地址】=>【地址对象】即可进入如图11所示的地址对象配置界面。图11 地址对象配置界面在这之中，对eth0_4、eth0_5、et

9、h0_6的IP地址段进行如下配置：(1)创建名为“trusthost1”的地址对象，点击【内容】选择【IP地址范围】，数值为-（也可以选择【IP地址掩码】）按【确定】保存。(2)创建名为“untrusthost2”的地址对象，点击【内容】选择【IP地址范围】，数值为-（也可以选择【IP地址掩码】）按【确定】保存。(3)创建名为“ftpserver”的地址对象，点击【内容】选择【IP地址范围】，数值为-（也可以选择【IP地址掩码】）按【确定】保存。完成配置后，配置情

10、况应该如图12所示。图12 配置完成后的地址对象步骤6:创建面向对象ACL在主界面中，依次选择选择【基本】=>【防火墙】=>【包过滤策略】，进入包过滤策略管理界面，实际上这里的包过滤策略就是ACL的配置，并进行如下的配置：(1)从untrust域到DMZ域的ftp服务包全部做放行处理。(2)从trust域到DMZ域的ftp服务包全部做放行处理。(3)从trust域到DMZ域的所有服务包全部做丢包处理。(4)从DMZ域到untrust域的所有服务包全部做丢包处理。完成配置后，应如下图所示：图13 配置完成后的包过滤策略（ACL）步骤7:测试与再配置：1面向对象的ACL配置完成后，通过

11、登录FTP服务器来测试所配置ACL规则的正确性。2通过Ping命令作为代表测试各域间服务的访问特性。3如配置未能达到实验功能要求，则检查并修改各ACL，然后进行再测试，直到达到实验的功能要求。理论上，配置完成策略的结果应该如下表所示：PC号访问ftp服务访问其他服务PC1正常访问PC2正常，PC3丢包PC2正常访问PC1、PC3均丢包PC3访问PC1、PC2均丢包接下来依次验证四条规则：(1)验证规则1，如下图所示： 图14 在PC2上验证规则1我们先关闭规则1，因为最早的配置中PC2因为优先级原因无法访问PC3的任何服务，因此结果如图14(1)所示。当规则1生效后，FTP服务被自动放行，因此可以在PC2上面访问PC3的FTP服务目录，如图14(2)所示。(2)验证规则2和3，如下图所示：图15 在PC1上验证规则2和3由于规则2和3实际上就是说PC1可以访问PC3上的FTP服务，但是其他的任何服务都是被禁止的。因此我们使用ping命令（ICMP协议）来验证，在PC1上的CMD窗口ping PC3，结果自然是失败的，但却可以正常登陆PC3上的FTP服务。(3)验证规则4，如下图所示： 图16 在PC3上