防火墙实验报告

防火墙试验【试验名称】防火墙试验【试验目的】把握防火墙的根本配置；把握防火墙安全策略的配置。【背景描述】用接入广域网技术〔NT，将私有地址转化为合法IP地址。解决IP题，有效避开来自外部网络的攻击，隐蔽并保护内部网络的计算机。PortTranslation〕是人们比较常用的一种NATIP地址后面，将内部连接映射到外部IPNAT设备选定的TCP端口号。地址绑定：为了防止内部人员进展非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IPMACMAC地址的唯一确定性，可以依据MACMACMAC地址IPMACIP地址对匹配，将无法通过防火墙。抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYNFlood攻击；ICMPFlood攻击；ofDeath攻击；UDPFlood攻击；PINGSWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FINFIN攻击；IP安全选项攻击；IP记录路由攻击；IPIP时间戳攻击；Land攻击；teardrop攻击。【小组分工】组长：IP：192.168.10.200 治理员：IP：172.16.5.4 策略治理员+日志审计员：IP：172.16.5.3 日志审计员：IP：172.16.5.2 策略治理员：IP：172.16.5.1 配置治理员{注：在以下的试验中，有治理员对防火墙进展了必要配置后，以后的试验全部的成员都依据试结果。}【试验拓扑】【试验设备】PC 五台防火墙1台〔RG-Wall60 每试验台一组〕跳线 一条【试验结果】治理员主机对治理员主机的IP进展更改，改为192.168.10.200图一·治理员主机IP配置用超级中端重启防火墙〔目的是清空防火墙以前的配置〕图二·超级终端治理员为局域网内的其他主机添加治理员账号，添加后如以以下图图三·治理员账号添加治理主机，添加完后如以以下图：图四·治理主机LANIP172.16.5.252，添加后如以以下图：图五·LAN口NAPT定义内网对象，翻开内网定义——地址，然后是地址列表，点击添加，添加完成后，点击确定，如以以下图：图六·配置内网对象NET规章配置，进入安全策略——安全规章，点击NAT规章，做如以以下图配置，完成后确定：图七·NET规章配置完成以上全部配置后，有组内其他PC机对配置进展验证，任凭选中内网的一台PCping192.168.10.200ping通的，如以以下图：图八·内网Ping外网PC机PingPCping不通的，结果如以以下图：图九·ping内网缘由：有图六可知，我们设置了内网对象，IP172.16.5.0。只有处于这个网段PCPCPC机由于不是处于这个网段中，pingPC机的。防火墙地址绑定功能设置1〕进入安全策略——地址绑定，配置完成后，点击确定如以以下图：图十·LANMAC绑定IP/MAC地址对，先探测，然后点击探测到的IP/MAC地址对，先选中一个地址对，然后选中唯一性检查，点击绑定，如以以下图：图十一·IP/MAC绑定〔唯一性检查〕试验结果验证

绑定成功后，对试验结果进展验证。IP172.16.5.1的主机IP172.16.5.11ping测试是否能如以以下图：图十二·原内网PC机IP图十三·改后然后用这台内网PCpingping不同的，结果如以以下图：图十四·不通IP172.16.5.1,ping测试是否连通。如以以下图：图十五·该主机原IP图十六·改为被绑定的主机IPpingping不同的，如以以下图：图十七·ping不通缘由：由于在上面用防火墙安全策略的地址绑定，在我们的这个试验中，我们选定了IP为172.16.5.1的一台内网PC机做了IP/MACPC机便对应一个固定的MAC地址，当该PC机的IP更改后〔如图十二和图十三，由该PC机向外网PCIPMAC进展检测，觉察不全都，将不予通过。同样的，IP172.16.5.3172.16.5.1，172.16.5.1是被绑定的PC机〔如图十五和图十六，也是由于MAC不匹配，ping不通。防火墙抗攻击设置进入安全策略——抗攻击，只设置LAN口的抗攻击策略，如以以下图：图十八·抗攻击设置试验结果的测试：PCPC800ping-l800192.168.10.200，可以发送成功，试验结果如以以下图：图十九·发送成功PCPC801字节的报文，命令为ping-l801192.168.10.200，是发送不成功的，试验结果如以以下图：图二十·发送失败缘由：由上图可看到，在防火墙的安全策略，抗攻击设置中，对于ICMP包的长度设置已经800800字节的数据包，防火墙会自行过滤掉，使800字节的ICMPping801字节的ICMPping通。最终总结以上便是关于防火墙所做的一些试验内容，所谓防火墙，便是位于两个(或多个)网络间，实施访问把握策略的一个或一组组件集合。对于防火墙的功能： 1〕包过滤功能主要包括针对网络效劳的过滤以及针对数据包本身的过滤。2〕代理将用户的访问恳求变成由防火墙代为转发，外部网络看不见内部网络的构造，也无法直接访问内部网络的主机。3〕网络地址转换主要包括针对网络效劳的过滤以及针对数据包本身的过滤。4〕用户身份认证对发出网络访问连接恳求的用户和用户恳求的