防火墙的安装和调试课件

实验六防火墙的安装配置实验六防火墙的安装配置11003实验一、实验介绍：1、实验名称：防火墙的安装和配置2、实验目的：掌握防火墙的安装和配置3、实验设备：防火墙、PC机各一台4、实验时间：40分钟1003实验一、实验介绍：2二、防火墙简介古时候,人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，这种墙称作‘防火墙’。在网络时代，当一个网络接入Internet以后，它的用户就可以与外部世界相互通信。为安全起见，人们在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障作为扼守本网络的安全和审计的唯一关卡，可以阻断来自外部世界的威胁和入侵，这种中介系统也叫做‘防火墙’或‘防火墙系统’。防火墙作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙通常是放在外部因特网络和内部网络之间，以保证内部网络的安全。1003实验二、防火墙简介1003实验3防火墙逻辑位置示意图：防火墙的两个重要的任务就是：在不危及内部网络数据与其它资源的前提下允许本地用户使用外部网络的资源将外部未被授权的用户屏蔽在内部网络之外而无法使用内部的资源1003实验防火墙逻辑位置示意图：1003实验4三、实验步骤：

1、防火墙初始化操作步骤2、路由模式配置3、桥接模式配置4、混合模式配置1003实验三、实验步骤：1003实验5四、实验内容：

1、防火墙初始化操作步骤(1)用串口线将防火墙和电脑COM口相联；(2)启动超级终端，终端属性设置为：波特率：9600；数据位：8；奇偶校验：无；停止位：1；流控制：无(3)进入防火墙后，要求输入登录帐号和密码，帐号和密码如下：帐号：root密码：sys123(4)运行初始化命令：Secuadmreglicense(5)输入产品系列号及确认号码（在防火墙的标签上）及确定管理防火墙的接口（一般为eth3）和IP地址（一般为/24和管理端的IP地址：54/24）说明：若是正式销售出厂产品而言，已经完成注册，无需进行上述步骤。1003实验四、实验内容：1003实验6以上步骤操作完后，即可以通过“防火墙的客户端”软件对防火墙进行配置；防火墙客户端软件的安装：在电脑上安装防火墙客户端软件（在随机光盘的“client/setup210_start/setup210”目录里；）将电脑的IP地址改成跟防火墙某一接口的IP地址同一网段，并用随机所带的交叉线连接；运行客户端软件：防火墙的客户端安装结束后，自动在桌面产生一个“配置龙马卫士安全平台(2.1-0)”快捷图标

系统启动过程中将出现图所示界面，表示程序正在载入：

1003实验以上步骤操作完后，即可以通过“防火墙的客户端”软件对7在当前节点上建立连接，然后单击确定，即可进行防火墙的配置了：1003实验在当前节点上建立连接，然后单击确定，即可进行防火墙的配置了：8四、实验内容：

2、路由模式配置1）网络拓扑及说明：InternetNetworke0e1e2e31003实验四、实验内容：InternetNetworke0e1e2e39Eth0：接Internet网络；该接口的IP地址：41/92；对端ISPIP：29/92；Eth1：接内部局域网络；该接口的IP地址：/24；网关54Eth2：DMZ区，接对外提供服务的Internet服务器Server1（如WWW、FTP、Mail）。该接口的IP地址：/24；Server1IP：/24。防火墙通过目的地址NAT，将外部的数据包的目的IP改成内部Server1的私有IP和相应的端口，保证了外部用户正常访问内部服务器，同时，又保证了服务器免受攻击，达到安全的目的。Eth3：管理和配置防火墙的接口，该接口IP地址：/24；与该接口相连的电脑cfgGUIIP地址：54/24；1003实验Eth0：接Internet网络；该接口的IP地址：21102）配置过程(1)首先进行接口以及路由的配置：在系统配置标签中点击“接口/网桥”图标然后单击确定。Lan,dmz,contrl口的配置方法相同。

1003实验2）配置过程1003实验11在系统配置标签中点击“路由配置”图标，定义缺省网关“29/26”

1003实验在系统配置标签中点击“路由配置”图标，定义缺省网关“218.12(2)配置包过滤规则：定义资源对象：在“安全策略”对象中单击“包过滤”图标，定义如下:然后单击“确定”1003实验(2)配置包过滤规则：1003实验131003实验1003实验14资源对象wan,dmz的定义方法相同。结果如下：1003实验资源对象wan,dmz的定义方法相同。结果如下：1003实验15增加三条安全通道：分别为“lan到wan”，“lan到dmz”，和”wan到dmz”1003实验增加三条安全通道：分别为“lan到wan”，“lan16然后定各个通道的安全规则：1003实验然后定各个通道的安全规则：1003实验171003实验1003实验181003实验1003实验19(3)定义网络地址转换：首先新建内网访问外网的“向外的源地址的转换”1003实验(3)定义网络地址转换：1003实验201003实验1003实验21然后定义“向内的目的地址的转换”，规则如下1003实验然后定义“向内的目的地址的转换”，规则如下1003实验22（4）在状态监控的“服务”选项中，开启“包过滤和NAT”服务（这一步一定要做）1003实验（4）在状态监控的“服务”选项中，开启“包过滤和NAT”服务23（5）加载并保存配置：在管理主界面导航目录“工具”中选择“保存配置”1003实验（5）加载并保存配置：1003实验24最后加载规则，整个配置完成。1003实验最后加载规则，整个配置完成。1003实验25四、实验内容：3、桥接模式配置1）网络拓扑及说明：

InternetNetworke0e1e2e31003实验四、实验内容：InternetNetworke0e1e2e326Eth0：接路由器；Eth1：接内部局域网络；Eth2：DMZ区，接对外提供服务的Internet服务器Server1（如WWW、FTP、Mail）；Eth3：管理和配置防火墙的接口，该接口IP地址：/24；与该接口相连的电脑cfgGUIIP地址：54/24；网桥地址:/24；NAT以及向内地址映射由路由器来实现局域网可以访问wan区，dmz区，wan区可以访问服务器区，其他全部拒绝。1003实验Eth0：接路由器；1003实验272）配置过程(1)首先进行接口的配置：在系统配置标签中点击“接口/网桥”图标接口定义分配地址（不分配地址也可以）：eth0ip:1eth1ip:2eth2ip:3eth3ip:eth1,eth2,eth3设定方法同样。然后单击确定。Lan,dmz,contrl口的配置方法相同。

1003实验2）配置过程1003实验28分配桥接口地址：brg0:点击“确定”后完成系统设置如右：

1003实验分配桥接口地址：brg0:

1029(2)配置包过滤规则：定义资源对象：在“安全策略”对象中单击“包过滤”图标，定义如下:然后单击“确定”1003实验(2)配置包过滤规则：1003实验301003实验1003实验31资源对象wan,dmz的定义方法相同。结果如下：1003实验资源对象wan,dmz的定义方法相同。结果如下：1003实验32增加三条安全通道：分别为“lan到wan”，“lan到dmz”，和”wan到dmz”1003实验增加三条安全通道：分别为“lan到wan”，“lan33然后定各个通道的安全规则：1003实验然后定各个通道的安全规则：1003实验341003实验1003实验351003实验1003实验36（3）在状态监控的“服务”选项中，开启“包过滤”服务（这一步一定要做）（4）加载并保存配置：在管理主界面导航目录“工具”中选择“保存配置”1003实验（3）在状态监控的“服务”选项中，开启“包过滤”服务（这一步37最后加载规则，整个配置完成。1003实验最后加载规则，整个配置完成。1003实验38四、实验内容：4、混合模式配置

1）网络拓扑及说明：InternetNetworke0e1e2e31003实验四、实验内容：InternetNetworke0e1e2e339Eth0：接Internet网络；Eth1：接内部局域网络；Eth2：DMZ区，接对外提供服务的Internet服务器Server1（如WWW、FTP、Mail）。Server1IP为公网地址Eth3：管理和配置防火墙的接口，该接口IP地址：/24；与该接口相连的电脑cfgGUIIP地址：54/24；bridge1：包括Eth0和Eth1,IP