网络安全——防火墙配置实验

一、实验目的

1、 掌握防火墙的区域划分。

2、 掌握防火墙的基本配置。

3、 掌握在防火墙上配置源NAT的方法。

4、 掌握在防火墙上配置NAT Server的方法。

二、实验的仪器、设备、材料

路由器、PC机、服务器、防火墙、交换机

三、实验内容及实验原理

图 1 实验拓扑图

如上图所示，网络的配置要求如下：

1. 局域网需求
2. 地址设计

网络地址为172.16.10.0/24

     3. 资源访问

        要求172.16.10.20可以上网，并且可以访问DMZ区域的FTP和WEB服务

        172.16.10.10不能上网，但是能够访问DMZ区域的FTP和WEB服务

        内网用户通过NAT(easy-ip)的形式访问互联网。

     4. 防火墙安全区域的设计

        防火墙接口G1/0/1加入到trust区域

        防火墙接口G1/0/2加入DMZ区域

        防火墙接口G1/0/3加入untrust区域

     5.互联网用户访问内网服务器的设计

        要求在互联网上能够访问DMZ区域中的WEB服务，但不能访问它的FTP服务，内网服务器配置的全球地址为200.1.1.1

四、实验步骤

1. 组网

（1） 搭建环境

        按照如图1所示搭建实验环境。

（2） 设置各主机IP地址，配置情况如图1所示。

（3） 配置各网段的网关地址为该网段的有效地址的第一个。

主机	ip地址	网关
Client1	172.16.10.10/24	172.16.10.1
Client2	172.16.10.20/24	172.16.10.1
Server2	172.16.200.10/24	172.16.200.1
Client3	100.0.0.10/24	100.0.0.1
Server1	101.1.1.10/24	101.1.1.1

        2. 配置防火墙

（1） IP地址配置

        配置防火墙G1/0/1、G1/0/2、G1/0/3的接口地址。

[FW1]int g1/0/1 [FW1-GigabitEthernet1/0/1]ip add 172.16.10.1 24 [FW1-GigabitEthernet1/0/1]int g1/0/2 [FW1-GigabitEthernet1/0/2]ip add 172.16.200.1 24 [FW1-GigabitEthernet1/0/2]int g1/0/3 [FW1-GigabitEthernet1/0/3]ip add 201.1.1.1 30

        配置路由器的g0/0/0、g0/0/1、g0/0/2端口地址：

[AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 201.1.1.2 30 [AR1-GigabitEthernet0/0/0]int g0/0/2 [AR1-GigabitEthernet0/0/2]ip add 100.0.0.1 24 [AR1-GigabitEthernet0/0/2]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip add 101.1.1.1 24

（2） 安全区域的设置

[FW1]firewall zone trust [FW1-zone-trust]add int g1/0/1 [FW1-zone-trust]firewall zone untrust [FW1-zone-untrust]add int g1/0/3 [FW1-zone-untrust]firewall zone dmz [FW1-zone-dmz]add int g1/0/2

（3） 设置安全策略，使内网用户可以访问dmz区域的服务器

[FW1]security-policy [FW1-policy-security]rule name t_d_permit [FW1-policy-security-rule-t_d_permit]source-zone trust [FW1-policy-security-rule-t_d_permit]destination-zone dmz [FW1-policy-security-rule-t_d_permit]action permit

（4） 设置安全策略，使内网用户可以访问互联网，并阻止172.16.10.10访问互联网

[FW1]security-policy [FW1-policy-security]rule name add_u_deny [FW1-policy-security-rule-add_u_deny]source-address 172.16.10.10 32 [FW1-policy-security-rule-add_u_deny]destination-zone untrust [FW1-policy-security-rule-add_u_deny]action deny [FW1-policy-security-rule-add_u_deny]q [FW1-policy-security]rule name t_u_permit [FW1-policy-security-rule-t_u_permit]source-zone trust [FW1-policy-security-rule-t_u_permit]destination-zone untrust [FW1-policy-security-rule-t_u_permit]action permit

（5） 设置安全策略，使互联网用户能够访问dmz区域的web服务

[FW1]security-policy [FW1-policy-security]rule name u_d_permit [FW1-policy-security-rule-u_d_permit]source-zone untrust [FW1-policy-security-rule-u_d_permit]destination-zone dmz [FW1-policy-security-rule-u_d_permit]destination-address 172.16.200.0 24 [FW1-policy-security-rule-u_d_permit]service http [FW1-policy-security-rule-u_d_permit]action permit

（6） 配置防火墙的默认路由

        下一跳为路由器的g0/0/0端口地址

[FW1]ip route-static 0.0.0.0 0.0.0.0 201.1.1.2

（7） 配置源NAT

[FW1]nat-policy [FW1-policy-nat]rule name t_u_nat [FW1-policy-nat-rule-t_u_nat]source-zone trust [FW1-policy-nat-rule-t_u_nat]destination-zone untrust [FW1-policy-nat-rule-t_u_nat]source-address 172.16.10.0 24 [FW1-policy-nat-rule-t_u_nat]action nat easy-ip

（8） 配置源NAT server

[FW1]nat server policy_nat_web protocol tcp global 200.1.1.1 www inside 172.16.200.10 www no-reverse

（9） 配置黑洞路由

[FW1]ip route-static 200.1.1.1 32 NULL0

        3. 配置路由器到防火墙的静态路由

[AR1]ip route-static 200.1.1.1 32 201.1.1.1

        4. 测试

  测试： 抓图验证实验内容要求的各部分内容

（1） 要求172.16.10.20可以上网，并且可以访问DMZ区域的FTP和WEB服务

• Client2（172.16.10.20）可以访问外网的服务器：

• Client2（172.16.10.20）可以访问dmz区域的FTP服务：

• Client2（172.16.10.20）可以访问dmz区域的HTTP服务：

（2） 172.16.10.10不能上网，但是能够访问DMZ区域的FTP和WEB服务

• Client1（172.16.10.10）不可以访问外网的服务器：

• Client1（172.16.10.10）可以访问dmz区域的FTP服务：

• Client1（172.16.10.10）可以访问dmz区域的HTTP服务：

（3） 内网用户通过NAT(easy-ip)的形式访问互联网。

         通过抓包可以发现，内网用户向外网用户进行通信时，所使用的的源ip地址为201.1.1，也就是防火墙g1/0/3的端口地址，这样可以很好的隐藏自己的真实的ip地址。

（4） 要求在互联网上能够访问DMZ区域中的WEB服务，但不能访问它的FTP服务，内网服务器配置的全球地址为200.1.1.1

• Client3（100.0.0.10）可以访问dmz区域的HTTP服务，访问的地址为200.1.1.1：

• Client3（100.0.0.10）不可以访问dmz区域的FTP服务：

        5. 通过web方式查看防火墙的配置

  https://192.168.253.2:8443

先增加cloud的端口映射，查看端口的IP地址为：192.168.253.1

将防火墙g/0/0的端口地址配置为192.168.253.2，并开启https服务：

[FW1]int g0/0/0 [FW1-GigabitEthernet0/0/0]ip add 192.168.253.2 24 [FW1-GigabitEthernet0/0/0]service-manage https permit [FW1-GigabitEthernet0/0/0]service-manage ping permit

通过网页进行观察，防火墙的配置如下：