网络通信安全：防火墙规则配置与优化.pdfVIP

防火墙规则配置与优化 一、 实验目的 理解等级保护中对访问控制的要求，学习如何配置防火墙访问控制规则，并优化访问控制 规则。 二、 实验软硬件要求 华为ensp 仿真模拟软件。 三、 等级保护2.0 相关要求 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外 受控接口拒绝所有通信。 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 四、 实现功能 1、 打开实验拓扑ENSP，调整网络使得可以访问防火墙。 2、 制定防火墙规则，并应用到防火墙。 假定公司内部 IP 为 /24，外网地址是/24 网段，配置防火墙访问 控制规则，满足如下要求： a) 只允许-100 能够访问访问外网； b) 禁止/24 访问外网telnet 服务； c) 禁止外网的私有地址 ~/16,/16,/8 访问内网； d) 允许所有ICMP 报文通过； e) 允许02/32访问外网FTP 服务； f) 禁止其他所有访问。 3、 剔除多余的规则，调整防火墙规则顺序，使规则没有重叠且数目最少，并说明为什么 这么调整的原因。 五、 实验原理 防火墙概念 防火墙（英语：Firewall）是一个架设在互联网与企业内网之间的信息安全系统，根据企业 预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网 络接口上的网络传输。它是目前最重要的一种网络防护设备，从专业角度来说，防火墙是位于两个 (或多个)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。 防火墙的功能 防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE）， 制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。例如互联网是不可 信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基 本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络 (一个高信任的区域) 。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和 连通性模型之间根据最少特权原则 例如：TCP/IP Port 135~139 是 Microsoft Windows 的【网上 邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的 防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目 录内的文件。且早期版本的Windows 有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共 享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。防火墙的本 义，是指古代构筑和使用木制结构房屋时，为防止火灾发生及蔓延，人们将坚固石块堆砌在房屋周 围做为屏障，这种防护结构建筑就被称为防火墙。现代网络时代引用此喻意，指隔离本地网络与外 界网络或是局域网间与互联网或互联网的一道防御系统，借由控制过滤限制消息来保护内部网络数 据的安全。 六、 实验拓扑和环境准备 七、 实验操作方法 1、 打开实验拓扑ENSP，调整网络使得可以访问防火墙。 启动ENSP 软件。 打开实验拓扑,路径为F:\学生环境\ 网络与通信安全\实验五\fw.topo 。 若出现【该网卡不存在】，直接点击确定即可。 到此步应该确认环境准备中的添加网卡已经完成。 这里选择【VirtualBox Host-Only Network #3 】来连接实验中的设备，配置如图所示 此处只要保证【VirtualBox Host-Only Network #3 】的网卡地址有一个是10.1.1.X/24 段的，进入【网络与共享中心】- 【更改适配器设置】- 【VirtualBox Host-Only Network #3 】 - 【详细信息】验证上述这一点。 启动拓扑所有设备，等待设备启动成功后。 现在来验证配置是否生效，【开始】- 【运行】，输入CMD 打开命令行窗口，ping 至此，第一步配置已经完成。浏览器访问 :8443