2024年防火墙实验报告.doc

南京信息工程大學试验（实习）汇报

试验（实习）名称防火墙试验（实习）曰期.12.6指导教師朱节中

专业10软件工程年级大三班次2姓名蔡叶文學号2344042得分

【试验名称】

防火墙试验

【试验目的】

掌握防火墙的基本配置；掌握防火墙安全方略的配置。

【背景描述】

1.用接入广域网技术（NAT），将私有地址转化為合法IP地址。处理IP地址局限性的問題，有效防止来自外部网络的袭击，隐藏并保护内部网络的计算机。

2.网络地址端口转换NAPT（NetworkAddressPortTranslation）是人們比较常用的一种NAT方式。它可以将中小型的网络隐藏在一种合法的IP地址背面，将内部连接映射到外部网络中的一种單独的IP地址上，同步在该地址上加上一种由NAT设备选定的TCP端口号。

3.地址绑定：為了防止内部人员進行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者虽然修改了IP地址，也因MAC地址不匹配而盗用失败，并且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，進而查出非法盗用者。报文中的源MAC地址与IP地址對假如無法与防火墙中设置的MAC地址与IP地址對匹配，将無法通過防火墙。

4.抗袭击：锐捷防火墙能抵御如下的惡意袭击：SYNFlood袭击；ICMPFlood袭击；PingofDeath袭击；UDPFlood袭击；PINGSWEEP袭击；TCP端口扫描；UDP端口扫描；松散源路由袭击；严格源路由袭击；WinNuke袭击；smuef袭击；無標识袭击；圣诞树袭击；TSYNFIN袭击；無确认FIN袭击；IP安全选项袭击；IP记录路由袭击；IP流袭击；IP時间戳袭击；Land袭击；teardrop袭击。

【小组分工】

组長：IP：192.168.10.200管理员

：IP：172.16.5.4方略管理员+曰志审计员

：IP：172.16.5.3曰志审计员

：IP：172.16.5.2方略管理员

：IP：172.16.5.1配置管理员

【试验设备】

PC五台

防火墙1台（RG-Wall60每试验台一组）

跳线一条

【试验拓扑】

【试验成果】

管理员主机

對管理员主机的IP進行更改，改為192.168.10.200

图一·管理员主机IP配置

用超级中端重启防火墙（目的是清空防火墙此前的配置）

图二·超级终端

管理员為局域网内的其他主机添加管理员账号，添加後如下图

图三·管理员账号

添加管理主机，添加完後如下图：

图四·管理主机

管理主机對防火墙的LAN口進行有关配置，内网网关的借口IP為172.16.5.252，添加後如下图：

图五·添加LAN口

配置NAPT

1）定义内网對象，打開内网定义——地址，然後是地址列表，點击添加，添加完毕後，點击确定，如下图：

图六·配置内网對象

防火墙NET规则配置，進入安全方略——安全规则，點击NAT规则，做如下图配置，完毕後确定：

图七·NET规则配置

完毕以上所有配置後，有组内其他PC机對配置進行验证，随便选中内网的一台PC机ping外网服务器192.168.10.200，成果是可以ping通的，如下图：

图八·内网Ping外网

外网PC机Ping内网的一台PC机，成果是ping不通的，成果如下图：

图九·外网ping内网

原因：有图六可知，我們设置了内网對象，IP的网段為172.16.5.0。只有处在這個网段的PC机才可以通過防火墙连通外网PC机。而外网PC机由于不是处在這個网段中，因此會被防火墙過滤掉，是ping不一样内网PC机的。

防火墙地址绑定功能设置

1）進入安全方略——地址绑定，配置完毕後，點击确定如下图：

图拾·LAN口的MAC绑定

探测IP/MAC地址對，先探测，然後點击