实验1：防火墙配置(Sammy修改后).docVIP

实验一:防火墙配置 【实验目的】 1. 了解防火墙的常用功能和配置 2. 了解防火墙的两种配置方式 3. 掌握ASPF的面向对象ACL的配置 4. 加深理解防火墙中安全域的概念 【实验内容】 1.防火墙的接口配置； 2.防火墙的安全区域的配置； 3.防火墙面向对象ACL规则配置； 4.ASPF状态检测功能测试。 【实验学时】 本实验的实验时间为4学时 【实验原理】 ASPF（Application Specific Packet Filter））UTM 200-S 一台 2.实验组网图 把上述实验设备按如图2-1所示进行连网。 图2－1 实验组网图 3．实验功能要求 通过对UTM 200-S防火墙进行配置，实现如下的功能： （1）Trust域（PC1）和Untrust域（PC2）的机器都能访问DMZ域(如PC3)的FTP服务器，但不能访问DMZ区的其它服务（通过ping命令测试）。 （2）DMZ域的用户（如PC3）不能获得Trust域和Untrust域所提供的任何服务。（用ping命令测试）。 （3）Untrust域的用户（如PC2）不能获得Trust域任何机器（如PC1）Web 网管 以太网防火墙的配置方式有很多种，如本地Console口配置、Telnet远程登录配置，FTP、TFTP配置，哑终端方式配置和Web配置等。其中最为常用的配置方式就是Console口配置（此时需用Console线缆连接PC0的串口和防火墙的Console口。）和Web配置，本实验以Web配置为主，也可采用Console口配置。 SecPath UTM 设备出厂时已经设置默认的Web登录信息，用户可以直接使用该默认信息登录UTM 设备的Web界面。默认的Web登录信息包括： 用户名：“admin” 密 码：“admin” UTM设备GE0/0接口的IP地址：“” 采用 Web方式登录UTM设备的步骤如下： (1) 连接设备和PC 用交叉以太网线将PC和设备的以太网口GigabitEthernet0/0 相连。 (2) 为PC配置IP地址，保证能与设备互通 修改IP地址为/24（除），例如。 (3) 启动浏览器，输入登录信息 在PC上启动浏览器（建议使用IE5.0 及以上版本），在地址栏中输入IP地址“”后回车，即可进入设备的Web登录页面，如图4-2所示。输入用户名“admin”、密码“admin”和验证码，选择Web网管的语言种类（目前支持中文和英文两种），单击登录按钮即可登录。 图4－2 Web 登录界面 Web网管登录成功后，将会看到如图2-3所示界面。 图2-3 防火墙配置界面 步骤3:设置防火墙各接口的IP地址。 Web网管界面后，在界面左侧的导航栏中选择“设备管理 接口管理”， 进入如图2-4所示的页面。 图2-4 接口管理模块 接口管理主要包括：新建、编辑、开启/关闭、删除接口和查看接口统计信息。 2.编辑接口信息 在导航栏中选择“设备管理 接口管理”，单击接口对应的图标，进入接口编辑 页面,如图2-5所示。 图2-5 接口编辑界面 接口编辑的详细配置如表2-1所示。 表2-1接口编辑的详细配置 3.设置防火墙各接口的IP地址 在图2-5所示的接口编辑界面，设置防火墙GE0/0、GE0/1、GE0/2、GE0/3接口的IP地址分别为“”、“”、“”、“”。IP地址设置完成后的界面如图2-6所示。 图2-6 接口IP地址 步骤4:把防火墙各接口加入到不同的域中 1.概述 安全区域（zone）是防火墙产品所引入的一个安全概念。是防火墙产品区别于路由器的主要特征。 一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0-100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域（或区域包含的接口）之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。 划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。引入安全区域的概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理。 UTM 200-S 防火墙上默认保留五个安全区域： 管理区（Management）：最高级别的安全区域之一，其安全优先级为100 。 本地区域（Local）：最高级别的安全区域之一，其安全优先级为100 。 可信区（Trust）：较高级别的安全区域，其安全优先级为85 。 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50 。 不可信区（Untrust）：低级的安全区域，其安全优先级为5 。 2.进入安全域管理界面 用户登录到Web网管界面后