使用防火墙实现全的访问控制.docVIP

使用防火墙实现安全的访问控制 实验名称 使用防火墙实现安全的访问控制 实验目的 利用防火墙的安全策略实现严格的访问控制 背景描述 某企业网络的出口使用了一台防火墙作为接入Internet的设备，现在需要使用防火墙的安全策略实现严格的访问控制，以允许必要的流量通过防火墙，并且阻止到Internet的未授权的访问。 企业内部网络使用的地址段为/24。公司经理的主机IP地址为00/24，设计部的主机IP地址为01/24~03/24，其它员工使用/24~9/24范围内的地址。并且公司在公网上有一台IP地址为的外部FTP服务器。 现在需要在防火墙上进行访问控制，使经理的主机可以访问Internet中的Web服务器和公司的外部FTP服务器，并能够使用邮件客服端（SMTP/pop3）收发邮件：设计部的主机可以访问Internet中的Web服务器和公司的外部FTP服务器；其它员工的主机只能访问公司的外部FTP服务器。如下图所示为本实验的网络拓扑结构图 实验设备 防火墙连接到Internet的链路，这里我们用到信息楼网络段/24的网络段，其网关为54，这样我们也可以通过此链路上网 。 锐捷wall 60 防火墙 1 台 PC机2 到 3台，2台时要更改一下ip就可以了。 FTP服务器，可以直接找Internet网上的一台，也可自己配置一台ftp服务器模拟Internet上的ftp服务器。 预备知识 网络基础知识 防火墙工作原理：包过滤，另外防火墙一般是串联在网络中，这和IDS（入侵检测）不一样，入侵检测是串联在网络中。 实验原理 实现访问控制是防火墙的基本功能，防火墙的安全策略（包过滤规则）可以根据数据包的原IP地址、目的IP地址、服务端口等对通过防火墙的报文进行过滤。 实验步骤 验证测试 加了规则后，对于规则中允许的服务可以访问，对于规则中不允许的服务不可以访问。 问题及其解决方案 通过默认的管理主机IP登入防火墙，并重新设置管理主机后，再次登入防火墙时不能登了。 解决方案：重新设置后如果设置lan口为登陆口，那么管理主机要接入到lan口，同时注意管理主机的ip地址要设置正确，注意设置是否允许管理主机ping lan接口或允许管理主机的流量的包过滤规则。如果没有这些规则那么要加上去。如果实在登不进去可以重启防火墙，具体的办法是用console线登入防火墙重新启动就可以恢复配置，也可以看说明书清除配置。 加了规则后为什么还是不起作用，如下图所示，从2后的规则对 /24段的网络不起效 原理：因为防火墙是采用包过滤机制，规则的顺序很重要，序号越靠前的规则越先匹配，如果某条规则匹配上了，防火墙就不会再对后面的规则进行匹配了。所以上图中除了第一条规则对 的网络段起作用，后面的全不起作用。因为对从100。1.1.0来的数据包都可以匹配上第一条规则。 解决方案：把后面的规则放到第一条规则上面。 leading cadres to everyday things busy as an excuse, urged not do or knock on the ring look, lack of work enthusiasm and forward-looking. The difficulties and problems of individual cadres indifferent masses as the buck passing, long, make some simple complex problems. Some cadres general talk about pay, do not take leading cadres to everyday things busy as an excuse, urged not do or knock on the ring look, lack of work enthusiasm and forward-looking. The difficulties and problems of individual cadres indifferent masses as the buck passing, long, make some simple complex problems. Some cadres general talk about pay, do not take leading cadres to everyday things busy as an excuse, urged not do or knock on the ring look, lack of work enthusiasm and forward-loo