实验7：防火墙高级配置1.docVIP

上机报告 姓名 学号 专业班级 计科普1002 课程名称 网络系统集成 指导教师 机房名称 （I520） 上机日期 2012 年 11月 30 日 上机项目名称 实验7：防火墙高级配置1 上机步骤及内容： 一、实验目的 通过实验掌握防火墙工作在透明模式下的配置方法及其功能应用、利用ASPF实现单向访问和防病毒的典型配置以实现对网络通信流量进行过滤、控制和对常见病毒的防范。 二、实验要求 1．复习课堂知识和查看实验设备电子文档，认真理解防火墙的相关功能应用； 2．理解每一步实验的作用，并记录在实验报告上； 3．实验结束后上缴实验报告 三、实验仪器设备和材料清单 1．具备至少两个以太网端口的防火墙1台； 2．两台具备以太网接口的PC机，分别连接防火墙的内外网口，防火墙端口、PC的IP地址可根据实验要求和实际情况自己分配和设置。 3. 实验组网图 图1.1 实验组网图 四、实验内容 1．防火墙工作在透明模式下，平时使用web网管进行管理。/24为游戏服务器，允许User_1访问游戏服务器，禁止User_2访问游戏服务器。/（参考4.1） 2．通过ASPF实现单向访问的典型配置，实现Trust区域可以访问Untrust区域，但是Untrust区域不可以访问Trust区域。(参考4.3) 3防病毒典型配置：内网用户通过NAT访问Internet，Web服务器通过NAT Server对外提供服务。欲通过访问控制列表，在内网入口处和Internet出口处对常见的病毒进行防范。(参考4.4) 五、实验步骤 1. 内容1的配置关键步骤： (1) 防火墙的基本配置 [s]firewall packet-filter enable [s]firewall zone trust [s-zone-trust]add interface Ethernet 0/1 [s-zone-trust]quit [s]firewall zone dmz [s-zone-dmz]add interface Ethernet 0/0 [s-zone-dmz]quit [s]firewall packet-filter default permit （2）为防火墙设置管理地址； [s]firewall system-ip 24 Set system ip address successfully. (2)对未知目的MAC地址的报文进行泛洪处理； [s]firewall unknown-mac flood (3)配置MAC地址转发表的老化时间； [s]firewall transparent-mode aging-time 250 (4)配置允许通过ipx协议报文； [s]firewall transparent-mode transmit IPX (5)配置web网管的用户； [s]local-user firewall New local user tangliu [s-luser-firewall]password simple 123456 [s-luser-firewall]service-type telnet [s-luser-firewall]level 3 (6)配置基于MAC的访问控制列表,对源mac为pc2的数据帧进行阻断； [s]acl number 3000 [s-acl-ethernetframe-3000]rule 0 deny source-mac 001e-9009-5a5f ffff-ffff-ffff dest-mac 001e-901a-ab49 ffff-ffff-ffff [s-acl-ethernetframe-3000]quit (7)在接口的inbound方向上应用访问控制列表； [s]interface Ethernet0/1 [s-Ethernet0/1]firewall ethernet-frame-fil