GNS3中怎样进行PIX防火墙实验.docVIP

前 言 一、Firewall Overview 防火墙技术分为三种：包过滤防火墙、代理服务器和状态包过滤防火墙； 包过滤防火墙，使用 ACL 控制进入或离开网络的流量，ACL 可以根据匹配包的类型或其他参数（如：源 IP地址、目的 IP 地址、端口号等）来制定； 该类防火墙有以下不足，ACL 制定的维护比较困难；可以使用 IP 欺骗很容易的绕过 ACL； 代理防火墙，也叫做代理服务器。它在 OSI 的高层检查数据包，然后和制定的规则相比较，如果数据包的内容符合规则并且被允许，那么代理服务器就代替源主机向目的地址发送请求，从外部主机收到请求后，再转发给 被保护的源请求主机。 代理防火墙的主要缺点就是性能问题，由于代理防火墙会对每个经过它的包都会深度检查，即使这个包以前 检查过，所以说对系统和网络的性能都有很大的影响。 状态包过滤防火墙，Cisco ASA 就是使用状态包过滤的防火墙，该防火墙会维护每个会话的状态信息，这些 状态信息写在状态表里，状态表的条目有：源地址、目的地址、端口号、TCP 序列号信息以及每个 TCP 或 UDP 的额外的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较，只有状态表中的条目匹配的时 候才允许流量通过。 防火墙收到一个流量后，首先查看是否已经存在于连接表中，如果没有存在，则看这个连接是否符合安全策 略，如果符合，则处理后将该连接写入状态表；如果不符合安全策略，那么就将包丢弃。 状态表，也叫 Fast Path，防火墙只处理第一个包，后续的属于该连接的包都会直接按照 Fast Path 转发，因此性能就有很高的提升。 因此本实验手册实验内容主要是学习PIX防火墙的相关配置实验。 为有效的利用实验设备，让学生参与实验全过程，本实验手册的实验将由GNS3和虚拟机配合完成。实验中所采用的软件版本不是最新版，并且每个实验均还有很多的后续实验内容，希望同学们能够在现有实验的基础上进一步深入学习。目　　　　录 TOC  HYPERLINK \l __RefHeading__1_104842918实验一：GNS3工具的熟悉及掌握 4  HYPERLINK \l __RefHeading__3_104842918实验二：基本设置：配置pix接口ip、连通性。 7  HYPERLINK \l __RefHeading__5_104842918实验三：PIX的基本使用 12  HYPERLINK \l __RefHeading__7_104842918实验四： telnet到PIX防火墙 15  HYPERLINK \l __RefHeading__9_104842918实验五：保存基本配置到tftp服务器 18  HYPERLINK \l __RefHeading__11_104842918实验六：ICMP 20  HYPERLINK \l __RefHeading__13_104842918实验七：配置PIX防火墙为DHCP服务器、DHCP中继 22  HYPERLINK \l __RefHeading__15_104842918实验八：命令授权 24  HYPERLINK \l __RefHeading__17_104842918实验九：防火墙透明模式 28  HYPERLINK \l __RefHeading__19_104842918实验十：基本Failover 30  HYPERLINK \l __RefHeading__21_104842918实验十一：远程访问VPN 32  HYPERLINK \l __RefHeading__23_104842918实验十二：PPPoE 36  HYPERLINK \l __RefHeading__25_104842918实验十三：OSPF路由协议 40  HYPERLINK \l __RefHeading__27_104842918实验十四：综合实验----防火墙篇 44 实验一：GNS3工具的熟悉及掌握 GNS3是一种可以仿真复杂网络的图形化网络模拟器。你可能熟悉用来仿真不同操作系统的VMware或Virtual PC等软件。利用这些软件，可以在自己计算机的虚拟环境中运行诸如Windows XP专业版、Ubuntu Linux等操作系统。GNS3允许在计算机中运行Cisco的IOS(Internet Operating Systems)。GNS3其实是Dynagen的图形化前端环境工具软件，而Dynamips是仿真IOS的核心程序。Dynagen运行在Dynamips之上，目的是提供更友好的、基于文本的用户界面。用户利用D