网络安全理论与技术实验2.pptVIP

地址转换设为“NAT” 允许本地主机PING防火墙 Ping的协议类型为ICMP 设置DropAll 配置完后，把配置签出 SAT SAT 静态地址转换 PC1 /24 PC2 1/24 FW Lan4:/24 Lan2:/24 server 当一个局域网接入公网时，内部的许多服务器都采用的私有IP，在公网上时无效的。如何将私有IP转化为公有IP呢？ 这就将用到SAT——静态地址转换。 配置局部对象 配置lan2 其他对象配置如同NAT 配置server 新建主机对象server。配置如下： 路由配置 配置Lan2. 配置Lan4 过滤规则 建立新规则。动作选择SAT。接口配置如下。 假设server是http服务器，那末我们就在服务规则里选择“http”。 Allow SAT规则不可以单独作为规则执行，必须与相应的Allow。 网络接口设置与SAT相同。 把动作改成“Allow”。 签出 签出配置。 部署配置。 认真复习并实践课堂教学中介绍的有关包过滤防火墙的规则。 要求能够配置防火墙、写出各种情况的防火墙规则。 * 网络安全理论与技术实验讲义 二00七年十月 网络安全理论与技术实验内容(二) 西安电子科技大学通信工程学院信息工程系 E-mail: xd_zwd@ 张卫东 网络安全实验（二） 防火墙 防火墙简介 防火墙是网络安全的第一道防线，一般用来将内部网络与Internet或其他外部网络相互隔离，限制网络互访，保护内部网络安全。 网络地址转换NAT 受保护的网内用户访问Internet时，必须使用合法的IP地址。但合法的IP有限，且受保护网络往往有自己的一套地址规划方案。网络转换器就是在防火墙上装一个合法的IP地址集。当内部某一用户访问Internet时，防火墙动态地从地址集中选择未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。 假设我们将防火墙的管理端接在了LAN4上， 而外部网络接在了LAN2上。 外部网络的IP为1,本地网络的IP为。防火墙的IP设为。 子网掩码均为24位。 PC1 /24 FW PC2 1/24 Lan4: Lan2: internet 启动防火墙 按说明书连接好物理连接后，用超级终端恢复防火墙的初始值，并更改校验密钥。 （具体操作实验课详细介绍） 启动远程管理端 在开始菜单中选择远程管理器，打开远程管理端的界面。 新建一个防火墙，为防火墙设定一个ip。 建立一个管理用户，（切记！！！！不可设立口令！！！！） 配置NAT 打开安全编辑器 在文件夹“防火墙”上单击右键，选择“新建”。 给防火墙起一个名字，如“NAT”。（名字要取的尽量言简意明。） 双击新建的防火墙，调出配置菜单。 局部对象 在新建的防火墙下，对局部对象进行配置。打开局部对象的网络与主机。对与防火墙相连接的网络与主机进行定义与配置。 假设我们把防火墙的管理端口设为LAN4，与外网连接的端口为LAN2。 配置界面如下图。 签出 由于防火墙初始配置，所以在没有签出之前，所有的网络与主机配置是不能更改的。 点击菜单栏的签出图标后，在每一个配置文件夹上都出现一个红点，这时就可以对起进行更改了。 我们可以看到每一个端口都可以进行配置了。 我们先来看LAN4的配置。 我们可以看到，作为防火墙管理端的LAN4的各项配置均已自动生成好了。 我们再来看我们作为外部网络的LAN2的配置。我们给LAN2的IP设为，与PC2在同一个网段。 配置广播地址 其中的br－LAN是指广播地址。 IP协议规定，每个子网的第一位与最后一位用作广播地址。 所以我们填入55。 配置lan2net 因为PC2是作为接入外网的网关，所以我们新建一个名为“gateway”主机网关。 配置路由 进入路由配置的 主路由表。 配置LAN4路由 LAN4端口所接的网络为LAN4NET。 配置LAN2 Lan2端口接的作为接入公网网关的PC2，所以新建一个路由配置如下： 编辑过滤规则 打开过滤规则，进行编辑。 过滤规则可以建立多条，按从上到下顺序执行。 规则的最后一条须为“dropall”。 服务类型设为“标准” *