实验三 防火墙配置.doc

实验三 防火墙配置实验 【实验目的】 通过本实验初步掌握基本配置方法和技能，包括如下几个方面： 掌握 掌握 掌握 实验前学生应具备以下知识： 了解 了解的安装和配置。了解 实验过程中，部分实验内容需要与相邻的同学配合完成。此外，学生需要将实验的结果记录下来，并回答相关思考题，填写到实验报告中。 【实验】 【实验环境】 1．SecPath 防火墙的地址转换功能连接到广域网。要求该公司能够通过防火墙Ethernet3/0/0 访问Internet，公司内部对外提供WWW、FTP和SMTP 服务，而且提供两台WWW 的服务器。公司内部网址为/16。 其中，内部FTP 服务器地址为，内部WWW 服务器1 地址为，内部WWW服务器2 地址为，内部SMTP 服务器地址为，并且希望可以对外提供统一的服务器的IP 地址。内部/24网段可以访问Internet，其它网段的PC 机则不能访问Internet。外部的PC 可以访问内部的服务器。公司具有00 至 05 六个合法的IP 地址。选用 00 作为公司对外的IP 地址，WWW服务器2 对外采用8080 端口。 # 配置地址池和访问控制列表，允许/24 网段进行地址转换。 [H3C] nat address-group 1 01 05 [H3C] acl number 2001 [H3C-acl-basic-2001] rule permit source 55 [H3C-acl-basic-2001] rule deny source 55 [H3C-acl-basic-2001] quit [H3C] interface Ethernet3/0/0 [H3C-Ethernet3/0/0] nat outbound 2001 address-group 1 # 设置内部FTP 服务器。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside ftp # 设置内部WWW服务器1。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside www # 设置内部WWW服务器2。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 8080 inside www 2．Web配置示例 首先，通过Console口设置防火墙接口地址、Telnet终端用户等（同交换机、路由器），然后每排选择出一台计算机来配置防火墙，打开IE浏览器，在地址栏中，输入防火墙地址：，打开防火墙的登录窗口，输入用户名、密码，然后单击Login，进行防火墙的配置界面。 配置访问控制列表（ACL） 进入配置界面之后，首先配置访问控制列表（ACL），单击左侧WEB管理列表中的防火墙列表下面的ACL。 单击右侧的“ACL配置信息”按钮。 输入一个ACL编号，在这里输入一个基本ACL编号，其中编号范围为： 输入完成之后，单击“创建”按钮。 选中上面创建的策略，单击“配置”按钮。 输入规则编号，例如：1，操作为“Permit”，源IP地址在这里为空，表示所有内网中的IP地址，输入完之后，单击“应用”按钮。 如果，只是想对内网中的一台或几台计算机进行控制，则可以在上面输入源IP地址，例如：对内网中的这一段地址进行控制，可参照下图： 单击“应用”按钮之后，在出现的对话框中，单击“返回”按钮，在出现的对话框中，再次单击“返回”按钮。 在上述单击两次返回按钮之后，选中“Ethernet 1/0”接口，然后单击“配置”按钮。 在出现的对话框中，过滤类型选择“packet-filter”，ASPF策略号或ACL编号选择“2001”，过滤方向选择“outbound”，然后单击“应用”按钮，之后在出现的对话框中，单击“返回”按钮。 再次选中“Ethernet 1/0”接口，然后单击“配置”按钮。 在出现的对话框中，过滤类型选择“packet-filter”，ASPF策略号或ACL编号选择“2001”，过滤方向选择“inbound”，然后单击“应用”按钮，之后在出现的对话框中，单击“返回”按钮。 配置NAT地址转换 首先，单击左侧WEB管理的“业务管理→NAT→地址池管理”。 在右侧单击“创建”按钮。 输入地址池的各项参数，然后单击“应用”按钮，如下图： 之后，单击左侧WEB管理的“业务管理→NAT→地址转换管理”。 在右侧，单击“创建”按钮。 在出现的对话框中，首先选择单选按钮“ACL编号”。 输入相应的参数，如下图，输入完之后，单击“应用”按钮。 完成上述配置之后，单击左侧WEB管理的“业务管理→NAT→内部服务器”。 在右侧，单击“创建”按钮。 输入各项参数，如下图