2016计算机网络技术实验实训教程：实验九防火墙的安全策略.docVIP

计算机网络技术实验实训教程 实验九 防火墙的安全策略 实验名称：防火墙的安全策略。 实验目的：根据安全规则的设置防火墙所有的访问控制。 技术原理：安全规则包括： （1）包过滤规则 （2）NAT 规则（网络地址转换） （3）IP 映射规则 （4）端口映射规则 实现功能：实现防火墙的核心功能---安全策略。 实验设备：RG-WALL60一台，PC一台，控制线或交叉线一根。 实验拓朴： 实验步骤： 安全策略安全规则 防火墙的基本策略：没有明确被允许的行为都是被禁止的。 根据管理员定义的安全规则完成数据帧的访问控制，规则策略包括：“允许通过”、“禁止通过”、“NAT方式通过”、“IP 映射方式通过”、“端口映射方式通过”。支持对源IP 地址、目的IP 地址、源端口、目的端口、服务、流入网口、流出网口等控制。另外，根据管理员定义的基于角色控制的用户策略，并与安全规则策略配合完成访问控制，包括限制用户在什么时间、什么源IP 地址可以登录防火墙系统，该用户通过认证后能够享有的服务。RG-WALL 60 防火墙提供基于对象定义的安全策略配置。对象包括地址和地址组、NAT 地址池、服务器地址、服务（源端口、目的端口、协议）和服务组、时间和时间组、用户和用户组（包括用户策略：如登录时间与地点，源IP/目的IP、目的端口、协议等）、连接限制（保护主机、保护服务、限制主机、限制服务）带宽策略（最大带宽、保证带宽、优先级）、URL 过滤策略。最大限度提供方便性与灵活性。 1.1. 包过滤规则 提供基于状态检测（基于TCP/UDP/ICMP 协议）的动态的包过滤。包过滤规则可以实现对源地址/掩码、目的地址/掩码、服务、流入流出网口的访问控制，可以设置对这类经过防火墙的数据包是允许还是禁止。另外，是否启用用户认证、是否启用带宽控制、是否启用URL过滤、是否启用连接限制功能以及是否记录日志，是否走VPN 隧道都在包过滤规则中设置。包过滤规则是管理员应用最多的安全规则。RG-WALL 60 防火墙的包过滤规则功能十分灵活、强大。支持的协议包括基本协议（如http、telnet、smtp 等）、ICMP、动态协议（如h323、ftp、sqlnet 等）。在“安全策略安全规则”界面中，点击，将弹出以下界面： 1.2. NAT 规则 NAT（Network Address Translation）是在IPv4 地址日渐枯竭的情况下出现的一种技术，可将整个组织的内部IP 都映射到一个合法IP 上来进行Internet 的访问，NAT 中转换前源IP 地址和转换后源IP 地址不同，数据进入防火墙后，防火墙将其源地址进行了转换后再将其发出，使外部看不到数据包原来的地址。一般来说，NAT 多用于从内部网络到外部网络的访问，内部网络地址可以是保留IP 地址。RG-WALL 60 防火墙支持源地址一对一的转换，也支持源地址转换为地址池中的某一个地址。用户可通过安全规则设定需要转换的源地址（支持网络地址范围）、源端口。此处的NAT 指动态NAT，通过系统提供的NAT 地址池，支持多对多，多对一，一对多，一对一的转换关系。 在“安全策略安全规则”界面中，点击，将弹出以下界面： 1.3. IP 映射规则 IP 映射规则是将访问的目的IP 转换为内部服务器的IP。一般用于外部网络到内部服务器的访问，内部服务器可使用保留IP 地址。当管理员配置多个服务器时，就可以通过IP 映射规则，实现对服务器访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法IP，内部有多个服务器同时提供服务，当将访问防火墙外网卡IP 的访问请求转换为这一组内部服务器的IP 地址时，访问请求就可以在这一组服务器进行均衡。 在“安全策略安全规则”界面中，点击，将弹出以下界面： 1.4. 端口映射规则 端口映射规则是将访问的目的IP 和目的端口转换为内部服务器的IP 和服务端口。一般用于外部网络到内部服务器的访问，内部服务器可使用保留IP 地址。当管理员配置多个服务器时，都提供某一端口的服务，就可以通过配置端口映射规则，实现对服务器此端口访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法IP，内部有多个服务器同时提供服务，当将访问防火墙外网卡IP 的访问请求转换为这一组内部服务器的IP 地址时，访问请求就可以在这一组服务器进行均衡。 在“安全策略安全规则”界面中，点击，将弹出以下界面： 2. 安全策略地址绑定 地址绑定是防止IP 欺骗和防止盗用IP 地址的有效手段。并且RG-WALL 60 防火墙提供自动探测IP/MAC 对功能，可以减轻管理员手工收集IP/MAC 对的工作量。如果防火墙某网口配置了“IP/MAC 地址绑定”启用功能、“IP/MAC 地址绑定的默认策略（允许或禁止）”，当该网口接收数据包时