《网络安全技术与实践》实验报告+思考题及答案 实验4 防火墙技术的应用.docx

PAGE PAGE 1 实验4 防火墙技术的应用 【实验目的】 熟练防火墙技术的基本概念。 熟练状态检测防火墙的工作原理 熟练防火墙CLI命令配置和防火墙Web管理界面 【学时分配】2学时 【实验设备】 PC机一台；eNSP软件；；Win 7/11操作系统。 【实验任务】 任务4-1: 在AR2路由器上设置ACL限制远程连接 任务4-2: 配置防火墙使Trust区域客户端可以访问DMZ区域的http服务 任务4-3: 在FW1防火墙上配置普通员工、财务和服务器的安全策略 任务4-1: 在AR2路由器上设置ACL限制远程连接 【任务目标】 WYL公司在设计公司内部网络时，出于对网络设备的安全考虑在靠近服务器的路由器上设置了不允许所有终端设备远程连接进该路由器AR2 ，按照图1的网络拓扑图，全网使用默认路由进行互通，使用ACL实现公司需求。 【任务要求】 （1）IP地址客户端方向用/24，服务器用/24，路由器与路由器之间使用/30。 （2）在AR2上做ACL流控，使得所有客户端设备都不可以Telnet到此设备。 （3）ACL的流控方向为inbound。 （4）使用默认路由，使得全网贯通。 （5）配置AR2 telnet认证。 （6）测试ACL流控（在AR1上telnet ）。 【能力观测点】 包过滤防火墙原理；使用ACL在路由器上模拟出包过滤的效果。 【实验内容及过程】 图1 任务4-1的网络拓扑图 （1）IP地址客户端方向用/24，服务器用/24，路由器与路由器之间使用/30。 AR1： [AR1]interface GigabitEthernet 0/0/0 [AR1-GigabitEthernet0/0/0]ip address 54 24 [AR1-GigabitEthernet0/0/0]undo shutdown //激活该端口 [AR1-GigabitEthernet0/0/0]quit [AR1]interface GigabitEthernet 0/0/2 [AR1-GigabitEthernet0/0/2]ip address 30 [AR1-GigabitEthernet0/0/2]undo shutdown //激活该端口 [AR1-GigabitEthernet0/0/2]quit AR2： [AR2]interface GigabitEthernet 0/0/0 [AR2-GigabitEthernet0/0/0]ip address 54 24 [AR2-GigabitEthernet0/0/0]undo shutdown [AR2-GigabitEthernet0/0/0]quit [AR2]interface GigabitEthernet 0/0/2 [AR2-GigabitEthernet0/0/2]ip address 30 [AR2-GigabitEthernet0/0/2]undo shutdown [AR2-GigabitEthernet0/0/2]quit （2）在AR2上做ACL流控，使得所有客户端设备都不可以Telnet到此设备。 [AR2]acl number 3001 [AR2-acl-adv-3001]rule deny tcp source any destination-port eq telnet destination 0 //根据需要限制的数据流IP、端口进行ACL规则建立 （3）ACL的流控方向为inbound。 [AR2]interface GigabitEthernet 0/0/2 [AR2-GigabitEthernet0/0/2]traffic-filter inbound acl 3001 //在该接口的入方向进行ACL过滤 （4）使用默认路由，使得全网贯通。 [AR1]ip route-static [AR2]ip route-static （5）配置AR2 telnet认证。 [AR2]aaa [AR2-aaa]local-user test password cipher Huawei //添加一个本地用户 Info: Add a new user. [AR2-aaa]local-user test service-type telnet //为该用户开启Telnet权限 [AR2-aaa]quit [AR2]user-interface vty 0 4 //进入用户管理接口，开启0-4号通道 [AR2-ui-vty0-4]authentication-mode aaa [AR2-ui-vty0-4]quit （6）测试ACL流控（在AR1上telnet ），如图2所示。 图2配置命令  任务4-2: