河南中医药大学：《网络应用技术 Network Application and Technology》课程教学资源（实验指导）实验九 防火墙的应用

《网络应用技术》/实验九:防火墙的应用 实验九:防火墙的应用 、实验介绍 在园区网内,不同网络区域的访问策略通常也有所不同。为了加强网络安全,往往需要对网络 访问行为进行监测、限制,并对外屏蔽网络内部的信息、结构和运行状况。本实验介绍通过防火墙 设备提升网络安全性的具体方法。 、实验目的 1、了解包过滤防火墙的工作原理; 2、掌握在eNSP中引入防火墙设备的方法; 3、掌握利用防火墙加强园区网安全管理的方法。 三、实验类型 验证性 四、实验理论 1、防火墙 防火墙( Firewall)是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件, 其目的是保护网络不被侵扰。在逻辑上,防火墙是一个分离器、一个分析器,也是一个限制器,能 够有效地监控流经防火墙的数据,保证内部网络的安全。本质上,防火墙遵循的是一种允许或阻止 业务来往的网络通信安全机制,也就是提供可控的、能过滤的网络通信 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口 防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的信息流,且自身具有较 强的抗攻击能力(采用不易攻击的专用系统或采用纯硬件的处理器芯片)。 防火墙本身不能影响正常网络信息的流通。 防火墙的关键技术 (1)包过滤技术 包过滤技术是最早也是最基本的访问控制技术,又称报文过滤技术。包过滤技术的作用是执行 边界访问控制功能,即对网络通信数据进行过滤( Filtering)。数据包中的信息如果与某一条过滤规 则相匹配并且该规则允许数据包通过,则该数据包会被防火墙转发,如果与某一条过滤规则匹配但 规则拒绝数据包通过,则该数据包会被丢弃。如果没有可匹配的规则,缺省规则会决定数据包被转 发还是被丢弃,并且根据预先的定义完成记录日志信息、发送报警信息给管理人员等操作。 包过滤技术的工作对象就是数据包,具体来说,就是针对数据包首部的五元组信息,包括源|P 地址、目的P地址、源端口、目的端口、协议号,来指定相应的过滤规则 河南中医药大学信息技术学院|网络与信息系统科研工作室 第1页

《网络应用技术》 / 实验九：防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第1页 实验九：防火墙的应用 一、实验介绍 在园区网内，不同网络区域的访问策略通常也有所不同。为了加强网络安全，往往需要对网络 访问行为进行监测、限制，并对外屏蔽网络内部的信息、结构和运行状况。本实验介绍通过防火墙 设备提升网络安全性的具体方法。 二、实验目的 1、了解包过滤防火墙的工作原理； 2、掌握在 eNSP 中引入防火墙设备的方法； 3、掌握利用防火墙加强园区网安全管理的方法。 三、实验类型 验证性 四、实验理论 1、防火墙 防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件， 其目的是保护网络不被侵扰。在逻辑上，防火墙是一个分离器、一个分析器，也是一个限制器，能 够有效地监控流经防火墙的数据，保证内部网络的安全。本质上，防火墙遵循的是一种允许或阻止 业务来往的网络通信安全机制，也就是提供可控的、能过滤的网络通信。 不管什么种类的防火墙，不论其采用何种技术手段，防火墙都必须具有以下三种基本性质：  防火墙是不同网络之间信息的唯一出入口。  防火墙能根据网络安全策略控制（允许、拒绝或监测）出入网络的信息流，且自身具有较 强的抗攻击能力（采用不易攻击的专用系统或采用纯硬件的处理器芯片）。  防火墙本身不能影响正常网络信息的流通。 2、防火墙的关键技术 （1）包过滤技术 包过滤技术是最早也是最基本的访问控制技术，又称报文过滤技术。包过滤技术的作用是执行 边界访问控制功能，即对网络通信数据进行过滤（Filtering）。数据包中的信息如果与某一条过滤规 则相匹配并且该规则允许数据包通过，则该数据包会被防火墙转发，如果与某一条过滤规则匹配但 规则拒绝数据包通过，则该数据包会被丢弃。如果没有可匹配的规则，缺省规则会决定数据包被转 发还是被丢弃，并且根据预先的定义完成记录日志信息、发送报警信息给管理人员等操作。 包过滤技术的工作对象就是数据包，具体来说，就是针对数据包首部的五元组信息，包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议号，来指定相应的过滤规则

《网络应用技术》/实验九:防火墙的应用 (2)状态检测技术 为了解决静态包过滤技术安全检查措施简单、管理较困难等问题,提出了状态检测技术 ( Stateful Inspection)的概念。它能够提供比静态包过滤技术更高的安全性,而且使用和管理 也更简单。这体现在状态检测技术可以根据实际情况,动态地自动生成或删除安全过滤规则, 不需要管理人员手工配置。同时,还可以分析高层协议,能够更有效地对进出内部网络的通 信进行监控,并且提出更好的日志和审计分析服务。早期的状态检测技术被称为动态包过滤 ( Dynamic Packet Filter.)技术,是静态包过滤技术在传输层的扩展应用。后期经过进一步的改 进,又可以实现传输层协议报文字段细节的过滤,并可实现部分应用层信息的过滤。状态检 测不仅仅只是对状态进行检测,还进行包过滤检测,从而提高了防火墙的功能。 (3)网络地址转换技术(NAT) 网络地址转换( Network Address translation,NAT)最初设计NAT的目的是允许将私 有P地址映射到公网上(合法的因特网P地址),以缓解|P地址短缺的问题。但是,通过 NAT,可以实现内部主机地址隐藏,防止内部网络结构被人掌握,因此从一定程度上降低了内 部网络被攻击的可能性,提高了私有网络的安全性。正是内部主机地址隐藏的特性,使NAT技 术成为了防火墙实现中经常采用的核心技术之一。 (4)代理技术 代理( Proxy)技术与前面所述的基于包过滤技术完全不同,是基于另一种思想的完全控 制技术。采用代理技术的代理服务器运行在内部网络和外部网路之间,在应用层实现安全控制 功能,起到内部网络与外部网络之间应用服务的转接作用。同时,代理防火墙不再围绕数据包, 而着重于应用级别,分析经过它们的应用信息,从而决定是传输还是丢弃。 3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和NAT模式等 (1)桥模式 桥模式也称为透明模式。工作在桥模式下的防火墙不需要配置IP地址,无需对网络地址 进行重新规划,对于用户而言,防火墙仿佛不存在,因此被称为透明模式 (2)网关模式 网关模式适用于网络不在同一网段的情况。防火墙设置网关地址实现路由器的功能,为不 同网段进行路由转发 网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备一 定的私密性 (3)NAT模式 NAT( Network Address translation)模式是由防火墙对内部网络的|P地址进行地址翻 译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数 据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址, NAT模式能够实现外部网络无法得到内部网络的卩P地址,进一步增强了对内部网络的安 全防护。同时,在№AT模式的网络中,内部网络可以使用私网地址,解决IP地址数量受限的 问题 河南中医药大学信息技术学院|网络与信息系统科研工作室 第2页

《网络应用技术》 / 实验九：防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 （2）状态检测技术 为了解决静态包过滤技术安全检查措施简单、管理较困难等问题，提出了状态检测技术 （Stateful Inspection）的概念。它能够提供比静态包过滤技术更高的安全性，而且使用和管理 也更简单。这体现在状态检测技术可以根据实际情况，动态地自动生成或删除安全过滤规则， 不需要管理人员手工配置。同时，还可以分析高层协议，能够更有效地对进出内部网络的通 信进行监控，并且提出更好的日志和审计分析服务。早期的状态检测技术被称为动态包过滤 （Dynamic Packet Filter）技术，是静态包过滤技术在传输层的扩展应用。后期经过进一步的改 进，又可以实现传输层协议报文字段细节的过滤，并可实现部分应用层信息的过滤。状态检 测不仅仅只是对状态进行检测，还进行包过滤检测，从而提高了防火墙的功能。 （3）网络地址转换技术（NAT） 网络地址转换（Network Address Translation，NAT）。最初设计 NAT 的目的是允许将私 有 IP 地址映射到公网上（合法的因特网 IP 地址），以缓解 IP 地址短缺的问题。但是，通过 NAT，可以实现内部主机地址隐藏，防止内部网络结构被人掌握，因此从一定程度上降低了内 部网络被攻击的可能性，提高了私有网络的安全性。正是内部主机地址隐藏的特性，使 NAT 技 术成为了防火墙实现中经常采用的核心技术之一。 （4）代理技术 代理（Proxy）技术与前面所述的基于包过滤技术完全不同，是基于另一种思想的完全控 制技术。采用代理技术的代理服务器运行在内部网络和外部网路之间，在应用层实现安全控制 功能，起到内部网络与外部网络之间应用服务的转接作用。同时，代理防火墙不再围绕数据包， 而着重于应用级别，分析经过它们的应用信息，从而决定是传输还是丢弃。 3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和 NAT 模式等。 （1）桥模式 桥模式也称为透明模式。工作在桥模式下的防火墙不需要配置 IP 地址，无需对网络地址 进行重新规划，对于用户而言，防火墙仿佛不存在，因此被称为透明模式。 （2）网关模式 网关模式适用于网络不在同一网段的情况。防火墙设置网关地址实现路由器的功能，为不 同网段进行路由转发。 网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备一 定的私密性。 （3）NAT 模式 NAT（Network Address Translation）模式是由防火墙对内部网络的 IP 地址进行地址翻 译，使用防火墙的 IP 地址替换内部网络的源地址向外部网络发送数据；当外部网络的响应数 据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。 NAT 模式能够实现外部网络无法得到内部网络的 IP 地址，进一步增强了对内部网络的安 全防护。同时，在 NAT 模式的网络中，内部网络可以使用私网地址，解决 IP 地址数量受限的 问题

《网络应用技术》/实验九:防火墙的应用 五、实验规划 网络拓扑规划 RS-2 FW-1 SW-1 SW-2 Host-1 Host-2 Host-3 图9-0-1拓扑规划 表901网络拓扑说明 序号 设备线路 设备类型 规格型号 1Host1~Hos5|用户客户端 SW-1--SW-2 换机 RS-1--RS-2 路由交换机 S5700 防火墙 UsG6000∨ L1~L-4 1000Base-T 2、安全目标 在网络连通正常的前提下,通过防火墙访问限制,达到Host-1、 Host-2能够访问Host5,Host 3、Host-4无法访问Host-5的主机访问限制目的。 3、规划交换机接囗与VLAN 表9-02交换机接口及vLAN规划表 序号交换机 接口 连接设备接口类型 SW-1 GE001 默认 SW-1 Ethernet 0/0/1 Host-1 默认 SW-1 Ethernet 0/0/2 Host-2 默认 SW-2 GE00/1 RS-1 默认 Ethernet O/0/1 Host-3 默认 7 SW-2 Ethernet o/0/2 Host-4 默认 RS-1 GE00/1 100 FW-1 RS-1 GE00/23 SW-1 11 RS-1 GE0/o/24 12 SW-1 Access 河南中医药大学信息技术学院|网络与信息系统科研工作室 第3页

《网络应用技术》 / 实验九：防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第3页 五、实验规划 1、网络拓扑规划 表 9-0-1 网络拓扑说明 序号 设备线路 设备类型 规格型号 1 Host-1～Host5 用户客户端 PC 2 SW-1～SW-2 交换机 S3700 3 RS-1～RS-2 路由交换机 S5700 4 FW-1 防火墙 USG6000V 5 L-1～L-4 双绞线 1000Base-T 2、安全目标 在网络连通正常的前提下，通过防火墙访问限制，达到 Host-1、Host-2 能够访问 Host-5，Host- 3、Host-4 无法访问 Host-5 的主机访问限制目的。 3、规划交换机接口与 VLAN 表 9-0-2 交换机接口及 VLAN 规划表 序号 交换机 接口 VLAN ID 连接设备 接口类型 1 SW-1 GE 0/0/1 1 RS-1 默认 2 SW-1 Ethernet 0/0/1 1 Host-1 默认 3 SW-1 Ethernet 0/0/2 1 Host-2 默认 5 SW-2 GE 0/0/1 1 RS-1 默认 6 SW-2 Ethernet 0/0/1 1 Host-3 默认 7 SW-2 Ethernet 0/0/2 1 Host-4 默认 9 RS-1 GE 0/0/1 100 FW-1 Access 10 RS-1 GE 0/0/23 11 SW-1 Access 11 RS-1 GE 0/0/24 12 SW-1 Access 图 9-0-1 拓扑规划

《网络应用技术》/实验九:防火墙的应用 GE0/0/1 13 RS-2 GE0/0/24 FW-1 Access 4、规划主机IP地址 表9-03主机|P地址规划表 序号设备名称P地址/子网掩码默认网关 接入位置 1Host119216864112419216864254sW1 Ethernet o/0 2|Host2192168642/2419216864254SW1 Ethernet 0/0/2 3Host3|192168651/2419216865254sWw2 Ethernet o/0/1 Host-4 192168652/2419216865254SW2 Ethernet 0/0/2 5 Hos-5 192.168.66.1124 9216866254Rs1GE00 5、路由接口地址规划 表90-4路由接口P地址规划表 序号设备名称 接口名称 接口地址 备注 ani119216864254/24 VLAN11的SⅥ 123 Vlanif12 192.168.65.254/24 VLAN12的S RS-1 Vlanif100 100.1.2130 VLAN100的SV RS-2 lanif13 192.1686625424 VLAN13的Sv 10.02.2/30 LAN100的SV FW-1 GE10/0 10.02.1/30 连接RS2 FW-1 GE10/1 10.0.1.1/30 连接RS-1 6、路由表规划 表9-0-5静态路由规划表 序号路由设备 的网络 下一跳地址 下一跳接 RS-1 192.168.660/24 10.0.1.1 FW1的GE1/0/1接口 2 RS-2 192168640/2310021 FW1的GE10/0接口 FW-1 192.168.66.0/24 10.0.22 RS2的VLAN100的接口地址 FW-1 192.168.64.0/23 10.0.1.2 RS1的VLAN100的接口地址 7、防火墙策略规划 90-6安全策略规划表 序号 策略名称 来源地址子网掩码目的地址厅子网掩码端口动作 visit-1 192168640/24192168660/24 允许 novisit-1 192.168.65.0/24 192.168.66.0124 六、实验内容与过程 河南中医药大学信息技术学院|网络与信息系统科研工作室 第4页

《网络应用技术》 / 实验九：防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第4页 12 RS-2 GE 0/0/1 13 Host-5 Access 13 RS-2 GE 0/0/24 100 FW-1 Access 4、规划主机 IP 地址 表 9-0-3 主机 IP 地址规划表 序号 设备名称 IP 地址 /子网掩码 默认网关 接入位置 1 Host-1 192.168.64.1 /24 192.168.64.254 SW-1 Ethernet 0/0/1 2 Host-2 192.168.64.2 /24 192.168.64.254 SW-1 Ethernet 0/0/2 3 Host-3 192.168.65.1 /24 192.168.65.254 SW-2 Ethernet 0/0/1 4 Host-4 192.168.65.2 /24 192.168.65.254 SW-2 Ethernet 0/0/2 5 Hos-5 192.168.66.1 /24 192.168.66.254 RS-1 GE 0/0/1 5、路由接口地址规划 表 9-0-4 路由接口 IP 地址规划表 序号 设备名称 接口名称 接口地址 备注 1 RS-1 Vlanif11 192.168.64.254 /24 VLAN11 的 SVI 2 RS-1 Vlanif12 192.168.65.254 /24 VLAN12 的 SVI 3 RS-1 Vlanif100 10.0.1.2 /30 VLAN100 的 SVI 4 RS-2 Vlanif13 192.168.66.254 /24 VLAN13 的 SVI 5 RS-2 Vlanif100 10.0.2.2 /30 VLAN100 的 SVI 6 FW-1 GE 1/0/0 10.0.2.1/30 连接 RS-2 7 FW-1 GE 1/0/1 10.0.1.1/30 连接 RS-1 6、路由表规划 表 9-0-5 静态路由规划表 序号 路由设备 目的网络 下一跳地址 下一跳接口 1 RS-1 192.168.66.0 /24 10.0.1.1 FW-1 的 GE1/0/1 接口 2 RS-2 192.168.64.0 /23 10.0.2.1 FW-1 的 GE1/0/0 接口 3 FW-1 192.168.66.0 /24 10.0.2.2 RS-2 的 VLAN100 的接口地址 4 FW-1 192.168.64.0 /23 10.0.1.2 RS-1 的 VLAN100 的接口地址 7、防火墙策略规划 9-0-6 安全策略规划表 序号 策略名称 来源地址 /子网掩码 目的地址 /子网掩码 端口 动作 1 visit-1 192.168.64.0 /24 192.168.66.0 /24 any 允许 2 novisit-1 192.168.65.0 /24 192.168.66.0 /24 any 拒绝 六、实验内容与过程

《网络应用技术》/实验九:防火墙的应用 任务一:部署并配置网络 任务介绍 在εNSP中部署网络,并对主机、交换机、路由交换机进行配置,此处不 对防火墙进行配置。 步骤1:在eNSP中部署网络 部署后的拓扑如9-21所示 Host-5 RS-2 GE0/0/24 v1anif13:192.168.66.254/24 Vlanif108:10..2.2/38 GE1/0 FW-1 E1/8/8:18.9.2.1/3 GE1/8/1:10.8.1.1/38 RS-1 v1anif11:192.168.64.254/24 GE0/0/1 Ⅵanif12:192.168.65.254/24 Vlanif18:10.9.1.2/ GE00/23 GE0/0/24 SW-1 GE00/1 Host-2 图9-1-1在eNsP中的网络拓扑图 步骤2:配置主机Host-1-Host-5 启动主机Host-1~Host-5,根据前面实验规划中关于主机|P地址的规划,完成Host-1~Host 5的P地址等参数的配置。 具体操作略 步骤3:配置交换机SW-l~SW-2 在本任务中,交换机SW-1、SW2均为默认配置,此处无需配置 步骤4:配置路由交换机RS-1 按照实验规划,配置路由交换机RS-1 【要求】 将RS-1的配置过程,写入实验报告。 河南中医药大学信息技术学院|网络与信息系统科研工作室

《网络应用技术》 / 实验九：防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第5页 任务一：部署并配置网络 任务介绍 在 eNSP 中部署网络，并对主机、交换机、路由交换机进行配置，此处不 对防火墙进行配置。 步骤 1：在 eNSP 中部署网络 部署后的拓扑如 9-2-1 所示。 步骤 2：配置主机 Host-1~Host-5 启动主机 Host-1～Host-5，根据前面实验规划中关于主机 IP 地址的规划，完成 Host-1～Host- 5 的 IP 地址等参数的配置。 具体操作略。 步骤 3：配置交换机 SW-1~SW-2 在本任务中，交换机 SW-1、SW-2 均为默认配置，此处无需配置。 步骤 4：配置路由交换机 RS-1 按照实验规划，配置路由交换机 RS-1。 【要求】 将 RS-1 的配置过程，写入实验报告。 图 9-1-1 在 eNSP 中的网络拓扑图