实训七：防火墙的基本配置与应用 一、实训目的 了解防火墙在网络安全中的应用，掌握防火墙在网络安全中的基本应用和配置方法。 二、实验内容 1、内网中的所有计算机均可以访问外网； 2、仅允许内网中的特定一台或一个网段中的几台计算机可以访问外网； 3、外网可以访问内网中的WWW、DNS等服务器。 三、实验步骤 （一）内网中的所有计算机均可以访问外网 （1）把三层交换机4根蓝线拔出分别接到防火墙的lan模块的1、2、3、4端口， （2）用一根交叉线将防火墙的WAN1口和三层交换机的任意端口相连 （3）用交叉线将防火墙的WAN口与任意一个二层交换机的端口相连（防火墙管理主机host的网线必须连接到这个二层交换机上） （4）host的IP地址配置为192.168.10.200/24网关设置为空 （5）在光盘目录下adminCert\admin.pl2，密码：123456 （6）在IE地址栏中输入HYPERLINK"https://192.168.10.100:6666"https://192.168.10.100:6666 （7）用户名:admin密码：firewall，进入web管理页面 （8）在网络配置\接口IP中，点添加：网络接口wan1，IP：192.168.46.120，选中所有的复选框。再添加：网络接口lan，网关IP：192.168.1.254，选中所有的复选框。 （9）配置策略路由，选lan，点添加，选路由，目的地址：0.0.0.0/0.0.0.0下一跳地址为192.168.46.254此策略为让所有内部主机都能访问外网 （10）安全策略设置安全规则：通过配置特定的“包过滤规则”，默认是只有明确允许的，才能通过，其余全部是禁止的（若没有任何设置，则全部禁止）。规则检查是自上而下的，所以，比较笼统的规则应位于上面，精确的规则应置于下面。 选包过滤规则，名称自定义，源地址，目的地址，服务全为any，执行动作设置为允许。 （11）NAT规则：源地址，目的地址，服务全为any，源地址转换为192.168.46.120 （12）将NAT规则序号设置为1 （13）将内网地址配置为192.168.1.*/24网关：192.168.1.254，也可直接在管理主机上添加一个IP：192.168.1.*/24，网关：192.168.1.254， （14）可以ping192.168.1.254, 即可实现内网中的所有机器访问外网，没有任何限制 可在默认的管理主机上添加一个管理主机，IP为内网中的地址，再将内网中的一台机器IP设置为192.168.1.*/24，网关：192.168.1.254。再在URL中输入：https://192.168.1.*:6666, 要在下面加入要设为管理主机的IP 即也可进入管理主机界面，对管理主机进行管理。 （二）内网中的特定一台或几台计算机可以访问外网 （1）对象定义：地址列表，点“添加”，设置一个地址段（如名称为lan100）或单独一台主机（如名称为lan100_200）； （2）设置包过滤规则 （三）外网可以访问内网中的WWW服务器 （1）对象定义 对象定义/地址/服务器地址，点“添加”，名称设为：server100_200;IP为：192.168.1.200; （2）设置IP映射规则： 源地址：any公开地址：外网 源地址转换为：192.168.1.254 内部地址：server100_200 （3）设置端口映射规则（小规则，IP映射是大规则，不安全） 在上面（2）的基础上再增加： 对外服务：http 内部服务：http VPN的设置 第一步：在“VPN配置>>基本配置”页面，配置一些对IPSecVPN的基本设置，例如缺省IPSec 协议要求的IKE（Internet密钥交换）密钥周期，是否启用DHCPoverIPSec功能等。 第二步：在“VPN配置>>VPN端点”页面，添加远程VPN端点的基本信息，包括名称，地址方式， 认证方式，密钥数据，IKE算法模式和IKE算法组件等。 第三步：在“VPN配置>>VPN隧道”页面，添加VPN隧道，引用相应的VPN端点，设置数据包封 装协议，IPSec算法组件等信息。 第四步：如果使用基于安全策略的VPN隧道机制，在“安全策略>>安全规则”页面，添加相应规则， 引用已配置的隧道。如果想使用基于路由选择的VPN隧道机制，首先在“VPN配置>>VPN设备”页面， 添加对应于VPN隧道的VPN设备，然后在“网络配置>>策略路由”页面，添加相应的路由引用已配置 的隧道。 如果在设置VPN端点时，“认证方式”设置为“证书”方式，就必须首先通过“证书管理”目录下 的配置界面导入相应的CA（认证中心）证书、本地证书、对方证书后，才可以建立使用证书方式进行认 证。 对于“