《防火墙与入侵检测技术实验》

《防火墙与入侵检测技术》

一、实验目的

1.掌握防火墙的配置过程
2.掌握NAT的应用特点
3.掌握NAT的工作过程
4.掌握域内安全策略
5.掌握策略匹配机制

二、拓扑设计

三、实验设备

1.六台终端设备
2.两台交换机（型号：S5700、S3700）
3.一台防火墙（型号：USG5500）

四、实验要求

1.PC2不能访问server1
2.除了PC2无法server1，192.168.0.0/24网段可以访问server1
3.建立域内安全策略，使192.168.0.0/24网段无法与192.168.1.0/24网段进行通信
4.Untrust区计算机可以访问dmz区服务器
5.Trust区192.168.0.0/24网段可以访问的dmz区服务器，但192.168.1.0/24网段不能访问dmz区服务器
6.PC1访问PC3时进行地址转换，并分析转换过程

五、实验步骤及结果分析

一、配置pc、Server和Client

配置防火墙端口
[SRG]interface GigabitEthernet 0/0/0
[SRG-GigabitEthernet0/0/0]ip address 192.168.0.254 24
[SRG-GigabitEthernet0/0/0]q
[SRG]interface GigabitEthernet 0/0/1
[SRG-GigabitEthernet0/0/1]ip address 172.16.0.254 24
[SRG-GigabitEthernet0/0/1]q
[SRG]interface GigabitEthernet 0/0/2
[SRG-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[SRG-GigabitEthernet0/0/2]q
[SRG]interface GigabitEthernet 0/0/3
[SRG-GigabitEthernet0/0/3]ip address 192.168.100.254 24

二、
1、PC2不能访问server1
2、除了PC2无法server1，192.168.0.0/24网段可以访问server1

先把防火墙的各个端口加进对应的区域，G0/0/0和G0/0/2是在trust区的，G0/0/1是在untrust区的，G0/0/3是在dmz区内的

[SRG]firewall zone trust
[SRG-zone-trust]add interface GigabitEthernet 0/0/0
[SRG-zone-trust]add interface GigabitEthernet 0/0/2
[SRG-zone-trust]q
[SRG]firewall zone untrust
[SRG-zone-untrust]add interface GigabitEthernet 0/0/1
[SRG-zone-untrust]q
[SRG]firewall zone dmz
[SRG-zone-dmz]add interface GigabitEthernet 0/0/3

配置安全策略，。先配置pc2不能访问Server1.拒绝pc2的ip地址访问，再放通192.168.0.0这个网段
[SRG]policy interzone trust untrust outbound
[SRG-policy-interzone-trust-untrust-outbound]policy 1
[SRG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.0.100 0
[SRG-policy-interzone-trust-untrust-outbound-1]action deny
[SRG-policy-interzone-trust-untrust-outbound-1]q
[SRG-policy-interzone-trust-untrust-outbound]policy 3
[SRG-policy-interzone-trust-untrust-outbound-3]policy source 192.168.0.0 mask 25
5.255.255.0
[SRG-policy-interzone-trust-untrust-outbound-3]action permit

Ping命令验证实验结果
（1）pc2不能访问server1

（2）192.168.0.0/24网段可以访问server1

三、
3、建立域内安全策略，使192.168.0.0/24网段无法与192.168.1.0/24网段进行通信
建立域内安全策略，使192.168.0.0/24网段不可以ping通192.168.1.0/24网段。
因为同一个区域内的是可以ping通的，要让ping不通，在trust区内建立安全策略，禁止192.168.0.0网段
[SRG]policy zone trust
[SRG-policy-zone-trust]policy 4
[SRG-policy-zone-trust-4]action deny
[SRG-policy-zone-trust-4]policy source 192.168.0.0 mask 255.255.255.0

实验结果验证：

四、Untrust区计算机可以访问dmz区服务器
开放untrust区到dmz区的通信
[SRG]firewall packet-filter default permit interzone dmz untrust direction inbound

实验结果验证：

五、
5、Trust区192.168.0.0/24网段可以访问的dmz区服务器，但192.168.1.0/24网段不能访问dmz区服务器
trust区192.168.0.0/24网段可以访问dmz区服务器，而192.168.1.0/24网段不能访问
先把trust区到dmz区放通，再配置策略
[SRG]firewall packet-filter default permit interzone trust dmz direction outbound
[SRG]policy interzone trust dmz outbound
[SRG-policy-interzone-trust-dmz-outbound]policy 6
[SRG-policy-interzone-trust-dmz-outbound-6]action permit
[SRG-policy-interzone-trust-dmz-outbound-6]policy source 192.168.0.0 mask 255.255.255.0
[SRG-policy-interzone-trust-dmz-outbound-6]q
[SRG-policy-interzone-trust-dmz-outbound]policy 7
[SRG-policy-interzone-trust-dmz-outbound-7]action deny
[SRG-policy-interzone-trust-dmz-outbound-7]policy source 192.168.1.0 mask 255.255.255.0

实验结果验证：
trust区192.168.0.0/24网段可以访问dmz区服务器

trust区192.168.1.0/24网段不可以访问dmz区服务器

六、PC1访问PC3时进行地址转换，并分析转换过程
[SRG]nat address-group 1 2.2.2.2 2.2.2.5
[SRG]nat-policy interzone trust untrust oubound
[SRG-nat-policy-interzone-trust-untrust-outbound]policy 7
[SRG-nat-policy-interzone-trust-untrust-outbound-7]action source-nat
[SRG-nat-policy-interzone-trust-untrust-outbound-7]policy destination 172.16.0.3 0.0.0.255
[SRG-nat-policy-interzone-trust-untrust-outbound-7]address-group 1
[SRG-nat-policy-interzone-trust-untrust-outbound-7]policy source 192.168.0.2 0.0.0.255

查看nat转换情况：