第一步 搭建环境
两台主机,一台路由器(在路由器上安装防火墙软件)
两台主机的ip地址自己根据题意配置即可,下面讲的是路由器的配置
路由器要有两张网卡,内网卡是 net2模式,外网卡是NAT模式。
例如,上述题意要求 防火墙的ip地址(这里说的应该是外网ip),此时我们需要打开虚拟网络编辑器
例如上面说的是192.168.17.1学号,
接着按题意要求,配置各自的ip地址,然后搭建路由即可(记得在路由器上开启路由远程访问)
开始实验
第一步,在任意一台机访问
第二步,直接在路由器上安装防火墙软件ISA (一定要把前面的环境搭建好)
接下来是效果演示
打开防火墙软件
在ISA中添加第一条访问规则:内网→外网,禁止DNS。
现在测试DNS拒绝规则, 在防火墙上抓包,在任意一台主机上 使用nslookup www.baidu.com,测试能不能dns解析成功(有没有dns响应包,结果应该是没有)
测试成功:此时防火墙抓包只抓到dns请求数据包,没有dns响应数据包
现在改成允许DNS并进行测试
此时发现,不仅有请求包,也有响应包了,并且域名解析成功
分析比较这一条规则中,禁止和允许DNS两种情况下数据包的不同
在禁止DNS的情况下, 防火墙上只能抓取到内网发出的DNS请求数据包,抓取不到DNS的响应数据包。
在允许DNS的情况下,防火墙能够抓取DNS请求数据包和DNS响应数据包。
继续测试
在ISA中添加第2条访问规则:内网→外网,允许Web访问,并将第1条访问规则设置为禁止DNS。
测试:
此时访问http://www.baidu.com 是失败的。
注意,在访问http请求前,要先检查防火墙的http策略是否开启
把下列两个服务都开启
测试结果:仍然是无法访问
现在开启DNS允许继续测试
此时两个都可以
继续测试新规则
将第1条规则的内网改为host1,且允许DNS,第2条规则的内网改为host2,且允许HTTP。
因为这里没有用到第二台机,所以在用第一条规则的时候,第二条规则随便给个内网ip
现在将第一条规则的内网改为host1(当前使用的机)
再把第二条规则的内网改成host2 反正就是不要和host1 ip地址一样就可以了。 这里就不继续演示了
开始测试
发现 此时 host1 是可以域名解析的,但是不能访问http请求,因为没有http规则
而host 2虽然有http规则,但是那个ip地址会转化为百度的域名,故也访问不了
继续测试新规则
这里前两条自行修改,只演示第三条规则的设置
测试:
访问http://www.hstc.edu.cn 访问成功
访问ftp://210.38.209.164 访问成功
继续测试
访问http://www.hstc.edu.cn 访问失败
访问ftp://210.38.209.164 访问失败
测验结束