1、使用防火墻實現(xiàn)安全的訪問控制實驗名稱使用防火墻實現(xiàn)安全的訪問控制實驗目的利用防火墻的安全策略實現(xiàn)嚴格的訪問控制背景描述某企業(yè)網(wǎng)絡的出口使用了一臺防火墻作為接入Internet的設備，現(xiàn)在需要使 用防火墻的安全策略實現(xiàn)嚴格的訪問控制，以允許必要的流量通過防火墻，并且 阻止到Internet的未授權的訪問。企業(yè)內(nèi)部網(wǎng)絡使用的地址段為/24。公司經(jīng)理的主機IP地址為 00/24，設計部的主機 IP 地址為 01/2403/24，其它員 工使用/249/24范圍內(nèi)的地址。并且公司在公網(wǎng)上有一臺IP地 址為的外部FTP服務器?，F(xiàn)在需要在防火墻上進行訪問控制，使經(jīng)理的主機可以訪問Internet中的Web

2、服 務器和公司的外部FTP服務器，并能夠使用郵件客服端(SMTP/pop3)收發(fā)郵 件：設計部的主機可以訪問Internet中的Web服務器和公司的外部FTP服務器; 其它員工的主機只能訪問公司的外部FTP服務器。如下圖所示為本實驗的網(wǎng)絡 拓撲結構圖經(jīng)理設計部其他員工00/2401/24/2403/249/24實驗設備防火墻連接到Internet的鏈路，這里我們用到信息樓網(wǎng)絡段/24 的網(wǎng)絡段，其網(wǎng)關為54，這樣我們也可以通過此鏈路上網(wǎng)。銳捷wall 60防火墻1臺PC機2至0 3臺，2臺時要更改一下ip就可以了。FTP服務器，可以直接找Internet網(wǎng)上的一臺，也可自己配置一臺ftp服務器

3、 模擬Internet上的ftp服務器。預備知識網(wǎng)絡基礎知識防火墻工作原理：包過濾，另外防火墻一般是串聯(lián)在網(wǎng)絡中，這和IDS （入 侵檢測）不一樣，入侵檢測是串聯(lián)在網(wǎng)絡中。實驗原理實現(xiàn)訪問控制是防火墻的基本功能，防火墻的安全策略（包過濾規(guī)則）可以 根據(jù)數(shù)據(jù)包的原IP地址、目的IP地址、服務端口等對通過防火墻的報文進行過 濾。實驗步驟驗證測試加了規(guī)則后，對于規(guī)則中允許的服務可以訪問，對于規(guī)則中不允許的服務不可 以訪問。問題及其解決方案1、通過默認的管理主機IP登入防火墻，并重新設置管理主機后，再次登入防火 墻時不能登了。解決方案：重新設置后如果設置lan 口為登陸口，那么管理主機要接入到lan

4、口，同時注意管理主機的ip地址要設置正確，注意設置是否允許管理主機ping lan接口或允許管理主機的流量的包過濾規(guī)則。如果沒有這些規(guī)則那么要加上 去。如果實在登不進去可以重啟防火墻，具體的辦法是用console線登入防火 墻重新啟動就可以恢復配置，也可以看說明書清除配置。2、加了規(guī)則后為什么還是不起作用，如下圖所示，從2后的規(guī)則對 /24 段的網(wǎng)絡不起效序號麒則名疆增址目的地址類型 1sh：ang?B,arLginsi deanyany職T規(guī) 2p2-iod. i. i.oany：=iiLy 3m：=LrLager_ht.tp100. 1. 1.105anyhttp 4p31.9i 168 Jo3. 0any:my 5m：=iiLager_diiE100. 1. 1.105anydns 6employee_http100. 1.1.10&anyhttp原理：因為防火墻是采用包過濾機制，規(guī)貝0的順序很重要，序號越靠前的規(guī)則越先匹配， 如果某條規(guī)則匹配上了，防火墻就不會再對后面的規(guī)則進行匹配了。所以上圖中除了第一條 規(guī)