《防火墙及应用技术》实验教案(推荐)由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“实验防火墙技术实验”。
《防火墙及应用技术》实验教案
目 录
实验一 了解各类防火墙·································1 实验二 配置Windows 2003防火墙·························5 实验三 ISA服务器管理和配置·······························8 实验四 锐捷防火墙安装····································10 实验五 通过CONSOLE口命令防火墙配置管理··················12 实验六WEB 界面进行锐捷防火墙配置管理····················14 实验七 架设如下拓朴结构··································19
实验一 了解各类防火墙
一、实验目的和要求
1、了解防火墙一些概念与常识
2、熟悉个人防火墙
3、学会使用几种常见的防火墙的使用
二、实验任务
1、在Internet网上分别查找有关各类防火墙。
2、了解各类防火墙
三、实验指导或操作步骤
1.ZoneAlarm(ZA)
这是Zone Labs公司推出的一款防火墙和安全防护软件套装,除了防火墙外,它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的版本相比,新产品现在能够支持专家级的规则制定,它能够让高级用户全面控制网络访问权限,同时还具有一个发送邮件监视器,它将会监视每一个有可能是由于病毒导致的可疑行为,另外,它还将会对网络入侵者的行动进行汇报。除此之外,ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点,即使是刚刚出道的新手也能够很容易得就掌握它的使用。说明:
(1)安装程序会自动查找已安装的 ZoneAlarm Pro 路径。
(2)如果已经安装过该语言包,再次安装前请先退出 ZA。否则安装后需要重新启动。
(3)若尚未安装 ZA,在安装完 ZA 后进行设置前安装该语言包即可,这样以后的设置将为中文界面。
(4)ZA 是根据当前系统的语言设置来选择相应语言包的,如果系统语言设置为英文,则不会调用中文语言包。
(5)语言包不改动原版任何文件,也适用于和 4.5.594.000 相近的版本。如果需要,在卸载后可还原到英文版。
(6)有极少量英文资源在语言包里没有,故无法汉化。如检查升级时的提示窗口、警报信息中的“Port”。
下载地址: http://www.daodoc.com/index.asp?rskey=B1B8JXCS
实验二 配置Windows 2003防火墙
一、实验目的和要求
1、了解防火墙一些概念与常识
2、学会配置Windows 2003防火墙
二、实验任务
1、配置Windows 2003防火墙。
2、了解防火墙
三、实验指导或操作步骤
Windows 2003提供的防火墙称为Internet连接防火墙,通过允许安全的网络通信通过防火墙进入网络,同时拒绝不安全的通信进入,使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
在Windows 2003服务器上,对直接连接到 Internet 的计算机启用防火墙功能,支持网络适配器、DSL 适配器或者拨号调制解调器连接到Internet。1.启动/停止防火墙
(1)打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对话框。
(2)单击“高级”选项卡,出现如图1启动/停止防火墙界面。如果要启用 Internet 连接防火墙,请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙,请清除以上选择。
2.防火墙服务设置
Windows 2003 Internet连接防火墙能够管理服务端口,例如HTTP的80端口、FTP的21端口等,只要系统提供了这些服务,Internet连接防火墙就可以监视并管理这些端口。
(1)标准服务的设置
我们以Windows 2003服务器提供的标准Web服务为例(默认端口80),操作步骤如下:在图1所示界面中单击[设置]按钮,出现如图2所示“服务设置”对话框;在“服务设置”对话框中,选中“Web服务器(HTTP)”复选项,单击[确定]按钮。设置好后,网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。
图1
图2
注:您可以根据Windows 2003服务器所提供的服务进行选择,可以多选。常用标准服务系统已经预置在系统中,你只需选中相应选项就可以了。如果服务器还提供非标准服务,那就需要管理员手动添加了。
(2)非标准服务的设置
我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中,单击[添加]按钮,出现“服务添加”对话框,在此对话框中,填入服务描述、IP地址、服务所使用的端口号,并选择所使用的协议(Web服务使用TCP协议,DNS查询使用UDP协议),最后单击[确定]。设置完成后,网络用户可以通过8000端口访问相应的服务,而对没有经过授权的TCP、UDP端口的访问均被隔离。
3.防火墙安全日志设置
在图2“服务设置”对话框中,选择“安全日志”选项卡,出现“安全日志设置”对话框,选择要记录的项目,防火墙将记录相应的数据。日志文件默认路径为C:WindowsPfirewall.log,用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式,可以用常用的日志分析工具进行查看分析。
Internet 连接防火墙小结: Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,从而提高Windows 2003服务器的安全性。同时,它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
实验三 ISA服务器管理和配置
一、实验目的和要求
(1)了解ISA一些概念与常识(2)熟悉ISA使用环境(3)学会管理和配置ISA服务器
二、实验任务
ISA服务器中的可扩展的企业防火墙配置。
三、实验指导或操作步骤
概要: 本文介绍如何安装 Internet Security and Acceleration(ISA)Server 并将其配置为防火墙。要将 ISA Server 架构安装到 Active Directory,您必须是本地计算机上的管理员。此外,您还必须同时是 Enterprise Admins 和 Schema Admins 两个组的成员。您必须为整个企业或组织将 ISA Server 架构一次性地安装到 Active Directory。(注意:企业初始化进程会将 ISA Server 架构信息复制到 Active Directory。由于 Active Directory 不支持架构对象的删除,因此企业初始化进程是不可逆的。)
1、要将 ISA Server 安装为防火墙,请按照下列步骤操作:
(1)单击开始,单击运行,在打开文本框中键入 cmd,然后单击确定。
(2)在命令提示符处,键入 PathISAi386Msisaent.exe(其中 Path 是指向 ISA Server 安装文件的路径)。请注意,该路径可能是 ISA Server 光盘的根文件夹,也可能是网络上包含 ISA Server 文件的共享文件夹。
(3)单击 Microsoft ISA Server 安装对话框中的继续。
(4)阅读最终用户许可协议(EULA),然后单击我同意。
(5)根据需要,选择其中一个安装选项。
(6)单击“防火墙模式”,然后单击继续。
(7)在系统提示您允许安装程序停止 Internet 信息服务(IIS)时,单击确定。
(8)要自动构建 Internet 协议(IP)地址,请单击建立表,单击与您的服务器相连的网卡,然后单击确定。
(9)单击确定启动配置向导。
2、如何配置防火墙保护,请按照下列步骤操作:
(1)单击开始,指向程序,指向 Microsoft ISA Server,然后单击 ISA 管理。
(2)在控制台树中,单击以展开 server_name访问策略(其中 server_name 是服务器的名称),右键单击 IP 数据包筛选器,指向新建,然后单击筛选器。
(3)在“IP 数据包筛选器名称”框中,键入要筛选的数据包的名称,然后单击下一步。
(4)单击允许或阻止以允许或阻止该数据包,然后单击下一步。
(5)接受预定义选项,然后单击下一步。
(6)单击选项为应用数据包筛选器选择您所希望的方式,然后单击下一步。
(7)单击远程计算机,然后单击下一步。
(8)单击完成。
实验四 锐捷防火墙安装
一、实验目的和要求
(1)了解锐捷防火墙一些概念与常识(2)熟悉锐捷防火墙使用环境注意事项(3)锐捷防火墙安装注意事项
二、实验任务
锐捷防火墙安装。
三、实验指导或操作步骤
1.安全使用注意事项
本章列出各条安全使用注意事项,请仔细阅读并在使用RG-WALL 60 防火墙过程中严格执行。这将
有助于您更安全地使用和维护您的防火墙。
(1)您使用的RG-WALL 60 防火墙采用220V 交流电源,请确认工作电压并且务必使用三芯带接地
电源插头和插座。良好地接地是您的防火墙正常工作的重要保证。(2)为使防火墙正常工作,请不要将其放置于高温或者潮湿的地方。
(3)请不要将防火墙放在不稳定的桌面上,万一跌落,会对防火墙造成严重损害。
(4)请保持室内通风良好并保持防火墙通气孔畅通。
(5)为减少受电击的危险,在防火墙工作时不要打开外壳,即使在不带电的情况下,也不随意打
(6)清洁防火墙前,请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙,不能用液体清洗防火墙。2.检查安装场所
RG-WALL 60防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:
(1)确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。(2)确认机柜和工作台自身有良好的通风散热系统。
(3)确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。(4)确认机柜和工作台的良好接地。
为保证防火墙正常工作和延长使用寿命,安装场所还应该满足下列要求。2.1 温度/湿度要求
为保证RG-WALL 60防火墙正常工作和使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害防火墙的电路。温度过高则危害更大,长期高温将加速绝缘材料的老化过程,使防火墙的可靠性大大降低,严重影响其寿命。2.2 洁净度要求
灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上,可以造成静电吸附,使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。除灰尘外,机房内应防止有害气体(如SO2、H2S、NH3、Cl2 等)的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。2.3 抗干扰要求
防火墙在使用中可能受到来自系统外部的干扰,这些干扰通过电容/电感耦合,电磁波辐射,公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。为此应注意以下条件:
(1)交流供电系统为TN系统,交流电源插座应采用有保护地线(PE)的单相三线电源插座,使设备上滤波电路能有效的滤除电网干扰。
(2)防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。(3)电缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏。3.安装
RG-WALL 60 防火墙可以放置在桌面上,也可以放在标准的19 英寸机架上。安放在桌面上不需要特别的操作,安放在机架上时需要自备螺丝刀,螺钉在包装箱中。4.加电启动
防火墙启动步骤如下:
(1)请将防火墙安装在机架上或放在一个水平面上。(2)确认防火墙电源是关闭的。(3)连接电源线。
(4)防火墙可以通过网口用网线连接管理主机,也可通过串口线连接管理主机进而用超级终端管理防火墙。
(5)接通电源,按下防火墙上的电源开关,置于ON 状态,防火墙加电启动。(6)橙黄色的状态灯(Status)开始闪烁,表示启动成功。防火墙启动成功以后,请通过CONSOLE 口命令行或者WEB 浏览器方式管理防火墙,具体方法请参考以下相关章节。如果防火墙未正常启动,请按以上步骤进行检查,如仍无法解决问题,请您联系供应商相关技术支持人员。
实验五 通过CONSOLE口命令防火墙配置管理
一、实验目的和要求
(1)了解锐捷防火墙CONSOLE口命令(2)熟悉锐捷防火墙使用环境注意事项(3)CONSOLE口命令进行锐捷防火墙配置管理
二、实验任务
命令配置管理锐捷防火墙。
三、实验指导或操作步骤
1.选用管理主机 要求该主机具备:
(1)空闲的RS232 串口5(2)有超级终端软件。比如Windows 系统中的“超级终端”连接程序。2.连接防火墙
利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE,启动超级终端工具,以Windows 自带“超级终端”为例:点击“开始--> 所有程序--> 附件--> 通讯--> 超级终端”,选择用于连接的串口设备,定制通讯参数:(1)每秒位数:9600;(2)数据位:8;(3)奇偶校验:无;(4)停止位:1;
(5)数据流控制:无;
提示:对于Windows 自带“超级终端”,选择“还原默认值”即可。3.登录CLI 界面
连接成功以后,提示输入管理员账号和口令时,输入出厂默认账号“admin”和口令“firewall”即可
进入登录界面,注意所有的字母都是小写的实验六WEB 界面进行锐捷防火墙配置管理
一、实验目的和要求
(1)熟悉锐捷防火墙使用环境注意事项(2)WEB 界面进行锐捷防火墙配置管理
二、实验任务
WEB 界面配置管理锐捷防火墙。
三、实验指导或操作步骤
1.选用管理主机
要求具有以太网卡、USB 接口和光驱,操作系统可以为Window98/2000/XP 中的任意一种,管理主机IE 建议为5.0 以上版本、文字大小为中等,屏幕显示建议设置为1024×768。2.安装认证驱动程序
在第一次使用电子钥匙前,需要先按照电子钥匙的认证驱动程序。插入随机附带的驱动光盘,进入光盘Ikey Driver目录,双击运行INSTDRV 程序,选择“开始安装”,随后出现安装成功的提示,选择“退出”。切记:安装驱动前不要插入usb 电子钥匙。3.安装USB 电子钥匙
在管理主机上插入usb 电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows 兼容性测试,选择“仍然继续”即可,如长时间(如约3 分钟)无反映,请拔下usb 电子钥匙,重启系统后再试一次,如仍无法解决,请您联系技术支持人员。4.连接管理主机与防火墙
利用随机附带的网线直接连接管理主机网口和防火墙WAN 网口(初始配置,只能将管理主机连接在防火墙的WAN 网口上),把管理主机IP 设置为192.168.10.200,掩码为255.255.255.0。在管理主机运行ping 192.168.10.100 验证是否真正连通,如不能连通,请检查管理主机的IP(192.168.10.200)是否设置在与防火墙相连的网络接口上。强烈建议该网口不要绑定其他IP,并且使用交叉线直接连接防火墙。5.认证管理员身份
第一、插入电子钥匙。
第二、运行Admin Auth目录中的ikeyc 程序,提示输入用户pin,输入12345678 即可。此时电子钥匙中存储的默认防火墙IP 地址为192.168.10.100,认证端口为9999。如果认证成功,将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证,可以对防火墙进行配置管理了。如果出现其他错误,请检查网络连接、pin 码是否输入错误等。6.登录防火墙WEB 界面
运行IE 浏览器,在地址栏输入https://192.168.10.100:6667,等待约20 秒钟会弹出一个对话框提示接受证书,选择确认即可。系统提示输入管理员帐号和口 令。缺省情况下,管理员帐号是admin,密码是:firewall。7.WEB 界面配置向导
配置向导仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能,此向导涉及最基本的配置,安全性很低,因此管理员应在此基础上对防火墙细化配置,才能保证防火墙拥有正常有效的网络安全功能。首次使用WEB 界面进行配置,需将管理主机的IP 地址设为192.168.10.200,在IE 地址栏中输入:https://192.168.10.100:6667。登录防火墙以后,点击,开始防火墙的配置。(1)修改超级管理员admin 的密码,超级管理员的密码默认是:firewall。(2)选择防火墙lan 和wan 接口的工作模式,防火墙的接口默认都是工作在路由模式
(3)配置防火墙的IP 地址,建议至少设置一个接口上的IP 能用于管理,否则,完成初始配置后无法用WEB 界面管理防火墙。(说明:若lan、wan 都是混合模式,则lan 的地址必须配置,wan 的地址可以不配)
(4)配置默认网关,如果希望防火墙能上互联网,则必须配置默认网关,否则,可以直接跳过本界
面,配置下一个界面。(若防火墙的两个网口都是混合模式,可以不配默认网关)(5)配置管理主机,管理主机必须与防火墙IP 在同一网段。如果想通过防火墙ip:192.168.0.1 来管理防火墙,则可以设置管理主机IP:192.168.0.100。
(6)添加一条允许的安全规则,如果在界面上不填写源地址和目的地址,则会允许所有的访问,建议在网络调试通畅后,删除该规则。
(7)设置管理方式,如果希望用h 远程登录来管理防火墙,需要选中“远程SSH 管理”,否则,可以跳过本界面。
(8)如果不需要更改界面上显示的配置信息,单击“完成”。以上配置将立即生效。防火墙的初始配置。并根据提示重新登录防火墙。如果需要保存该配置,请点击WEB 界面上的“保存配置”。
实验七 架设如下拓朴结构
一、实验目的和要求
(1)熟悉使用锐捷防火墙架设网络(2)进行锐捷防火墙配置管理
二、实验任务
使用锐捷防火墙架设网络。
三、实验指导或操作步骤
架设如下拓朴结构
配置要求如下:(1)子网A的安全级别高,仅能在工作时间访问Internet 和DMZ 区的服务器,IP 地址为:192.168.1.0。
(2)子网B可以在任何时候访问Internet,但是仅能工作时间使用内部服务器的FTP功能,IP 地址为192.168.2.0, 子网B用户能够使用Internet 的HTTP 服务。
(3)DMZ 区服务器的IP 地址为192.168.3.0,路由器内部地址为92.168.4.254,外部地址为202.106.44.233。子网A用户能够使用Internet 的HTTP 和FTP服务。
管理证书安装
1.进入认证
2.导入文件
3.输入认证密码
4.证书存储
5.完成证书安装
登陆防火墙
1.配置本机ip为192.168.10.200
2.将默认管理主机的网口用交叉连接的以太网线(两端线序不同)与防火墙的WAN 口连接,管理主机的IE 版本必须是5.5 及以上版本,如果是电子钥匙认证,在浏览器中输入https://192.168.10.100:6666,如果是证书认证,则输入https://192.168.10.100:6666,登录后弹出下面的登录界面:
3.输入用户:admin、密码: firewall
4.成功登陆防火墙
配置防火墙
初始化防火墙:
有串口线级联防火墙,使用命令syscfg reset 添加管理主机
添加lan ip地址
添加wan1 ip地址
添加dmz ip地址
网络配置-接口ip配置
添加规则
测试防火墙
用lan 管理主机
Ping 防火墙lan断口
Ping 防火墙外网网口222.17.244.125
