本书为“防火墙技术及应用”课程的配套实验指导教材。全书分为5章,分别介绍防火墙基本配置、防火墙网络部署、防火墙基本应用、防火墙**应用,以及防火墙复杂场景实践。本书向读者提供贴近真实场景的实验环境,协助读者理解防火墙的技术与应用。 本书由奇安信集团联合高校针对网络空间**专业的教学规划组织编写,既适合作为网络空间**、信息**等专业的本科生实验教材,也适合作为网络空间**研究人员的基础读物。

第5章防火墙复杂场景实践
通过前四章的实验掌握防火墙的配置、管理和应用,本章为防火墙综合实验,将综合上述技能完成防火墙的配置、管理与应用,对上述所掌握的技能进行检验。
【实验目的】
综合运用所学防火墙相关知识,完成防火墙设备部署、配置时的常用操作,例如网关双出口配置、静态路由策略、源NAT策略、OSPF路由、关键字配置及应用、黑白名单、攻击防护等相关配置,实现内网用户通过防火墙访问外网Web服务器、带宽控制、访问控制、攻击防护等**功能。
【知识点】
路由、源NAT、OSPF、关键字、黑名单、白名单、端口、扫描、网关、**域、**策略。
【场景描述】
A公司因业务增加,于某地设立研发分部,指派**运维工程师为研发分部的信息系统部署防火墙,研发分部申请了两个外网接口,通过对防火墙的黑白名单、外网接口路由OSPF配置、**防护策略等进行配置,实现防火墙达到日常基本运行状态,保证内部主机正常访问外部网站、实现基本**防护和带宽控制等功能。请帮助**运维工程师配置防火墙。
【实验原理】
在防火墙课程设计中,需要综合运用防火墙的策略配置、对象配置、网络配置等功能项,实现对防火墙内部信息系统的**防护,并通过黑白名单、防护策略等规则策略的综合运用,实现信息系统内部的访问控制、带宽控制等功能。
【实验设备】
 **设备: 防火墙设备1台。
 网络设备: 路由器2台,二层交换机1台。
 主机终端: Windows Server 2003 SP2主机3台,Windows XP主机1台,Windows 7主机2台。
【实验拓扑】
实验拓扑如图51所示。
图51防火墙复杂场景实验拓扑
【实验思路】
(1) 配置防火墙接口和**域。
(2) 配置对象管理。
(3) 配置基本**策略。
(4) 配置源NAT转换。
(5) 配置静态路由。
(6) 配置OSPF。
(7) 配置关键字组。
(8) 配置**配置文件。
(9) 在基本**策略中引用**防护策略。
(10) 内网主机可访问外网Web服务器,并可按照配置的关键字、**防护策略等设置实现内网主机的行为控制、**防护等功能。
(11) 配置地址黑白名单,实现对指定IP地址的阻断访问。
(12) 配置攻击防护策略,使得外网主机扫描防火墙外网IP地址时提供**防护和警告。
(13) 对内网主机进行 IPMAC绑定,设置未绑定策略,提高内网**性。
防火墙技术及应用实验指导第5章防火墙复杂场景实践【实验步骤】
(1)~(3) 登录并管理防火墙,检查防火墙的工作状态,如图52所示。
图52防火墙面板界面
(4) 配置网络接口。单击面板上方导航栏中的“网络配置”→“接口”,显示当前接口列表,单击ge2一行右侧“操作”列中的笔形标志,编辑ge2接口设置,如图53所示。
图53编辑ge2接口
(5) 在弹出的“编辑物理接口”界面中,ge2是模拟连接Internet的两个接口之一,因此“**域”设置为untrust,“工作模式”选中“路由模式”单选按钮,在“本地地址列表”中的IPv4标签栏中,单击“ 添加”按钮。
(6) 在弹出的“添加IPv4本地地址”界面中,在“本地地址”中输入ge2对应的IP地址“124.16.8.2”,“子网掩码”输入“255.255.255.0”,“类型”为float,如图54所示。
图54输入ge2对应IP地址
(7) 单击“确定”按钮,返回“编辑物理接口”界面,确认ge2接口信息是否无误。
(8) 单击“确定”按钮,返回“接口”列表中,继续单击ge3一行右侧“操作”列的笔形标志,编辑ge3接口信息。ge3接口也是模拟连接外网的两个接口之一,因此“**域”设置为untrust,“工作模式”选中“路由模式”单选按钮,在“本地地址列表”一栏中,单击IPv4一栏中的“ 添加”按钮。
(9) 在弹出的“添加IPv4本地地址”界面中,“本地地址”输入ge3对应的IP地址“125.17.9.2”,“子网掩码”输入“255.255.255.0”,如图55所示。
图55编辑ge3接口信息
(10) 单击“确定”按钮,返回“编辑物理接口”界面,确认ge3接口信息是否无误。
(11) 单击“确定”按钮,返回“接口”界面,继续单击ge4一行右侧“操作”列中的笔形标志,编辑ge4接口信息。ge4模拟研发部内部网络接口,因此“**域”设置为trust,“工作模式”选中“路由模式”单选按钮,在“本地地址列表”一栏中,单击IPv4栏中的“ 添加”按钮。
(12) 在弹出的“添加IPv4本地地址”界面中,“本地地址”输入ge4对应的内部网络IP地址“172.16.2.1”,“子网掩码”为“255.255.255.0”,“类型”设置为float,如图56所示。
图56编辑ge4接口信息
(13) 单击“确定”按钮,返回“编辑物理接口”界面,确认ge4信息是否无误。
(14) 单击“确定”按钮,返回“接口”列表界面,可查看ge2、ge3和ge4接口信息,如图57所示。
图57“接口”列表
(15) 网络接口设置完成后,进行对象配置。单击上方导航栏中的“对象配置”→“地址”→“地址”,显示当前的地址对象列表,如图58所示。
图58“地址”标签页
(16) 在本实验中,研发部网段为“172.16.2.9至172.16.2.99”,其他部门网段为“172.16.2.101至172.16.2.150”,因此在地址对象中分别添加两个网段的信息内容。单击“ 添加”按钮,在弹出的“添加地址”界面中,“名称”输入“研发部地址段”,“IP地址”输入研发部地址段范围,如图59所示。
图59添加研发部地址段对象
(17) 单击“确定”按钮,返回“地址”列表,再次单击“ 添加”按钮,添加其他部门地址段,如图510所示。
图510添加其他部门地址段
(18) 单击“确定”按钮,返回“地址”列表界面,显示添加好的两个内网地址对象,如图511所示。
图511地址对象列表
(19) 配置地址对象后,配置基础**策略。单击上方导航栏中的“策略配置”→“**策略”,显示当前的**策略列表,如图512所示。
图512“**策略”标签页
(20) 单击“ 添加”按钮,在弹出的“添加**策略”界面中,“名称”输入“内网访问外网”,“动作”选中“允许”单选按钮,“源**域”设置为trust,“目的**域”设置为untrust,“源地址/地区”设置为“研发部地址段”和“其他部门地址段”,“目的地址/地区”“服务”“应用”均设置为any,如图513所示。
图513添加基本**策略
(21) 单击“确定”按钮,返回“**策略”列表,可查看添加的**策略,如图514所示。
图514**策略列表
(22) 配置源NAT策略。单击上方导航栏中的“策略配置”→“NAT策略”→“源NAT”,显示当前的源NAT策略列表,如图515所示。
图515“源NAT”标签页
(23) 单击“ 添加”按钮,在弹出的“添加源NAT”界面中,“名称”输入“内网地址转换”,在“转换前匹配”一栏中,“源地址类型”选中“地址对象”单选按钮,“源地址”设置为“研发部地址段”和“其他部门地址段”两个对象,“目的地址类型”选中“地址对象”单选按钮,“目的地址”“服务”“出接口”均设置为any;在“转换后匹配”一栏中,“地址模式”选中“动态地址”单选按钮,“类型”设置为BY_ROUTE,如图516和图517所示。
图516配置源NAT策略
图517配置源NAT策略(转换后)
(24) 确认无误后,单击“确定”按钮,返回源NAT策略列表,可查看添加的源NAT策略,如图518所示。
图518源NAT策略列表
(25) 配置静态路由,需要分别将防火墙ge2和ge3口连接路由信息填写进去,实现快捷的地址访问。单击“网络配置”→“路由”→“静态路由”,显示当前的静态路由列表,如图519所示。
图519“静态路由”标签页
(26) 单击“ 添加”按钮,在弹出的“添加静态路由”界面中,在“目的地址/掩码”中输入“110.69.70.0/24”,“类型”选中“网关”单选按钮,“网关”中输入ge2口外接的路由器IP地址“124.16.8.1”,如图520所示。
图520添加静态路由
(27) 确认无误后,单击“确定”按钮,返回静态路由列表,继续单击“ 添加”按钮,将其他路由信息输入其中,如图521和图522所示。
图521添加静态路由信息
图522添加静态路由信息之二
(28) 添加静态路由完成后,在“静态路由”列表中,可查看添加的静态路由信息,如图523所示。
图523静态路由列表
(29) 配置OSPF,获取连接路由器的信息。单击防火墙上方导航栏中的“网络配置”→“路由”→“OSPF”,显示当前的基本配置信息,勾选“启用OSPF”复选框,在“Router ID”中输入防火墙的Router ID,本实验中使用“172.16.2.0”,并单击“确定”按钮,如图524所示。
图524启用OSPF
(30) 单击“网络配置”标签页,显示当前的网络配置列表,如图525所示。
图525“网络配置”标签页
(31) 单击“ 添加”按钮,在弹出的“添加网络配置”界面中,在“网络地址/网络掩码”中输入ge2对应的IP地址段“124.16.8.0/24”,“区域号”输入“0.0.0.0”,如图526所示。
图526添加网络配置
(32) 确认信息无误后,单击“确定”按钮,返回“网络配置”列表界面,继续单击“ 添加”按钮,将ge3对应的IP地址段“125.17.9.0”加入网络配置中,如图527所示。
图527添加网络配置之二
(33) 添加ge2和ge3对应网络信息后,可在“网络配置”列表中查看相关信息,如图528所示。
图528网络配置列表
(34) 继续单击“接口配置”,显示当前的接口配置信息列表,如图529所示。
图529“接口配置”标签页
(35) 单击“ 添加”按钮,在弹出的“添加接口配置”界面中,“三层接口”设置为ge2,“接口模式”设置为“普通”,“Cost值”和“DR选举优先级”保留默认的10和1,如图530所示。
图530添加接口配置信息
(36) 单击“确定”按钮,返回“接口配置”列表界面,继续单击“ 添加”按钮,将ge3添加到接口配置中,如图531所示。

目录 第1章防火墙基本配置1 1.1防火墙开局基本配置1 1.2局域网常见基本网络设置9 1.2.1防火墙DHCP设置实验9 1.2.2防火墙IPMAC绑定实验14 第2章防火墙网络部署22 2.1**域管理与**策略管理22 2.1.1防火墙**域管理实验22 2.1.2防火墙**策略管理实验29 2.2部署方式34 2.2.1防火墙网关单出口部署实验34 2.2.2防火墙桥接口部署实验41 2.2.3防火墙网关多出口部署实验51 2.3地址转换及IP地址管理64 2.3.1防火墙源NAT实验64 2.3.2防火墙目的NAT实验72 2.3.3防火墙地址黑名单实验82 第3章防火墙基本应用90 3.1服务及应用管理90 3.2关键字及行为管控配置97 3.2.1防火墙预设关键字管理实验97 3.2.2防火墙行为管控实验111 3.3**防护配置122 3.3.1防火墙反病毒配置实验122 3.3.2防火墙攻击防护管理实验133 3.4网络应用配置156 3.4.1防火墙IPSec VPN实验1563.4.2防火墙QoS实验174 第4章防火墙**应用192 4.1认证管理192 4.1.1防火墙**认证实验192 4.1.2防火墙CA**配置实验210 4.2**部署模式227 4.2.1防火墙网关HA主备模式部署实验227 4.2.2防火墙虚拟系统创建管理实验245 4.3数据分析273 4.3.1防火墙会话管理实验273 4.3.2防火墙日志管理实验279 第5章防火墙复杂场景实践307