天理网络安全实验1

计算机与通信工程学院天津理工大学计算机与通信工程学院实验报告2014至2015学年第二学期课程名称网络安全姓名吕帅霖20125872专业网络工程年级2012实验（1）实验名称防火墙配置实验时间2015年5月5日第6节至第7节主讲教师唐召东辅导教师唐召东分组人员及各自完成工作刘琪琪20125871PC1配置郭云浩20125867PC2配置王博20125877PC3配置王天杰20125878PC4配置计算机与通信工程学院2软件环境1.本实验所需实验设备如下：（1）PC：4台有以太网接口和COM口的PC（2）线缆：普通网线4根，Console线缆一根（3）防火墙：DPtech_UTM2000统一威胁管理设备一台硬件环境1.本实验所需实验设备如下：（1）PC：4台有以太网接口和COM口的PC（2）线缆：普通网线4根，Console线缆一根（3）防火墙：DPtech_UTM2000统一威胁管理设备一台实验目的1.了解防火墙的常用功能和配置2.了解防火墙的两种配置方式3.掌握ASPF的面向对象ACL的配置4.加深理解防火墙中安全域的概念实验内容（应包括实验题目、实验要求、实验任务等）本实验拓扑图如图1所示：图1实验环境搭建3．实验功能要求：计算机与通信工程学院3通过对DPtech_UTM2000进行配置，实现如下的功能：（1）Trust域（PC1）和Untrust域（PC2）的机器都能访问DMZ域(如PC3)的FTP服务器，但不能访问DMZ区的其它服务（通过ping命令测试）。（2）DMZ域的用户（如PC3）不能获得Trust域和Untrust域所提供的任何服务。（用ping命令测试）。（3）Untrust域的用户（如PC2）不能获得Trust域任何机器（如PC1）所提供的服务。实验过程与实验结果（可包括实验实施的步骤、算法描述、流程、结论等）四、实验过程：步骤1:组网并架设FTP服务器1.组网按图1把各PC、FTP服务器与防火墙连接起来,由于DPtech设备默认7号口为管理口，因此连接方法为：（1）用网线连接PC0的网口和防火墙的第7个接口（eth0_7）；（2）用网线连接PC1的网口和防火墙的第6个接口（eth0_6）；（3）用网线连接PC2的网口和防火墙的第5个接口（eth0_5）；（4）用网线连接PC3的网口和防火墙的第4个接口（eth0_4）。2．设置各PC的IP地址和网关地址（1）配置PC0的IP地址和网关：PC0的IP为192.168.0.2；网关为192.168.0.1。（2）配置PC1的IP地址和网关：PC1的IP为192.168.1.2；网关为192.168.1.1。（3）配置PC2的IP地址和网关：PC2的IP为192.168.2.2；网关为192.168.2.1。（4）配置PC3的IP地址和网关：PC3的IP为192.168.3.2；网关为192.168.3.1。配置如图2所示，注意：完成配置后，四台PC之间应该是相互ping不通的状态。计算机与通信工程学院4图2计算机本地网卡IP地址配置（PC0）3.架设FTP服务器（1）在PC3上安装FTPServer软件3CDaemon，安装完毕后，创建FTP用户，并设置FTP用户的目录。如图3所示：图3FTP服务器的配置（2）选择“开始”——“管理工具”——“Internet信息服务”中的“默认FTP站点”，计算机与通信工程学院5并关闭之，防止两个FTP服务发生冲突，如下图所示：图4关闭本机自带的FTP服务（3）验证FTP服务器是否正常启动，在浏览器地址栏输入，如果打开的页面是设置的文件夹目录，即说明配置成功，如图5所示：图5验证FTP服务器配置结果步骤2:登录Web网络管理界面计算机与通信工程学院6在PC上启动浏览器，在地址栏中输入IP地址“192.168.0.1”后回车，即可进入设备的Web登录页面，如图6所示。输入用户名“admin”、密码“admin”和验证码登录系统。登录成功后可以看到如图7所示的界面。图6WEB管理界面登录窗口图7WEB管理系统主界面步骤3:设置防火墙各接口的IP地址在主界面中，依次选择【基本】=【网络管理】=【接口管理】=【组网配置】即可进入配置界面，并依次对eth0_4、eth0_5、eth0_6做以下处理：eth0_4:选择【静态IP】，主地址填写“192.168.3.1”，然后直接点【确定】eth0_5:选择【静态IP】，主地址填写“192.168.2.1”，然后直接点【确定】eth0_6:选择【静态IP】，主地址填写“192.168.1.1”，然后直接点【确定】完成配置后的以太网口配置应为图8所示的结果。计算机与通信工程学院7图8防火墙以太网端口配置步骤4:把防火墙各接口加入到不同的域中在主界面中，依次选择【基本】=【网络管理】=【网络对象】=【安全域】即可进入安全域配置界面，并依次建立如下的安全域：(1)eth0_6划分到“Trust”域中(2)eth0_5划分到“Untrust”域中(3)eth0_4划分到“DMZ”域中直接点击【端口】，然后将对应的以太网口挑勾，即可完成配置，配置过程如下图所示：图9配置安全域的过程完成配置后，配置情况应该如图10所示。图10配置完成后安全域此时，再次执行ping命令，应为如下表所示的结果：PC号Ping命令执行结果PC1可以ping通PC2、PC3PC2无法ping通任何机器PC3可以ping通PC2，无法ping通PC1计算机与通信工程学院8步骤5:配置地址对象在主界面中，依次选择【基本】=【网络管理】=【网络对象】=【IP地址】=【地址对象】即可进入如图11所示的地址对象配置界面。图11地址对象配置界面在这之中，对eth0_4、eth0_5、eth0_6的IP地址段进行如下配置：(1)创建名为“trusthost1”的地址对象，点击【内容】选择【IP地址范围】，数值为192.168.1.1-192.168.1.1（也可以选择【IP地址\掩码】）按【确定】保存。(2)创建名为“untrusthost2”的地址对象，点击【内容】选择【IP地址范围】，数值为192.168.2.1-192.168.2.1（也可以选择【IP地址\掩码】）按【确定】保存。(3)创建名为“ftpserver”的地址对象，点击【内容】选择【IP地址范围】，数值为192.168.3.1-192.168.3.1（也可以选择【IP地址\掩码】）按【确定】保存。完成配置后，配置情况应该如图12所示。图12配置完成后的地址对象步骤6:创建面向对象ACL在主界面中，依次选择选择【基本】=【防火墙】=【包过滤策略】，进入包过滤策略管理界面，实际上这里的包过滤策略就是ACL的配置，并进行如下的配置：(1)从untrust域到DMZ域的ftp服务包全部做放行处理。(2)从trust域到DMZ域的ftp服务包全部做放行处理。(3)从trust域到DMZ域的所有服务包全部做丢包处理。(4)从DMZ域到untrust域的所有服务包全部做丢包处理。完成配置后，应如下图所示：计算机与通信工程学院9图13配置完成后的包过滤策略（ACL）步骤7:测试与再配置：1．面向对象的ACL配置完成后，通过登录FTP服务器来测试所配置ACL规则的正确性。2．通过Ping命令作为代表测试各域间服务的访问特性。3．如配置未能达到实验功能要求，则检查并修改各ACL，然后进行再测试，直到达到实验的功能要求。理论上，配置完成策略的结果应该如下表所示：PC号访问ftp服务访问其他服务PC1正常访问PC2正常，PC3丢包PC2正常访问PC1、PC3均丢包PC3——访问PC1、PC2均丢包接下来依次验证四条规则：(1)验证规则1，如下图所示：图14在PC2上验证规则1我们先关闭规则1，因为最早的配置中PC2因为优先级原因无法访问PC3的任何服务，因此结果如图14(1)所示。当规则1生效后，FTP服务被自动放行，因此可以在PC2上面访问PC3的FTP服务目录，如图14(2)所示。(2)验证规则2和3，如下图所示：计算机与通信工程学院10图15在PC1上验证规则2和3由于规则2和3实际上就是说PC1可以访问PC3上的FTP服务，但是其他的任何服务都是被禁止的。因此我们使用ping命令（ICMP协议）来验证，在PC1上的CMD窗口pingPC3，结果自然是失败的，但却可以正常登陆PC3上的FTP服务。(3)验证规则4，如下图所示：图16在PC3上验证规则4规则4实际上说的是PC3本来因为优先级的缘故可以用任何协议访问PC2的资源，但是加了规则之后就不允许任何形式的访问。因此我们用ping命令验证，在规则4的作用下，在PC3上面pingPC2是无法ping通的，而关闭规则4后，再去pingPC2就能正常相互发包了。由此可以得出，以上结果与表中预计的结果相同，实验成功。附录（可包括源程序清单或其它说明）