周世杰全套配套课件计算机系统与网络安全技术标准实验报告 标准实验报告(5)-防火墙设计实验.doc

《周世杰全套配套课件计算机系统与网络安全技术标准实验报告 标准实验报告(5)-防火墙设计实验.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、电子科技大学计算机科学与工程学院标准实验报告（实验）课程名称计算机系统与网络安全技术电子科技大学教务处制表电子科技大学实验报告学生姓名：学号：指导教师：实验地点：计算机学院大楼东307实验时间：一、实验室名称：安全实验室二、实验项目名称：防火墙设计实验三、实验学时：4学时四、实验原理：路由器对数据流的控制主要是通过设置Accesslist来实现（允许或拒绝通过）的。它是路由器中定义的一系列规则和策略的集合。路由器正是通过这些路由策略来限制数据包在网络中的流向和流量，从而起到“防火墙”的目的。本实验在使用访问列表时定义了以下两个内容：a．通过指定访问列表名和访问条件，建立访问列

2、表。b．将访问列表应用到端口。五、实验目的：了解防火墙安全技术原理与应用，掌握防火墙配置方案的制定与具体配置方法。在路由器上配置防火墙，以阻止某些地址的报文或某些协议的报文通过。六、实验内容：1、配置包裹滤防火墙，将硬件路由器配置成如下功能：内部网络通过Serial0访问Internet，局域网对外提供www、ftp和MSSQL数据库服务。2、用扫描软件进行扫描测试，根据测试结果调整规则设置。3、利用攻击软件在模拟广域网环境中进行测试，并能根据测试结果调整规则设置。七、实验器材（设备、元器件）：1、天工R1750路由器2台2、交换机2台3、PC机4台4、背对背V3.5连线（D

3、TE）1根5、背对背V3.5连线（DCE）1根6、直连网线6根八、实验步骤：1、按图9-1建立配置环境。图9-1路由器配置线连接图COM1口Console口PC机路由器2、参照实验2的步骤，使用超级终端软件进行连接，按照以下顺序进行参数配置每秒位数：9600数据位：8奇偶校验：无停止位：1数据流控制：无3、在实验2的基础上进行防火墙配置创建访问列表用以下命令创建：ipaccess-liststandard/extendednamedeny/permit{source[mask]

4、any}将访问列表应用到端口在接口配置模式下使用以下命令完成：ipaccess-groupname

5、in

6、out扩展访问列表配置：本次实验扩展访问列表配置为：允许任何新到的TCP与大于1023的目标端口连接；允许任何新来的TCP与主机192.168.1.1的SMTP连接。ipaccess-listextendedaaapermittcpany192.168.1.1255.255.255.0gt1023permittcpany192.168.1.1255.255.255.0eq25interfacefastethernet1/0ipaccess-groupaaain注：小于指定的服务端口用关键字lt，大于服务端口gt，等于服务端口用关键字eq，不等于服务端口用关键字neq；协

7、议号也可以任意指定。九、实验数据及结果分析：实验测试1：配置防火墙之前，WEB服务器没有受到网络攻击时，一切正常。WEB服务器受到攻击，其它机器无法访问。配置防火墙以后，屏蔽攻击者所在网段的报文，服务器恢复正常。配置命令：进入config模式Ipaccess-liststandardaaaDeny192.168.1.0255.255.255.0Interfaceserial1/0Ipaccess-groupaaain实验测试2：配置防火墙之前，其它子网能ping通本网，也可以访问WEB服务器。配置防火墙之后，ping不通，但是能访问WEB服务器，说明ICMP报文被屏蔽。配置命

8、令：进入config模式Ipaccess-listextendedhhhPermittcpanyanygt1Interfacefastethernet1/0Ipaccess-grouphhhin十、实验结论：包过滤防火墙能够过滤网络层的数据包如ICMP报文。但对应用层协议如HTTP无法屏蔽。对网络具有一定的安全保护作用。十一、总结及心得体会：十二、对本实验过程及方法、手段的改进建议：报告评分：指导教师签字：