南京信息工程大学实验（实习）报告
实验（实习）名称防火墙实验（实习）日期2012.12.6指导教师朱节中
专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分
【实验名称】
防火墙实验
【实验目的】
掌握防火墙的基本配置；掌握防火墙安全策略的配置。

【背景描述】
1.用接入广域网技术（NA T），将私有地址转化为合法IP地址。

解决IP地址不足的问题，有效避免来自外部网络的攻击，隐藏并保护内部网络的计算机。

2.网络地址端口转换NAPT（Network Address Port Translation）是人们比较常用的一种NA T方式。

它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NA T设备选定的TCP端口号。

3.地址绑定：为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP 地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。

4.抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Flood攻击；ICMP Flood攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FIN攻击；无确认FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；tear drop攻击。

【小组分工】
组长：IP：192.168.10.200 管理员
：IP：172.16.5.4 策略管理员+日志审计员
：IP：172.16.5.3 日志审计员
：IP：172.16.5.2 策略管理员
：IP：172.16.5.1 配置管理员
【实验设备】
PC 五台
防火墙1台（RG-Wall60 每实验台一组）
跳线一条
【实验拓扑】
【实验结果】
1.管理员主机
对管理员主机的IP进行更改，改为192.168.10.200
图一·管理员主机IP配置
用超级中端重启防火墙（目的是清空防火墙以前的配置）
图二·超级终端
管理员为局域网内的其他主机添加管理员账号，添加后如下图
图三·管理员账号
添加管理主机，添加完后如下图：
图四·管理主机
管理主机对防火墙的LAN口进行相关配置，内网网关的借口IP为172.16.5.252，添加后如下图：
图五·添加LAN口
2.配置NAPT
1）定义内网对象，打开内网定义——地址，然后是地址列表，点击添加，添加完成后，点击确定，如下图：
图六·配置内网对象
2）防火墙NET规则配置，进入安全策略——安全规则，点击NA T规则，做如下图配置，完成后确定：
图七·NET规则配置
3）完成以上所有配置后，有组内其他PC机对配置进行验证，随便选中内网的一台PC 机ping外网服务器192.168.10.200，结果是可以ping通的，如下图：
图八·内网Ping外网
外网PC机Ping内网的一台PC机，结果是ping不通的，结果如下图：
图九·外网ping内网
原因：有图六可知，我们设置了内网对象，IP的网段为172.16.5.0。

只有处于这个网段的PC机才能够通过防火墙连通外网PC机。

而外网PC机因为不是处于这个网段中，所以会被防火墙过滤掉，是ping不同内网PC机的。

3.防火墙地址绑定功能设置
1）进入安全策略——地址绑定，配置完成后，点击确定如下图：
图十·LAN口的MAC绑定
2）探测IP/MAC地址对，先探测，然后点击探测到的IP/MAC地址对，先选中一个地址对，然后选中唯一性检查，点击绑定，如下图：
图十一·IP/MAC绑定（唯一性检查）3）实验结果验证
绑定成功后，对实验结果进行验证。

首先，将原IP地址为172.16.5.1的主机IP设置为172.16.5.11，作ping测试是否能连通。

如下图：
图十二·原内网PC机IP 图十三·改后
然后用这台内网PC机ping外网主机，是ping不同的，结果如下图：
图十四·不通
其次，将内网的另一台主机的IP地址设为172.16.5.1,做ping测试是否连通。

如下图：
图十五·该主机原IP
图十六·改为被绑定的主机IP
用该内网主机ping外网主机，结果是ping不同的，如下图：
图十七·ping不通
原因：因为在上面用防火墙安全策略的地址绑定，在我们的这个实验中，我们选定了IP为172.16.5.1的一台内网PC机做了IP/MAC的地址绑定。

绑定成功后，该PC机便对应一个固定的MAC地址，当该PC机的IP更改后（如图十二和图十三），由该PC机向外网PC机发送数据包时，防火墙对这时的IP和MAC进行检测，发现不一致，将不予通过。

同样的，用组内的另一台IP为172.16.5.3改为172.16.5.1，172.16.5.1是被绑定的PC机（如图十五和图十六），也是因为MAC不匹配，ping不通。

4.防火墙抗攻击设置
进入安全策略——抗攻击，只设置LAN口的抗攻击策略，如下图：
图十八·抗攻击设置
实验结果的测试：
首先，选定一台内网的PC机，向外网的PC机发送长度为800字节的报文，命令为ping -l 800 192.168.10.200，可以发送成功，实验结果如下图：
图十九·发送成功
其次，用该PC机再次向外网的PC机发送长度为801字节的报文，命令为ping -l 801 192.168.10.200，是发送不成功的，实验结果如下图：
图二十·发送失败
原因：由上图可看到，在防火墙的安全策略，抗攻击设置中，对于ICMP包的长度设置已经设置了800字节，也就是说，对于包长度大于800字节的数据包，防火墙会自行过滤掉，使其无法通过。

而实验图十一和图十二可以看出，对于800字节的ICMP包，能够与外网ping通，而对于801字节的ICMP包则不能ping通。

5.总结
以上便是关于防火墙所做的一些实验内容，所谓防火墙，便是位于两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。

对于防火墙的功能：
1）包过滤功能主要包括针对网络服务的过滤以及针对数据包本身的过滤。

2）代理将用户的访问请求变成由防火墙代为转发，外部网络看不见内部网络的结构，也无法直接访问内部网络的主机。

3）网络地址转换主要包括针对网络服务的过滤以及针对数据包本身的过滤。

4）用户身份认证对发出网络访问连接请求的用户和用户请求的资源进行认证，确认请求的真实性和授权范围。

5）记录、报警、分析和审计防火墙对于所有通过它的通信量以及由此产生的其它信息要进行记录，并提供日志管理和存储方法。

除此以外，防火墙还有‘管理功能’、‘防病毒功能’、‘信息过滤’、‘用户的特定权限设置’等等的功能。