使用防火墙实现安全的访问控制
实验名称
使用防火墙实现安全的访问控制
实验目的
利用防火墙的安全策略实现严格的访问控制
背景描述
某企业网络的出口使用了一台防火墙作为接入Internet的设备，现在需要使用防火墙的安全策略实现严格的访问控制，以允许必要的流量通过防火墙，并且阻止到Internet的未授权的访问。

企业内部网络使用的地址段为100.1.1.0/24。

公司经理的主机IP地址为100.1.1.100/24，设计部的主机IP地址为100.1.1.101/24~100.1.1.103/24，其它员工使用100.1.1.2/24~100.1.1.99/24范围内的地址。

并且公司在公网上有一台IP地址为200.1.1.1的外部FTP服务器。

现在需要在防火墙上进行访问控制，使经理的主机可以访问Internet中的Web服务器和公司的外部FTP服务器，并能够使用邮件客服端（SMTP/pop3）收发邮件：设计部的主机可以访问Internet中的Web服务器和公司的外部FTP服务器；其它员工的主机只能访问公司的外部FTP服务器。

如下图所示为本实验的网络拓扑结构图
经理100.1.1.100/24
设计部
100.1.1.101/24
~ 100.1.1.103/24
其他员工
100.1.1.2/24
~ 100.1.1.99/24
实验设备
防火墙连接到Internet的链路，这里我们用到信息楼网络段192.168.203.0/24的网络段，其网关为192.168.203.254，这样我们也可以通过此链路上网。

锐捷wall 60 防火墙1 台
PC机2 到3台，2台时要更改一下ip就可以了。

FTP服务器，可以直接找Internet网上的一台，也可自己配置一台ftp服务器模拟Internet上的ftp服务器。

预备知识
网络基础知识
防火墙工作原理：包过滤，另外防火墙一般是串联在网络中，这和IDS（入侵检测）不一样，入侵检测是串联在网络中。

实验原理
实现访问控制是防火墙的基本功能，防火墙的安全策略（包过滤规则）可以根据数据包的原IP地址、目的IP地址、服务端口等对通过防火墙的报文进行过滤。

实验步骤
验证测试
加了规则后，对于规则中允许的服务可以访问，对于规则中不允许的服务不可以访问。

问题及其解决方案
1、通过默认的管理主机IP登入防火墙，并重新设置管理主机后，再次登入防火
墙时不能登了。

解决方案：重新设置后如果设置lan口为登陆口，那么管理主机要接入到lan 口，同时注意管理主机的ip地址要设置正确，注意设置是否允许管理主机ping lan接口或允许管理主机的流量的包过滤规则。

如果没有这些规则那么要加上去。

如果实在登不进去可以重启防火墙，具体的办法是用console线登入防火墙重新启动就可以恢复配置，也可以看说明书清除配置。

2、加了规则后为什么还是不起作用，如下图所示，从2后的规则对100.1.1.0 /24
段的网络不起效
原理：因为防火墙是采用包过滤机制，规则的顺序很重要，序号越靠前的规则越先匹配，如果某条规则匹配上了，防火墙就不会再对后面的规则进行匹配了。

所以上图中除了第一条规则对100.1.1.0 的网络段起作用，后面的全不起作用。

因为对从100。

1.1.0来的数据包都可以匹配上第一条规则。

解决方案：把后面的规则放到第一条规则上面。