电子科技大学计算机科学与工程学院标准实验报告
（实验）课程名称计算机系统与网络安全技术
电子科技大学教务处制表
电子科技大学
实验报告
学生姓名：学号：指导教师：
实验地点：计算机学院大楼东307 实验时间：
一、实验室名称：安全实验室
二、实验项目名称：防火墙设计实验
三、实验学时：4学时
四、实验原理：
路由器对数据流的控制主要是通过设置Access list来实现（允许或拒绝通过）的。

它是路由器中定义的一系列规则和策略的集合。

路由器正是通过这些路由策略来限制数据包在网络中的流向和流量，从而起到“防火墙”的目的。

本实验在使用访问列表时定义了以下两个内容：
a．通过指定访问列表名和访问条件，建立访问列表。

b．将访问列表应用到端口。

五、实验目的：
了解防火墙安全技术原理与应用，掌握防火墙配置方案的制定与具体配置方法。

在路由器上配置防火墙，以阻止某些地址的报文或某些协议的报文通过。

六、实验内容：
1、配置包裹滤防火墙，将硬件路由器配置成如下功能：内部网络通过Serial0访问Internet，局域网对外提供www、ftp和MS SQL数据库服务。

2、用扫描软件进行扫描测试，根据测试结果调整规则设置。

3、利用攻击软件在模拟广域网环境中进行测试，并能根据测试结果调整规则设置。

七、实验器材（设备、元器件）：
1、天工R1750路由器2台
2、交换机2台
3、PC机4台
4、背对背V3.5连线（DTE）1根
5、背对背V3.5连线（DCE）1根
6、直连网线6根
八、实验步骤：
1、按图9-1建立配置环境。

路由器
Console口
COM1口
PC机
图9-1 路由器配置线连接图
2、参照实验2的步骤，使用超级终端软件进行连接，按照以下顺序进行参数配置
每秒位数：9600
数据位：8
奇偶校验：无
停止位：1
数据流控制：无
3、在实验2的基础上进行防火墙配置
创建访问列表
用以下命令创建：ip access-list standard/extended name deny/permit {source[mask]|any}
将访问列表应用到端口
在接口配置模式下使用以下命令完成：ip access-group name in|out
扩展访问列表配置：
本次实验扩展访问列表配置为：允许任何新到的TCP与大于1023的目标端口连接；允许任何新来的TCP与主机192.168.1.1的SMTP连接。

ip access-list extended aaa
permit tcp any 192.168.1.1 255.255.255.0 gt 1023
permit tcp any 192.168.1.1 255.255.255.0 eq 25
interface fastethernet 1/0
ip access-group aaa in
注：小于指定的服务端口用关键字lt，大于服务端口gt，等于服务端口用关键字eq，不等于服务端口用关键字neq；协议号也可以任意指定。

九、实验数据及结果分析：
实验测试1：
配置防火墙之前，WEB服务器没有受到网络攻击时，一切正常。

WEB服务器受到攻击，其它机器无法访问。

配置防火墙以后，屏蔽攻击者所在网段的报文，服务器恢复正常。

配置命令：进入config模式
Ip access-list standard aaa
Deny 192.168.1.0 255.255.255.0
Interface serial 1/0
Ip access-group aaa in。