实验十三防火墙设置
一、实验目的及任务：
掌握对整个单位的防护设置，主要从是屏蔽重要端口。

二、实验环境
主机操作系统为Windows2003或Windows XP；安装有：Cisco packet Tracer
三、实验原理
保护整个单位服务器或网站上需要重点保护的端口和重点数据库存服务器。

四、实验步骤
1、使用Cisco packet Tracer绘出下图：
2、在防火墙上（三层交换机）配置访问控制列表：
Switch>
Switch>en
Switch#
Switch#conf t
Switch(config)#
Switch(config)# access-list 101 deny tcp any any eq 3389
Switch(config)# access-list 101 deny tcp any any eq 1521
Switch(config)# access-list 101 deny tcp any any eq 1433
Switch(config)# access-list 101 deny tcp any any eq 445
Switch(config)# access-list 101 deny tcp any any eq 139
Switch(config)# access-list 101 deny tcp any any eq 138
Switch(config)# access-list 101 deny tcp any any eq 23
Switch(config)# access-list 101 permit ip any any
3、在防火墙(三层交换机)的1000M端口应用访问控制列表
Switch#
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if)#
Switch(config-if)#no switchport
Switch(config-if)#ip access-group 101 in
4、实验结果：
外网（即互联网）无法访问单位内部的重要数据库存，也不能轻而易举访问
单位内部的计算机。