自学内容网 自学内容网

网络应用技术 实验八:防火墙实现访问控制(华为ensp)

目录

一、实验简介

二、实验目的

三、实验需求

四、实验拓扑

五、实验步骤

1、设计全网 IP 地址

2、设计防火墙安全策略

3、在 eNSP 中部署园区网

4、配置用户主机地址

5、配置网络设备

配置交换机SW-1~SW-5

配置路由交换机RS-1~RS-5

配置路由器R-1~R-3

6、配置仿真服务

(1)创建测试 Web 服务所需要文件夹与文件

(2)创建测试 FTP 服务所需要文件夹与文件

(3)配置 DNS 仿真服务

(4)配置 Web 仿真服务

(5)配置 FTP 仿真服务

7、配置防火墙网络参数实现全网互通

(1)配置防火墙接口;

(2)配置防火墙安全区域;

(3)配置防火墙路由信息(OSPF)

(4)测试全网通信


一、实验简介

在园区网中部署服务器子网,在用户区域网络和服务器子网之间部署防火墙(FW-1 ),通过设置防火墙安全策略,控制用户区域网络中的主机对服务器子网的访问,例如控制某用户主机网段只能访问 Web 服务器提供的 http 服务,而不能访问其他服务。

二、实验目的

1 、理解包过滤防火墙的工作原理;
2 、掌握在 eNSP 中引入防火墙设备的方法;
3 、掌握利用防火墙实现园区网通信的访问控制。

三、实验需求

1 、硬件
每人一台计算机。
2 、软件
计算机安装 Windows 10 操作系统、 eNSP 网络仿真软件、 VirtualBox 虚拟化软件
3 、网络
实验本身内容不需要访问互联网。
4 、工具

四、实验拓扑

本实验的网络拓扑要求如下:
(1)R1 R2 及其下联网络是用户区域网络(即用户子网), RS-1 RS-4 是用户区域网络中的路由交换机,起汇聚作用。SW-1~SW-4 是二层交换机,起接入作用。Host-1~ Host-8 是用户主机,分别属于不同的 VLAN
(2)SW-5 连接的网络是服务器子网,其中 Service-DNS 表示 DNS 服务器( eNSP 仿真,Service-Web 表示 Web 服务器( eNSP 仿真), Service-FTP 表示 FTP 服务器( eNSP 仿真)。服务器子网接入在路由交换机 RS-5 上;
(3)用户区域网络和服务器子网之间部署防火墙 FW-1

五、实验步骤

1、设计全网 IP 地址

1 )所有用户主机的 IP 地址为静态 IP ,其格式为 192.A.*.* ,其中 A 为学生本人学号后 2 位,* 表示该值由学生自定。各用户主机分属于不同 VLAN ,其 IP 地址应属于不同的网段;
2 )各路由器互连接口的地址格式为 10.A.*.* ,其中 A 为学生本人学号后 2 位,*表示该值由学生自定;
3 )各个仿真服务器的 IP 地址格式为 172.16.A.*/24 ,其中 A 为学生本人学号后2 位。
4 )默认网关地址,由本网段最后一个可用单播地址表示。

2、设计防火墙安全策略

在网络连通正常的前提下,通过配置防火墙策略,实现以下通信控制:
1 Host-1 Host-4 主机不可以 Ping 通服务器子网中的服务器, Host-5 Host-8可以;
2 Host-1 Host-8 主机都可以使用 DNS 解析服务;
3 )仅允许 Host-1-Host-4 主机可以以 Web 方式访问 Web 服务;

3、在 eNSP 中部署园区网

由于本实验中要通过仿真的方式,测试用户主机对各种网络服务的访问效果,从而实现防火墙对 DNS FTP Web 访问的控制。原来使用的 PC 终端无法实现这些操作,因此 Host-1 Host-8 采用 eNSP 中“终端”设备里的 Client 。服务器(包括 DNS DHCP 、FTP)采用 eNSP 中“终端”设备里的 Server 。 防火墙采用 USG6000V 。其他设备型号同前面实验。
eNSP 中,防火墙在第一次启动时,需要载入设备文件下载“ eNSP-plug-vfw_usg.zip ”解压缩即可得到设备文件。载入防火墙设备文件的操作,开启FW-1,即可点击浏览选择解压后的文件导入即可开启FW设备。
这里我放一下压缩包链接:
链接: https://pan.baidu.com/s/1wWKm8jBHIO__CW9yp0Xj8g?pwd=ensp
提取码: ensp
注意:华为防火墙初始用户名和密码分别为 admin,Admin@123。

4、配置用户主机地址

为了测试仿真服务器提供的服务,此处的用户主机使用 Client 终端。配置各用户主机的 IP 地址。
具体操作略。

配置Host-1~Host-8

5、配置网络设备

配置除防火墙之外的其他网络设备

配置交换机SW-1~SW-5

配置路由交换机RS-1~RS-5

配置路由器R-1~R-3

6、配置仿真服务

1)创建测试 Web 服务所需要文件夹与文件

创建文件夹Web作为网站存放位置。

在D:\Web文件夹创建一个记事本文件index.txt,输入内容为“这个是我的测试网站”

2)创建测试 FTP 服务所需要文件夹与文件
3)配置 DNS 仿真服务
4)配置 Web 仿真服务
5)配置 FTP 仿真服务

7、配置防火墙网络参数实现全网互通

此处防火墙配置成路由模式。首先配置防火墙的基础网络参数,实现全网互通,
用作与添加安全策略后通信进行对比。主要操作包括:
1)配置防火墙接口;
2)配置防火墙安全区域;
3)配置防火墙路由信息(OSPF
4)测试全网通信

测试Web服务,Host-1~Host-8可以正常访问DNS服务器

序号

源主机

目的主机

安全策略

通信结果

1

Host-1

Service-Web

--

正常

2

Host-2

Service-Web

--

正常

3

Host-3

Service-Web

--

正常

4

Host-4

Service-Web

--

正常

5

Host-5

Service-Web

--

正常

6

Host-6

Service-Web

--

正常

7

Host-7

Service-Web

--

正常

8

Host-8

Service-Web

--

正常

Host-1~Host-8访问Service-FTP通信测试:

序号

源主机

目的主机

安全策略

通信结果

1

Host-1

Service-FTP

--

正常

2

Host-2

Service-FTP

--

正常

3

Host-3

Service-FTP

--

正常

4

Host-4

Service-FTP

--

正常

5

Host-5

Service-FTP

--

正常

6

Host-6

Service-FTP

--

正常

7

Host-7

Service-FTP

--

正常

8

Host-8

Service-FTP

--

正常

8 、配置防火墙安全策略实现访问控制
依据前面的规划,在防火墙上配置安全策略,然后测试相关通信效果。
通信测试:

1Host-1Host-4 主机不可以 Ping 通服务器子网中的服务器,Host-5Host-8 可以;

序号

源主机

目的主机

安全策略

通信结果

1

Host-1

Service-DNS

拒绝

不通

2

Host-2

Service-DNS

拒绝

不通

3

Host-3

Service-DNS

拒绝

不通

4

Host-4

Service-DNS

拒绝

不通

5

Host-5

Service-DNS

允许

6

Host-6

Service-DNS

允许

7

Host-7

Service-DNS

允许

8

Host-8

Service-DNS

允许

 

(2)Host-1Host-8 主机都可以使用 DNS 解析服务;

序号

源主机

目的主机

安全策略

通信结果

1

Host-1

Service-DNS

允许

正常

2

Host-2

Service-DNS

允许

正常

3

Host-3

Service-DNS

允许

正常

4

Host-4

Service-DNS

允许

正常

5

Host-5

Service-DNS

允许

正常

6

Host-6

Service-DNS

允许

正常

7

Host-7

Service-DNS

允许

正常

8

Host-8

Service-DNS

允许

正常

 

(3)仅允许 Host-1-Host-4 主机可以以 Web 方式访问 Web 服务;

序号

源主机

目的主机

安全策略

通信结果

1

Host-1

Service-Web

允许

正常

2

Host-2

Service-Web

允许

正常

3

Host-3

Service-Web

允许

正常

4

Host-4

Service-Web

允许

正常

5

Host-5

Service-Web

拒绝

失败

6

Host-6

Service-Web

拒绝

失败

7

Host-7

Service-Web

拒绝

失败

8

Host-8

Service-Web

拒绝

失败

 

好啦~实验就到这里啦~

大家一起加油吧!


原文地址:https://blog.csdn.net/air_729/article/details/144359598

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!