【文章內容簡介】 條規(guī)則，使本機只能訪問外網(wǎng)中 和 提供的服務，檢測規(guī)則組合有效性。多條規(guī)則設置必須注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級） ，可以參考下面的所列的規(guī)則組合增加多條規(guī)則。方向：外 內 方向：外 內 方向：外 內增加到位置： 1 增加到位置： 2 增加到位置： 3源地址： 源地址： 源地址： 源端口： any 源端口： 21 源端口： any目的地址： ： ： 目的端口： any 目的端口： any 目的端口： any協(xié)議類型： all 協(xié)議類型： tcp 協(xié)議類型： all動作： ACCEPT 動作： ACCEPT 動作： REJECT規(guī)則添加成功后，可以用 IE、FTP 客戶端工具、ping 等進行檢測，以判斷規(guī)則組2此界面中可以選擇的項包括：方向——對什么方向上的包進行過濾；增加到位置——將新增的規(guī)則放到指定的位置，越靠前優(yōu)先級越高（不同規(guī)則順序可能產生不同結果） ；協(xié)議——tcp、udp 和 icmp，any 表示所有 3 種協(xié)議；源地址、目的地址——地址可以用 IP 地址、網(wǎng)絡地址、域名以及 MAC 地址能不同的方式來表示，其中 表示所有地址；源端口、目的端口——不同的服務對應不同的端口，要選擇正確的端口才能過濾相應的服務；動作——ACCEPT 和 REJECT，決定是否讓一個包通過。6 / 221合是否有效。3. 將已經(jīng)設置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會產生怎樣的作用，并使用 IE、FTP 客戶端工具、ping 等進行驗證。【實驗思考題】某機構的網(wǎng)絡可以接受來自 Inter 的訪問。有只在端口 80 上提供服務的 Web 服務器；只在端口 25 上提供服務的郵件服務器（接收發(fā)來的所有郵件并發(fā)送所有要發(fā)出的郵件） ；允許內部用戶使用 Http、Https、 Ftp、Tel、Ssh 服務。請制定合適的包過濾防火墻規(guī)則（要求以列表的形式給出，可以抽象表示 IP 地址，比如“源 IP”：內部網(wǎng)絡） 。優(yōu)先級別 源地址 源端口 目的地址 目的端口 協(xié)議 動作7 / 221狀態(tài)檢測實驗【實驗目的】1. 掌握防火墻狀態(tài)檢測機制的原理；2. 掌握防火墻狀態(tài)檢測功能的配置方法；3. 理解網(wǎng)絡連接的各個狀態(tài)的含義；4. 理解防火墻的狀態(tài)表；5. 理解 Ftp 兩種不同傳輸方式的區(qū)別，以及掌握防火墻對 Ftp 應用的配置?！緦嶒灜h(huán)境及說明】同實驗一【預備知識】1. 網(wǎng)絡基礎知識：網(wǎng)絡基本概念，網(wǎng)絡基礎設備，TCP/IP 協(xié)議，UDP 協(xié)議，ICMP 協(xié)議和 ARP 協(xié)議等；2. 常用網(wǎng)絡客戶端的操作：IE 的使用，F(xiàn)tp 客戶端的使用， ping 命令的使用等；3. 從某主機到某目的網(wǎng)絡阻斷與否的判斷方法；4. FTP 的兩種不同數(shù)據(jù)傳輸方式的原理；5. 本實驗拓撲圖所示網(wǎng)絡的工作方式，理解數(shù)據(jù)流通的方向；6. 防火墻實驗系統(tǒng)的基本使用，而且已經(jīng)掌握了包過濾功能的相關實驗。【實驗內容】在正確配置 NAT 規(guī)則的前提下（實驗一） ，實驗以 為例，針對 FTP主動和被動數(shù)據(jù)傳輸方式，分別配置普通包過濾規(guī)則和狀態(tài)檢測規(guī)則，通過登錄外網(wǎng)ftp 服務器驗證配置的規(guī)則有效性，體會防火墻狀態(tài)檢測技術的優(yōu)越性，最后分析TCP/UDP/ICMP 三種協(xié)議狀態(tài)信息。具體內容如下：1. 設置普通包過濾規(guī)則，實現(xiàn) ftp 兩種不同的數(shù)據(jù)傳輸方式，采用 ftp 客戶端工具 FlashFXP 檢測規(guī)則是否生效。2. 設置狀態(tài)檢測規(guī)則，實現(xiàn) ftp 的兩種不同數(shù)據(jù)傳輸方式，采用 ftp 客戶端工具FlashFXP 檢測規(guī)則是否生效。與前面的普通包過濾實驗比較，理解狀態(tài)檢測機制的優(yōu)越性。3. 查看防火墻的狀態(tài)表，分析 TCP、UDP 和 ICMP 三種協(xié)議的狀態(tài)信息。8 / 221【實驗步驟】在每次實驗前，打開瀏覽器，輸入地址：打開的頁面中輸入學號和密碼，登陸防火墻教學實驗系統(tǒng)。第一步：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“普通包過濾” ，在打開的頁面中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則 ”后開始新規(guī)則設置，實現(xiàn)與 服務器之間的主動和被動數(shù)據(jù)傳輸方式。1. 配置普通包過濾規(guī)則，實現(xiàn) FTP 的主動和被動傳輸模式?PORT（主動）模式1）選擇正確的選項，點擊“增加” 后，增加兩條普通包過濾規(guī)則，阻擋所有內網(wǎng)到外網(wǎng)及外網(wǎng)到內網(wǎng)的 TCP 協(xié)議規(guī)則。規(guī)則添加成功后，打開 ftp 客戶端，設置 ftp 客戶端默認的傳輸模式為主動模式，即 PORT3。匿名連接 ，查看 FTP 客戶端軟件顯示的連接信息。2）增加兩條普通包過濾規(guī)則，允許 ftp 控制連接?？蓞⒖既缦乱?guī)則設置：方向：內 外 方向：外 內增加到位置： 1 增加到位置： 1源地址： ： 源端口： any 源端口： 21目的地址： 目的地址： 目的端口： 21 目的端口： any協(xié)議類型： tcp 協(xié)議類型： tcp動作： ACCEPT 動作： ACCEPT規(guī)則添加成功后，打開 ftp 客戶端，連接 ，匿名，查看 FTP 客戶端軟件顯示的連接信息。3）增加兩條普通包過濾規(guī)則，允許 ftp 數(shù)據(jù)連接。可參考如下規(guī)則設置：方向：內 外 方向：外 內增加到位置： 1 增加到位置： 1源地址： ： 源端口： any 源端口： 20目的地址： 目的地址： 目的端口： 20 目的端口： any協(xié)議類型： tcp 協(xié)議類型： tcp動作： ACCEPT 動作： ACCEPT規(guī)則添加成功后，打開 ftp 客戶端，連接 ，匿名，查看 FTP 客戶端軟件顯示的連接信息。3FlashFXP 軟件，點擊選項參數(shù)設置連接，設置主動模式或被動模式。9 / 221? PASV（被動）模式1）選擇正確的選項，點擊“增加” 后，增加兩條普通包過濾規(guī)則，阻擋所有內網(wǎng)到外網(wǎng)及外網(wǎng)到內網(wǎng)的 TCP 協(xié)議規(guī)則。規(guī)則添加成功后，打開 ftp 客戶端，設置 ftp 客戶端默認的傳輸模式為被動模式，即 PASV。匿名連接 ，查看 FTP 客戶端軟件顯示的連接信息。2）增加兩條普通包過濾規(guī)則，允許 ftp 控制連接。規(guī)則添加成功后，打開 ftp 客戶端，連接 ，匿名，查看 FTP 客戶端軟件顯示的連接信息。3）增加兩條普通包過濾規(guī)則，允許 ftp 數(shù)據(jù)連接。可參考如下規(guī)則設置： 方向：內 外 方向：外 內增加到位置： 1 增加到位置： 1源地址： ： 源端口： any 源端口： 1024： 65535目的地址： 目的地址： 目的端口： 1024： 65535 目的端口： any協(xié)議類型： tcp 協(xié)議類型： tcp動作： ACCEPT 動作： ACCEPT規(guī)則添加成功后，打開 ftp 客戶端，連接 ，匿名，查看 FTP 客戶端軟件顯示的連接信息。第二步：點擊左側導航欄的“狀態(tài)檢測” ，如果有任何規(guī)則存在，點擊 “刪除所有規(guī)則”后開始新規(guī)則設置，實現(xiàn)與 服務器之間的主動和被動數(shù)據(jù)傳輸方式。2. 配置狀態(tài)檢測規(guī)則，實現(xiàn) FTP 的主動和被動傳輸模式1）選擇正確的選項，點擊“增加” 后，增加兩條狀態(tài)檢測規(guī)則，阻擋內網(wǎng)到外網(wǎng)及外網(wǎng)到內網(wǎng)的所有 TCP 協(xié)議、所有狀態(tài)的規(guī)則?？蓞⒖既缦乱?guī)則設置： 方向：內 外 方向：外 內增加到位置： 1 增加到位置： 1源地址： ： 源端口： any 源端口： any目的地址： ： 目的端口： any 目的端口： any協(xié)議類型： tcp 協(xié)議類型： tcp狀態(tài)： NEW,ESTABLISHED,RELATED,INVALID狀態(tài)：NEW,ESTABLISHED,RELATED,INVALID動作： REJECT 動作： REJECT10 / 221規(guī)則添加成功后，打開 ftp 客戶端，設置 ftp 客戶端默認的傳輸模式是 PASV，即被動模式， 連接 ，匿名，查看 FTP 客戶端軟件顯示的連接信息。然后，打開 ftp 客戶端，設置 ftp 客戶端默認的傳輸模式是 PORT，即主動模式，連接，匿名，查看 FTP 客戶端軟件顯示的連接信息。2）增加兩條狀態(tài)檢測規(guī)則，允許訪問內網(wǎng)到外網(wǎng)及外網(wǎng)到內網(wǎng)目的端口為任意、狀態(tài)為 ESTABLISHED 和 RELATED 的 TCP 數(shù)據(jù)包?？蓞⒖既缦乱?guī)則設置： 方向：內 外 方向：外 內增加到位置： 1 增加到位置： 1源地址： ： 源端口： any 源端口： any目的地址： ： 目的端口： any 目的端口： any協(xié)議類型： tcp 協(xié)議類型： tcp狀態(tài)： ESTABLISHED,RELATED狀態(tài)： ESTABLISHED,RELATED動作： ACCEPT 動作： ACCEPT規(guī)則添加成功后，打開 ftp 客戶端，設置 ftp 客戶端默認的傳輸模式是 PASV，即被動模式， 連接 ，匿名，查看 FTP 客戶端軟件顯示的連接信息。然后，打開 ftp 客戶端，設置 ftp 客戶端默認的傳輸模式是 PORT，即主動模式，連接，匿名，查看 FTP 客戶端軟件顯示的連接信息。3）增加一條狀態(tài)檢測規(guī)則，允許內網(wǎng)訪問外網(wǎng)目的端口為 2狀態(tài)為NEW、 ESTABLISHED 和 RELATED 的 TCP 數(shù)據(jù)包?？蓞⒖既缦乱?guī)則設置：方向： “內網(wǎng) 外網(wǎng) ”增加到位置： 1協(xié)議： tcp源地址： IP 地址， 目的地址： 目的端口： 21狀態(tài)： NEW,ESTABLISHED,RELATED動作： ACCEPT。規(guī)則添加成功后，打開 ftp 客戶端，設置 ftp 客戶端默認的傳輸模式是 PASV，即被動模式， 連接 ，匿名，查看連接信息。然后，打開 ftp 客戶端，設置ftp 客戶端默認的傳輸模式是 PORT，即主動模式，連接 ，匿名，查看連接信息。第三步：點擊左邊導航欄的“狀態(tài)檢測” ，在右邊打開的頁面中選擇 “狀態(tài)表”，在打開的頁面中查看防火墻系統(tǒng)所有連接的狀態(tài)并進行分析。3. 查看分析防火墻的狀態(tài)表點擊左邊導航欄的“ 狀態(tài)檢測 ”，在右邊打開的頁面中選擇 “狀態(tài)表”，在打開的頁11 / 221面中查看當前防火墻系統(tǒng)的所有連接的狀態(tài)。分別選取一條 TCP 連接，UDP 連接，ICMP 連接 4，分析各個參數(shù)的含義；并分析當前所有連接，了解每條連接相應的打開程序，及其用途?！緦嶒炈伎碱}】分別用普通包過濾和狀態(tài)檢測設置規(guī)則，使 ftp 客戶端僅僅可以下載站點 的文件。4說明：如果當前沒有 ICMP 連接，按如下步驟：（1）用普通包過濾設立一條拒絕到 的 ICMP 協(xié)議包；（2）打開 DOS 窗口，輸入 ping –n 10 t；（3）刷新狀態(tài)表頁面，即可看到 ICMP 連接狀態(tài)。12 / 221應用代理實驗【實驗目的】1. 了解防火墻代理級網(wǎng)關的工作原理；2. 掌握配置防火墻代理級網(wǎng)關的方法?！緦嶒灜h(huán)境及說明】同實驗一?！绢A備知識】1. 常用網(wǎng)絡客戶端的操作：IE 的使用，F(xiàn)tp 客戶端的使用， Tel 命令的使用等；2. 明白本實驗拓撲圖所示網(wǎng)絡的工作方式，理解數(shù)據(jù)流通的方向；3. 掌握 HTTP 代理和 FTP 代理的配置；4. 掌握 HTTP 代理、FTP 代理和 Tel 代理的工作原理，明確它們各自的通信過程，簡單的說，代理均是起到一個中繼的作用。【實驗內容】在正確配置 NAT 規(guī)則的前提下（實驗一） ，配置好 HTTP 代理和 FTP 代理后，分別配置 HTTP 代理規(guī)則、FTP 代理規(guī)則和 Tel 代理規(guī)則，然后配置好 IE 的 HTTP 代理和 FlashFXP 的 FTP 代理，再通過登錄外網(wǎng) web 頁面、登錄外網(wǎng) ftp 服務器等常用網(wǎng)絡客戶端操作判斷配置的規(guī)則是否生效，具體內容如下：1. 設置 HTTP 代理規(guī)則，配置 IE 的 HTTP 代理，采用瀏覽器訪問外網(wǎng)以測試規(guī)則是否生效；2. 設置 FTP 代理規(guī)則，配置 FlashFXP 的 FTP 代理，采用 FlashFXP 訪問 FTP 服務器以測試規(guī)則是否生效；3. 設置 TELNET 代理規(guī)則，采用開始菜單 “運行”命令行工具 ，輸入代理命令 tel 2323，再測試規(guī)則是否生效?！緦嶒灢襟E】在每次實驗前，都要打開瀏覽器，輸入地址： ，在打開的頁面中輸入學號和密碼，登陸防火墻實驗系統(tǒng)。（一）HTTP 代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“HTTP 代理” ，在打開的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。打開 IE 瀏覽器，配置 HTTP 代理。13 / 2211. 設置 IE 的 HTTP 代理1） IE 菜單中的工具－ Inter 選項，彈出“Inter 屬性”對話框；2） 點擊“連接 ”標簽，按 “局域網(wǎng)設置”，彈出“局域網(wǎng)(LAN)設置”對話框；3） 在“代理服務器 ”中勾選 “使用代理服務器”，并輸入防火墻 IP 地址及端口：:3128，選擇“對于本地地址不使用代理服務器”，點擊“高級”按鈕，進入“代理服務器設置”頁面，在“例外”欄填入；4） 依次按下“ 確定” 退出設置頁面；建議每次實驗后清空歷史紀錄。2. 測試 HTTP 代理的默認規(guī)則打開 IE，在地址欄中輸入任意地址，例如 和 等，觀察能否訪問，并說明原因；3. 配置 HTTP 代理規(guī)則，驗證規(guī)則有效性1） 以教師分配的用戶名和密碼進入實驗系統(tǒng)，點擊左側導航條的“HTTP代理”鏈接，進入 “HTTP 應用代理規(guī)則表 ”頁面，點擊“增加一條新規(guī)則”后