【正文】 PIX 防火墻的 outside接口 ()。 KPIX(config)ping outside response received 10ms response received 10ms response received 10ms KPIX 第十八步： Ping PIX 防火墻的 outside 接口 ()。 KPIX(config)ping inside 8 response received 10ms response received 10ms response received 10ms KPIX 第二十步：實驗完成，退出。要求使用一 個指定的網(wǎng)絡地址范圍為 NAT配置全局地址池，同時，配置一個靜態(tài)管道對以便讓 外面的用戶通過 PIX防火墻訪問一個內(nèi)部的 WWW服務器等。如下所 示 (其中黑體部分是試驗者需要輸入的內(nèi)容 )： KPIXconfigure terminal KPIX(config) 第二步：移除 NatlD 號為 l的內(nèi)部 NAT配置 信息，如下所示： KPIX(config)no nat(inside)100 KPIX(confiK) 第三步：為內(nèi)網(wǎng) (／ 24)配置 NAT，將 max_conns 及 emb_limit 兩個參數(shù) 都設為 O。如下所示： KPIX(config)show nat nat(inside) 1 KPIX(config) 第四步：創(chuàng)建一個管道 (conduit)，使得所有的 ICMP數(shù)據(jù)包都能夠通過 PIX防 火墻。 KPIX(config)write memory Building configuration．．． Cryptochecksum： 91031f236 9cfdTca eae05c38 d298f082 [OK] KPIX(config) 第七步：顯示所有的配置信息，翻頁使用空格鍵。清除完后，檢查是否已經(jīng)沒有翻譯 (轉(zhuǎn)換 )信息存 在。 第十步： Ping邊界路由器的 DMZ接口 ()。觀察翻譯表，如下所示： KPIX(config)show xlate Global Local static KPIX(config) 第十二步：清除翻譯表。首先，創(chuàng)建一個從 PIX 防火墻的 outside 接口 ()到內(nèi)部 主機()的靜態(tài)地址翻譯，如下所示： KPIX(config)static(inside,outside) KPIX(config) 創(chuàng)建完成后，再創(chuàng)建一個 到全局地址 的管道，允許來自任何地方的 WWW流量，如下所示： KPIX(config)conduit permit tcp host eq WWW any 使用訪問控制替換命令： Accesslist 2 permit tcp host eq any KPIX(config) 10 第十四步：檢查并確認上述靜態(tài)翻譯和管道設置是否正確，如下所示： KPIX(config)show static static(inside， outside) mask 255． 255． 255． 255 00 KPIXshow conduit conduit permit icmp any any(hitt=O) conduit permit tcp host eq any(hitt=O) KPIX 第十五步：打開 PIX防火墻上的 ICMP跟蹤調(diào)試，如下所示： KPIX(config)debug icmp trace ICMP trace on Warning： this may cause problems on busy works KPIX 第十六步：最小化 Cisco PIX 防火墻的控制臺窗口，打開 Windows命令提示符窗口。 C:\ping 第十八步：最小化命令提示符窗口并返回到 Cisco PIX防火墻的控制臺。 仔細觀察其中涉及到的源地址、目標地址以及翻譯地址等信息。如下所示。實驗完成，退出。 七、注意事項 禁止帶電插拔防火墻的 接口。 11 實驗三 虛擬專用網(wǎng)配置 一、實驗目的與要求 1．掌握虛擬專用網(wǎng)的實現(xiàn)原理、協(xié)議和結(jié)構(gòu)。 二、實驗類型 設計 型 三、實驗原理及說明 Windows 2020 之后服務器提供了可以實現(xiàn) PPTP 和 IPSec 功能，利用該功能可以實現(xiàn)企業(yè)內(nèi)部的 VPN 功能。配置方法如下。在左邊窗口中選中 SERVER(服務器名 )，在其上右擊，選擇“配置并啟用路由和遠程訪問”。 (2)進行上述操作后，即彈出“路由和遠程訪問服務器安裝向?qū)А?，在“公共設置”標簽頁中，選擇“虛擬專用網(wǎng)絡 (VPN)服務器”，以便讓用戶能夠通過公 共 網(wǎng) 絡 (如 Inter)來訪問此服務器。如果所要求的協(xié)議 (要求必須有 TCP／ IP協(xié)議 )已經(jīng)包含，則單擊 “ 下 一步”按鈕 。然后繼續(xù)單擊 “ 下一步 ” 按鈕。按照 “ 您想如何對遠程客戶 分配 IP地址 ” 的詢問，進行選擇回答。單擊“下一步” 按鈕。 (7)在是否使用 RADIUS 服務器 “ 管理多個遠程訪問服務器 ” 的界 面中，選擇默認的“不，我現(xiàn)在不想設置此服務器使用 RADIUS” ，即可完成最后的設置。當它消失之后，打開“管理工具”中的“服務”，即可看到“ Routing and Remote Access(路由和遠程訪問 )” 項自動處于 “ 已啟動 ” 狀態(tài)了。 由于默認代表任何用戶均被拒絕撥入到服務器上，所以要給 一 個用戶賦予撥入到此 服務器的權(quán)限，需打開管理工具中的用戶管理器。 3．配置 VPN客戶 端 (1)在 Windows 2020／ XP中選擇 “ 控制面板 ” － “ 網(wǎng)絡連接 ” ，進入 “ 新建連接向 導”界面。 此后，按照提示進行一連串單擊“下一步”按鈕操作，逐步完成如下設置： 至此， VPN客戶端配置即告完成。雙擊之，可以彈出 客戶端連接界面。 (3)VPN客戶端的連接屬性配置，可以單擊客戶端連接界面中的 “ 屬性 ” 按鈕，在 彈出的屬性配置窗口中，選擇“安全措施” 標簽頁 ，選中 “ 高級 ” ，再 單擊“設置”按鈕，進 13 入“ 高級安全設置” 窗口 ， 這里，可以進一步 配置 VPN采用的加密方式和身份認證協(xié)議。通過此通道，雙方可以在網(wǎng)上鄰居中進行互訪，即相當于又組成了一個局域網(wǎng)絡。 （二） 在 Windows中配置 IPSec 1．進入內(nèi)置 IP安全策略界面 單擊 “ 開始 ” － “ 程序 ” － “ 管理工具 ” ，進入 “ 本地安全設置 ” 窗口，在右側(cè)窗口中，可以看到默認情況下 Windows內(nèi)置的 “ 安全服務器 ” 、 “ 客戶端 ” 、 “ 服務器 ” 3個安全選項，并附有描述，可以單擊閱讀對它們的解釋。 2．安全策略配置 (1)右擊 “IP 安全策略，在本地機器 ” 選項，選擇 “ 創(chuàng)建 IP安全策略 ” ，彈出 IP安全策略向?qū)Ы缑妗?輸入新的 IP 安全策略的名稱和描述。 在 “ 安全通信請求 ” 界面中，選擇清除 “ 激活默認響應規(guī)則 ” 。 在 “ 完成 IP 規(guī)則向?qū)?” 界面，選中 “ 編輯屬性 ” 。 3．安全操作配置 進入創(chuàng)建 IP“ 安全規(guī)則向?qū)?” 首頁，如圖 5． 54 所示。 隧道終結(jié)點 ， 這里選擇 “ 此規(guī)則不指定隧道 ” 。 網(wǎng)絡類型 ， 這里選擇 “ 所有網(wǎng)絡連接 ” 。 身份驗證方法 ， 這里選擇 “ 預共享密鑰 ” 方式進行身份驗證， 并設置一個簡單的密鑰“ 123”。 (1)添加 IP篩選器 單擊 “ 添加 ” 按鈕，在 IP 篩選器列表中添加一個 IP篩選器，即可設置一個新的 IP 篩選器列表。源地址有多個選項，這里將“我的 IP地址 ” 作為源地址。 ② 在 “IP 通信目標 ” 頁面中，指定該 IP篩選器篩選的 IP數(shù)據(jù) 包的目標地址。單擊 “ 下一步 ” 按鈕。 單擊“下一步’’按鈕，進入正在 IP 篩選器向?qū)瓿身撁妗? 5．篩選器操作配置 篩選器列表的操作是指當有 IP數(shù)據(jù)包符合篩選器中定義的 條件時， IPSec對符合條 件的數(shù)據(jù)包如何處理和如何操作。 (2)篩選器操作配置 在 “ 篩選器操作 ” 列表框中選擇一條篩選器操作 (這里選擇 “ 許可 ”) ，單擊 “ 添加 ”按鈕，彈出 “ 篩選器操作向?qū)?” ，然后可以根據(jù)提示并連續(xù)單擊 “ 下一步 ” 按鈕，完成 下面的配置： 這里選 “ 協(xié)商安全 ” ，讓其進行 IPSec安全協(xié)商。 在 “ 與不支持 IPSec的計算機通信 ” 中，選擇 “ 不和不支持 IPSec的計算機通信 ” ，以要求必須在 IPSec 基礎上進行連接。 在 “IP 通信安全設施 ” 中，決定進行通信過程中是否加密和完整性檢驗。 在彈出的 “ 自定義安全措施設置 ” 對話框中，可以看到 AH和 ESP協(xié)議的不同功能，即AH協(xié)議不進行加密，而 ESP可以進行加密和完整性檢驗，相 關算法 也都可以選擇。 6．安全策略配置完成 (1)篩選器操作配置完成 篩選器操作配置完成后，返回到 “ 安全規(guī)則向?qū)?” 的 “ 篩選器操作 ” 頁面。 (2)單擊 “ 下一步 ” 按鈕，即完成了新增 IP安全規(guī)則向?qū)У脑O置，進入 “IP 安全 策略屬性”頁面 。操作者可以重新編輯，再度添加或刪除某些規(guī)則。這里 可以 看到新增的一條 IP安全策略。 六、實驗數(shù)據(jù)處理與分析 自定義域，并設計該域的安全策略。 八、預習與思考題 1．什么是 VPN？有那些類型的 VPN？有那些 VPN 協(xié)議？ 2．試分析 IPSec 協(xié)議的原理。 2． 掌握天網(wǎng)防火墻的使用和設置 二、實驗類型 驗證型實驗 三、實驗原理及說明 掌握天網(wǎng)防火墻的下載、安裝以及安裝設置向?qū)А? 。 。 鈕查看非常訪問情況。 ，查看和設置當前的應用程序使用網(wǎng)絡。 “ 應用程序網(wǎng)絡使用情況 ” 按鈕，查看使用 TCP協(xié)議、 UDP協(xié)議、全部協(xié)議的應用程序使用情況。 “IP 規(guī)則管理按鈕 ” ，查看天網(wǎng) IP規(guī)則設置。 七、注意事項 注意該軟件的安全規(guī)則內(nèi)容和形式 八、預習與思考題 1．什么是個人防火墻？ 其主要作用是什么？ 18 最近購買了 CISCO FIX525 防火墻，有兩個端口 E0 和 E1，現(xiàn)在在防火墻的兩端放置一臺 PC 和一臺 SERVER， IP 地址分別為 和 服務器提供 web 服務，現(xiàn)在要想讓 PC 訪問 web 服務器，我做了如下配置 pix525。防火墻通常位于企業(yè)網(wǎng)絡的邊緣，這使得 內(nèi)部網(wǎng)絡與 Inter 之間或者與其他外部網(wǎng)絡互相隔離，并限制網(wǎng)絡互訪從而保護企業(yè)內(nèi)部網(wǎng)絡。 在眾多的企業(yè)級主流防火墻中， Cisco PIX 防火墻是所有同類產(chǎn)品性能最好的一種。其中 PIX535 是 PIX 500 系列中最新，功能也是最強大的一款。但是 PIX 特有的 OS*作系統(tǒng)，使得大 多數(shù)管理是通過命令行來實現(xiàn)的，不象其他同類的防火墻通過 Web 管理界面來進行網(wǎng)絡管理，這樣會給初學者帶來不便。 在配置 PIX 防火墻之前，先來介紹一下防火墻的物理特性。Oslash。 內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡或者是企業(yè)內(nèi)部網(wǎng)絡的一部分。 amp。 外部區(qū)域（外網(wǎng)）。它是互連網(wǎng)絡中不被信任的區(qū)域，當外部區(qū)域想要訪問內(nèi)部區(qū)域的主機和服務，通過防火墻，就可以實現(xiàn)有限制的訪問。Oslash。 ?；饏^(qū)是一個隔離的網(wǎng)絡，或幾個網(wǎng)絡。一般在?；饏^(qū)內(nèi)可以放置 Web 服務器， Mail 服務器等。注意： 2 個接口的防火墻是沒有停火區(qū)的。 PIX 防火墻提供 4 種管理訪問模式： amp。 非特權(quán)模式。系統(tǒng)顯示為 pixfirewall。sup2。 輸入 enable 進入特權(quán)模式，可以改變當前配置。sup2。 輸入 configure terminal 進入此模式，絕大部分的系統(tǒng)配置都在這里進行。sup2。 PIX 防火墻在開機或重啟過程中，按住 Escape 鍵或發(fā)送一個 “Break” 字符，進入監(jiān)視模式。顯示為 monitor。以下是配置的基本步驟： 1. 配置防火墻接口的名字，并指定安全級別（ nameif）。若添加新的接口，語句可以這樣寫： Pix525(config)nameif pix/intf3 security40 （