华为防火墙实验文档

实验十六防火墙实验一、实验目的学习配置访问控制列表设计防火墙二、实验原理1、防火墙原理网络的主要功能是向其他通信实体提供信息传输服务。

网络安全技术的主要目的是为传输服务实施的全过程提供安全保障。

在网络安全技术中, 防火墙技术是一种经常被采用的对报文的访问控制技术。

实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。

为了对进入网络的数据进行访问控制, 防火墙需要对每个进入的数据包按照预先设定的规则进行检查由内到外的数据包的功能。

我们在系统视图下, 使用如下命令启用防火墙功能：[Quidway]firewall enable并在接口视图下利用如下命令将规则应用到该接口的某个方向上:[Quidway-Ethernet0]firewall packet-filter acl-number[inbound|outbound]可以在系统视图下使用如下命令改变缺省行为:[Quidway]firewall default deny|permit2、访问控制列表ACL路由器的防火墙配置包括两个内容, 一是定义对特定数据流的访问控制规则, 即定义访问控制列表ACL；二是定义将特定的规则应用到具体的接口上, 从而过滤特定方向上的数据流。

常用的访问控制列表可以分为两种：标准访问控制列表和扩展访问控制列表。

标准访问控制列表仅仅根据IP报文的源地址与区分不同的数据流, 扩展访问控制列表则可以根据IP报文中更多的域来区分不同的数据流。

所有访问控制列表都有一个编号, 标准访问控制列表和扩展访问控制列表按照这个编号区分：标准访问控制列表编号范围为1~99, 扩展访问控制列表为100~199。

定义标准访问控制列表的命令格式为:[Router] acl acl-number[match-order config | auto][Router -acl-10] rule{normal|special}{permit|deny}[source source-addr source-wildcard | any]以下是一个标准访问控制列表的例子:[Router]acl 20[Router -acl-20]rule normal permit source 10.0.0.0 0.0.0.255[Router -acl-20]rule normal deny source any这个访问控制列表20 包含两条规则, 共同表示除了源IP 地址在网络10.0.0.0/24 内的允许通过以外, 其他源IP 地址的数据包都禁止通过。

HCIE Security 防火墙基础技术——上机指导书ISSUE 1.00目录1防火墙初始化配置 (3)1.1使用快速向导 (3)1.2手工进行基本配置 (12)2防火墙路由配置 (26)2.1 OSPF路由实验 (26)2.2 BGP路由实验 (34)3防火墙NAT配置 (42)3.1双出口NAT实验 (42)3.2服务器负载分担实验 (52)4防火墙用户认证配置 (59)4.1本地用户认证配置 (59)4.2 AD单点登陆配置 (66)1 防火墙初始化配置1.1 使用快速向导实验目的通过本实验，你将掌握通过快速向导对防火墙进行初始化配置。

组网设备USG防火墙一台，PC机两台，Internet或路由器一台模拟Internet。

实验拓扑图实验步骤(Web)Step 1使用WEB登陆防火墙1)如图所示，进行设备连接，打开设备电源。

2)在PC1上和PC2上分别设置成自动获取地址；使用PC2在浏览器中输入http://192.168.0.1登陆防火墙，默认账号密码为admin/Admin@123.3)登陆后修改密码为Huawei1234)第一次登陆防火墙后，如果防火墙是空配置的，就会进入如下快速向导配置界面Step 2使用快速向导进行初始化配置1)配置基本信息2)配置系统时间（夏令时可选）3)配置互联网接入方式，互联网接入方式支持三种a.静态IP——ISP给防火墙静态指定公网地址用来访问公网b.DHCP ——ISP通过DHCP给防火墙分配公网地址来访问公网c.PPPOE——ISP通过PPPOE给防火墙分配地址来访问公网实际配置时根据企业实际情况进行选择，此例使用静态地址，如下：4)配置接入互联网参数5)配置局域网接口6)配置局域网DHCP服务7)核对配置信息，确认没有错误后点“应用”，注意勾选“下次登陆不再提示”。

8)应用配置后进入完成页面，如下所示，点击“完成”后进入主页面Step 3浏览并熟悉WEB各个菜单打开WEB控制台验证结果1) 使用主机测试上网检查PC2的地址,确保PC2通过DHCP从防火墙收到了地址。

HCIE Security 防火墙网络互连技术——上机指导书ISSUE 1.00目录1防火墙初始化配置 (3)1.1使用快速向导 (3)1.2手工进行基本配置 (12)2防火墙路由配置 (26)2.1 OSPF路由实验 (26)2.2 BGP路由实验 (34)3防火墙NAT配置..................................................................................... 错误！未定义书签。

3.1双出口NAT实验............................................................................ 错误！未定义书签。

3.2服务器负载分担实验...................................................................... 错误！未定义书签。

4防火墙用户认证配置............................................................................. 错误！未定义书签。

4.1本地用户认证配置.......................................................................... 错误！未定义书签。

4.2 AD单点登陆配置 ............................................................................ 错误！未定义书签。

1 防火墙初始化配置1.1 使用快速向导实验目的通过本实验，你将掌握通过快速向导对防火墙进行初始化配置。

组网设备USG防火墙一台，PC机两台，Internet或路由器一台模拟Internet。

实验拓扑图实验步骤(Web)Step 1使用WEB登陆防火墙1)如图所示，进行设备连接，打开设备电源。

防火墙实验实验报告1：防火墙基本配置和过滤规则实验实验目的：了解防火墙的基本配置和过滤规则的设置，掌握防火墙的基本工作原理和功能。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外网接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙策略：根据实际需求，配置防火墙的入站和出站规则。

可以设置允许或拒绝特定IP地址、端口或协议的流量通过防火墙。

启用防火墙并测试：保存配置并启用防火墙，然后通过实验主机进行网络连接和通信测试，观察防火墙是否按照预期进行流量过滤和管理。

实验结果和分析：通过正确配置和启用防火墙，实验主机的网络连接和通信应该受到防火墙的限制和管理。

只有符合防火墙策略的网络流量才能通过，不符合策略的流量将被防火墙拦截或丢弃。

通过观察实验主机的网络连接和通信情况，可以评估防火墙的工作效果和安全性能。

实验总结：本次实验通过配置防火墙的基本设置和过滤规则，掌握了防火墙的基本工作原理和功能。

实验结果表明，正确配置和启用防火墙可以提高网络的安全性和稳定性。

实验报告2：防火墙日志分析实验实验目的：了解防火墙日志的产生和分析方法，掌握通过分析防火墙日志来识别潜在的安全威胁和攻击。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙日志：在防火墙设备中启用日志记录功能，并设置日志记录级别和存储位置。

进行网络活动：通过实验主机进行各种网络活动，包括浏览网页、发送邮件、进行文件传输等。

南京信息工程大学实验（实习）报告实验（实习）名称防火墙实验（实习）日期2012.12.6指导教师朱节中专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分【实验名称】防火墙实验【实验目的】掌握防火墙的基本配置；掌握防火墙安全策略的配置。

【背景描述】1.用接入广域网技术（NA T），将私有地址转化为合法IP地址。

解决IP地址不足的问题，有效避免来自外部网络的攻击，隐藏并保护内部网络的计算机。

2.网络地址端口转换NAPT（Network Address Port Translation）是人们比较常用的一种NA T方式。

它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NA T设备选定的TCP端口号。

3.地址绑定：为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP 地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。

4.抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Flood攻击；ICMP Flood攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FIN攻击；无确认FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；tear drop攻击。

【小组分工】组长：IP：192.168.10.200 管理员：IP：172.16.5.4 策略管理员+日志审计员：IP：172.16.5.3 日志审计员：IP：172.16.5.2 策略管理员：IP：172.16.5.1 配置管理员【实验设备】PC 五台防火墙1台（RG-Wall60 每实验台一组）跳线一条【实验拓扑】【实验结果】1.管理员主机对管理员主机的IP进行更改，改为192.168.10.200图一·管理员主机IP配置用超级中端重启防火墙（目的是清空防火墙以前的配置）图二·超级终端管理员为局域网内的其他主机添加管理员账号，添加后如下图图三·管理员账号添加管理主机，添加完后如下图：图四·管理主机管理主机对防火墙的LAN口进行相关配置，内网网关的借口IP为172.16.5.252，添加后如下图：图五·添加LAN口2.配置NAPT1）定义内网对象，打开内网定义——地址，然后是地址列表，点击添加，添加完成后，点击确定，如下图：图六·配置内网对象2）防火墙NET规则配置，进入安全策略——安全规则，点击NA T规则，做如下图配置，完成后确定：图七·NET规则配置3）完成以上所有配置后，有组内其他PC机对配置进行验证，随便选中内网的一台PC 机ping外网服务器192.168.10.200，结果是可以ping通的，如下图：图八·内网Ping外网外网PC机Ping内网的一台PC机，结果是ping不通的，结果如下图：图九·外网ping内网原因：有图六可知，我们设置了内网对象，IP的网段为172.16.5.0。

华为防火墙策略测试方案测试目标工作过程中遇到有些客户需要进行华为防火墙设备，此实验主要是熟练命令行配置华为防火墙。

熟练配置防火墙策略，熟悉防火墙安全区域配置方法。

拓扑概述1、Fw6防火墙作为出口设备。

2、AR6作为非安全区设备。

3、AR7作为安全区设备。

4、AR8作为非军事化区设备。

测试拓扑测试报告设备配置：<R6>dis cur[V200R003C00]#sysname R6#snmp-agent local-engineid 800007DB03000000000000 snmp-agent#clock timezone China-Standard-Time minus 08:00:00#portal local-server load portalpage.zip#drop illegal-mac alarm#set cpu-usage threshold 80 restore 75#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip address 10.0.10.1 255.255.255.0#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface NULL0#interface LoopBack0ip address 10.0.1.1 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.10.254#user-interface con 0authentication-mode passworduser-interface vty 0 4user-interface vty 16 20#wlan ac#return<R7>dis cur[V200R003C00]#sysname R7#snmp-agent local-engineid 800007DB03000000000000snmp-agent#clock timezone China-Standard-Time minus 08:00:00#portal local-server load portalpage.zip#drop illegal-mac alarm#set cpu-usage threshold 80 restore 75#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip address 10.0.20.1 255.255.255.0#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface NULL0#interface LoopBack0ip address 10.0.2.2 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.20.254#user-interface con 0authentication-mode passworduser-interface vty 0 4user-interface vty 16 20#wlan ac#return<R7><R8>dis cur[V200R003C00]#sysname R8#snmp-agent local-engineid 800007DB03000000000000snmp-agent#clock timezone China-Standard-Time minus 08:00:00#portal local-server load portalpage.zip#drop illegal-mac alarm#set cpu-usage threshold 80 restore 75#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user test password cipher %$%$aH$oPQzuh'3o*CU/2=)%6Y<o%$%$ local-user test service-type telnetlocal-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http#firewall zone Localpriority 15interface GigabitEthernet0/0/0ip address 10.0.30.1 255.255.255.0#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface NULL0#interface LoopBack0ip address 10.0.3.3 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.30.254#user-interface con 0authentication-mode passworduser-interface vty 0 4authentication-mode aaauser-interface vty 16 20#wlan ac#Ret<FW>dis cur2019-10-15 06:53:54.890!Software Version V500R005C10SPC300#sysname FW#l2tp domain suffix-separator @#ipsec sha2 compatible enable#undo telnet server enableundo telnet ipv6 server enable#clock timezone UTC add 00:00:00#update schedule location-sdb weekly Sun 02:42firewall defend action discard#banner enable#user-manage web-authentication security port 8887undo privacy-statement englishundo privacy-statement chinesepage-settinguser-manage security version tlsv1.1 tlsv1.2password-policylevel highuser-manage single-sign-on aduser-manage single-sign-on tsmuser-manage single-sign-on radiususer-manage auto-sync online-user#web-manager security version tlsv1.1 tlsv1.2web-manager enableweb-manager security enable#firewall dataplane to manageplane application-apperceive default-action drop#undo ips log merge enable#decoding uri-cache disable#update schedule ips-sdb daily 02:44update schedule av-sdb daily 02:44update schedule sa-sdb daily 02:44update schedule cnc daily 02:44update schedule file-reputation daily 02:44#ip vpn-instance defaultipv4-family#time-range worktimeperiod-range 08:00:00 to 18:00:00 working-day#ike proposal defaultencryption-algorithm aes-256 aes-192 aes-128dh group14authentication-algorithm sha2-512 sha2-384 sha2-256authentication-method pre-shareintegrity-algorithm hmac-sha2-256prf hmac-sha2-256#aaaauthentication-scheme defaultauthentication-scheme admin_localauthentication-scheme admin_radius_localauthentication-scheme admin_hwtacacs_localauthentication-scheme admin_ad_localauthentication-scheme admin_ldap_localauthentication-scheme admin_radiusauthentication-scheme admin_hwtacacsauthentication-scheme admin_adauthorization-scheme defaultaccounting-scheme defaultdomain defaultservice-type internetaccess ssl-vpn l2tp ikeinternet-access mode passwordreference user current-domainmanager-user audit-adminpassword cipher@%@%i2%d<s5o896Zat;{|=/=Kn1)3Yjt!aQ73.`lm8Ybq.@Gn1,K@%@% service-type web terminallevel 15manager-user api-adminpassword cipher@%@%5,F$3$m}r;6,&j!B|N0Tq-]2{bB&B:H[]%|DNA*hoeE)-]5q@%@% level 15manager-user adminpassword cipher@%@%&@l;O#EYG6RH@#1Tk51HeKrv<U!AC5p\1"Jaz`Wsp::IKrye@%@% service-type web terminallevel 15role system-adminrole device-adminrole device-admin(monitor)role audit-adminbind manager-user audit-admin role audit-admin bind manager-user admin role system-admin#l2tp-group default-lns#interface GigabitEthernet0/0/0undo shutdownip binding vpn-instance defaultip address 192.168.0.1 255.255.255.0alias GE0/METH#interface GigabitEthernet1/0/0undo shutdownip address 10.0.10.254 255.255.255.0#interface GigabitEthernet1/0/1undo shutdownip address 10.0.20.254 255.255.255.0#interface GigabitEthernet1/0/2undo shutdownip address 10.0.30.254 255.255.255.0#interface GigabitEthernet1/0/3undo shutdown#interface GigabitEthernet1/0/4undo shutdown#interface GigabitEthernet1/0/5undo shutdown#interface GigabitEthernet1/0/6undo shutdown#interface Virtual-if0#interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/0#firewall zone dmzset priority 50add interface GigabitEthernet1/0/2#ip route-static 10.0.1.0 255.255.255.0 10.0.10.1 ip route-static 10.0.2.0 255.255.255.0 10.0.20.1 ip route-static 10.0.3.0 255.255.255.0 10.0.30.1 #undo ssh server compatible-ssh1x enablessh authentication-type default passwordssh server cipher aes256_ctr aes128_ctrssh server hmac sha2_256 sha1ssh client cipher aes256_ctr aes128_ctrssh client hmac sha2_256 sha1#firewall detect ftp#user-interface con 0authentication-mode aaauser-interface vty 0 4authentication-mode aaaprotocol inbound sshuser-interface vty 16 20#pki realm default#sa##multi-linkifmode proportion-of-weight#right-manager server-group#device-classificationdevice-group pcdevice-group mobile-terminaldevice-group undefined-group#user-manage server-sync tsm#security-policyrule name policy_sec_2source-zone trustdestination-zone dmzaction permitrule name policy_sec_1source-zone trustdestination-zone untrustaction permitrule name policy_sec_3source-zone untrustdestination-zone dmzdestination-address 10.0.3.3 mask 255.255.255.255 service icmpservice telnetaction permit#auth-policy#traffic-policy#policy-based-route#nat-policy#quota-policy##dns-transparent-policy #rightm-policy#return<FW>。

防火墙的设计与配置实验报告(一)防火墙的设计与配置实验报告引言防火墙是网络安全中的重要组成部分，它能够保护网络免受恶意攻击和未经授权的访问。

在本实验报告中，我们将重点讨论防火墙的设计与配置。

设计原则为了确保防火墙的有效性和可靠性，我们应遵循以下设计原则：- 合规性：防火墙的配置和规则设置必须符合相关安全标准和法规要求。

- 防御深度：采用多层次的防护方式，例如网络隔离、访问控制列表（ACL）等，保障网络的安全性。

- 灵活性：防火墙的设计应该具备适应不同网络环境和需求变化的能力。

- 可管理性：防火墙的配置和管理应该简单易行，不影响正常网络运行。

配置步骤以下是防火墙配置的基本步骤：1.定义安全策略：根据实际需求，明确访问控制政策并制定安全规则。

2.确定网络拓扑：了解网络拓扑和通信流量，确定防火墙的位置及其与其他网络设备的连接方式。

3.规划地址空间：分配和规划IP地址、端口和协议。

4.设置访问规则：配置防火墙的访问控制列表（ACL），限制特定IP地址或端口的访问权限。

5.创建安全组：根据需求设定安全组，限制特定IP地址或协议的流量。

6.启用日志记录：开启防火墙日志记录功能，及时发现和应对潜在的安全威胁。

7.测试与验证：经过配置后，进行防火墙功能和安全性的测试与验证。

最佳实践以下是一些防火墙设计与配置的最佳实践：•使用默认拒绝规则：配置防火墙时，优先采用默认拒绝规则来限制访问，只允许必要的和经过授权的流量通过。

•定期审查和更新规则：定期审查现有的安全规则，删除不再需要的规则，并及时更新和添加新的规则以适应网络变化。

•网络监控和入侵检测：与防火墙配套使用网络监控和入侵检测工具，及时监测和响应网络安全事件。

•应用安全补丁和更新：定期更新和应用防火墙设备的安全补丁和软件更新，以关闭已知的漏洞和提高系统的安全性。

结论通过本次实验，我们深入了解了防火墙的设计与配置过程。

只有在遵循合适的设计原则和最佳实践的前提下，才能保障防火墙的有效性和网络的安全性。

实验三、防火墙设计与配置实验一、实验目的1、学习防火墙系统设计原理。

2、把握路由器包过滤防火墙配置方式。

3、把握子网过滤防火墙设计和配置方式。

二、实验内容1、设计并利用路由器包过滤规那么，设置防火墙。

2、设计并组建主机过滤防火墙系统，实现NAT （选做）。

3、设计并组建子网过滤防火墙系统（提高）。

三、实验原理帧中继互换机帧中继(Frame Relay)是从综合业务数字网中进展起来的，并在1984年推荐为国际电报咨询委员会（CCITT）的一项标准，另外，由美国国家标准协会授权的美国TIS标准委员会也对帧中继做了一些初步工作。

由于光纤网比初期的网误码率低得多，因此,能够减少的某些过失操纵进程，从而能够减少结点的处置时刻,提高网络的吞吐量。

帧中继确实是在这种环境下产生的。

帧中继提供的是数据链路层和物理层的协议标准，任何高层协议都独立于帧中继协议,因此，大大地简化了帧中继的实现。

目前帧中继的要紧应用之一是局域网互联,专门是在局域网通过广域网进行互联时，利用帧中继更能表现它的低网络时延、低设备费用、高带宽利用率等优势。

特点帧中继是一种先进的广域网技术，实质上也是分组通信的一种形式，只只是它将分组网中分组互换机之间的恢复过失、避免阻塞的处置进程进行了简化。

特点：1.因为帧中继网络不执行纠错功能，因此它的数据传输速度和传输时延比网络要别离高或低至少一个数量级。

2.因为采纳了基于变长帧的异步多路复用技术，帧中继要紧用于数据传输，而不适合语音、视频或其他对时延时刻灵敏的信息传输。

3.仅提供面向连接的虚电路效劳。

4.仅能检测到传输错误，而不试图纠正错误，而只是简单地将错误帧抛弃。

5.帧长度可变，许诺最大帧长度在1000B以上。

帧中继的要紧特点是：利用光纤作为传输介质,因此误码率极低，能实现近似无过失传输,减少了进行过失校验的开销,提高了网络的吞吐量；帧中继是一种宽带分组互换,利用复用技术时，其传输速度可高达。

可是,帧中继不适合于传输诸如话音、电视等实时信息，它仅限于传输数据。