[网络安全][使用防火墙实现安全的访问控制]

第二章 防火墙安全技术实验 使用防火墙实现安全的访问控制 【实验名称】 使用防火墙实现安全的访问控制 【实验目的】 利用防火墙的安全策略实现严格的访问控制 【背景描述】 某企业网络的出口使用了一台防火墙作为接入 Internet 的设备， 现在需要使用防火墙的 安全策略实现严格的访问控制，以允许必要的流量通过防火墙，并且阻止到 Internet 的未授 权的访问。 企 业 内 部 网 络 使 用 的 地 址 段 为 100.1.1.0/24 。 公 司 经 理 的 主 机 IP 地 址 为 100.1.1.100/24，设计部的主机 IP 地址为 100.1.1.101/24~100.1.1.103/24，其它员工使用 100.1.1.2/24~100.1.1.99/24 范围内的地址。并且公司在公网上有一台 IP 地址为 200.1.1.1 的外部 FTP 服务器。 现在需要在防火墙上进行访问控制，使经理的主机可以访问 Internet 中的 Web 服务器 和公司的外部 FTP 服务器，并能够使用邮件客户端（SMTP/POP3）收发邮件；设计部的 主机可以访问 Internet 中的 Web 服务器和公司的外部 FTP 服务器； 其它员工的主机只能访 问公司的外部 FTP 服务器。 【需求分析】 企业网络需要对内部网络到达 Internet 的流量进行限制，防火墙的安全策略（包过滤规 则）可以满足这个需求，实现内部网络到 Internet 的严格的访问控制需求。 57 网络安全实验教程 【实验拓扑】 【实验设备】 防火墙连接到 Internet 的链路 防火墙 1 台 PC 3 台 FTP 服务器 1 台 【预备知识】 网络基础知识 防火墙工作原理 【实验原理】 实现访问控制是防火墙的基本功能，防火墙的安全策略（包过滤规则）可以根据数据包 的源 IP 地址、目的 IP 地址、服务（端口号）等对通过防火墙的报文进行检测。 【实验步骤】 第一步：配置防火墙接口的 IP 地址 进入防火墙的配置页面：网络配置—接口 IP，单击按钮为接口添加 IP 地址。 58 第二章 防火墙安全技术实验 为防火墙的 LAN 接口配置 IP 地址及子网掩码。 为防火墙的 WAN 接口配置 IP 地址及子网掩码。 接口配置 IP 地址后的状态。 第二步：配置针对经理的主机的访问控制规则 59 网络安全实验教程 进入防火墙配置页面：安全策略-安全规则，单击页面上方的按钮添加 包过滤规则。 添加允许经理的主机访问Internet中 Web 服务器的包过滤规则。 添加允许经理的主机进行 DNS 域名解析的访问规则。 60 第二章 防火墙安全技术实验 添加允许经理的主机访问公司外部 FTP 服务器的访问规则。 添加允许经理的主机使用邮件客户端发送邮件（SMTP）的访问规则。 61 网络安全实验教程 添加允许经理的主机使用邮件客户端接收邮件（POP3）的访问规则。 第三步：配置针对设计部的主机的访问控制规则 添加允许设计部的主机访问 Internet 中 Web 服务器的访问规则。 62 第二章 防火墙安全技术实验 添加允许设计部的主机进行 DNS 域名解析的访问规则。 添加允许设计部的主机访问公司外部 FTP 服务器的访问规则。 63 网络安全实验教程 第四步：配置针对其它员工的主机的访问控制规则 添加允许其它员工的主机访问公司外部FTP 服务器的访问规则。 第五步：查看配置的访问规则 64 第二章 防火墙安全技术实验 第六步：验证测试 z 经理的主机可以访问 Internet 中的 Web 服务器和公司的外部 FTP 服务器， 并能够 使用邮件客户端（SMTP/POP3）收发邮件。 z 设计部的主机可以访问 Internet 中的 Web 服务器和公司的外部 FTP 服务器。 z 其它员工的主机只能访问公司的外部 FTP 服务器。 【注意事项】 z 防火墙的访问控制规则是按照顺序进行匹配的， 如果数据流匹配到某条规则后， 将 不再进行后续规则的匹配。 z 默认情况下，防火墙拒绝所有未明确允许的数据流通过。 z 本实验中没有给出防火墙路由的配置， 需要根据实际网络情况在防火墙上配置到达 Internet（通常是默认路由）和内部网络的路由。 65