实验7-防火墙的管理和配置

网络安全实验报告实验名称：实验七防火墙的配置和管理班级：实验地点：日期：评定等级：学号：姓名：一、实验目的：1.掌握Site-to-SiteIPsecVPN的配置；2.掌握防火墙的配置技术。二、基本技能实验内容、要求和环境：图1：“防火墙的配置和管理”实验拓扑根据网络拓扑结构完成相应的配置网络拓扑结构说明：1.ISP路由模拟INTERNET上的路由器2.WEB(202.168.0.20)模拟INTERNET上的WEB服务器和测试主机配置要求：企业A申请了一个公有地址段202.168.1.0/29，请对网络做如下配置：1.根据拓扑结构所示的IP信息配置所有主机及网络设备的IP信息，架构ACS、WEB服务器、完成相应的配置。2.在企业A的内部交换机上启用AAA服务，要求采用基于RADIUS的AAA对控制台与INTERNET登陆进行身份认证，创建合法用户进行登录测试；3.在防火墙上配置NAT，其要求为：a)在企业A的DMZ区域的WEB服务器要求静态PAT，映射后的全局地址为202.168.1.3b)在企业A的DMZ区域的DNS服务器要求静态PAT，映射后的全局地址为202.168.1.3c)企业A的内部主机使用PATd)企业A的内部主机访问企业DMZ服务器使用内部地址4.访问流量的控制a)企业A内网的所有主机可以发起到外网的访问b)企业A内网的主机到外网的PING可以返回c)外部网络可以发起到的配置三、实验步骤：1、使用GNS3模拟器和VMware虚拟机搭建如图拓扑2、配置ACS服务器，此处省略，配置参照实验实验43、在VMware虚拟机中架构DNS、WEB服务器，具体配置省略4、完成路由器的底层配置，包括IP地址，网关等，具体配置省略5、配置ASA防火墙，完成ASA的基本底层配置iscoasa(config)#interfaceEthernet0/0ciscoasa(config-if)#nameifoutsideciscoasa(config-if)#security-level0ciscoasa(config-if)#ipaddress202.168.1.1255.255.255.248ciscoasa(config-if)#noshciscoasa(config-if)#interfaceEthernet0/1ciscoasa(config-if)#nameifinsideciscoasa(config-if)#security-level100ciscoasa(config-if)#ipaddress192.168.2.1255.255.255.252ciscoasa(config-if)#noshciscoasa(config-if)#interfaceEthernet0/3ciscoasa(config-if)#nameifDMZciscoasa(config-if)#security-level50ciscoasa(config-if)#ipaddress192.168.254.1255.255.255.0ciscoasa(config-if)#nosh6、配置防火的NAT，使得在企业A的DMZ区域的WEB服务器要求静态PAT，映射后的全局地址为202.168.1.3和在企业A的DMZ区域的DNS服务器要求静态PAT，映射后的全局地址为202.168.1.3ciscoasa(config)#static(DMZ,outside)tcp202.168.1.3(config)#static(DMZ,outside)udp202.168.1.3domain192.168.254.10domainnetmask255.255.255.255007、配置防火墙的NAT，使得企业A的内部主机使用PATciscoasa(config)#nat(inside)20.0.0.00.0.0.0ciscoasa(config)#globle(dmz)2interfaceciscoasa(config)#nat(inside)1192.168.10.0255.255.255.0ciscoasa(config)#global(outside)1202.168.1.4-202.168.1.6netmask255.255.255.248ciscoasa(config)#routeinside192.168.10.0255.255.255.0192.168.2.2ciscoasa(config)#routeoutside0.0.0.00.0.0.0202.168.1.28、配置防火墙的NAT，使得企业A的内部主机访问企业DMZ服务器使用内部地址ciscoasa(config)#access-listin_to_dmzpermitip192.168.10.0255.255.255.0192.168.254.0255.255.255.0ciscoasa(config)#access-listin_to_dmzpermittcp192.168.10.0255.255.255.0192.168.254.0255.255.255.0eq(config)#access-listin_to_dmzpermitudp192.168.10.0255.255.255.0192.168.254.0255.255.255.0eqdomain9、配置访问流量的控制，使得企业A内网的所有主机可以发起到外网的访问,企业A内网的主机到外网的PING可以返回ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_defaultciscoasa(config-pmap-c)#inspecticmp10、配置访问流量的控制，使得外部网络可以发起到(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_defaultciscoasa(config-pmap-c)#inspecthttpciscoasa(config)#access-listout_to_dmzextendedpermittcpanyhost202.168.1.3eq(config)#access-listout_to_dmzextendedpermitudpanyhost202.168.1.3eqdomainciscoasa(config)#access-listout_to_dmzextendedpermiticmpanyhost202.168.1.3ciscoasa(config)#access-groupout_to_dmzininterfaceoutside11、对企业B的总公司与企业B的分公司进行SITE-TO-SITEVPN的配置，配置省略，配置参照实验612、为了测试需要，WEB服务难以测试，我们改为TFTP服务进行测试四、实验结果与分析1、测试ACS服务器AAA认证，用户名asa，密码cisco2、测试DNS服务器3、测试本地TFTP服务器，实现将路由器当前配置的startup-config拷贝到本地的TFTP服务器上4、测试远程TFTP服务器，实现将路由器当前配置的startup-config拷贝到远程TFTP服务器上5、测试外网主机访问企业A的DMZ区域的TFTP服务器6、测试外网访问DMZ区域DNS服务器7、测试IPsec五：思考题：