07《网络安全与防火墙技术》实验指导书

-1-《网络安全与防火墙技术》实验指导书任百利编沈阳大学信息工程学院-2-目录实验一代理服务器和应用级防火墙..........................................-3-实验二CISCO防火墙配置..................................................-5-实验三虚拟专用网配置...................................................-12-实验四安装配置个人防火墙...............................................-17--3-课程编号：1254101课程类别：专业必修适用层次：本科适用专业：计算机科学与技术（信息安全）课程总学时：32适用学期:第6学期实验学时：14开设实验项目数：4撰写人：任百利审核人：范立南教学院长：范立南实验一代理服务器和应用级防火墙一、实验目的与要求1．了解目前使用的代理服务器软件2．掌握一种代理服务器软件的安装、配置、和测试方法3．理解代理服务器的功能二、实验类型验证型三、实验原理及说明有许多代理服务器的程序可供您安装并使用，但如果为了便于试验室研究，您应该下载一个免费的、可以在实验室长期使用的产品，并且可以根据需要持续使用。对单个用户而言，这个程序是免费的。您可以将该程序安装在任何Windows2000或XP工作站上1．假设一个组织为其设计一个代理服务器方案。2．选择下载一种代理服务器软件，进行代理服务器软件的安装、配置和测试。四、实验仪器软件环境：MicrosoftWindows98MicrosoftWindowsMEMicrosoftWindowsNT（SP6）MicrosoftWindows2000professional/ServerMicrosoftWindowsXP硬件环境：PC兼容计算机或Intelx86的微处理器至少64MBRAM，建议96M(配合操作系统软件之最低需求)至少8MB硬盘空间，建议16M五、实验内容和步骤NetProxy软件(和以下所述的步骤中)假定您网络中的工作站使用范围从192.168.0.0到192.168.0.24的预定的IP地址，并认为IP地址是由使用动态主机控制协议(DCHP)的服务器动态生成的。如果安装NetProxy的工作站使用了不同的IP地址，则NetProxy会提示您用默认的IP地址代替计算机的实际IP地址。1．下载NetProxy代理服务器软件．配置客户机与代理一起工作。-4-3．使用自动配置文件配置浏览器。4．配置应用程序使用SOCKS。5．测试代理服务器网络地址转换（NAT）。6．建立Telnet连接，然后阻断。六、实验数据处理与分析分析代理服务器在企业的安全中的作用和实施方法。七、注意事项代理服务器安全规则、代理服务器的配置八、预习与思考题1．你知道那些代理服务器软件？试进行简单的比较。2．其他发现或想到的问题。-5-实验二Cisco防火墙配置一、实验目的与要求理解防火墙在网络系统中的作用，掌握防火墙的工作原理；掌握CiscoPIX系列防火墙的配置和使用方法；了解安全的网络系统结构；使用防火墙案要求配置。二、实验类型验证三、实验原理及说明四、实验仪器CiscoPIX515e防火墙1台；若干PC机组成的网络系统。五、实验内容和步骤1．PIX防火墙的基本配置实验描述：在该实验中，将实现对PIX防火墙的基本配置。要求使用超级终端方式配置PIX防火墙的接口、接口名称、全局参数以及NAT(网络地址翻译)等。实验步骤：第一步：进入特权模式，缺省密码为cisco。(假设已使用超级终端的方式连接到PIX上)，如下所示(其中黑体部分为用户输入的)：pixfirewallenable／输入指令enable如果是超级用户，默认密码为空Password：／输入密码cisco，此处不回显pixfirewall#／提示符变为#，表明已进入特权模式。第二步：进入全局配置模式，如下所示：pixiirewall#configureterminal／输人指令configureterminalpixfirewall(config)#／提示符变为配置模式第三步：显示该PIX防火墙的配置信息，换页使用空格键。如下所示：pixfirewall(config)#writeterminal／输入指令writeterminal。按空格键看下页。第四步：将该防火墙的名字改为KPIX，如下所示：pixfirewall(config)＃hostnameKPIX／输入指令hostnameKPIX(config)∥提示符相应改变第五步：显示nameif指令的可选项，如下所示：KPIX(config)＃nameif?／输入指令nameif?-6-usage：[no]nameifhardware_idKPIX(config)#第六步：将PIX防火墙的DMZ接口(e2)命名为dmz，并将其安全级别设为50。然后检查确认设置是否正确。KPIX(config)#nameife2dmzsecurity50／输人指令nameife2dmzsecufityS0如果出现错误，使用下列命令：（interfacee2NameifdmzSecurity50）KPIX(con_fig)#shownameif／输入指令shownameifnameifethemetOoutsidesecurity0nameifethemetlinsidesecurityl00nameifethemet2dmzsecufity50KPIX(con_fig)#第七步：将PIX防火墙的EthernetO接口、Ethernetl接口和Ethernet2接口都配置成Intel100Mbps全双工接口卡。然后检查确认修改是否正确，翻页使用空格键。如下所示：KPIX(config)#interfaceethernet0lOOfull／输人指令inte0lOOf替代命令：（interfaceEthernet0Duplexfull或者：interfaceEthernet0speed10/配置成10Mbps）KPIX(config)#interfaceethernet1lOOfull／输入指令inte1lOOfKPIX(config)#interfaceethernet2lOOfull／输人指令inte2lOOfKPIX(config)#showinterface／输入指令showinterfaceKHX(config)#第八步：为PIX防火墙的outside接口分配IP地址30．200．2．1，inside接口分配IP地址172．15．1．1，DMZ接口分配IP地址10．1．1．1，子网掩码都设置为255．255．255．O。如下所示：KPIX(config)#ipaddressoutside30.200.2.1255．255．255．0替代命令：（interfaceEthernet0-7-ipaddress30.200.2.1255．255．255．0）KPIX(config)#ipaddressinside172.16.1.1255．255．255．0KPIX(config)#ipaddressdmz10.1.1.1255．255．255．OKPIX(config)#第九步：检查并确认上述对PIX防火墙各个接口IP地址的配置是否正确。如下所示：KPIX(config)#showipaddressKPIX(config)#第十步：为外部的连接分配一个NIC注册的IP地址池，范围是30.200.2.10-30.200.2.254。设置NAT-ID为1，掩码为24位。设置完后检查并确认上述修改是否正确实现。如下所示：KPIX(config)#global(outside)130．200．2．10-30．200．2．254net255．255．255．O/本条命令需先进入相应接口再输入命令KPIX(config)#showglobalKPIX(config)#第十一步：配置PIX防火墙，使之能让所有的内部主机使用NAT协议与外部的连接进行对话。要求使用NAT-ID号为l，并使用最简洁的IP地址和子网掩码形式。设置完后检查并确认上述修改是否正确。如下所示：KPIX(config)#nat(inside)100KPIX(config)#shownat显示：nat(inside)1O.0.0.OO.0.0.000KPIX(config)#第十二步：为PIX防火墙的outside接口分配一个默认路由30．200．2．2，检查并确认修改是否正确。如下所示：KPIX(con_fig)#routeoutsideOO30.200.2.2KPIX(config)#showrouteoutside0.0.0.OO.O.O.030.200.2.21OTHERstaticdmz10.1.1.0255.255.255.O10.1.1.11CONNECTstaticoutside30.200.2.0255.255.255.O30.200.2.1lCONNECTstaticinside172.16.1.0255.255.255.0172.15.1.11CONNECTstaticKPIX(config)#第十三步：将PIX防火墙的配置信息写入内存中。如下所示：KPIX(config)#writememoryBuildingconfiguration．．．Cryptochecksum：669fel45fe933c83a27fTfa4985390a-8-[OK]KPIX(config)#第十四步：使用end命令返回特权模式。如下所示：KPIX(config)#endKPIX#第十五步：PingPIX防火墙的inside接口(172.16.1.1)。所有执行ping命令前要先进入接口，执行打开接口命令，再执行ping，如：Inte0NoshutdownKPIX(config)#pinginside172.16.1.1172.16.1.1responsereceived-10ms172.16.1.1responsereceived-1Oms172.16.1.1responsereceived-1OmsKPIX#第十六步：PingPIX防火墙的outside接口(30.200.2.1)。KPIX(config)#pingoutside30.200.2.130.200.2.1responsereceived-10ms30.200.2.1responsereceived-10ms30.200.2.1responsereceived-10msKPIX#第十七步：PingPIX防火墙的DMZ接口(10.1.1.1)。KPIX(config)#pingoutside10.1.1.110.1.1.1responsereceived-10ms10.1.1.1responsereceived-10ms10.1.1.1responsereceived-10msKPIX#第十八步：PingPIX防火墙的outside接口(30.200.2.2)。KPIX(config)#pingoutside30.200.2.230.200.2.2responsereceived-10ms30.200.2.2responsereceived-10ms30.200.2.2responsereceived-10msKPIX#第十九步：PingNT服务器(172.16.1.10)。KPIX(config)#pinginside172.16.1.10-9-172.16.1.10responsereceived-10ms172.16.1.10responsereceived-10ms172.16.1.10responsereceived-10msKPIX#第二十步：实验完成，退出。2．PIX防火墙NAT及管道的配置实验描述：在本