實驗五(防火墻)

實驗報告實驗名稱基于Windows的NAT防火墻實驗指導教師實驗類型網(wǎng)絡平安實驗學時4實驗時間一、實驗目的〔1〕了解和學習網(wǎng)絡平安中，防火墻的根本原理、方法及其應用；〔2〕學習和掌握防火墻技術及系統(tǒng)的功能與實現(xiàn)；〔3〕了解和學習WindowsNAT防火墻技術；〔4〕學習和掌握Windows系統(tǒng)中NAT防火墻的功能、配置和使用操作；二、實驗儀器和器材windows2000NAT/2003Server的計算機；用虛擬環(huán)境進行配置實驗原理、內(nèi)容及步驟〔一〕、實驗原理：(1)防火墻概述；〔2〕NET防火墻技術；〔3〕WindowsServer2003NAT防火墻〔4〕根據(jù)網(wǎng)絡拓撲圖〔二〕、實驗內(nèi)容：〔1〕實驗網(wǎng)絡環(huán)境配置；〔2〕安裝WindowsNAT防火墻；〔3〕配置WindowsNAT防火墻；〔4〕測試WindowsNAT防火墻；〔三〕實驗步驟：1、虛擬網(wǎng)絡配置在本實驗中，我們需要通過Vmware創(chuàng)立兩個虛擬網(wǎng)絡：網(wǎng)絡適配器、網(wǎng)絡適配器2，〔1〕啟動Vmware，添加網(wǎng)絡適配器，一個為橋連，一個為NET〔2〕修改網(wǎng)絡適配參數(shù)：2、掛起電源，即啟動Vmware2003Server：〔2〕配置本地連接2虛擬網(wǎng)卡的TCP/IP屬性配置。設置為：ip：10，子網(wǎng)掩碼：.3、安裝WindowsNAT防火墻Vmware2003Server在默認情況下沒有安裝NAT協(xié)議，需要手工添加。在這個實驗中，我們將通過配置并啟用Vmware2003Server的路由與遠程訪問實現(xiàn)NAT防火墻。具體實驗步驟如下：〔1〕翻開路由和遠程訪問在Vmware2003Server虛擬效勞器中，一次點擊桌面的“開始菜單→所有程序→管理工具→路由和遠程訪問〞：然后彈出如下對話框：〔2〕路由和遠程訪問效勞器安裝向?qū)г谏蠄D中，翻開的控制臺左側(cè)選中配置并啟用路由和遠程訪問。〔3〕網(wǎng)絡地址轉(zhuǎn)換〔NAT〕單擊向?qū)е械南乱徊?，出現(xiàn)如下對話框：選中“網(wǎng)絡地址轉(zhuǎn)換〔NAT〕〞單項選擇項，然后單擊“下一步〞按鈕；〔4〕NATInternet連接路由和遠程訪問效勞器安裝向?qū)棾觥癗ATInternet連接〞對話框，該對話框用于設置連接到Internet上的網(wǎng)絡接口，如下列圖所示：“本地連接〞的網(wǎng)絡接口，然后選中“通過設置根本防火墻來對選擇的接口進行保護〞復選框，然后單擊下一步。〔5〕名稱和地址轉(zhuǎn)換效勞路由和遠程訪問效勞器安裝向?qū)棾觥懊Q和地址轉(zhuǎn)換效勞〞對話框，如下列圖：在上圖的對話框中，包含兩個單項選擇項：“啟用根本的名稱和地址效勞〞和“我將稍后設置名稱和地址效勞〞，在本實驗中，對內(nèi)網(wǎng)的主機網(wǎng)絡設置采用手動方式，因此這里選擇“我將稍后設置名稱和地址效勞〞復選框。然后單擊下一步。〔6〕結束NAT防火墻安裝向?qū)ё詈?，彈出“完成路由和遠程訪問效勞器安裝向?qū)Ж晫υ捒颍c擊“完成〞按鈕，結束NAT防火墻的安裝。此時，在IP路由選擇列表中就可以看到“NAT/根本防火墻〞節(jié)點。4、配置WindowsNAT防火墻在路由和遠程訪問控制臺的樹形目錄“IP路由選擇器〞下將產(chǎn)生一個“NAT/根本防火墻〞節(jié)點，下面是我們通過該節(jié)點對防火墻進行配置的步驟；〔1〕NAT防火墻日志記錄設置日志記錄是防火墻的一個擴展功能，下面進行設置WindowsNAT防火墻日志的實驗操作。首先右鍵單擊IP路由選擇中的“NAT/根本防火墻〞，并右鍵菜單中選擇“屬性〞，如下列圖所示：〔2〕配置NAT轉(zhuǎn)換表緩存時間在彈出的NAT/根本防火墻屬性對話框中選中“轉(zhuǎn)換〞標簽頁，本實驗中，我們將NAT轉(zhuǎn)換表的TCP映射緩存時間設置為60分鐘，如下列圖所示：〔3〕配置NAT防火墻的DHCP和DNS代理在NAT防火墻屬性對話框中選擇“地址指派〞標簽頁，并在該頁中可以選擇“使用DHCP分配器自動分配IP地址〞，然后在IP地址和掩碼欄中分別設置內(nèi)網(wǎng)的網(wǎng)絡地址及其掩碼，如下列圖〔A〕所示；接著選擇NAT防火墻屬性對話框的“名稱解析〞標簽頁，并在該頁中可以選擇“使用城名系〔DNS〕的客戶端〞選項，如下列圖〔B〕所示：〔A〕(B)(4)過濾外網(wǎng)主機單擊IP路由選擇列表中的“NAT/根本防火墻〞節(jié)點，在右邊的視圖中出現(xiàn)網(wǎng)絡接口，選擇“本地連接〞，進入它的屬性配置：在彈出的本地連接屬性對話框中選擇“NAT/根本防火墻〞標簽頁，如下列圖所示：在上圖中我們是選擇“公用接口連接到Internet〞，并選中“在此接口上啟用根本防火墻〞，然后單擊“出站篩選器〞，彈出如下所示對話框：然后單擊新建按鈕，出現(xiàn)如下對話框：填寫好我們要的源網(wǎng)絡和目標網(wǎng)絡后單擊“確定〞按鈕，回到出站篩選對話框，并單擊確定按鈕；〔5〕動態(tài)NAT設置WindowsNAT防火墻支持動態(tài)NAT，可以在下列圖中所示接口屬性的“地址池〞標簽頁中進行動態(tài)NAT設置。但在本實驗中，不采用動態(tài)NAT，所以對于上圖所示的外網(wǎng)地址池列表中，不進行添加設置?！?〕在內(nèi)網(wǎng)中提供FTP效勞“效勞和端口〞是NAT防火墻端口映射的重點，它配置的是公用地址哪些端口的訪問將被轉(zhuǎn)發(fā)到內(nèi)部局域網(wǎng)的哪個IP和端口上。我們可以通過WindowsNAT防火墻外網(wǎng)接口屬性的“效勞和端口〞標簽頁進行設置，在外網(wǎng)的用戶提供FTP效勞，點擊效勞列表中的“FTP效勞器〞便彈出如下對話框：點擊確定便行了，如下列圖所示：〔7〕禁止PingNAT防火墻測試為了防止外網(wǎng)惡意主機對NAT防火墻的Ping掃描攻擊，可以通過WindowsNAT防火墻外網(wǎng)接口屬性的“ICMP〞標簽頁進行ICMP協(xié)議過濾設置，如下列圖所示：5、WindowsNAT防火墻測試〔1〕外網(wǎng)Ping內(nèi)網(wǎng)NAT防火墻測試在外網(wǎng)主機上通過Ping命令掃描內(nèi)網(wǎng)NAT防火墻，例如在Windows系統(tǒng)的主機的命令提示符下輸入命令：以上結果說明了，外網(wǎng)主機無法收到NAT防火墻Ping響應數(shù)據(jù)包，這是由于在NAT防火墻中禁止了外網(wǎng)主機對NAT防火墻進行Ping主機掃描攻擊。四、實驗小結和思考〔包括感想、體會與啟示〕在這次的實驗中，我不白怎么在一個IP地址的主機上進行Ping測試，我們的主機不是只有一個IP地址嗎？怎么轉(zhuǎn)換？在進行內(nèi)網(wǎng)主機Ping外網(wǎng)測試時不知是我的命令提示符界面選擇錯誤