网络应用技术实验八：防火墙实现访问控制（华为ensp）

一、实验简介

二、实验目的

三、实验需求

四、实验拓扑

五、实验步骤

1、设计全网 IP 地址

2、设计防火墙安全策略

3、在 eNSP 中部署园区网

4、配置用户主机地址

5、配置网络设备

配置交换机SW-1~SW-5

配置路由交换机RS-1~RS-5

配置路由器R-1~R-3

6、配置仿真服务

（1）创建测试 Web 服务所需要文件夹与文件

（2）创建测试 FTP 服务所需要文件夹与文件

（3）配置 DNS 仿真服务

（4）配置 Web 仿真服务

（5）配置 FTP 仿真服务

7、配置防火墙网络参数实现全网互通

（1）配置防火墙接口；

（2）配置防火墙安全区域；

（3）配置防火墙路由信息（OSPF）

（4）测试全网通信

一、实验简介

在园区网中部署服务器子网，在用户区域网络和服务器子网之间部署防火墙（FW-1 ），通过设置防火墙安全策略，控制用户区域网络中的主机对服务器子网的访问，例如控制某用户主机网段只能访问 Web 服务器提供的 http 服务，而不能访问其他服务。

二、实验目的

1 、理解包过滤防火墙的工作原理；

2 、掌握在 eNSP 中引入防火墙设备的方法；

3 、掌握利用防火墙实现园区网通信的访问控制。

三、实验需求

1 、硬件

每人一台计算机。

2 、软件

计算机安装 Windows 10 操作系统、 eNSP 网络仿真软件、 VirtualBox 虚拟化软件

3 、网络

实验本身内容不需要访问互联网。

4 、工具

无

四、实验拓扑

本实验的网络拓扑要求如下：

（1）R1 、 R2 及其下联网络是用户区域网络（即用户子网）， RS-1 ～ RS-4 是用户区域网络中的路由交换机，起汇聚作用。SW-1～SW-4 是二层交换机，起接入作用。Host-1～ Host-8 是用户主机，分别属于不同的 VLAN ；

（2）SW-5 连接的网络是服务器子网，其中 Service-DNS 表示 DNS 服务器（ eNSP 仿真，Service-Web 表示 Web 服务器（ eNSP 仿真）， Service-FTP 表示 FTP 服务器（ eNSP 仿真）。服务器子网接入在路由交换机 RS-5 上；

（3）用户区域网络和服务器子网之间部署防火墙 FW-1 。

五、实验步骤

1、设计全网 IP 地址

（ 1 ）所有用户主机的 IP 地址为静态 IP ，其格式为 192.A.*.* ，其中 A 为学生本人学号后 2 位，* 表示该值由学生自定。各用户主机分属于不同 VLAN ，其 IP 地址应属于不同的网段；

（ 2 ）各路由器互连接口的地址格式为 10.A.*.* ，其中 A 为学生本人学号后 2 位，*表示该值由学生自定；

（ 3 ）各个仿真服务器的 IP 地址格式为 172.16.A.*/24 ，其中 A 为学生本人学号后2 位。

（ 4 ）默认网关地址，由本网段最后一个可用单播地址表示。

2、设计防火墙安全策略

在网络连通正常的前提下，通过配置防火墙策略，实现以下通信控制：

（ 1 ） Host-1 ～ Host-4 主机不可以 Ping 通服务器子网中的服务器， Host-5 ～ Host-8可以；

（ 2 ） Host-1 ～ Host-8 主机都可以使用 DNS 解析服务；

（ 3 ）仅允许 Host-1-Host-4 主机可以以 Web 方式访问 Web 服务；

3、在 eNSP 中部署园区网

由于本实验中要通过仿真的方式，测试用户主机对各种网络服务的访问效果，从而实现防火墙对 DNS 、 FTP 、 Web 访问的控制。原来使用的 PC 终端无法实现这些操作，因此 Host-1 ～ Host-8 采用 eNSP 中“终端”设备里的 Client 。服务器（包括 DNS 、 DHCP 、FTP）采用 eNSP 中“终端”设备里的 Server 。防火墙采用 USG6000V 。其他设备型号同前面实验。

eNSP 中，防火墙在第一次启动时，需要载入设备文件下载“ eNSP-plug-vfw_usg.zip ”解压缩即可得到设备文件。载入防火墙设备文件的操作，开启FW-1，即可点击浏览选择解压后的文件导入即可开启FW设备。

这里我放一下压缩包链接：

链接: https://pan.baidu.com/s/1wWKm8jBHIO__CW9yp0Xj8g?pwd=ensp

提取码: ensp

注意：华为防火墙初始用户名和密码分别为 admin，Admin@123。

4、配置用户主机地址

为了测试仿真服务器提供的服务，此处的用户主机使用 Client 终端。配置各用户主机的 IP 地址。

具体操作略。

配置Host-1~Host-8

5、配置网络设备

配置除防火墙之外的其他网络设备

配置交换机SW-1~SW-5

配置路由交换机RS-1~RS-5

配置路由器R-1~R-3

6、配置仿真服务

（1）创建测试 Web 服务所需要文件夹与文件

创建文件夹Web作为网站存放位置。

在D:\Web文件夹创建一个记事本文件index.txt，输入内容为“这个是我的测试网站”

（2）创建测试 FTP 服务所需要文件夹与文件

（3）配置 DNS 仿真服务

（4）配置 Web 仿真服务

（5）配置 FTP 仿真服务

7、配置防火墙网络参数实现全网互通

此处防火墙配置成路由模式。首先配置防火墙的基础网络参数，实现全网互通，

用作与添加安全策略后通信进行对比。主要操作包括：

（1）配置防火墙接口；

（2）配置防火墙安全区域；

（3）配置防火墙路由信息（OSPF）

（4）测试全网通信

测试Web服务，Host-1~Host-8可以正常访问DNS服务器

序号	源主机	目的主机	安全策略	通信结果
1	Host-1	Service-Web	--	正常
2	Host-2	Service-Web	--	正常
3	Host-3	Service-Web	--	正常
4	Host-4	Service-Web	--	正常
5	Host-5	Service-Web	--	正常
6	Host-6	Service-Web	--	正常
7	Host-7	Service-Web	--	正常
8	Host-8	Service-Web	--	正常

Host-1~Host-8访问Service-FTP通信测试：

序号	源主机	目的主机	安全策略	通信结果
1	Host-1	Service-FTP	--	正常
2	Host-2	Service-FTP	--	正常
3	Host-3	Service-FTP	--	正常
4	Host-4	Service-FTP	--	正常
5	Host-5	Service-FTP	--	正常
6	Host-6	Service-FTP	--	正常
7	Host-7	Service-FTP	--	正常
8	Host-8	Service-FTP	--	正常

8 、配置防火墙安全策略实现访问控制

依据前面的规划，在防火墙上配置安全策略，然后测试相关通信效果。

通信测试：

（1）Host-1～Host-4 主机不可以 Ping 通服务器子网中的服务器，Host-5～Host-8 可以；

序号	源主机	目的主机	安全策略	通信结果
1	Host-1	Service-DNS	拒绝	不通
2	Host-2	Service-DNS	拒绝	不通
3	Host-3	Service-DNS	拒绝	不通
4	Host-4	Service-DNS	拒绝	不通
5	Host-5	Service-DNS	允许	通
6	Host-6	Service-DNS	允许	通
7	Host-7	Service-DNS	允许	通
8	Host-8	Service-DNS	允许	通

（2）Host-1～Host-8 主机都可以使用 DNS 解析服务；

序号	源主机	目的主机	安全策略	通信结果
1	Host-1	Service-DNS	允许	正常
2	Host-2	Service-DNS	允许	正常
3	Host-3	Service-DNS	允许	正常
4	Host-4	Service-DNS	允许	正常
5	Host-5	Service-DNS	允许	正常
6	Host-6	Service-DNS	允许	正常
7	Host-7	Service-DNS	允许	正常
8	Host-8	Service-DNS	允许	正常

（3）仅允许 Host-1-Host-4 主机可以以 Web 方式访问 Web 服务；

序号	源主机	目的主机	安全策略	通信结果
1	Host-1	Service-Web	允许	正常
2	Host-2	Service-Web	允许	正常
3	Host-3	Service-Web	允许	正常
4	Host-4	Service-Web	允许	正常
5	Host-5	Service-Web	拒绝	失败
6	Host-6	Service-Web	拒绝	失败
7	Host-7	Service-Web	拒绝	失败
8	Host-8	Service-Web	拒绝	失败