ensp的网络通信防火墙实验

1、实验目的：

（1）理解防火墙的作用和工作原理；

（2）掌握防火墙的配置命令及方法；

（3）区分基于端口配置的包过滤防火墙和基于安全域配置的防火墙；

2、实验内容：

（1）搭建防火墙安全拓扑；

（2）创建和配置防火墙安全区域；

（3）配置安全策略，部署NAT；

（4）测试防火墙功能。

3、实验记录：

（1）搭建防火墙实验拓扑：

给内网配置相应的ip地址：192.168.1.0/24 ，然后进入防火墙查看当前配置信息、版本信息；防火墙分为三个区域trust、untrust、dmz;

(2)在防火墙相应的接口下配置ip地址，即配置内网网关地址192.168.1.254/24；同时在路由器和防火墙之间的接口都配上相应的ip地址，以及配置外网的网关地址；配置后如下

防火墙：

 路由器：

（3）设置防火墙安全的区域，即将内网加入到可信区域，外网加入到不可信区域配置过程如下：

1.  
   可信区域：Firewall zone trust ; add int g0/0/0
2.  
    
3.  
   不可信区域：firewall zone untrust ; add int g0/0/1

配置后如下：

（4）配置防火墙区域间包过滤：在防火墙系统视图下配置，配置如下：

1.  
   Policy int trust untrust outbound
2.  
    
3.  
   Policy 0
4.  
    
5.  
   Action permit
6.  
    
7.  
   Policy source 192.168.1.0  0.0.0.255 （即只允许192.168.1.0的网段能够访问外网）

配置后如下：

（5）配置nat

配置过程：在防火墙系统视图下：

1.  
   nat-policy int trust untrust outbound
2.  
    
3.  
   Policy 1
4.  
    
5.  
   Action source-nat
6.  
    
7.  
   Policy source 192.168.1.0  0.0.0.255
8.  
    
9.  
   Easy-ip g0/0/1

(即将源地址地址进行转换，转换为g0/0/1接口下的ip地址220.1.1.1)

（6）配置默认路由到外网 ip route-static  0.0.0.0  0.0.0.0  220.1.1.2

（7）测试：

由防火墙到外网和到内网是联通的：

内网pc访问外网：

 外网pc访问内网：

 内网访问外网防火墙建立的session表：

4、实验结论

（1）防火墙分为三个区域即trust、untrust、dmz;且防火墙下的接口只有在相应区域的管控下，才能够进行下一步的通信；否则不能通信；

（2）防火墙将内网划为可信区域，外网划分为不可信区域，即内网可以访问外网，外网不能直接访问内网；

（3）配置nat策略时，需要将其内网地址进行转换，其内网地址一般为私网地址需要将其转换为公网地址，才可实现内网访问外网；

（4）当内网访问外网时，防火墙会建立动态的session表，为内网访问外网时，给外网回应内网搭建桥梁。

这篇好文章是转载于：学新通技术网