防火墙技术及应用实验指导 pdf下载

本书为“防火墙技术及应用”课程的配套实验指导教材。全书分为5章，分别介绍防火墙基本配置、防火墙网络部署、防火墙基本应用、防火墙高级应用，以及防火墙复杂场景实践。本书向读者提供贴近真实场景的实验环境，协助读者理解防火墙的技术与应用。

本书由奇安信集团联合高校针对网络空间安全专业的教学规划组织编写，既适合作为网络空间安全、信息安全等专业的本科生实验教材，也适合作为网络空间安全研究人员的基础读物。

目录

第1章防火墙基本配置1

1.1防火墙开局基本配置1

1.2局域网常见基本网络设置9

1.2.1防火墙DHCP设置实验9

1.2.2防火墙IPMAC绑定实验14

第2章防火墙网络部署22

2.1安全域管理与安全策略管理22

2.1.1防火墙安全域管理实验22

2.1.2防火墙安全策略管理实验29

2.2部署方式34

2.2.1防火墙网关单出口部署实验34

2.2.2防火墙桥接口部署实验41

2.2.3防火墙网关多出口部署实验51

2.3地址转换及IP地址管理64

2.3.1防火墙源NAT实验64

2.3.2防火墙目的NAT实验72

2.3.3防火墙地址黑名单实验82

第3章防火墙基本应用90

3.1服务及应用管理90

3.2关键字及行为管控配置97

3.2.1防火墙预设关键字管理实验97

3.2.2防火墙行为管控实验111

3.3安全防护配置122

3.3.1防火墙反病毒配置实验122

3.3.2防火墙攻击防护管理实验133

3.4网络应用配置156

3.4.1防火墙IPSec VPN实验1563.4.2防火墙QoS实验174

第4章防火墙高级应用192

4.1认证管理192

4.1.1防火墙安全认证实验192

4.1.2防火墙CA中心配置实验210

4.2高级部署模式227

4.2.1防火墙网关HA主备模式部署实验227

4.2.2防火墙虚拟系统创建管理实验245

4.3数据分析273

4.3.1防火墙会话管理实验273

4.3.2防火墙日志管理实验279

第5章防火墙复杂场景实践307

第5章防火墙复杂场景实践

通过前四章的实验掌握防火墙的配置、管理和应用，本章为防火墙综合实验，将综合上述技能完成防火墙的配置、管理与应用，对上述所掌握的技能进行检验。

【实验目的】

综合运用所学防火墙相关知识，完成防火墙设备部署、配置时的常用操作，例如网关双出口配置、静态路由策略、源NAT策略、OSPF路由、关键字配置及应用、黑白名单、攻击防护等相关配置，实现内网用户通过防火墙访问外网Web服务器、带宽控制、访问控制、攻击防护等安全功能。

【知识点】

路由、源NAT、OSPF、关键字、黑名单、白名单、端口、扫描、网关、安全域、安全策略。

【场景描述】

A公司因业务增加，于某地设立研发分部，指派安全运维工程师为研发分部的信息系统部署防火墙，研发分部申请了两个外网接口，通过对防火墙的黑白名单、外网接口路由OSPF配置、安全防护策略等进行配置，实现防火墙达到日常基本运行状态，保证内部主机正常访问外部网站、实现基本安全防护和带宽控制等功能。请帮助安全运维工程师配置防火墙。

【实验原理】

在防火墙课程设计中，需要综合运用防火墙的策略配置、对象配置、网络配置等功能项，实现对防火墙内部信息系统的安全防护，并通过黑白名单、防护策略等规则策略的综合运用，实现信息系统内部的访问控制、带宽控制等功能。

【实验设备】

 安全设备: 防火墙设备1台。

 网络设备: 路由器2台，二层交换机1台。

 主机终端: Windows Server 2003 SP2主机3台，Windows XP主机1台，Windows 7主机2台。

【实验拓扑】

实验拓扑如图51所示。

图51防火墙复杂场景实验拓扑

【实验思路】

(1) 配置防火墙接口和安全域。

(2) 配置对象管理。

(3) 配置基本安全策略。

(4) 配置源NAT转换。

(5) 配置静态路由。

(6) 配置OSPF。

(7) 配置关键字组。

(8) 配置安全配置文件。

(9) 在基本安全策略中引用安全防护策略。

(10) 内网主机可访问外网Web服务器，并可按照配置的关键字、安全防护策略等设置实现内网主机的行为控制、安全防护等功能。

(11) 配置地址黑白名单，实现对指定IP地址的阻断访问。

(12) 配置攻击防护策略，使得外网主机扫描防火墙外网IP地址时提供安全防护和警告。

(13) 对内网主机进行 IPMAC绑定，设置未绑定策略，提高内网安全性。

防火墙技术及应用实验指导第5章防火墙复杂场景实践【实验步骤】

(1)～（3） 登录并管理防火墙，检查防火墙的工作状态，如图52所示。

图52防火墙面板界面

(4) 配置网络接口。单击面板上方导航栏中的“网络配置”→“接口”，显示当前接口列表，单击ge2一行右侧“操作”列中的笔形标志，编辑ge2接口设置,如图53所示。

图53编辑ge2接口

(5) 在弹出的“编辑物理接口”界面中，ge2是模拟连接Internet的两个接口之一，因此“安全域”设置为untrust，“工作模式”选中“路由模式”单选按钮，在“本地地址列表”中的IPv4标签栏中，单击“+添加”按钮。

(6) 在弹出的“添加IPv4本地地址”界面中，在“本地地址”中输入ge2对应的IP地址“124.16.8.2”，“子网掩码”输入“255.255.255.0”，“类型”为float,如图54所示。

图54输入ge2对应IP地址

(7) 单击“确定”按钮，返回“编辑物理接口”界面，确认ge2接口信息是否无误。

(8) 单击“确定”按钮，返回“接口”列表中，继续单击ge3一行右侧“操作”列的笔形标志，编辑ge3接口信息。ge3接口也是模拟连接外网的两个接口之一，因此“安全域”设置为untrust，“工作模式”选中“路由模式”单选按钮，在“本地地址列表”一栏中，单击IPv4一栏中的“+添加”按钮。

(9) 在弹出的“添加IPv4本地地址”界面中，“本地地址”输入ge3对应的IP地址“125.17.9.2”，“子网掩码”输入“255.255.255.0”,如图55所示。

网络空间安全重点规划丛书编审委员会顾问委员会主任： 沈昌祥（中国工程院院士）

特别顾问： 姚期智（美国国家科学院院士、美国人文及科学院院士、中国科学院院士、“图灵奖”获得者）

何德全（中国工程院院士）蔡吉人（中国工程院院士）

方滨兴（中国工程院院士）吴建平（中国工程院院士）

王小云（中国科学院院士）管晓宏（中国科学院院士）

主任： 封化民

副主任： 李建华俞能海韩臻张焕国冯登国

委员： （排名不分先后）

蔡晶晶曹珍富陈克非陈兴蜀杜瑞颖杜跃进

段海新范红高岭宫力谷大武何大可

侯整风胡爱群胡道元黄继武黄刘生荆继武

寇卫东来学嘉李晖刘建伟刘建亚马建峰

毛文波潘柱廷裴定一钱德沛秦玉海秦拯

秦志光仇保利任奎石文昌汪烈军王怀民

王劲松王军王丽娜王美琴王清贤王伟平

王新梅王育民魏建国翁健吴晓平吴云坤

徐明许进徐文渊严明杨波杨庚

杨义先于旸张功萱张红旗张宏莉张敏情

张玉清郑东周福才周世杰左英男

丛书策划： 张民

出版说明

21世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化已成为当今世界发展的潮流和核心，而信息安全在信息社会中将扮演极为重要的角色，它会直接关系到国家安全、企业经营和人们的日常生活。 随着信息安全产业的快速发展，全球对信息安全人才的需求量不断增加，但我国目前信息安全人才极度匮乏，远远不能满足金融、商业、公安、军事和政府等部门的需求。要解决供需矛盾，必须加快信息安全人才的培养，以满足社会对信息安全人才的需求。为此，教育部继2001年批准在武汉大学开设信息安全本科专业之后，又批准了多所高等院校设立信息安全本科专业，而且许多高校和科研院所已设立了信息安全方向的具有硕士和博士学位授予权的学科点。

信息安全是计算机、通信、物理、数学等领域的交叉学科，对于这一新兴学科的培养模式和课程设置，各高校普遍缺乏经验，因此中国计算机学会教育专业委员会和清华大学出版社联合主办了“信息安全专业教育教学研讨会”等一系列研讨活动，并成立了“高等院校信息安全专业系列教材”编审委员会，由我国信息安全领域著名专家肖国镇教授担任编委会主任，指导“高等院校信息安全专业系列教材”的编写工作。编委会本着研究先行的指导原则，认真研讨国内外高等院校信息安全专业的教学体系和课程设置，进行了大量具有前瞻性的研究工作，而且这种研究工作将随着我国信息安全专业的发展不断深入。系列教材的作者都是既在本专业领域有深厚的学术造诣,又在教学第一线有丰富的教学经验的学者、专家。

该系列教材是我国第一套专门针对信息安全专业的教材，其特点是：

① 体系完整、结构合理、内容先进。

② 适应面广： 能够满足信息安全、计算机、通信工程等相关专业对信息安全领域课程的教材要求。

③ 立体配套： 除主教材外，还配有多媒体电子教案、习题与实验指导等。

④ 版本更新及时，紧跟科学技术的新发展。

在全力做好本版教材，满足学生用书的基础上，还经由专家的推荐和审定，遴选了一批国外信息安全领域优秀的教材加入系列教材中，以进一步满足大家对外版书的需求。“高等院校信息安全专业系列教材”已于2006年年初正式列入普通高等教育“十一五”国家级教材规划。

2007年6月，教育部高等学校信息安全类专业教学指导委员会成立大会暨第一次会议在北京胜利召开。本次会议由教育部高等学校信息安全类专业教学指导委员会主任单位北京工业大学和北京电子科技学院主办，清华大学出版社协办。教育部高等学校信息安全类专业教学指导委员会的成立对我国信息安全专业的发展起到重要的指导和推动作用。2006年教育部给武汉大学下达了“信息安全专业指导性专业规范研制”的教学科研项目。2007年起该项目由教育部高等学校信息安全类专业教学指导委员会组织实施。在高教司和教指委的指导下，项目组团结一致，努力工作，克服困难，历时5年，制定出我国第一个信息安全专业指导性专业规范，于2012年年底通过经教育部高等教育司理工科教育处授权组织的专家组评审，并且已经得到武汉大学等许多高校的实际使用。2013年，新一届教育部高等学校信息安全专业教学指导委员会成立。经组织审查和研究决定，2014年以教育部高等学校信息安全专业教学指导委员会的名义正式发布《高等学校信息安全专业指导性专业规范》（由清华大学出版社正式出版）。

防火墙技术及应用实验指导出版说明2015年6月，国务院学位委员会、教育部出台增设“网络空间安全”为一级学科的决定，将高校培养网络空间安全人才提到新的高度。2016年6月，中央网络安全和信息化领导小组办公室（下文简称中央网信办）、国家发展和改革委员会、教育部、科学技术部、工业和信息化部及人力资源和社会保障部六大部门联合发布《关于加强网络安全学科建设和人才培养的意见》（中网办发文〔2016〕4号）。2019年6月，教育部高等学校网络空间安全专业教学指导委员会召开成立大会。为贯彻落实《关于加强网络安全学科建设和人才培养的意见》，进一步深化高等教育教学改革，促进网络安全学科专业建设和人才培养，促进网络空间安全相关核心课程和教材建设，在教育部高等学校网络空间安全专业教学指导委员会和中央网信办资助的网络空间安全教材建设课题组的指导下，启动了“网络空间安全重点规划丛书”的工作，由教育部高等学校网络空间安全专业教学指导委员会秘书长封化民校长担任编委会主任。本规划丛书基于“高等院校信息安全专业系列教材”坚实的工作基础和成果、阵容强大的编审委员会和优秀的作者队伍，目前已经有多本图书获得教育部和中央网信办等机构评选的“普通高等教育本科国家级规划教材”“普通高等教育精品教材”“中国大学出版社图书奖”和“国家网络安全优秀教材奖”等多个奖项。

“网络空间安全重点规划丛书”将根据《高等学校信息安全专业指导性专业规范》（及后续版本）和相关教材建设课题组的研究成果不断更新和扩展，进一步体现科学性、系统性和新颖性，及时反映教学改革和课程建设的新成果，并随着我国网络空间安全学科的发展不断完善，力争为我国网络空间安全相关学科专业的本科和研究生教材建设、学术出版与人才培养做出更大的贡献。

我们的Email地址是： zhangm@tup.tsinghua.edu.cn，联系人： 张民。

“网络空间安全重点规划丛书”编审委员会

前言

没有网络安全，就没有国家安全；没有网络安全人才，就没有网络安全。

为了更多、更快、更好地培养网络安全人才，如今，许多学校都在加大投入，聘请优秀教师，招收优秀学生，建设一流的网络空间安全专业。

网络空间安全专业建设需要体系化的培养方案、系统化的专业教材和专业化的师资队伍。优秀教材是网络空间安全专业人才的关键。但是，这却是一项十分艰巨的任务。原因有二: 其一，网络空间安全的涉及面非常广，至少包括密码学、数学、计算机、通信工程等多门学科，因此，其知识体系庞大、难以梳理；其二，网络空间安全的实践性很强，技术发展更新非常快，对环境和师资的要求也很高。

《防火墙技术及应用实验指导》是“防火墙技术及应用”课程的配套实验指导教材。通过实践教学，理解和掌握防火墙的基本配置、网络管理、基本应用和高级应用，从而培养学生对防火墙设备的部署、应用和日常运维能力。

全书分为5章。第1章介绍防火墙基本配置;第2章介绍防火墙网络部署;第3章介绍防火墙基本应用;第4章介绍防火墙高级应用;第5章介绍防火墙复杂场景实践。本书的实验环节设计均基于下一代防火墙设备功能特性设计，但可以通过对书中实验案例的学习，借鉴到其他防火墙产品的部署和实验中。

本书适合网络空间安全、信息安全等相关专业作为教材和参考资料。随着新技术的不断发展，今后将不断更新图书内容。

本书编写过程中得到奇安信集团的熊瑛、王起立、王斌、林静、任涛、裴智勇、翟胜军和北京邮电大学雷敏等专家学者的鼎力支持,在此对他们的工作表示衷心的感谢!

由于作者水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。

作者2019年3月