一、实训目的

了解防火墙在网络安全中的应用，掌握防火墙在网络安全中的基本应用和配置方法。

二、实验内容

1、内网中的所有计算机均可以访问；

2、仅允许内网中的特定一台或一个网段中的几台计算机可以访问；

3、可以访问内网中的WWW、DNS等服务器。

三、实验步骤

（一）内网中的所有计算机均可以访问

（1） 把三层交换机4根蓝线拔出分别接到防火墙的lan模块的1、2、3、4端口，

（2）用一根交叉线将防火墙的WAN1口和三层交换机的任意端口相连

（3）用交叉线将防火墙的WAN口与任意一个二层交换机的端口相连（防火墙管理主机host的网线必须连接到这个二层交换机上）

（4）host的IP地址配置为192.168.10.200/24 网关设置为空

（5）在光盘目录下adminCert\\admin.pl2，密码：123456

（6）在IE地址栏中输入https://192.168.10.100:6666

（7）用户名:admin密码：firewall，进入web管理页面

（8）在网络配置\接口IP中，点添加：网络接口wan1，IP：192.168.46.120，选中所有的复选框。再添加：网络接口lan，网关IP：192.168.1.254，选中所有的复选框。

（9）配置策略路由，选lan，点添加，选路由，目的地址：0.0.0.0/0.0.0.0 下一跳地址为192.168.46.254 

（10）安全策略设置安全规则：通过配置特定的“包过滤规则”，默认是只有明确允许的，才能通过，其余全部是禁止的（若没有任何设置，则全部禁止）。规则检查是自上而下的，所以，比较笼统的规则应位于上面，精确的规则应置于下面。

选包过滤规则，名称自定义，源地址，目的地址，服务全为any，执行动作设置为允许。

（11）NAT规则：源地址，目的地址，服务全为any，源地址转换为192.168.46.120

（12）将NAT规则序号设置为1

（13）将内网地址配置为192.168.1.* /24网关：192.168.1.254，也可直接在管理主机上添加一个IP：192.168.1.*/24 ，网关：192.168.1.254，

（14）可以ping 192.168.1.254,

即可实现内网中的所有机器访问，没有任何

可在默认的管理主机上添加一个管理主机，IP为内网中的地址，再将内网中的一台机器IP设置为192.168.1.*/24 ，网关：192.168.1.254。再在URL中输入：https:// 192.168.1.*:6666,

即也可进入管理主机界面，对管理主机进行管理。

（二）内网中的特定一台或几台计算机可以访问

（1）对象定义：地址列表，点“添加”，设置一个地址段（如名称为lan100）或单独一台主机（如名称为lan100_200）；

（2）设置包过滤规则

（三）可以访问内网中的WWW服务器

（1）对象定义

对象定义/地址/服务器地址，点“添加”，名称设为：server100_200;IP为：192.168.1.200;

（2）设置IP映射规则：

源地址：any       公开地址：

源地址转换为：192.168.1.254

内部地址：server100_200

（3）设置端口映射规则（小规则，IP映射是大规则，不安全）

在上面（2）的基础上再增加：

对外服务：http

内部服务：http下载本文