防火墙实验（防火墙实验报告）

本篇目录：

1、华为eNSP配置防火墙的安全域和安全策略2、防火墙技术的发展历史是什么?3、iptables详解4、用GNS3做pix防火墙实验,但是内外网之间无法ping通。下面是我实验的拓扑...

华为eNSP配置防火墙的安全域和安全策略

1、在进行防火墙策略配置时，我们需要保证核心安全区域的数据安全性，同时也要控制低安全区域对外部网络的访问权限，以防止潜在的网络攻击。

2、防火墙分为三个区域即trust、untrust、dmz；且防火墙下的接口只有在相应区域的管控下，才能够进行下一步的通信；否则不能通信。ensp防火墙有trust、untrust、dmz区域。

3、接着进入WEB将接口改为二层模式，在将二层模式的接口划到Trust安全域中。

4、如果是在同一个机房的2张不同网络，你可以拉1条线连接2台华为路由器/防火墙，写路由互通。如果是两个不同位置的网络，那么需要建IPSEC VPN互通。

5、防火墙要划分安全区域，这个配置明显是把6和7都划入了trust区域，如果你22这个网段或者这个ip需要走6口必须做策略路由，用acl或者前缀列表把这条路由选出来，然后写策略放行。启用设备，重新设置。

6、看CLI命令，华为的防火墙，USG系列吧？解释如下。

防火墙技术的发展历史是什么?

防火墙从诞生到现在，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。

防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到1997年初，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段。

第三代防火墙——状态防火墙 状态分析技术是包过滤技术的扩展（非正式的也可称为“动态包过滤”）。基于连接状态的包过滤在进行数据包的检查时，将每个数据包看成是独立单元的同时，还要考虑前后报文的历史关联性。

技术发展趋势 未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。

防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。

防火墙的种类防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。

iptables详解

1、iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

2、Mangle的主要作用是可以修改封包内容。修改IP包头的TTL值，这样也可以保护我们的主机，比如我们将Linux主机送出的封包内的TTL值该为128，让Cracker误以为是Windows系统。

3、iptables -t nat -A POSTROUTING -s 0.0/22 -o eth0 -j SNAT --to-source 12460.12 扩大子网，增加广播风暴。

用GNS3做pix防火墙实验,但是内外网之间无法ping通。下面是我实验的拓扑...

1、ping的话是有去有来的。你从R1上ping R2，R1的ICMP包不知道怎么到达R2，所以不会将包传给FW1。你应该在R1和R2上各配置一条静态路由或者默认路由。

2、做这些实验没必要桥接虚拟机，用个路由器，no ip routing，再设置default-gateway就可以模拟主机来ping测试。更好的是下一个叫vpcs的软件（gns3 ver0.8以后版本自带）。主机ping不通0网段跟协议没关系。

3、server(config-if)#no sh 然后在pc上进行ip地址的设定，我会在拓扑图上标明的。下面还有左边2台pc ping通的截图。

4、所以外网是不可能直接ping到1916200.2的，但是你做了NAT的话，1916200.2是可以直接ping到20100.2的主机，而PIX3是你自己的，所以ACL应该写成以上那样。 以上希望对你有帮助。

5、如果使用router 模拟server 应该在server 上面添加 ip route 0.0.0.0 0.0.0.0 防火墙接口地址（网关地址）ip default-gateway 应该是不起作用的。

到此，以上就是小编对于防火墙实验报告的问题就介绍到这了，希望介绍的几点解答对大家有用，有任何问题和不懂的，欢迎各位老师在评论区讨论，给我留言。

防火墙