第一篇：《防火墻及應(yīng)用技術(shù)》實(shí)驗(yàn)教案

《防火墻及應(yīng)用技術(shù)》實(shí)驗(yàn)教案

目 錄

實(shí)驗(yàn)一 了解各類防火墻·································1 實(shí)驗(yàn)二 配置Windows 2003防火墻·························5 實(shí)驗(yàn)三 ISA服務(wù)器管理和配置·······························8 實(shí)驗(yàn)四 銳捷防火墻安裝····································10 實(shí)驗(yàn)五 通過(guò)CONSOLE口命令防火墻配置管理··················12 實(shí)驗(yàn)六WEB 界面進(jìn)行銳捷防火墻配置管理····················14 實(shí)驗(yàn)七 架設(shè)如下拓樸結(jié)構(gòu)··································19

實(shí)驗(yàn)一 了解各類防火墻

一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

1、了解防火墻一些概念與常識(shí)

2、熟悉個(gè)人防火墻

3、學(xué)會(huì)使用幾種常見的防火墻的使用

二、實(shí)驗(yàn)任務(wù)

1、在Internet網(wǎng)上分別查找有關(guān)各類防火墻。

2、了解各類防火墻

三、實(shí)驗(yàn)指導(dǎo)或操作步驟

1.ZoneAlarm（ZA）

這是Zone Labs公司推出的一款防火墻和安全防護(hù)軟件套裝，除了防火墻外，它包括有一些個(gè)人隱私保護(hù)工具以及彈出廣告屏蔽工具。與以前的版本相比，新產(chǎn)品現(xiàn)在能夠支持專家級(jí)的規(guī)則制定，它能夠讓高級(jí)用戶全面控制網(wǎng)絡(luò)訪問(wèn)權(quán)限，同時(shí)還具有一個(gè)發(fā)送郵件監(jiān)視器，它將會(huì)監(jiān)視每一個(gè)有可能是由于病毒導(dǎo)致的可疑行為，另外，它還將會(huì)對(duì)網(wǎng)絡(luò)入侵者的行動(dòng)進(jìn)行匯報(bào)。除此之外，ZoneAlarm Pro 4.5還保留了前幾個(gè)版本易于使用的特點(diǎn)，即使是剛剛出道的新手也能夠很容易得就掌握它的使用。說(shuō)明：

(1)安裝程序會(huì)自動(dòng)查找已安裝的 ZoneAlarm Pro 路徑。

(2)如果已經(jīng)安裝過(guò)該語(yǔ)言包，再次安裝前請(qǐng)先退出 ZA。否則安裝后需要重新啟動(dòng)。

(3)若尚未安裝 ZA，在安裝完 ZA 后進(jìn)行設(shè)置前安裝該語(yǔ)言包即可，這樣以后的設(shè)置將為中文界面。

(4)ZA 是根據(jù)當(dāng)前系統(tǒng)的語(yǔ)言設(shè)置來(lái)選擇相應(yīng)語(yǔ)言包的，如果系統(tǒng)語(yǔ)言設(shè)置為英文，則不會(huì)調(diào)用中文語(yǔ)言包。

(5)語(yǔ)言包不改動(dòng)原版任何文件，也適用于和 4.5.594.000 相近的版本。如果需要，在卸載后可還原到英文版。

(6)有極少量英文資源在語(yǔ)言包里沒(méi)有，故無(wú)法漢化。如檢查升級(jí)時(shí)的提示窗口、警報(bào)信息中的“Port”。

下載地址： http://004km.cn/index.asp?rskey=B1B8JXCS

實(shí)驗(yàn)二 配置Windows 2003防火墻

一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

1、了解防火墻一些概念與常識(shí)

2、學(xué)會(huì)配置Windows 2003防火墻

二、實(shí)驗(yàn)任務(wù)

1、配置Windows 2003防火墻。

2、了解防火墻

三、實(shí)驗(yàn)指導(dǎo)或操作步驟

Windows 2003提供的防火墻稱為Internet連接防火墻，通過(guò)允許安全的網(wǎng)絡(luò)通信通過(guò)防火墻進(jìn)入網(wǎng)絡(luò)，同時(shí)拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來(lái)威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows 2003服務(wù)器上，對(duì)直接連接到 Internet 的計(jì)算機(jī)啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL 適配器或者撥號(hào)調(diào)制解調(diào)器連接到Internet。1．啟動(dòng)/停止防火墻

（1）打開“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對(duì)話框。

（2）單擊“高級(jí)”選項(xiàng)卡，出現(xiàn)如圖1啟動(dòng)/停止防火墻界面。如果要啟用 Internet 連接防火墻，請(qǐng)選中“通過(guò)限制或阻止來(lái)自 Internet 的對(duì)此計(jì)算機(jī)的訪問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”復(fù)選框；如果要禁用Internet 連接防火墻，請(qǐng)清除以上選擇。

2．防火墻服務(wù)設(shè)置

Windows 2003 Internet連接防火墻能夠管理服務(wù)端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務(wù)，Internet連接防火墻就可以監(jiān)視并管理這些端口。

（1）標(biāo)準(zhǔn)服務(wù)的設(shè)置

我們以Windows 2003服務(wù)器提供的標(biāo)準(zhǔn)Web服務(wù)為例（默認(rèn)端口80），操作步驟如下：在圖1所示界面中單擊[設(shè)置]按鈕，出現(xiàn)如圖2所示“服務(wù)設(shè)置”對(duì)話框；在“服務(wù)設(shè)置”對(duì)話框中，選中“Web服務(wù)器（HTTP）”復(fù)選項(xiàng)，單擊[確定]按鈕。設(shè)置好后，網(wǎng)絡(luò)用戶將無(wú)法訪問(wèn)除Web服務(wù)外本服務(wù)器所提供的的其他網(wǎng)絡(luò)服務(wù)。

圖1

圖2

注：您可以根據(jù)Windows 2003服務(wù)器所提供的服務(wù)進(jìn)行選擇，可以多選。常用標(biāo)準(zhǔn)服務(wù)系統(tǒng)已經(jīng)預(yù)置在系統(tǒng)中，你只需選中相應(yīng)選項(xiàng)就可以了。如果服務(wù)器還提供非標(biāo)準(zhǔn)服務(wù)，那就需要管理員手動(dòng)添加了。

（2）非標(biāo)準(zhǔn)服務(wù)的設(shè)置

我們以通過(guò)8000端口開放一非標(biāo)準(zhǔn)的Web服務(wù)為例。在圖2“服務(wù)設(shè)置”對(duì)話框中，單擊[添加]按鈕，出現(xiàn)“服務(wù)添加”對(duì)話框，在此對(duì)話框中，填入服務(wù)描述、IP地址、服務(wù)所使用的端口號(hào)，并選擇所使用的協(xié)議（Web服務(wù)使用TCP協(xié)議，DNS查詢使用UDP協(xié)議），最后單擊[確定]。設(shè)置完成后，網(wǎng)絡(luò)用戶可以通過(guò)8000端口訪問(wèn)相應(yīng)的服務(wù)，而對(duì)沒(méi)有經(jīng)過(guò)授權(quán)的TCP、UDP端口的訪問(wèn)均被隔離。

3．防火墻安全日志設(shè)置

在圖2“服務(wù)設(shè)置”對(duì)話框中，選擇“安全日志”選項(xiàng)卡，出現(xiàn)“安全日志設(shè)置”對(duì)話框，選擇要記錄的項(xiàng)目，防火墻將記錄相應(yīng)的數(shù)據(jù)。日志文件默認(rèn)路徑為C:WindowsPfirewall.log，用記事本可以打開。所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析。

Internet 連接防火墻小結(jié): Internet 連接防火墻可以有效地?cái)r截對(duì)Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描，從而提高Windows 2003服務(wù)器的安全性。同時(shí)，它也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。

實(shí)驗(yàn)三 ISA服務(wù)器管理和配置

一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

(1)了解ISA一些概念與常識(shí)(2)熟悉ISA使用環(huán)境(3)學(xué)會(huì)管理和配置ISA服務(wù)器

二、實(shí)驗(yàn)任務(wù)

ISA服務(wù)器中的可擴(kuò)展的企業(yè)防火墻配置。

三、實(shí)驗(yàn)指導(dǎo)或操作步驟

概要: 本文介紹如何安裝 Internet Security and Acceleration(ISA)Server 并將其配置為防火墻。要將 ISA Server 架構(gòu)安裝到 Active Directory，您必須是本地計(jì)算機(jī)上的管理員。此外，您還必須同時(shí)是 Enterprise Admins 和 Schema Admins 兩個(gè)組的成員。您必須為整個(gè)企業(yè)或組織將 ISA Server 架構(gòu)一次性地安裝到 Active Directory。（注意：企業(yè)初始化進(jìn)程會(huì)將 ISA Server 架構(gòu)信息復(fù)制到 Active Directory。由于 Active Directory 不支持架構(gòu)對(duì)象的刪除，因此企業(yè)初始化進(jìn)程是不可逆的。）

1、要將 ISA Server 安裝為防火墻，請(qǐng)按照下列步驟操作：

(1)單擊開始，單擊運(yùn)行，在打開文本框中鍵入 cmd，然后單擊確定。

(2)在命令提示符處，鍵入 PathISAi386Msisaent.exe（其中 Path 是指向 ISA Server 安裝文件的路徑）。請(qǐng)注意，該路徑可能是 ISA Server 光盤的根文件夾，也可能是網(wǎng)絡(luò)上包含 ISA Server 文件的共享文件夾。

(3)單擊 Microsoft ISA Server 安裝對(duì)話框中的繼續(xù)。

(4)閱讀最終用戶許可協(xié)議(EULA)，然后單擊我同意。

(5)根據(jù)需要，選擇其中一個(gè)安裝選項(xiàng)。

(6)單擊“防火墻模式”，然后單擊繼續(xù)。

(7)在系統(tǒng)提示您允許安裝程序停止 Internet 信息服務(wù)(IIS)時(shí)，單擊確定。

(8)要自動(dòng)構(gòu)建 Internet 協(xié)議(IP)地址，請(qǐng)單擊建立表，單擊與您的服務(wù)器相連的網(wǎng)卡，然后單擊確定。

(9)單擊確定啟動(dòng)配置向?qū)А?/p>

2、如何配置防火墻保護(hù)，請(qǐng)按照下列步驟操作：

(1)單擊開始，指向程序，指向 Microsoft ISA Server，然后單擊 ISA 管理。

(2)在控制臺(tái)樹中，單擊以展開 server_name訪問(wèn)策略（其中 server_name 是服務(wù)器的名稱），右鍵單擊 IP 數(shù)據(jù)包篩選器，指向新建，然后單擊篩選器。

(3)在“IP 數(shù)據(jù)包篩選器名稱”框中，鍵入要篩選的數(shù)據(jù)包的名稱，然后單擊下一步。

(4)單擊允許或阻止以允許或阻止該數(shù)據(jù)包，然后單擊下一步。

(5)接受預(yù)定義選項(xiàng)，然后單擊下一步。

(6)單擊選項(xiàng)為應(yīng)用數(shù)據(jù)包篩選器選擇您所希望的方式，然后單擊下一步。

(7)單擊遠(yuǎn)程計(jì)算機(jī)，然后單擊下一步。

(8)單擊完成。

實(shí)驗(yàn)四 銳捷防火墻安裝

一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

(1)了解銳捷防火墻一些概念與常識(shí)(2)熟悉銳捷防火墻使用環(huán)境注意事項(xiàng)(3)銳捷防火墻安裝注意事項(xiàng)

二、實(shí)驗(yàn)任務(wù)

銳捷防火墻安裝。

三、實(shí)驗(yàn)指導(dǎo)或操作步驟

1．安全使用注意事項(xiàng)

本章列出各條安全使用注意事項(xiàng)，請(qǐng)仔細(xì)閱讀并在使用RG-WALL 60 防火墻過(guò)程中嚴(yán)格執(zhí)行。這將

有助于您更安全地使用和維護(hù)您的防火墻。

（1）您使用的RG-WALL 60 防火墻采用220V 交流電源，請(qǐng)確認(rèn)工作電壓并且務(wù)必使用三芯帶接地

電源插頭和插座。良好地接地是您的防火墻正常工作的重要保證。（2）為使防火墻正常工作，請(qǐng)不要將其放置于高溫或者潮濕的地方。

（3）請(qǐng)不要將防火墻放在不穩(wěn)定的桌面上，萬(wàn)一跌落，會(huì)對(duì)防火墻造成嚴(yán)重?fù)p害。

（4）請(qǐng)保持室內(nèi)通風(fēng)良好并保持防火墻通氣孔暢通。

（5）為減少受電擊的危險(xiǎn)，在防火墻工作時(shí)不要打開外殼，即使在不帶電的情況下，也不隨意打

（6）清潔防火墻前，請(qǐng)先將防火墻電源插頭拔出。不要用濕潤(rùn)的布料擦拭防火墻，不能用液體清洗防火墻。2．檢查安裝場(chǎng)所

RG-WALL 60防火墻必須在室內(nèi)使用，無(wú)論您將防火墻安裝在機(jī)柜內(nèi)還是直接放在工作臺(tái)上，都需要保證以下條件：

（1）確認(rèn)防火墻的入風(fēng)口及通風(fēng)口處留有空間，以利于防火墻機(jī)箱的散熱。（2）確認(rèn)機(jī)柜和工作臺(tái)自身有良好的通風(fēng)散熱系統(tǒng)。

（3）確認(rèn)機(jī)柜和工作臺(tái)足夠牢固，能夠支撐防火墻及其安裝附件的重量。（4）確認(rèn)機(jī)柜和工作臺(tái)的良好接地。

為保證防火墻正常工作和延長(zhǎng)使用壽命，安裝場(chǎng)所還應(yīng)該滿足下列要求。2.1 溫度／濕度要求

為保證RG-WALL 60防火墻正常工作和使用壽命，機(jī)房?jī)?nèi)需維持一定的溫度和濕度。若機(jī)房?jī)?nèi)長(zhǎng)期濕度過(guò)高，易造成絕緣材料絕緣不良甚至漏電，有時(shí)也易發(fā)生材料機(jī)械性能變化、金屬部件銹蝕等現(xiàn)象；若相對(duì)濕度過(guò)低，絕緣墊片會(huì)干縮而引起緊固螺絲松動(dòng)，同時(shí)在干燥的氣候環(huán)境下，易產(chǎn)生靜電，危害防火墻的電路。溫度過(guò)高則危害更大，長(zhǎng)期高溫將加速絕緣材料的老化過(guò)程，使防火墻的可靠性大大降低，嚴(yán)重影響其壽命。2.2 潔凈度要求

灰塵對(duì)防火墻的運(yùn)行安全是一大危害。室內(nèi)灰塵落在機(jī)體上，可以造成靜電吸附，使金屬接插件或金屬接點(diǎn)接觸不良。尤其是在室內(nèi)相對(duì)濕度偏低的情況下，更易造成靜電吸附，不但會(huì)影響設(shè)備壽命，而且容易造成通信故障。除灰塵外，機(jī)房?jī)?nèi)應(yīng)防止有害氣體（如SO2、H2S、NH3、Cl2 等）的侵入。這些有害氣體會(huì)加速金屬的腐蝕和某些部件的老化過(guò)程。同時(shí)防火墻機(jī)房對(duì)空氣中所含的鹽、酸、硫化物也有嚴(yán)格的要求。2.3 抗干擾要求

防火墻在使用中可能受到來(lái)自系統(tǒng)外部的干擾，這些干擾通過(guò)電容/電感耦合，電磁波輻射，公共阻抗（包括接地系統(tǒng)）耦合和導(dǎo)線（電源線、信號(hào)線和輸出線等）的傳導(dǎo)方式對(duì)設(shè)備產(chǎn)生影響。為此應(yīng)注意以下條件：

（1）交流供電系統(tǒng)為TN系統(tǒng)，交流電源插座應(yīng)采用有保護(hù)地線（PE）的單相三線電源插座，使設(shè)備上濾波電路能有效的濾除電網(wǎng)干擾。

（2）防火墻工作地點(diǎn)遠(yuǎn)離強(qiáng)功率無(wú)線電發(fā)射臺(tái)、雷達(dá)發(fā)射臺(tái)、高頻大電流設(shè)備。（3）電纜要求在室內(nèi)走線，禁止戶外走線，以防止因雷電產(chǎn)生的過(guò)電壓、過(guò)電流將設(shè)備信號(hào)口損壞。3．安裝

RG-WALL 60 防火墻可以放置在桌面上，也可以放在標(biāo)準(zhǔn)的19 英寸機(jī)架上。安放在桌面上不需要特別的操作，安放在機(jī)架上時(shí)需要自備螺絲刀，螺釘在包裝箱中。4．加電啟動(dòng)

防火墻啟動(dòng)步驟如下：

（1）請(qǐng)將防火墻安裝在機(jī)架上或放在一個(gè)水平面上。（2）確認(rèn)防火墻電源是關(guān)閉的。（3）連接電源線。

（4）防火墻可以通過(guò)網(wǎng)口用網(wǎng)線連接管理主機(jī)，也可通過(guò)串口線連接管理主機(jī)進(jìn)而用超級(jí)終端管理防火墻。

（5）接通電源，按下防火墻上的電源開關(guān)，置于ON 狀態(tài)，防火墻加電啟動(dòng)。（6）橙黃色的狀態(tài)燈(Status)開始閃爍，表示啟動(dòng)成功。防火墻啟動(dòng)成功以后，請(qǐng)通過(guò)CONSOLE 口命令行或者WEB 瀏覽器方式管理防火墻，具體方法請(qǐng)參考以下相關(guān)章節(jié)。如果防火墻未正常啟動(dòng)，請(qǐng)按以上步驟進(jìn)行檢查，如仍無(wú)法解決問(wèn)題，請(qǐng)您聯(lián)系供應(yīng)商相關(guān)技術(shù)支持人員。

實(shí)驗(yàn)五 通過(guò)CONSOLE口命令防火墻配置管理

一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

(1)了解銳捷防火墻CONSOLE口命令(2)熟悉銳捷防火墻使用環(huán)境注意事項(xiàng)(3)CONSOLE口命令進(jìn)行銳捷防火墻配置管理

二、實(shí)驗(yàn)任務(wù)

命令配置管理銳捷防火墻。

三、實(shí)驗(yàn)指導(dǎo)或操作步驟

1．選用管理主機(jī) 要求該主機(jī)具備：

（1）空閑的RS232 串口5（2）有超級(jí)終端軟件。比如Windows 系統(tǒng)中的“超級(jí)終端”連接程序。2．連接防火墻

利用隨機(jī)附帶的串口線連接管理主機(jī)的串口和防火墻串口CONSOLE，啟動(dòng)超級(jí)終端工具，以Windows 自帶“超級(jí)終端”為例：點(diǎn)擊“開始--> 所有程序--> 附件--> 通訊--> 超級(jí)終端”，選擇用于連接的串口設(shè)備，定制通訊參數(shù)：（1）每秒位數(shù)：9600；（2）數(shù)據(jù)位：8；（3）奇偶校驗(yàn)：無(wú)；（4）停止位：1；

（5）數(shù)據(jù)流控制：無(wú)；

提示：對(duì)于Windows 自帶“超級(jí)終端”，選擇“還原默認(rèn)值”即可。3．登錄CLI 界面

連接成功以后，提示輸入管理員賬號(hào)和口令時(shí)，輸入出廠默認(rèn)賬號(hào)“admin”和口令“firewall”即可

進(jìn)入登錄界面，注意所有的字母都是小寫的

實(shí)驗(yàn)六WEB 界面進(jìn)行銳捷防火墻配置管理

一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

(1)熟悉銳捷防火墻使用環(huán)境注意事項(xiàng)(2)WEB 界面進(jìn)行銳捷防火墻配置管理

二、實(shí)驗(yàn)任務(wù)

WEB 界面配置管理銳捷防火墻。

三、實(shí)驗(yàn)指導(dǎo)或操作步驟

1．選用管理主機(jī)

要求具有以太網(wǎng)卡、USB 接口和光驅(qū)，操作系統(tǒng)可以為Window98/2000/XP 中的任意一種，管理主機(jī)IE 建議為5.0 以上版本、文字大小為中等，屏幕顯示建議設(shè)置為1024×768。2．安裝認(rèn)證驅(qū)動(dòng)程序

在第一次使用電子鑰匙前，需要先按照電子鑰匙的認(rèn)證驅(qū)動(dòng)程序。插入隨機(jī)附帶的驅(qū)動(dòng)光盤，進(jìn)入光盤Ikey Driver目錄，雙擊運(yùn)行INSTDRV 程序，選擇“開始安裝”，隨后出現(xiàn)安裝成功的提示，選擇“退出”。切記：安裝驅(qū)動(dòng)前不要插入usb 電子鑰匙。3．安裝USB 電子鑰匙

在管理主機(jī)上插入usb 電子鑰匙，系統(tǒng)提示找到新硬件，稍后提示完全消失，說(shuō)明電子鑰匙已經(jīng)可以使用了。如果您在安裝驅(qū)動(dòng)前插了一次電子鑰匙，此時(shí)系統(tǒng)會(huì)彈出“歡迎使用找到新硬件向?qū)А睂?duì)話框。直接選擇“下一步”并耐心等待，約半分鐘后系統(tǒng)將提示驅(qū)動(dòng)程序沒(méi)有經(jīng)過(guò)windows 兼容性測(cè)試，選擇“仍然繼續(xù)”即可，如長(zhǎng)時(shí)間（如約3 分鐘）無(wú)反映，請(qǐng)拔下usb 電子鑰匙，重啟系統(tǒng)后再試一次，如仍無(wú)法解決，請(qǐng)您聯(lián)系技術(shù)支持人員。4．連接管理主機(jī)與防火墻

利用隨機(jī)附帶的網(wǎng)線直接連接管理主機(jī)網(wǎng)口和防火墻WAN 網(wǎng)口（初始配置，只能將管理主機(jī)連接在防火墻的WAN 網(wǎng)口上），把管理主機(jī)IP 設(shè)置為192.168.10.200，掩碼為255.255.255.0。在管理主機(jī)運(yùn)行ping 192.168.10.100 驗(yàn)證是否真正連通，如不能連通，請(qǐng)檢查管理主機(jī)的IP（192.168.10.200）是否設(shè)置在與防火墻相連的網(wǎng)絡(luò)接口上。強(qiáng)烈建議該網(wǎng)口不要綁定其他IP，并且使用交叉線直接連接防火墻。5．認(rèn)證管理員身份

第一、插入電子鑰匙。

第二、運(yùn)行Admin Auth目錄中的ikeyc 程序，提示輸入用戶pin，輸入12345678 即可。此時(shí)電子鑰匙中存儲(chǔ)的默認(rèn)防火墻IP 地址為192.168.10.100，認(rèn)證端口為9999。如果認(rèn)證成功，將彈出對(duì)話框提示“通過(guò)認(rèn)證”。說(shuō)明管理員已經(jīng)通過(guò)了身份認(rèn)證，可以對(duì)防火墻進(jìn)行配置管理了。如果出現(xiàn)其他錯(cuò)誤，請(qǐng)檢查網(wǎng)絡(luò)連接、pin 碼是否輸入錯(cuò)誤等。6．登錄防火墻WEB 界面

運(yùn)行IE 瀏覽器，在地址欄輸入https://192.168.10.100:6667，等待約20 秒鐘會(huì)彈出一個(gè)對(duì)話框提示接受證書，選擇確認(rèn)即可。系統(tǒng)提示輸入管理員帳號(hào)和口 令。缺省情況下，管理員帳號(hào)是admin，密碼是：firewall。7．WEB 界面配置向?qū)?/p>

配置向?qū)H適用于管理員第一次配置防火墻或者測(cè)試防火墻的基本通信功能，此向?qū)婕白罨镜呐渲茫踩院艿?，因此管理員應(yīng)在此基礎(chǔ)上對(duì)防火墻細(xì)化配置，才能保證防火墻擁有正常有效的網(wǎng)絡(luò)安全功能。首次使用WEB 界面進(jìn)行配置，需將管理主機(jī)的IP 地址設(shè)為192.168.10.200，在IE 地址欄中輸入：https://192.168.10.100:6667。登錄防火墻以后，點(diǎn)擊，開始防火墻的配置。（1）修改超級(jí)管理員admin 的密碼，超級(jí)管理員的密碼默認(rèn)是：firewall。（2）選擇防火墻lan 和wan 接口的工作模式，防火墻的接口默認(rèn)都是工作在路由模式

（3）配置防火墻的IP 地址，建議至少設(shè)置一個(gè)接口上的IP 能用于管理，否則，完成初始配置后無(wú)法用WEB 界面管理防火墻。（說(shuō)明：若lan、wan 都是混合模式，則lan 的地址必須配置，wan 的地址可以不配）

（4）配置默認(rèn)網(wǎng)關(guān)，如果希望防火墻能上互聯(lián)網(wǎng)，則必須配置默認(rèn)網(wǎng)關(guān)，否則，可以直接跳過(guò)本界

面，配置下一個(gè)界面。（若防火墻的兩個(gè)網(wǎng)口都是混合模式，可以不配默認(rèn)網(wǎng)關(guān)）（5）配置管理主機(jī)，管理主機(jī)必須與防火墻IP 在同一網(wǎng)段。如果想通過(guò)防火墻ip：192.168.0.1 來(lái)管理防火墻，則可以設(shè)置管理主機(jī)IP：192.168.0.100。

（6）添加一條允許的安全規(guī)則，如果在界面上不填寫源地址和目的地址，則會(huì)允許所有的訪問(wèn)，建議在網(wǎng)絡(luò)調(diào)試通暢后，刪除該規(guī)則。

（7）設(shè)置管理方式，如果希望用ssh 遠(yuǎn)程登錄來(lái)管理防火墻，需要選中“遠(yuǎn)程SSH 管理”，否則，可以跳過(guò)本界面。

（8）如果不需要更改界面上顯示的配置信息，單擊“完成”。以上配置將立即生效。防火墻的初始配置。并根據(jù)提示重新登錄防火墻。如果需要保存該配置，請(qǐng)點(diǎn)擊WEB 界面上的“保存配置”。

實(shí)驗(yàn)七 架設(shè)如下拓樸結(jié)構(gòu)

一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

(1)熟悉使用銳捷防火墻架設(shè)網(wǎng)絡(luò)(2)進(jìn)行銳捷防火墻配置管理

二、實(shí)驗(yàn)任務(wù)

使用銳捷防火墻架設(shè)網(wǎng)絡(luò)。

三、實(shí)驗(yàn)指導(dǎo)或操作步驟

架設(shè)如下拓樸結(jié)構(gòu)

配置要求如下:(1)子網(wǎng)Ａ的安全級(jí)別高，僅能在工作時(shí)間訪問(wèn)Internet 和DMZ 區(qū)的服務(wù)器，IP 地址為：192.168.1.0。

(2)子網(wǎng)Ｂ可以在任何時(shí)候訪問(wèn)Internet，但是僅能工作時(shí)間使用內(nèi)部服務(wù)器的FTP功能，IP 地址為192.168.2.0, 子網(wǎng)Ｂ用戶能夠使用Internet 的HTTP 服務(wù)。

(3)DMZ 區(qū)服務(wù)器的IP 地址為192.168.3.0，路由器內(nèi)部地址為92.168.4.254，外部地址為202.106.44.233。子網(wǎng)Ａ用戶能夠使用Internet 的HTTP 和FTP服務(wù)。

管理證書安裝

1.進(jìn)入認(rèn)證

2.導(dǎo)入文件

3.輸入認(rèn)證密碼

4.證書存儲(chǔ)

5.完成證書安裝

登陸防火墻

1.配置本機(jī)ip為192.168.10.200

2.將默認(rèn)管理主機(jī)的網(wǎng)口用交叉連接的以太網(wǎng)線（兩端線序不同）與防火墻的WAN 口連接，管理主機(jī)的IE 版本必須是5.5 及以上版本，如果是電子鑰匙認(rèn)證，在瀏覽器中輸入https://192.168.10.100:6666，如果是證書認(rèn)證，則輸入https://192.168.10.100:6666，登錄后彈出下面的登錄界面：

3.輸入用戶：admin、密碼: firewall

4.成功登陸防火墻

配置防火墻

初始化防火墻：

有串口線級(jí)聯(lián)防火墻，使用命令syscfg reset 添加管理主機(jī)

添加lan ip地址

添加wan1 ip地址

添加dmz ip地址

網(wǎng)絡(luò)配置-接口ip配置

添加規(guī)則

測(cè)試防火墻

用lan 管理主機(jī)

Ping 防火墻lan斷口

Ping 防火墻外網(wǎng)網(wǎng)口222.17.244.125

第二篇：實(shí)驗(yàn) 防火墻技術(shù)實(shí)驗(yàn)

實(shí)驗(yàn)九

防火墻技術(shù)實(shí)驗(yàn)

1、實(shí)驗(yàn)?zāi)康?/p>

防火墻是網(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個(gè)人防火墻和分布式防火墻三類。通過(guò)實(shí)驗(yàn)，使學(xué)生了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。

2、題目描述

根據(jù)不同的業(yè)務(wù)需求制定天網(wǎng)防火墻策略，并制定、測(cè)試相應(yīng)的防火墻的規(guī)則等。

3、實(shí)驗(yàn)要求

基本要求了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。

4、相關(guān)知識(shí)

1)防火墻的基本原理防火墻（firewall）是一種形象的說(shuō)法，本是中世紀(jì)的一種安全防務(wù)：在城堡周圍挖掘一道深深的壕溝，進(jìn)入城堡的人都要經(jīng)過(guò)一個(gè)吊橋，吊橋的看守檢查每一個(gè)來(lái)往的行人。對(duì)于網(wǎng)絡(luò)，采用了類似的處理方法，它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)(securitygateway),也就是一個(gè)電子吊橋，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。它決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn)、可以被哪些人訪問(wèn)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡(luò)防火墻如下所示。

防火墻也并不能防止內(nèi)部人員的蓄意破壞和對(duì)內(nèi)部服務(wù)器的攻擊，但是，這種攻擊比較容易發(fā)現(xiàn)和察覺，危害性也比較小，這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來(lái)控制。

2)防火墻的分類前市場(chǎng)的防火墻產(chǎn)品主要分類如下：

（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。（2）從防火墻技術(shù)“包過(guò)濾型”和“應(yīng)用代理型”兩大類。

（3）從防火墻結(jié)構(gòu)單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應(yīng)用部署位置邊界防火墻、個(gè)人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級(jí)防火墻和千兆級(jí)防火墻兩類。3）防火墻的基本規(guī)則

■一切未被允許的就是禁止的(No規(guī)則)?！鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。

很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包，當(dāng)防火墻接收到一個(gè)信息包時(shí)，它先與第一條規(guī)則相比較,然后是第二條、第三條??當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí)，就停止檢查并應(yīng)用那條規(guī)則。

4）防火墻自身的缺陷和不足

■限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。

■無(wú)法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。目前防火墻只提供對(duì)外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠?jī)?nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。■Internet防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊。例如，在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒(méi)有限制的撥出存在，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過(guò)SLIP或PPP聯(lián)接進(jìn)入Internet。

■對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、瓶頸及單點(diǎn)失效?！鯥nternet防火墻也不能完全防止傳送已感染病毒的軟件或文件。

■防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。數(shù)據(jù)驅(qū)動(dòng)型的攻擊從表面上看是無(wú)害的數(shù)據(jù)被郵寄或拷貝到Internet主機(jī)上，但一旦執(zhí)行就開始攻擊。例如，一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件，使得入侵者很容易獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)。

■不能防備新的網(wǎng)絡(luò)安全問(wèn)題。防火墻是一種被動(dòng)式的防護(hù)手段，它只能對(duì)現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。

5、實(shí)驗(yàn)設(shè)備

主流配置PC，安裝有windows 2000 SP4操作系統(tǒng)，網(wǎng)絡(luò)環(huán)境，天網(wǎng)防火墻個(gè)人版。

6、實(shí)驗(yàn)步驟

1）從指導(dǎo)老師處得到天網(wǎng)防火墻個(gè)人版軟件。

2）天網(wǎng)防火墻個(gè)人版的安裝。按照安裝提示完成安裝，并重啟后系統(tǒng)。

3）系統(tǒng)設(shè)置。在防火墻的控制面板中點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，即可展開防火墻系統(tǒng)設(shè)置面板。

天網(wǎng)個(gè)人版防火墻系統(tǒng)設(shè)置界面如下。

防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：

如果確定，天網(wǎng)防火墻將會(huì)把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，你對(duì)安全規(guī)則的修改和加入的規(guī)則將會(huì)全部被清除掉。

防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻，天網(wǎng)防火墻個(gè)人版專門為用戶設(shè)計(jì)了防火墻設(shè)置向?qū)АＳ脩艨梢愿S它一步一步完成天網(wǎng)防火墻的合理設(shè)置。

應(yīng)用程序權(quán)限設(shè)置：勾選了該選項(xiàng)之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問(wèn)都默認(rèn)為通行不攔截。這適合在某些特殊情況下，不需要對(duì)所有訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序都做審核的時(shí)候。（譬如在運(yùn)行某些游戲程序的時(shí)候）

局域網(wǎng)地址：設(shè)置在局域網(wǎng)內(nèi)的地址。防火墻將會(huì)以這個(gè)地址來(lái)區(qū)分局域網(wǎng)或者是INTERNET 的IP來(lái)源。日志保存：選中每次退出防火墻時(shí)自動(dòng)保存日志，當(dāng)你退出防火墻的保護(hù)時(shí)，天網(wǎng)防火墻將會(huì)把當(dāng)日的日志記錄自動(dòng)保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當(dāng)日的日志記錄。

4）安全級(jí)別設(shè)置天網(wǎng)個(gè)人版防火墻的缺省安全級(jí)別分為低、中、高三個(gè)等級(jí)，默認(rèn)的安全等級(jí)為中級(jí)。了解安全級(jí)別的說(shuō)明請(qǐng)查看防火墻幫助文件。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級(jí)別。

然后點(diǎn)擊左邊的將打開自定義的IP規(guī)則。

從中可以看出，規(guī)則的先后順序?yàn)镮P規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導(dǎo)入導(dǎo)出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點(diǎn)擊保存圖標(biāo)進(jìn)行保存，否則無(wú)效。

單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?/p>

5）修改規(guī)則雙擊該規(guī)則，或者點(diǎn)擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對(duì)各部分進(jìn)行修改。

（1）首先輸入規(guī)則的“名稱”和“說(shuō)明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對(duì)進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。

（3）“對(duì)方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來(lái)或是去哪里，這里有幾點(diǎn)說(shuō)明： ■“任何地址”是指數(shù)據(jù)包從任何地方來(lái)，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來(lái)自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個(gè)地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個(gè)網(wǎng)絡(luò)和掩碼。

（4）除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對(duì)應(yīng)的協(xié)議，其中：

■‘IP’協(xié)議不用填寫內(nèi)容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點(diǎn)要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對(duì)方地址：任何地址；動(dòng)作：繼續(xù)下一規(guī)則”。

■‘TCP’協(xié)議要填入本機(jī)的端口范圍和對(duì)方的端口范圍，如果只是指定一個(gè)端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標(biāo)志比較復(fù)雜，你可以查閱其他資料，如果你不選擇任何標(biāo)志，那么將不會(huì)對(duì)標(biāo)志作檢查。

■‘ICMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。■‘IGMP’不用填寫內(nèi)容。

（5）當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí)，你就可以對(duì)該數(shù)據(jù)包采取行動(dòng)了： ■‘通行’指讓該數(shù)據(jù)包暢通無(wú)阻的進(jìn)入或出去?！鰯r截’指讓該數(shù)據(jù)包無(wú)法進(jìn)入你的機(jī)器

■繼續(xù)下一規(guī)則’指不對(duì)該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來(lái)決定對(duì)該包的處理。（6）在執(zhí)行這些規(guī)則的同時(shí)，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來(lái)“警告”，或發(fā)出聲音提示。

6）新增規(guī)則點(diǎn)擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許

訪問(wèn)WWW端口的規(guī)則，可以按如下方法設(shè)置。設(shè)置完成后點(diǎn)擊“確定”，并點(diǎn)擊工具條的保存按鈕。

7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個(gè)人版增加對(duì)應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過(guò)。在天網(wǎng)防火墻個(gè)人版打開的情況下，首次激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會(huì)被天網(wǎng)防火墻個(gè)人版先截獲分析，并彈出窗口，詢問(wèn)你是通過(guò)還是禁止。這時(shí)可以根據(jù)需要來(lái)決定是否允許應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)。如果不選中“該程序以后按照這次的操作運(yùn)行”，那么天網(wǎng)防火墻個(gè)人版在以后會(huì)繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運(yùn)行”選項(xiàng)，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過(guò)應(yīng)用程序設(shè)置來(lái)設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過(guò)濾方式。

8）高級(jí)應(yīng)用程序規(guī)則設(shè)置單擊

可以打開詳細(xì)的應(yīng)用程序規(guī)則設(shè)置。單擊應(yīng)用程序規(guī)則面板中對(duì)應(yīng)每一條應(yīng)用程序規(guī)則都有幾個(gè)按鈕

點(diǎn)擊“選項(xiàng)”即可激活應(yīng)用程序規(guī)則高級(jí)設(shè)置頁(yè)面。

“該應(yīng)用程序可以”窗口是設(shè)定該應(yīng)用程序可以做的動(dòng)作。其中：是指此應(yīng)用程序進(jìn)程可以向外發(fā)出連接請(qǐng)求，通常是用于各種客戶端軟件。則是指此程序可以在本機(jī)打開監(jiān)聽的端口來(lái)提供網(wǎng)絡(luò)服務(wù)，這通常用于各種服務(wù)器端程序中。

9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進(jìn)行測(cè)試。

需求1：ICMP規(guī)則允許ping進(jìn)來(lái)，其它禁止，TCP規(guī)則允許訪問(wèn)本機(jī)的WWW服務(wù)和主動(dòng)模式的FTP服務(wù)，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機(jī)，允許IE訪問(wèn)Internet的80端口，UDP規(guī)則允許DNS解析，其它進(jìn)出UDP報(bào)文禁止。

7、實(shí)驗(yàn)思考

1）根據(jù)你所了解的網(wǎng)絡(luò)安全事件，你認(rèn)為天網(wǎng)防火墻不具備的功能有哪些？ 2）防火墻是不是絕對(duì)的安全？攻擊防火墻系統(tǒng)的手段有哪些？

第三篇：實(shí)驗(yàn)三十三：防火墻技術(shù)

實(shí)驗(yàn)三十三：防火墻技術(shù)

一、理論基礎(chǔ)

1.什么是防火墻

對(duì)于報(bào)文的訪問(wèn)控制技術(shù)被稱為防火墻技術(shù)。實(shí)施是為了保護(hù)內(nèi)部網(wǎng)絡(luò)免遭非法數(shù)據(jù)包的侵害。正如防火墻這一詞語(yǔ)本身所顯示的那樣，防火墻一般部署于一個(gè)網(wǎng)絡(luò)的邊緣，用于控制進(jìn)入網(wǎng)絡(luò)數(shù)據(jù)包的種類。

防火墻作為Internet訪問(wèn)控制的基本技術(shù)，其主要作用是監(jiān)視和過(guò)濾通過(guò)它的數(shù)據(jù)包，根據(jù)自身所配置的訪問(wèn)控制策略決定該包應(yīng)當(dāng)被轉(zhuǎn)發(fā)還是應(yīng)當(dāng)被拋棄，以拒絕非法用戶訪問(wèn)網(wǎng)絡(luò)并保障合法用戶正常工作。

一般應(yīng)將防火墻置于被保護(hù)網(wǎng)絡(luò)的入口點(diǎn)來(lái)執(zhí)行訪問(wèn)控制。例如，將防火墻設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)的連接處，以保護(hù)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)免于為未認(rèn)證或未授權(quán)的用戶訪問(wèn)，防止來(lái)自外網(wǎng)的惡意攻擊。也可以用防火墻將企業(yè)網(wǎng)中比較敏感的網(wǎng)段與相對(duì)開放的網(wǎng)段隔離開來(lái)，對(duì)受保護(hù)數(shù)據(jù)的訪問(wèn)都必須經(jīng)過(guò)防火墻的過(guò)濾，即使該訪問(wèn)是來(lái)自組織內(nèi)部。

防火墻可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)?，F(xiàn)在的許多防火墻同時(shí)還具有一些其它特點(diǎn)，如進(jìn)行用戶身份鑒別，對(duì)信息進(jìn)行安全（加密）處理等等。

在路由器上配置了防火墻特性后，路由器就成了一個(gè)健壯而有效的防火墻。

2.防火墻的分類

一般把防火墻分為兩類：網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻。網(wǎng)絡(luò)層的防火墻主要獲取數(shù)據(jù)包的包頭信息，如協(xié)議號(hào)、源地址、目的地址和目的端口等或者直接獲取包頭的一段數(shù)據(jù)，而應(yīng)用層的防火墻則對(duì)整個(gè)信息流進(jìn)行分析。

常見的防火墻有以下幾類：

應(yīng)用網(wǎng)關(guān)（Application Gateway）包過(guò)濾（Packet Filter）代理（Proxy）

3、ACL 華為路由器的防火墻配置包括兩個(gè)內(nèi)容，一是定義對(duì)特定數(shù)據(jù)流的訪問(wèn)控制規(guī)則，即定義訪問(wèn)控制列表ACL；二是定義將特定的規(guī)則應(yīng)用到具體的接口上，從而過(guò)濾特定方向的數(shù)據(jù)流。

常用的訪問(wèn)控制列表可以分為兩種：標(biāo)準(zhǔn)的訪問(wèn)控制列表和擴(kuò)展的訪問(wèn)控制列表。標(biāo)準(zhǔn)訪問(wèn)控制列表僅僅可以根據(jù)IP報(bào)文的源地址域區(qū)分不同的數(shù)據(jù)流，擴(kuò)展訪問(wèn)控制列表則可以根據(jù)IP報(bào)文中的更多域（如目的IP地址，上層協(xié)議信息等）來(lái)區(qū)分不同數(shù)據(jù)流。所有的訪問(wèn)控制列表都有一個(gè)編號(hào)，標(biāo)準(zhǔn)的訪問(wèn)控制列表和擴(kuò)展的訪問(wèn)控制列表就是按照這個(gè)編號(hào)來(lái)區(qū)分的：標(biāo)準(zhǔn)的訪問(wèn)控制列表編號(hào)范圍是1-99，擴(kuò)展的訪問(wèn)控制列表編號(hào)范圍是100-199。

二、實(shí)驗(yàn)案例

防火墻的配置

1、實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)圖：

在實(shí)驗(yàn)室我們用RouterA模擬企業(yè)網(wǎng)，用另一臺(tái)路由器RouterB模擬外部網(wǎng)。

2、配置說(shuō)明：

RouterA的各個(gè)接口的地址分別為： E0:192.168.1.1/24 S0:192.168.2.1/24 RouterB的各個(gè)接口的地址分別為： E0:192.168.3.1/24 S0:192.168.2.2/24 pcA的地址:192.168.1.2/24 網(wǎng)關(guān)：192.168.1.1 pcB的地址:192.168.1.3/24 網(wǎng)關(guān)：192.168.1.1 pcC的地址:192.168.3.2/24 網(wǎng)關(guān)：192.168.3.2

3、具體的配置：

方法一：（標(biāo)準(zhǔn)的）

RouterA上配置策略(啟動(dòng)防火墻)[routerA]firewall enable Firewall enabled [routerA]acl 1 [routerA-acl-2000]rule normal permit source 192.168.1.2 0.0.0.0 Rule has been added to normal packet-filtering rules [routerA-acl-2000]rule normal deny source 192.168.1.0 0.0.0.255 Rule has been added to normal packet-filtering rules [routerA-acl-2000] [routerA]int s0 [routerA-Serial0]firewall packet-filter 1 outbound [routerA-Serial0] [routerA]dis cur Now create configuration...Current configuration version 1.74 sysname routerA firewall enable aaa-enable aaa accounting-scheme optional acl 2000 match-order auto rule normal permit source 192.168.1.2 0.0.0.0 rule normal deny source 192.168.1.0 0.0.0.255 interface Aux0 async mode flow link-protocol ppp interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 link-protocol ppp ip address 192.168.2.1 255.255.255.0 firewall packet-filter 2000 outbound interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp quit rip network all quit return RouterB的配置： [RouterB]int s0 [RouterB-Serial0]ip address 192.168.2.2 255.255.255.0 [RouterB-Serial0] %15:49:51: Line protocol ip on the interface Serial0 is UP [RouterB-Serial0]int E0 [RouterB-Ethernet0]ip address 192.168.3.1 255.255.255.0 [RouterB-Ethernet0] %15:50:31: Line protocol ip on the interface Ethernet0 is UP [RouterB-Ethernet0] [RouterB]rip waiting...RIP is running [RouterB-rip]network all [RouterB-rip]save Now writing the running config to flash memory.Please wait for a while......write the running config to flash memory successfully [RouterB-rip] [RouterB]int s0 [RouterB-Serial0]clock dteclk3 [RouterB-Serial0] %15:52:25: Interface Serial0 is DOWN %15:52:25: Interface Serial0 is UP %15:52:25: Line protocol ip on the interface Serial0 is UP [RouterB-Ethernet0]save Now writing the running config to flash memory.Please wait for a while......write the running config to flash memory successfully

方法二：（擴(kuò)展的）RouterA的配置：

其它的配置和上面的保持一致，不同的是： [routerA]acl 101 [routerA-acl-3001] [routerA]acl 101 match-order auto [routerA-acl-3001]rule normal permit ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 Rule has been added to normal packet-filtering rules [routerA-acl-3001]rule normal deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0 Rule has been added to normal packet-filtering rules [routerA-acl-3001] [routerA]dis cur Now create configuration...Current configuration version 1.74 sysname routerA firewall enable aaa-enable aaa accounting-scheme optional acl 3001 match-order auto rule normal permit ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 rule normal deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0 interface Aux0 async mode flow link-protocol ppp interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 link-protocol ppp ip address 192.168.2.1 255.255.255.0 interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp quit rip network all quit return [routerA] [routerA]int s0 [routerA-Serial0]firewall packet-filter 101 outbound [routerA-Serial0] [routerA]dis cur Now create configuration...Current configuration version 1.74 sysname routerA firewall enable aaa-enable aaa accounting-scheme optional acl 3001 match-order autorule normal permit ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 rule normal deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0 interface Aux0 async mode flow link-protocol ppp interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 link-protocol ppp ip address 192.168.2.1 255.255.255.0 firewall packet-filter 3001 outbound interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp quit rip network all quit return

三、實(shí)驗(yàn)總結(jié)

在使用標(biāo)準(zhǔn)的訪問(wèn)控制列表的實(shí)驗(yàn)1中，我們只允許IP地址為：192.168.1.2的PCA訪問(wèn)外部網(wǎng)絡(luò)，而禁止其它PC機(jī)訪問(wèn)外網(wǎng)。

在擴(kuò)展的訪問(wèn)控制列表的實(shí)驗(yàn)2中，我們通過(guò)配置可以控制只有特定的數(shù)據(jù)源PCA訪問(wèn)特定的目標(biāo)PCC，而使用標(biāo)準(zhǔn)的控制列表是不能實(shí)現(xiàn)的。

在訪問(wèn)控制列表命令中還有normal字段，這是區(qū)別于special的，即我們可以分時(shí)間段進(jìn)行不同的訪問(wèn)控制策略。此時(shí)，需要允許時(shí)間段控制和設(shè)定特定時(shí)間段。同時(shí)在同一列表中若有多條規(guī)則，多條規(guī)則之間采用深度優(yōu)先的原則，即描述的地址范圍越小，優(yōu)先級(jí)越高，越先考慮。在多條列表時(shí)，先匹配列表序號(hào)大的規(guī)則，如果匹配則按該規(guī)則處理數(shù)據(jù)包，如果不匹配則匹配較小序號(hào)的列表，直到最后。等等一系列的配置在此不再詳細(xì)闡述，大家可以自行完成。

第四篇：《MATLAB應(yīng)用技術(shù)》實(shí)驗(yàn)指導(dǎo)書

M A T L A B 實(shí) 驗(yàn) 指 導(dǎo) 書

電子信息工程學(xué)院

2012.02

目錄

實(shí)驗(yàn)一

MATLAB安裝與界面............................................................................................1 實(shí)驗(yàn)二

MATLAB符號(hào)計(jì)算與應(yīng)用.....................................................................................2 實(shí)驗(yàn)三

MATLAB數(shù)值數(shù)組與向量化運(yùn)算..........................................................................4 實(shí)驗(yàn)四

MATLAB數(shù)值計(jì)算................................................................................................7 實(shí)驗(yàn)五

MATLAB可視化.................................................................................................10 實(shí)驗(yàn)六

M文件及MATLAB綜合應(yīng)用..............................................................................16

實(shí)驗(yàn)一

Matlab安裝與界面

【實(shí)驗(yàn)?zāi)康摹?【實(shí)驗(yàn)原理】

1.安裝MATALB軟件，并按理論教學(xué)內(nèi)容逐一熟悉軟件界面及軟件特點(diǎn)。

【實(shí)驗(yàn)儀器】

1.配置在PIV2.0GHZ/512MB以上的PC機(jī)； 2.MATALB7.0以上版本軟件。

【實(shí)驗(yàn)內(nèi)容及步驟】

1.完成MATLAB軟件安裝； 2.熟悉MATLAB運(yùn)行環(huán)境。（1）命令窗口的使用。

（2）工作空間窗口的使用。

（3）工作目錄、搜索路徑的設(shè)置。（4）命令歷史記錄窗口的使用。（5）了解各菜單的功能。

3.圖示復(fù)數(shù)z1?4?3i,z2?1?2i的和展示MATLAB的可視化能力；

4.畫出衰減振蕩曲線y?esin3t，t的取值范圍是[0,4?]；展示數(shù)組運(yùn)算的優(yōu)點(diǎn)及MATLAB的可視化能力。

5.創(chuàng)建一個(gè)M文件，輸入步驟4的相關(guān)程序，運(yùn)行程序并變換名稱保存，將工作空間中的y變量的MAT文件變換路徑輸出保存，然后再向內(nèi)存裝載MAT文件。

6.以命令窗口中輸入help Laplace、help瀏覽器中搜索兩種方式體會(huì)MATLAB幫助系統(tǒng)的特點(diǎn)和功能。

?t3

【實(shí)驗(yàn)報(bào)告要求】

1．整理實(shí)驗(yàn)結(jié)果。2．總結(jié)實(shí)驗(yàn)心得體會(huì)

/ 17

實(shí)驗(yàn)二

Matlab符號(hào)計(jì)算與應(yīng)用

【實(shí)驗(yàn)?zāi)康摹?/p>

1.掌握MATLAB符號(hào)計(jì)算的基本語(yǔ)法規(guī)則

2.掌握MATLAB符號(hào)計(jì)算求解微積分、線性代數(shù)問(wèn)題 3.熟悉MATLAB符號(hào)計(jì)算在信號(hào)處理領(lǐng)域的應(yīng)用

【實(shí)驗(yàn)原理】

1.以MATALB與MuPAD庫(kù)函數(shù)間符號(hào)計(jì)算機(jī)理和基本的微積分運(yùn)算原理為基礎(chǔ)，研究常見的工程定解問(wèn)題以及連續(xù)信號(hào)處理問(wèn)題。

【實(shí)驗(yàn)儀器】

1.配置在PIV2.0GHZ/512MB以上的PC機(jī)； 2.MATALB7.0以上版本軟件。

【實(shí)驗(yàn)內(nèi)容及步驟】

1.運(yùn)行下列代碼比較符號(hào)（類）數(shù)字與數(shù)值（類）數(shù)字之間的差異。a=pi+sqrt(5)

sa=sym('pi+sqrt(5)')

Ca=class(a)

Csa=class(sa)

vpa(sa-a)

2.熟悉simple命令并簡(jiǎn)化f?

31612???8。x3x2x?ab?3.對(duì)符號(hào)矩陣??進(jìn)行特征向量分解，并嘗試置換操作。

cd??

4.用簡(jiǎn)單算例演示subs的常見置換規(guī)則。

5.試用符號(hào)計(jì)算求lim?1? ?x???1??x2?kx2。

/ 17

??f1??x??x1ex2?1????f2x26.試用符號(hào)計(jì)算求f(x1,x2)??的Jacobian矩陣???x1?cos(x1)sin(x2)???f???3??x1??1(?1)k?,7.試用符號(hào)計(jì)算求?[t,k]，??。?2k?k?1?(2k?1)t?0t?13??f1??x2???f2?。??x2?f3???x2??

8.試用符號(hào)計(jì)算求積分

9.根據(jù)Fourier變換定義，用積分指令求方波脈沖y??換，并作圖顯示。

10．試用符號(hào)計(jì)算求d?線性方程組的解。

??? 1 2 x2 x2y x xy(x2?y2?z2)dzdydx。

?2?0?3/2?t?3/2的Fourier變

elsenpn??q,n?d?q?p?10,q?d??p,q?p?n?8d?1224【實(shí)驗(yàn)報(bào)告要求】

1．整理實(shí)驗(yàn)結(jié)果。

2．總結(jié)實(shí)驗(yàn)心得體會(huì)

/ 17

實(shí)驗(yàn)三

Matlab數(shù)值數(shù)組與向量化運(yùn)算

【實(shí)驗(yàn)?zāi)康摹?/p>

1.掌握MATLAB二維數(shù)值數(shù)組的創(chuàng)建和尋訪 2.掌握MATLAB數(shù)組運(yùn)算和向量化編程

3.掌握常用標(biāo)準(zhǔn)數(shù)組生成函數(shù)和數(shù)組構(gòu)作技法 4.數(shù)NaN、“空”數(shù)組概念和應(yīng)用；關(guān)系和邏輯操作及應(yīng)用

【實(shí)驗(yàn)原理】

1.在MATALB中，幾乎所有運(yùn)算對(duì)象均被視為一種廣義的矩陣，而在進(jìn)行大規(guī)模數(shù)值計(jì)算時(shí)，將循環(huán)運(yùn)算轉(zhuǎn)化為矩陣運(yùn)算可節(jié)約代碼量、提高程序運(yùn)行效率。

【實(shí)驗(yàn)儀器】

1.配置在PIV2.0GHZ/512MB以上的PC機(jī)； 2.MATALB7.0以上版本軟件。

【實(shí)驗(yàn)內(nèi)容及步驟】

1.已知f(t)?tcost，分別用符號(hào)計(jì)算和數(shù)值計(jì)算求s(x)?2.一維數(shù)組的常用創(chuàng)建方法舉例。（1）a1=1:6

a2=0:pi/4:pi a3=1:-0.1:0

2? x 0f(t)dt，比較二者區(qū)別。

（2）b1=linspace(0,pi,4)b2=logspace(0,3,4)（3）c1=[2 pi/2 sqrt(3)3+5i]

（4）rand('state',0)

c2=rand(1,5)a=2.7358;b=33/79;

3.在MATLAB環(huán)境下，用下面三條指令創(chuàng)建二維數(shù)組C。

C=[1,2*a+i*b,b*sqrt(a);sin(pi/4),a+5*b,3.5+i]

4.根據(jù)現(xiàn)有數(shù)據(jù)在數(shù)組編輯器中創(chuàng)建一個(gè)(3?8)的數(shù)組。

5.標(biāo)準(zhǔn)數(shù)組產(chǎn)生的演示

/ 17

ones(2,4)

randn('state',0)randn(2,3)

D=eye(3)

diag(D)

diag(diag(D))

randsrc(3,20,[-3,-1,1,3],1)

6.熟悉數(shù)組元素及子數(shù)組的各種標(biāo)識(shí)和尋訪格式；冒號(hào)的使用；end的作用。A=zeros(2,6)

A(:)=1:12

A(2,4)

A(8)

A(:,[1,3])

A([1,2,5,6]')

A(:,4:end)

A(2,1:2:5)=[-1,-3,-5]

B=A([1,2,2,2],[1,3,5])

L=A<3

A(L)=NaN

7.數(shù)組操作函數(shù)reshape, diag, repmat的用法；空陣 [ ] 刪除子數(shù)組的用法。

a=1:8

A=reshape(a,4,2)A=reshape(A,2,4)

b=diag(A)

B=diag(b)

D1=repmat(B,2,4)D1([1,3],:)=[ ]

8.歐姆定律：r?

u，其中r, u, i分別是電阻（歐姆）、電壓（伏特）、電流（安培）。驗(yàn)證i 5 / 17

實(shí)驗(yàn)：據(jù)電阻兩端施加的電壓，測(cè)量電阻中流過(guò)的電流，然后據(jù)測(cè)得的電壓、電流計(jì)算平均電阻值。（測(cè)得的電壓電流具體數(shù)據(jù)見下列程序）。比較向量化運(yùn)算的優(yōu)勢(shì)一：代碼量少；優(yōu)勢(shì)二：通過(guò)加外層循環(huán)，用tic toc命令計(jì)算時(shí)間，體現(xiàn)運(yùn)算速度快的優(yōu)勢(shì)。（1）非向量化程序

clear vr=[0.89, 1.20, 3.09, 4.27, 3.62, 7.71, 8.99, 7.92, 9.70, 10.41];ir=[0.028, 0.040, 0.100, 0.145, 0.118, 0.258, 0.299, 0.257, 0.308, 0.345];

%--------------------L=length(vr);

for k=1:L r(k)=vr(k)/ir(k);end

%---------------------------sr=0;for k=1:L sr=sr+r(k);

end rm=sr/L

（2）向量化程序

clear vr=[0.89, 1.20, 3.09, 4.27, 3.62, 7.71, 8.99, 7.92, 9.70, 10.41];ir=[0.028, 0.040, 0.100, 0.145, 0.118, 0.258, 0.299, 0.257, 0.308, 0.345];

r=vr./ir rm=mean(r)

9.用“空”數(shù)組進(jìn)行子數(shù)組的刪除和大數(shù)組的大小收縮 A=reshape(-4:5,2,5)

A(:,[2,4])=[]

10.運(yùn)行下列程序，體會(huì)關(guān)系運(yùn)算的應(yīng)用。

t=-3*pi:pi/10:3*pi;y=sin(t)./t;

tt=t+(t==0)*eps;yy=sin(tt)./tt;

subplot(1,2,1),plot(t,y),axis([-9,9,-0.5,1.2]), xlabel('t'),ylabel('y'),title('殘缺圖形')subplot(1,2,2),plot(tt,yy),axis([-9,9,-0.5,1.2])xlabel('tt'),ylabel('yy'),title('正確圖形')【實(shí)驗(yàn)報(bào)告要求】

1．整理實(shí)驗(yàn)結(jié)果。2．總結(jié)實(shí)驗(yàn)心得體會(huì)

/ 17

實(shí)驗(yàn)四

Matlab數(shù)值計(jì)算

【實(shí)驗(yàn)?zāi)康摹?/p>

1.掌握MATLAB數(shù)值微積分的計(jì)算方法 2.掌握MATLAB矩陣和代數(shù)方程運(yùn)算規(guī)律 3.熟悉MTALAB處理概率和統(tǒng)計(jì)分布問(wèn)題 4.掌握MTALAB的多項(xiàng)式運(yùn)算和卷積運(yùn)算

【實(shí)驗(yàn)原理】

1.數(shù)值計(jì)算作為MATALB的最主要功能，在工程中有著廣泛的應(yīng)用，本節(jié)將在已有的數(shù)學(xué)基礎(chǔ)和數(shù)字信號(hào)處理基礎(chǔ)上，開展一些工程中常用的數(shù)值計(jì)算，并著重基于MTALAB的內(nèi)部函數(shù)進(jìn)行編程。

【實(shí)驗(yàn)儀器】

1.配置在PIV2.0GHZ/512MB以上的PC機(jī)； 2.MATALB7.0以上版本軟件。

【實(shí)驗(yàn)內(nèi)容及步驟】

1.已知x?sin(t)，求該函數(shù)在區(qū)間 [0, 2?]中的近似導(dǎo)函數(shù)，分析下列程序產(chǎn)生誤差的原因。

d=pi/100;t=0:d:2*pi;x=sin(t);dt=5*eps;

x_eps=sin(t+dt);dxdt_eps=(x_eps-x)/dt;plot(t,x,'LineWidth',5)hold on plot(t,dxdt_eps)hold off legend('x(t)','dx/dt')xlabel('t')

提出的解決方案（供參考）：

x_d=sin(t+d);dxdt_d=(x_d-x)/d;hold on plot(t,dxdt_d)hold off legend('x(t)','dx/dt')

/ 17

plot(t,x,'LineWidth',5)xlabel('t')2.已知x?sin(t)，采用diff和gradient計(jì)算該函數(shù)在區(qū)間 [0, 2?]中的近似導(dǎo)函數(shù)，比較二者區(qū)別。

3.分別用梯形積分公式和矩形積分計(jì)算積分s(x)???/20y(t)dt，其中y?0.2?sin(t)，并以符號(hào)計(jì)算結(jié)果為參考解，通過(guò)誤差分析比較上述方法的精度。

4.采用匿名函數(shù)方法求s?

5.應(yīng)用fminseach

函數(shù)求著名的Rosenbrock's “Banana” 測(cè)試函數(shù)

?? 1 2 1 0xydxdy。

f(x,y)?100(y?x2)2?(1?x)2的極小值點(diǎn)。

6.已知矩陣A2?4，B4?3，采用三種不同的編程求這兩個(gè)矩陣的乘積C2?3?A2?4B4?3。并用tic、toc計(jì)時(shí)方法，在重復(fù)1000次運(yùn)算的情況下比較運(yùn)行時(shí)間。

7.隨機(jī)產(chǎn)生一個(gè)5?5的矩陣，并計(jì)算出其行列式、跡、秩、條件數(shù)、逆以及特征分解。

8.畫出N=100, p=0.5情況下的二項(xiàng)分布概率特性曲線。

9.運(yùn)行以下程序，并觀察正態(tài)分布標(biāo)準(zhǔn)差的幾何表示。

mu=3;sigma=0.5;

x=mu+sigma*[-3:-1,1:3];yf=normcdf(x,mu,sigma);P=[yf(4)-yf(3),yf(5)-yf(2),yf(6)-yf(1)];xd=1:0.1:5;yd=normpdf(xd,mu,sigma);clf for k=1:3

% xx=x(4-k):sigma/10:x(3+k);yy=normpdf(xx,mu,sigma);

%-subplot(3,1,k),plot(xd,yd,'b');hold on fill([x(4-k),xx,x(3+k)],[0,yy,0],'g');hold off if k<2

/ 17

text(3.8,0.6,'[{mu}-{sigma},{mu}+{sigma}]')kk=int2str(k);text(3.8,0.6,['[{mu}-',kk,'{sigma},{mu}+',kk,'{sigma}]'])else end text(2.8,0.3,num2str(P(k)));shg end xlabel('x');

10.調(diào)試下列程序，實(shí)現(xiàn)給定數(shù)據(jù)組x0 , y0，求擬合三階多項(xiàng)式，并圖示擬合情況。改變多項(xiàng)式階數(shù)再次圖示并觀察結(jié)果變化。

x0=0:0.1:1;y0=[-.447,1.978,3.11,5.25,5.02,4.66,4.01,4.58,3.45,5.35,9.22];n=3;P=polyfit(x0,y0,n)

xx=0:0.01:1;yy=polyval(P,xx);plot(xx,yy,'-b',x0,y0,'.r','MarkerSize',20)legend('擬合曲線','原始數(shù)據(jù)','Location','SouthEast')xlabel('x')

【實(shí)驗(yàn)報(bào)告要求】

1．整理實(shí)驗(yàn)結(jié)果。2．總結(jié)實(shí)驗(yàn)心得體會(huì)

/ 17

實(shí)驗(yàn)五

MATLAB可視化

【實(shí)驗(yàn)?zāi)康摹?/p>

1.掌握MATLAB連續(xù)函數(shù)（信號(hào)）的可視化 2.掌握MATLAB二維離散作圖的基本格式

3.熟悉MTALAB三維作圖的基本格式和高級(jí)作圖修飾 4.熟悉MTALAB動(dòng)畫的制作過(guò)程

【實(shí)驗(yàn)原理】

1.MATLAB的主要功能和優(yōu)點(diǎn)之一為可視化，基于plot命令而展開的一系列作圖命令格式為學(xué)習(xí)本節(jié)的基礎(chǔ)

【實(shí)驗(yàn)儀器】

1.配置在PIV2.0GHZ/512MB以上的PC機(jī)； 2.MATALB7.0以上版本軟件。

【實(shí)驗(yàn)內(nèi)容及步驟】

1.用圖形表示連續(xù)調(diào)制波形y?sin(t)sin(9t)。

t1=(0:11)/11*pi;t2=(0:400)/400*pi;t3=(0:50)/50*pi;y1=sin(t1).*sin(9*t1);y2=sin(t2).*sin(9*t2);y3=sin(t3).*sin(9*t3);subplot(2,2,1),plot(t1,y1,'r.')

%<7> axis([0,pi,-1,1]),title('(1)點(diǎn)過(guò)少的離散圖形')subplot(2,2,2),plot(t1,y1,t1,y1,'r.')%<9> axis([0,pi,-1,1]),title('(2)點(diǎn)過(guò)少的連續(xù)圖形')subplot(2,2,3),plot(t2,y2,'r.')

%<11> axis([0,pi,-1,1]),title('(3)點(diǎn)密集的離散圖形')subplot(2,2,4),plot(t3,y3)

%<13> axis([0,pi,-1,1]),title('(4)點(diǎn)足夠的連續(xù)圖形')

2.調(diào)試運(yùn)行二維曲線繪圖指令。

clf

t=(0:pi/50:2*pi)';k=0.4:0.1:1;Y=cos(t)*k;

subplot(1,2,1),plot(t,Y,'LineWidth',1.5)

/ 17

title('By plot(t,Y)'),xlabel('t')subplot(1,2,2),plot(Y,'LineWidth',1.5)title('By plot(Y)'),xlabel('row subscript of Y')

3.用圖形表示連續(xù)調(diào)制波形y?sin(t)sin(9t)及其包絡(luò)線。（圖5.2-2）

t=(0:pi/100:pi)';y1=sin(t)*[1,-1];t3=pi*(0:9)/9;

%<1> %<2> %<3>

% <4>

% <5> y2=sin(t).*sin(9*t);y3=sin(t3).*sin(9*t3);hold on

plot(t,y1,'r:',t,y2,'-bo')% <6> plot(t3,y3,'s','MarkerSize',10,'MarkerEdgeColor',[0,1,0],'MarkerFaceColor',[1,0.8,0])axis([0,pi,-1,1])

% <8> %<9> hold off %<10> %以下指令供讀者比較用。使用時(shí)，指令前的 % 號(hào)要去除。

%屬性影響該指令中的所有線對(duì)象中的離散點(diǎn)。

%plot(t,y1,'r:',t,y2,'-bo',t3,y3,'s','MarkerSize',10,'MarkerEdgeColor',[0,1,0],'MarkerFaceColor',[1,0.8,0])

4.觀察各種軸控制指令的影響。演示采用長(zhǎng)軸為3.25，短軸為1.15的橢圓。

t=0:2*pi/99:2*pi;x=1.15*cos(t);y=3.25*sin(t);title('Normal and Grid on')subplot(2,3,2),plot(x,y),axis equal,grid on,title('Equal')subplot(2,3,3),plot(x,y),axis square,grid on,title('Square')subplot(2,3,4),plot(x,y),axis image,box off,title('Image and Box off')subplot(2,3,5),plot(x,y),axis image fill,box off title('Image and Fill')subplot(2,3,6),plot(x,y),axis tight,box off,title('Tight')

subplot(2,3,1),plot(x,y),axis normal,grid on, 5.通過(guò)調(diào)試下列程序，繪制二階系統(tǒng)階躍響應(yīng)，綜合演示圖形標(biāo)識(shí)。

clf;t=6*pi*(0:100)/100;y=1-exp(-0.3*t).*cos(0.7*t);plot(t,y,'r-','LineWidth',3)hold on tt=t(find(abs(y-1)>0.05));ts=max(tt);plot(ts,0.95,'bo','MarkerSize',10)hold off axis([-inf,6*pi,0.6,inf])

set(gca,'Xtick',[2*pi,4*pi,6*pi],'Ytick',[0.95,1,1.05,max(y)])%<9>

/ 17

%<3>

%<5> %<6>

set(gca,'XtickLabel',{'2*pi';'4*pi';'6*pi'})grid on text(13.5,1.2,'fontsize{12}{alpha}=0.3')text(13.5,1.1,'fontsize{12}{omega}=0.7')

cell_string{1}='fontsize{12}uparrow';%<15>

%<10> %<11> set(gca,'YtickLabel',{'0.95';'1';'1.05';'max(y)'})

%<13>

%<14>

cell_string{2}='fontsize{16} fontname{隸書}鎮(zhèn)定時(shí)間';cell_string{3}='fontsize{6} ';

%<18>

cell_string{4}=['fontsize{14}rmt_{s} = ' num2str(ts)];text(ts,0.85,cell_string,'Color','b','HorizontalAlignment','Center')

title('fontsize{14}it y = 1-e^{-alpha t}cos{omegat}')xlabel('fontsize{14} bft rightarrow')ylabel('fontsize{14} bfy rightarrow')

6.利用hold繪制離散信號(hào)通過(guò)零階保持器后產(chǎn)生的波形，驗(yàn)證疊繪命令

t=2*pi*(0:20)/20;y=cos(t).*exp(-0.4*t);stem(t,y,'g','Color','k');hold on stairs(t,y,':r','LineWidth',3)hold off legend('fontsize{14}it stem','fontsize{14}it stairs')box on

7.運(yùn)行下列命令，畫出函數(shù)y?xsinx和積分驗(yàn)證雙縱坐標(biāo)。

clf;dx=0.1;x=0:dx:4;y=x.*sin(x);s=cumtrapz(y)*dx;

%<3>

%<5> %<6> %<4>

%<2> a=plotyy(x,y,x,s,'stem','plot');

s??(xsinx)dx0x在區(qū)間[0,4]上的曲線，text(0.5,1.5,'fontsize{14}ity=xsinx')sint='{fontsize{16}int_{fontsize{8}0}^{ x}}';text(2.5,3.5,ss)%<7>

ss=['fontsize{14}its=',sint,'fontsize{14}itxsinxdx'];

set(get(a(1),'Ylabel'),'String','被積函數(shù) ity=xsinx')%<8>

/ 17

set(get(a(2),'Ylabel'),'String',ss)%<9> xlabel('x')

8.運(yùn)行下列命令，演示subplot指令對(duì)圖形窗的分割。

clf;t=(pi*(0:1000)/1000)';y1=sin(t);y2=sin(10*t);y12=sin(t).*sin(10*t);subplot(2,2,1),plot(t,y1);axis([0,pi,-1,1])subplot(2,2,2),plot(t,y2);axis([0,pi,-1,1])subplot('position',[0.2,0.1,0.6,0.40])plot(t,y12,'b-',t,[y1,-y1],'r:')axis([0,pi,-1,1])

9.運(yùn)行下列程序，實(shí)現(xiàn)三維曲線繪圖。演示：三維曲線的參數(shù)方程；線型、點(diǎn)形和圖例。（圖5.3-1）

t=(0:0.02:2)*pi;x=sin(t);y=cos(t);z=cos(2*t);plot3(x,y,z,'b-',x,y,z,'bd')view([-82,58]),box on xlabel('x'),ylabel('y'),zlabel('z')legend('鏈','寶石')

10.運(yùn)行下列程序，體會(huì)不同燈光、照明、材質(zhì)指令所表現(xiàn)的圖形。

clf;[X,Y,Z]=sphere(40);colormap(jet)

%<3>

%<8> %<4>

%<5>

%<6> %<7>

%<10>

subplot(1,2,1),surf(X,Y,Z),axis equal off,shading interp light('position',[0-10 1.5],'style','infinite')lighting phong material shiny subplot(1,2,2),surf(X,Y,Z,-Z),axis equal off,shading flat light;lighting flat %<9> light('position',[-1,-1,-2],'color','y')%<11> light('position',[-1,0.5,1],'style','local','color','w')set(gcf,'Color','w')

11．透視圖。

/ 17

[X0,Y0,Z0]=sphere(30);X=2*X0;Y=2*Y0;Z=2*Z0;surf(X0,Y0,Z0);shading interp hold off hidden off

hold on,mesh(X,Y,Z),colormap(hot)

axis equal,axis off

title('No.2 surf(X,Y,Z,abs(dz2))')

12．實(shí)時(shí)動(dòng)畫：制作紅色小球沿一條帶封閉路徑的下旋螺線運(yùn)動(dòng)的實(shí)時(shí)動(dòng)畫（圖5.4-5）。（1）anim_zzy1.m

function f=anim_zzy1(K,ki)% anim_zzy1.m 演示紅色小球沿一條封閉螺線運(yùn)動(dòng)的實(shí)時(shí)動(dòng)畫

% 僅演示實(shí)時(shí)動(dòng)畫的調(diào)用格式為

anim_zzy1(K)

% 既演示實(shí)時(shí)動(dòng)畫又拍攝照片的調(diào)用格式為

f=anim_zzy1(K,ki)

% K

紅球運(yùn)動(dòng)的循環(huán)數(shù)（不小于1）

% ki

指定拍攝照片的瞬間，取 1 到 1034 間的任意整數(shù)。

% f

存儲(chǔ)拍攝的照片數(shù)據(jù)，可用image(f.cdata)觀察照片。

%

t1=(0:1000)/1000*10*pi;x1=cos(t1);y1=sin(t1);z1=-t1;t2=(0:10)/10;x2=x1(end)*(1-t2);y2=y1(end)*(1-t2);z2=z1(end)*ones(size(x2));t3=t2;z3=(1-t3)*z1(end);x3=zeros(size(z3));y3=x3;t4=t2;x4=t4;y4=zeros(size(x4));z4=y4;x=[x1 x2 x3 x4];y=[y1 y2 y3 y4];z=[z1 z2 z3 z4];plot3(x,y,z,'Color',[1,0.6,0.4],'LineWidth',2.5)axis off %

h=line('xdata',x(1),'ydata',y(1),'zdata',z(1),'Color',[1 0 0],'Marker', '.', 'MarkerSize',40,'EraseMode','xor');> %

n=length(x);i=2;j=1;while 1

set(h,'xdata',x(i),'ydata',y(i),'zdata',z(i));

drawnow;

% <22>

pause(0.0005)

% <23>

i=i+1;

if nargin==2 & nargout==1

if(i==ki&j==1);f=getframe(gcf);end

% <26>

end

if i>n

/ 17

i=1;j=j+1;

if j>K;break;end

end end

（2）

f=anim_zzy1(2,450);（3）

image(f.cdata),axis off

【實(shí)驗(yàn)報(bào)告要求】

1．整理實(shí)驗(yàn)結(jié)果。2．總結(jié)實(shí)驗(yàn)心得體會(huì)

/ 17

實(shí)驗(yàn)六

M文件及MATLAB綜合應(yīng)用

【實(shí)驗(yàn)?zāi)康摹?/p>

1.掌握MATLABM文件的編寫 2.掌握MATLAB控制流的使用

3.熟悉MTALAB仿真工具箱的使用

4.了解MTALAB notebook的功能

【實(shí)驗(yàn)原理】

1.應(yīng)用MATLAB的M文件編寫中、大型程序是學(xué)習(xí)該門課程的重要目的，其他如SIMULINK仿真工具箱的應(yīng)用也是分析工程問(wèn)題的重要手段。

【實(shí)驗(yàn)儀器】

1.配置在PIV2.0GHZ/512MB以上的PC機(jī)； 2.MATALB7.0以上版本軟件。

【實(shí)驗(yàn)內(nèi)容及步驟】

?x?31.已知函數(shù)y??x?e?x?1?x??1?1?x?1，編寫能對(duì)任意一組輸入x值求相應(yīng)y值的程序。1?x2.已知學(xué)生的名字和百分制分?jǐn)?shù)。要求根據(jù)學(xué)生的百分制分?jǐn)?shù)，分別采用“滿分”、“優(yōu)秀”、“良好”、“及格”和“不及格”等表示學(xué)生的學(xué)習(xí)成績(jī)。創(chuàng)建Hilbert矩陣。3.Hilbert矩陣a(i,j)?1。

i?j?1??N??1?1?4.編寫計(jì)算S??n，其中N?argmin?N???，?是預(yù)先給定的控制精度。n?1??k?k???k?1?k?1?通過(guò)本程序掌握MATLAB編程的基本規(guī)范。

5.創(chuàng)建n階魔方矩陣，限定條件是n為能被4整除的偶數(shù)。所謂魔方矩陣（Magic matrix），是指那矩陣由1到n的正整數(shù)按照一定規(guī)則排列而成，并且每列、每行、每條對(duì)角線元素2n(n2?1)的和都等于。就生成規(guī)則而言，魔方矩陣可分成三類：一，n為奇數(shù)；二，n為2不能被4整除的偶數(shù)；三，n為能被4整除的偶數(shù)。

/ 17

6.編寫一個(gè)M函數(shù)文件。它具有以下功能：（A）根據(jù)指定的半徑，畫出藍(lán)色圓周線；（B）可以通過(guò)輸入字符串，改變圓周線的顏色、線型；（C）假若需要輸出圓面積，則繪出圓。

7.編寫一個(gè)內(nèi)含子函數(shù)的M函數(shù)繪圖文件。

8.在下圖所示的系統(tǒng)中，已知質(zhì)量m?1kg，阻尼b?2N.sec/m，彈簧系數(shù)k?100N/m，且質(zhì)量塊的初始位移x(0)?0.05m，其初始速度x?(0)?0m/sec，要求創(chuàng)建該系統(tǒng)的SIMULINK模型，并進(jìn)行仿真運(yùn)行。

9.創(chuàng)建一個(gè)notebook文件，簡(jiǎn)單調(diào)試一個(gè)作圖程序，體會(huì)notebook功能。

【實(shí)驗(yàn)報(bào)告要求】

1．整理實(shí)驗(yàn)結(jié)果。2．總結(jié)實(shí)驗(yàn)心得體會(huì)

/ 17

第五篇：實(shí)驗(yàn)三 防火墻的配置

實(shí)驗(yàn)三 防火墻的配置

? 實(shí)驗(yàn)?zāi)康?/p>

1、了解防火墻的含義與作用

2、學(xué)習(xí)防火墻的基本配置方法

3、理解iptables工作機(jī)理

4、熟練掌握iptables包過(guò)濾命令及規(guī)則

5、學(xué)會(huì)利用iptables對(duì)網(wǎng)絡(luò)事件進(jìn)行審計(jì)

6、熟練掌握iptables NAT工作原理及實(shí)現(xiàn)流程

7、學(xué)會(huì)利用iptables+squid實(shí)現(xiàn)web應(yīng)用代理

? 實(shí)驗(yàn)原理

? 防火墻的基本原理

一．什么是防火墻

在古代，人們已經(jīng)想到在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所，于是有了“防火墻”的概念。

進(jìn)入信息時(shí)代后，防火墻又被賦予了一個(gè)類似但又全新的含義。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

二．防火墻能做什么 1．防火墻是網(wǎng)絡(luò)安全的屏障

一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2．防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

3．對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)

如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

4．防止內(nèi)部信息的外泄

通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過(guò)VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

三．NAT NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。

簡(jiǎn)單的說(shuō)，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（Internet）上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問(wèn)題。通過(guò)這種方法，您可以只申請(qǐng)一個(gè)合法IP地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。這時(shí)，NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來(lái)說(shuō)是不可見的，而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點(diǎn)的私有IP地址，這個(gè)地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以實(shí)現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機(jī)挑選，但是通常使用的是下面的地址：10.0.0.0～10.255.255.255，172.16.0.0～172.16.255.255，192.168.0.0～192.168.255.255。NAT將這些無(wú)法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網(wǎng)絡(luò)信息中心）或者ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址，對(duì)外代表一個(gè)或多個(gè)內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡(luò)管理員只需在路由器的IOS中設(shè)置NAT功能，就可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的屏蔽。再比如防火墻將Web Server的內(nèi)部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問(wèn)202.96.23.11地址實(shí)際上就是訪問(wèn)192.168.1.1。另外對(duì)資金有限的小型企業(yè)來(lái)說(shuō)，現(xiàn)在通過(guò)軟件也可以實(shí)現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

NAT有三種類型：靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）。

其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。

動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址，用戶斷開時(shí)，這個(gè)IP地址就會(huì)被釋放而留待以后使用。

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。

在Internet中使用NAPT時(shí)，所有不同的信息流看起來(lái)好像來(lái)源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用，通過(guò)從ISP處申請(qǐng)的一個(gè)IP地址，將多個(gè)連接通過(guò)NAPT接入Internet。實(shí)際上，許多SOHO遠(yuǎn)程訪問(wèn)設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址訪問(wèn)Internet，雖然這樣會(huì)導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用NAPT還是很值得的。

? Windows 2003防火墻

Windows 2003提供的防火墻稱為Internet連接防火墻，通過(guò)允許安全的網(wǎng)絡(luò)通信通過(guò)防火墻進(jìn)入網(wǎng)絡(luò)，同時(shí)拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來(lái)威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows2003服務(wù)器上，對(duì)直接連接到Internet的計(jì)算機(jī)啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL適配器或者撥號(hào)調(diào)制解調(diào)器連接到Internet。它可以有效地?cái)r截對(duì)Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描，從而提高Windows 2003服務(wù)器的安全性。同時(shí)，它也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。

1．啟用/關(guān)閉防火墻

（1）打開“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對(duì)話框。

（2）選擇“高級(jí)”選項(xiàng)卡，單擊“設(shè)置”按鈕，出現(xiàn)啟動(dòng)/停止防火墻界面。如果要啟用 Internet 連接防火墻，請(qǐng)單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請(qǐng)單擊“關(guān)閉(F)”按鈕。

2．防火墻服務(wù)設(shè)置

Windows 2003 Internet連接防火墻能夠管理服務(wù)端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務(wù)，Internet連接防火墻就可以監(jiān)視并管理這些端口。

（1）解除阻止設(shè)置。

在“例外”選項(xiàng)卡中，可以通過(guò)設(shè)定讓防火墻禁止和允許本機(jī)中某些應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)，加上“√”表示允許，不加“√”表示禁止。如果允許本機(jī)中某項(xiàng)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)，則在對(duì)話框中間列表中所列出該項(xiàng)服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止本機(jī)中某項(xiàng)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)，則將該項(xiàng)服務(wù)前的“√”清除（如果不存在同樣可以添加）。在“Windows防火墻阻止程序時(shí)通知我”選項(xiàng)前打“√”則在主機(jī)出現(xiàn)列表框中不存在的應(yīng)用程序欲訪問(wèn)網(wǎng)絡(luò)時(shí)，防火墻會(huì)彈出提示框詢問(wèn)用戶是否允許該項(xiàng)網(wǎng)絡(luò)連接。

（2）高級(jí)設(shè)置。

在“高級(jí)”選項(xiàng)卡中，可以指定需要防火墻保護(hù)的網(wǎng)絡(luò)連接，雙擊網(wǎng)絡(luò)連接或單擊“設(shè)置”按鈕設(shè)置允許其他用戶訪問(wèn)運(yùn)行于本主機(jī)的特定網(wǎng)絡(luò)服務(wù)。選擇“服務(wù)”選項(xiàng)卡，其中列舉出了網(wǎng)絡(luò)標(biāo)準(zhǔn)服務(wù)，加上“√”表示允許，不加“√”表示禁止。如果允許外部網(wǎng)絡(luò)用戶訪問(wèn)網(wǎng)絡(luò)的某一項(xiàng)服務(wù)，則在對(duì)話框中間列表中所列出該項(xiàng)服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止外部網(wǎng)絡(luò)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)的某一項(xiàng)服務(wù)，則將該項(xiàng)服務(wù)前的“√”清除（如果不存在同樣可以添加）。選擇“ICMP”選項(xiàng)卡，允許或禁止某些類型的ICMP響應(yīng)，建議禁止所有的ICMP響應(yīng)。

3．防火墻安全日志設(shè)置

Windows2003防火墻可以記錄所有允許和拒絕進(jìn)入的數(shù)據(jù)包，以便進(jìn)行進(jìn)一步的分析。在“高級(jí)”選項(xiàng)卡的“安全日志記錄”框中單擊“設(shè)置”按鈕，進(jìn)入“日志設(shè)置”界面。

如果要記錄被丟棄的包，則選中“記錄被丟棄的數(shù)據(jù)包”復(fù)選按鈕；如果要記錄成功的連接，則選中“記錄成功的連接”復(fù)選按鈕。

日志文件默認(rèn)路徑為C:WINDOWSpfirewall.log，用記事本可以打開，所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析。你也可以重新指定日志文件，而且還可以通過(guò)“大小限制”限定文件的最大使用空間。

「說(shuō)明」 建立安全日志是非常必要的，在服務(wù)器安全受到威脅時(shí)，日志可以提供可靠的證據(jù)。

? linux防火墻-iptable的應(yīng)用

一．iptables簡(jiǎn)介

從1.1內(nèi)核開始，linux就已經(jīng)具有包過(guò)濾功能了，在2.0的內(nèi)核中我們采用ipfwadm來(lái)操作內(nèi)核包過(guò)濾規(guī)則。之后在2.2內(nèi)核中，采用了大家并不陌生的ipchains來(lái)控制內(nèi)核包過(guò)濾規(guī)則。在2.4內(nèi)核中我們不再使用ipchains，而是采用一個(gè)全新的內(nèi)核包過(guò)濾管理工具—iptables。這個(gè)全新的內(nèi)核包過(guò)濾工具將使用戶更易于理解其工作原理，更容易被使用，當(dāng)然也將具有更為強(qiáng)大的功能。

實(shí)際上iptables只是一個(gè)內(nèi)核包過(guò)濾的工具，iptables可以加入、插入或刪除核心包過(guò)濾表格(鏈)中的規(guī)則。實(shí)際上真正來(lái)執(zhí)行這些過(guò)濾規(guī)則的是netfilter(Linux內(nèi)核中一個(gè)通用架構(gòu))及其相關(guān)模塊(如iptables模塊和nat模塊)。

netfilter提供了一系列的“表(tables)”，每個(gè)表由若干“鏈(chains)”組成，而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來(lái)理解，netfilter是表的容器，表是鏈的容器，鏈又是規(guī)則的容器。

netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個(gè)鏈。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，系統(tǒng)就會(huì)從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會(huì)根據(jù)預(yù)先定義的策略(policy)來(lái)處理該數(shù)據(jù)包。

圖3-2-1 網(wǎng)絡(luò)數(shù)據(jù)包在filter表中的流程

數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)，系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈，則可能有三種情況：

（1）如果數(shù)據(jù)包的目的地址是本機(jī)，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈，如果通過(guò)規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒(méi)有通過(guò)規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

（2）如果數(shù)據(jù)包的目的地址不是本機(jī)，也就是說(shuō)，這個(gè)包將被轉(zhuǎn)發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過(guò)規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒(méi)有通過(guò)規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

（3）如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的，則系統(tǒng)將其送往OUTPUT鏈，如果通過(guò)規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒(méi)有通過(guò)規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

當(dāng)我們?cè)谑褂胕ptables NAT功能的時(shí)候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“-t nat”選項(xiàng)來(lái)顯式地指明這一點(diǎn)。因?yàn)橄到y(tǒng)缺省的表是“filter”，所以在使用filter功能時(shí)，我們沒(méi)有必要顯式的指明“-t filter”。

同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規(guī)則的容器，它們分別是：

（1）PREROUTING: 可以在這里定義進(jìn)行目的NAT的規(guī)則，因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的IP地址，為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進(jìn)行目的NAT。

（2）POSTROUTING: 可以在這里定義進(jìn)行源NAT的規(guī)則，在路由器進(jìn)行路由之后才進(jìn)行源NAT。（3）OUTPUT: 定義對(duì)本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。二．NAT工作原理

NAT的基本思想是為每個(gè)企業(yè)分配一個(gè)IP地址(或者是很少幾個(gè))來(lái)進(jìn)行Internet傳輸。在企業(yè)內(nèi)部，每個(gè)電腦取得一唯一的IP地址來(lái)為內(nèi)部傳輸做路由。然而，當(dāng)封包離開企業(yè)，進(jìn)入ISP之后，就需要進(jìn)行地址轉(zhuǎn)換了。為了使這個(gè)方案可行，IP地址的范圍被聲明為私有的，企業(yè)可以隨意在內(nèi)部使用他們。僅有的規(guī)則是，沒(méi)有包含這些地址的封包出現(xiàn)在Internet上。

「說(shuō)明」 IP私有地址范圍是：10.0.0.0～10.255.255.255/

8、172.16.0.0 ～172.31.255.255/

12、192.168.0.0～192.168.255.255/16。

如圖3-2-2所示。在企業(yè)內(nèi)部，每個(gè)機(jī)器都有一個(gè)唯一的172.16.x.y形式的地址。然而，當(dāng)封包離開企業(yè)時(shí)，它要經(jīng)過(guò)NAT轉(zhuǎn)盒，NAT盒將內(nèi)部IP源地址，即圖中的172.16.0.50轉(zhuǎn)換成企業(yè)的真實(shí)地址(這個(gè)地址對(duì)于Internet來(lái)說(shuō)是可見的)，此例中為202.198.168.150。NAT盒通常和防火墻一起綁定在一個(gè)設(shè)備上，這里的防火墻通過(guò)小心地控制進(jìn)出企業(yè)的封包提供了安全保障。

圖3-2-2 NAT地址轉(zhuǎn)換

三．iptables常用操作語(yǔ)法

對(duì)于任何協(xié)議及協(xié)議的擴(kuò)展，通用匹配都可以直接使用。（1）匹配指定協(xié)議。

匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／說(shuō)明匹配指定的協(xié)議，指定協(xié)議的形式有以下幾種：①名字不分大小寫，但必須是在/etc/protocols中定義的；②可以使用協(xié)議相應(yīng)的整數(shù)值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設(shè)置ALL，相應(yīng)數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協(xié)議；④可以是協(xié)議列表，以英文逗號(hào)為分隔符，如：udp,tcp；⑤可以在協(xié)議前加英文的感嘆號(hào)表示取反，注意有空格,如：--protocol!tcp表示非TCP協(xié)議，也就是UDP和ICMP。可以看出這個(gè)取反的范圍只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

匹配-s,--src,--source／使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT／說(shuō)明以IP源地址匹配包。地址的形式如下：①單個(gè)地址，如192.168.0.1，也可寫成192.168.0.1/255.255.255.255或192.168.0.1/32；②網(wǎng)絡(luò)，如192.168.0.0/24,或192.168.0.0/255.255.255.0；③在地址前加英文感嘆號(hào)表示取反，注意空格，如—source!192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

匹配-d,--dst,--destination／使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT／說(shuō)明以IP目的地址匹配包。地址的形式和—source完全一樣。

（4）以包進(jìn)入本地使用的網(wǎng)絡(luò)接口匹配包。

匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／說(shuō)明以包進(jìn)入本地所使用的網(wǎng)絡(luò)接口來(lái)匹配包。要注意這個(gè)匹配操作只能用于INPUT,FORWARD和PREROUTING這三個(gè)鏈，用在其他任何地方會(huì)提示錯(cuò)誤信息。指定接口有以下方法：①指定接口名稱，如：eth0、ppp0等；②使用通配符，即英文加號(hào)，它代表字符數(shù)字串。若直接用一個(gè)加號(hào)，即iptables-A INPUT-i +表示匹配所有的包，而不考慮使用哪個(gè)接口。通配符還可以放在某一類接口的后面，如：eth+表示匹配所有從Ethernet接口進(jìn)入的包；③在接口前加英文感嘆號(hào)表示取反，如：-i!eth0意思是匹配來(lái)自除eth0外的所有包。

（5）以包離開本地所使用的網(wǎng)絡(luò)接口來(lái)匹配包。

匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／說(shuō)明以包離開本地所使用的網(wǎng)絡(luò)接口來(lái)匹配包。要注意這個(gè)匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個(gè)鏈，用在其他任何地方會(huì)提示錯(cuò)誤信息。

（6）匹配通信源端口。

匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／說(shuō)明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的源端口，但必須與匹配協(xié)議相結(jié)合使用。

（7）匹配通信源端口。

匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／說(shuō)明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的目的端口，但必須與匹配協(xié)議相結(jié)合使用。

五．iptables功能擴(kuò)展 1．TCP擴(kuò)展

iptables可以擴(kuò)展，擴(kuò)展分為兩種：一種是標(biāo)準(zhǔn)的；另一種是用戶派生的。如果指定了“-p tcp”，那么TCP擴(kuò)展將自動(dòng)加載，通過(guò)--tcp-flags擴(kuò)展，我們指定TCP報(bào)文的哪些Flags位被設(shè)置，在其后跟隨兩個(gè)參數(shù)：第一個(gè)參數(shù)代表Mask,指定想要測(cè)驗(yàn)的標(biāo)志位；第二個(gè)參數(shù)指定哪些位被設(shè)置。

例：設(shè)置iptables防火墻禁止來(lái)自外部的任何tcp主動(dòng)請(qǐng)求，并對(duì)此請(qǐng)求行為進(jìn)行事件記錄。

其中ULOG指定對(duì)匹配的數(shù)據(jù)包進(jìn)行記錄,由日志生成工具ULOG生成iptables防火日志，--log-prefix選項(xiàng)為記錄前綴。

2．ICMP擴(kuò)展

例：設(shè)置iptables防火墻允許來(lái)自外部的某種類型/代碼的ICMP數(shù)據(jù)包。

其中--icmp-type為擴(kuò)展命令選項(xiàng)，其后參數(shù)可以是三種模式：（1）ICMP類型名稱（例如，host-unreachable）。（2）ICMP類型值(例如3)。（3）ICMP類型及代碼值（8/0）。六．狀態(tài)檢測(cè)

“狀態(tài)”的意思是指如果一個(gè)數(shù)據(jù)包是對(duì)先前從防火墻發(fā)出去的包的回復(fù)，則防火墻自動(dòng)不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進(jìn)入并返回給請(qǐng)求者，這樣就不用設(shè)置許多規(guī)則定義就可實(shí)現(xiàn)應(yīng)用的功能。

我們可以把請(qǐng)求端與應(yīng)答端之間建立的網(wǎng)絡(luò)通信連接稱為網(wǎng)絡(luò)會(huì)話，每個(gè)網(wǎng)絡(luò)會(huì)話都包括以下信息——源IP地址、目標(biāo)IP地址、源端口、目的端口，稱為套接字對(duì)；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時(shí)時(shí)間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過(guò)濾防火墻能在內(nèi)存中維護(hù)一個(gè)跟蹤狀態(tài)的表，比簡(jiǎn)單的包過(guò)濾防火墻具有更大的安全性，而iptables就是一種基于狀態(tài)的防火墻。命令格式如下：

iptables-m state--state [!] state [,state,state,state] 其中，state表是一個(gè)由逗號(hào)分割的列表，用來(lái)指定連接狀態(tài)，狀態(tài)分為4種：（1）NEW: 該包想要建立一個(gè)新的連接（重新連接或連接重定向）

（2）RELATED:該包是屬于某個(gè)已經(jīng)建立的連接所建立的新連接。舉例：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。

（3）ESTABLISHED：該包屬于某個(gè)已經(jīng)建立的連接。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。七．NAT操作

前面提到在iptables防火墻中提供了3種策略規(guī)則表：Filter、Mangle和NAT，這3種表功能各不相同，而最為常用的就是filter和nat表。

nat表僅用于NAT,也就是網(wǎng)絡(luò)地址轉(zhuǎn)換。做過(guò)NAT操作的數(shù)據(jù)包的地址就被改變了，當(dāng)然這種改變是根據(jù)我們的規(guī)則進(jìn)行的。屬于流的包只會(huì)經(jīng)過(guò)這個(gè)表一次，經(jīng)一個(gè)包被允許做NAT,那么余下的包都會(huì)自動(dòng)地做相同的操作。也就是說(shuō)，余下的包不會(huì)再通過(guò)這個(gè)表一個(gè)一個(gè)的被NAT，而是自動(dòng)完成的。常用操作分為以下幾類。

（1）SNAT(source network address translation，源網(wǎng)絡(luò)地址目標(biāo)轉(zhuǎn)換)。

SNAT是POSTROUTING鏈表的作用，在封包就要離開防火墻之前改變其源地址，這在極大程度上可以隱藏本地網(wǎng)絡(luò)或者DMZ等。比如，多個(gè)PC機(jī)使用路由器共享上網(wǎng)，每個(gè)PC機(jī)都配置了內(nèi)網(wǎng)IP(私有IP)，PC機(jī)訪問(wèn)外部網(wǎng)絡(luò)的時(shí)候，路由器將數(shù)據(jù)包的報(bào)頭中的源地址替換成路由器的IP，當(dāng)外部網(wǎng)絡(luò)的服務(wù)器比如網(wǎng)站W(wǎng)eb服務(wù)器接到訪問(wèn)請(qǐng)求的時(shí)候，它的日志記錄下來(lái)的路由器的IP，而不是PC機(jī)的內(nèi)網(wǎng)IP，這是因?yàn)?，這個(gè)服務(wù)器收到的數(shù)據(jù)包的報(bào)頭里邊的“源地址”已經(jīng)被替換了。所以叫做SNAT，基于源地址的地址轉(zhuǎn)換。

例如更改所有來(lái)自192.168.0.1/24的數(shù)據(jù)包的源IP地址為10.0.0.1，其iptables實(shí)現(xiàn)為：

（2）DNAT(destination network address translation，目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換)。

DNAT是PREROUTING鏈表的作用，在封包剛剛到達(dá)防火墻時(shí)改變其目的地址，以使包能重路由到某臺(tái)主機(jī)。典型的應(yīng)用是，有個(gè)Web服務(wù)器放在企業(yè)網(wǎng)絡(luò)DMZ區(qū)，其配置了內(nèi)網(wǎng)IP地址，企業(yè)防火墻的的外網(wǎng)接口配置了企業(yè)唯一的公網(wǎng)IP，互聯(lián)網(wǎng)上的訪問(wèn)者使用公網(wǎng)IP來(lái)訪問(wèn)這個(gè)網(wǎng)站，當(dāng)訪問(wèn)的時(shí)候，客戶端發(fā)出一個(gè)數(shù)據(jù)包，這個(gè)數(shù)據(jù)包的報(bào)頭里邊，目標(biāo)地址寫的是防火墻的公網(wǎng)IP，然后再把這個(gè)數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務(wù)器上，這樣，數(shù)據(jù)包就穿透了防火墻，并從公網(wǎng)IP變成了一個(gè)對(duì)DMZ區(qū)的訪問(wèn)了。所以叫做DNAT，基于目標(biāo)的網(wǎng)絡(luò)地址轉(zhuǎn)換。

例如更改所有來(lái)自202.98.0.1/24的數(shù)據(jù)包的目的IP地址為192.168.0.1，其iptables實(shí)現(xiàn)為：

（3）REDIRECT(重定向)。

REDIRECT是DNAT的特殊情況是重定向，也就是所謂的Redirection，這時(shí)候就相當(dāng)于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)的網(wǎng)絡(luò)接口的IP地址。通常是在與squid配置形成透明代理時(shí)使用，假設(shè)squid的監(jiān)聽端口是3128,我們可以通過(guò)以下語(yǔ)句來(lái)將來(lái)自192.168.0.1/24，目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽：

（4）MASQUERADE(地址偽裝)。

在iptables中有著和SNAT相近的效果，但也有一些區(qū)別。在使用SNAT的時(shí)候，出口IP的地址范圍可以是一個(gè)，也可以是多個(gè)，例如把所有

192.168.0.0/2

4網(wǎng)段數(shù)據(jù)包

SNAT

成202.98.0.150/202.98.0.151/202.98.0.152等幾個(gè)IP然后發(fā)出去,其iptables實(shí)現(xiàn)為：

SNAT即可以NAT成一個(gè)地址，也可以NAT成多個(gè)地址。但是，對(duì)于SNAT來(lái)說(shuō)不管是幾個(gè)地址，必須明確指定轉(zhuǎn)換的目標(biāo)地址IP。假如當(dāng)前系統(tǒng)用的是ADSL動(dòng)態(tài)撥號(hào)方式，那么每次撥號(hào)，出口IP都會(huì)改變，而且改變的幅度很大，不一定是202.98.0.150到202.98.0.152范圍內(nèi)的地址，這個(gè)時(shí)候如果使用SNAT的方式來(lái)配置iptables就會(huì)出現(xiàn)麻煩了，因?yàn)槊看螕芴?hào)后出口IP都會(huì)變化，而iptables規(guī)則內(nèi)的IP是不會(huì)隨著自動(dòng)變化的，每次地址變化后都必須手工修改一次iptables，把規(guī)則里邊的固定的IP改成新的IP，這樣是非常不好用的。

MASQUERADE就是針對(duì)這種場(chǎng)景而設(shè)計(jì)的，它的作用是從防火墻外網(wǎng)接口上自動(dòng)獲取當(dāng)前IP地址來(lái)做NAT，比如下邊的命令：

八．防火墻應(yīng)用代理 1．代理服務(wù)器概述

在TCP/IP網(wǎng)絡(luò)中，傳統(tǒng)的通信過(guò)程是這樣的：客戶端向服務(wù)器請(qǐng)求數(shù)據(jù)，服務(wù)器響應(yīng)該請(qǐng)求，將數(shù)據(jù)傳送給客戶端，如圖3-2-3所示。

圖3-2-3 直接訪問(wèn)Internet 在引入了代理服務(wù)器以后，這一過(guò)程變成了這樣：客戶端向服務(wù)器發(fā)起請(qǐng)求，該請(qǐng)求被送到代理服務(wù)器；代理服務(wù)器分析該請(qǐng)求，先查看自己緩存中是否有請(qǐng)求數(shù)據(jù)，如果有就直接傳遞給客戶端，如果沒(méi)有就代替客戶端向該服務(wù)器發(fā)出請(qǐng)求。服務(wù)器響應(yīng)以后，代理服務(wù)將響應(yīng)的數(shù)據(jù)傳遞給客戶端，同時(shí)在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣，再有客戶端請(qǐng)求相同的數(shù)據(jù)時(shí)，代理服務(wù)器就可以直接將數(shù)據(jù)傳送給客戶端，而不需要再向該服務(wù)器發(fā)起請(qǐng)求，如圖3-2-4所示。

圖3-2-4 通過(guò)代理服務(wù)器訪問(wèn)Internet

2．代理服務(wù)器功能

一般說(shuō)來(lái)，代理服務(wù)器具有以下的功能：（1）通過(guò)緩存增加訪問(wèn)速度。

隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)帶寬變得越來(lái)越珍貴。所以為了提高訪問(wèn)速度，好多ISP都提供代理服務(wù)器，通過(guò)代理服務(wù)器的緩存功能來(lái)加快網(wǎng)絡(luò)的訪問(wèn)速度。一般說(shuō)來(lái)，大多數(shù)的代理服務(wù)器都支持HTTP緩存，但是，有的代理服務(wù)器也支持FTP緩存。在選擇代理服務(wù)器時(shí)，對(duì)于大多數(shù)的組織，只需要HTTP緩存功能就足夠了。

通常，緩存有主動(dòng)緩存被動(dòng)緩存之分。所謂被動(dòng)緩存，指的是代理服務(wù)器只在客戶端請(qǐng)求數(shù)據(jù)時(shí)才將服務(wù)器返回的數(shù)據(jù)進(jìn)行緩存，如果數(shù)據(jù)過(guò)期了，又有客戶端請(qǐng)求相同的數(shù)據(jù)時(shí)，代理服務(wù)器又必須重新發(fā)起新的數(shù)據(jù)請(qǐng)求，在將響應(yīng)數(shù)據(jù)傳送給客戶端時(shí)又進(jìn)行新的緩存。所謂主動(dòng)緩存，就是代理服務(wù)器不斷地檢查緩存中的數(shù)據(jù)，一旦有數(shù)據(jù)過(guò)期，則代理服務(wù)器主動(dòng)發(fā)起新的數(shù)據(jù)請(qǐng)求來(lái)更新數(shù)據(jù)。這樣，當(dāng)有客戶端請(qǐng)求該數(shù)據(jù)時(shí)就會(huì)大大縮短響應(yīng)時(shí)間。對(duì)于數(shù)據(jù)中的認(rèn)證信息，大多數(shù)的代理服務(wù)器都不會(huì)進(jìn)行緩存的。

（2）提供用私有IP訪問(wèn)Internet的方法。

IP地址是不可再生的寶貴資源，假如你只有有限的IP地址，但是需要提供整個(gè)組織的Internet訪問(wèn)能力，那么，你可以通過(guò)使用代理服務(wù)器來(lái)實(shí)現(xiàn)這一點(diǎn)。

（3）提高網(wǎng)絡(luò)的安全性。

如果內(nèi)部用戶訪問(wèn)Internet都是通過(guò)代理服務(wù)器，那么代理服務(wù)器就成為進(jìn)入Internet的唯一通道；反過(guò)來(lái)說(shuō)，代理服務(wù)器也是Internet訪問(wèn)內(nèi)部網(wǎng)絡(luò)的唯一通道，如果你沒(méi)有做反向代理，則對(duì)于Internet上的主機(jī)來(lái)說(shuō)，你的整個(gè)內(nèi)部網(wǎng)只有代理服務(wù)器是可見的，從而大大增強(qiáng)了網(wǎng)絡(luò)的安全性。

3．傳統(tǒng)、透明和反向代理服務(wù)器（1）傳統(tǒng)代理服務(wù)器。

傳統(tǒng)代理常被用于緩存靜態(tài)網(wǎng)頁(yè)(例如：html文件和圖片文件等)到本地網(wǎng)絡(luò)上的一臺(tái)主機(jī)上(即代理服務(wù)器)。不緩存的頁(yè)面被第二次訪問(wèn)的時(shí)候，瀏覽器將直接從本地代理服務(wù)器那里獲取請(qǐng)求數(shù)據(jù)而不再向原Web站點(diǎn)請(qǐng)求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬，而且提高了訪問(wèn)速度。但是，要想實(shí)現(xiàn)這種方式，必須在每一個(gè)內(nèi)部主機(jī)的瀏覽器上明確指明代理服務(wù)器的IP地址和端口號(hào)?？蛻舳松暇W(wǎng)時(shí)，每次都把請(qǐng)求給代理服務(wù)器處理，代理服務(wù)器根據(jù)請(qǐng)求確定是否連接到遠(yuǎn)程Web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo)文件，則直接將文件傳給用戶即可。如果沒(méi)有的話則先取回文件，并在本地保存一份緩沖，然后將文件發(fā)給客戶端瀏覽器。

（2）透明代理服務(wù)器。

透明代理與傳統(tǒng)代理的功能完全相同。但是，代理操作對(duì)客戶端瀏覽器是透明的(即不需指明代理服務(wù)器的IP和端口)。透明代理服務(wù)器阻斷網(wǎng)絡(luò)通信，并且過(guò)濾出訪問(wèn)外部的HTTP(80端口)流量。如果客戶端的請(qǐng)求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶，如果在本地沒(méi)有緩沖則向遠(yuǎn)程Web服務(wù)器發(fā)出請(qǐng)求，其余操作和傳統(tǒng)代理服務(wù)器完全相同。對(duì)于Linux操作系統(tǒng)來(lái)說(shuō)，透明代理使用iptables實(shí)現(xiàn)。因?yàn)椴恍枰獙?duì)瀏覽器作任何設(shè)置，所以，透明代理對(duì)于ISP來(lái)說(shuō)特別有用。

（3）反向代理服務(wù)器。

反向代理是和前兩種代理完全不同的一種代理服務(wù)。使用它可以降低原始Web服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對(duì)原始Web服務(wù)器的靜態(tài)頁(yè)面的請(qǐng)求，防止原始服務(wù)器過(guò)載。如圖3-2-5所示，它位于本地Web服務(wù)器和Internet之間，處理所有對(duì)Web服務(wù)器的請(qǐng)求。如果互聯(lián)網(wǎng)用戶請(qǐng)求的頁(yè)面在代理器上有緩沖的話，代理服務(wù)器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒(méi)有緩沖則先向Web服務(wù)器發(fā)出請(qǐng)求，取回?cái)?shù)據(jù)，本地緩存后再發(fā)送給用戶。這種方式通過(guò)降低了向Web服務(wù)器的請(qǐng)求數(shù)從而降低了Web服務(wù)器的負(fù)載。

圖3-2-5 反向代理服務(wù)器位于Internet與組織服務(wù)器之間

4．代理服務(wù)器squid簡(jiǎn)介

Squid是一個(gè)緩存Internet數(shù)據(jù)的一個(gè)開源軟件，它會(huì)接收用戶的下載申請(qǐng)，并自動(dòng)處理所下載的數(shù)據(jù)。也就是說(shuō)，當(dāng)一個(gè)用戶要下載一個(gè)主頁(yè)時(shí)，他向squid發(fā)出一個(gè)申請(qǐng)，要求squid替它下載，squid連接申請(qǐng)網(wǎng)站并請(qǐng)求該主頁(yè)，然后把該主頁(yè)傳給用戶同時(shí)保留一個(gè)備份，當(dāng)別的用戶申請(qǐng)同樣的頁(yè)面時(shí)，squid把保存的備份立即傳給用戶，使用戶覺得速度相當(dāng)快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議，暫不能代理POP、NNTP等協(xié)議。但是已經(jīng)有人開始改進(jìn)squid，相信不久的將來(lái)，squid將能夠代理這些協(xié)議。

Squid不是對(duì)任何數(shù)據(jù)都進(jìn)行緩存。像信用卡賬號(hào)、可以遠(yuǎn)方執(zhí)行的Script、經(jīng)常變換的主頁(yè)等是不適合緩存的。Squid可以根據(jù)用戶的需要進(jìn)行設(shè)置，過(guò)濾掉不想要的東西。

Squid可用在很多操作系統(tǒng)中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系統(tǒng)中重新編譯過(guò)Squid。

Squid對(duì)內(nèi)存有一定的要求，一般不應(yīng)小于128M，硬盤最好使用服務(wù)器專用SCSI硬盤。

Squid是一個(gè)高性能的代理緩存服務(wù)器，和一般的代理緩存軟件不同，Squid用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來(lái)處理所有的客戶端請(qǐng)求。

Squid將數(shù)據(jù)元緩存在內(nèi)存中，同時(shí)也緩存DNS查詢的結(jié)果。此外，它還支持非模塊化的DNS查詢，對(duì)失敗的請(qǐng)求進(jìn)行消極緩存。Squid支持SSL，支持訪問(wèn)控制。由于使用了ICP（輕量Internet緩存協(xié)議），Squid能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。

Squid由一個(gè)主要的服務(wù)程序Squid,一個(gè)DNS查詢程序dnsserver，幾個(gè)重寫請(qǐng)求和執(zhí)行認(rèn)證的程序，以及幾個(gè)管理工具組成。當(dāng)Squid啟動(dòng)以后，它可以派生出預(yù)先指定數(shù)目的dnsserver進(jìn)程，而每一個(gè)dnsserver進(jìn)程都可以執(zhí)行單獨(dú)的DNS查詢，這樣就減少了服務(wù)器等待DNS查詢的時(shí)間。

5．Squid常用配置選項(xiàng)

因?yàn)槿笔〉呐渲梦募荒苁筍quid正常啟動(dòng)服務(wù)，所以我們必須首先修改該配置文件的有關(guān)內(nèi)容,才能讓Squid運(yùn)行起來(lái)。

下面是squid.conf文件的結(jié)構(gòu)。squid.conf配置文件的可以分為13個(gè)部分，這13個(gè)部分如下有所示。

雖然Squid的配置文件很龐大，但是如果你只是為一個(gè)中小型網(wǎng)絡(luò)提供代理服務(wù)，并且只準(zhǔn)備使用一臺(tái)服務(wù)器，則只需要修改配置文件中的幾個(gè)選項(xiàng)。

6．Squid常用命令選項(xiàng)（1）端口號(hào)。

http_port指令告訴squid在哪個(gè)端口偵聽HTTP請(qǐng)求。默認(rèn)端口是3128：http_port 3128，如果要squid作為加速器運(yùn)行則應(yīng)將它設(shè)為80。

你能使用附加http_port行來(lái)指squid偵聽在多個(gè)端口上。例如，來(lái)自某個(gè)部門的瀏覽器發(fā)送請(qǐng)求3128，然而另一個(gè)部門使8080端口?？梢詫蓚€(gè)端口號(hào)列舉出來(lái)：

http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運(yùn)行時(shí)，它有兩個(gè)網(wǎng)絡(luò)接口：一個(gè)內(nèi)部的和一個(gè)外部的。你可能不想接受來(lái)自外部的http請(qǐng)求。為了使squid僅僅偵聽在內(nèi)部接口上，簡(jiǎn)單的將IP地址放在端口號(hào)前面：

http_port 192.168.1.1:3128（2）日志文件路徑。

默認(rèn)的日志目錄是squid安裝位置下的logs目錄，其路徑是/usr/local/squid/var/logs。

你必須確認(rèn)日志文件所存放的磁盤位置空間足夠。squid想確認(rèn)你不會(huì)丟失任何重要的日志信息，特別是你的系統(tǒng)被濫用或者被攻擊時(shí)。

Squid有三個(gè)主要的日志文件：cache.log、access.log和store.log。cache.log文件包含狀態(tài)性的和調(diào)試性的消息。access.log文件包含了對(duì)squid發(fā)起的每個(gè)客戶請(qǐng)求的單一行。每行平均約150個(gè)字節(jié)。假如因?yàn)槟承├碛?，你不想squid記錄客戶端請(qǐng)求日志，你能指定日志文件的路徑為/dev/null。store.log文件對(duì)大多數(shù)cache管理員來(lái)說(shuō)并非很有用。它包含了進(jìn)入和離開緩存的每個(gè)目標(biāo)的記錄。平均記錄大小典型的是175-200字節(jié)。

如果squid的日志文件增加沒(méi)有限制。某些操作系統(tǒng)對(duì)單個(gè)文件強(qiáng)制執(zhí)行2G的大小限制，即使你有充足的磁盤空間。超過(guò)該限制會(huì)導(dǎo)致寫錯(cuò)誤，squid就會(huì)退出。（3）訪問(wèn)控制。

squid默認(rèn)的配置文件拒絕每一個(gè)客戶請(qǐng)求。在任何人能使用代理之前，你必須在squid.conf文件里加入附加的訪問(wèn)控制規(guī)則。最簡(jiǎn)單的方法就是定義一個(gè)針對(duì)客戶IP地址的ACL和一個(gè)訪問(wèn)規(guī)則，告訴squid允許來(lái)自這些地址的HTTP請(qǐng)求。squid有許多不同的ACL類型。src類型匹配客戶IP地址，squid會(huì)針對(duì)客戶HTTP請(qǐng)求檢查http_access規(guī)則。

acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 請(qǐng)將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯squid.conf文件時(shí)，請(qǐng)看如下注釋：

在該注釋之后，以及“http_access deny all”之前插入新規(guī)則。（4）命令選項(xiàng)。

這里的很多選項(xiàng)在實(shí)際應(yīng)用中從不會(huì)使用，另外有些僅僅在調(diào)試問(wèn)題時(shí)有用。

? 實(shí)驗(yàn)步驟

? Windows 2003防火墻

一．防火墻基礎(chǔ)操作

操作概述：?jiǎn)⒂脀indows2003系統(tǒng)防火墻，設(shè)置規(guī)則阻斷ICMP回顯請(qǐng)求數(shù)據(jù)包，并驗(yàn)證針對(duì)UDP連接工具的例外操作。

（1）在啟用防火墻之前，同組主機(jī)通過(guò)ping指令互相測(cè)試網(wǎng)絡(luò)連通性，確保互相是連通的，若測(cè)試未通過(guò)請(qǐng)排除故障。

（2）本機(jī)啟用防火墻，并設(shè)置防火墻僅對(duì)“本地連接”進(jìn)行保護(hù)。

（3）同組主機(jī)再次通過(guò)ping指令互相測(cè)試網(wǎng)絡(luò)連通性，確認(rèn)是否相互連通_______。（4）設(shè)置本機(jī)防火墻允許其傳入ICMP回顯請(qǐng)求。（5）第三次測(cè)試網(wǎng)絡(luò)連通性。二．防火墻例外操作

操作概述：?jiǎn)⒂脀indows2003系統(tǒng)防火墻，在“例外”選項(xiàng)卡中添加程序“UDPtools” 允許UDPtools間通信，并彈出網(wǎng)絡(luò)連接提示信息。

（1）關(guān)閉防火墻，同組主機(jī)間利用UDPtools進(jìn)行數(shù)據(jù)通信，確保通信成功。

「說(shuō)明」 UDPtools通信雙方應(yīng)分別為客戶端和服務(wù)端，其默認(rèn)通過(guò)2513/UDP端口進(jìn)行通信，可以自定義通信端口，運(yùn)行如圖3-1-1所示。

圖3-1-1 UDP連接工具

（2）本機(jī)啟用防火墻(僅對(duì)本地連接)，將本機(jī)作為UDPtools服務(wù)器端，同組主機(jī)以UDPtools客戶端身份進(jìn)行通信，確定客戶端通信請(qǐng)求是否被防火墻阻塞_______。

（3）斷開UDPtools通信，單擊“例外”選項(xiàng)卡，在“程序和服務(wù)”列表框添加程序“UDPtools.exe”（C:JLCSSTOOLSAnalysertoolsUdpTools.exe）并將其選中。再次啟動(dòng)UDPtools并以服務(wù)器身份運(yùn)行，同組主機(jī)仍以客戶端身份與其通信，確定客戶端通信請(qǐng)求是否被防火墻阻塞_______。

三．NAT操作

操作概述：Windows Server 2003“路由和遠(yuǎn)程訪問(wèn)”服務(wù)包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運(yùn)行“路由和遠(yuǎn)程訪問(wèn)”的服務(wù)器上，則使用專用IP地址的內(nèi)部網(wǎng)絡(luò)客戶端可以通過(guò)NAT服務(wù)器的外部接口訪問(wèn)Internet。

圖3-1-2 實(shí)驗(yàn)網(wǎng)絡(luò)連接示意

參看圖3-1-2，當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)PC1發(fā)送要連接Internet主機(jī)PC2的請(qǐng)求時(shí)，NAT協(xié)議驅(qū)動(dòng)程序會(huì)截取該請(qǐng)求，并將其轉(zhuǎn)發(fā)到目標(biāo)Internet主機(jī)。所有請(qǐng)求看上去都像是來(lái)自NAT器的外部連接IP地址，這樣就隱藏了內(nèi)部網(wǎng)絡(luò)主機(jī)。

在這里我們將windows Server 2003主機(jī)配置成為“路由和遠(yuǎn)程訪問(wèn)”NAT服務(wù)器，并模擬搭建Internet網(wǎng)絡(luò)環(huán)境對(duì)NAT服務(wù)器進(jìn)行測(cè)試。

（1）實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)湟?guī)劃。

按圖3-1-2所示，本實(shí)驗(yàn)需3臺(tái)主機(jī)共同完成，其中一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“內(nèi)網(wǎng)主機(jī)PC1”,一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“外網(wǎng)主機(jī)PC2”,最后一臺(tái)主機(jī)扮演“NAT服務(wù)器”。

默認(rèn)外部網(wǎng)絡(luò)地址202.98.0.0／24；內(nèi)部網(wǎng)絡(luò)地址172.16.0.0／24，也可根據(jù)實(shí)際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。

默認(rèn)主機(jī)“本地連接”為內(nèi)部網(wǎng)絡(luò)接口；“外部連接“為外部網(wǎng)絡(luò)接口，也可指定“本地連接”為外部網(wǎng)絡(luò)接口。

（2）按步驟(1)中規(guī)劃分別為本機(jī)的“本地連接”、“外部連接”配置IP地址。

（3）配置NAT路由服務(wù)。依次單擊“開始”|“程序”|“管理工具”|“路由和遠(yuǎn)程訪問(wèn)”，在“路由和遠(yuǎn)程訪問(wèn)”MMC中，選擇要安裝NAT路由協(xié)議的服務(wù)器(這里為本地主機(jī))，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”。

「注」 操作期間若彈出“為主機(jī)名啟用了Windows防火墻/Internet連接共享服務(wù)……”警告信息，請(qǐng)先禁用“Windows防火墻/Internet連接共享”服務(wù)，后重試操作。具體做法：“開始”|“程序”| “管理工具”|“計(jì)算機(jī)管理”|“服務(wù)和應(yīng)用程序”|“服務(wù)”，在右側(cè)服務(wù)列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務(wù)，先將其停止，然后在啟動(dòng)類型中將其禁用。

（4）在“路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А敝羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”服務(wù)。

（5）在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡(luò)接口，該網(wǎng)絡(luò)接口對(duì)于Internet來(lái)說(shuō)是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應(yīng)選擇“外部連接”。

（6）本實(shí)驗(yàn)中沒(méi)有應(yīng)用到DHCP、DNS服務(wù)，所以在“名稱和地址轉(zhuǎn)換服務(wù)”界面中選擇“我將稍后設(shè)置名稱和地址服務(wù)”。至最后完成路由和遠(yuǎn)程訪問(wèn)配置。

（7）接下來(lái)的工作是對(duì)各NAT服務(wù)器進(jìn)行測(cè)試。下面以主機(jī)ABC為例進(jìn)行測(cè)試說(shuō)明：參照?qǐng)D3-1-2，設(shè)定主機(jī)A為內(nèi)網(wǎng)主機(jī)PC1，將其內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)的默認(rèn)網(wǎng)關(guān)指向主機(jī)B的內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)；設(shè)定主機(jī)C為外網(wǎng)主機(jī)PC2。內(nèi)網(wǎng)主機(jī)A通過(guò)ping指令對(duì)外網(wǎng)主機(jī)C做連通性測(cè)試。

（8）ICMP會(huì)話分析。在主機(jī)A做連通性測(cè)試的同時(shí)，主機(jī)B打開“協(xié)議分析器”并定義過(guò)濾器，操作如下：依次單擊菜單項(xiàng)“設(shè)置”|“過(guò)濾器”，在“協(xié)議過(guò)濾”選項(xiàng)卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”，在彈出的“適配器選擇”界面中選擇“外部連接”，開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格，當(dāng)捕獲到數(shù)據(jù)時(shí)單擊“停止捕獲數(shù)據(jù)包”按鈕，依次展開“會(huì)話分析樹”|“ICMP會(huì)話”，如圖3-1-3所示。

圖3-1-3 在NAT服務(wù)器外部接口上監(jiān)聽到的ICMP會(huì)話

（9）結(jié)合ICMP會(huì)話分析結(jié)果說(shuō)出ICMP數(shù)據(jù)包的傳輸（路由）過(guò)程_________。

? linux防火墻-iptable的應(yīng)用

一．包過(guò)濾實(shí)驗(yàn)

操作概述：為了應(yīng)用iptables的包過(guò)濾功能，首先我們將filter鏈表的所有鏈規(guī)則清空，并設(shè)置鏈表默認(rèn)策略為DROP(禁止)。通過(guò)向INPUT規(guī)則鏈插入新規(guī)則，依次允許同組主機(jī)icmp回顯請(qǐng)求、Web請(qǐng)求，最后開放信任接口eth0。iptables操作期間需同組主機(jī)進(jìn)行操作驗(yàn)證。

（1）清空f(shuō)ilter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。

（2）確定同組主機(jī)已清空f(shuō)ilter鏈表后，利用nmap（/opt/portscan/目錄下）對(duì)同組主機(jī)進(jìn)行端口掃描。

nmap端口掃描命令________。

「說(shuō)明」 nmap具體使用方法可查看實(shí)驗(yàn)6｜練習(xí)1｜TCP端口掃描。查看端口掃描結(jié)果，并填寫下表。

（3）查看INPUT、FORWARD和OUTPUT鏈默認(rèn)策略。iptables命令_________。

? ?（4）將INPUT、FORWARD和OUTPUT鏈默認(rèn)策略均設(shè)置為DROP。iptables命令_________。

確定同組主機(jī)已將默認(rèn)策略設(shè)置為DROP后，本機(jī)再次利用nmap其進(jìn)行端口掃描，查看掃描結(jié)果，并利用ping命令進(jìn)行連通性測(cè)試。

（5）利用功能擴(kuò)展命令選項(xiàng)(ICMP)設(shè)置防火墻僅允許ICMP回顯請(qǐng)求及回顯應(yīng)答。ICMP回顯請(qǐng)求類型__________；代碼__________。ICMP回顯應(yīng)答類型__________；代碼__________。iptables命令__________ 利用ping指令測(cè)試本機(jī)與同組主機(jī)的連通性。（6）對(duì)外開放Web服務(wù)(默認(rèn)端口80/tcp)。iptables命令__________ 利用nmap對(duì)同組主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。

（7）設(shè)置防火墻允許來(lái)自eth0(假設(shè)eth0為內(nèi)部網(wǎng)絡(luò)接口)的任何數(shù)據(jù)通過(guò)。iptables命令_______ 利用nmap對(duì)同組主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。二．事件審計(jì)實(shí)驗(yàn)

操作概述：利用iptables的日志功能檢測(cè)、記錄網(wǎng)絡(luò)端口掃描事件，日志路徑 /var/log/iptables.log。（1）根據(jù)實(shí)驗(yàn)原理(TCP擴(kuò)展)設(shè)計(jì)iptables包過(guò)濾規(guī)則，并應(yīng)用日志生成工具ULOG對(duì)iptables捕獲的網(wǎng)絡(luò)事件進(jìn)行響應(yīng)。

iptables命令__________（2）同組主機(jī)應(yīng)用端口掃描工具對(duì)當(dāng)前主機(jī)進(jìn)行端口掃描，并觀察掃描結(jié)果。（3）在同組主機(jī)端口掃描完成后，當(dāng)前主機(jī)查看iptables日志，對(duì)端口掃描事件進(jìn)行審計(jì)，日志內(nèi)容如圖3-2-1所示。

圖3-2-1 iptables日志內(nèi)容

三．狀態(tài)檢測(cè)實(shí)驗(yàn)

操作概述：分別對(duì)新建和已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)。1．對(duì)新建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)（1）清空f(shuō)ilter規(guī)則鏈全部?jī)?nèi)容。iptables命令__________（2）設(shè)置全部鏈表默認(rèn)規(guī)則為允許。iptables命令__________（3）設(shè)置規(guī)則禁止任何新建連接通過(guò)。iptables命令__________（4）同組主機(jī)對(duì)當(dāng)前主機(jī)防火墻規(guī)則進(jìn)行測(cè)試，驗(yàn)證規(guī)則正確性。2．對(duì)已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)

（1）清空f(shuō)ilter規(guī)則鏈全部?jī)?nèi)容，并設(shè)置默認(rèn)規(guī)則為允許。

（2）同組主機(jī)首先telnet遠(yuǎn)程登錄當(dāng)前主機(jī)，當(dāng)出現(xiàn)“l(fā)ogin:”界面時(shí)，暫停登錄操作。telnet登錄命令_________（3）iptables添加新規(guī)則(狀態(tài)檢測(cè))——僅禁止新建網(wǎng)絡(luò)會(huì)話請(qǐng)求。iptables命令___________ 或___________________ 同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功__________。

同組主機(jī)啟動(dòng)Web瀏覽器訪問(wèn)當(dāng)前主機(jī)Web服務(wù)，訪問(wèn)是否成功__________。解釋上述現(xiàn)象______________________。

（4）刪除步驟（3）中添加的規(guī)則，并插入新規(guī)則(狀態(tài)檢測(cè))——僅禁止已建網(wǎng)絡(luò)會(huì)話請(qǐng)求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實(shí)驗(yàn)步驟(1)(2)(4)。同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令 “guestpass”，登錄是否成功__________。

同組主機(jī)啟動(dòng)Web瀏覽器訪問(wèn)當(dāng)前主機(jī)Web服務(wù)，訪問(wèn)是否成功__________。解釋上述現(xiàn)象_______________。

（5）當(dāng)前主機(jī)再次清空f(shuō)ilter鏈表規(guī)則，并設(shè)置默認(rèn)策略為DROP,添加規(guī)則開放FTP服務(wù)，并允許遠(yuǎn)程用戶上傳文件至FTP服務(wù)器。

iptables命令______________________________________ 四．NAT轉(zhuǎn)換實(shí)驗(yàn)

實(shí)驗(yàn)概述：圖3-2-2描述了NAT轉(zhuǎn)換實(shí)驗(yàn)所應(yīng)用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。內(nèi)網(wǎng)主機(jī)與NAT服務(wù)器eth0接口位于同一網(wǎng)段(內(nèi)網(wǎng))；外網(wǎng)主機(jī)與NAT服務(wù)器eth1接口位于同一網(wǎng)絡(luò)(外網(wǎng))；NAT服務(wù)器提供NAT轉(zhuǎn)換。通過(guò)設(shè)置nat服務(wù)器的iptables NAT規(guī)則，實(shí)現(xiàn)內(nèi)、外網(wǎng)主機(jī)間的通信數(shù)據(jù)包的地址轉(zhuǎn)換，達(dá)到屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與轉(zhuǎn)發(fā)外網(wǎng)主機(jī)請(qǐng)求端口的目的。

圖3-2-2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)

「說(shuō)明」 本實(shí)驗(yàn)是在Linux系統(tǒng)下完成，Linux系統(tǒng)默認(rèn)安裝了2塊以太網(wǎng)卡，網(wǎng)絡(luò)接口分別為eth0和eth1，在設(shè)置NAT服務(wù)前請(qǐng)激活eth1網(wǎng)絡(luò)接口，命令ifconfig eth1 up。

1．確定各接口IP地址

本實(shí)驗(yàn)由ABC、DEF主機(jī)各為一實(shí)驗(yàn)小組。默認(rèn)實(shí)驗(yàn)角色：主機(jī)A為內(nèi)網(wǎng)主機(jī)、B為NAT服務(wù)器、C為外網(wǎng)主機(jī)。也可以自定義實(shí)驗(yàn)角色。

默認(rèn)內(nèi)網(wǎng)IP地址192.168.0.0/

24、外網(wǎng)IP地址202.98.0.0/24。配置完成內(nèi)網(wǎng)主機(jī)eth0接口IP地址及默認(rèn)網(wǎng)關(guān)(指向NAT服務(wù)器內(nèi)網(wǎng)接口)，NAT服務(wù)器eth0和eth1接口IP地址，外網(wǎng)主機(jī)eth0接口IP地址，并完成下列問(wèn)題的填寫：

內(nèi)網(wǎng)主機(jī)IP____________________，其默認(rèn)網(wǎng)關(guān)____________________； 外網(wǎng)主機(jī)IP____________________；

NAT服務(wù)器內(nèi)網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。

內(nèi)網(wǎng)主機(jī)對(duì)NAT服務(wù)器內(nèi)網(wǎng)接口進(jìn)行連通性測(cè)試（ping）；外網(wǎng)主機(jī)對(duì)NAT服務(wù)器外網(wǎng)接口進(jìn)行連通性測(cè)試（ping）。

2．設(shè)置防火墻規(guī)則允許內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)

操作流程：首先開啟NAT服務(wù)器的路由功能(開啟網(wǎng)絡(luò)接口間數(shù)據(jù)的轉(zhuǎn)發(fā))，清空f(shuō)ilter鏈表全部規(guī)則，并設(shè)置其默認(rèn)策略為DROP；繼續(xù)設(shè)置規(guī)則允許來(lái)自內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)入外網(wǎng)，并允許任何返回流量回到內(nèi)網(wǎng)；最后規(guī)則實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉(zhuǎn)發(fā)。

（1）NAT服務(wù)器開啟路由功能。

基于安全的考慮，默認(rèn)情況下Linux路由數(shù)據(jù)包的功能是關(guān)閉的，通過(guò)下述命令開啟系統(tǒng)路由功能：

（2）設(shè)置filter表規(guī)則鏈，默認(rèn)策略為禁止。iptables命令_______________________（3）添加filter表新規(guī)則，允許來(lái)自防火墻的流量進(jìn)入Internet；允許任何相關(guān)的返回流量回到防火墻。

iptables命令_______________________（4）添加filter表新規(guī)則，實(shí)現(xiàn)NAT服務(wù)器內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機(jī)C啟動(dòng)Snort（/opt/ids/snort）以網(wǎng)絡(luò)嗅探方式運(yùn)行(設(shè)置過(guò)濾器僅監(jiān)聽icmp數(shù)據(jù)包)，主機(jī)A ping探測(cè)主機(jī)C，是否ping通______？

將主機(jī)C的默認(rèn)網(wǎng)關(guān)指向NAT服務(wù)器的外網(wǎng)接口，主機(jī)A再次ping探測(cè)主機(jī)C，是否ping通__________？結(jié)合snort捕獲數(shù)據(jù)，對(duì)比實(shí)驗(yàn)現(xiàn)象，說(shuō)明原因：___________________。

3．設(shè)置防火墻規(guī)則通過(guò)NAT屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

操作流程：在實(shí)現(xiàn)步驟2的操作基礎(chǔ)上，添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的地址翻譯。（1）NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart（2）重新操作步驟2(⑵～⑶)。

（3）添加nat表新規(guī)則，通過(guò)網(wǎng)絡(luò)地址翻譯實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換。iptables命令_______________________（4）添加filter表新規(guī)則，實(shí)現(xiàn)NAT內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1之間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機(jī)C重新將默認(rèn)網(wǎng)關(guān)指為空，重新啟動(dòng)Snort捕獲ICMP數(shù)據(jù)。主機(jī)A對(duì)主機(jī)C進(jìn)行ping探測(cè)，是否ping通__________？主機(jī)C停止Snort監(jiān)聽，查看已捕獲到ICMP數(shù)據(jù)，其源IP地址是__________？解釋實(shí)驗(yàn)象_____________________________________。

4．設(shè)置防火墻規(guī)則通過(guò)NAT實(shí)現(xiàn)外網(wǎng)請(qǐng)求端口轉(zhuǎn)發(fā)

操作流程：在實(shí)現(xiàn)步驟3的操作基礎(chǔ)，添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(端口轉(zhuǎn)發(fā))。（1）NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart（2）重新操作步驟3(⑵～⑷)。

（3）添加nat表新規(guī)則，實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯（80/tcp端口轉(zhuǎn)發(fā)）。iptables命令__________________(4)完成NAT外部接口eth1到內(nèi)部接口eth0之間的數(shù)據(jù)轉(zhuǎn)發(fā) iptables命令__________________（5）確定主機(jī)C默認(rèn)網(wǎng)關(guān)指為空，主機(jī)A和主機(jī)C啟動(dòng)Snort捕獲80/tcp數(shù)據(jù)，主機(jī)C啟動(dòng)Web瀏覽器，在地址欄中輸入：http://202.98.0.150，觀察訪問(wèn)結(jié)果，回答下列問(wèn)題：

主機(jī)C訪問(wèn)是否成功__________？若成功，其訪問(wèn)的是哪臺(tái)主機(jī)的Web主頁(yè)__________（主機(jī)A/主機(jī)B）？

主機(jī)C停止Snort捕獲，觀察80/tcp會(huì)話的源、目的IP地址對(duì)__________________。主機(jī)A停止Snort捕獲，觀察80/tcp會(huì)話的源、目的IP地址對(duì)__________________。解釋上述實(shí)驗(yàn)現(xiàn)象______________________________________________________。五．應(yīng)用代理實(shí)驗(yàn)

實(shí)驗(yàn)概述：使用iptables+squid方式來(lái)實(shí)現(xiàn)傳統(tǒng)代理、透明代理和反向代理。

實(shí)驗(yàn)角色說(shuō)明如下：

內(nèi)網(wǎng)客戶端僅需啟用“本地連接”，其IP地址形式如下：172.16.X.Y，子網(wǎng)掩碼255.255.255.0,其中X為所屬實(shí)驗(yàn)組編號(hào)（1-32）,Y為主機(jī)編號(hào)（1-6）,例如第4組主機(jī)A的IP地址為172.16.4.4。

代理服務(wù)器需要啟動(dòng)內(nèi)部網(wǎng)絡(luò)接口eth0和外部網(wǎng)絡(luò)接口eth1。內(nèi)部IP地址形式同內(nèi)網(wǎng)客戶端，外部IP地址形式如下：202.98.X.Y，子網(wǎng)掩碼255.255.255.0，其中X為所屬實(shí)驗(yàn)組號(hào)（1-32）,Y為主機(jī)編號(hào)，例如第4組主機(jī)B的內(nèi)部IP地址為172.16.4.2，外部IP地址為202.98.4.2。

外網(wǎng)Web服務(wù)器僅需啟用“本地連接”，其IP地址形式如下：202.98.X.Y，子網(wǎng)掩碼255.255.255.0，其中X為所屬實(shí)驗(yàn)組號(hào)（1-32），Y為主機(jī)編號(hào)（1-6），例如第4組主機(jī)C的IP地址為202.98.4.3。

在進(jìn)行實(shí)驗(yàn)操作前，首先清空防火墻規(guī)則。1．傳統(tǒng)代理

（1）外網(wǎng)Web服務(wù)器手動(dòng)分配IP地址，并確認(rèn)本地Web服務(wù)已啟動(dòng)。

（2）代理服務(wù)器激活網(wǎng)絡(luò)接口eth1，并手動(dòng)分配IP地址，可通過(guò)以下兩種方式激活eth1： 通過(guò)“桌面”｜“管理”｜“網(wǎng)絡(luò)”激活eth1，并手動(dòng)分配IP地址； 在控制臺(tái)中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 202.98.X.Y/24為eth1分配IP地址。（3）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf。在squid.conf中配置如下選項(xiàng)：

第936行，使用默認(rèn)的端口http_port 3128；

第574行，添加行acl mynet src 主機(jī)A地址域。例如acl mynet src 172.16.1.0/24； 第610行，添加行http_access allow mynet。（4）運(yùn)行代理服務(wù)器

代理服務(wù)器進(jìn)入目錄/usr/local/squid/sbin/，輸入命令：./squid –NCd1啟動(dòng)代理服務(wù)。（5）通過(guò)代理訪問(wèn)Web服務(wù)器

內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過(guò)“工具”｜“Internet選項(xiàng)”｜“連接”｜“局域網(wǎng)設(shè)置”選中“為L(zhǎng)AN使用代理服務(wù)器”，在“地址”中輸入代理服務(wù)器的內(nèi)網(wǎng)IP，在“端口”中輸入代理服務(wù)器的監(jiān)聽端口號(hào)，單擊“確定”按鈕，完成瀏覽器設(shè)置。

內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄中輸入“http://外網(wǎng)Web服務(wù)器IP地址”，即可訪問(wèn)到Web頁(yè)面。（6）驗(yàn)證代理服務(wù)器的作用

內(nèi)網(wǎng)客戶訪問(wèn)外網(wǎng)Web服務(wù)，是否可以訪問(wèn)到頁(yè)面__________。

外網(wǎng)Web服務(wù)器關(guān)閉Web服務(wù)，代理服務(wù)器訪問(wèn)外網(wǎng)Web服務(wù)，是否可以訪問(wèn)到頁(yè)面__________。內(nèi)網(wǎng)客戶端再次訪問(wèn)外網(wǎng)Web服務(wù)，是否可以訪問(wèn)到頁(yè)面__________，為什么？____________。2．透明代理

（1）外網(wǎng)Web服務(wù)器開啟Web服務(wù)。（2）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項(xiàng)： 第936行，修改為：http_port 主機(jī)B內(nèi)網(wǎng)IP:3128 transparent（3）代理服務(wù)器添加iptables規(guī)則。

對(duì)從代理服務(wù)器內(nèi)網(wǎng)接口進(jìn)入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包，做“端口重定向”。將數(shù)據(jù)包重定向到3128端口，規(guī)則如下：

iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）運(yùn)行代理服務(wù)器。

（5）通過(guò)代理訪問(wèn)Web服務(wù)器。

內(nèi)網(wǎng)客戶端將本地連接的“默認(rèn)網(wǎng)關(guān)”設(shè)置為代理服務(wù)器的內(nèi)網(wǎng)IP，即代理服務(wù)器的eth0網(wǎng)絡(luò)接口的IP。內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過(guò)“工具”｜“Internet選項(xiàng)”｜“連接”｜“局域網(wǎng)設(shè)置”，取消“為L(zhǎng)AN使用代理服務(wù)器”。

內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄輸入“http://外網(wǎng)Web服務(wù)器的IP”，即可訪問(wèn)到外網(wǎng)Web服務(wù)器的Web頁(yè)面。

3．反向代理

（1）內(nèi)網(wǎng)客戶端開啟Web服務(wù)。（2）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項(xiàng)： 第936行，修改為：http_port 主機(jī)B外網(wǎng)地址:80 vhost。

第1499行，添加行：cache_peer 主機(jī)A的IP parent 80 0 no-query originserver。第574行，修改為：acl outside src 主機(jī)C地址域。例如acl outside src 202.98.1.0/24。第610行，修改為：http_access allow outside。（3）停止代理服務(wù)器的Web服務(wù)。

在代理服務(wù)器的終端輸入命令：service httpd stop。（4）刪除緩存文件。

刪除目錄/usr/local/squid/var/cache/00/00下所有文件。（5）運(yùn)行代理服務(wù)器。

（6）外網(wǎng)通過(guò)代理訪問(wèn)內(nèi)網(wǎng)客戶端Web服務(wù)

外網(wǎng)Web服務(wù)器在IE瀏覽器地址欄中輸入“http://代理服務(wù)器外網(wǎng)IP”即可訪問(wèn)到內(nèi)網(wǎng)客戶端的Web頁(yè)面。