前 言
一、Firewall Overview
防火墙技术分为三种:包过滤防火墙、代理服务器和状态包过滤防火墙; 包过滤防火墙,使用 ACL 控制进入或离开网络的流量,ACL 可以根据匹配包的类型或其他参数(如:源 IP地址、目的 IP 地址、端口号等)来制定;
该类防火墙有以下不足,ACL 制定的维护比较困难;可以使用 IP 欺骗很容易的绕过 ACL; 代理防火墙,也叫做代理服务器。它在 OSI 的高层检查数据包,然后和制定的规则相比较,如果数据包的内容符合规则并且被允许,那么代理服务器就代替源主机向目的地址发送请求,从外部主机收到请求后,再转发给 被保护的源请求主机。
代理防火墙的主要缺点就是性能问题,由于代理防火墙会对每个经过它的包都会深度检查,即使这个包以前 检查过,所以说对系统和网络的性能都有很大的影响。
状态包过滤防火墙,Cisco ASA 就是使用状态包过滤的防火墙,该防火墙会维护每个会话的状态信息,这些 状态信息写在状态表里,状态表的条目有:源地址、目的地址、端口号、TCP 序列号信息以及每个 TCP 或 UDP 的额外的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较,只有状态表中的条目匹配的时 候才允许流量通过。
防火墙收到一个流量后,首先查看是否已经存在于连接表中,如果没有存在,则看这个连接是否符合安全策 略,如果符合,则处理后将该连接写入状态表;如果不符合安全策略,那么就将包丢弃。
状态表,也叫 Fast Path,防火墙只处理第一个包,后续的属于该连接的包都会直接按照 Fast Path 转发,因此性能就有很高的提升。
因此本实验手册实验内容主要是学习PIX防火墙的相关配置实验。 为有效的利用实验设备,让学生参与实验全过程,本实验手册的实验将由GNS3和虚拟机配合完成。实验中所采用的软件版本不是最新版,并且每个实验均还有很多的后续实验内容,希望同学们能够在现有实验的基础上进一步深入学习。
目
录
实验一:GNS3工具的熟悉及掌握 ................................................................................................ 4 实验二:基本设置:配置pix接口ip、连通性。 ........................................................................ 7 实验三:PIX的基本使用 ............................................................................................................. 12 实验四: telnet到PIX防火墙 .................................................................................................... 15 实验五:保存基本配置到tftp服务器 ......................................................................................... 18 实验六:ICMP ............................................................................................................................... 20 实验七:配置PIX防火墙为DHCP服务器、DHCP中继 ........................................................ 22 实验八:命令授权 ....................................................................................................................... 24 实验九:防火墙透明模式 ............................................................................................................. 28 实验十:基本Failover .................................................................................................................. 30 实验十一:远程访问VPN ............................................................................................................ 32 实验十二:PPPoE ......................................................................................................................... 36 实验十三:OSPF路由协议 .......................................................................................................... 40 实验十四:综合实验----防火墙篇 ............................................................................................... 44
实验一:GNS3工具的熟悉及掌握
GNS3是一种可以仿真复杂网络的图形化网络模拟器。你可能熟悉用来仿真不同操作系统的VMware或Virtual PC等软件。利用这些软件,可以在自己计算机的虚拟环境中运行诸如Windows XP专业版、Ubuntu Linux等操作系统。GNS3允许在计算机中运行Cisco的IOS(Internet Operating Systems)。GNS3其实是Dynagen的图形化前端环境工具软件,而Dynamips是仿真IOS的核心程序。Dynagen运行在Dynamips之上,目的是提供更友好的、基于文本的用户界面。用户利用Dynagen可以创建类似于Windows的ini类型文件所描述的网络拓扑, GNS3是这一步工作的图形化
GNS3允许在Windows、Linux系统上仿真IOSs,其支持的路由器平台、防火墙平台(PIX)的类型非常丰富。通过在路由器插槽中配置上EtherSwitch卡,也可以仿真该卡所支持的交换机平台。因此,GNS3是一种用于准备CCNA、CCNP证书考试的无与伦比的优秀实验工具。当前市面上有不同类型的多种路由器模拟器,但他们支持的路由器命令较少,在进行相关实验时常常发现这些模拟器不支持某些命令或参数。用户使用这些模拟器通常只能看到所模拟路由器的输出结果。在GNS3中,所运行的是实际的IOS,能够使用IOS所支持的所有命令和参数。另外,GNS3是一种开源软件,不同付费就可使用。但是, Cisco的IOS的使用需要符合Cisco的版权规定,因此,GNS3安装程序中不包含IOS映像文件,这需要你自己想办法获取。如,你可以将某Cisco路由器的IOS映像通过TFTP导出。
GNS3主要由Jeremy Grossman开发,其他的开发人员包括David Ruiz,Romain Lamaison, Aurelien Levesque和Xavier Alt。Dynamips由Christophe Fillot开发。Dynagen的主要开发人是Greg Anuzelli。另外,有许许多多的人在上述软件系统的开发过程中提供了不同形式的帮助。
一、实验目的
1. 熟悉GNS3工具界面; 2. 掌握GNS3的操作方式; 3. 掌握GNS3的各操作选项;
二、实验环境
1. Windows XP 操作系统
2. Windows XP 虚拟机
3. GNS3-0.7.2-win32-all-in-one.exe
三、实验任务
1. 安装GNS3; 2. 启动并认识GNS3;
3. 用GNS3完成各种网络拓扑; 4. 运行并分析各种网络实验;
四、实验原理及步骤
一)在XP系统上安装GNS3工具
1.双击所下载的GNS3-0.5-win32-all-in-one.exe开始安装GNS3,点击Next按钮,并选择“I Agree”按钮以继续安装。允许GNS3创建Start菜单文件夹,点击Next按钮。
GNS3需要其他软件的支持以正常运行,包括WinPCAP,Dynamips和Pemuwrapper。默认情况下,这些软件将被选中,因此,点击Next继续安装。如上图所示。
选择GNS3的安装路径后点击Install按钮,开始实际的安装过程。 GNS3所需的第一个支持环境是WinPcap,选择Next按钮开始WinPcap的安装过程,如下图所示。如果计算机用已经安装有某个版本的WinPcap,安装程序将提醒你是否需要移除原来已经安装的WinPcap。如下图所示。
安装完WinPcap后,安装程序继续安装GNS3。GNS3安装结束后,可以通过开始菜单启动GNS3。第一次启动GNS3后,首先需要做的工作是配置IOS映像。(详见GNS3配置手册)