网络应用技术实验八：防火墙实现访问控制（华为ensp）

本实验的网络拓扑要求如下：
（1）R1 、 R2 及其下联网络是用户区域网络（即用户子网）， RS-1 ～ RS-4 是用户区域网络中的路由交换机，起汇聚作用。SW-1～SW-4 是二层交换机，起接入作用。Host-1～ Host-8 是用户主机，分别属于不同的 VLAN ；
（2）SW-5 连接的网络是服务器子网，其中 Service-DNS 表示 DNS 服务器（ eNSP 仿真，Service-Web 表示 Web 服务器（ eNSP 仿真）， Service-FTP 表示 FTP 服务器（ eNSP 仿真）。服务器子网接入在路由交换机 RS-5 上；
（3）用户区域网络和服务器子网之间部署防火墙 FW-1 。

五、实验步骤

1、设计全网 IP 地址

（ 1 ）所有用户主机的 IP 地址为静态 IP ，其格式为 192.A.*.* ，其中 A 为学生本人学号后 2 位，* 表示该值由学生自定。各用户主机分属于不同 VLAN ，其 IP 地址应属于不同的网段；
（ 2 ）各路由器互连接口的地址格式为 10.A.*.* ，其中 A 为学生本人学号后 2 位，*表示该值由学生自定；
（ 3 ）各个仿真服务器的 IP 地址格式为 172.16.A.*/24 ，其中 A 为学生本人学号后2 位。
（ 4 ）默认网关地址，由本网段最后一个可用单播地址表示。

2、设计防火墙安全策略

在网络连通正常的前提下，通过配置防火墙策略，实现以下通信控制：
（ 1 ） Host-1 ～ Host-4 主机不可以 Ping 通服务器子网中的服务器， Host-5 ～ Host-8可以；
（ 2 ） Host-1 ～ Host-8 主机都可以使用 DNS 解析服务；
（ 3 ）仅允许 Host-1-Host-4 主机可以以 Web 方式访问 Web 服务；

3、在 eNSP 中部署园区网

由于本实验中要通过仿真的方式，测试用户主机对各种网络服务的访问效果，从而实现防火墙对 DNS 、 FTP 、 Web 访问的控制。原来使用的 PC 终端无法实现这些操作，因此 Host-1 ～ Host-8 采用 eNSP 中"终端"设备里的 Client 。服务器（包括 DNS 、 DHCP 、FTP）采用 eNSP 中"终端"设备里的 Server 。防火墙采用 USG6000V 。其他设备型号同前面实验。
eNSP 中，防火墙在第一次启动时，需要载入设备文件下载" eNSP-plug-vfw_usg.zip "解压缩即可得到设备文件。载入防火墙设备文件的操作，开启FW-1，即可点击浏览选择解压后的文件导入即可开启FW设备。
这里我放一下压缩包链接：
链接: https://pan.baidu.com/s/1wWKm8jBHIO__CW9yp0Xj8g?pwd=ensp
提取码: ensp
注意：华为防火墙初始用户名和密码分别为 admin，Admin@123。

4、配置用户主机地址

为了测试仿真服务器提供的服务，此处的用户主机使用 Client 终端。配置各用户主机的 IP 地址。
具体操作略。
配置Host-1~Host-8

5、配置网络设备

配置除防火墙之外的其他网络设备

配置交换机SW-1~SW-5

配置路由交换机RS-1~RS-5

配置路由器R-1~R-3

6、配置仿真服务

（1）创建测试 Web 服务所需要文件夹与文件

创建文件夹Web作为网站存放位置。

在D:\Web文件夹创建一个记事本文件index.txt，输入内容为"这个是我的测试网站"

（2）创建测试 FTP 服务所需要文件夹与文件

（3）配置 DNS 仿真服务

（4）配置 Web 仿真服务

（5）配置 FTP 仿真服务

7、配置防火墙网络参数实现全网互通

此处防火墙配置成路由模式。首先配置防火墙的基础网络参数，实现全网互通，
用作与添加安全策略后通信进行对比。主要操作包括：

（1）配置防火墙接口；

（2）配置防火墙安全区域；

（3）配置防火墙路由信息（OSPF）

（4）测试全网通信

测试Web服务，Host-1~Host-8可以正常访问DNS服务器

|----|--------|-------------|------|------|
| 序号 | 源主机 | 目的主机 | 安全策略 | 通信结果 |
| 1 | Host-1 | Service-Web | -- | 正常 |
| 2 | Host-2 | Service-Web | -- | 正常 |
| 3 | Host-3 | Service-Web | -- | 正常 |
| 4 | Host-4 | Service-Web | -- | 正常 |
| 5 | Host-5 | Service-Web | -- | 正常 |
| 6 | Host-6 | Service-Web | -- | 正常 |
| 7 | Host-7 | Service-Web | -- | 正常 |
| 8 | Host-8 | Service-Web | -- | 正常 |

Host-1~Host-8访问Service-FTP通信测试：

|----|--------|-------------|------|------|
| 序号 | 源主机 | 目的主机 | 安全策略 | 通信结果 |
| 1 | Host-1 | Service-FTP | -- | 正常 |
| 2 | Host-2 | Service-FTP | -- | 正常 |
| 3 | Host-3 | Service-FTP | -- | 正常 |
| 4 | Host-4 | Service-FTP | -- | 正常 |
| 5 | Host-5 | Service-FTP | -- | 正常 |
| 6 | Host-6 | Service-FTP | -- | 正常 |
| 7 | Host-7 | Service-FTP | -- | 正常 |
| 8 | Host-8 | Service-FTP | -- | 正常 |

8 、配置防火墙安全策略实现访问控制
依据前面的规划，在防火墙上配置安全策略，然后测试相关通信效果。

通信测试：
（1）Host-1～Host-4 主机不可以 Ping 通服务器子网中的服务器，Host-5～Host-8 可以；

|----|--------|-------------|------|------|
| 序号 | 源主机 | 目的主机 | 安全策略 | 通信结果 |
| 1 | Host-1 | Service-DNS | 拒绝 | 不通 |
| 2 | Host-2 | Service-DNS | 拒绝 | 不通 |
| 3 | Host-3 | Service-DNS | 拒绝 | 不通 |
| 4 | Host-4 | Service-DNS | 拒绝 | 不通 |
| 5 | Host-5 | Service-DNS | 允许 | 通 |
| 6 | Host-6 | Service-DNS | 允许 | 通 |
| 7 | Host-7 | Service-DNS | 允许 | 通 |
| 8 | Host-8 | Service-DNS | 允许 | 通 |

（2）Host-1～Host-8 主机都可以使用 DNS 解析服务；

|----|--------|-------------|------|------|
| 序号 | 源主机 | 目的主机 | 安全策略 | 通信结果 |
| 1 | Host-1 | Service-DNS | 允许 | 正常 |
| 2 | Host-2 | Service-DNS | 允许 | 正常 |
| 3 | Host-3 | Service-DNS | 允许 | 正常 |
| 4 | Host-4 | Service-DNS | 允许 | 正常 |
| 5 | Host-5 | Service-DNS | 允许 | 正常 |
| 6 | Host-6 | Service-DNS | 允许 | 正常 |
| 7 | Host-7 | Service-DNS | 允许 | 正常 |
| 8 | Host-8 | Service-DNS | 允许 | 正常 |

（3）仅允许 Host-1-Host-4 主机可以以 Web 方式访问 Web 服务；

|----|--------|-------------|------|------|
| 序号 | 源主机 | 目的主机 | 安全策略 | 通信结果 |
| 1 | Host-1 | Service-Web | 允许 | 正常 |
| 2 | Host-2 | Service-Web | 允许 | 正常 |
| 3 | Host-3 | Service-Web | 允许 | 正常 |
| 4 | Host-4 | Service-Web | 允许 | 正常 |
| 5 | Host-5 | Service-Web | 拒绝 | 失败 |
| 6 | Host-6 | Service-Web | 拒绝 | 失败 |
| 7 | Host-7 | Service-Web | 拒绝 | 失败 |
| 8 | Host-8 | Service-Web | 拒绝 | 失败 |