一、实验目的
二、配置环境
1、打开两台虚拟机,并参照下图,搭建网络拓扑环境,要求两台虚拟机的IP地址要按照图中的标识进行设置,并根据搭建完成情况,勾选对应选项。注:此处的学号=本人学号的最后两位数字,1学号=本人学号的最后两位数字+100。
(1)将host1的IP地址设置为172.16.学号.学号
(2)将host2的IP地址设置为172.16.学号.1学号
(3)将防火墙的内网IP地址设置为172.16.学号.250,IP地址设置为192.168.17.1学号
(4)在防火墙上配置路由功能,并使内、外网之间能互相PING通
(1)
(2)
(3)
(4)
三、实验操作
2、在安装ISA防火墙之前,在host1上分别完成下列操作并截图,要求与ipconfig同屏。
(1)访问http://www.hstc.edu.cn
(2)执行命令nslookup www.baidu.cn
(3)访问ftp://pc.hstc.edu.cn
(1)
(2)
(3)
3、在防火墙上安装ISA防火墙软件,安装好后,打开规则设置窗口截图,要求要ipconfig同屏。
直接在路由器上安装防火墙软件ISA (一定要先把前面的环境搭建好!):
要提前命名,防止不知道哪个是内网。
等待安装完成即可。
4、在ISA中添加第一条访问规则:内网→外网,禁止DNS。
完成下列操作:
(1)将ISA访问规则窗口截屏,要求与ipconfig同屏
(2)执行nslookup www.baidu.cn命令,并截屏,要求与ipconfig同屏
(3)在防火墙上用Wireshark抓包,并将对应的数据包截屏,要求与ipconfig同屏
(1)
拒绝DNS服务:
(2)
在host1或者host2中完成:
(3)
5、将第一条访问规则中的禁止DNS,改为允许DNS。
完成下列操作:
(1)执行命令nslookup www.baidu.com,将执行结果截屏,要求与ipconfig同屏
(2)在防火墙上用Wireshark抓包,并将对应的数据包截屏,要求与ipconfig同屏
(1)
同样在host1或者host2中完成:
(2)
既有发出请求的,也有响应的。
6、分析比较第一条规则中,禁止和允许DNS两种情况下数据包的不同。
在禁止DNS的情况下, 防火墙上只能抓取到内网发出的DNS请求数据包,抓取不到DNS的响应数据包。
在允许DNS的情况下,防火墙能够抓取DNS请求数据包和DNS响应数据包。
7、在ISA中添加第2条访问规则:内网→外网,允许Web访问(包括http和https访问),并将第1条访问规则设置为禁止DNS。
完成下列操作:
(1)将ISA访问规则窗口截屏,要求与ipconfig同屏
(2)在Host1上访问https://www.baidu.com,将结果截屏,要求与ipconfig同屏
(3)在Host2上访问https://220.181.38.148,将结果截屏,要求与ipconfig同屏
(4)在防火墙上,分别用Wireshark抓包,并将对应的数据包截屏,要求与ipconfig同屏
(5)根据Wireshark抓到的数据包,分析比较host1和host2上的访问结果有什么不同
(1)
(2)
(3)
(4)
(5)
host1无法访问,host2可以进行访问。
8、将第1条规则的禁止DNS,改为允许DNS,第2条规则不变。
完成下列操作:
(1)将ISA访问规则窗口截屏,要求与ipconfig同屏
(2)在Host1上访问https://www.baidu.com,将结果截屏,要求与ipconfig同屏
(3)在Host2上访问https://220.181.38.148,将结果截屏,要求与ipconfig同屏
(4)在防火墙上,分别用Wireshark抓包,并将对应的数据包截屏,要求与ipconfig同屏
(5)根据Wireshark抓到的数据包,分析比较host1和host2上的访问结果有什么不同
(1)
(2)
(3)
(4)
(5)
host1和host2都能成功访问。
9、将第1条规则的内网改为host1,且允许DNS,第2条规则的内网改为host2,且允许HTTP。
完成下列操作:
(1)将ISA访问规则窗口截屏,要求与ipconfig同屏
(2)在Host1上访问https://www.baidu.com,将结果截屏,要求与ipconfig同屏
(3)在Host2上访问https://220.181.38.148,将结果截屏,要求与ipconfig同屏
(4)在防火墙上,分别用Wireshark抓包,并将对应的数据包截屏,要求与ipconfig同屏
(5)根据Wireshark抓到的数据包,分析比较host1和host2上的访问结果有什么不同
(1)
(2)
(3)
(4)
(5)
host1和host2都能访问成功。
10、完成下列规则的设置:
(1)第1条规则,内网→外网,拒绝Web访问(包括http和https访问);
(2)第2条规则,内网→外网,允许DNS规则;
(3)第3条规则,内网→外网,允许TCP协议(需要自己添加TCP协议)
完成下列操作:
(4)在host1上访问https://www.hstc.edu.cn,用Wireshark抓包,将两个结果同屏。要求Wireshark要展示相关数据包
(5)在host2上访问ftp://210.38.209.164,用Wireshark抓包,将两个结果同屏。要求Wireshark要展示相关数据包
(6)根据Wireshark的抓包情况,对以上操作结果进行分析对比
(1)
(2)
不要忘记点击“应用”!
(3)
(4)
(5)
(6)
host1访问失败,host2访问成功。
11、完成下列规则的设置:
(1)第1条规则,内网→外网,拒绝TCP协议;
(2)第2条规则,内网→外网,允许DNS规则;
(3)第3条规则,内网→外网,允许Web访问(包括http和https访问)
完成下列操作:
(4)在host1上访问https://www.hstc.edu.cn,用Wireshark抓包,将两个结果同屏。要求Wireshark要展示相关数据包
(5)在host2上访问ftp://210.38.209.164,用Wireshark抓包,将两个结果同屏。要求Wireshark要展示相关数据包
(6)根据Wireshark的抓包情况,对以上操作结果进行分析对比
(1)(2)(3)
(4)
(5)
(6)
host1访问成功,host2访问失败。
