-
建立网络拓扑图,防火墙的接口0/0/0用于连接PC,PC的网段192.168.5.0,PC访问服务器需要经过防火墙的筛选;防火墙的接口0/0/1 用于连接网段192.168.1.0中的服务器,当网段192.168.5.0中的PC访问服务器时,只有符合要求的IP才能访问。网络拓扑图如下图所示:
-
对防火墙的接口进行配置,分别让接口0/0/0连接PC,接口0/0/1连接服务器,并且规定PC端的网段为192.168.5.0,服务器端的网段为192.168.1.0,如下图所示:
-
在防火墙中加入信任区域,将接口0/0/0加入信任区域,将0/0/1加入不信任区域,如下图所示:
-
配置名称为ip_deny的地址集,将几个不允许上网的IP地址加入地址集,如下图所示:
-
创建转发策略0,用于拒绝特殊的几个IP地址访问Internet,如下图所示:
-
创建转发策略1,允许其他属于192.168.5.0/24这个网段的PC访问Internet,如下图所示:
-
关闭缺省包过滤,如下图所示:
-
配置PC主机(IP为192.168.5.2)和服务器,如下图3所示,对服务器发送ping命令,如下图3-10所示,对PC主机IP进行更改为192.168.5.9,再运行ping命令,得到的结果如下图所示:
配置PC:
配置服务器:
ping请求:
第二次ping命令:
- 关闭缺省包过滤,如下图所示:
由此可以的查处以下结论:
在该实验中,对防火墙两个接口进行配置,主机PC端的网络为192.168.5.1,为信任区域。服务器端的网络为192.168.1.1,为不信任区域。在对信任区域的IP进行配置时,将192.168.5.2、192.168.5.3、192.168.5.6为拒绝通过防火墙的IP集合,其余IP为允许通过防火墙的IP。
故其他IP可以通过防火墙访问服务器,而这几个IP不能访问服务器。
在该实验中,关闭了缺省包过滤。能够使得从不信任区的数据不能通过防火墙进入PC的网段,不会干扰实验。
