《计算机网络技术》实验指导

/实验16:基于OPNSense实现透明防火墙1实验16:基于OPNsense实现透明防火墙一、实验目的1、了解防火墙的基本原理、基本功能;2、掌握OPNsense透明防火墙的配置;3、掌握OPNsense防火墙安全规则的设计;4、了解防火墙的日志格式,能够简单分析防火墙日志内容;二、实验学时2学时三、实验类型综合性四、实验需求1、硬件每人配备计算机1台2、软件Windows7操作系统,安装GNS3网络仿真软件、VirtualBox桌面虚拟软件.
3、网络实验室局域网支持,能够访问校园网和互联网.
4、工具无五、实验理论1、掌握防火墙透明模式的工作原理;透明防火墙的主要特点就是对用户是透明的(Transparent),使用户意识不到防火墙的存在.
实现防火墙透明模式,防火墙是在没有IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙2透明模式的防火墙就好像是一台网桥,网络设备和所有计算机的设置无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度.

2、OPNsense防火墙对规则的过滤过程;OPNsense防火墙的规则是从上到下依次遍历,当一些规则的范围发生冲突时,防火墙会以上面的规则为准进行过滤,因此在创建防火墙规则时,要注意其安全规则的顺序.

六、实验任务1、完成实验网络的规划设计2、创建VirtualBox虚拟机并在GNS3中部署网络;3、完成网络配置并实现透明防火墙4、配置防火墙规则,禁止任何访问;5、实现基于IP地址的防火墙策略;6、实现基于协议的防火墙策略;7、实现基于端口的防火墙策略;8、实现基于时间限制的防火墙策略;9、分析防火墙运行状态(选做)七、实验内容及步骤说明:1.
本实验在一台实体计算机上,通过GNS3仿真软件和VirtualBox虚拟化软件完成;2.
实体计算机的操作系统是Windows7,已安装GNS3软件(版本为1.
3.
11)和VirtualBox软件(版本为5.
0.
8);3.
本实验路由器采用的镜像为c7200-jk9s-mz.
123-12a.
bin,三层交换机和二层交换机采用的镜像都是为c3640-ik9o3s-mz[1].
124-25c.
bin,所有实验操作和命令都以此为基础.
上述镜像文件已经装载入GNS3.
任务1:完成网络规划设计任务描述:规划设计本实验的网络拓扑、IP地址等内容.
步骤1:设计网络拓扑在路由器R1和R2之间部署透明防火墙,通过添加访问控制策略,控制网络上的用户主机(例如PC1和PC2)对主机Host-1的访问.
Host-M是专门用来配置防火墙的管理机.
网络拓扑结构如图16-1所示.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙3图16-1网络拓扑注意:由于本实验中防火墙是透明模式,因此防火墙的"1"和"2"口要被配置成"网桥",且不需要设置IP地址,因此,专门增加了第3块网卡,用于接入管理防火墙的主机Host-M.
步骤2:规划网络地址方案IP地址参数设置见表16-1.
表16-1网络地址规划表序号设备名称IP地址网关用途1PC1172.
16.
100.
10/24172.
16.
100.
1客户机/VPCS2PC2172.
16.
100.
20/24172.
16.
100.
1客户机/虚拟机3Host-1211.
69.
32.
100/24211.
69.
32.
1被访问主机4Host-M10.
0.
0.
2/24无管理防火墙5FW0口10.
0.
0.
1/24无接管理机6FW1口无(透明网桥)无接R17FW2口无(透明网桥)无接R28R1f1/0192.
168.
100.
1/24—连接防火墙9R1f1/1172.
16.
100.
1/24—接SW1网络10R2f1/0192.
168.
100.
2/24—连接防火墙11R2f1/1211.
69.
32.
1/24—接SW2网络注意:1.
由于本实验中的防火墙被设计为配置成透明模式,因此,防火墙的"1"和"2"号口不需要配置IP地址.
2.
防火墙"0"口的IP地址应与管理机Host-M的IP地址在同一网段.
3.
由于是透明防火墙,因此路由器R1的f1/0口和路由器R2的f1/0的IP地址在同一网段.
步骤3:其他规划(1)二层交换机SW1和SW2上不划分VLAN;(2)在路由器R1上要配置到达211.
69.
32.
0/24网段的静态路由,在路由器R2上要配置到达172.
16.
100.
0/24网段的静态路由.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙4任务2:创建VirtualBox虚拟机并在GNS3中部署网络;任务描述:根据实验需要,创建VirtualBox的虚拟机,包括用户主机(Windows7)、被访问主机(WindowsServer2012)、防火墙(OPNsense)和管理机(Windows7),将虚拟机引入GNS3,并在GNS3中部署整个网络.
步骤1:在VirtualBox中创建虚拟机在VirtualBox中创建4个虚拟机,其中2个安装Windows7(32位)操作系统,分别对应网络拓扑中的用户主机PC2、管理机Host-M.
被访问主机Host-1安装WindowsServer2012.
第4个虚拟机安装OPNsense防火墙.
具体创建过程请参看前面的相关实验.
用户也可以通过VirtualBox软件自带的"导出虚拟电脑"和"导入虚拟电脑"的功能,快速生成虚拟机,具体操作可参见《实验11-VirtualBox虚拟化软件的应用》.
注意,本实验中OPNsense虚拟机需要有3块网卡,见图16-2.
图16-2在OPNsense虚拟机上设置3块网卡步骤2:将VirtualBox虚拟机导入GNS3中将在VirtualBox中创建的虚拟机,全部导入GNS3.
具体方法参看《实验11-VirtualBox虚拟化软件的应用》.
注意,本实验中所有虚拟机在导入GNS3时,要将其网卡连接方式改为【未指定】.
注意,OPNsense虚拟机导入GNS3时,要将其网卡数量改为"3",见图16-3.
图16-3在GNS3中,把OPNsense虚拟机的网卡数改为3《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙5步骤3:在GNS3中部署网络图16-4GNS3中的网络拓扑图根据图16-4,在GNS3中部署整个网络.
拓扑说明如下:OPNsense作为防火墙,设置成透明模式,连接路由器R1和R2的网络;路由器R1和R2由c7200仿真实现;交换机SW1和SW2由c3600仿真实现;PC1由GNS3自带的VPCS实现;PC2和Host-M是Windows7虚拟机;Host-1是WindowsServer2012虚拟机,用来表示被访问的服务器主机.
注意,由于OPNsense防火墙软件自身的特点,其LAN口默认的防火墙策略(rules)是允许任意报文通过的,而WAN口以及其他接口默认的防火墙策略(rules),是不允许报文通过的,因此,在将管理机Host-M接入OPNsense防火墙时,一定要接入OPNsense的LAN口,否则,Host-M无法访问防火墙.
任务3:配置网络主机及路由器任务描述:配置网络中的各个主机、路由器、交换机,暂不配置防火墙,测试网络连通性,验证防火墙在没有配置策略时,默认的通信状态.
步骤1:配置网络主机在GNS3中启动PC1、PC2、Host-1、Host-M,根据规划分别配置其IP地址、子网掩码、默认网关等参数.
具体操作略.
步骤2:配置路由器R1路由器R1的配置:R1#R1#configureterminal//进入全局配置模式R1(config)#interfacefastethernet1/0//进入f1/0的接口模式R1(config-if)#ipaddress192.
168.
100.
1255.
255.
255.
0R1(config-if)#noshutdown//开启该接口R1(config-if)#exitR1(config)#interfacefastethernet1/1//进入f1/1的接口模式《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙6R1(config-if)#ipaddress172.
16.
100.
1255.
255.
255.
0R1(config-if)#noshutdown//开启该接口R1(config-if)#exitR1(config)#iproute211.
69.
32.
0255.
255.
255.
0192.
168.
100.
2//配置静态路由R1(config)#exitR1#write步骤3:配置路由器R2参考对R1的配置,将对路由器R2的配置,填写在实验报告中.
步骤4:配置交换机本实验中,SW1和SW2保持缺省配置.
步骤5:测试网络通信启动防火墙,在尚未配置防火墙时,通过Ping命令进行网络通信测试,并将结果以表16-2的格式填写在实验报告中.
表16-2尚未配置防火墙策略时的通信测试结果请求主机响应主机Ping测试结果请求主机响应主机Ping测试结果PC1Host-1填写实验报告PC2R1:F1/0填写实验报告PC2Host-1填写实验报告PC2R2:F1/0填写实验报告PC2R1:F1/1填写实验报告PC2R2:F1/1填写实验报告任务4:配置防火墙的透明模式任务描述:将防火墙配置成透明模式,并验证网络通信的效果.
要实现防火墙在透明模式下工作,需要在防火墙的外网卡和内网卡之间建立网桥,也可以理解成在防火墙中建立一个网桥,并将连接外网的网卡和连接内网的网卡添加入这个网桥中,从而实现外网和内网之间的桥接模式.
建立网桥模式后,防火墙就变成了透明模式,即对于内部网络用户而言,防火墙是透明的,仿佛不存在的,内网用户的网络配置不需要因为防火墙的存在而发生变化.

配置防火墙的透明模式(即建立网桥),有两种配置方式方式一:在命令控制台中,以命令行的方式进行配置;方式二:登录防火墙的Web界面,以Web方式进行配置本实验采用方式二,即Web方式对防火墙配置透明模式.
具体步骤如下:将对路由器R2的配置,填写在实验报告中《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙7步骤1:查看并设置OPNsense的网络接口(1)查看OPNsense的网络接口信息以账号root,密码opnsense登录OPNsense防火墙.
在OPNsense启动后的主菜单中,选择【1)AssignInterfaces】,设置接口,见图16-5.
可以看到防火墙3个网卡的信息,包括网卡的名称(em0、em1、em2)、MAC地址以及网卡类型等.
见图16-6所示.
图16-5选择1)AssignInterfaces图16-6可看到em0、em1、em2三个网络接口信息(2)定义OPNsense的网络接口接下来要对em0、em1、em2接口进行定义.
相应的操作如下.
DoyouwanttosetupVLANsnow[y/n]n//此处输入"n",表示暂不设置VLAN.
EntertheWANinterfacenameor'a'forauto-detection:em2//此处输入"em2",表示将em2设置为WAN接口EntertheLANinterfacenameor'a'forauto-detectionNOTE:thisenablesfullFirewalling/NATmode.
(ornothingiffinished):em0//此处输入"em0",表示将em0设置为LAN接口,注意此处要与图16-4中的连接对应起来EntertheOptional1interfacenameor'a'forauto-detection(ornothingiffinished):em1《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙8//此处输入"em1",表示em1设置为可选接口OPT1.
EntertheOptional1interfacenameor'a'forauto-detection(ornothingiffinished)://此处直接点击回车键,表示结束接口设置.
Theinterfaceswillbeassignedasfollows:WAN->em2LAN->em0OPT1->em1Doyouwanttoproceed[y/n]y//此处输入"y",表示同意上述配置结果,并保存.
(3)设置OPNsense的LAN口IP地址接下来设置OPNsense防火墙的LAN口的IP地址,从而使得管理机Host-M可以以Web方式登录防火墙.
在OPNsense启动后的主菜单中,选择2,设置接口IP地址,见图16-7.
然后对LAN口进行设置,将其地址设置为10.
0.
0.
1/24,WAN口和OPT1口不设置IP地址,设置后的结果见图16-8所示.
具体设置过程可参看《实验12-NAT设计与实现》.
图16-7选择2)Setinterface(s)IPaddress图16-8完成LAN口IP地址的设置步骤2:从管理机登录防火墙OPNsense防火墙支持Web方式的管理,通过Web方式可以直观方便的完成防火墙的所有配置、日志查阅等多种功能.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙9在管理机Host-M中,打开浏览器(建议使用Firefox),在地址栏输入防火墙LAN口的地址10.
0.
0.
1,然后回车.
即可登录OPNsense防火墙的Web界面,见图16-9.
OPNsense防火墙的用户名"root",初始密码"opnsense",点击【Login】登录系统.
图16-9OPNsense防火墙Web登录界面步骤3:添加网桥(1)激活OPNsense防火墙的OPT1接口左侧导航中,点击【Interfaces】→【OPT1】,然后在右侧窗口中使能OPT1接口(打勾),见图16-10.
然后,注意点击【Save】按钮后,还要点击【Applychanges】按钮,使更改生效,见图16-11.
图16-10激活OPT1接口图16-11使更改的操作生效(2)添加网桥左侧导航中,点击【Interfaces】→【(Assign)】,然后点击右侧窗口中的【Bridges】选项,见图16-12.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙10图16-12激活OPT1接口点击图16-12右上角的【Add】按钮,然后图16-13的右侧窗口中,点击【Memberinterfaces】选项,将WAN口和OPT1口添加入新建的网桥中,在【Description】中可以填入对该网桥的描述性信息.
点击【Save】按钮,保存刚才的配置,则防火墙的透明模式配置完成.

图16-13配置构建网桥的接口步骤4:配置OPT1接口的防火墙策略用户主机(PC1和PC2)要通过OPT1接口才能访问Host-1,所以在OPT1接口上添加防火墙策略,允许用户主机的报文通过.
在左侧导航中,点击【Firewall】→【Rules】,然后在右侧窗口中点击【OPT1】,可以看到此时OPT1接口上没有配置任何访问策略,因此,此时PC1和PC2还不能正常访问Host-1.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙11图16-14点击图16-14右侧窗口中的按钮,添加防火墙策略.
具体操作如下:(1)设置策略的类型.
在【Action】操作选项中选择"Pass"操作,表示该规则为"允许通过",见图16-15.
在【Interface】选项中选择"OPT1"地址,表示该规则将被在OPT1口上,见图16-16在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型,见图16-16;在【Protocol】选项中选择"any",表示该规则适用于任意网络协议下的数据包,见图16-16.
图16-15设置OPT1口的策略(1/4)图16-16设置OPT1口的策略(2/4)(2)添加本策略对应的地址在源地址【Source】的【Type】选项中,选择"any",表示"所有来源",见图16-17;在目的地址【Destination】的【Type】选项中,选择"any",表示"到所有目的",见图16-17.
(3)添加本策略对应的端口及日志.
由于在【Protocol】协议中选择为"any",在配置规则端口时,系统不再显示对端口的选择,默认选择为所有端口.
若在协议中选择某单一协议时,防火墙将允许选择本策略应用的端口.

在【log】选项中,点击【Logpacketsthatarehandledbythisrule】复选框,从而使当数据包使用该规则被过滤后,这些数据包的信息将被记录到日志中,见图16-18.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙12图16-17设置OPT1口的策略(3/4)图16-18设置OPT1口的策略(4/4)(4)保存规则.
当上述配置完成后,点击规则下的【Save】保存该规则,然后在图16-19中,点击【Applychanges】,使得该规则生效.
此时可以看到在OPT1接口下面出现了一条防火墙策略,见图16-20.
图16-19点击【Applychanges】使规则生效图16-20OPT1接口上多了一条防火墙策略步骤4:网络通信测试.
通过Ping命令进行网络通信测试,并将结果以表16-3的格式填写在实验报告中.
如果用户主机能够访问Host-1,则说明防火墙透明模式配置成功,能正常工作.
表16-3防火墙配置透明模式后网络通信测试结果请求主机响应主机Ping测试结果请求主机响应主机Ping测试结果PC1Host-1填写实验报告PC2R1:F1/0填写实验报告PC2Host-1填写实验报告PC2R2:F1/0填写实验报告《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙13PC2R1:F1/1填写实验报告PC2R2:F1/1填写实验报告注意,此时防火墙已经被配置成透明模式,接下来的任务中,需要在透明模式的基础上,在防火墙上添加各种策略规则,以限制通过防火墙的数据包,即进行包过滤.

任务5:实现基于IP地址的防火墙策略任务描述:在防火墙上设置规则,禁止内网中具有指定IP地址的PC机访问外网,其他PC机能够访问外网.
验证网络通信的效果.
步骤1:场景描述在该局域网中用户主机PC1中存放着重要资料,为防止该客户机上网造成感染病毒,需要禁止PC1(172.
16.
100.
10)访问互联网.
但是,其他主机可以访问互联网.
注意:设置防火墙新规则之前,可以先将前面任务中设置的规则删掉,以免相互影响.
后面的任务中类同.
步骤2:配置禁止PC1访问互联网的策略点击左侧导航【Firewall】→【Rules】选项,然后在右侧管理窗体中点击【OPT1】选项,添加禁止PC1访问互联网规则,具体操作过程如下.
(1)添加规则类型在【Action】操作选项中选择"Block"操作,表示该规则为"拒绝通过",见图16-21;在【Interface】选项中选择"OPT1"地址,表示该规则将被在OPT1网络接口上,见图16-22;在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型,见图16-22;在【Protocol】选项中选择"any",表示该规则适用于任意协议下的数据包,见图16-22.
图16-21添加规则类型图16-22添加规则对应的接口、协议等(2)添加规则对应的IP地址在源地址【Source】中选择【Type】选项为"Singlehostoralias",添加单一主机地址为172.
16.
100.
10,此时系统默认子网掩码为31位.
在目的地址【Destination】中选择【Type】选项为"any",选择该类型后,将不需要添加目的地址以及子网掩码,防火墙将默认选择所有网络地址,如图16-23所示.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙14图16-23在源地址【Source】中设置单一主机地址(3)添加规则日志.
在【log】中,点击【Logpacketsthatarehandledbythisrule】复选框,从而使当数据使用该规则过滤后,这些数据包的信息将被记录到日志中.
(4)保存规则.
当上述配置完成后,点击规则下的【Save】保存该规则.
并点击【Applychanges】,应用该规则.
步骤3:设置允许其他计算机访问互联网的策略假设此处要实现的是除了指定的PC1不能访问互联网之外,允许172.
16.
100.
0/24网段的其他所有主机访问互联网.
防火墙策略还是要添加在【OPT1】接口上.
具体操作过程如下.
(1)添加规则类型在【Action】操作选项中选择"Pass"操作,表示该规则为"允许通过",见图16-24;在【Interface】选项中选择"OPT1"地址,表示该规则将被在OPT1网络接口上,见图16-25;在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型,见图16-25;在【Protocol】选项中选择"any",表示该规则适用于任意协议下的数据包,见图16-25.
图16-24添加规则类型图16-25添加规则对应的接口、协议等《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙15(2)添加规则对应的IP地址在源地址【Source】中选择【Type】选项为"Network",添加地址为172.
16.
100.
0,子网掩码为24,表示172.
16.
100.
0/24网段,如图16-26所示在目的地址【Destination】中选择【Type】选项为"any",选择该类型后,将不需要添加目的地址以及子网掩码,防火墙将默认选择所有网络地址.
图16-26在源地址【Source】中设置网络地址段(3)添加规则日志.
在【log】中,点击【Logpacketsthatarehandledbythisrule】复选框,从而使当数据使用该规则过滤后,这些数据包的信息将被记录到日志中.
(4)保存规则.
当上述配置完成后,点击规则下的【Save】保存该规则.
并点击【Applychanges】,应用该规则.
步骤4:调整规则顺序.
此时,可看到OPT1接口上的防火墙策略如图16-27所示.
图16-27防火墙策略列表现在需要调整刚添加的两条规则的顺序.
选中第2条规则,然后点击第1条规则后面的,则可将第2条规则移动到第1条规则前面,见图16-28.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙16图16-28调整顺序后的防火墙策略列表思考:为什么此处要调整防火墙策略的顺序步骤5:测试结果通过Ping命令(或Web方式)进行网络通信测试,并将结果以表16-4的格式填入实验报告中.
表16-4访问测试序号请求主机响应主机访问结果1PC1Host-1填写实验报告2PC2Host-1填写实验报告任务6:实现基于协议的防火墙策略任务描述:在防火墙上设置规则,禁止基于TCP协议的数据包通过防火墙.
验证网络通信的效果.
步骤1:场景描述在互联网中,用户大多数是以Web方式访问互联网中的服务器地址,而Web方式访问主要是采用的是TCP协议,因此可在防火墙上配置TCP协议规则,实现对用户主机访问互联网的限制,即禁止局域网中用户主机以Web方式访问互联网服务器,但允许其他协议方式访问(例如使用ping命令的Icmp协议方式).
步骤2:在OPT1接口上添加允许任何报文通过的策略(1)添加规则类型在【Action】操作选项中选择"Pass"操作,表示该规则为"允许通过";在【Interface】选项中选择"OPT1"地址,表示该规则将被在OPT1网络接口上;在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型;在【Protocol】选项中选择"any",表示该规则适用于任意协议下的数据包.
(2)添加本策略对应的地址在源地址【Source】的【Type】选项中,选择"any",表示"所有来源";在目的地址【Destination】的【Type】选项中,选择"any",表示"到所有目的".
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙17(3)添加本策略对应的端口及日志.
由于在【Protocol】协议中选择为"any",在配置规则端口时,系统不再显示对端口的选择,默认选择为所有端口.
若在协议中选择某单一协议时,防火墙将允许选择本策略应用的端口.

在【log】选项中,点击【Logpacketsthatarehandledbythisrule】复选框,从而使当数据包使用该规则被过滤后,这些数据包的信息将被记录到日志中.
(4)保存策略规则.
上述配置完成后,点击【Save】保存该规则,并点击【Applychanges】,应用该策略规则.
步骤3:在OPT1接口上添加禁止TCP协议数据包的策略规则(1)添加规则类型在【Action】操作选项中选择"Block"操作,表示该规则为"拒绝通过";在【Interface】选项中选择"OPT1"地址,表示该规则将被在OPT1网络接口上;在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型;在【Protocol】选项中选择"TCP",表示该规则适用于TCP协议下的数据包.
(2)添加本策略对应的地址在源地址【Source】的【Type】选项中,选择"any",表示"所有来源";在目的地址【Destination】的【Type】选项中,选择"any",表示"到所有目的".
(3)添加本策略对应的端口及日志.
端口设置中,在【Destinationportrange】选项中,【from】和【to】都保持默认选项"(other)".
在【log】选项中,点击【Logpacketsthatarehandledbythisrule】复选框,从而使当数据包使用该规则被过滤后,这些数据包的信息将被记录到日志中.
(4)保存策略规则.
上述配置完成后,点击【Save】保存该规则,并点击【Applychanges】,应用该策略规则.
设置好的策略规则见图16-29,注意策略的顺序.
图16-29禁止TCP协议报文的防火墙策略步骤4:测试结果注意:由于本实验的环境是在单个实体机中通过GNS3进行的仿真,并没有真正连接互联网,即PC1和PC2无法访问互联网上的Web服务器.
因此本任务只是描述了实现基于协议的防火墙策略的实施过程,若要验证策略的实施效果,用户需要在被访问主机Host-1(WindowsServer2012)上面自行安装IIS,并部署网站,然后才可以对比采用不同协议访问Host-1的策略效果.
分别通过Web方式和Ping命令方式进行网络通信测试,如果用户主机均不能访问使用Web方式(在用户主机的浏览器中输入211.
69.
32.
100)访问Host-1,而可以使用Ping命令方式访问则说明防火《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙18墙规则起效,任务7:实现基于端口的防火墙策略任务描述:在防火墙上设置规则,禁止53端口的数据包通过防火墙.
验证网络通信的效果.
步骤1:场景描述网络中存在许多协议,这些协议的工作也都是依靠端口进行,因此也可借助于协议端口进行用户规则配置,限制用户的某些行为.
如访问DNS服务器需要通过53号端口访问,因此可阻断该端口访问,实现客户机无法使用域名上网.
本任务的目标,是局域网中用户主机PC2无法查询及访问域名地址,其他客户机均可以使用域名访问互联网.
步骤2:在OPT1接口上添加允许任何报文通过的策略(1)添加规则类型在【Action】操作选项中选择"Pass"操作,表示该规则为"允许通过";在【Interface】选项中选择"OPT1"地址,表示该规则将被在OPT1网络接口上;在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型;在【Protocol】选项中选择"any",表示该规则适用于任意协议下的数据包.
(2)添加本策略对应的地址在源地址【Source】的【Type】选项中,选择"any",表示"所有来源";在目的地址【Destination】的【Type】选项中,选择"any",表示"到所有目的".
(3)添加本策略对应的端口及日志.
由于在【Protocol】协议中选择为"any",在配置规则端口时,系统不再显示对端口的选择,默认选择为所有端口.
若在协议中选择某单一协议时,防火墙将允许选择本策略应用的端口.

在【log】选项中,点击【Logpacketsthatarehandledbythisrule】复选框,从而使当数据包使用该规则被过滤后,这些数据包的信息将被记录到日志中.
(4)保存策略规则.
上述配置完成后,点击【Save】保存该规则,并点击【Applychanges】,应用该策略规则.
步骤3:在OPT1接口上添加禁止53端口的防火墙策略点击左侧导航【Firewall】→【Rules】选项,在右侧管理窗体中点击【OPT1】选项,添加用户主机禁止通过53端口访问的防火墙策略,具体操作过程如下.
(1)添加规则类型.
在【Action】操作选项中选择"Block"操作,表示该规则为"拒绝通过";在【Interface】选项中选择"LAN"地址,表示该规则将被在LAN口的网卡上;在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型;在【Protocol】选项中选择"UDP",表示该规则适用于UDP协议下的数据包.
(2)添加本策略对应的地址在源地址【Source】的【Type】选项中,选择"any",表示"所有来源";《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙19在目的地址【Destination】的【Type】选项中,选择"any",表示"到所有目的".
(3)添加端口规则和日志.
在目的端口范围【Destinationportrange】中选择允许访问目的地址的端口范围.
在【from】选项中选择"DNS(53)",在【to】选项中也会默认选择"DNS(53)",表示拒绝通过53号端口访问DNS服务器.
见图16-30.
图16-30设置防火墙策略中的端口信息在【log】中,点击【Logpacketsthatarehandledbythisrule】复选框,从而使当数据使用该规则过滤后,这些数据包的信息将被记录到日志中,如图16-22所示.
(4)保存策略规则.
上述配置完成后,点击【Save】保存该规则,并点击【Applychanges】,应用该策略规则.
设置好的策略规则见图16-31,注意策略的顺序.
图16-31禁止53端口通信的防火墙策略步骤3:测试结果注意:由于本实验的环境是在单个实体机中通过GNS3进行的仿真,并没有真正连接互联网,即PC1和PC2无法访问互联网上的DNS服务器.
因此本任务只是描述了实现基于端口的防火墙策略的实施过程,若要验证策略的实施效果,用户需要在被访问主机Host-1(WindowsServer2012)上面自行安装DNS服务,并设置A记录(例如www.
xg.
cn),然后才可以对比采用不同方式访问Host-1的策略效果.
通过域名解析和Ping命令方式进行通信测试,如果用户主机通过Host-1解析域名地址(使用Nslookup命令),而可以以ping命令方式访问Host-1,说明防火墙策略配置成功.
任务8:实现基于时间限制的防火墙策略任务描述:在防火墙上设置规则,禁止内网计算机在指定时间段内访问互联网,验证网络通信的效果.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙20步骤1:场景描述OPNsense防火墙可以在规则中添加时间限制,当某一规则添加该时间限制后,在时间规定范围内该规则起效果,当超出时间范围后,该规则将会失效.
本任务的目标:用户主机PC1在上班期间无法访问Host-1,下班后可以访问,PC2随时可以访问Host-1.
步骤2:在OPT1接口上添加允许任何报文通过的防火墙策略先在OPT1接口上添加一条允许任何报文通过的防火墙策略,用于PC2的通信,具体过程略.
步骤3:创建策略所需的时间表当基于时间设置防火墙策略时,要首先创建相应的时间表,例如本任务中所规定的上班时间表,假定该公司2019年2月份的上班时间为每周一到周五上午8:30~12:00,下午14:30~17:30.
创建该时间表的用意是:在2月份中,每周一到周五上午8:30~12:00,下午14:30~17:30不能上网,其他时间可以上网.
(1)创建上午的时间表点击左侧导航中的【Firewall】→【Schedule】,进入创建时间表界面,如图16-32所示.
图16-32创建时间表的界面在图16-32右上角,点击【Addanewschedule】,创建一个名为"work1"的时间表,如图16-33所示,该时间表用来定义禁止上午上网的时间.
图16-33创建一个名为"work1"的时间表点击选中要添加的日期(每周一~每周五),并设置本时间表每天的开始时间和结束时间(8:30~12:00),如图16-34所示.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙21图16-34设置时间表的日期和每日开始与结束时间点击【AddTime】按钮添加本时间表,点击【Save】对该时间表进行保存,如图16-35所示.
创建结果如图16-36所示.
图16-35生成并保存时间表图16-36创建好的时间表work1(2)创建下午的时间表用同样的方法,再创建一个时间表,命名为"work2",时间是下午14:30~17:30,.
创建好的两个时间表如图16-37所示.
《计算机网络技术》实验指导/实验16:基于OPNSense实现透明防火墙22图16-37创建好的两个时间表步骤4:添加基于时间表的防火墙策略时间表建立后,还要设置基于该时间表的防火墙策略,具体操作过程如下.

(1)添加规则类型.
在【Action】操作选项中选择"Block"操作,表示该规则为"拒绝通过";在【Interface】选项中选择"OPT1"地址,表示该规则将被在OPT1接口上;在【TCP/IPVersion】选项中选择"IPv4",表示该规则网络地址为IPv4类型;在【Protocol】选项中选择"any",表示该规则适用于所有协议下的数据包.
(2)添加本策略对应的地址在源地址【Source】中选择【Type】选项为"Singlehostoralias",添加单一主机地址为PC1的IP地址(172.
16.
100.
10),表示此策略作用于PC1,此时系统默认子网掩码为31位.
在目的地址【Destination】的【Type】选项中,选择"any",表示"到所有目的".
(3)添加本策略对应的端口及日志.
由于在【Protocol】协议中选择为"any",在配置规则端口时,系统不再显示对端口的选择,默认选择为所有端口.
若在协议中选择某单一协议时,防火墙将允许选择本策略应用的端口.