一、实验目的

---

二、配置环境

打开两台虚拟机，并参照下图，搭建网络拓扑环境，要求两台虚拟机的IP地址要按照图中的标识进行设置，并根据搭建完成情况，勾选对应选项。注：此处的学号=本人学号的最后两位数字，1学号=本人学号的最后两位数字+100。

（1）将host1的IP地址设置为172.16.学号.学号

（2）将host2的IP地址设置为172.16.学号.1学号

（3）将防火墙的内网IP地址设置为172.16.学号.250，IP地址设置为192.168.17.1学号

（4）在防火墙上配置路由功能，并使内、外网之间能互相PING通

（1）

（2）

（3）

（4）

---

三、实验操作

2、在安装ISA防火墙之前，在host1上分别完成下列操作并截图，要求与ipconfig同屏。

（1）访问http://www.hstc.edu.cn

（2）执行命令nslookup www.baidu.cn

（3）访问ftp://pc.hstc.edu.cn

（1）

（2）

（3）

---

3、在防火墙上安装ISA防火墙软件，安装好后，打开规则设置窗口截图，要求要ipconfig同屏。

直接在路由器上安装防火墙软件ISA （一定要先把前面的环境搭建好！）：

要提前命名，防止不知道哪个是内网。

等待安装完成即可。

---

4、在ISA中添加第一条访问规则：内网→外网，禁止DNS。

完成下列操作：

（1）将ISA访问规则窗口截屏，要求与ipconfig同屏

（2）执行nslookup www.baidu.cn命令，并截屏，要求与ipconfig同屏

（3）在防火墙上用Wireshark抓包，并将对应的数据包截屏，要求与ipconfig同屏

（1）

拒绝DNS服务：

（2）

在host1或者host2中完成：

（3）

---

5、将第一条访问规则中的禁止DNS，改为允许DNS。

完成下列操作：

（1）执行命令nslookup www.baidu.com，将执行结果截屏，要求与ipconfig同屏

（2）在防火墙上用Wireshark抓包，并将对应的数据包截屏，要求与ipconfig同屏

（1）

同样在host1或者host2中完成：

（2）

既有发出请求的，也有响应的。

---

6、分析比较第一条规则中，禁止和允许DNS两种情况下数据包的不同。

在禁止DNS的情况下， 防火墙上只能抓取到内网发出的DNS请求数据包，抓取不到DNS的响应数据包。

在允许DNS的情况下，防火墙能够抓取DNS请求数据包和DNS响应数据包。

---

7、在ISA中添加第2条访问规则：内网→外网，允许Web访问(包括http和https访问)，并将第1条访问规则设置为禁止DNS。

完成下列操作：

（1）将ISA访问规则窗口截屏，要求与ipconfig同屏

（2）在Host1上访问https://www.baidu.com，将结果截屏，要求与ipconfig同屏

（3）在Host2上访问https://220.181.38.148，将结果截屏，要求与ipconfig同屏

（4）在防火墙上，分别用Wireshark抓包，并将对应的数据包截屏，要求与ipconfig同屏

（5）根据Wireshark抓到的数据包，分析比较host1和host2上的访问结果有什么不同

（1）

 

（2）

（3）

（4）

（5）

host1无法访问，host2可以进行访问。

---

8、将第1条规则的禁止DNS，改为允许DNS，第2条规则不变。

完成下列操作：

（1）将ISA访问规则窗口截屏，要求与ipconfig同屏

（2）在Host1上访问https://www.baidu.com，将结果截屏，要求与ipconfig同屏

（3）在Host2上访问https://220.181.38.148，将结果截屏，要求与ipconfig同屏

（4）在防火墙上，分别用Wireshark抓包，并将对应的数据包截屏，要求与ipconfig同屏

（5）根据Wireshark抓到的数据包，分析比较host1和host2上的访问结果有什么不同

（1）

（2）

（3）

（4）

（5）

host1和host2都能成功访问。

---

9、将第1条规则的内网改为host1，且允许DNS，第2条规则的内网改为host2，且允许HTTP。

完成下列操作：

（1）将ISA访问规则窗口截屏，要求与ipconfig同屏

（2）在Host1上访问https://www.baidu.com，将结果截屏，要求与ipconfig同屏

（3）在Host2上访问https://220.181.38.148，将结果截屏，要求与ipconfig同屏

（4）在防火墙上，分别用Wireshark抓包，并将对应的数据包截屏，要求与ipconfig同屏

（5）根据Wireshark抓到的数据包，分析比较host1和host2上的访问结果有什么不同

（1）

（2）

（3）

（4）

（5）

host1和host2都能访问成功。

---

10、完成下列规则的设置：

（1）第1条规则，内网→外网，拒绝Web访问(包括http和https访问)；

（2）第2条规则，内网→外网，允许DNS规则；

（3）第3条规则，内网→外网，允许TCP协议(需要自己添加TCP协议)

完成下列操作：

（4）在host1上访问https://www.hstc.edu.cn，用Wireshark抓包，将两个结果同屏。要求Wireshark要展示相关数据包

（5）在host2上访问ftp://210.38.209.164，用Wireshark抓包，将两个结果同屏。要求Wireshark要展示相关数据包

（6）根据Wireshark的抓包情况，对以上操作结果进行分析对比

（1）

（2）

不要忘记点击“应用”！

（3）

（4）

（5）

（6）

host1访问失败，host2访问成功。

---

11、完成下列规则的设置：

（1）第1条规则，内网→外网，拒绝TCP协议；

（2）第2条规则，内网→外网，允许DNS规则；

（3）第3条规则，内网→外网，允许Web访问(包括http和https访问)

完成下列操作：

（4）在host1上访问https://www.hstc.edu.cn，用Wireshark抓包，将两个结果同屏。要求Wireshark要展示相关数据包

（5）在host2上访问ftp://210.38.209.164，用Wireshark抓包，将两个结果同屏。要求Wireshark要展示相关数据包

（6）根据Wireshark的抓包情况，对以上操作结果进行分析对比

（1）（2）（3）

（4）

（5）

（6）

host1访问成功，host2访问失败。