精选优质文档-倾情为你奉上计算机与信息科学学院实 验 报 告（20122013学年第一学期 ）课程名称： 网络安全实验 班 级： 学 号： 姓 名： 任课教师： 实 验 报 告实验名称基于Windows的NAT防火墙实验指导教师实验类型实验学时2实验时间11.15一、实验目的与要求（1）了解和学习网络安全中，防火墙的基本原理、方法及运用。（2）学习和掌握防火墙技术及系统的功能实现。（3）了解和学习Windows NAT防火墙技术。（4）学习和掌握Windows系统中NAT防火墙的功能、配置与使用操作。二、实验仪器和器材计算机两台，pc1、pc2的主机系统均为win7旗舰版系统，pc1虚拟主机系统为windows 2003 Server系统。三、 实验原理、内容及步骤（一）、实验原理：1、NAT防火墙：NAT(Network Address Translation，网络地址转换)是将一个地址域映射到另一个地址域的标准方法。通常NAT是在用户私有地址域Internet公有地址之间进行转换，使得一个私有网络可以通过合法的IP连接到因特网。NAT工作过程如下：（a）NAT客户端需要与Internet通信，并将数据包给NAT防火墙。（b）NAT防火墙将数据包中的源端口和专用IP地址转换为其自己端口号和公用IP地址的映射关系记录下来，以便后续过程使用。（c）Internet上的主机将回应发送给NAT防火墙的公用IP地址。（d）NAT防火墙将所收到的数据包的目的端口号和公用IP地址根据映射关系转换为客户机的端口号和专用IP地址并发给客户端。2、Windows Server 2003 NAT防火墙 Windows Server系统内部集成了NAT协议。在Windows Server 2003中，NAT路由协议包含在路由和远程访问服务组件中。如果在运行路由和远程访问的服务器上安装和配置NAT路由协议，则使用专用IP地址的内部网络客户端可以通过NAT防火墙的外部接口访问Internet。当内部网络客户端发送Internet连接请求时，NAT协议驱动程序将截获该请求，并将其转发到目标Internet服务器。在本试验中，我们将采用Windows 2003 Server系统集成的NAT协议进行NAT防火墙的安装、配置和测试实验过程操作。 （二）、实验内容：（1）实验网络环境的配置。（2）安装Windows NAT 防火墙。（3）配置Windows NAT 防火墙。（4）测试Windows NAT 防火墙。（5）VPN运用和测试（三）、实验步骤：1、建立实验环境（1）禁用实验主机防火墙 在本实验中，实验主机采用win7系统。如果实验主机中装有个人防火墙，则在实验之前要禁用个人防火墙，保证实验主机与虚拟机之间的正常通信。（2）实验主机网卡的TCP/IP属性配置在本实验中，由于本机连接的是宽带，所以采用自动获取IP。本地连接的参数如图1所示。 图1 实验主机的参数（3）虚拟网络配置 在本试验中，我们需要通过Vmware添加虚拟网卡。其中，具体操作如下。 a）双击启动主机上的“VMware Workstation”程序 b）在Vmware软件操作界面的“虚拟机”菜单下选择“设置”,如图2所示。 图2 虚拟机菜单c）在弹出的“虚拟机设置”对话框中，点击添加（如图3所示），在弹出的“添加硬件向导”的对话框中，点击“网络适配器”，再点击下一步（如图4所示）。 图3 虚拟机设置 图4 添加硬件向导 在弹出的“网络适配器类型”的对话框中，点击“桥接”，再点击完成，如图5所示。 图5 网络适配器类型 在“虚拟机设置”中将“网络适配器”的网络连接类型设置为“桥接”，再点击确定，如图6所示。 图6 修改网络连接类型 d）实验虚拟主机网卡的TCP/IP属性配置 虚拟主机中的两个虚拟网卡分别为“本地连接”和“本地连接2”，下面将设置它们的TCP/IP属性。 打开Windows Server 2003虚拟机电源，启动虚拟机。 配置“本地连接”虚拟网卡的TCP/IP属性设置。在本实验中，IP:192.168.0.4,子网掩码:255.255.0.0；网关:192.168.0.1；DNS:202.98.198.167，如图7所示。 图7 实验虚拟主机“本地连接”网卡的TCP/IP属性配置 配置“本地连接2”虚拟网卡的TCP/IP属性配置。本实验中，IP：192.168.2.110,子网掩码:255.255.255.0,DNS:202.98.198.167。如图8所示。图8 实验虚拟主机“本地连接2”网卡的TCP/IP属性配置2、安装Windows NAT防火墙本实验中，将通过配置并启用Windows Server 2003的路由和远程访问实现NAT防火墙，操作步骤如下。（1） 打开路由和远程访问 在虚拟主机中，一次点击“开始菜单-管理工具-路由和远程访问”，弹出如图9的所示的对话框。 图9 路由与远程访问控制台（2） 路由和远程访问服务器的安装向导 在图9中点击“配置并启用路由和远程访问”弹出如图10所示的“路由和远程访问服务器安装向导”对话框。 图10 路由和远程访问服务器安装向导（3）网络地址转换 在图10中点击“下一步”，弹出如图11所示的对话框，选择“网络地址转换（NAT）”，然后点击“下一步”。 图11 配置对话框 （4）NAT Internet连接 因为要使用本地连接作为连接到外网的接口，所以在该对话框中选择“本地连接”，然后点击“下一步”，如图12所示。 图12 NAT Internet连接 （5）结束NAT防火墙的安装向导 在弹出的“完成路由和远程 访问服务器安装向导”对话框，如图13所示。点击“完成”。结束NAT防火墙的安装。 图13 NAT防火墙安装结束对话框3、配置Windows NAT防火墙 在“路由和远程访问”树形目录下点击“IP路由选择”，在右侧的“NAT/基本防火墙”节点上右键选择“属性”，如图14所示。 图14 NAT/防火墙属性 （1）配置NAT转换表的缓存时间 在弹出的“NAT/防火墙”属性对话框中选择“转换”标签页，如图15所示。为了提高NAT防火墙的工作效率，将默认的“TCP映射”时间改为60，点击确定。 图15 NAT转换属性设置 因为在本实验中，对内网的主机网络设置采用手动方式配置，因为其他均可保持默认。 （2）过滤外网主机 在“路由和远程访问”的控制台下，将“IP路由选择”展开，点击其下的“NAT/防火墙”，在右侧的“本地连接”右键选择其属性。在弹出的本地连接属性对话框中选择“NAT/基本防火墙”标签页，在“接口类型”中选择“公用接口连接到Internet”，接着点击“出站筛选器”，如图16所示。 图16 网络接口NAT/基本防火墙属性 在图17（a）中，点击“新建”，弹出图17（b）所示的对话框。 （a） (b) (c) 在图17（b）中，将“源网络”和“目标网络”的的ip和子网掩码按图所示填写，其中“目标网络”为百度网站所对应的ip地址。点击确定，回到如图17（c）中的IP包过滤条件。在本实验中，首先选择“传输所有除符合下列条件以外的数据包”。点击“确定“，这样所有内网主机与百度网站通信的数据包将被防火墙过滤，从而使内网用户无法访问百度网站。4、ping命令测试这里我采用另外一台电脑pc2来进行测试，其本地连接的信息如图18所示 图18 pc2本地连接情况（1）Ping测试 a）内网主机ping外网测试 b）内网主机访问外网测试 由于pc2主机的网关为192.168.2.110，指向NAT防火墙，所以pc2主机发往外网的数据包都将通过NAT网关。以上测试结果显示pc2主机能够与外网连通。但是由于目标地址为百度ip，所以访问百度的数据包将会被NAT防火墙过滤掉，导致不能访问。 现在在图17（b）“筛选器操作“中选择“丢弃所有的包，满足下面条件的除外”后，再次进行测试。 再进行访问外网测试。此时发现，ping外网出现请求超时；而访问出百度的外网不能访问，说明NAT服务器对数据包进行了过滤，对于发送到非百度的外网数据被防火墙过滤掉，只允许对百度进行访问。四、实验小结和思考（包括感想、体会与启示）通过本实验，对NAT防火墙的基本原理、运用有了一个大概的了解。对于它的功能与实现在实际操作中也有了更深一层体会。在以前的理论知识中，只是一种空想，感觉它就像墙一样具有一定的阻隔功能，但是通过自己亲自动手来实现后，才对它实现的原理、过程有了清晰的认识。在整个实验过程中，个人觉得在对虚拟主机配置时容易出错，因为参数比较多、杂。所以一不注意就会影响到后面的实验过程。还有在做实验前，对整个实验过程要清楚了解，这样在实验中出现了问题才好及时的解决。在本试验中，pc2以虚拟主机“本地连接2“的ip作为网关，指向NAT防火墙，所以pc2主机发往外网的数据包都将通过NAT网关，经过NAT防火墙过滤处理后，再连接到外网，从而实现其防火墙的功能。五、指导教师评语成 绩日 期批阅人专心-专注-专业