1、综合设计报告分院(系): 信息科学与技术学院 专 业: 网络工程 班 级: 指导教师: 学生姓名: 雄 鹰 学号: 同组成员完成 时 间: 2011 年 7 月 1 日 主要内容:一、实验名称访问控制二、实验目的利用防火墙实现访问控制。三、背景描述某广告公司老板发现,自从他们公司新申请的带宽 ADSL,公司内的员工经常偷偷的上 网有些人比较自觉,上班时间上一些和广告有关的网站,个别人在上班时间上新闻网站,甚 至上 qq,看电影等等。 老板要求网管必须解决该问题,严格限制员工工作时间上网情况,允许下班时间随意上 网。四、需求分析需求:禁止员工上班时间上非业务相关网站,下班以后不限制。 分析:
2、用防火墙访问控制,按时间、网站、服务等因素限制上网。五、实验拓扑六、 实验设备交换机一台、防火墙一台、PC 机四台七、实验原理访问控制是防火墙的基本功能,可以基于 IP 地址、服务端口、时间、域名、等因子作兴当严格访问控制。八、 实验步骤配置方法:1、定义接口属性2、将接口 wan 配置成内网、wan1 配置成外网口(pppoe),见图如下:wan 口:(可以不用配置“允许管理主机 Traceroute”)wan1 口:(可以不用配置“允许管理主机 Traceroute”)接口 IP 为默认值3、策略路由默认4、定义安全规则1)第一步 配置老板 IP 不限时间允许访问任意服务。如图:2)第二步
3、 定义设计部门可以任意时间访问设计网站 192.168.2.5 的 http 服务,在此之前应在对象定义中的地址区分配外网(192.168.60.4)的 WEB 服务(此图省略) 。应注意的是在防火墙相应地址的输入中掩码都为 255.255.255.255 。 如图:3)第三步 在对象定义-时间列表 中定义三个时间对象 中午休息 时间是12:00-14:00 晚上休息 时间是18:00-24:00 早上休息 0:00-8:00。如图:此图为时间列表(时间组名为 rest):4)在对象定义-时间组 中定义 休息 对象 调用 中午休息、晚上休息、早上休息三个对象配置其他用户(普通员工与设计部门),
4、在 休息 对象的时间范围 可以访问任意地址的任意服务,原地址转换选择 by-route。 如图:员工(在休息期间,服从对象定义时间 rest)设计部门(在休息期间,服从对象定义时间 rest。)九、验证测试1、老板机可以在任意时间上网(这里用连接 wan1 口的 PC 机表示,即 192.168.60.4):2、员工上班时间(无法上网,即无法 ping 通 wan1 口连接的 PC 机即可。 ):3、员工休息时间(可以上网,既可以连接外网,这里以 192.168.60.5 为例。 ):4、设计部门上班时间:(可以访问指定的设计网站,此为在外网 PC 机上所建的 WEB 网站。)5、设计部门休息时间(可以上网,既可以连接外网,这里以 192.168.60.5 为例。 ):主要收获与体会:指导教师批阅意见:成绩评定:指导教师签字:年 月 日备注:说明: 1. 根据实际情况,可对表格进行扩充。2. 中间页可根据指导教师要求进行撰写,封面和封底要求使用本表格。
