一、實驗拓撲：

二、實驗目的

（1）讓內網可以訪問外網。

（2）讓外網能夠訪問dmz區域的web服務器。

（3）測試防火墻的防毒功能，并進行檢測。

三、實驗步驟

（1）防火墻配置

1.輸入賬號、密碼進入防火墻，查看防火墻接入外網的端口IP。

2.輸入防火墻的IP地址進入防火墻的可視化界面，再次輸入防火墻的賬號、密碼。

3.查看防火墻的系統配置等功能。

4.在策略配置中配置NAT策略,添加一源NAT（動態NAT）策略，讓內部主機上外網。

5.查看是否添加成功。

6.將ge2口改為路由模式，添加一條靜態地址作為網關。

?7.在網絡配置中配置DHCP服務器。

8.打開kail，查詢它的IP地址，發現分配到了IP。

9.配置安全策略，讓內網能訪問外網。

10.查看、更改接口的安全區。

11.用kail進行測試，確實可以訪問外網。

1）ping QQ的域名www.qq.com,發現可以ping通。

2）用瀏覽器訪問，發現也可以訪問，證明內網確實可以訪問外網。

12.dmz區域添加一臺web服務器

1）用防火墻對ge3口進行編輯。

2)web服務器能夠ping通它的網關。

13.在防火墻中編輯一條目的NAT，用于外網訪問dmz區域的web服務器。

14.在防火墻中編輯一條安全策略，允許外網訪問dmz區域的web服務器。

15.編輯防病毒策略

1)選擇高級配置，點擊反病毒。

2)編輯反病毒。

（2）kali測試防火墻

?1.用kali去訪問https://www.eicar.ong這個網站，并去下載病毒。

1)點擊advanced。

2)等待網頁的渲染。

3)找到病毒的下載的安裝包，點擊下載。

4)發現可以下載。（因為這個網站是基于https協議的，下載數據進行了加密，所以防火墻沒有攔截，還需配置SSL解密策略才能攔截）

2.在防火墻中添加SSL解密策略。

3.再用kali去訪問https://www.eicar.ong這個網站。

4.可以看到證書這是奇安信防火墻的證書。

5.再去下載病毒。

6.發現會報錯，說明防火墻進行了攔截。

7.在防火墻的數據中心的日志中可以看到它的威脅日志。