一、实验拓扑：

二、实验目的

（1）让内网可以访问外网。

（2）让外网能够访问dmz区域的web服务器。

（3）测试防火墙的防毒功能，并进行检测。

三、实验步骤

（1）防火墙配置

1.输入账号、密码进入防火墙，查看防火墙接入外网的端口IP。

2.输入防火墙的IP地址进入防火墙的可视化界面，再次输入防火墙的账号、密码。

3.查看防火墙的系统配置等功能。

4.在策略配置中配置NAT策略,添加一源NAT（动态NAT）策略，让内部主机上外网。

5.查看是否添加成功。

6.将ge2口改为路由模式，添加一条静态地址作为网关。

 7.在网络配置中配置DHCP服务器。

8.打开kail，查询它的IP地址，发现分配到了IP。

9.配置安全策略，让内网能访问外网。

10.查看、更改接口的安全区。

11.用kail进行测试，确实可以访问外网。

1）ping QQ的域名www.qq.com,发现可以ping通。

2）用浏览器访问，发现也可以访问，证明内网确实可以访问外网。

12.dmz区域添加一台web服务器

1）用防火墙对ge3口进行编辑。

2)web服务器能够ping通它的网关。

13.在防火墙中编辑一条目的NAT，用于外网访问dmz区域的web服务器。

14.在防火墙中编辑一条安全策略，允许外网访问dmz区域的web服务器。

15.编辑防病毒策略

1)选择高级配置，点击反病毒。

2)编辑反病毒。

（2）kali测试防火墙

 1.用kali去访问https://www.eicar.ong这个网站，并去下载病毒。

1)点击advanced。

2)等待网页的渲染。

3)找到病毒的下载的安装包，点击下载。

4)发现可以下载。（因为这个网站是基于https协议的，下载数据进行了加密，所以防火墙没有拦截，还需配置SSL解密策略才能拦截）

2.在防火墙中添加SSL解密策略。

3.再用kali去访问https://www.eicar.ong这个网站。

4.可以看到证书这是奇安信防火墙的证书。

5.再去下载病毒。

6.发现会报错，说明防火墙进行了拦截。

7.在防火墙的数据中心的日志中可以看到它的威胁日志。