下一代防火墙-ips防护

 一、实验拓扑

二、实验目的

1、掌握网络攻击防护策略配置方法

2、掌握下一代防火墙防护服务器免受DOS攻击

三、实验配置和结果检测

Windows pc 配置

IP 192.168.10.1 255.255.255.0 网关192.168.10.254

dns 114.114.114.114

交换机配置

Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Switch(config)#ip routing   启动路由功能

Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport  改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2  配置上网的缺省路由，下接口 e0/1 IP

防火墙配置

进入配置界面查看DHCP自动分配的IP，通过IP进入可视化界面

配置接口

配置路由

配置目的nat

安全策略配置

使用物理主机访问web服务器

在物理主机上打开永恒之蓝测试工具，输入对应IP地址

结果表明存在永恒之蓝漏洞，同时完成一次攻击

配置防火墙ips策略

再次使用永恒之蓝测试工具

没有反应，说明被ips防范

查看防火墙日志信息

成功检测到漏洞攻击，并拦截

四、实验总结

       本次实验围绕网络攻击防护展开，重点验证了下一代防火墙在抵御DOS攻击及漏洞攻击中的作用。实验通过配置Windows PC、交换机和防火墙搭建了完整网络环境，其中交换机划分VLAN并配置路由实现网段通信，防火墙则通过接口、路由、NAT及安全策略配置保障基础网络连通性。 实验先利用永恒之蓝测试工具对Web服务器进行攻击，成功触发漏洞，验证了未防护时的安全风险。随后配置防火墙IPS策略，再次攻击时工具无响应，结合防火墙日志确认攻击被有效拦截。 此次实验不仅让我们掌握了网络设备的基础配置方法，更深刻理解了下一代防火墙通过IPS等功能实时检测并阻断恶意攻击的机制，为构建安全网络环境提供了实践依据。