第一步 搭建环境

两台主机，一台路由器（在路由器上安装防火墙软件）

两台主机的ip地址自己根据题意配置即可，下面讲的是路由器的配置

路由器要有两张网卡，内网卡是 net2模式，外网卡是NAT模式。

例如，上述题意要求 防火墙的ip地址（这里说的应该是外网ip）,此时我们需要打开虚拟网络编辑器

例如上面说的是192.168.17.1学号，

接着按题意要求，配置各自的ip地址，然后搭建路由即可（记得在路由器上开启路由远程访问）

开始实验

第一步，在任意一台机访问

第二步，直接在路由器上安装防火墙软件ISA （一定要把前面的环境搭建好）

接下来是效果演示

打开防火墙软件

在ISA中添加第一条访问规则：内网→外网，禁止DNS。

现在测试DNS拒绝规则, 在防火墙上抓包，在任意一台主机上 使用nslookup www.baidu.com，测试能不能dns解析成功（有没有dns响应包，结果应该是没有）

测试成功：此时防火墙抓包只抓到dns请求数据包，没有dns响应数据包

现在改成允许DNS并进行测试

此时发现，不仅有请求包，也有响应包了，并且域名解析成功

分析比较这一条规则中，禁止和允许DNS两种情况下数据包的不同

在禁止DNS的情况下， 防火墙上只能抓取到内网发出的DNS请求数据包，抓取不到DNS的响应数据包。

在允许DNS的情况下，防火墙能够抓取DNS请求数据包和DNS响应数据包。

继续测试 

在ISA中添加第2条访问规则：内网→外网，允许Web访问，并将第1条访问规则设置为禁止DNS。

测试：

此时访问http://www.baidu.com 是失败的。

再测试一下访问 http://220.181.38.148

注意，在访问http请求前，要先检查防火墙的http策略是否开启

把下列两个服务都开启

测试结果：仍然是无法访问

现在开启DNS允许继续测试

此时两个都可以

继续测试新规则

将第1条规则的内网改为host1，且允许DNS，第2条规则的内网改为host2，且允许HTTP。

因为这里没有用到第二台机，所以在用第一条规则的时候，第二条规则随便给个内网ip

现在将第一条规则的内网改为host1(当前使用的机)

再把第二条规则的内网改成host2 反正就是不要和host1 ip地址一样就可以了。 这里就不继续演示了

开始测试 

发现 此时 host1 是可以域名解析的，但是不能访问http请求，因为没有http规则

而host 2虽然有http规则，但是那个ip地址会转化为百度的域名，故也访问不了

继续测试新规则

这里前两条自行修改，只演示第三条规则的设置

测试：

访问http://www.hstc.edu.cn  访问成功

访问ftp://210.38.209.164  访问成功

继续测试

访问http://www.hstc.edu.cn  访问失败

访问ftp://210.38.209.164  访问失败

测验结束