防火墙实验报告

1 / 12防火墙实验报告一、实验目的? 通过实验深入理解防火墙的功能和工作原理? 熟悉天网防火墙个人版的配置和使用二、实验原理? 防火墙的工作原理? 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。? 两种防火墙技术的对比? 包过滤防火墙：将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快；定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。? 应用级网关：内置了专门为了提高安全性而编制的 Proxy 应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网之间的应用 。? 防火墙体系结构2 / 12? 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。? 双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送 IP 数据包。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。? 被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部3 / 12网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。四、实验内容和步骤简述天网防火墙的工作原理天网防火墙的工作原理：在于监视并过滤网络上流入流出的 IP 包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。由于 Internet 与 Intranet 的连接多数都要使用路由器，所以 Router 成为内外通信的必经端口，Router 的厂商在 Router 上加入 IP 过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种 Firewall 应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。路由器逐一审查数据包以判定它是否与其它包过滤规则相匹4 / 12配。每个包有两个部分：数据部分和包头。过滤规则以用于 IP 顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP 目的地址、封装协议、TCP/UDP 源端口、ICMP 包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。实验过程步骤：运行天网防火墙设置向导，根据向导进行基本设置。计算机安全实验报告实验题目： 天网防火墙 windows 安全设置 专业/班级： 计科一班学 号：姓 名： 李冲指导教师：一 天网防火墙技术 1 实验题目简述个人防火墙是防止电脑中的信息被外部侵袭的一项技术，在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名5 / 12Symantec 公司的诺顿、Network Ice 公司的 BlackIce Defender、McAfee 公司的思科及 Zone Lab 的 free ZoneAlarm 等，都能帮助用户的系统进行监控及管理，防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。这些软件都能够独立运行于整个系统中或针对个别程序、项目，所以在使用时十分方便及实用。本次试验采用天网个人防火墙 SkyNet FireWall 进行个人防火墙简单的配置应用。2.实验目标和意义实验的目标是在于熟悉个人防火墙的配置与应用，以便更加保证个人电脑的网络安全，避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。3.实验原理和实验设备实验原理随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，6 / 12基于网络连接的安全问题也日益突出，因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。例如，防火墙可以限制 TCP、UDP 协议及 TCP 协议允许访问端口范围，当不符合条件时，程序将询问用户或禁止操作，这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙 IP 规则，监视和拦截恶意信息。与此通知，还可以利用 IP 规则封杀指定 TCP/UDP 端口，有效地防御入侵，如 139 漏洞、震荡波等。实验设备Window 7天网个人防火墙 2016 版4.实验步骤实验步骤第一步：局域网地址设置，防火墙将会以这个地址7 / 12来区分局域网或者是 INTERNET 的 IP 来源。设置如图 3-1.3-1：局域网地址设置第二步：管理权限设置，它有效地防止未授权用户随意改动设置、退出防火墙等如图 3-2.3-2：管理权限设置第三步：入侵检测设置，开启此功能，当防火墙检测到可疑的数据包时防火墙会弹出入侵检测提示窗口，并将远端主机 IP 显示于列表中。.3-3：入侵检测第四步：安全级别设置，其中共有五个选项。如图 3-4 页面。3-4：安全级别设置低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的8 / 12服务。适用于普通个人上网用户。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务，局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。扩：基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP 或 UDP 端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。自定义：如果您了解各种网络协议，可以自己设置规则。注意，设置规则不正确会导致您无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。南京信息工程大学 实验报告实验名称 防火墙实验日期 指导教师 朱节中 专业 10 软件工程年级 大三 班次 2 姓名 蔡叶文 学号 20162344042 得分【实验名称】防火墙实验9 / 12【实验目的】掌握防火墙的基本配置；掌握防火墙安全策略的配置。【背景描述】1.用接入广域网技术，将私有地址转化为合法 IP地址。解决 IP 地址不足的问题，有效避免来自外部网络的攻击，隐藏并保护内部网络的计算机。2.网络地址端口转换 NAPT 是人们比较常用的一种NAT 方式。它可以将中小型的网络隐藏在一个合法的 IP 地址后面，将内部连接映射到外部网络中的一个单独的 IP 地址上，同时在该地址上加上一个由 NAT 设备选定的 TCP 端口号。3.地址绑定：为了防止内部人员进行非法 IP 盗用，可以将内部网络的 IP 地址与 MAC 地址绑定，盗用者即使修改了 IP 地址，也因 MAC 地址不匹配而盗用失败，而且由于网卡 MAC 地址的唯一确定性，可以根据 MAC 地址查出使用该 MAC 地址的网卡，进而查出非法盗用者。报文中的源 MAC地址与 IP 地址对如果无法与防火墙中设置的 MAC 地址与 IP地址对匹配，将无法通过防火墙。4.抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Flood 攻击；ICMP Flood 攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP 攻击；TCP 端口扫描；UDP 端10 / 12口扫描；松散源路由攻击；严格源路由攻击； WinNuke 攻击；smuef 攻击；无标记攻击；圣诞树攻击；TSYN&FIN 攻击；无确认 FIN 攻击；IP 安全选项攻击；IP 记录路由攻击；IP 流攻击；IP 时间戳攻击；Land 攻击；tear drop 攻击。【小组分工】组长：IP：管理员：IP： 策略管理员+日志审计员：IP： 日志审计员：IP： 策略管理员：IP： 配置管理员【实验设备】PC 五台防火墙 1 台跳线一条【实验拓扑】【实验结果】1. 管理员主机对管理员主机的 IP 进行更改，改为图一管理员主机 IP 配置用超级中端重启防火墙图二超级终端11 / 12管理员为局域网内的其他主机添加管理员账号，添加后如下图图三管理员账号添加管理主机，添加完后如下图：图四管理主机管理主机对防火墙的 LAN 口进行相关配置，内网网关的借口 IP 为，添加后如下图：图五添加 LAN 口2. 配置 NAPT1）定义内网对象，打开 内网定义地址，然后是 地址列表 ，