《防火墙及应用技术》实验教案.doc

防火墙及应用技术实验教案目录实验一 了解各类防火墙1实验二 配置Windows 2003防火墙5实验三 ISA服务器管理和配置8实验四 锐捷防火墙安装10实验五 通过CONSOLE口命令防火墙配置管理12实验六WEB 界面进行锐捷防火墙配置管理14实验七 架设如下拓朴结构19实验一 了解各类防火墙一、实验目的和要求1、了解防火墙一些概念与常识2、熟悉个人防火墙3、学会使用几种常见的防火墙的使用二、实验任务1、在Internet网上分别查找有关各类防火墙。2、了解各类防火墙三、实验指导或操作步骤1.ZoneAlarm（ZA）这是Zone Labs公司推出的一款防火墙和安全防护软件套装，除了防火墙外，它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的版本相比，新产品现在能够支持专家级的规则制定，它能够让高级用户全面控制网络访问权限，同时还具有一个发送邮件监视器，它将会监视每一个有可能是由于病毒导致的可疑行为，另外，它还将会对网络入侵者的行动进行汇报。除此之外，ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点，即使是刚刚出道的新手也能够很容易得就掌握它的使用。 说明： (1)安装程序会自动查找已安装的 ZoneAlarm Pro 路径。 (2)如果已经安装过该语言包，再次安装前请先退出 ZA。否则安装后需要重新启动。 (3)若尚未安装 ZA，在安装完 ZA 后进行设置前安装该语言包即可，这样以后的设置将为中文界面。 (4)ZA 是根据当前系统的语言设置来选择相应语言包的，如果系统语言设置为英文，则不会调用中文语言包。 (5)语言包不改动原版任何文件，也适用于和 4.5.594.000 相近的版本。如果需要，在卸载后可还原到英文版。 (6)有极少量英文资源在语言包里没有，故无法汉化。如检查升级时的提示窗口、警报信息中的“Port”。 下载地址： /?Go=Show:List&ID=5640 /showdown.asp?soft_id=5 2.天网防火墙 天网防火墙个人版是一款由天网安全实验室制作的给个人电脑使用的网络安全程序。它根据系统管理者设定的安全规则把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与天网安全实验室的网站相配合，根据可疑的攻击信息，来找到攻击者 下载地址： /download/soft/2113.htm /showdown.asp?soft_id=16 3.诺顿网络安全特警（中文版） 诺顿网络安全特警2004 简体中文零售版，10月21日发布，无缝集成防病毒、个人防火墙、隐私控制、反垃圾邮件、父母控制等功能，可以确保您收发电子邮件，网上购物，在线理财安全无忧。安装本软件之前请先卸载旧版本。支持自安装日起一年内在线升级。 诺顿网络安全特警2004以其全面的防护功能，高度的集成性和易用性荣获了个人电脑杂志编辑选择奖。它不仅可以防御病毒，还新增了对间谍程序，击键记录程序等非病毒性威胁的防护，保护您的密码等隐私信息不会被泄露出去；防火墙功能考虑到笔记本电脑用户经常变换网络的情况，可以根据不同的网络自动切换网络安全配置，使移动用户不会因为忘记改变安全配置而产生安全隐患；反垃圾邮件功能通过多种垃圾邮件过滤机制能够使您基本摆脱垃圾邮件的侵扰；父母控制功能可以为每个家庭成员设置不同的网络使用权限，并且禁止某些未成年人不宜的网上内容和网站，为您的家庭提供一个健康愉快的网络环境；总之，诺顿网络安全特警2004为个人用户提供了功能全面 下载地址：/download/soft/3899.htm /showdown.asp?soft_id=18 4. 瑞星防火墙保护网络安全，免受黑客攻击；采用增强型指纹技术，有效的监控网络连接；内置细化的规则设置，使网络保护更加智能；游戏防盗、应用程序保护等高级功能，为个人电脑提供全面安全保护；通过过滤不安全的网络访问服务，极大地提高了用户电脑的上网安全；彻底阻挡黑客攻击、木马程序等网络危险，保护上网帐号、QQ密码、网游帐号等信息不被窃取，下载地址： /index.asp?rskey=B1B8JXCS 实验二 配置Windows 2003防火墙一、实验目的和要求1、了解防火墙一些概念与常识2、学会配置Windows 2003防火墙二、实验任务1、配置Windows 2003防火墙。2、了解防火墙三、实验指导或操作步骤Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。 在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到Internet。 1启动/停止防火墙 （1）打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。 （2）单击“高级”选项卡，出现如图1启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框；如果要禁用Internet 连接防火墙，请清除以上选择。 2防火墙服务设置 Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。 （1）标准服务的设置 我们以Windows 2003服务器提供的标准Web服务为例（默认端口80），操作步骤如下：在图1所示界面中单击设置按钮，出现如图2所示“服务设置”对话框；在“服务设置”对话框中，选中“Web服务器（HTTP）”复选项，单击确定按钮。设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。 图1图2注：您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。如果服务器还提供非标准服务，那就需要管理员手动添加了。 （2）非标准服务的设置 我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中，单击添加按钮，出现“服务添加”对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议（Web服务使用TCP协议，DNS查询使用UDP协议），最后单击确定。设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。 3防火墙安全日志设置 在图2“服务设置”对话框中，选择“安全日志”选项卡，出现“安全日志设置”对话框，选择要记录的项目，防火墙将记录相应的数据。日志文件默认路径为C:WindowsPfirewall.log，用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式，可以用常用的日志分析工具进行查看分析。 Internet 连接防火墙小结: Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，从而提高Windows 2003服务器的安全性。同时，它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。实验三 ISA服务器管理和配置一、实验目的和要求 (1) 了解ISA一些概念与常识(2) 熟悉ISA使用环境 (3) 学会管理和配置ISA服务器二、实验任务ISA服务器中的可扩展的企业防火墙配置。三、实验指导或操作步骤概要: 本文介绍如何安装 Internet Security and Acceleration (ISA) Server 并将其配置为防火墙。要将 ISA Server 架构安装到 Active Directory，您必须是本地计算机上的管理员。此外，您还必须同时是 Enterprise Admins 和 Schema Admins 两个组的成员。您必须为整个企业或组织将 ISA Server 架构一次性地安装到 Active Directory。（注意：企业初始化进程会将 ISA Server 架构信息复制到 Active Directory。由于 Active Directory 不支持架构对象的删除，因此企业初始化进程是不可逆的。） 1、要将 ISA Server 安装为防火墙，请按照下列步骤操作： (1) 单击开始，单击运行，在打开文本框中键入 cmd，然后单击确定。 (2) 在命令提示符处，键入 PathISAi386Msisaent.exe（其中 Path 是指向 ISA Server 安装文件的路径）。请注意，该路径可能是 ISA Server 光盘的根文件夹，也可能是网络上包含 ISA Server 文件的共享文件夹。 (3) 单击 Microsoft ISA Server 安装对话框中的继续。 (4) 阅读最终用户许可协议 (EULA)，然后单击我同意。 (5) 根据需要，选择其中一个安装选项。 (6) 单击防火墙模式，然后单击继续。 (7) 在系统提示您允许安装程序停止 Internet 信息服务 (IIS) 时，单击确定。 (8) 要自动构建 Internet 协议 (IP) 地址，请单击建立表，单击与您的服务器相连的网卡，然后单击确定。 (9) 单击确定启动配置向导。 2、如何配置防火墙保护，请按照下列步骤操作：(1) 单击开始，指向程序，指向 Microsoft ISA Server，然后单击 ISA 管理。 (2) 在控制台树中，单击以展开 server_name访问策略（其中 server_name 是服务器的名称），右键单击 IP 数据包筛选器，指向新建，然后单击筛选器。 (3) 在IP 数据包筛选器名称框中，键入要筛选的数据包的名称，然后单击下一步。 (4) 单击允许或阻止以允许或阻止该数据包，然后单击下一步。 (5) 接受预定义选项，然后单击下一步。 (6) 单击选项为应用数据包筛选器选择您所希望的方式，然后单击下一步。 (7) 单击远程计算机，然后单击下一步。 (8) 单击完成。实验四 锐捷防火墙安装一、实验目的和要求(1)了解锐捷防火墙一些概念与常识(2)熟悉锐捷防火墙使用环境注意事项 (3)锐捷防火墙安装注意事项二、实验任务锐捷防火墙安装。三、实验指导或操作步骤1安全使用注意事项本章列出各条安全使用注意事项，请仔细阅读并在使用RG-WALL 60 防火墙过程中严格执行。这将有助于您更安全地使用和维护您的防火墙。（1）您使用的RG-WALL 60 防火墙采用220V 交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。良好地接地是您的防火墙正常工作的重要保证。（2）为使防火墙正常工作，请不要将其放置于高温或者潮湿的地方。（3）请不要将防火墙放在不稳定的桌面上，万一跌落，会对防火墙造成严重损害。（4）请保持室内通风良好并保持防火墙通气孔畅通。（5）为减少受电击的危险，在防火墙工作时不要打开外壳，即使在不带电的情况下，也不随意打（6）清洁防火墙前，请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙，不能用液体清洗防火墙。2检查安装场所RG-WALL 60防火墙必须在室内使用，无论您将防火墙安装在机柜内还是直接放在工作台上，都需要保证以下条件：（1）确认防火墙的入风口及通风口处留有空间，以利于防火墙机箱的散热。（2）确认机柜和工作台自身有良好的通风散热系统。（3）确认机柜和工作台足够牢固，能够支撑防火墙及其安装附件的重量。（4）确认机柜和工作台的良好接地。为保证防火墙正常工作和延长使用寿命，安装场所还应该满足下列要求。2.1 温度湿度要求为保证RG-WALL 60防火墙正常工作和使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害防火墙的电路。温度过高则危害更大，长期高温将加速绝缘材料的老化过程，使防火墙的可靠性大大降低，严重影响其寿命。2.2 洁净度要求灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上，可以造成静电吸附，使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下，更易造成静电吸附，不但会影响设备寿命，而且容易造成通信故障。除灰尘外，机房内应防止有害气体（如SO2、H2S、NH3、Cl2 等）的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。2.3 抗干扰要求防火墙在使用中可能受到来自系统外部的干扰，这些干扰通过电容/电感耦合，电磁波辐射，公共阻抗（包括接地系统）耦合和导线（电源线、信号线和输出线等）的传导方式对设备产生影响。为此应注意以下条件：（1）交流供电系统为TN系统，交流电源插座应采用有保护地线（PE）的单相三线电源插座，使设备上滤波电路能有效的滤除电网干扰。（2）防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。（3）电缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流将设备信号口损坏。3安装RG-WALL 60 防火墙可以放置在桌面上，也可以放在标准的19 英寸机架上。安放在桌面上不需要特别的操作，安放在机架上时需要自备螺丝刀，螺钉在包装箱中。4加电启动防火墙启动步骤如下：（1）请将防火墙安装在机架上或放在一个水平面上。（2）确认防火墙电源是关闭的。（3）连接电源线。（4）防火墙可以通过网口用网线连接管理主机，也可通过串口线连接管理主机进而用超级终端管理防火墙。（5）接通电源，按下防火墙上的电源开关，置于ON 状态，防火墙加电启动。（6）橙黄色的状态灯(Status)开始闪烁，表示启动成功。防火墙启动成功以后，请通过CONSOLE 口命令行或者WEB 浏览器方式管理防火墙，具体方法请参考以下相关章节。如果防火墙未正常启动，请按以上步骤进行检查，如仍无法解决问题，请您联系供应商相关技术支持人员。实验五 通过CONSOLE口命令防火墙配置管理一、实验目的和要求(1)了解锐捷防火墙CONSOLE口命令(2)熟悉锐捷防火墙使用环境注意事项 (3) CONSOLE口命令进行锐捷防火墙配置管理二、实验任务命令配置管理锐捷防火墙。三、实验指导或操作步骤1选用管理主机要求该主机具备：（1）空闲的RS232 串口5（2）有超级终端软件。比如Windows 系统中的“超级终端”连接程序。2连接防火墙利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE，启动超级终端工具，以Windows 自带“超级终端”为例：点击“开始- 所有程序- 附件- 通讯- 超级终端”，选择用于连接的串口设备，定制通讯参数：（1）每秒位数：9600；（2）数据位：8；（3）奇偶校验：无；（4）停止位：1；（5）数据流控制：无；提示：对于Windows 自带“超级终端”，选择“还原默认值”即可。3登录CLI 界面连接成功以后，提示输入管理员账号和口令时，输入出厂默认账号“admin”和口令“firewall”即可进入登录界面，注意所有的字母都是小写的实验六WEB 界面进行锐捷防火墙配置管理一、实验目的和要求(1)熟悉锐捷防火墙使用环境注意事项 (2) WEB 界面进行锐捷防火墙配置管理二、实验任务WEB 界面配置管理锐捷防火墙。三、实验指导或操作步骤1选用管理主机要求具有以太网卡、USB 接口和光驱，操作系统可以为Window98/2000/XP 中的任意一种，管理主机IE 建议为5.0 以上版本、文字大小为中等，屏幕显示建议设置为1024768。2安装认证驱动程序在第一次使用电子钥匙前，需要先按照电子钥匙的认证驱动程序。插入随机附带的驱动光盘，进入光盘Ikey Driver目录，双击运行INSTDRV 程序，选择“开始安装”，随后出现安装成功的提示，选择“退出”。切记：安装驱动前不要插入usb 电子钥匙。3安装USB 电子钥匙在管理主机上插入usb 电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows 兼容性测试，选择“仍然继续”即可，如长时间（如约3 分钟）无反映，请拔下usb 电子钥匙，重启系统后再试一次，如仍无法解决，请您联系技术支持人员。4连接管理主机与防火墙利用随机附带的网线直接连接管理主机网口和防火墙WAN 网口（初始配置，只能将管理主机连接在防火墙的WAN 网口上），把管理主机IP 设置为00，掩码为。在管理主机运行ping 00 验证是否真正连通，如不能连通，请检查管理主机的IP（00）是否设置在与防火墙相连的网络接口上。强烈建议该网口不要绑定其他IP，并且使用交叉线直接连接防火墙。5认证管理员身份第一、插入电子钥匙。第二、运行Admin Auth目录中的ikeyc 程序，提示输入用户pin，输入12345678 即可。此时电子钥匙中存储的默认防火墙IP 地址为00，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了。如果出现其他错误，请检查网络连接、pin 码是否输入错误等。6登录防火墙WEB 界面运行IE 浏览器，在地址栏输入00:6667，等待约20 秒钟会弹出一个对话框提示接受证书，选择确认即可。系统提示输入管理员帐号和口令。缺省情况下，管理员帐号是admin，密码是：firewall。7WEB 界面配置向导配置向导仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能，此向导涉及最基本的配置，安全性很低，因此管理员应在此基础上对防火墙细化配置，才能保证防火墙拥有正常有效的网络安全功能。首次使用WEB 界面进行配置，需将管理主机的IP 地址设为00，在IE 地址栏中输入：00:6667。登录防火墙以后，点击，开始防火墙的配置。（1）修改超级管理员admin 的密码，超级管理员的密码默认是：firewall。（2）选择防火墙lan 和wan 接口的工作模式，防火墙的接口默认都是工作在路由模式（3）配置防火墙的IP 地址，建议至少设置一个接口上的IP 能用于管理，否则，完成初始配置后无法用WEB 界面管理防火墙。（说明：若lan、wan 都是混合模式，则lan 的地址必须配置，wan 的地址可以不配） （4）配置默认网关，如果希望防火墙能上互联网，则必须配置默认网关，否则，可以直接跳过本界面，配置下一个界面。（若防火墙的两个网口都是混合模式，可以不配默认网关）（5）配置管理主机，管理主机必须与防火墙IP 在同一网段。如果想通过防火墙ip： 来管理防火墙，则可以设置管理主机IP：00。（6）添加一条允许的安全规则，如果在界面上不填写源地址和目的地