实验3-防火墙.doc

贵州大学实验报告学院：计算机科学与技术学院 专业：信息安全 班级：姓名学号实验组实验时间2015.05.27指导教师蒋朝惠成绩实验项目名称实验三 防火墙实验目的（一） Windows防火墙1. 深入理解NAT和防火墙的工作原理2. 掌握windows server2003操作系统内置互联网连接防火墙（ICF）和网络地址转换（NAT） 的配置技能。（二） Linux防火墙1. 理解linux防火墙的功能和工作原理2. 掌握linux防火墙的配置和使用实验要求学会配置linux和windows的防火墙并掌握其配置原理实验原理（一） Windows防火墙互联网连接防火墙简称ICF，用于保护家庭用户和小型企业不受外部威胁 的侵害。ICF旨在为windows 操作系统提供一个基本的入侵保护机制。这意味着ICF可以防止黑客扫描计算机信息，也可以阻止未经计算机请求的外部流量进入计算机。所以，这个简单的防护工具可以有效防止低级黑客入侵系统。ICF为用户提供一种简单和透明的安全体验，用户可以通过一个简单的复选框或者向导在互联网连接上启用ICF，在为高级用户提供灵活的定制设置的同时，也为普通用户提供了一种简单轻松的配置过程。NAT意为“网络地址转换”，它是一个IEIF标准，允许一个整体机构以一个公用IP地址出现在互联网上。它是一种把内部私有地址翻译成合法网络IP地址的技术。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中，通过软件也可以实现这一功能。NAT有3种类型：静态地址NAT(static NAT)，动态NAT（pooled NAT）以及网络端口地址转换NPAT（Port-level NAT）。其中静态地址NAT的设置最简单、最容易实现，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址；动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络；NAPT则是把内部网络映射到外部网络的一个IP地址的不同端口上。需要注意的是：1 如果局域网上的主机为自动获得IP地址，则需要配置DHCP服务器。2注意区分“入站筛选器”和“出站筛选器”。实验仪器（一） Windows防火墙1. 安装windows sever2003操作系统的PC机一台，运行windows2000 server/server2003/xp 操作系统的PC机两台，他们通过交换机相连2. 运行windows server2003操作系统的PC具有两块以太网卡，一块与外网相连，另一块与局 域网相连。另外两台PC机具有一块以太网卡，他们通过双绞线与局域网交换机相连。（二） Linux防火墙一台安装了RedHat Linux9.0操作系统（装有iptables）代理服务器作为防火墙，两台集线器。实验步骤、内容、数据（一） Windows防火墙1. 配置ICF防火墙设置互联网连接防火墙（ICF）其实是对PC中的网卡进行相关设置，ICF防火墙与NAT防火墙不同，它不需要多块网卡支持，ICF通常作为个人防火墙使用，提供对本机的保护。以此，可以说ICF的设置过程是从网卡开始的。单击【设置】按钮，在弹出的【WINDOWS防火墙】对话框的【常规】选项卡，选择【启用】按钮，即可打开WINDOWS防火墙，如下图：在此对话框中可以添加一些默认情况下系统没有的服务，如数据库的3306端口、服务器地址，和计算机名称。2. 配置NAT/基本防火墙网卡设置完成之后，选择【开始】【所有程序】【管理工具】【路由和远程访问】命令，在打开的窗口中选择本机并右击，在弹出的快捷键菜单中选择【配置并启用路由和远程访问】命令。如下图所示：3. 测试防火墙如下图所示，当配置好了防火墙了之后，其他主机就不能去访问这台电脑了，如图所示，运行命令ping 22就会显示无法连通，以此，防火墙已经配置成功啦。（二） Linux防火墙1. 在代理服务器上安装Redhat Linux 9.0操作系统作为防火墙2. 在代理服务器上加载iptables及相关模块为了使用iptables的包过滤规则，需要预先将iptables及其所需的模块加载到内核中，所需的相关模块及其执的命令如下：3. 启动iptables的服务4. 列出当前的iptables规则5. 清除原有的规则清除原有的规则： 清除Filter表中所有规则链中的规则： 清除Filter表中用户自建链中的规则： 清除NAT表中，所有规则链中的规则： 清除NAT表中用户自建链中的规则：6. 设定策略7. 开放HTTP为了开放HTTP,需要允许80端口的TCP数据包通过。8. 实现DNS为实现域名解析，需要开放UDP和DNS的53端口。9. 实现Telnet功能为开放Telnet功能，需要在TCP下打开相应的23号端口。10. 实现FTP功能为开放FTP服务，需允许TCP的数据包在21端口对控制命令的传输。11. 实现Ping为了可以使用Ping明亮测试网络的连通性，需要开放ICMP的数据包。实验总结通过实验了解了防火墙的基本功能以及在windows