(完整word版)防火墙实验报告

1、通过实验深入理解防火墙的功能和工作原理熟悉天网防火墙个人版的配置和使用:、实验原理防火墙的工作原理防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。两种防火墙技术的对比包过滤防火墙：将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快；定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。应用级网关：内置了专门为了提高安全性而编制的 ProxyProxy 应用程序，能够透彻地理解相关服务

2、的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网（ATMATM 或千兆位以太网等）之间的应用。防火墙体系结构屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 InternetInternet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置， 使堡垒机成为InterneInternet t上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送 IPIP 数据

3、包。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是 InternetInternet）隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为 InternetInternet）之间。四、实验内容和步骤（1 1）简述天网防火墙的工作原理天网防火墙的工作原理：在于监视并过滤网络上流入流出的 IPIP 包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能

4、够区分包和限制包的能力叫包过滤。由于 InternetInternet 与 IntranetIntranet 的连接多数都要使用路由器，所以RouterRouter 成为内外通信的必经端口，RouterRouter 的厂商在 RouterRouter 上加入 IPIP 过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种 FirewallFirewall 应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。路由器逐一审查数据包以判定它是否与

5、其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于 IPIP 顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IPIP 源地址、IPIP 目的地址、封装协议(TCP(TCP、UDPUDP、或 IPTunnel)IPTunnel)、TCP/UDPTCP/UDP 源端口、ICMPICMP 包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。(2)(2)实验过程步骤：(1)(1)运行天网防火墙设置向导，

6、根据向导进行基本设置。天网防火通设量同号安全级别设置.蓄们薄心谚计了几个安全级别的规则，您可以根据您的实际使用tfi况来调整应用程序初次访问两络时郡将被询问,四设苴的相应规则运作.计篇内 潴 的 机 ) 但禁供服务的用户.有按域%中所则扃享网.序许共域低程允的，认服、开服被的件序的胃文程供晟间的，统客件1彼访授电许 音 胡 禁 机 允 语时的ilil络作桃理被网运内管者何则俐则或访规域觌戏户次黑秘洛用初相.珀培网序的用网上务，通有按fcifci所则rTPrTP享服于.序HTHT共用中程tflwtflw端适的认可网务被取消我要使用的安全既别是r(ftG中r上一步(2)(2)启动天网防火墙，运用它

7、拦截一些程序的网络连接请求，如启动 MicrosoftBaselineSecurityAnalyzer,MicrosoftBaselineSecurityAnalyzer,则天网防火墙会弹出报警窗口。此时选中该程序以后都按照这次的操作运行”，允许 MBSAMBSA 对网络的访问攻天网防火墙耍,告信息是否允班天网防火堵个人版访问网堆？用铭信且麋作:连接弊协议：TCP地址:594210.51端口:Nttp80H 件信息名称：天网防火端个人版市：3*0创建：2006-9-24文件路径。：PmqainFiksSkyNBtFirgallAPFy,ew程伟以后都按腰这次的操作麻)aiJiKBri|iBia

8、Hifdpiilnf*lidtatai|a(3)(3)打开应用程序规则窗口，可设置 MBSAMBSA 的安全规则，如使其只可以通过 TCPTCP 协议发送信息，并制定协议只可使用端口 2121 和 80808080 等。了解应用程序规则设置方法。应用程序规则高级设置当天阿防火墙个人版对网籍进行操作时，要符合下面规则：I跟应用程序可以】诬延奖顼麽议葛诺修屋V提供TCP协议职务V51过师F物谟役送信息V提供皿F协设服务不将合上面条件时T T 旺协议可访问毓口,任何和端口范围L 蝙口列表苗询问L 禁止操作酶定取消(4)(4)使用 IPIP 规则配置， 可对主机中每一个发送和传输的数据包进行控制；pi

9、ngping 局域网内机器，观察能否收到 reply;reply;修改 IPIP 规则配置，将允许白己用 pingping 命令探测其他机器”改为禁止并保存，再次 pingping 局域网内同一台机器，观察能否收到 replyreply。改变不同 IPIP 规则引起的结果：规则是一系列的比较条件和一个对数据包的动作，即根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理设置规则就可以把有害的数据包挡在机器之外。回修改IP规则散据包协议类故：ICBF特征翘|5 代码-类曷林码为 255 时，不作为条件一当潞足上面条件时道行一3 同时还厂记录匚嗖自定义 I

10、F 规则乡I 协议 I 方向 I 对方|动作|名称3OO0M.8Q(2)OO允许已经授权程序打开的端口TCPi*i禁止所有人连接TCPL*lUDP 数据包监视dll允许 DMS（域名解译）UDP1*1允许己经授权程序打开的端口VDP上允许局域网内的机器取你的机麹的名祢 UDFli防止互联网上的机器探迎机器名称-1UDPLtl允许局域网内的机器取你的机器的名称 UDPL*l防止互联网上的机器探测机器名称-2UDP&禁止所有人链接 UBP 端口UDPA任任网网何何域何域任任局任局何何任任祺嚣熟悉 TCP/IP 协我条规则一定要是 UDP 协议规则的第一条.Requesttimedout-R

11、equesttimedout-Pin-gfing192.fl.1withhte-cofdetA=(5)(5)将允许白己用 pingping 命令探测其他机器”改回为允许，但将此规则下移到防御 ICMPICMP 攻击”规则之后，再次 pingping 局域网内的同一台机器，观察能否收到 replyreply自定义理规则略是)可L 土 11 动作 1 名称协议 I 方向 I 对方 IFA.-允许监由殆返回.“元漆到达小的旭上任何防止别人用 pm 就令探训icnr任何防御 ICMF 攻击ICMP任何允许目己用 P&涂令瑚 1 虞他机器TCUT任何防御:TCNJ攻击IGWP任何TCP 数据包监

12、视允许局域同的机器使用我的共享资浙-1TCFL1局域网允许局域网的机器使用我的共享资JH-2TCP土局城网禁止互联网上的机器便用我的共享盅源 KP 上任何通过这条规则你可口监视机器与外部之间的所有瓦 F 连播请求*注意*这只是一个曲视规则， 开启后金产生大量的日志-该规则是给熟悉 TW/IF 协议网谿的人1-*-IJ.J-JL.一-rf-FT-31SE、-*-T-_L1_T.-*-r-U-1FTRiIJi_U_B.r.*i _ii_nFTfal-J-Mta-Requesttimedout-timed!out.Hequesttimedout_Requesttimedout.Paekets:S&a

13、mp;nt4,Receiued国，Lost4iloss)(6)(6)添加一条禁止邻居同学主机连接本地计算机 FTPFTP 服务器的安全规则；邻居同学发起 FTPFTP 请求连接，观察结果。Ryp1jfp&nXeplyft*OEnHeulLvfromReplyranReplndl=dCunimLlIUIIEPmtnLlQC4如IdEKWpurr?i;|iiAildirci;,StAllt冲r-pnkri.picrFOtlNDIRT-HKFCR：nicvasoftdiFOUNDf-JtTBbF(：fi:MLISTEMIHG1CI-tH.1-UH:httpHH9：_LAnICI-HMINOf

14、RT EtEFCB：找旧此京LLHK：httplinelineWAITTCPPOUHDtRT-lilLFCti：技N312J,1.t?f.:httinrltHAITICPPaiMDOT-HKFCB：1326:httvlint:lint:伸IT1CPPOUKDtHT-LLEFCB：2227.11.4(f：httptintHEIGFFOUHMRTELEFCB：2234L23.12S.UE.17VEEI41BLISHEDIGPFOUNIFRTEEFCB5ma。FOJN&EJiT-ElEFCB；0LISTEN!NGICFFOUMUFRT-ELEFCB：nctblcaeianJOWTOEWT-ElEFCB:9LTKIENINGUDPPOIHJERT-E1EFCB：Piieroisioft-dis*：LIDFFOUNTERT-E1EFCB：1074=UDPFOIMDERT-EtEFCB:1133-wUDPFOUIOEHT-E1EFCB：1135*1*UDPFOtlNDBRI-EiEFCB;1144;*UDPFOUNAERT-EiOCB!M京i*EUDPFOUMJDHTEtpuCH：土吗HM；V4LJ