信安实验报告3防火墙实验

1、实验三：防火墙实验吴淑珍信息安全一班2实验目的：熟悉天网防火墙个人版的配置 内容： 一、简单阐述实验原理 防火墙的工作原理 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。 两种防火墙技术的对比 包过滤防火墙：将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快； 定义复杂，容易出现因配置不当带来问题，允许数据包直接通过， 容易造成数据驱动式攻击的潜在危险。应用级网关：内置了专门为了提高安全性而编制的Proxy应用程序，能

2、够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用。防火墙体系结构 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的 攻击。 双重宿主主机体系结构： 围绕双重宿主主机构筑。 双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。但是外部网络与内部网络

3、不能直接通信，它们之间的通信必须经过双重宿主 主机的过滤和控制。 被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。二、分别写出任务一的实验步骤，分析每一个步骤地设置原因，写出改变不同IP规则引起的结果并分析原因。任务一：天网防火墙的配置步骤：（1）运行天网防火墙设置向导，根据向导进行基本设置。（2）启动天网防火墙，运用它拦截一些程序的网络连接请

4、求，如启动Microsoft BaselineSecurity Analyzer,则天网防火墙会弹出报警窗口。此时选中该程序以后都按照这次的操作运行”，允许MBSA对网络的访问。允许fileZilla Server访问（FTP服务器站点）0天网防火堵警告信息是否允许FileZilla Server访问 网络？网络信息操作；成为网给服务程序协议：TCF端口：FTP Open Server21 名群;M名群;M版本: 创建:FileZilla Server 0, % 41, 0 2LI15-6-5 文件路径JkL ciguniEiTt s andGet t inw s kAdmini wt 17

5、at r 1臬面修该程序以后都按照这次的操作运行允许禁止允许GHWS修 天网防火墙警告信息Generic Host Process for Win32 Survi ces程序己被修改,是 否允许 Generic Host Process网络信息操作：成为网络服务程序 协议:皿F 端口 ： 123与天网防火堵警告信息是否允许IrrternHl:信息服务 访 问网络？网罂信息麋作：成为网招服等程序的谀：TCF端口 ： 1026文件信息文件信息文件信息名称：Generic Host Process forWin32 吕rviu日3版本：5.1. 2600. E512fz名称:版本:创建:Inrt e

6、rnet信息服务 5.1.Z600. 5512 2015-5-20文文件路径文件置径匚：STsvstem32Yrut enet inci tk e,该程序以后都按照这次的榛作运隹疗短程序以后都按照这次的爆作断允许禁止允许禁止湖南大学信息安全专业信息安全原理课程实验湖南大学信息安全专业信息安全原理课程实验实验三：防火墙实验称本疑名版包允许称本疑名版包允许天网防火堵警告信息LSA Shell (Export Versi口n)程 序已祓修改.是否允许LSA Shell (Export Version)访问网络？网络信息操作：成为网络服务程序 舟设：皿F 端口 ： 900文件信息 ：LSA Shell

7、 (Export Version) s 5. 1.2S00. 5512；2008TLi4 文件路轻C: XW工WP0%*17rstem 32tls东方宵.白算。泳程序以后都按解达次的植K宣行； HmiiiMiimiiMiimiiiHiiiMiiimimiiBiiiiiaiiiMiiiBiiiMiiiBiiiiiaiiimiiBiiiMiiiBiiiiair禁1遇天网防火墙警告信息Generic Host Process forWin32 Services程序已被修改.是 否允许 Generic Host Process网招信息 镰作：成为网络服务程序 ：ULF 端口 ： 100文件信息名称士

8、Generic Host Precess for Win32 Services版本：5.1.2600. 5512文件路径匚二 l-nn)C)WTst KmBZtEchcist.r将程序以后都按赋这次的攥作退罚允许 /禁止禁止禁止切天网防火墙警告信息是否允许 Application Layer Gateway Service 访问网络？网络信息操作：成为网络服务程序 协谀：TCF端口 ： 102B文件信息 名称； Application Layer GatcvaySer寸ice版本！ 5. 1,2600,5512文件路径C: IWINDOWSg了卅 em32S,却 ex亨-该程序以端眼辘茨的曝柞

9、送存允许 天网防火墙警告信息Generic Host Process for Win32 SErvicE程序已被修改.是 否允许 Generic Host Process同箝信息 操作:成为网络服务程序 协议：TCF 端口 ： 3389文件信息名称：Generic Host Proctss for Win32 Services版本：5.1.2600. 5512文件路程一读s序以后都援麒次的噪作送存允许禁止,天网防火墙个人版安全皴别：中:安全皴别：中:低 中 总 扩展自定义基本设置I管理权限设置j在线升皴设置I日志管理I入侵检测设置I 启韵规则设定审开机后自动启动防火墙重置向导|天网却08，局域

10、网地址 |1阻16I12I你刷新清空其他设置V报警声音C VFMGEA lSkyaetFirwi 创竟 重置F自动弹出新资讯提示(3)打开应用程序规则窗口，可设置 MBSA的安全规则，如使其只可以通过 TCP协议发 送信息，并制定协议只可使用端口21和8080等。了解应用程序规则设置方法。设置IE浏览器只能通过 21到80范围之间的端口，可使用 TCPUDP协议发送信息或者提 供协议服务安全旗利二中但 rii o y 金Fb合应用程序规则高级设置当Internet Explorer对网路进行操作时要符合下面规则:该应用程序可以q通过TCF协议发送信息17提供TCP协议服务逋过UDF协议发送信息

11、Q提供UDF协谡服务不符合上面条件时金询问禁止操作瑜定取消II1 Q_ _一一 一一_ _ 位：cm工cigrani t ilEslUutlciQk E%口re-Tih:ijm. exe3删除(4)使用IP规则配置，可对主机中每一个发送和传输的数据包进行控制；ping局域网内机器，观察能否收到reply;修改IP规则配置，将 允许自己用ping命令探测其他机器”改为禁止并保存，再次ping局域网内同一台机器，观察能否收到reply。Pinging 19S.168.128.128 with 32 bytes of data：Be plyFi*on28：bytes=32tine, Approxim

12、ate round trip tinec in milli-seconds：M in imum = 0(ns Haximun = 7ui5, Auer-asie = 2ms可ping通湖南大学信息安全专业湖南大学信息安全专业实验三：防火墙实验湖南大学信息安全专业湖南大学信息安全专业实验三：防火墙实验信息安全原理课程实验一天网防火喑个人版留修金侍？安全皴别：自定义 G中 总 犷庭自定又目定义*视则Q eS x Ei仆4帼 .|动作|名称|协议防向|对方工F0000。0司向回口000口口0同允许自己用pin战令探测苴他机器ICMP*允许路由器返回F超时的工CMF回座f ICHF防止别人用PE揄令探

13、测ICMF防御工CMF攻击ICMF防御工硒攻击I(5MF地许路由器返回”无法到法 ”的工CMFE ICMP允许局域网的机盟使用我的共享资源7 TCF允许局域网的机器使用我的共享资源土 TCF网网 何何何 何何何 域域 任任任 任任任 局局由于P工HG命含去探浊 T回应工CMF包，该现 探泅其他机器了.痣髓解鬣猛嘿震骷黯回 回 修改IP规则回 回 修改IP规则说明名称 允许自己用pin标令探测其他机器说明霜舞铲爵爨配耦翳鹘嬲戢A许这种工CMP包返回到你的机器，这样就可以用pin揄 v包方向：石接收对方IP地址任何地址3数据包协议类型：KMP士湖南大学信息安全专业信息安全原理课程实验湖南大学信息安

14、全专业信息安全原理课程实验实验三：防火墙实验回修改IP规则数据包协议类型：ICNIP当满足上面条件时一拦截SjIV一拦截SjIVQ健续下一规则通行同时还记录西同 I = 瓯产确定取消C ： Documents and Sc tt in gs dm in istrator ping 19268 .128 .129Pinging 192.168.128 *129 with 32 btes of data：Request timed out.Request tined out.Bequest timed out.Request tined out.Pinff stat istics ” 192 .1

15、68 .120 _129 二Packets = Sent = 4k Receiued 9r Lost = 4 ping 192 1. 168 .128 .128Pinsring 28 with 32 hsrtes of data：Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 28：Packets： Sent = 4, Receiued = Lost = 4 C190Z Loss,(5)将“允许自己用ping(5)将“允许自己用ping命令探测其他机器”改回为

16、允许，但将此规则下移到“防御ICMP攻击”规则之后，再次 ping局域网内的同一台机器，观察能否收到 reply。自定义口规则|动作|名称I攻击”规则之后，再次 ping局域网内的同一台机器，观察能否收到 reply。自定义口规则|动作|名称I协议|方向|对方工F O O 03a O 必回回13面口口回|051 .“允忤路由器返回e无法到达”的工CMFE ICMF防止别人用pi n酶令探测ICMF防御工CMP攻击ICMP允许自己用P】n通令探测其他机器ICMF防御工GHF攻击工GMP允许局域网的机盟使用我的共享资源-1 TCP 允许局域网的机器使用我的共享资涯WTCF 禁止互联网上的机器使用我

17、的共享资醺TCF占自由山山山西LbLtiliLti网网 何 何何何何 域域何 任 任任任任 局局任v-C： MJocuments and Sett ings Mldnin istratorping 192168 .128,128Pinging 192.16S.128.128 with 32 btes of data：Reijuest tined out_Request timed out Request timed out. Request tined out.Ping statistics for 28： Packets： Sent - 4r Aeceiued - 0, Lost - 4 C

18、100Z loss.FTP服务器的安全规则；邻居同学发起(6)添加一条禁止邻居同学主机连接本地计算机 FTPFTP服务器的安全规则；邻居同学发起国修改IP规则规则名称禁止邻居同学主机连接本地计算机FT丽爵器I说明允许扃丽的机器便用我的共享资源数据包方向：区接收对方IP地址以局域网的鹤地址70数据包协议类型：TCP本地端口4已授权程序开放的端口从| 到|端口为0时，不作为案件对方WR口TCP标志位q Fill r ACK 17 SYN r PSH p EST 厂 UKG从2C到场当满足上面条件时否拦截同时还一记录浦定取消本可登陆：FTP 根位于 192, 168. 128, 129若要在Tind

19、ow=费源管理器中查看此FTP站点,，请单击*典面.然后单击在find。”责激言理器中打开FTP* 0I个文件，2个文件夹，共计3项（76 W192. 15S.126.12E名称-大小上级目录bb 究IF=192, 163, 123. 12S P0RT=21COS: 47:30R隹接失畋（没有通往主机的路由）09:47:30同去试重拓连接#10次后延迟1秒03:47:40闻 正在尝i罐新连接.08:47:40U 正在连接到 28 -IF=192, 163 126. 126 FORT=1。欠尝试 # 1）03:47:40R连接失畋6殳有通往主机的路由）；00：47:40R1学试重新连接#120次

20、后延迟2杪3/g% 附5壬总工 Lr MkU+4,注，C-xDocuments and Settln9sXAdministratorftp 192_168_12812S ftp： connect :未知错误号 f tp（7）观察应用程序使用网络的状态，有无特殊进程在访问网络，若有，可用“结束进程” 按钮来禁止它们。安全级别：自定义 Q 低 中 将 扩展自定义应用程序网络状态下CF协议,- X 口SYSTEMFileZilla Server工nternE信息服务Generic Host Process for Wiit32 Servlets Ajplication Layer Gateway ServiceGeneric Host Process for Win32 Services应用程序网络状态卜匚F协谡 ,俄 中 高r展自定义确定取消