防火墙实验报告
桂 林 理 工 大 學
實 驗 報 告
實驗名稱 防火墻實驗
一、實驗目的:
1、通過實驗深入理解防火墻的功能和工作原理
2、熟悉天網防火墻個人版的配置和使用
二、實驗環境:
實驗室所有機器安裝了Windows 2000操作系統,組成了局域網,并安裝了天網防火墻。
三、實驗內容:
一、簡單闡述實驗原理
防火墻的工作原理 :
防火墻能增強機構內部網絡的安全性。防火墻系統決定了哪些內 部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及 哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數 據通過,而且防火墻本身也必須能夠免于滲透。
兩種防火墻技術的對比 :
(1)包過濾防火墻:將防火墻放置于內外網絡的邊界;價格較低,性 能開銷小,處理速度較快;定義復雜,容易出現因配置不當帶來 問題,允許數據包直接通過,容易造成數據驅動式攻擊的潛在危 險。
(2)應用級網關:內置了專門為了提高安全性而編制的Proxy應用程 序,能夠透徹地理解相關服務的命令,對來往的數據包進行安全 化處理,速度較慢,不太適用于高速網(ATM或千兆位以太網等) 之間的應用。
防火墻體系結構:
(1)屏蔽主機防火墻體系結構:在該結構中,分組過濾路由器或防火 墻與Internet 相連,同時一個堡壘機安裝在內部網絡,通過在分組 過濾路由器或防火墻上過濾規則的設置,使堡壘機成為Internet 上 其它節點所能到達的唯一節點,這確保了內部網絡不受未授權外 部用戶的攻擊。
(2)雙重宿主主機體系結構:圍繞雙重宿主主機構筑。雙重宿主主機 至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網 絡之間的路由器;它能夠從一個網絡到另外一個網絡發送IP數據包。 但是外部網絡與內部網絡不能直接通信,它們之間的通信必須經 過雙重宿主主機的過濾和控制。
(3)被屏蔽子網體系結構:添加額外的安全層到被屏蔽主機體系結 構,即通過添加周邊網絡更進一步的把內部網絡和外部網絡(通 常是Internet)隔離開。被屏蔽子網體系結構的最簡單的形式為, 兩個屏蔽路由器,每一個都連接到周邊網。一個位于周邊網與內 部網絡之間,另一個位于周邊網與外部網絡(通常為Internet)之間。
二、分別寫出任務一的實驗步驟,分析每一個步驟地設置原 因,寫出改變不同IP規則引起的結果并分析原因。
任務一:天網防火墻的配置
步驟: (1)運行天網防火墻設置向導,根據向導進行基本設置。
(2)啟動天網防火墻,運用它攔截一些程序的網絡連接請求,如啟動 Microsoft Baseline Security Analyzer,則天網防火墻會彈出報警 窗口。此時選中“該程序以后都按照這次的操作運行”,允許MBSA 對網絡的訪問。
(3)打開應用程序規則窗口,可設置MBSA的安全規則,如使其只可以 通過TCP協議發送信息,并制定協議只可使用端口21和8080等。 了解應用程序規則設置方法。
設置IE瀏覽器只能通過21到80范圍之間的端口,可使用TCP\UDP協議發送信息或者提供協議服務
(4)使用IP規則配置,可對主機中每一個發送和傳輸的數據包進行控 制;ping局域網內機器,觀察能否收到reply;修改IP規則配置,將 “允許自己用ping命令探測其他機器”改為禁止并保存,再次ping局 域網內同一臺機器,觀察能否收到reply。
可ping通
將 “允許自己用ping命令探測其他機器”改為禁止并保存
再次ping局域網內同一臺機器,觀察能否收到reply。
不能收到reply
(5)將“允許自己用ping命令探測其他機器”改回為允許,但將此規則下 移到“防御ICMP攻擊”規則之后,再次ping 局域網內的同一臺機器, 觀察能否收到reply。
(6)添加一條禁止鄰居同學主機連接本地計算機FTP服務器的安全規 則;鄰居同學發起FTP請求連接,觀察結果。
7)觀察應用程序使用網絡的狀態,有無特殊進程在訪問網絡,若有, 可用“結束進程”按鈕來禁止它們。
(8)察看防火墻日志,了解記錄的格式和含義。
四、心得體會:
總結
- 上一篇: 谈谈创业这点事(4)
- 下一篇: php怎么安装模板_php 模板框架之s