防火墙 实验报告

上传人:努**** 文档编号:26718925 上传时间:2021-08-12 格式:DOC 页数:13 大小:1.18MB
收藏 版权申诉 举报 下载
防火墙 实验报告_第1页
第1页 / 共13页
防火墙 实验报告_第2页
第2页 / 共13页
防火墙 实验报告_第3页
第3页 / 共13页
资源描述:

《防火墙 实验报告》由会员分享,可在线阅读,更多相关《防火墙 实验报告(13页珍藏版)》请在装配图网上搜索。

1、一、实验目的l 通过实验深入理解防火墙的功能和工作原理l 熟悉天网防火墙个人版的配置和使用二、实验原理l 防火墙的工作原理l 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。l 两种防火墙技术的对比l 包过滤防火墙:将防火墙放置于内外网络的边界;价格较低,性能开销小,处理速度较快;定义复杂,容易出现因配置不当带来问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险。l 应用级网关:内置了专门为了提高安全性而编制的Proxy应用程

2、序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理,速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用 。l 防火墙体系结构l 屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与 Internet 相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为 Internet 上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。 l 双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。但

3、是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。 l 被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。 四、实验内容和步骤(1)简述天网防火墙的工作原理天网防火墙的工作原理:在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Inter

4、net 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过滤功能,过滤路由器也可以称作包过滤路由器或筛选路由器。防火墙常常就是这样一个具备包过滤功能的简单路由器,这种Firewall应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。 路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分:数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础,不理会包内的正文信息内容。包头信息包括:IP 源地

5、址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。 (2)实验过程步骤:(1) 运行天网防火墙设置向导,根据向导进行基本设置。(2)启动天网防火墙,运用它拦截一些程序的网络连接请求,如启动Microsoft Baseline Security Analyzer,则天网防火墙会弹出报警窗口。此时选中“该程序以后都按照这次的操作运行”,允许

6、MBSA对网络的访问。 (3)打开应用程序规则窗口,可设置MBSA的安全规则,如使其只可以通过TCP协议发送信息,并制定协议只可使用端口21和8080等。了解应用程序规则设置方法。(4)使用IP规则配置,可对主机中每一个发送和传输的数据包进行控制;ping局域网内机器,观察能否收到reply;修改IP规则配置,将“允许自己用ping命令探测其他机器”改为禁止并保存,再次ping局域网内同一台机器,观察能否收到reply。改变不同IP规则引起的结果:规则是一系列的比较条件和一个对数据包的动作,即根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理设置规则

7、就可以把有害的数据包挡在机器之外。(5)将“允许自己用ping命令探测其他机器”改回为允许,但将此规则下移到“防御ICMP攻击”规则之后,再次ping 局域网内的同一台机器,观察能否收到reply。(6)添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规则;邻居同学发起FTP请求连接,观察结果。(7)观察应用程序使用网络的状态,有无特殊进程在访问网络,若有,可用“结束进程”按钮来禁止它们。(8)察看防火墙日志,了解记录的格式和含义。日志的格式和含义:天网防火墙将会把所有不符合规则的数据包拦截并且记录下来,如图 15 所示。每条记 录从左到右分别是发送接受时间、发送 IP 地址、数据传输封包类型、本机通信端口、标 志位和防火墙的操作。五、实验总结通过该实验了解了个人防火墙的工作原理和规则设置方法,了解到天火防火墙的优点及缺点:1、灵活的安全级别设置2、实用的应用程序规则设置3、详细的访问记录4、严密的应用程序网络状态监控功能5、多样的缺省IP规则6、可以自定义IP规则7、具有修补系统漏洞功能。

展开阅读全文
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!