信息安全技术之防火实验报告.docVIP

西安财经学院信息学院 《信息安全技术》 实验报告 实验名称包过滤防火墙创建过滤规则实验 实验室 401 实验日期 2011- 5-30 一、实验目的及要求 1、了解防御技术中的防火墙技术与入侵检测技术； 2、理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤； 3、掌握使用Winroute创建简单的防火墙规则。 二、实验环境 硬件平台：PC； 软件平台：Windows xp； 三、实验内容 (一) WinRoute安装 (二）利用WinRoute创建包过滤规则，防止主机被别的计算机使用“Ping”指令探测。 (三) 用WinRoute禁用FTP访问 (四) 用WinRoute禁用HTTP访问 四、实验步骤 (一)WinRoute安装：解压winroute，得到 然后双击安装，经过一系列的过程待计算机重新启动后将安装成功。点击“程序”——“winroute pro”——“winroute administration”，此时将会出现如下图所示，然后点击“ok”即可 (二）利用WinRoute创建包过滤规则，防止主机被别的计算机使用“Ping”指令探测。 当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，在电脑右下角的工具栏点开winroute，并选中Ethernet，得到下面的图，将第二个对话框中的两个复选框选中打钩，点击“确定” 利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。打开安装的winroute ，点击settings—Advanced—Packet Filter，出现如下对话框。选中图中第一个图标，可以看出在包过滤对话框中可以看出目前主机还没有任何的包规则，单击“Add…”，再次出现另一对话框，如下图所示 因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在“Protocol”中点击下拉，选中“ICMP”；在“IMCP Types”中选择“All”；在“Ation”栏中选择“Drop”；“Log Packet”中选“Log into windows”，点击“ok”，这样，一条规则就创建完成了，如下图所示 操作完后点击确定，完成设置。接下来就是用指令“ping”来探测本机，最后得到的如图所示，探测本机失败 虽然用指令探测不到本机的信息，但由于此操作违反了规定，这项动作会被记入安全日记，具体操作如下图 (三）用WinRoute禁用FTP访问 首先FTP服务用TCP协议， FTP占用TCP的21端口，主机的IP地址是“9”，首先创建规则如下表所示。 组序号 动作 源IP 目的IP 源端口 目的端口 协议类型 1 禁止 * 9 * 21 TCP 利用winroute建立访问，如图。 创建完毕后点击“ok”，即可得如下，并点击确定 用命令符搜多ftp9，可得下图 故表明了ftp已经被禁止访问了。同样由于此操作违反了安全规定，在安全日记中任然可以表现出，如下图 (四)用WinRoute禁用HTTP访问 HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“9”，首先创建规则如下表所示。 组序号 动作 源IP 目的IP 源端口 目的端口 协议类型 1 禁止 * 9 * 80 TCP 利用winroute建立访问，如图。 点击“ok” 点击“确定” 打开IE网页浏览，在网址处输入“9”。可得下图 由此表明了http已经被禁止访问。同理，由于非正常的操作，此动作将会被记入安全日记，如下图 五、实验总结 1，根据不同的需要，防火墙一般包含以下三种基本功能： (1)可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户。 (2)防止入侵者接近网络防御设施。 (3)限制内部用户访问特殊站点。由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等相对集中的网络。 2，防火墙的必要性： 防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问。 安全策略是防火墙的一个重要组成部分，仅设立防火墙系统，而没有全面的安全策略，防火墙就形同虚设。安全策略建立了全方位的防御体系，甚至包括告诉用户应有的责任、公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及雇员培训等。 3，防火墙也有一定的缺陷： (1)防火墙不能防范网络内部的攻击。比如：防火墙无法 禁止变节者或内部间谍将敏感数据拷贝到软盘上。 (2)防火墙也不能防范那些伪装成