[防火墙的实验.doc

贵州大学实验报告 学院:计算机科学与技术学院 专业：信息安全 班级：信息111 姓名 学号 实验组 实验时间 2014年5月 指导教师 成绩 实验项目名称 实验二：防火墙 实验目的 深入理解NAT和防火墙的工作原理 掌握windows server2003操作系统内置互联网连接防火墙（ICF）和网络地址转换（NAT）的配置技能。 理解linux防火墙的功能和工作原理 掌握linux防火墙的配置和使用 实验要求 学会配置linux和windows的防火墙和他们的原理 实验原理 和实验步骤 Windows操作系统的安全原理 1，账户和密码 账户和密码是登录系统的基础，同时也是众多黑客程序攻击和窃取的对象。因此，系统账户和密码的安全是极其重要的，必须通过配置来实现账户和密码的安全。普通用户常常在安装系统后长期使用系统的默认设置，忽视了windows系统默认设置的不安全性，而这些不安全性常常被攻击者利用，通过各种手段获得合法的账户，进一步破解密码，从而达到非法登录系统的目的。所以，首先需要保障账户和密码的安全。 2文件系统 磁盘数据被攻击者或本地的其他用户破坏和窃取是经常困扰用户的问题，文件系统的安装问题也是非常重要的。Windows系统提供的磁盘格式有FAT,FAT32以及NTFS。其中，FAT,FAT32没有考虑安全到安全性方面的更高需求，例如无法设置用户访问权限等。NTFA文件系统是Windows操作系统的一种安全的文件系统，管理员或者用户可以设置每个文件夹及每个文件的访问权限，从而限制一些用户和用户组的访问，以保障数据安全。 3数据加密软件EFS EFS(encrypting file system，加密问价系统)是windows2000以上的版本操作系统所特有的一个实用功能，NTFS卷上的文件和数据，都可以直接被操作系统加密和保存，在很大程度上提高了数据的安全性。采用加密文件系统（EFS）加密的数据，能防止计算机，磁盘被窃取或者被拆换后数据失窃的隐患。 EFS加密是基于公钥策略的。在实验EFS加密一个文件或者文件夹时，系统首先会生成一个伪随机数组成的FEK(file encrypting key，文件加密秘钥)，然后利用EFK和数据扩展标准X算法创建加密后的文件，并把它存储在磁盘上，同时删除未加密的原始文件。随后系统利用用户公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密文件。在首次使用FEK时，如果用户还没有公钥/私钥对，则会首先生成秘钥，然后加密数据。如果用户登录到了域环境中，秘钥的生成依赖于域控制器，否则他就依赖于本地机器。 EFS和加密机制和操作系统的紧密结合，用户不必为了加密数据而安装额外的软件，从而节省了用户的使用成本。EFS加密系统对用户是透明的。如果用户加密了一些数据，那么用户对这些数据的访问将是完全允许的，并不会受到任何限制。而其他飞授权用户试图访问加密后的数据时，就会收到“拒绝访问”的错误提示。EFS加密的用户验证过程是在登录windows系统进行的，只要登录到windows系统，就可以打开任何一个被授权的加密文件。 4，审核与日志 Windows系统从安全的角度提供了审核与日志功能，让用户便于检测当前的系统运行状况。审核与日志是windows系统中最基本的入侵检测方法，当有攻击者尝试对系统进行某些方式的攻击时，都会被安全审核功能记录下来并写到日志文件中。一些windows系统下的应用程序也有相似的功能。 5安全模板 Windows系统中的安全项目设置繁多，包括账户策略，本地策略，事件日志，受限制的组，系统服务，注册表和文件系统。每个项目都进行设置是相当复杂的，为了提高系统安全性设置的简易性，微软在windows系统中提供了不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置。用户只要简单地根据需要选择启用相应的安全模板，即可自动按照模板配置各项安全属性。对部分的模板的意义做如下的说明： Setup security.inf:全新安装系统的默认安全设置 Basicws,inf:基本的安全级别 Compatws.inf:将系统的NTFS和ACL设置成安全层次较低的NT4.0设置 Securews.inf：提供较高安全性的安全级别 Hisecws.inf：提供高度安全性的安全级别 出来以上系统的默人的安全模板，windows操作系统还支持用户自己构建安全模板。 6,MBSA(Microsoft baseline security analyzer) 要检查当前系统是否符合一定的安全标准，手动逐项检查