防火墙实验报告.doc

一、实验目的 通过实验深入理解防火墙的功能和工作原理 熟悉天网防火墙个人版的配置和使用 二、实验原理 防火墙的工作原理 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。 两种防火墙技术的对比 包过滤防火墙：将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快；定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。 应用级网关：内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用 。 防火墙体系结构 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。 双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。 被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。 四、实验内容和步骤 （1）简述天网防火墙的工作原理 天网防火墙的工作原理： 在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。 　　路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。 运行天网防火墙设置向导，根据向导进行基本设置。 （2）启动天网防火墙，运用它拦截一些程序的网络连接请求，如启动Microsoft Baseline Security Analyzer，则天网防火墙会弹出报警窗口。此时选中“该程序以后都按照这次的操作运行”，允许MBSA对网络的访问。 （3）打开应用程序规则窗口，可设置MBSA的安全规则，如使其只可以通过TCP协议发送信息，并制定协议只可使用端口21和8080等。了解应用程序规则设置方法。 （4）使用IP规则配置，可对主机中每一个发送和传输的数据包进行控制；ping局域网内机器，观察能否收到reply；修改IP规则配置，将“允许自己用ping命令探测其他机器”改为禁止并保存，再次ping局域网内同一台机器，观察能否收到reply。 改变不同IP规则引起的结果： 规则是一系列的比较条件和一个对数据包的动作，即根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理设置规则就可以把有害的数据包挡在机器之外。“允许自己用ping命令探测其他机器”改回为允许，但将此规则下移到“防御ICMP攻击”规则之后，再次ping 局域网内的同一台机器，观察能否收到reply。 （6）添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规则；邻居同学发起FTP请求连接，观察结果。 （7）观察应用程序使用网络的状态，有无特殊进程在访问网络，若有，可用“结束进程”按钮来禁