防火墙技术实验报告2概要.doc

网络攻防 实验报告 实验名称：防火墙试验二 指导教师： 专业班级： 姓 名： 学 号： ______ 实验地点： _ 实验日期： 实验成绩：____________________ 一、实验目的 防火墙是网络安全的第一道防线，按防火墙的应用部署位置分类，可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验，使学生了解各种不同类型防火墙的特点，掌握个人防火墙的工作原理和规则设置方法，掌握根据业务需求制定防火墙策略的方法。 实验原理 防火墙是网络安全的第一道防线，按防火墙的应用部署位置分类，可以分为边界防火墙、个人防火墙和分布式防火墙三类。 1.防火墙的基本原理 防火墙（firewall）是一种形象的说法，本是中世纪的一种安全防务：在城堡周围挖掘一道深深的壕沟，进入城堡的人都要经过一个吊桥，吊桥的看守检查每一个来往的行人。对于网络，采用了类似的处理方法，它是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关( security gateway), 也就是一个电子吊桥，从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问，以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。 防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击，但是，这种攻击比较容易发现和察觉，危害性也比较小，这一般是用公司内部的规则或者给用户不同的权限来控制。 2. 防火墙的分类 目前市场的防火墙产品主要分类如下： （1）从软、硬件形式上 软件防火墙和硬件防火墙以及芯片级防火墙。 （2）从防火墙技术 “包过滤型”和“应用代理型”两大类。 （3）从防火墙结构 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 （4）按防火墙的应用部署位置 边界防火墙、个人防火墙和混合防火墙三大类。 （5）按防火墙性能 百兆级防火墙和千兆级防火墙两类。 3. 防火墙的基本规则 一切未被允许的就是禁止的(No 规则)。 一切未被禁止的就是允许的(Yes 规则)。 4. 防火墙自身的缺陷和不足 （1）限制有用的网络服务。防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。 （2）无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。 （3）Internet 防火墙无法防范通过防火墙以外的其他途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP 或PPP 联接进入Internet。 （4）对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 （5）Internet 防火墙也不能完全防止传送已感染病毒的软件或文件。 （6）防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到 Internet 主机上，但一旦执行就开始攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。 （7）不能防备新的网络安全问题。防火墙是一种被动式的防护手段，它只能对现在已知的网络威胁起作用。 实验内容及步骤 1. 尝试添加一个IP规则，并修改规则 2. 可以修改数据包的方向，IP地址，数据包协议类型及端口，以及规则的动作 3. 这是使用防火墙拦截了80端口后使用IE访问Internet的反应：弹出警告 4. 创建新的IP规则防范主机被ping，以及防范ICMP攻击，IP规则如下 5. 创建IP规则防御IGMP攻击，禁止网络连接，如下： 实验思考 1.开放的服务遇到攻击怎么办？ 答：暂时关闭相应的服务端口，找出服务受到攻击的原因，譬如该服务是否存在漏洞，防火墙设置是否不合理，然后解决问题，再开放需要使用的服务端口，对于不使用与很少使用的服务，应该关闭，需要使用时再开启。 2.防火墙有没有不能处理的协议？ 答：有，防火墙本来就是针对具体协议进行开发的，不可能兼容所有协议。 实验体会 通过以防火墙为中心的安全方案配置，能将所有安全软