最新防火墙实验报告.docxVIP

PAGE PAGE # / 16 信息安全实验报告 实验名称： 防火墙实验 教师： 周亚建 班级：学号：班内序号: 28 姓名： 龙宝莲 2011年 3月23日 一、 实验目的 通过实验深入理解防火墙的功能和工作原理，学会使用 boson netsi m模 拟路由器软件、学会 Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比 较包过滤型防火墙和应用代理型防火墙。 二、 实验原理 1、 防火墙的实现技术 包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头（ header），由此 决定整个包的命运。它可能会决定丢弃（ DROP）这个包，可能会接受（ACCEPT ）这个包 （让这个包通过），也可能执行其它更复杂的动作。 应用级网关技术。应用级网关即代理服务器，代理服务器通常运行在两个网 络之间，它为内部网的客户提供 HTTP、FTP等某些特定的In ternet服务。代理 服务器相对于内网的客户来说是一台服务器， 而对于外界的服务器来说，他又相 当于此In ternet服务器的一台客户机。当代理服务器接收到内部网的客户对某 In ternet站点的访问请求后，首先会 检查该请求是否符合事先制定的安全规则， 如果规则允许，代理服务器会将此请求发送给 In ternet站点，从In ternet站点反 馈回的响应信息再由代理服务器转发给内部网客户。 代理服务器将内部网的客户 和In ternet隔离，从In ternet中只能看到该代理服务器而无法获知任何内部客户 的资源。 状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的 IP 地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防 火墙的核心部分建立数据包的连接状态表， 将在内外网间传输的数据包以会话角 度进行监测，利用状态跟踪每一个会话状态，记录有用的信息以帮助识别不同的 会话。 2、 防火墙的体系结构 双重宿主主机体系结构，双重宿主主机体系结构是围绕具有双重宿主主 机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当 与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发 送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功 能。因而，IP数据包从一个网络（例如外部网）并不是直接发送到其它网 络（例如内部的被保护的网络）。防火墙内部的系统能与双重宿主主机通信， 同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接互 相通信。它们之间的IP通信被完全阻止。 屏蔽主机体系结构，屏蔽主机体系结构使用一个单独的路由器提供来自 仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由 数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相 连）。 在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：即堡垒主 机是数据包过滤也允许堡垒主机开放可允许的连接（什么是“可允许”将 由用户的站点的安全策略决定）到外部世界。 屏蔽子网体系结构，屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机 体系结构，即通过添加周边网络更进一步地把内部网络与 In ternet隔离开。在 这种结构下，即使攻破了堡垒主机，也不能直接侵入内部网络（他将仍然必须通 过内部路由器）。 三、 实验环境 装有 WindowsXP的虚拟机，虚拟机上安装好 boson netsim 7.02模 拟软件 四、 实验内容和步骤 首先按照老师给的破解步骤一步一步安装 Boso n.Netsim（注：一定要 先安装好 Microsoft .Net Framework 1.1 和 Adobe Acrobat Reader） 1、 使用Boson Netsim设计如下的网络拓扑 5/24 Ro^er /16 内网 外网 并配置路由器Route啲访问控制列表（ACL ），使得外网不能访问内网，而内网 可以访问外网，并采用ping做测试，请记录详细的配置及测试过程。 （1）首先，利用Boson Network Designer绘制网络实验拓扑图，绘制好的拓扑 图如下图： (2)配置路由器基本参数： 在绘制完实验拓扑图后，将其保存并装入Boson Netsim中开始进行实验配置 通过Boson Netsim中的工具栏按钮eRouters选择Router并按照下面过程进行基 本参数配置： Routere nable Router#c onf t Router(co nfig)#host name R1 R1(c on fig)# int eth 0 R1(config-if)#ip add R1(config-if)#no shut R1(config-if)#int eth 1 R1(