实验四防火墙实验.docVIP

实验四防火墙实验

1.实验目的

通过实验深入理解防火墙的功能和工作原理；

以“天网〞防火墙为例熟悉配置个人防火墙；

以“天融信〞防火墙为例熟悉配置企业级防火墙〔选作〕。

2.实验仪器

针对“天网〞防火墙

在Windows2000\2003\XP操作系统下，安装“天网〞防火墙的计算机；

针对“天融信〞防火墙〔选作〕

①一台web效劳器；

②将网络划分为外网，内网和DMZ网络，要求：内网可以访问互联网效劳器对外网做映射，外网禁止访问内网；

③接口分配为：ETH0接INTERNET，ETH1接内网，ETH2接效劳器区。

3.实验原理

防火墙的实现技术

包过滤技术

包过滤是防火墙的最根本过滤技术，它对内外网之间传输的数据包按照某些特征

事先设置一系列的平安规那么进行过滤或筛选。包过滤防火墙检查每一条规那么直至发现数据包中的信息与某些规那么能符合，那么允许或拒绝这个数据包穿过防火墙进行传输。如果没有一条规那么能符合，那么防火墙使用默认规那么，一般情况下，要求丢包。

这些规那么根据数据包中的信息进行设置，包括：

●IP源地址；

●IP目标地址；

●协议类型〔TCP包、UDP包和ICMP包〕；

●TCP或UDP包的目的端口、源端口；

●ICMP消息类型；

●TCP选项；

●TCP包的序列号、IP校验和等；

●数据包流向：in或out；

●数据包流经的网络接口；

●数据包协议类型：TCP、UDP、ICMP、IGMP等；

●其他协议选项：ICMPECHO、ICMPECHOREPLY等；

●数据包流向：in或out。

因为包过滤只需对每个数据包与相应的平安规那么进行比拟，实现较为简单，速度快、费用低，并且对用户透明，因而得到了广泛的应用。这种技术实现效率高，但配置复杂，易引起很多问题，对更高层协议信息无理解能力，而且不能彻底防止地址欺骗。包过滤技术防火墙原理如图7-1所示。

图7-1包过滤防火墙原理示意图

地址翻译NAT技术

NAT即网络地址翻译技术，它能够将单位内网使用的内部IP地址翻译成合法的公

网IP，使内网使用内部IP的计算机无须变动，又能够与外网连接。

对于局域网的主机使用.0、、三个内部IP网段时，当内网主机要与外部网络进行通信，就要在网关处，由NAT将内部IP地址翻译为公网IP地址，从而在外部公网上正常使用。当外部公网响应的数据包返回给NAT后，NAT再将其翻译为内部的IP地址，发给内网的主机，从而实现内网主机与外网的正常通信，解决了IPv4地址缺乏的问题。同时，由于外网主机只能看到数据包来自NAT翻译后的公网IP，而看不到内网主机的内部IP，所以NAT可保护及隐藏内网计算机。

NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。静态NAT是将内部网络中的每个主机永久的映射成外部网络中的某个合法的地址。而动态地址NAT那么是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT那么是把内部地址映射到外部网络的一个IP地址的不同端口上。

应用级网关

应用级网关即代理效劳器，代理效劳器通常运行在两个网络之间，它为内部网的

客户提供HTTP、FTP等某些特定的因特网效劳。代理效劳器相对于内部网的客户来说是一台效劳器，对于外部网的效劳器来说，它又相当于客户机。当代理效劳器接收到内部网的客户对某些因特网站点的访问请求后，首先会检查该请求是否符合事先制定的平安规那么，如果允许，代理效劳器会将此请求发送给因特网站点，从因特网站点反应回的响应信息再由代理效劳器转发给内部网的客户。代理效劳器会将内部网的客户和因特网隔离。

对于内外网转发的数据包，代理效劳器在应用层对这些数据进行平安过滤，而包过滤技术与NAT技术主要在网络层和传输层进行过滤。由于代理效劳器在应用层对不同的应用效劳进行过滤，所以可以对常用的高层协议做更细的控制。

由于平安级网关不允许用户直接访问网络，因而使效率降低，而且平安级网关需要对每一个特定的因特网效劳安装相应的代理效劳软件，内部网的客户要安装此软件的客户端软件，此外，并非所有的因特网应用效劳都可以使用代理效劳器。应用级网关技术防火墙原理如图7-2所示。

图7-2应用级网关防火墙原理示意图

状态检测技术

状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP地址等几个孤立的信

息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心局部建立数据的连接状态表，将在内外网间传输的数据包以会话角度进行检测，利用状态表跟踪每一个会话状态。

例如，某个内网主机访问外网的连接请求，防火墙会在连接状态表中加以标注，当此连接请求的外网响应数据包返回时，防火墙会将数据包的各层信息和连接状态表中记录的从内网到外网每天信息相匹配，如果从外网进入内网的这个数据包和连接状态表中的某