防火墻實驗報告_第1頁
防火墻實驗報告_第2頁
防火墻實驗報告_第3頁
防火墻實驗報告_第4頁
防火墻實驗報告_第5頁
已閱讀5頁,還剩11頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、南京信息工程大學實驗(實習)報告實驗(實習)名稱防火墻 實驗(實習)日期 2012.12.6 指導(dǎo)教師 朱節(jié)中專業(yè) 10軟件工程年級 大三 班次 2 姓名 蔡葉文 學號20102344042 得分 _【實驗名稱】防火墻實驗【實驗?zāi)康摹空莆辗阑饓Φ幕九渲?;掌握防火墻安全策略的配置?!颈尘懊枋觥?用接入廣域網(wǎng)技術(shù)(NAT),將私有地址轉(zhuǎn)化為合法IP地址。解決IP地址不足的問題,有效避免來自外部網(wǎng)絡(luò)的攻擊,隱藏并保護內(nèi)部網(wǎng)絡(luò)的計算機。2. 網(wǎng)絡(luò)地址端口轉(zhuǎn)換 NAPT( Network Address Port Tran slation )是人們比較常用的一種 NAT方式。它可以將中小型的網(wǎng)絡(luò)隱藏在

2、一個合法的IP地址后面,將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。3. 地址綁定:為了防止內(nèi)部人員進行非法IP盜用(例如盜用權(quán)限更高人員的IP地址,以獲得權(quán)限外的信息),可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失敗,而且由于網(wǎng)卡MAC地址的唯一確定性,可以根據(jù)MAC地址查出使用該 MAC地址的網(wǎng)卡,進而查出非法盜用者。報文中的源MAC地址與IP地址對如果無法與防火墻中設(shè)置的MAC地址與IP地址對匹配,將無法通過防火墻。4. 抗攻擊:銳捷防火墻能抵抗以下的惡意攻擊:SYN Floo

3、d攻擊;ICMP Flood攻擊;Ping of Death 攻擊;UDP Flood 攻擊;PING SWEEP 攻擊;TCP 端口掃描;UDP 端口掃描; 松散源路由攻擊;嚴格源路由攻擊;WinNuke攻擊;smuef攻擊;無標記攻擊;圣誕樹攻擊;TSYN&FIN 攻擊;無確認 FIN攻擊;IP安全選項攻擊;IP記錄路由攻擊;IP流攻擊;IP時間戳攻擊;Land攻擊;tear drop攻擊?!拘〗M分工】組長:IP: 00管理員:IP: 策略官理員+日志審計員:IP: 日志審計員:IP: 策略管理員:

4、IP: 配置管理員【實驗設(shè)備】PC五臺防火墻1臺(RG-Wall60每實驗臺一組)跳線一條【實驗拓撲】【實驗結(jié)果】1.管理員主機對管理員主機的IP進行更改,改為 00圖一 管理員主機IP配置用超級中端重啟防火墻(目的是清空防火墻以前的配置)文件Q 編tfi密 SEGO 呼則©茜送幫勛兇firewall login: adminPassword:RG-WOLL 60 version:3Build time: Mon Nov 20 18:28:4 CST 2006firewall>syscfg resetPlease reb

5、ooi ysteinfirewall>rebootThe system is going doun NOW ? ?Sending SIGTERH to all processes.Chi Id (261) terminated.Sending SIGKILL to all processes.Please stand by whi1a reboo!ing the system.Restarting system.Ethernet ethl: HOC address 00:00:89:38:50:02IP: 10.9,9,1/255.255,255,0. Gateway: 10,9.9.1

6、Default server: 10.9.9 105 DNS seruer IP: 0.00.0EM-434 Ver.fiB0 2006-02-06 (For Ver.AB)己連按1 I3:O1自勵檢測 9600 6-K-lBIW圖二超級終端管理員為局域網(wǎng)內(nèi)的其他主機添加管理員賬號,添加后如下圖3B彌&宜理員+日志審計員37日志審計崗36輩咯管理員39目己5E昔理商圖三管理員賬號添加管理主機,添加完后如下圖:圖四管理主機管理主機對防火墻的 后如下圖:LAN 口進行相關(guān)配置,內(nèi)網(wǎng)網(wǎng)關(guān)的借口IP為52,添加苗5配譽工:管難主機璽中管理序號営總主機wIT2J&.S

7、 IITZdSi.S 2IT2.1B S 339舅3T圖五添加LAN 口2. 配置NAPT1)定義內(nèi)網(wǎng)對象,打開 內(nèi)網(wǎng)定義一一地址,然后是地址列表,點擊添加,添加完成后,點擊確定,如下圖:圖六配置內(nèi)網(wǎng)對象2)防火墻NET規(guī)則配置,進入 安全策略一一安全規(guī)則,點擊NAT規(guī)則,做如下圖配置,完成后確定:圖七 NET規(guī)則配置3)完成以上所有配置后,有組內(nèi)其他PC機對配置進行驗證,隨便選中內(nèi)網(wǎng)的一臺 PC機ping外網(wǎng)服務(wù)器00,結(jié)果是可以ping通的,如下圖:圖八內(nèi)網(wǎng)Ping外網(wǎng)外網(wǎng)PC機Ping內(nèi)網(wǎng)的一臺PC機,結(jié)果是ping不通的,結(jié)果如下圖:圖九外網(wǎng)ping內(nèi)網(wǎng)原因:有

8、圖六可知,我們設(shè)置了內(nèi)網(wǎng)對象,IP的網(wǎng)段為0只有處于這個網(wǎng)段的PC機才能夠通過防火墻連通外網(wǎng)PC機。而外網(wǎng)PC機因為不是處于這個網(wǎng)段中,所以會被防火墻過濾掉,是ping不同內(nèi)網(wǎng)PC機的。3.防火墻地址綁定功能設(shè)置1)進入 安全策略一一地址綁定,配置完成后,點擊確定 如下圖:妥全寮昭理址梆足料口啟用工打聲疋st認離略張工世許 禁止圖一 IP/MAC綁定(唯一性檢查)3)實驗結(jié)果驗證綁定成功后,對實驗結(jié)果進行驗證。首先,將原IP地址為的主機IP設(shè)置為1,作ping測試是否能連通。如下圖:Internet協(xié)該(TCP/IP)屋性遼|區(qū)圖十二

9、原內(nèi)網(wǎng) PC機IP圖十三改后然后用這臺內(nèi)網(wǎng) PC機ping外網(wǎng)主機,是ping不同的,結(jié)果如下圖:命令提示符PingingBequest Request Bequest Rgquestt ined t ined t ined t inedC:Docunents and tingsAdninistrator>ping 192-168.10-200192 «168 10,20(1 with 32 btes of data :C:Docunents and SettingsNAduiinistrator>Ping statistics for 00:Pa

10、ckets = Sent: 4鼻 Recglued 0V Lost 4 C10Z 丄曲占靜111 in inurh = Ims, naximum = Ims, Auepageout. out« O Lit out -圖十四不通其次,將內(nèi)網(wǎng)的另一臺主機的IP地址設(shè)為,做ping測試是否連通。如下圖:圖十五該主機原IP圖十六改為被綁定的主機IP用該內(nèi)網(wǎng)主機ping外網(wǎng)主機,結(jié)果是 ping不同的,如下圖:圖十七 ping不通0 抗TCP無標記攻擊回折圣誕樹攻擊回 抗SYN ». FIN位設(shè)置攻擊0抗無確認MN攻擊抗廿妥全選項收擊抗H記錄路由取擊抗:CF硫攻擊

11、抗店吋間戳攻擊抗Lfcftd攻擊抗攻擊原因:因為在上面用防火墻安全策略的地址綁定,在我們的這個實驗中,我們選定了IP為的一臺內(nèi)網(wǎng)PC機做了 IP/MAC的地址綁定。綁定成功后,該 PC機便對應(yīng) 一個固定的MAC地址,當該PC機的IP更改后(如圖十二和圖十三),由該PC機向外網(wǎng)PC機發(fā)送數(shù)據(jù)包時,防火墻對這時的IP和MAC進行檢測,發(fā)現(xiàn)不一致,將不予通過。同樣的,用組內(nèi)的另一臺IP為改為,是被綁定的PC機(如圖十五和圖十六),也是因為 MAC不匹配,ping不通。4.防火墻抗攻擊設(shè)置進入安全策略一一抗攻擊,只設(shè)置LA

12、N 口的抗攻擊策略,如下圖:3 https:/192. 16S. 10. 10U:G66fi 網(wǎng)口丄翻抗攻西垠蛋 licrosoftInternet Explorer .'1抗陵擊設(shè)養(yǎng)啟用抗攻擊0抗SIH Fl加瞰擊I赳速率閥值:200牛包/和I; 1-69535 )抗 UMP Flood擊'ICMPSil 閥直 1000 T包電' (1-65535 )r送抗 Ping: of Death 攻擊1回jM0 宇節(jié)1-8553E )抗VEF nooi攻擊1TOF包速率閥值:1000牛包勵(1-65535 )_ 抗 PING SWEETS擊I毎竺呈秒1葉不同:P的IO1F包(

13、1-65535 )抗TCF端口掃描'110呈利同一TP的1(1個不同靖口的TCP赳(1-6SS35 )抗IfflF肅口掃描毎1Q宅秒同一啲10平不同端的UBF包(1-W535 )抗世誌濂&由取擊抗嚴格蹄由取擊二| 抗 TinJiid!* 取擊二|抗«urf攻擊誦走全選取消圖十八抗攻擊設(shè)置 實驗結(jié)果的測試:首先,選定一臺內(nèi)網(wǎng)的PC機,向外網(wǎng)的PC機發(fā)送長度為800字節(jié)的報文,命令為ping-I 800 00 ,可以發(fā)送成功,實驗結(jié)果如下圖:圖十九發(fā)送成功其次,用該PC機再次向外網(wǎng)的 PC機發(fā)送長度為801字節(jié)的報文,命令為 ping -I 801

14、 00,是發(fā)送不成功的,實驗結(jié)果如下圖:G: Document窖 and Se 11 Ingrs XAdmiin Ist vator>pin-1 801 192.168.10U200Pinging 00 with 801 bytes of data-Recjiiest timed out BBequest timed out.Bequest timed out.Bequest timed outBPing statistics for 00=Packets- Sent - 4, Receiued = 0, Lost = 4loss>,圖二十發(fā)送失敗原因:由上圖可看到,在防火墻的安全策略,抗攻擊設(shè)置中,對于ICMP包的長度設(shè)置已經(jīng)設(shè)置了 800字節(jié),也就是說,對于包長度大于800字節(jié)的數(shù)據(jù)包,防火墻會自行過濾掉, 使其無法通過。而實驗圖一和圖十二可以看出,對于800字節(jié)的ICMP包,能夠與外網(wǎng)ping通,而對于801字節(jié)的ICMP包則不能ping通。5.總結(jié)以上便是關(guān)于防火墻所做的一些實驗內(nèi)容,所謂防火墻,便是位于兩個(或多個)網(wǎng)絡(luò)間,實施訪問控制策略的一個或一組組件集合。對于防火墻的功能:1) 包過濾功能主要包括針對網(wǎng)絡(luò)服務(wù)的過濾以及針對數(shù)據(jù)包本身的過濾。2)代理

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論