云南大學(xué)軟件學(xué)院信息安全工程實(shí)驗(yàn)

1、云南大學(xué)軟件學(xué)院實(shí) 驗(yàn) 報(bào) 告課程： 信息安全工程實(shí)驗(yàn) 任課教師： 林英 姓名： 學(xué)號(hào)： 專業(yè)： 成績(jī)：實(shí)驗(yàn)6.防火墻實(shí)驗(yàn)一、 實(shí)驗(yàn)?zāi)康模和ㄟ^實(shí)驗(yàn)理解入防火墻的功能和工作原理，學(xué)習(xí)NAT轉(zhuǎn)換原理，熟悉NAT在一般網(wǎng)絡(luò)環(huán)境中的應(yīng)用、Linux系統(tǒng)中iptables防火墻以及Windows防火墻的配置和使用。二、 實(shí)驗(yàn)原理NAT轉(zhuǎn)換實(shí)驗(yàn)：網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)是Internet工程任務(wù)組(IETF，Internet Engineering Task Force)的一個(gè)標(biāo)準(zhǔn)，是把內(nèi)部私有IP地址轉(zhuǎn)換成合法網(wǎng)絡(luò)IP地址的技術(shù)，允許一個(gè)整體機(jī)構(gòu)以一

2、個(gè)公用IP地址出現(xiàn)在Internet上。IPtables防火墻配置實(shí)驗(yàn)：IPtables是復(fù)雜的，它集成到linux內(nèi)核中。用戶通過IPtables，可以對(duì)進(jìn)出你的計(jì)算機(jī)的數(shù)據(jù)包進(jìn)行過濾。通過IPtables命令設(shè)置你的規(guī)則，來把守你的計(jì)算機(jī)網(wǎng)絡(luò)哪些數(shù)據(jù)允許通過，哪些不能通過，哪些通過的數(shù)據(jù)進(jìn)行記錄(log)。Windows防火墻實(shí)驗(yàn)：Windows防火墻是一個(gè)基于主機(jī)的狀態(tài)防火墻，它丟棄所有未請(qǐng)求的傳入流量，即那些既沒有對(duì)應(yīng)于為響應(yīng)計(jì)算機(jī)的某個(gè)請(qǐng)求而發(fā)送的流量(請(qǐng)求的流量)，也沒有對(duì)應(yīng)于已指定為允許的未請(qǐng)求的流量(異常流量)。Windows防火墻提供某種程度的保護(hù)，避免那些依賴未請(qǐng)求的傳入流

3、量來攻擊網(wǎng)絡(luò)上的計(jì)算機(jī)的惡意用戶和程序。三、 實(shí)驗(yàn)步驟NAT轉(zhuǎn)換實(shí)驗(yàn)一、 連接防火墻服務(wù)器，開始實(shí)驗(yàn)啟動(dòng)實(shí)驗(yàn)客戶端，選擇“防火墻”中的“NAT轉(zhuǎn)換實(shí)驗(yàn)”，點(diǎn)擊“連接”。連接成功后，會(huì)提示連接成功，主界面會(huì)顯示連接IP信息及防火墻規(guī)則操作畫面。二、 添加靜態(tài)路由打開本地主機(jī)cmd命令行，輸入，添加路由。三、 驗(yàn)證網(wǎng)絡(luò)連通性輸入，如圖所示。四、 編寫目的NAT規(guī)則點(diǎn)擊“添加”，填寫如圖所示的規(guī)則。五、 驗(yàn)證目的NAT實(shí)驗(yàn)結(jié)果目的地址為的數(shù)據(jù)包被NAT為，Ping該目的地址，成功后如圖所示。六、 編寫源NAT規(guī)則首先訪問，并記錄頁面中顯示的信息。實(shí)驗(yàn)實(shí)施界面中點(diǎn)擊“添加”，添加如圖所示的防火墻規(guī)則。

4、七、 驗(yàn)證源NAT實(shí)驗(yàn)結(jié)果再次訪問。對(duì)比前面訪問時(shí)頁面的顯示，源地址被轉(zhuǎn)換成，結(jié)果如圖所示，從而實(shí)現(xiàn)隱藏源地址的作用。IPtables防火墻配置打開Linux實(shí)驗(yàn)臺(tái)，進(jìn)入Linux系統(tǒng)，啟動(dòng)ftp服務(wù)。(1) 通過IE訪問FTP服務(wù)器，服務(wù)器可訪問時(shí)如Error! Reference source not found.所示。(2) 設(shè)置防火墻規(guī)則如Error! Reference source not found.所示為防火墻設(shè)置默認(rèn)規(guī)則，即先清空所有規(guī)則，再將OUTPUT鏈設(shè)置為默認(rèn)丟棄。此時(shí)不能訪問FTP，如Error! Reference source not found.所示。再針對(duì)

5、FTP服務(wù)進(jìn)行放行，添加防火墻規(guī)則如圖所示。其中，如Error! Reference source not found.所示的命令將FTP控制端口放行；如Error! Reference source not found.所示的命令將FTP的數(shù)據(jù)端口放行。(3) 實(shí)驗(yàn)結(jié)果如Error! Reference source not found.所示。Windows防火墻配置(1) 啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，進(jìn)入Windows 2003系統(tǒng)，開啟Windows防火墻。(2) 本地主機(jī)連接Windows實(shí)驗(yàn)臺(tái)系統(tǒng)的FTP服務(wù)器，連接結(jié)果如圖所示。(3) 設(shè)置開啟FTP服務(wù)在Windows實(shí)驗(yàn)臺(tái)系統(tǒng)中，

6、點(diǎn)擊防火墻的“高級(jí)”選項(xiàng)。選擇“本地連接”，然后點(diǎn)擊“設(shè)置”。勾選其中的“FTP服務(wù)器”選項(xiàng)，彈出如圖所示的對(duì)話框，輸入Windows實(shí)驗(yàn)臺(tái)自身的IP地址或計(jì)算機(jī)名稱，點(diǎn)擊“確定”。(4) 查看添加結(jié)果本地主機(jī)重新訪問FTP服務(wù)器，成功。四、 回答問題：1) 什么情況可以使用NAT，如何設(shè)計(jì)，有何優(yōu)點(diǎn)NAT常用于下述情形：  1.沒有足夠的公網(wǎng)IP連接到Internet 2.當(dāng)更換ISP需要重新編址  3.合并兩個(gè)使用重疊地址空間的內(nèi)部網(wǎng)絡(luò)  4.使用單個(gè)IP地址支持基本的負(fù)載分擔(dān)  優(yōu)點(diǎn)： &

7、#160;1.節(jié)省了公網(wǎng)IP地址  2.能夠處理編址方案重疊的情況  3.網(wǎng)絡(luò)發(fā)生改變時(shí)不需要重新編址  4.隱藏了真正的IP地址  缺點(diǎn)：  1.NAT引起數(shù)據(jù)交互的延遲  2.導(dǎo)致無法進(jìn)行端到端的IP跟蹤  3.某些應(yīng)用程序不支持NAT  4.需要消耗額外的CPU和內(nèi)存2) 防火墻的局限性防火墻十大局限性:   一、防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。 &#

8、160; 二、防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻可以設(shè)計(jì)為既防外也防內(nèi)，誰 都不可信，但絕大多數(shù)單位因?yàn)椴环奖?，不要求防火墻防?nèi)。   三、防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策 略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。   四、防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個(gè)安全設(shè)備，但防火墻本身必 須存在于一個(gè)安全的地方。   五、防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻

9、擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò) 協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。   六、防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對(duì) 該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止。   七、防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使 集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。八、防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的 主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。 9、 防火墻不能防止

10、內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻是無能 為力的。 十、防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己，目前還 沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。因此對(duì)防火墻也必須提供某種安全保護(hù)。3) 防火墻與入侵檢測(cè)的區(qū)別與聯(lián)系 防火墻和入侵檢測(cè)系統(tǒng)的區(qū)別:1.概念1)防火墻：防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)（本地網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（主要是Internet）之間的一道防御系統(tǒng)，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性的侵入。它可以通過檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能的對(duì)外部屏蔽內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀態(tài)，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)中的信息、資源等不受外部網(wǎng)絡(luò)中非法用戶的

11、侵犯。2)入侵檢測(cè)系統(tǒng)：IDS是對(duì)入侵行為的發(fā)覺，通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。3)總結(jié)：從概念上我們可以看出防火墻是針對(duì)黑客攻擊的一種被動(dòng)的防御，IDS則是主動(dòng)出擊尋找潛在的攻擊者；防火墻相當(dāng)于一個(gè)機(jī)構(gòu)的門衛(wèi)，收到各種限制和區(qū)域的影響，即凡是防火墻允許的行為都是合法的，而IDS則相當(dāng)于巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報(bào)和漏報(bào)的情況出現(xiàn)。2.功能防火墻的主要功能：1)過濾不安全的服務(wù)和非法用戶：所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息都是必須通過防火墻，防火墻成為一個(gè)檢查點(diǎn)，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)。2

12、)控制對(duì)特殊站點(diǎn)的訪問：防火墻可以允許受保護(hù)網(wǎng)絡(luò)中的一部分主機(jī)被外部網(wǎng)訪問，而另一部分則被保護(hù)起來。3)作為網(wǎng)絡(luò)安全的集中監(jiān)視點(diǎn)：防火墻可以記錄所有通過它的訪問，并提供統(tǒng)計(jì)數(shù)據(jù)，提供預(yù)警和審計(jì)功能。入侵檢測(cè)系統(tǒng)的主要任務(wù)：1)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)2)對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析，發(fā)行入侵行為規(guī)律3)檢查系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞4)能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行響應(yīng)5)評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性6)操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為總結(jié)：防火墻只是防御為主，通過防火墻的數(shù)據(jù)便不再進(jìn)行任何操作，IDS則進(jìn)行實(shí)時(shí)的檢測(cè)，發(fā)現(xiàn)入侵行為即可做出反應(yīng)，是對(duì)防火墻弱點(diǎn)