防火墻實驗報告

1、.南京信息工程大學(xué)實驗（實習(xí)）報告實驗（實習(xí)）名稱防火墻實驗（實習(xí)）日期指導(dǎo)教師專業(yè)一實驗?zāi)康模?. 了解防火墻的相關(guān)知識2. 防火墻的簡單實驗二實驗步驟：1. 了解防火墻的概念，類型及作用2. 防火墻的實驗三實驗內(nèi)容：1. 防火墻的概念防火墻指的是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、 專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。由計算機硬件或軟件系統(tǒng)構(gòu)成防火墻，來保護敏感的數(shù)據(jù)部被竊取和篡改。防火墻是設(shè)置在可信任的企業(yè)內(nèi)部和不可信任的公共網(wǎng)或網(wǎng)絡(luò)安全域之間的以系列部件的組合，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口， 能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強

2、的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。2防火墻的類型技術(shù)上看， 防火墻 有三種基本類型：包過濾型、 代理服務(wù)器型和復(fù)合型。它們之間各有所長，具體使用哪一種或是否混合使用，要根據(jù)具體需求確定。包過濾型防火墻(Packet Filter Firewall)通常建立在路由器上，在服務(wù)器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡(luò)層，基于單個IP 包實施網(wǎng)絡(luò)控制。它對所收到的IP 數(shù)據(jù)包的源地址、目的地址、TCP 數(shù)據(jù)分組或UDP 報文的源端口號及目.的端口號、 包出入接口、 協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)定 的訪問控制表進行比較

3、，確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點是簡單、方便、速度快、透明性好，對網(wǎng)絡(luò)性能影響不大，可以用于禁止外部不合法用戶對企業(yè)內(nèi)部網(wǎng)的訪問，也可以用來禁止訪問某些服務(wù)類型，但是不能識別內(nèi)容有危險的信息包，無法實施對應(yīng)用級協(xié)議的安全處理。代理服務(wù)器型防火墻(ProxyServiceFirewall) 通過在計算機或服務(wù)器上運行代理的服務(wù)程序， 直接對特定的應(yīng)用層進行服務(wù)，因此也稱為應(yīng)用層網(wǎng)關(guān)級防火墻。代理服務(wù)器型防火墻的核心， 是運行于防火墻主機上的代理服務(wù)器進程，實質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè) 內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。它代理用戶完成TCPIP 網(wǎng)絡(luò)的訪問

4、功能，實際上是對電子郵件、 FTP、Telnet 、WWW等各種不同的應(yīng)用各提供一個相應(yīng)的代理。這種技術(shù)使得外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間需要建立的連接必須通過代理服務(wù)器的中間轉(zhuǎn)換，實現(xiàn)了安全的網(wǎng)絡(luò)訪 問，并可以實現(xiàn)用戶認(rèn)證、詳細(xì)日志、審計跟蹤和數(shù)據(jù)加密等功能，實現(xiàn)協(xié)議及應(yīng)用的過濾及會話過程的控制， 具有很好的靈活性。 代理服務(wù)器型防火墻的缺點是可能影響網(wǎng)絡(luò)的性能， 對用戶不透明，且對每一種TCP IP 服務(wù)都要設(shè)計一個代理模塊，建立對應(yīng)的網(wǎng)關(guān)，實現(xiàn)起來比較復(fù)雜。復(fù)合型防火墻(Hybrid Firewall)把包過濾、 代理服務(wù)和許多其他的網(wǎng)絡(luò)安全防護功能結(jié)合起來，形成新的網(wǎng)絡(luò)安全平臺，以提高防火墻的

5、靈活性和安全性3. 防火墻技術(shù)在網(wǎng)絡(luò)中的作用防火墻技術(shù)作為保護內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相接入的一道安全屏障， 已經(jīng)越來越受到人們的普遍關(guān)注。作為網(wǎng)絡(luò)安全的屏障只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，可使網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止NFS 協(xié)議進出受保護的網(wǎng)絡(luò)， 這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。如防火墻可以禁止NFS 協(xié)議進出受保護的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。 防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。（

6、1）可以強化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置， 能將所有安全軟件配置在防火墻上。 與將網(wǎng)絡(luò)安全問題分散到各個主機上相比， 防火墻的集中安全管理更經(jīng)濟。 例如在網(wǎng)絡(luò)訪問時， 一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻身上。（ 2）可以對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻， 那么， 防火墻就能記錄下這些訪問并作出日志記錄， 同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。 當(dāng)發(fā)生可疑動作時， 防火墻能進行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。 另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。可以清楚防火墻是否能夠抵擋攻擊者的

7、探測和攻擊， 并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等也是非常重要的。（ 4）可以防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。4. 防火墻的相關(guān)實驗操作方法與實驗步驟1） 安裝瑞星 2012 防火墻2） 防火墻功能驗證（1） 程序聯(lián)網(wǎng)控制（2） 網(wǎng)絡(luò)攻擊攔截（3） 惡意網(wǎng)址攔截（4） ARP 欺騙防御（5） 對外攻擊攔截（6） 網(wǎng)絡(luò)數(shù)據(jù)保護（7） IP 規(guī)則設(shè)置1. 安 裝 環(huán)境要求：操作系統(tǒng)：Windows XP / Windows 7/server 2003 CPU：5

8、00 MHz及以上內(nèi)存： 512 MB系統(tǒng)內(nèi)存及以上，最大支持內(nèi)存4GB支持網(wǎng)絡(luò)協(xié)議： IPV4軟件：瑞星個人防火墻2012版2. 維護/ 卸載可以通過添加刪除組件菜單，根據(jù)不同的需求對瑞星防火墻的組件進行管理。也可以通過修復(fù)菜單，重新安裝已安裝的組件。當(dāng)您不需要瑞星防火墻時， 可通過卸載來完全卸載。方法：單擊【開始】 /【程序】 / 【瑞星個人防火墻】 / 【修復(fù)】或者打開控制面板，雙擊【添加 / 刪除程序】，在【添加或刪除程序】屬性頁中選中【瑞星個人防火墻】?！咎砑? 刪除】：選中此項后，您可根據(jù)自身需要，添加或刪除瑞星防火墻的組件，便于您更靈活、更有效地使用資源；【修復(fù)】：選中此項后，程

9、序會對現(xiàn)有的瑞星防火墻進行修復(fù)安裝，檢查已安裝的瑞星防火墻的完整性， 并修復(fù)存在的問題。 便于您更穩(wěn)定地使用瑞星防火墻；【卸載】：選中此項后，將會卸載瑞星防火墻。一）網(wǎng)絡(luò)防護1. 程序聯(lián)網(wǎng)控制控制電腦中的程序?qū)W(wǎng)絡(luò)的訪問。進行“增加”、“刪除”、“導(dǎo)入”、“導(dǎo)出”、“修改”、“高級選項”設(shè)置，實現(xiàn)相關(guān)程序的訪問控制。2. 網(wǎng)絡(luò)攻擊攔截依托瑞星“智能云安全”網(wǎng)絡(luò)分析技術(shù)，有效攔截各種網(wǎng)絡(luò)攻擊：瀏覽器攻擊、遠(yuǎn)程溢出、蠕蟲傳播、僵尸網(wǎng)絡(luò)、木馬后門（如灰鴿子等）。3. 惡意網(wǎng)址攔截設(shè)置黑白名單， 屏蔽或保護相關(guān)程序； 啟用釣魚網(wǎng)頁掃描功能； 啟用搜索引擎搜索結(jié)果風(fēng)險分析。.4. ARP 欺騙防御5.

10、對外攻擊攔截1）檢測 SYN Llood攻擊；2 ）檢測 ICMP Llood攻擊；3）檢測 UDPLlood攻擊。.6. 網(wǎng)絡(luò)數(shù)據(jù)保護1）啟用端口隱身； 2 ）啟用聊天加密。7. IP 規(guī)則設(shè)置1） 可信區(qū)服務(wù)：2） 黑白名單：通過“增加”、“導(dǎo)入”設(shè)置白名單，在白名單中的電腦對本機具有完全的訪問權(quán)限。3） 端口開關(guān)：通過“增加”、“編輯”、“刪除”、“導(dǎo)入”、“導(dǎo)出”設(shè)置，允許或禁止列表中的端口通訊。.6 實驗數(shù)據(jù)處理與分析通過 ARP 靜態(tài)規(guī)則的設(shè)置：“添加”、“編輯”、“刪除”、“導(dǎo)入”、“導(dǎo)出”、“修改”，防止電腦受到 ARP 攻擊，并幫助找到局域網(wǎng)中的攻擊源。防御的方式（可同時勾選） ：1）定時檢查本機ARP 緩存； 2 ）禁止 IP 地址沖突攻擊； 3）禁止本機對外發(fā)送虛假IP 數(shù)據(jù)包。防御范圍設(shè)置（勾選之一） ：1 ）防御局域網(wǎng)中的所有電腦；2 ）防御指定的電腦地址和靜態(tài)地址。在 IP 規(guī)則設(shè)置中，可以通過“增加”、“編輯”、“刪除”、“導(dǎo)入”、“導(dǎo)出”、“恢復(fù)默認(rèn)”設(shè)置IP 規(guī)則。如.四 實驗總結(jié)瑞