防火墙的实验.docx

防火墙的实验.docx

《防火墙的实验.docx》由会员分享，可在线阅读，更多相关《防火墙的实验.docx（14页珍藏版）》请在冰豆网上搜索。

防火墙的实验

贵州大学实验报告

学院:

计算机科学与技术学院专业：

信息安全班级：

信息111

姓名

学号

实验组

实验时间

2014年5月

指导教师

成绩

实验项目名称

实验二：

防火墙

实验目的

1，深入理解NAT和防火墙的工作原理

2，掌握windowsserver2003操作系统内置互联网连接防火墙（ICF）和网络地址转换（NAT）的配置技能。

3，理解linux防火墙的功能和工作原理

掌握linux防火墙的配置和使用

实验要求

学会配置linux和windows的防火墙和他们的原理

实验原理

和实验步骤

Windows操作系统的安全原理

1，账户和密码

账户和密码是登录系统的基础，同时也是众多黑客程序攻击和窃取的对象。

因此，系统账户和密码的安全是极其重要的，必须通过配置来实现账户和密码的安全。

普通用户常常在安装系统后长期使用系统的默认设置，忽视了windows系统默认设置的不安全性，而这些不安全性常常被攻击者利用，通过各种手段获得合法的账户，进一步破解密码，从而达到非法登录系统的目的。

所以，首先需要保障账户和密码的安全。

2文件系统

磁盘数据被攻击者或本地的其他用户破坏和窃取是经常困扰用户的问题，文件系统的安装问题也是非常重要的。

Windows系统提供的磁盘格式有FAT,FAT32以及NTFS。

其中，FAT,FAT32没有考虑安全到安全性方面的更高需求，例如无法设置用户访问权限等。

NTFA文件系统是Windows操作系统的一种安全的文件系统，管理员或者用户可以设置每个文件夹及每个文件的访问权限，从而限制一些用户和用户组的访问，以保障数据安全。

3数据加密软件EFS

EFS（encryptingfilesystem，加密问价系统）是windows2000以上的版本操作系统所特有的一个实用功能，NTFS卷上的文件和数据，都可以直接被操作系统加密和保存，在很大程度上提高了数据的安全性。

采用加密文件系统（EFS）加密的数据，能防止计算机，磁盘被窃取或者被拆换后数据失窃的隐患。

EFS加密是基于公钥策略的。

在实验EFS加密一个文件或者文件夹时，系统首先会生成一个伪随机数组成的FEK（fileencryptingkey，文件加密秘钥），然后利用EFK和数据扩展标准X算法创建加密后的文件，并把它存储在磁盘上，同时删除未加密的原始文件。

随后系统利用用户公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。

而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密文件。

在首次使用FEK时，如果用户还没有公钥/私钥对，则会首先生成秘钥，然后加密数据。

如果用户登录到了域环境中，秘钥的生成依赖于域控制器，否则他就依赖于本地机器。

EFS和加密机制和操作系统的紧密结合，用户不必为了加密数据而安装额外的软件，从而节省了用户的使用成本。

EFS加密系统对用户是透明的。

如果用户加密了一些数据，那么用户对这些数据的访问将是完全允许的，并不会受到任何限制。

而其他飞授权用户试图访问加密后的数据时，就会收到“拒绝访问”的错误提示。

EFS加密的用户验证过程是在登录windows系统进行的，只要登录到windows系统，就可以打开任何一个被授权的加密文件。

4，审核与日志

Windows系统从安全的角度提供了审核与日志功能，让用户便于检测当前的系统运行状况。

审核与日志是windows系统中最基本的入侵检测方法，当有攻击者尝试对系统进行某些方式的攻击时，都会被安全审核功能记录下来并写到日志文件中。

一些windows系统下的应用程序也有相似的功能。

5安全模板

Windows系统中的安全项目设置繁多，包括账户策略，本地策略，事件日志，受限制的组，系统服务，注册表和文件系统。

每个项目都进行设置是相当复杂的，为了提高系统安全性设置的简易性，微软在windows系统中提供了不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置。

用户只要简单地根据需要选择启用相应的安全模板，即可自动按照模板配置各项安全属性。

对部分的模板的意义做如下的说明：

Setupsecurity.inf:

全新安装系统的默认安全设置

Basicws,inf:

基本的安全级别

Compatws.inf:

将系统的NTFS和ACL设置成安全层次较低的NT4.0设置

Securews.inf：

提供较高安全性的安全级别

Hisecws.inf：

提供高度安全性的安全级别

出来以上系统的默人的安全模板，windows操作系统还支持用户自己构建安全模板。

6,MBSA（Microsoftbaselinesecurityanalyzer）

要检查当前系统是否符合一定的安全标准，手动逐项检查的过程是非常繁杂的。

微软提供了自动检查windows系统漏洞的安全审计工具MBSA。

它将从微软的升级服务器中下载最新的补丁包文件，检查windows系统中是否安装了最新的安全补丁。

此外，还可以对系统漏洞，IIS漏洞，SQLServer以及IE，Office等应用程序的漏洞进行扫描，以检查系统的各项配置是否符合安全性要求。

出来微软的MBSA工具，其他的一些软件如瑞星杀毒软件，金山毒霸，360安全卫士等都提供了windows操作系统漏洞的扫描并从微软服务器下载补丁的功能。

Linux

1用户管理

Linux支持以命令行或者窗口方式管理用户和用户组。

它提供了安全的用户和口令文件保护以及强大的口令设置规划，并对用户和用户组的权限进行细粒度的划分。

Linux用户组合用户的信息分别保存在/etc/shadow,/etc/passwd,/etc/group,/etc/gshadow等几个文件中，为这些文件设置较高的安全权限是必要的。

在较高安全要求的系统中，可以将这些文件设置成不可以更改。

Linux中也带有一些常用的口令字典，以便在用户设置的口令不安全时及时提醒用户

2文件管理

在linux中，文件盒目录的权限根据其所属的用户或用户组来话、划分：

1，文件所属的用户，即文件的创建者

2，文件所属用户组的用户，即问价创建者所在的用户组中的其他用户

3，其他用户，即文件所属用户组之外的其他用户

每个文件或者目录的拥有者以及管理员root用户，可为以上三种用户或者用户组设置读，写或者可执行的权限。

用户也可以通过改变文件所属的用户或者用户组改变3类用户的去权限。

对文件夹设置SGID权限，任何在该文件所属的用户和子目录都将与其父目录属于同样的用户组。

这种管理有时是必要的，有时会带来一些安全的问题，因此在建立文件时要特别小心文件夹的SGID权限。

另一个容易带来安全问题的文件是/home/*/.bash_history（*表示某用户名）。

为了便于重复输入很长的命令，该文件保存了此用户经常使用的一组参数（默认为500或1000）的命令。

这样就保留了一些重要的信息，例如文件的路径，一些与用户有关的密码等，为攻击的黑客留下了可乘之机。

可以通过/etc/profile文件中的参数设置，减少保留的，命名数目。

3插入身份认证模块PAM

PAM（pluggableauthenticationmodules）是插入式身份认证模块，它提供身份认证功能防止未授权的用户访问，其身份认证功能高度模块化，可以通过配置文件进行灵活的配置。

在高版本的linux中自动启用了PAM，用户也可以自行配置PAM文件。

但是，任何很小的错误改动都可能导致所以用户被阻塞，所以在进行相关的文件改动之前，应当先备份系统内核。

4记录系统syslogd

Linux使用了一系列的日子文件，为管理提供了很多关于系统安全状态的信息。

Syslogd是一种系统日子守护进程，它接受系统和应用程序，守护进程以及内核提供的信息，并根据在/etc/syslog.conf文件中的配置，对这些信息在不同日志文件中进行记录和处理。

绝大部分内部系统工具都会通过呼叫syslogd接口来提供这些记录到日志中的消息。

系统管理员可以通过设置/etc/syslogd.conf文件来设置希望记录的信息的类型或者希望监视的设备。

Windows防火墙

防火墙是一种访问控制技术，它用于加强两个或多个网络间的边界防卫能力。

其工作原理如下：

在公共网络和专用网络之间设立一道隔离墙，在此检查是否允许进出专用网络的信息通过，或是否允许用户的服务请求，从而阻止对信息资源的非法访问和非授权用户的进人。

这是一种被动型防卫技术。

建立防火墙时要求网络具有明确的边界和服务类型，这样才能够隔离内外网络，达到防护目的。

防火墙并不仅仅指用来提供一个网络安全保障的主机、路由器或多机系统。

应该说，防火墙是保障安全的手段，它有助于建立一个网络安全协议，并通过网络配置、主机系统、路由器以及诸如身份认证等手段来实现该安全协议。

防火墙系统的主机目标是控制入、出一个网络的权限，它迫使所有的连接都通过防火墙，以便接受检查。

一个防火墙系统可以是一个路由器、一台主机或主机群，建立它们是为了防止一个需要保护的子网免受子网之外因素的干扰、破坏。

防火墙一般是建立在高层的网关-比如站点通向Internet的连接上。

但是，为了保护一个子网或部分主机群，也可以在子网边界设置防火墙。

Linux防火墙的原理

实验仪器

1，一台安装windowsxp/2003操作系统的计算机，磁盘格式配置为NTFS，并预装MBSA（Microsoftbanselinesecurityanalyzer）

2，安装RedHatLinux9.0操作系统的计算机

3，安装windowssever2003操作系统的PC机一台，运行windows2000server/server2003/xp操作系统的PC机两台，他们通过交换机相连

4，运行windowsserver2003操作系统的PC具有两块以太网卡，一块与外网相连，另一块与局域网相连。

另外两台PC机具有一块以太网卡，他们通过双绞线与局域网交换机相连。

5，一台安装了RedHatLinux9.0操作系统（装有iptables）代理服务器作为防火墙，两台集线器。

实验内容

和

实验数据

1.配置ICF防火墙:

点击设置

选择启用

点击添加

配置NAT/基本防火墙

Linux防火墙:

1、在配置NAT/基本防火墙时要把电脑的防火墙禁用，这样才能配置防火墙

2、NAT有3种类型：

静态地址NAT、动态地址NAT以及网络地址端口转换NAPT。

其中静态地址NAT的设置最简单

3、Iptables是Linux种的包过滤器防火墙，通过iptables可以设置、维护对IP数据包进行过滤的规则表，根据这些规则表中的规则，iptables对来自某个目的或具有特定协议类型的数据包定义了转发、丢弃等具体的操作方法、从而实现对IP数据包的过滤。

实验总结

通过实验了解了防火墙的基本功能以及在windows下和linux下的作用。

指导教师意见

签名：

年月日

注：

各学院可根据教学需要对以上栏目进行增减。

表格内容可根据内容扩充。