简易防火墙配置Word格式文档下载.docx

简易防火墙配置Word格式文档下载.docx

《简易防火墙配置Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《简易防火墙配置Word格式文档下载.docx（18页珍藏版）》请在冰豆网上搜索。

目录

摘要1

Abstract1

1引言3

1.1实验背景3

1.2本实验研究方法3

2国内外研究成果3

2.1面临的问题3

2.2解决的方案4

3实验过程5

3.1实验环境5

3.2实验内容5

3.3实验步骤5

3.3.1运行IP筛选器5

3.3.2添加IP筛选器表6

3.3.3添加IP筛选器动作10

3.3.4创建IP安全策略11

3.3.5用IP筛选器屏蔽特定端口13

3.3.6应用IP安全策略规则15

3.3.7用IP筛选器屏蔽DNS服务15

结论17

心得体会17

下一步工作17

参考文献17

附录1：

插图与表格索引18

1引言

1.1实验背景

防火墙是一种隔离技术，是一类防范措施的总称，利用它使得内部网络与Internet或者其他外部网络之间相互隔离，通过限制网络互访来保护内部网络。

防火墙是建立在内部网络与外部网络之间的唯一安全通道，简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现，它可以在IP层设置屏障，也可以用应用软件来阻止外来攻击。

通过制定相应的安全规则，可以答应符合条件的数据进入，同时将不符合条件的数据拒之门外，这样就可以阻止非法用户的侵入，保证内部网络的安全。

IPSec是IETF设计的网络安全协议。

它能够提供的安全服务包括访问控制、无连接的完整性、抗重播攻击保护、数据源认证、机密性等安全服务。

这些目标通过三大协议：

认证首部协议AH、封装安全载荷协议ESP和自动密钥管理协议IKE的协同使用来完成。

1.2本实验研究方法

验证性实验，通过收集整理资料，了解当前国内外研究的成果。

并在此基础上动手实践，在windows2003下配置IP筛选器。

2国内外研究成果

2.1面临的问题

防火墙主要是用来保护内部网络的，IPsec主要是用来保护数据在网络上传输时的安全，所以很多时候需要这两种技术协同工作以保护整个网络的数据安全。

然而，如果将这两种技术简单地组合在一起，就会引起一定的问题：

IPSec需要将整个IP报文（隧道模式）或整个网络层数据（传输模式）作为整体进行加密或验证处理；

而防火墙则需要访问IP报文中传输层的协议头信息进行访问控制处理。

这种根本性的冲突使得在一个分布式的环境下如何让IPSec和防火墙协同工作成为一个实际困难的问题。

2.2解决的方案

而现今国内外的研究结果主流的有3种解决方案。

第一种方案。

将IP报文分成了几个区，对不同的区使用不同的保护方法，每个区均有它们各自的安全关联、密钥以及访问控制规则。

第二种方案将IP报文分为协议头和数据两部分，分别对它们使用AH协议或者ESP协议进行安全处理。

第三种方案是一种双层IPSec处理思想：

将IP报文分为协议头和数据两部分，使用不同的安全关联（SA）对其进行安全处理。

下面将详述各个方案的总体思想及其优缺点。

方案一，将IP报文分区，使用分层IPSec提供对报文端到端的保护时，第一个IPSec安全主机把IP报文划分成若干区并对不同的区使用不同的SA进行保护处理。

受保护的报文通过中间可信任防火墙时，报文的某一特定部分将被解密或修改后再重新被加密，但是其他部分不

受影响。

当报文到达最后的IPSec安全主机时，分层IPSec将重新构造原始报文。

该方案的优点是达到了可信任防火墙对IP报文特定部分安全、可控、有限制地访问，同时对用户报文提供了端到端的保护。

然而该方案对于SA的协商不够灵活，假设安全主机与防火墙之间的网络是安全的，则传输层协议头部分就可以不用进行安全处理，而与之相对应的SA也不用协商，该方案中的SA从源端到目的端均是一致的，所以增加了不必要的负担。

方案二，将IP报文分部，对协议头和数据采用不同协议进行处理，优点是操作相对于前种简单，不用频繁加解密，缺点是增加了报文的长度，增加了网络流量和主机处理报文的负担。

方案三，可以根据网络的安全情况决定需要什么样的SA，这样就可以使IPSec和防火墙各取所需。

当主机和防火墙所在的内网是安全的，传输层协议头部分不需要提供保护，但是数据区域需要保护，所以主机1和主机2的复合SA包括D-SA和数据区SA两部分。

而防火墙之间因为需要穿过公共网络，协议头部分需要保护，其复合SA包括D—SA和协议头SA两部分。

这样就可以根据网络安全情况自由地选择SA的组合情况，方便灵活。

缺点是复合SA的协商现在仍是手动实现的，为实现对IKE协议的扩展。

3实验过程

3.1实验环境

Windows2003Server

3.2实验内容

创建简易防火墙的配置。

完成实验后，将能够在本机实现对IP站点，端口，DNS服务屏蔽

3.3实验步骤

3.3.1运行IP筛选器

任务描述：

在Windows2003Server运行IP筛选器

操作步骤:

（1）在Windows2003桌面上选择“开始”|“运行”命令，在出现的“运行”对话框中输入mmc，单击“确定”按钮出现“控制台1”窗口，选择菜单上的“文件”|“添加/删除管理单元”命令，出现“添加/删除管理单元”对话框。

（2）在“添加/删除管理单元”对话框中（见图3.1）,选择“独立”标签页，在“管理单元添加到”下拉列表框中，选择“控制台根节点”单击“添加”按钮，出现“添加独立管理单元”对话框。

图3.1“添加/删除管理单元”对话框

（3）在“添加独立管理单元”对话框，在“可用的独立管理单元”列表框中（见图3.2），选择“IP安全策略管理”，单击“添加”按钮，在出现的“选择计算机”对话框中，单击“本地计算机”单选按钮，单击“完成”按钮。

图3.2“可用的独立管理单元”列表框

（4）返回“添加独立管理单元”对话框，单击“关闭”按钮，返回“添加/删除管理单元”对话框，单击“确定”按钮，返回“控制台1”窗口，完成“IP安全策略，本地计算机”的设置。

3.3.2添加IP筛选器表

在本机中添加一个能对制定IP进行筛选的IP筛选器表。

操作步骤：

（1）在“控制台1”窗口的“控制台根节点”窗口中，展开刚建立的“IP安全策略，在本地机器”选项，右边框中有3个默认的安全规则；

（1）在“控制台1”窗口的“控制台根节点”窗口中，展开刚建立的“IP安全策略，在本地机器”选项，右边框中有3个默认的安全规则；

选中左边的“IP安全策略，在本地计算机器”选项并右击，从打开的菜单中选择“管理IP筛选器表和筛选器操作”命令，出现“管理IP筛选器表和筛选器操作”对话框。

图3.3“管理IP筛选器表和筛选器操作”对话框

（2）在出现的“管理IP筛选器表和筛选器操作”对话框中，单击“添加”按钮，出现“IP筛选器列表”对话框。

图3.4“IP筛选器列表”对话框

（3）在打开的“IP筛选器列表”对话框中（见图3.5），输入此IP筛选器的名称和描述，例如：

“名称”为“屏蔽特定IP”，“描述”为“屏蔽192.168.0.2”，取消选择“使用‘添加向导’”复选框，单击“添加”按钮，出现“筛选器属性”对话框，可对“屏蔽特定IP”进行设置。

图3.5修改“IP筛选器列表”的内容

（4）在“IP筛选器属性”对话框（见图3.6），选择“地址”标签页，在“源地址”和“目标地址”下拉列表框中，分别选择“一个特定的IP地址”和“我的IP地址”选项。

当选择“一个特定的IP地址”时，会出现“IP地址”文本框，可输入要屏蔽的IP地址，“192.168.0.2”。

默认情况下，“IP筛选器”的作用是单方面的，比如源地址为A，目标地址为B，则防火墙只对A→B的流量起作用，对B→A的流量则略过不计。

选中“镜像”复选框，则防火墙对A←→B的双向流量都进行处理（相当于一次添加了两条规则）。

图3.6“IP筛选器属性”对话框“地址”标签页

（5）在“筛选器属性”对话框的“协议”标签中（见图3.7），选择协议类型及设置IP协议端口。

图3.7“IP筛选器属性”对话框的“协议”标签页

（6）在“筛选器属性”对话框的“描述”标签页的“描述”文本框中，输入描述文字，作为筛选器的详细描述。

单击“确定”按钮，返回到“IP筛选器列表”窗口，“屏蔽特定IP”被填入了筛选器列表。

（见图3.8）

图3.8设置好的IP筛选器列表

3.3.3添加IP筛选器动作

在任务2的操作中，将一个IP地址192.168.0.2加入到了“待屏蔽IP列表”，但它只是一个列表，没有防火墙功能，只有再加入动作后，才能够发挥作用。

本任务将建立一个“阻止”动作，通过动作与刚才的列表结合，就可以屏蔽特定的IP地址。

（1）在“控制台1”窗口的“控制台根节点”窗口中，选中左边的“IP安全策略，在本地机器”选项并右击，选择“管理IP筛选器表盒筛选器操作”命令，出现“管理IP筛选器表和筛选器操作”对话框。

（2）在“管理IP筛选器表和筛选器操作”对话框的“管理IP筛选器列表”标签页中选择“屏蔽特定IP”选项，如图13所示；

然后选择“管理筛选器操作”标签页，去掉“使用添加向导”前面的对号，单击“添加”按钮，出现“新筛选器操作属性”对话框。

（见图3.9）

图3.9增加新筛选器操作

（3）在“筛选器操作属性”对话框的“安全措施”标签页中，选择“阻止”单选按钮；

选择“常规”标签页，在“名称”文本框中输入“阻止”；

单击“确定”按钮，此时“阻止”加入到操作列表中，如图3.10所示。

图3.10“阻止”已加入筛选器操作

3.3.4创建IP安全策略

筛选器表和筛选器动作已建立完毕，在本任务中将它们结合起来发挥防火墙的作用。

（1）返回“控制台1”窗口的“控制台根节点”窗口，选择“IP安全策略，在本地机器”选项并右击，选择“创建IP安全策略”命令，出现“IP安全策略向导”对话框。

（见图3.11）

图3.11“IP安全策略向导”对话框

（2）在“IP安全策略向导”对话框的“名称”文本框中输入“我的安全策略”，可以在“描述”文本框中输入对安全策略设置的描述，单击“下一步”按钮，出现“IP安全策略向导”对话框。

图3.12IP安全策略名称

（3）在“IP安全策略向导”对话框中，取消选择“激活默认响应规则”复选框，单击“下一步”按钮，出现“IP安全策略向导”对话框。

（4）在“IP安全策略向导”对话框中，选择“编辑属性”复选框，单击“完成”按钮，出现“我的安全策略属性”对话框。

图3.13“我的安全策略属性”对话框

（5）在“我的安全策略属性”对话框的“规则”标签中，”去掉使用添加向导”选项前的对号，单击“添加”按钮，出现“新规则属性”对话框，修改此策略的属性，用筛选器表和筛选器动作建立规则。

（6）在“新规则属性”对话框的“IP筛选器列表”标签页中，选择“新IP筛选器”单选按钮；

在“筛选器操作”标签页中，选择“阻止”单选按钮；

单击“确定”按钮，返回“我的安全策略属性”对话框，可看到新规则已建立，如图3.14所示。

至此，屏蔽特定IP或网址的操作已完成。

图3.14新规则已建立

3.3.5用IP筛选器屏蔽特定端口

建立一个名为“屏蔽21端口”的IP筛选器规则，关闭本机的21端口，然后结合上述任务添加的“阻止”动作进行设置。

同样也可以关闭其他端口

（1）在“IP筛选器列表”对话框的“名称”文本框中，输入“tcp21”，如图3.15所示，单击“添加”按钮，出现“筛选器属性”对话框。

图3.15“IP筛选器属性”对话框屏蔽端口

（2）在“筛选器属性”对话框的“地址”标签页中的“源地址”下拉列表框中，选择“任何IP地址”，在“目的地址”下拉列表框中，选择“我的IP地址”，取消“镜像”复选框。

在“协议”标签页中，参考图3.16所示进行设置。

图3.16IP筛选器属性协议对话框

（3）单击“确定”，返回到“管理IP筛选器表和筛选器操作”对话框，可以看到“屏蔽21端口”已建立，如图3.17所示。

图3.17已屏蔽ftp21端口

3.3.6应用IP安全策略规则

（1）在“控制台根节点”窗口中，在刚建立的“我的安全策略”规则上右击，选择“指派”命令，如图3.18所示。

图3.18指派新的IP安全策略

3.3.7用IP筛选器屏蔽DNS服务

（1）先确认一个有效的DNS域名解析

图3.19有效的DNS域名解析

（2）在“IP筛选器列表”对话框的“名称”文本框中，输入“dns屏蔽”，单击“添加”按钮，出现“筛选器属性”对话框。

（3）在“筛选器属性”对话框的“地址”标签页中的“源地址”下拉列表框中，选择“一个特定的IP地址”，在“目的地址”下拉列表框中，选择“一个特定的DNS名称”，取消“镜像”复选框。

参考图3.20所示进行设置。

图3.20IP筛选器属性协议对话框

（3）单击“确定”，返回到“管理IP筛选器表和筛选器操作”对话框，可以看到“dns屏蔽”已建立，如图3.21所示。

图3.21已屏蔽dns服务

结论

心得体会

本文围绕着防火墙和IPSec协议两种安全技术做了如下的工作：

（1）总结了防火墙和IPSec安全协议的现状与发展中面临的问题，并详细介绍了现今提出的三种解决方案，及其各自的优缺点。

（2）通过前期的资料收集与理论学习，在windows2003下做了IPSec安全策略的创建，应用等实验。

完成实验后，能够在本机实现对IP站点，端口，DNS服务屏蔽。

通过这次的实验，更加深入地了解了防火墙和IPSec安全协议的原理以及使用，理解了两者的异同和作用。

下一步工作

在这次实验的基础上，自己编写防火墙应用程序，部署在路由器上，将能够对通过路由器的IP数据包提取源/目的IP地址，源/目的端口号，协议类型等参数，实现包过滤，同时利用linux环境下的QT编程实现用户友好界面。

参考文献

[1]蒋天发，周迪勋．网络信息安全[M]．北京：

电子工业出版社，2009．

[2]候整风，张仁斌，钱朝阳，马学森．网络与信息安全系列课程实践教程[M]．合肥：

合肥工业大学出版社，2006．

[3]吴怀宇．WindowsServer2003中文版组网入门与进阶[M]．北京：

海洋出版社，2004．

[4]张伍荣．网管实战宝典[M]．北京：

清华大学出版社，2008．

[5]代仁东，王尚平，王晓峰，等．双层IPSec与防火墙协同工作的一个设计方案[J]．计算机应用研究,2006（10）:

107-108．

插图与表格索引

图3.1“添加/删除管理单元”对话框5

图3.2“可用的独立管理单元”列表框6

图3.3“管理IP筛选器表和筛选器操作”对话框7

图3.4“IP筛选器列表”对话框7

图3.5修改“IP筛选器列表”的内容8

图3.6“IP筛选器属性”对话框“地址”标签页8

图3.7“IP筛选器属性”对话框的“协议”标签页9

图3.8设置好的IP筛选器列表9

图3.9增加新筛选器操作10

图3.10“阻止”已加入筛选器操作11

图3.11“IP安全策略向导”对话框11

图3.12IP安全策略名称12

图3.13“我的安全策略属性”对话框12

图3.14新规则已建立13

图3.15“IP筛选器属性”对话框屏蔽端口13

图3.16IP筛选器属性协议对话框14

图3.17已屏蔽ftp21端口14

图3.18指派新的IP安全策略15

图3.19有效的DNS域名解析15

图3.20IP筛选器属性协议对话框16

图3.21已屏蔽dns服务16