防火墙配置.docx
《防火墙配置.docx》由会员分享,可在线阅读,更多相关《防火墙配置.docx(16页珍藏版)》请在冰豆网上搜索。
防火墙配置
贵州大学实验报告(小三号,加黑)
学院:
计算机科学与技术专业:
信息安全班级:
121
姓名
饶永明
学号
1208060066
实验组
实验时间
5.27
指导教师
蒋朝惠
成绩
实验项目名称
防火墙
实验目的
1、深入理解NAT和防火墙的工作原理;
2、掌握WindowsServer2003操作系统内置互联网连接防火墙(ICF)和网络地址转换
(NAT)的配置技能;
3、掌握Linux防火墙的配置和使用。
实验要求
本实验属于验证型实验,通过实验,加强对操作系统防火墙知识的理解。
开始实验前,必须进行预习,实现操作所有要求的步骤。
实验过程中,先集中由老师进行具体要求和注意事项的讲解,然后各自独立在机器上完成实验。
实验过程中出现问题,在实验指导老师帮助下解决。
实验原理
互联网连接防火墙简称ICF,用于保护家庭用户和小型企业不受外部威胁的侵害,ICF指在为Windows操作系统提供一个基本的入侵保护机制,这意味着ICF可以防止黑客扫描计算机信息,也可以阻止XX请求的外部流量进入计算机。
实验仪器
Windows防火墙:
(1)运行WindowsServer2003操作系统的PC一台,运行Windows2000Server/Server2003/xp操作系统的PC两台,它们通过交换机相连。
(2)运行WindowsServer2003操作系统的PC具有两块以太网,一块玉外网相连,另一块玉局域网相连。
Linux防火墙:
一台安装了RedhatLinux9.0操作系统代理服务器作为防火墙,两台集线器。
实验步骤与内容
(1)配置ICF防火墙
(2)配置NAT/基本防火墙
①设置两块网卡的IP地址;
②设置NAT;
1设置连接互联网的网卡上的IP筛选器;
④设置连接局域网的网卡上的IP筛选器(设置方法同上)。
(3)测试防火墙
①测试ICF防火墙;
②NAT/基本防火墙测试。
(4)Linux下的部分操作。
实验数据
(1)、配置ICF防火墙
启动防火墙:
添加服务:
设置安全日志:
配置并启用路由和远程访问:
设置本地连接属性:
添加入站IP刷选器:
还可以设置出站刷选器,设置方式跟入站一样。
(3)测试防火墙
1、ICF防火墙设置
不选中【telnet服务器】复选框:
远程访问该主机:
若选择Telnet:
2、NAT/基本防火墙设置
刷选器为空时
ping192.168.0.254
设置刷选器如下:
设置完后:
Linux防火墙:
1、在代理服务器上安装RedhatLinux9.0操作系统作为防火墙
2、在代理服务器上加载iptables及相关模块
3、启动iptables的服务
4、列出当前的iptables
5、清楚原有的原则
清楚Filter、NAT表中的相关规则:
6、设定策略
首先把INPUT,OUTPUT和FORWARD的默认策略设置为DROP:
7、开放HTTP
为了开放HTTP,需要允许80端口的TCP数据包通过:
[root@localhostroot]#/sbin/iptables-AOUTPUT-oeth0-ptcp-s192.168.1.3--sport1023:
65535-dany/0--dport80-jACCEPT
8、实现DNS
为实现域名解析,需要开放UDP和DNS的53端口:
9、实现Telnet功能
10、实现FTP功能
开放20端口进行数据传输:
打开passive模式下的FTP服务:
11、实现ping
重启:
实验总结
Windows防火墙思考题:
1、windowsICF防火墙与NAT防火墙有何区别:
答:
相同的是都是起数据过滤作用。
不同点是一个是对外,一个是对内。
nat是内网映射。
你发送一个数据包,nat会检查目的IP是不是内网的ip,如果是,则将数据发到内网,否则,则发到外网。
2、windowsICF防火墙有哪些功能
答:
ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。
为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。
在单独的计算机中,ICF将跟踪源自该计算机的通信。
与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。
所有Internet传入通信都会针对于该表中的各项进行比较。
只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。
源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。
ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
Linux防火墙思考题:
1、windows防火墙和linux防火墙各有什么特点
答:
前者是GUI界面,操作比较简单。
后者是命令行界面,操作比较复杂。
linux自带的防火墙是专业级的,跟win下面专门下载的防火墙一个性质,可以过滤指定ip,指定协议访问或禁止,甚至可以自动重定向端口,自动负载均衡。
2、请比较包过滤、应用代理和状态监测3种防火墙技术的优缺点
答:
包过滤的防火墙最简单,可以指定让某个IP或某个端口或某个网段的数据包通过[或不通过],它不支持应用层的过滤,不支持数据包内容的过滤。
状态防火墙更复杂一点,按照TCP基于状态的特点,在防火墙上记录各个连接的状态,这可以弥补包过滤防火墙的缺点,比如你允许了ip为1.1.1.1的数据包通过防火墙,但是恶意的人伪造ip的话,没有通过tcp的三次握手也可以闯过包过滤防火墙。
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
总结:
通过本次实验,我对防火墙的基本配置有了一个新的了解,掌握了NAT防火墙和linux防火墙配置的基本步骤及原理。
对防火墙的功能从本质上有了新的认识,相信在以后的学习生活中对我有很大的帮助。
同时在此次实验中,我了解到以下三点:
1、在配置NAT/基本防火墙时要把电脑的防火墙禁用,这样才能配置防火墙
2、NAT有3种类型:
静态地址NAT、动态地址NAT以及网络地址端口转换NAPT。
其中静态地址NAT的设置最简单
3、linux防火墙的功能和原理。
指导教师意见
签名:
年月日
注:
各学院可根据教学需要对以上栏目进行增减。
表格内容可根据内容扩充。