防火墙实验报告.docx

防火墙实验报告.docx

《防火墙实验报告.docx》由会员分享，可在线阅读，更多相关《防火墙实验报告.docx（14页珍藏版）》请在冰豆网上搜索。

防火墙实验报告

、实验目的

通过实验深入理解防火墙的功能和工作原理熟悉天网防火墙个人版的配置和使用

、实验原理

防火墙的工作原理

防火墙能增强机构内部网络的安全性。

防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。

防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

两种防火墙技术的对比

包过滤防火墙：

将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快；定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。

应用级网关：

内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用。

防火墙体系结构

屏蔽主机防火墙体系结构：

在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

双重宿主主机体系结构：

围绕双重宿主主机构筑。

双重宿主主机至少有两个网络接口。

这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。

但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

被屏蔽子网体系结构：

添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。

被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。

一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。

四、实验内容和步骤

（1）简述天网防火墙的工作原理

天网防火墙的工作原理：

在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。

基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。

由于Internet与Intranet的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器。

防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。

然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。

路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。

每个包有两个部分：

数据部分和包头。

过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。

包头信息包括：

IP源地址、IP目的地址、封装协议（TCP、UDP、或IPTunnel）、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。

如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。

如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。

如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。

（2）实验过程步骤：

（1）运行天网防火墙设置向导，根据向导进行基本设置。

安全级别设置

®細几恃级舸呗论据您腰

.瞬被认全信任局域

嬴备is密

氐所有应用程序初次访问网貉时押將襪词句

可fflwb

认服、开服番件序的文程供词的握•究.、取仃絆问系许运软

询问允起

披谊口八攪电將g»伸制禁机窿旳•的，频第作藹理观刚运内营者问则网则嚴»

戏户潼幣粉游用

W

玻局件

&

i

•比个1务，通育搜扱勞SmM共□用中程如呱端适的fEW的■可尧打SI务

将止文到向0（1时•务法騎第作服无屏网运寧将会佝则

询规络紮次应朋的*初梢的上口序怖供朗靖程直提联的驟自ft打肖按问刚序所贝

;ffi器局的高程机、可

的的>认

r拢襄使用的安全级别是

rffi冷中广离r自定义

下一步、］~~

I1

安全级别：

自定义

低中SFJS自定賈

基本设置管理权限设置在线升级设置日志管理入僮检测设置

梵世设置

浏览

重置

口J3

（2）启动天网防火墙，运用它拦截一些程序的网络连接请求，如启

动MicrosoftBaselineSecurityAnalyzer,则天网防火墙会弹出报警窗

口。

此时选中该程序以后都按照这次的操作运行”，允许MBSA对网络的访问。

廉作：

连接网絡

血改：

TCP

褪址:

59.42.10.54谛口:

Http[80]

坟件信JB

—.名称’天网防火墙个入版

JJ版本：

3,0

乜燧2006-9-24

文件踣径

C:

\Pfggtaih

P该程序以后都按照这茂的橈作运讦

VS'd**Ma（41*HMt-9h*WHrriJkitaisri'WrMtMdH■Mvta'taifaa'MiiwisM'Mwfa*1

（3）打开应用程序规则窗口，可设置MBSA的安全规则，如使其只

可以通过TCP协议发送信息，并制定协议只可使用端口21和8080

等。

了解应用程序规则设置方法。

应用程序规则高级设置

兰天网防火墙个人版对网络进行燥作时，要符合下面规则:

TCF协议可访问诵口

•任何端口

端口范围

r瑞口列表

取消

该应用程序可以

2遹过fcp协裁™HK

■■■BMnMMlaiBVMHiMmd

提供TCF协垃眼备

P通过UDP协谡发送信息

M提供UDF协垃服务不符合上面条件时

醐诲间

r禁止撫作

I确定i

（4）使用IP规则配置，可对主机中每一个发送和传输的数据包进行控制；ping局域网内机器，观察能否收到reply;修改IP规则配置,将允许自己用ping命令探测其他机器”改为禁止并保存，再次ping局域网内同一台机器，观察能否收到reply。

改变不同IP规则引起的结果：

规则是一系列的比较条件和一个对数据包的动作，即根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。

通过合理设置规则就可以把有害的数据包挡在机器之外。

邇过这案规Mb你可以监视机器与外部之间的所有UTF包的童进和接爭过程I意#渾是一个监观规则，开启后可能会产生大量的日志，平常请不要打幵.条规则是绐熟悉TCP/IP协议网络的人使用，如果惋不熟悉网貉，请不要开启.条规则一定要是UDF协议规则的第一条-

Requesttimedout.

Pin出网192.16fl.fi,luithhytest）f:

（5）将允许自己用ping命令探测其他机器”改回为允许，但将此规

则下移到防御ICMP攻击”规则之后，再次ping局域网内的同一台

机器，观察能否收到reply。

自定爻廿规则

厨曹XE1节4鸟帕』

1动作1名称

|协溟|方向|对方有上

"允许路由器返回^无怎到达^的ICMPEICMF出任何防止别人用pi"諭令探测ICWIF出任何

防御ICIHF攻击ICNIF1*1枉何

允许自己用pi4希令探测苴他机器ICMP古任何

防御1GNF攻击IGNIFA任何

TCF数据包监观

允许局域网的机器使用我的共享资源-1TCF佔局域网允许局域网的机器使用我的共5^-2TCPA局域网禁止互联网上的机辭使用我的共拿资源TCPA任何

通过这条规则，你可以监视机器与外部二同的所百TCFi至接诸求匚注意，这只是

1个监觇规则，开启后会产生大量的日志，运机则是给熟誰TCP/IF协识觸谿的人丄4jn-sffr—s/.>i■■+-i-eHi卄_uirtii—d„三ij.哲如丄穴e.dl再丹

RequesttinedoutvRcquesttinedout・Requesttinedout.Reque$ttimedoutv

（6）添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全

规则；邻居同学发起FTP请求连接，观察结果

亟增加IF规则

对方IF地址

恳.指定地址二地址|cFo.0~o

记录

警告

发声

（7）观察应用程序使用网络的状态，有无特殊进程在访问网络，若

有，可用结束进程”按钮来禁止它们

安全级别：

自定义

低中高犷屋有云乂

BBC30

应用程序网貉状态tcp协據二！

&

SYSTEM

GenericMoztProcessforWin32Servi

SQLServertfiixdowsNT

Xpplicati«rtL&y«rGatew^ySfervi

33333

+X■+++

应用程厚网路状态|全部协迂工o-I

SYSTEM

GenericHostFrocessforWin32Strvices

IBMCR）DB2CR）

IBMGODB2（B）

^pplicationLiytrGate*&yService

（8）察看防火墙日志，了解记录的格式和含义。

日志的格式和含义：

天网防火墙将会把所有不符合规则的数据包拦截并且记录下来，

如图15所示。

每条记录从左到右分别是发送/接受时间、发送IP

地址、数据传输圭寸包类型、本机通信端口、标志位和防火墙的操作。

日志|全部日志3園Xli▲

[09i35:

39]天网防火墙个人版启动！

[09:

35:

56]揆收到192*168.0.46的UDP数据包，

皋机端口：

0>

对方端口：

8010谡包被拦截。

[10:

22:

13]接收到192,168..0.188的UDP数据包，

本机端口：

11113,

对方端口：

1034

该包被拦就。

lc：

AndSoft

Cuiirqi4f€tioni£

1Aildfitss

FerirignAd^lLus：

is

Str

ICP

FOUKI>Fin"-EiEFCB；e|inap

FOUNDERILlEFCHzB

LISTEN1MG

tcp

FOBNDEIIT-ElEFCR:

ricrn<

«ftrlsFOUNDbRTH1PCJi

:

W

LISTENING

Tl；P

FQUNBtrrt：

lEFCK;l!

2HS

TIME-

.WAI]

TCP

FOLINDFRTKIl：

F€JI:

TIHK_

WAIT

TCP

FOIIHDFRTFlrFGH：

KZ23

123

IIHF

WAII

TCP

FOUNBEirrElEFCB：

2226

123,125,115,lZ6：

htt：

p

TME

WAIT

TCP

FOUNDERTF1EFGBS2227

123.125v114nS0^Ctp

TIHE

WAIT

TCP

FOUN>ERT-EiEFCB=2234

123.125>115.170：

http

EGIADLIBNED

ICP

FOUHDEKT■匹ETC肌IBS科

FOUNDER!

-ElEFCB:

0

LiSIEHING

TCP

FOUHDEftT-ElEFCBtnetbio?

-s?

nFOUHDERT-ElEFCB:

9

LtSTENTNG

UDP

FOUHBERT-E1EFCB-nict-oooft*dc*-*

UDF

F0UMDEBT-E1EPCB11B74

■V：

V

UDP

FOUHAERT-EiEFCB：

1133

UDF

F0UHDEKT-E1EFCB：

113S

wz*

UDP

t'OUHDERT-FlEFCft：

1144

HOP

rOUHDFRTE：

lKFCH：

tt52

WI聲

LWF

MVHDERT-^ElEFCBe12SB

imp

POUHDFRI11l'HCJk4iM*k4

1*5M

UDF

FOVNDERT-ElEFCDEntp

M：

N

UEF

FdlWDFFTTFl1FCnil9IM

五、实验总结

通过该实验了解了个人防火墙的工作原理和规则设置方法，了解

到天火防火墙的优点及缺点：

1、灵活的安全级别设置2、实用的应

用程序规则设置3、详细的访问记录4、严密的应用程序网络状态监

控功能5、多样的缺省IP规则6、可以自定义IP规则7、具有修补系

统漏洞功能