云南大学软件学院信息安全工程实验6剖析.docx
《云南大学软件学院信息安全工程实验6剖析.docx》由会员分享,可在线阅读,更多相关《云南大学软件学院信息安全工程实验6剖析.docx(10页珍藏版)》请在冰豆网上搜索。
云南大学软件学院信息安全工程实验6剖析
云南大学软件学院
实验报告
课程:
信息安全工程实验任课教师:
林英
姓名:
学号:
专业:
成绩:
实验6.防火墙实验
一、实验目的:
通过实验理解入防火墙的功能和工作原理,学习NAT转换原理,熟悉NAT在一般网络环境中的应用、Linux系统中iptables防火墙以及Windows防火墙的配置和使用。
二、实验原理
NAT转换实验:
网络地址转换(NAT,NetworkAddressTranslation)是Internet工程任务组(IETF,InternetEngineeringTaskForce)的一个标准,是把内部私有IP地址转换成合法网络IP地址的技术,允许一个整体机构以一个公用IP地址出现在Internet上。
IPtables防火墙配置实验:
IPtables是复杂的,它集成到linux内核中。
用户通过IPtables,可以对进出你的计算机的数据包进行过滤。
通过IPtables命令设置你的规则,来把守你的计算机网络──哪些数据允许通过,哪些不能通过,哪些通过的数据进行记录(log)。
Windows防火墙实验:
Windows防火墙是一个基于主机的状态防火墙,它丢弃所有未请求的传入流量,即那些既没有对应于为响应计算机的某个请求而发送的流量(请求的流量),也没有对应于已指定为允许的未请求的流量(异常流量)。
Windows防火墙提供某种程度的保护,避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。
三、实验步骤
NAT转换实验
一、连接防火墙服务器,开始实验
启动实验客户端,选择“防火墙”中的“NAT转换实验”,点击“连接”。
连接成功后,会提示连接成功,主界面会显示连接IP信息及防火墙规则操作画面。
二、添加静态路由
打开本地主机cmd命令行,输入routeadd172.21.0.0mask255.255.0.0172.20.2.1,添加路由。
三、验证网络连通性
输入ping172.21.3.76,如图所示。
四、编写目的NAT规则
点击“添加”,填写如图所示的规则。
五、验证目的NAT实验结果
目的地址为172.21.3.77的数据包被NAT为172.21.3.76,Ping该目的地址,成功后如图所示。
六、编写源NAT规则
首先访问http:
//172.21.3.76/showip.asp,并记录页面中显示的信息。
实验实施界面中点击“添加”,添加如图所示的防火墙规则。
七、验证源NAT实验结果
再次访问http:
//172.21.3.76/showip.asp。
对比前面访问时页面的显示,源地址被转换成172.20.2.1,结果如图所示,从而实现隐藏源地址的作用。
IPtables防火墙配置
打开Linux实验台,进入Linux系统,启动ftp服务。
(1)通过IE访问FTP服务器,服务器可访问时如图所示。
(2)设置防火墙规则
如图所示为防火墙设置默认规则,即先清空所有规则,再将OUTPUT链设置为默认丢弃。
此时不能访问FTP,如图所示。
再针对FTP服务进行放行,添加防火墙规则如图所示。
其中,如图所示的命令将FTP控制端口放行;如图所示的命令将FTP的数据端口放行。
(3)实验结果如图所示。
Windows防火墙配置
(1)启动Windows实验台,进入Windows2003系统,开启Windows防火墙。
(2)本地主机连接Windows实验台系统的FTP服务器,连接结果如图所示。
(3)设置开启FTP服务
在Windows实验台系统中,点击防火墙的“高级”选项。
选择“本地连接”,然后点击“设置”。
勾选其中的“FTP服务器”选项,弹出如图所示的对话框,输入Windows实验台自身的IP地址或计算机名称,点击“确定”。
(4)查看添加结果
本地主机重新访问FTP服务器,成功。
四、回答问题:
1)什么情况可以使用NAT,如何设计,有何优点
NAT常用于下述情形:
1.没有足够的公网IP连接到Internet
2.当更换ISP需要重新编址
3.合并两个使用重叠地址空间的内部网络
4.使用单个IP地址支持基本的负载分担
优点:
1.节省了公网IP地址
2.能够处理编址方案重叠的情况
3.网络发生改变时不需要重新编址
4.隐藏了真正的IP地址
缺点:
1.NAT引起数据交互的延迟
2.导致无法进行端到端的IP跟踪
3.某些应用程序不支持NAT
4.需要消耗额外的CPU和内存
2)防火墙的局限性
防火墙十大局限性:
一、防火墙不能防范不经过防火墙的攻击。
没有经过防火墙的数据,防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。
防火墙可以设计为既防外也防内,谁 都不可信,但绝大多数单位因为不方便,不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。
防火墙是一个被动的安全策 略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。
防火墙是一个安全设备,但防火墙本身必 须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。
一旦防火墙准许某些标准网络 协议,防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。
黑客通过防火墙准许的访问端口对 该服务器的漏洞进行攻击,防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。
防火墙本身并不具备查杀病毒的功能,即使 集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。
当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
9、防火墙不能防止内部的泄密行为。
防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。
防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。
因此对防火墙也必须提供某种安全保护。
3)防火墙与入侵检测的区别与联系
防火墙和入侵检测系统的区别:
1.概念
1)防火墙:
防火墙是设置在被保护网络(本地网络)和外部网络(主要是Internet)之间的一道防御系统,以防止发生不可预测的、潜在的破坏性的侵入。
它可以通过检测、限制、更改跨越防火墙的数据流,尽可能的对外部屏蔽内部的信息、结构和运行状态,以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。
2)入侵检测系统:
IDS是对入侵行为的发觉,通过从计算机网络或计算机的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
3)总结:
从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了ISO存在误报和漏报的情况出现。
2.功能
防火墙的主要功能:
1)过滤不安全的服务和非法用户:
所有进出内部网络的信息都是必须通过防火墙,防火墙成为一个检查点,禁止未授权的用户访问受保护的网络。
2)控制对特殊站点的访问:
防火墙可以允许受保护网络中的一部分主机被外部网访问,而另一部分则被保护起来。
3)作为网络安全的集中监视点:
防火墙可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。
入侵检测系统的主要任务:
1)监视、分析用户及系统活动
2)对异常行为模式进行统计分析,发行入侵行为规律
3)检查系统配置的正确性和安全漏洞,并提示管理员修补漏洞
4)能够实时对检测到的入侵行为进行响应
5)评估系统关键资源和数据文件的完整性
6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为
总结:
防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。
防火墙和入侵检测系统的联系:
1.IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全;
2.IDS实时检测可以及时发现一些防火墙没有发现的入侵行为,发行入侵行为的规律,这样防火墙就可以将这些规律加入规则之中,提高防火墙的防护力度。
升级会员 