实训41防火墙与网络隔离技术.docx

1、实训41防火墙与网络隔离技术实训4-1-防火墙与网络隔离技术实训4.1了解防火墙技术本节实训与思考的目的是：(1) 熟悉防火墙技术的基本概念，了解防火墙技术的基本内容。(2) 通过因特网搜索与浏览，了解网络环境中主流的防火墙技术网站，掌握通过专业网站不断丰富防火墙技术最新知识的学习方法，尝试通过专业网站的辅助与支持来开展防火墙技术应用实践。(3) 在Windows XP中配置简易防火墙 (IP筛选器) ，完成后，将能够在本机实现对IP站点、端口、DNS服务屏蔽，实现防火墙功能。1 工具/准备工作在开始本实训之前，请认真阅读本课程的相关内容，熟悉防火墙的基本概念。需要准备一台运行Windows

2、XP Professional并带有浏览器，能够访问因特网的计算机。2 实训内容与步骤(1) 概念理解1) 请通过查阅有关资料，尽量用自己的语言，简述防火墙的作用是什么？防火墙是网络安全的屏障。防火墙可以强化网络安全策略。对网络存取和访问进行监控审计。防止内部信息的外泄。_2) 根据防范的方式和侧重点的不同，防火墙技术可分成很多类型，但总体来讲还是二大类：分组过滤和应用代理。请分别简单介绍这两种防火墙技术。分组过滤或包过滤技术：作用于网络层和传输层，通常安装在路由器上，对数据进行选择，它根据分组包头源地址、目的地址和端口号、协议类型等标志，确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转

3、发到相应的目的地出口端，其余数据包则被从数据流中丢弃。应用代理技术：通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。3) 请分别简单介绍：什么是“胖”防火墙：“胖”防火墙在保证基本功能的前提下，不断扩展增值功能NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系，力图将防火墙系统开发成为一个安全域的整体解决方案，它的优点在于可以满足用户绝大部分的网络安全需求。什么是“瘦”防火墙：一般来说，大型用户安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力也较高，因此，这种客户均倾向于使用独立的安全设备，并

4、渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能，“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。(2) Windows防火墙的应用Windows 防火墙能做到和不能做到的功能情况请参见表4.1。表4.1 Windows防火墙的功能能做到：不能做到：阻止计算机病毒和蠕虫到达你的计算机。检测或禁止计算机病毒和蠕虫 (如果它们已经在你的计算机上) 。由于这个原因，还应该安装防病毒软件并及时进行更新，以防范病毒、蠕虫和其他安全威胁破坏你的计算机或使用你的计算机将病毒扩散到其他计算机。请求你的允许，以阻止或取消阻

5、止某些连接请求。阻止你打开带有危险附件的电子邮件。不要打开来自不认识的发件人的电子邮件附件。即使你知道并信任电子邮件的来源，仍然要格外小心。如果你认识的某个人向你发送了电子邮件附件，请在打开附件前仔细查看主题行。如果主题行比较杂乱或者你认为没有任何意义，那么请在打开附件前向发件人确认。创建记录 (安全日志) ，可用于记录对计算机的成功连接尝试和不成功的连接尝试，可用作故障排除工具。阻止垃圾邮件或未经请求的电子邮件出现在你的收件箱中。不过，某些电子邮件程序可以帮助你做到这一点。1) 打开或关闭Windows防火墙。为打开或关闭Windows防火墙，必须以管理员身份登录计算机，并按以下步骤执行：步

6、骤1：在Windows的“开始”菜单中单击“控制面板”命令，然后双击其中的“Windows 防火墙”图标，打开Windows防火墙，见图4.6所示。图4.6 “Windows防火墙”对话框步骤2：在“常规”选项卡上，单击下列选项之一： 启用 (推荐) ：通常应当使用此设置。 关闭 (不推荐) ：关闭Windows防火墙可能会使你的计算机以及网络更容易受到病毒或未知入侵者的损坏。如果使用“高级”选项卡关闭一个或多个单个连接的Windows防火墙，那么Windows安全中心将报告防火墙已关闭，即使其他连接的防火墙并未关闭。并且，在“常规”选项卡中，Windows防火墙将仍旧设置为“启用”。2) 启

7、用安全记录。当Windows防火墙处于打开状态时，在默认情况下并不启用安全记录。但是，无论安全记录是否被启用，防火墙都能正常工作。而只有启用了Windows防火墙的连接才能使用日志记录功能。为启用安全记录选项，用户必须以管理员身份登录计算机，并执行以下操作：步骤1：打开“Windows防火墙”对话框，单击“高级”选项卡，见图4.7所示。步骤2：在其中的“安全日志记录”栏中单击“设置”按钮，打开“日志设置”对话框，如图4.8所示。步骤3：单击下面的选项之一： 若要启用对不成功的入站连接尝试的记录，请选中“记录被丢弃的数据包”复选框。 若要启用对成功的出站连接的记录，请选中“记录成功的连接”复选框

8、。步骤4：单击“确定”按钮，完成操作。 图4.7 Windows防火墙的“高级”选项卡 图4.8 “日志设置”对话框3) 查看安全日志文件。为查看安全日志文件，请按以下步骤操作：步骤1：打开Windows防火墙，在“高级”选项卡上单击“安全日志记录”下的“设置”按钮。步骤2：单击“另存为”按钮，在对话框中进行浏览查看。步骤3：右键单击pfirewall.log，然后在快捷菜单中单击“打开”命令。防火墙日志的默认名称是pfirewall.log，其存放位置在Windows文件夹中。但必须选中“记录被丢弃的数据包”或“记录成功的连接”复选框，才能使pfirewall.log文件出现在Windows

9、文件夹中。如果超过了pfirewall.log可允许的最大大小 (4096 KB) ，则日志文件中原有的信息将转移到一个新文件中，并用文件名pfirewall.log.old进行保存。新的信息将保存在所创建的第一个文件 (名为pfirewall.log) 中。请记录：上述各项操作能够顺利完成吗？如果不能，请分析原因。能够顺利完成。 (3) 简易防火墙设置下面，我们尝试在Windows XP Professional上学习设置简易的防火墙。1) 运行IP筛选器。为运行IP筛选器，请按以下步骤执行：步骤1：在Windows XP的“开始”菜单中单击“运行”命令，在“运行”对话框的“打开”文本框中输

10、入mmc，单击“确定”按钮，屏幕显示“控制台1”窗口，如图4.9所示。其中包含了“控制台根节点”窗口。图4.9 “控制台1”窗口步骤2：在“控制台1”窗口的“文件”菜单中单击“添加/删除管理单元”命令，出现“添加/删除管理单元”对话框 (见图4.10) 。在其中选择“独立”选项卡。 图4.10 “添加/删除管理单元”对话框 图4.11 “添加独立管理单元”对话框步骤3：在“管理单元添加到”下拉列表框中，选择“控制台根节点”选项，单击“添加”按钮，出现“添加独立管理单元”对话框，见图4.11所示。请记录：在“可用的独立管理单元”栏中有哪些选项 (请阅读相关的描述信息) ：a 组件服务 b 组策略

11、对象编辑器c证书d 性能日志和警报e 文件夹f 索引服务g事件查看器h 设备管理器i 可移动存储管理j计算机管理k共享文件夹l服务m 磁盘碎片整理程序n 磁盘管理o 策略的结果集p 本地拥护和组q 安全配置和分析r安全摸板s WMT控制t WEB地址的连接u SQL Server 配置管理器v Oracle 管理对象w SQL 企业管理器x Micrsoft 元数据浏览器y Internet 协议安全性 (IPSec) 管理步骤4：在“可用的独立管理单元”列表框中选择“IP安全策略管理”选项，单击“添加”按钮，显示“选择计算机”对话框，如图4.12所示。在其中选择“本地计算机”单选按钮，单击“

12、完成”按钮，返回“添加独立管理单元”对话框。步骤5：单击“关闭”按钮，返回“添加/删除管理单元”对话框。请记录：此时，在“添加/删除管理单元”对话框下部的“描述”框中，显示的“IP安全策略”描述信息是：Internet 协议安全性 (IPSec) 管理。为与别的计算机进行安全通讯管理 IPSec 策略。_步骤6：单击“确定”按钮，返回“控制台1”窗口，完成“IP安全策略，在本地计算机”的设置。2) 添加IP筛选器表。在本机中添加一个能对指定IP地址 (192.168.14.1) 进行筛选的IP筛选器表。图4.12 “选择计算机或域”对话框步骤1：在“控制台1”窗口的“控制台根节点”窗口中，单击

13、刚建立的“IP安全策略，在本地计算机”选项，右边框中出现3个默认的安全规则，请分别记录其描述信息： 安全服务器 (需要安全) ：对所有 IP 通讯总是使用 Kerberos 信任请求安全。不允许与不被信任的客户端的不安全通讯。 _ 客户端 (仅响应) ：正常通讯 (不安全的)。使用默认的响应规则与请示安全的服务器协商。只有与服务器的请求协议和端口通讯是安全的。_ _ 服务器 (请求安全) ：对所有 IP 通讯总是使用 Kerberos 信任请求安全。允许与不响应请求的客户端的不安全通讯。_步骤2：选中左边的“IP安全策略，在本地计算机”选项并单击右键，从快捷菜单中单击“管理IP筛选器表和筛选器

14、操作”命令，出现“管理IP筛选器表和筛选器操作”对话框，如图4.13所示。步骤3：在对话框中单击“添加”按钮，出现“IP筛选器列表”对话框 (图4.14) 。在打开的“IP筛选器列表”对话框中输入此IP筛选器的名称和描述。例如：“名称”为“屏蔽特定IP”，“描述”为“屏蔽192.168.14.1”，并取消选择“使用添加向导”复选框，然后单击“添加”按钮，出现“筛选器属性”对话框 (见图4.15) ，可对“屏蔽特定IP”进行设置。步骤4：在“筛选器属性”对话框中选择“寻址”选项卡，在“源地址”和“目标地址”下拉列表框框中分别选择“我的IP地址”和“一个特定的IP地址”选项。当选择“一个特定的IP

15、地址”时，会出现“IP地址”文本框，可输入要屏蔽的IP地址，如“192.168.14.1”。选择IP地址设定的方法有5种，容易理解。图4.13 “管理IP筛选器表和筛选器操作”对话框图4.14 “IP筛选器列表”对话框默认情况下，“IP筛选器”的作用是单方面的，比如源地址为A，目标地址为B，则防火墙只对AB的流量起作用，对BA的流量则略过不计。选中“镜像”复选框，则防火墙对AB的双向流量都进行处理 (相当于一次添加了两条规则) 。步骤5：在“协议”选项卡中，可选择协议类型及设置IP协议端口。步骤6：在“描述”选项卡的“描述”文本框中，可输入描述文字，作为筛选器的详细描述。图4.15 “筛选器属

16、性”对话框步骤7：然后，单击“确定”按钮，返回“IP筛选器列表”对话框，再单击“确定”按钮，返回“管理IP筛选器表和筛选器操作”对话框，“屏蔽特定IP”被填入了“IP筛选器列表”中。步骤8：单击“关闭”按钮，完成本次操作。3) 添加IP筛选器操作。上述操作将一个虚拟的C类网段192.168.14.1加入到了“待屏蔽IP列表”，但它只是一个列表，没有防火墙功能，只有再加入动作后，才能够发挥作用。下面，我们将建立一个“阻止”操作，通过操作与刚才的列表结合，就可以屏蔽特定的IP地址。步骤1：在“控制台1”窗口的“控制台根节点”窗口中，选中左边的“IP安全策略，在本地计算机”选项并单击右键，选择“管理

17、IP筛选器表和筛选器操作”命令，显示“管理IP筛选器表和筛选器操作”对话框。步骤2：在对话框的“管理IP筛选器列表”选项卡中选择“屏蔽特定IP”选项，然后选择“管理筛选器操作”选项卡 (见图4.16) ，取消对其中的“使用添加向导”选项的选择，再单击“添加”按钮，出现“新筛选器操作属性”对话框 (见图4.17) 。步骤3：在“新筛选器操作属性”对话框的“安全措施”选项卡中选择“阻止”单选按钮，然后选择“常规”选项卡，在“名称”文本框中输入“阻止”(图4.18) 。步骤4：单击“确定”按钮，此时“阻止”加入到筛选器操作列表中。步骤5：请在“管理IP筛选器表和筛选器操作”对话框的“筛选器操作”列表

18、中查阅和记录各筛选器操作的描述信息： 请求安全 (可选) ：接受不安全的通讯但总是用TPSEC响应 。允许和不支持TPSEC的计算机进行不安全的通讯。 图4.16 “管理筛选器操作”选项卡 图4.17 “新筛选器操作属性”对话框图4.18 “常规”标签页 需要安全：接受不安全的通讯但总是用TPSEC响应 。 许可：允许不安全的IP包经过 。 4) 创建IP安全策略。筛选器表和筛选器操作已建立完毕，将它们结合起来发挥防火墙的作用。步骤1：返回“控制台1”的“控制台根节点”窗口，选择“IP安全策略，在本地计算机”选项并单击右键，在快捷菜单中单击“创建IP安全策略”命令，出现“IP安全策略向导”对话

19、框之一，单击“下一步”按钮。步骤2：在“IP安全策略向导”对话框 (见图4.19) 的“名称”文本框中输入“我的安全策略”，还可以在“描述”文本框中输入对安全策略设置的描述。图4.19 “IP安全策略向导”对话框步骤3：单击“下一步”按钮，在继续显示的“IP安全策略向导”对话框中，取消选择“激活默认响应规则”复选框 (见图4.20) 。步骤4：再单击“下一步”按钮，在“IP安全策略向导”对话框中选择“编辑属性”复选框 (见图4.21) ，再单击“完成”按钮，这时，将出现“我的安全策略属性”对话框 (见图4.22) 。步骤5：在“我的安全策略属性”对话框的“规则”选项卡中，取消对其中的“使用添加

20、向导”选项的选择，再单击“添加”按钮，出现“新规则属性”对话框 (图4.23) 。图4.21 “IP安全策略向导”对话框步骤6：我们来修改策略的属性，用筛选器表和筛选器操作建立规则。为此，在“新规则属性”对话框的“IP筛选器列表”标签页中，选择新建立的IP筛选器 (即“屏蔽特定IP”) 单选按钮；再在“筛选器操作”选项卡中，选择“阻止”单选按钮；然后单击“确定”按钮，返回“我的安全策略属性”对话框，可以看到新规则已经建立。至此，屏蔽特定IP的操作已完成。图4.20 “IP安全策略向导”对话框5) 用IP筛选器屏蔽特定端口。下面，我们建立一个名为“屏蔽139端口”的IP筛选器规则，关闭本机的13

21、9端口，然后结合上述任务添加的“阻止”动作进行设置。同样，也可以关闭其他端口。步骤1：在“控制台1”窗口的“控制台根节点”窗口中，选中左边的“IP安全策略，在本地计算机”选项并单击右键，在快捷菜单中单击“管理IP筛选器表和筛选器操作”命令。步骤2：在“管理IP筛选器表和筛选器操作”对话框中单击“添加”按钮，在“IP筛选器列表”对话框的“名称”文本框中，输入“屏蔽139端口”，继续单击“添加”按钮，出现“筛选器属性”对话框。 图4.22 “我的安全策略属性”对话框 图4.23 “新规则属性”对话框步骤3：在“筛选器属性”对话框“寻址”选项卡的“源地址”下拉列表框中选择“任何IP地址”；在“目的地

22、址”下拉列框中，选择“我的IP地址”；取消“镜像”复选框，如图4.24所示。“筛选器属性”对话框中的“协议”选项卡和“描述”选项卡，请参考图4.25进行设置。步骤4：单击“确定”按钮，返回“管理IP筛选器表和筛选器操作”对话框，可以看到屏蔽139端口”已建立。6) 应用IP安全策略规则。为应用IP安全策略规则，可执行以下步骤：步骤1：在“控制台1”窗口的“控制台根节点”窗口中，在右边新建立的“我的安全策略”规则上单击右键，在快捷菜单中单击“属性”，打开“我的安全策略属性”对话框，单击“添加”按钮，打开“新规则属性”对话框，步骤2：在“新规则属性”对话框的“IP筛选器列表”标签页中，选择新建立的

23、IP筛选器 (即“屏蔽139端口”) 单选按钮；再在“筛选器操作”选项卡中，选择“阻止”单选按钮；然后单击“确定”按钮，返回“我的安全策略属性”对话框，可以看到新规则已经建立。至此，共有两条安全规则(“屏蔽特定IP”和“屏蔽139端口”)已经建立，如图4.26所示。单击“确定”按钮，返回“控制台1”窗口。步骤3：“控制台1”的“控制台根节点”窗口，选择“IP安全策略，在本地计算机”选项并单击右键，在快捷菜单中单击单击“指派”命令。步骤4：在窗口的左边选择“IP安全策略，在本地计算机”选项并单击右键，在快捷菜单中单击“所有任务”“导出策略”命令，备份所设置的安全策略。同样，也可以使用“导入策略”

24、命令恢复。图4.24 “寻址”选项卡 图4.25 “协议”和“描述”选项卡的设置(4) 防火墙产品选择请以“防火墙产品”为关键字，在因特网上搜索，选择至少3款防火墙产品，并分别简单描述之。1) 产品选择1。图4.26 “我的安全策略属性”选项卡 产品名称：华为赛门铁克Secospace USG5530 产品生产厂家：_ 产品功能描述：关键部件冗余配置，成熟的链路转换机制，支持光电两类内置Bypass插卡，提供超长无故障硬件保障，商用10年+的超稳定软件平台，全球在线设备超过10万台，打造永续的办公环境，56千兆+14万兆的高密度接口，为提前跨入万兆时代的您提供不同组网情况下的安全防护，方便细化

25、安全区域，32G防火墙吞吐，15K并发VPN隧道，大容量NAT转换能力，轻松实现海量业务处理。 是否具备公安部门的销售许可： 有 没有 不清楚 产品价格：2000_2) 产品选择2。 产品名称：金山KingGate MBG+25 产品生产厂家：_ 产品功能描述：支持策略路由、支持应用地址及IP地址、支持URLQQMSN管理与控制、支持应用控制、支持流量控制、支持桌面杀毒、支持上网管理、支持负载均衡、支持统计日志、支持零配置快速开通、支持交换机接入。 是否具备公安部门的销售许可： 有 没有 不清楚 产品价格：1580_3) 产品选择3。 产品名称：方正3000-FA-NP200 。 产品生产厂家

26、：_ 产品功能描述：方正FA防火墙对数据包进行状态检测过滤, 而且能够记录通过防火墙的连接状态, 直接对分组里的数据进行处理, 具有完备的状态检测表追踪连接会话状态, 并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过, 通过连接状态进行更迅速更安全的过滤 。 是否具备公安部门的销售许可： 有 没有 不清楚 产品价格：98000_上述3款产品中，你向用户首推哪一款，为什么？请简述之。第一款，关键部件冗余配置，成熟的链路转换机制，支持光电两类内置Bypass插卡，提供超长无故障硬件保障，商用10年+的超稳定软件平台，全球在线设备超过10万台，打造永续的办公环境，56千兆+14万兆的高密度接口，为提前跨入万兆时代的您提供不同组网情况下的安全防护，方便细化安全区域，32G防火墙吞吐，15K并发VPN隧道，大容量NAT转换能力，轻松实现海量业务处理。3 实训总结熟悉防火墙技术的基本概念，了解防火墙技术的基本内容。通过因特网搜索和浏览，了解网络环境中主流的防火墙技术网站，掌握通过专业网站不断丰富防火墙技术最新知识的学习方法，尝试通过专业网站的辅助与支持来开展防火墙技术应用实践。在Windows XP中配置简易防火墙，完成后，将能够在本机实现对IP站点、端口、DNS服务屏蔽，实现防火墙功能。 4 实训评价 (教师)_