防火墙实验报告

桂 林 理 工 大 学
实 验 报 告
实验名称 防火墙实验
一、实验目的:
1、通过实验深入理解防火墙的功能和工作原理
2、熟悉天网防火墙个人版的配置和使用

二、实验环境:
实验室所有机器安装了Windows 2000操作系统,组成了局域网,并安装了天网防火墙。

三、实验内容:
一、简单阐述实验原理
防火墙的工作原理 :
防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内 部服务可以被外界访问;外界的哪些人可以访问内部的服务以及 哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数 据通过,而且防火墙本身也必须能够免于渗透。
两种防火墙技术的对比 :
(1)包过滤防火墙:将防火墙放置于内外网络的边界;价格较低,性 能开销小,处理速度较快;定义复杂,容易出现因配置不当带来 问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危 险。
(2)应用级网关:内置了专门为了提高安全性而编制的Proxy应用程 序,能够透彻地理解相关服务的命令,对来往的数据包进行安全 化处理,速度较慢,不太适用于高速网(ATM或千兆位以太网等) 之间的应用。
防火墙体系结构:
(1)屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火 墙与Internet 相连,同时一个堡垒机安装在内部网络,通过在分组 过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet 上 其它节点所能到达的唯一节点,这确保了内部网络不受未授权外 部用户的攻击。
(2)双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿主主机 至少有两个网络接口。这样的主机可以充当与这些接口相连的网 络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。 但是外部网络与内部网络不能直接通信,它们之间的通信必须经 过双重宿主主机的过滤和控制。
(3)被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体系结 构,即通过添加周边网络更进一步的把内部网络和外部网络(通 常是Internet)隔离开。被屏蔽子网体系结构的最简单的形式为, 两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内 部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。
二、分别写出任务一的实验步骤,分析每一个步骤地设置原 因,写出改变不同IP规则引起的结果并分析原因。
任务一:天网防火墙的配置
步骤: (1)运行天网防火墙设置向导,根据向导进行基本设置。
防火墙实验报告_第1张图片
防火墙实验报告_第2张图片
防火墙实验报告_第3张图片
防火墙实验报告_第4张图片
防火墙实验报告_第5张图片

(2)启动天网防火墙,运用它拦截一些程序的网络连接请求,如启动 Microsoft Baseline Security Analyzer,则天网防火墙会弹出报警 窗口。此时选中“该程序以后都按照这次的操作运行”,允许MBSA 对网络的访问。
防火墙实验报告_第6张图片
防火墙实验报告_第7张图片
防火墙实验报告_第8张图片

(3)打开应用程序规则窗口,可设置MBSA的安全规则,如使其只可以 通过TCP协议发送信息,并制定协议只可使用端口21和8080等。 了解应用程序规则设置方法。
防火墙实验报告_第9张图片

设置IE浏览器只能通过21到80范围之间的端口,可使用TCP\UDP协议发送信息或者提供协议服务

(4)使用IP规则配置,可对主机中每一个发送和传输的数据包进行控 制;ping局域网内机器,观察能否收到reply;修改IP规则配置,将 “允许自己用ping命令探测其他机器”改为禁止并保存,再次ping局 域网内同一台机器,观察能否收到reply。
防火墙实验报告_第10张图片

可ping通

将 “允许自己用ping命令探测其他机器”改为禁止并保存
防火墙实验报告_第11张图片
防火墙实验报告_第12张图片

再次ping局域网内同一台机器,观察能否收到reply。
防火墙实验报告_第13张图片

不能收到reply

(5)将“允许自己用ping命令探测其他机器”改回为允许,但将此规则下 移到“防御ICMP攻击”规则之后,再次ping 局域网内的同一台机器, 观察能否收到reply。
防火墙实验报告_第14张图片
防火墙实验报告_第15张图片

(6)添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规 则;邻居同学发起FTP请求连接,观察结果。
防火墙实验报告_第16张图片
防火墙实验报告_第17张图片
防火墙实验报告_第18张图片

在这里插入图片描述

7)观察应用程序使用网络的状态,有无特殊进程在访问网络,若有, 可用“结束进程”按钮来禁止它们。

防火墙实验报告_第19张图片
防火墙实验报告_第20张图片
防火墙实验报告_第21张图片

(8)察看防火墙日志,了解记录的格式和含义。
防火墙实验报告_第22张图片

四、心得体会:

你可能感兴趣的:(网络安全,网络)