防火墙实验报告

桂 林 理 工 大 学
实 验 报 告
实验名称 防火墙实验
一、实验目的：
1、通过实验深入理解防火墙的功能和工作原理
2、熟悉天网防火墙个人版的配置和使用

二、实验环境：
实验室所有机器安装了Windows 2000操作系统，组成了局域网，并安装了天网防火墙。

三、实验内容：
一、简单阐述实验原理
防火墙的工作原理 ：
防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内 部服务可以被外界访问；外界的哪些人可以访问内部的服务以及 哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数 据通过，而且防火墙本身也必须能够免于渗透。
两种防火墙技术的对比 ：
(1)包过滤防火墙：将防火墙放置于内外网络的边界；价格较低，性 能开销小，处理速度较快；定义复杂，容易出现因配置不当带来 问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危 险。
(2)应用级网关：内置了专门为了提高安全性而编制的Proxy应用程 序，能够透彻地理解相关服务的命令，对来往的数据包进行安全 化处理，速度较慢，不太适用于高速网（ATM或千兆位以太网等） 之间的应用。
防火墙体系结构:
(1)屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火 墙与Internet 相连，同时一个堡垒机安装在内部网络，通过在分组 过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet 上 其它节点所能到达的唯一节点，这确保了内部网络不受未授权外 部用户的攻击。
(2)双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿主主机 至少有两个网络接口。这样的主机可以充当与这些接口相连的网 络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。 但是外部网络与内部网络不能直接通信，它们之间的通信必须经 过双重宿主主机的过滤和控制。
(3)被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结 构，即通过添加周边网络更进一步的把内部网络和外部网络（通 常是Internet）隔离开。被屏蔽子网体系结构的最简单的形式为， 两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内 部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。
二、分别写出任务一的实验步骤，分析每一个步骤地设置原 因，写出改变不同IP规则引起的结果并分析原因。
任务一：天网防火墙的配置
步骤： （1）运行天网防火墙设置向导，根据向导进行基本设置。

（2）启动天网防火墙，运用它拦截一些程序的网络连接请求，如启动 Microsoft Baseline Security Analyzer，则天网防火墙会弹出报警 窗口。此时选中“该程序以后都按照这次的操作运行”，允许MBSA 对网络的访问。

（3）打开应用程序规则窗口，可设置MBSA的安全规则，如使其只可以 通过TCP协议发送信息，并制定协议只可使用端口21和8080等。 了解应用程序规则设置方法。

设置IE浏览器只能通过21到80范围之间的端口，可使用TCP\UDP协议发送信息或者提供协议服务

（4）使用IP规则配置，可对主机中每一个发送和传输的数据包进行控 制；ping局域网内机器，观察能否收到reply；修改IP规则配置，将 “允许自己用ping命令探测其他机器”改为禁止并保存，再次ping局 域网内同一台机器，观察能否收到reply。

可ping通

将 “允许自己用ping命令探测其他机器”改为禁止并保存

再次ping局域网内同一台机器，观察能否收到reply。

不能收到reply

（5）将“允许自己用ping命令探测其他机器”改回为允许，但将此规则下 移到“防御ICMP攻击”规则之后，再次ping 局域网内的同一台机器， 观察能否收到reply。

（6）添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规 则；邻居同学发起FTP请求连接，观察结果。

7）观察应用程序使用网络的状态，有无特殊进程在访问网络，若有， 可用“结束进程”按钮来禁止它们。

（8）察看防火墙日志，了解记录的格式和含义。

四、心得体会：