信息安全技术之防火墙实验报告
- 格式:doc
- 大小:563.50 KB
- 文档页数:12
1 西安财经学院信息学院
《信息安全技术》 实验报告
实验名称包过滤防火墙创建过滤规则实验 实验室 401 实验日期 2011- 5-30
一、实验目的及要求
1、了解防御技术中的防火墙技术与入侵检测技术;
2、理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤;
3、掌握使用Winroute创建简单的防火墙规则。
二、实验环境
硬件平台:PC;
软件平台:Windows xp;
三、实验内容
(一) WinRoute安装
(二)利用WinRoute创建包过滤规则,防止主机被别的计算机使用“Ping”指令探测。
(三) 用WinRoute禁用FTP访问
(四) 用WinRoute禁用HTTP访问
四、实验步骤
(一)WinRoute安装:解压winroute,得到
姓名
学号
班级 02
年级 信管09级
指导教师
防火墙服务器工作站台式PC打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略 数据IP报头TCP报头分组过滤判断
2 然后双击安装,经过一系列的过程待计算机重新启动后将安装成功。点击“程序”——“winroute pro”——“winroute administration”,此时将会出现如下图所示,然后点击“ok”即可
(二)利用WinRoute创建包过滤规则,防止主机被别的计算机使用“Ping”指令探测。
当系统安装完毕以后,该主机就将不能上网,需要修改默认设置,在电脑右下角的工具栏点开winroute,并选中Ethernet,得到下面的图,将第二个对话框中的两个复选框选中打钩,点击“确定”
利用WinRoute创建包过滤规则,创建的规则内容是:防止主机被别的计算机使用“Ping”指令探测。打开安装的winroute ,点击settings—Advanced—Packet Filter,出现如下对话框。选中图中第一个图标,可以看出在包过滤对话框中可以看出目前主机还没有任何的包规则,单击“Add…”,再次出现另一对话框,如下图所示
3
因为“Ping”指令用的协议是ICMP,所以这里要对ICMP协议设置过滤规则。在“Protocol”中点击下拉,选中“ICMP”;在“IMCP Types”中选择“All”;在“Ation”栏中选择“Drop”;“Log Packet”中选“Log into windows”,点击“ok”,这样,一条规则就创建完成了,如下图所示
4
操作完后点击确定,完成设置。接下来就是用指令“ping”来探测本机,最后得到的如图所示,探测本机失败
5
虽然用指令探测不到本机的信息,但由于此操作违反了规定,这项动作会被记入安全日记,具体操作如下图
(三)用WinRoute禁用FTP访问
首先FTP服务用TCP协议, FTP占用TCP的21端口,主机的IP地址是“169.254.238.79”,首先创建规则如下表所示。
6
组序号 动作 源IP 目的IP 源端口 目的端口 协议类型
1 禁止 * 169.254.238.79 * 21 TCP
利用winroute建立访问,如图。
创建完毕后点击“ok”,即可得如下,并点击确定
7
用命令符搜多ftp169.254.238.79,可得下图
故表明了ftp已经被禁止访问了。同样由于此操作违反了安全规定,在安全日记中任然可以表现出,如下图
8
(四)用WinRoute禁用HTTP访问
HTTP服务用TCP协议,占用TCP协议的80端口,主机的IP地址是“169.254.238.79”,首先创建规则如下表所示。
组序号 动作 源IP
目的IP 源端口 目的端口 协议类型
1 禁止 * 169.254.238.79 * 80 TCP
利用winroute建立访问,如图。
点击“ok”
9
点击“确定”
打开IE网页浏览,在网址处输入“169.254.238.79”。可得下图
由此表明了http已经被禁止访问。同理,由于非正常的操作,此动作将会被记入安全日记,如下图
10
五、实验总结
1,根据不同的需要,防火墙一般包含以下三种基本功能:
(1)可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户。
(2)防止入侵者接近网络防御设施。
(3)限制内部用户访问特殊站点。由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等相对集中的网络。
2,防火墙的必要性:
防火墙是一种网络安全保障技术,它用于增强内部网络安全性,决定外界的哪些用户可以访问内部的哪些服务,以及哪些外部站点可以被内部人员访问。
安全策略是防火墙的一个重要组成部分,仅设立防火墙系统,而没有全面的安全策略,防火墙就形同虚设。安全策略建立了全方位的防御体系,甚至包括告诉用户应有的责任、公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及雇员培训等。
3,防火墙也有一定的缺陷:
(1)防火墙不能防范网络内部的攻击。比如:防火墙无法
禁止变节者或内部间谍将敏感数据拷贝到软盘上。
(2)防火墙也不能防范那些伪装成超级用户或诈称新雇员
的黑客们劝说没有防范心理的用户公开其口令,并授
予其临时的网络访问权限。
(3)防火墙不能防止传送己感染病毒的软件或文件,不能
期望防火墙去对每一个文件进行扫描,查出潜在的病
毒。
11 , 4,防火墙的分类:
(1)分组过滤(Packet Filtering)防火墙
作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。
(2)应用代理(Application Proxy)防火墙
也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。
(3)状态检测(Status Detection)防火墙
直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
5,心得体会:
通过这次防火墙实验的一系列操作,让我们对防火墙的安装和原理有了更深的了解。同时也锻炼了自己的动手能力。总之,这是一次比较好的实践
12
信
息
安 实
全 验
技 报
术 告
信管0902