防火墙技术及应用教程 实验报告

实验项目列表序号实验项目名称成绩指导教师1防火墙的功能验证2防火墙的安全配置与管理34567891011121314151617181920防火墙的功能验证1．实验目的和要求掌握防火墙的安装、基本配置、安全策略，能够实现通过防火墙的规则设置，保护内部网络的基本操作方法，理解防火墙的工作原理与基本功能。2．实验原理网络攻击拦截：阻止黑客攻击系统对用户造成的危险。出站攻击防御：最大程度解决“肉鸡”和“网络僵尸”对网络造成的安全威胁。恶意网址拦截：保护用户在访问网页时，不被病毒及钓鱼网页侵害。个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品，具有完备的规则设置，能有效的监控任何网络连接，保护网络不受黑客的攻击。3．主要仪器设备（实验用的软硬件环境）1)WindowsServer2003操作系统2)瑞星2012防火墙软件4．操作方法与实验步骤1）安装瑞星2012防火墙2）防火墙功能验证（1）程序联网控制（2）网络攻击拦截（3）恶意网址拦截（4）ARP欺骗防御（5）对外攻击拦截（6）网络数据保护（7）IP规则设置5．实验内容及实验数据记录一）软件安装与维护1.安装环境要求：操作系统：WindowsXP/Windows7/server2003CPU：500MHz及以上内存：512MB系统内存及以上，最大支持内存4GB支持网络协议：IPV4软件：瑞星个人防火墙2012版2.维护/卸载可以通过添加删除组件菜单，根据不同的需求对瑞星防火墙的组件进行管理。也可以通过修复菜单，重新安装已安装的组件。当您不需要瑞星防火墙时，可通过卸载来完全卸载。方法：单击【开始】/【程序】/【瑞星个人防火墙】/【修复】或者打开控制面板，双击【添加/删除程序】，在【添加或删除程序】属性页中选中【瑞星个人防火墙】。【添加/删除】：选中此项后，您可根据自身需要，添加或删除瑞星防火墙的组件，便于您更灵活、更有效地使用资源；【修复】：选中此项后，程序会对现有的瑞星防火墙进行修复安装，检查已安装的瑞星防火墙的完整性，并修复存在的问题。便于您更稳定地使用瑞星防火墙；【卸载】：选中此项后，将会卸载瑞星防火墙。二）网络防护1.程序联网控制控制电脑中的程序对网络的访问。进行“增加”、“删除”、“导入”、“导出”、“修改”、“高级选项”设置，实现相关程序的访问控制。2.网络攻击拦截依托瑞星“智能云安全”网络分析技术，有效拦截各种网络攻击：浏览器攻击、远程溢出、蠕虫传播、僵尸网络、木马后门（如灰鸽子等）。3.恶意网址拦截设置黑白名单，屏蔽或保护相关程序；启用钓鱼网页扫描功能；启用搜索引擎搜索结果风险分析。4.ARP欺骗防御5.对外攻击拦截1）检测SYNLlood攻击；2）检测ICMPLlood攻击；3）检测UDPLlood攻击。6.网络数据保护1）启用端口隐身；2）启用聊天加密。7.IP规则设置1）可信区服务：2）黑白名单：通过“增加”、“导入”设置白名单，在白名单中的电脑对本机具有完全的访问权限。3）端口开关：通过“增加”、“编辑”、“删除”、“导入”、“导出”设置，允许或禁止列表中的端口通讯。6．实验数据处理与分析通过ARP静态规则的设置：“添加”、“编辑”、“删除”、“导入”、“导出”、“修改”，防止电脑受到ARP攻击，并帮助找到局域网中的攻击源。防御的方式（可同时勾选）：1）定时检查本机ARP缓存；2）禁止IP地址冲突攻击；3）禁止本机对外发送虚假IP数据包。防御范围设置（勾选之一）：1）防御局域网中的所有电脑；2）防御指定的电脑地址和静态地址。在IP规则设置中，可以通过“增加”、“编辑”、“删除”、“导入”、“导出”、“恢复默认”设置IP规则。如规则名称状态范围协议远程端口本地端口报警方式允许域名解析放行所有IP包UDP53任意端口不报警允许动态IP放行所有IP包UDP67-6867-68不报警允许SNMP放行所有IP包UDP任意端口161不报警允许FTP放行所有IP包TCP20任意端口不报警禁止ping入拒绝收到的IP包ICMP特征代码为0不报警…..….7．质疑、建议、问题讨论瑞星防火墙是一款比较出名和被狂翻应用的软件防火墙，它可以网络攻击拦截，入侵检测规则库每日随时更新，拦截来自互联网的黑客、病毒攻击、包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。在安装于配置过程中由于人性化的界面设计和傻瓜是的配置方法，使得在使用瑞星防火墙上可以得心应手，它的功能也能得到很好的发挥出来。防火墙的安全配置与管理1．实验目的和要求理解防火墙的基本功能、原理与配置原则，掌握防火墙的安全规则策略创建与测试方案。2．实验原理网络攻击拦截：阻止黑客攻击系统对用户造成的危险。出站攻击防御：最大程度解决“肉鸡”和“网络僵尸”对网络造成的安全威胁。恶意网址拦截：保护用户在访问网页时，不被病毒及钓鱼网页侵害。个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品，具有完备的规则设置，能有效的监控任何网络连接，保护网络不受黑客的攻击。3．主要仪器设备（实验用的软硬件环境）1)WindowsServer2003操作系统2)ISAServer2006防火墙软件3）天网防火墙软件4．操作方法与实验步骤1）安装ISAServer2006防火墙2）ISA防火墙的安全配置（1）配置内部网络（2）创建网络规则（3）创建策略规则（4）测试该方案3）创建和配置受限制的计算机集4）发布外围网络中的Web服务器5）发布外围网络中的Web服务器6）配置虚拟专用网（VPN）5．实验内容及实验数据记录1）安装ISAServer2006防火墙在虚拟机中打开一个03和一个XP,用03作放火墙服务器,XP内网客户端,真机作为外网（1）在03上安装ISA2）ISA防火墙的安全配置3）配置客户端1.配置SecureNATClient客户机能ping通外网2.配置WebProxyClient客户端不能ping通外网,但能访问,以为它不支持一个协议3.配置FirewallClient客户端不能ping通外网,但能访问,以为它不支持一个协议6．实验数据处理与分析ISAServer2006是路由级别的防火墙,兼有高性能缓存功能，ISAServer2006可以部署成一台专用防火墙,作为内部用户接入Internet的安全网关。安全服务器的发布:ISAServer2006,内部用户能够向Internet发布服务,ISAServer2006计算机代表内部发布服务器来处理客户端的请求,避免服务器直接暴露在Internet上而收到攻击。Web缓存服务器:ISAServer2006可以像代理防火墙一样,通过服务器中的缓存实现网络的加速,可以同时将Internet防火墙和Web缓存部署到同一台服务器。在配置ISAServer2006客户端时有：特性SecureNATClientFirwallClientWebProxyClient是否需要安装否,但是需要修改网络配置是否,但是需要配置浏览器操作系统支持任何支持TCP\IP协议的系统只有Windows操作平台所有操作平台,但是需要以Web应用的方式协议支持TCP.UDP.HTTP.HTTPS.FTP及其它TCP.UDP之Windows应用程序HTTP.HTTPS.FTP以及Gopher用户级身份验证只要VPN客户端需要需要服务器应用程序不需要配置或安装需要配置文件N/A7．质疑、建议、问题讨论1.防火墙的主要功能有：强化安全策略；记录用户的上网活动；隐藏用户站点或网络拓扑；安全策略的检查。2.在防火墙的分类上有：1)包过滤型防火墙：工作在OSI参考模型的网络层，根据数据包头源地址，目的地址，端口号和协议类型等标志来确定是否允许数据包通过。2)代理型防火墙：工作在OSI的最高层,应用层，代理服务器实是在确认客户端连接请求后接管连接，代其向服务器发出连接请求，代理服务器根据服务器的应答，决定如何响应客户端请求，缺点是速度慢。3)状态检测型防火墙：是由包过滤型发展而来的，可以自动生成和删除响应过滤规则，还可以追踪连接状态，工作在网络层。3.防火墙体系双宿主堡垒主机：两块网卡的主机做防火墙，一个用外网，一个用内网三宿主堡主机：防火墙有三个接口，一个内网，一个外网，一个非军事区背靠背连接：有两台双网卡的防火墙，DMZ区就在两个防火墙之间