信息安全技术之防火墙实验报告

1西安财经学院信息学院《信息安全技术》实验报告实验名称包过滤防火墙创建过滤规则实验实验室401实验日期2011-5-30一、实验目的及要求1、了解防御技术中的防火墙技术与入侵检测技术；2、理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤；3、掌握使用Winroute创建简单的防火墙规则。二、实验环境硬件平台：PC；软件平台：Windowsxp；三、实验内容(一)WinRoute安装(二）利用WinRoute创建包过滤规则，防止主机被别的计算机使用“Ping”指令探测。(三)用WinRoute禁用FTP访问(四)用WinRoute禁用HTTP访问四、实验步骤(一)WinRoute安装：解压winroute，得到姓名学号班级02年级信管09级指导教师防火墙服务器工作站台式PC打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略数据IP报头TCP报头分组过滤判断2然后双击安装，经过一系列的过程待计算机重新启动后将安装成功。点击“程序”——“winroutepro”——“winrouteadministration”，此时将会出现如下图所示，然后点击“ok”即可(二）利用WinRoute创建包过滤规则，防止主机被别的计算机使用“Ping”指令探测。当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，在电脑右下角的工具栏点开winroute，并选中Ethernet，得到下面的图，将第二个对话框中的两个复选框选中打钩，点击“确定”利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。打开安装的winroute，点击settings—Advanced—PacketFilter，出现如下对话框。选中图中第一个图标，可以看出在包过滤对话框中可以看出目前主机还没有任何的包规则，单击“Add…”，再次出现另一对话框，如下图所示3因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在“Protocol”中点击下拉，选中“ICMP”；在“IMCPTypes”中选择“All”；在“Ation”栏中选择“Drop”；“LogPacket”中选“Logintowindows”，点击“ok”，这样，一条规则就创建完成了，如下图所示4操作完后点击确定，完成设置。接下来就是用指令“ping”来探测本机，最后得到的如图所示，探测本机失败5虽然用指令探测不到本机的信息，但由于此操作违反了规定，这项动作会被记入安全日记，具体操作如下图(三）用WinRoute禁用FTP访问首先FTP服务用TCP协议，FTP占用TCP的21端口，主机的IP地址是“169.254.238.79”，首先创建规则如下表所示。6组序号动作源IP目的IP源端口目的端口协议类型1禁止*169.254.238.79*21TCP利用winroute建立访问，如图。创建完毕后点击“ok”，即可得如下，并点击确定7用命令符搜多ftp169.254.238.79，可得下图故表明了ftp已经被禁止访问了。同样由于此操作违反了安全规定，在安全日记中任然可以表现出，如下图8(四)用WinRoute禁用HTTP访问HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“169.254.238.79”，首先创建规则如下表所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*169.254.238.79*80TCP利用winroute建立访问，如图。点击“ok”9点击“确定”打开IE网页浏览，在网址处输入“169.254.238.79”。可得下图由此表明了http已经被禁止访问。同理，由于非正常的操作，此动作将会被记入安全日记，如下图10五、实验总结1，根据不同的需要，防火墙一般包含以下三种基本功能：(1)可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户。(2)防止入侵者接近网络防御设施。(3)限制内部用户访问特殊站点。由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等相对集中的网络。2，防火墙的必要性：防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问。安全策略是防火墙的一个重要组成部分，仅设立防火墙系统，而没有全面的安全策略，防火墙就形同虚设。安全策略建立了全方位的防御体系，甚至包括告诉用户应有的责任、公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及雇员培训等。3，防火墙也有一定的缺陷：(1)防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。(2)防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。(3)防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。11,4，防火墙的分类：(1)分组过滤（PacketFiltering）防火墙作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。(2)应用代理（ApplicationProxy）防火墙也叫应用网关（ApplicationGateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。(3)状态检测（StatusDetection）防火墙直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。5，心得体会：通过这次防火墙实验的一系列操作，让我们对防火墙的安装和原理有了更深的了解。同时也锻炼了自己的动手能力。总之，这是一次比较好的实践12信息安实全验技报术告信管0902