防火墻技術(shù)實驗報告

1、網(wǎng)絡(luò)攻防對抗實驗報告 實驗名稱：防火墻技術(shù)（實驗八） 指導(dǎo)教師： 專業(yè)班級： 姓 名： 學(xué) 號： _ 電子郵件：_ 實驗地點： _ 實驗日期： 實驗成績：_一、實驗?zāi)康姆阑饓κ蔷W(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗，使學(xué)生了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。二、 實驗原理防火墻是網(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。1.防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀的一

2、種安全防務(wù)：在城堡周圍挖掘一道深深的壕溝，進入城堡的人都要經(jīng)過一個吊橋，吊橋的看守檢查每一個來往的行人。對于網(wǎng)絡(luò)，采用了類似的處理方法，它是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( security gateway), 也就是一個電子吊橋，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。防火墻也并不能防止內(nèi)部人員的蓄意破壞和對內(nèi)部服務(wù)器的攻擊，但是，這種攻擊比

3、較容易發(fā)現(xiàn)和察覺，危害性也比較小，這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來控制。2. 防火墻的分類目前市場的防火墻產(chǎn)品主要分類如下： （1）從軟、硬件形式上 軟件防火墻和硬件防火墻以及芯片級防火墻。 （2）從防火墻技術(shù) “包過濾型”和“應(yīng)用代理型”兩大類。 （3）從防火墻結(jié)構(gòu) 單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應(yīng)用部署位置 邊界防火墻、個人防火墻和混合防火墻三大類。 （5）按防火墻性能 百兆級防火墻和千兆級防火墻兩類。3. 防火墻的基本規(guī)則一切未被允許的就是禁止的(No 規(guī)則)。一切未被禁止的就是允許的(Yes 規(guī)則)。4. 防火墻自身的缺陷和不足（1

4、）限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高被保護網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。（2）無法防護內(nèi)部網(wǎng)絡(luò)用戶的攻擊。目前防火墻只提供對外部網(wǎng)絡(luò)用戶攻擊的防護，對來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠內(nèi)部網(wǎng)絡(luò)主機系統(tǒng)的安全性。（3）Internet 防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個被保護的網(wǎng)絡(luò)上有一個沒有限制的撥出存在，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP 或PPP 聯(lián)接進入Internet。（4）對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效（5）Internet 防火墻也不能完全防止傳送已感染病毒的軟件或文件。（6）防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。

5、數(shù)據(jù)驅(qū)動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到 Internet 主機上，但一旦執(zhí)行就開始攻擊。例如，一個數(shù)據(jù)型攻擊可能導(dǎo)致主機修改與安全相關(guān)的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)。（7）不能防備新的網(wǎng)絡(luò)安全問題。防火墻是一種被動式的防護手段，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。三、 實驗內(nèi)容及步驟1. 嘗試添加一個IP規(guī)則，并修改規(guī)則2. 可以修改數(shù)據(jù)包的方向，IP地址，數(shù)據(jù)包協(xié)議類型及端口，以及規(guī)則的動作3. 這是使用防火墻攔截了80端口后使用IE訪問Internet的反應(yīng)：彈出警告4. 創(chuàng)建新的IP規(guī)則防范主機被ping，以及防范ICMP攻擊，IP規(guī)則如下5. 創(chuàng)建IP規(guī)則防御I

6、GMP攻擊，禁止網(wǎng)絡(luò)連接，如下：四、 實驗思考1.開放的服務(wù)遇到攻擊怎么辦？答：暫時關(guān)閉相應(yīng)的服務(wù)端口，找出服務(wù)受到攻擊的原因，譬如該服務(wù)是否存在漏洞，防火墻設(shè)置是否不合理，然后解決問題，再開放需要使用的服務(wù)端口，對于不使用與很少使用的服務(wù)，應(yīng)該關(guān)閉，需要使用時再開啟。2.防火墻有沒有不能處理的協(xié)議？答：有，防火墻本來就是針對具體協(xié)議進行開發(fā)的，不可能兼容所有協(xié)議。五、 實驗體會通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完可以不必分散在各個主機上，而集中在防火墻一身上。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易