云南大學軟件學院信息安全工程實驗

1、云南大學軟件學院實 驗 報 告課程： 信息安全工程實驗 任課教師： 林英 姓名： 學號： 專業(yè)： 成績：實驗6.防火墻實驗一、 實驗目的：通過實驗理解入防火墻的功能和工作原理，學習NAT轉(zhuǎn)換原理，熟悉NAT在一般網(wǎng)絡環(huán)境中的應用、Linux系統(tǒng)中iptables防火墻以及Windows防火墻的配置和使用。二、 實驗原理NAT轉(zhuǎn)換實驗：網(wǎng)絡地址轉(zhuǎn)換(NAT，Network Address Translation)是Internet工程任務組(IETF，Internet Engineering Task Force)的一個標準，是把內(nèi)部私有IP地址轉(zhuǎn)換成合法網(wǎng)絡IP地址的技術，允許一個整體機構以一

2、個公用IP地址出現(xiàn)在Internet上。IPtables防火墻配置實驗：IPtables是復雜的，它集成到linux內(nèi)核中。用戶通過IPtables，可以對進出你的計算機的數(shù)據(jù)包進行過濾。通過IPtables命令設置你的規(guī)則，來把守你的計算機網(wǎng)絡哪些數(shù)據(jù)允許通過，哪些不能通過，哪些通過的數(shù)據(jù)進行記錄(log)。Windows防火墻實驗：Windows防火墻是一個基于主機的狀態(tài)防火墻，它丟棄所有未請求的傳入流量，即那些既沒有對應于為響應計算機的某個請求而發(fā)送的流量(請求的流量)，也沒有對應于已指定為允許的未請求的流量(異常流量)。Windows防火墻提供某種程度的保護，避免那些依賴未請求的傳入流

3、量來攻擊網(wǎng)絡上的計算機的惡意用戶和程序。三、 實驗步驟NAT轉(zhuǎn)換實驗一、 連接防火墻服務器，開始實驗啟動實驗客戶端，選擇“防火墻”中的“NAT轉(zhuǎn)換實驗”，點擊“連接”。連接成功后，會提示連接成功，主界面會顯示連接IP信息及防火墻規(guī)則操作畫面。二、 添加靜態(tài)路由打開本地主機cmd命令行，輸入，添加路由。三、 驗證網(wǎng)絡連通性輸入，如圖所示。四、 編寫目的NAT規(guī)則點擊“添加”，填寫如圖所示的規(guī)則。五、 驗證目的NAT實驗結(jié)果目的地址為的數(shù)據(jù)包被NAT為，Ping該目的地址，成功后如圖所示。六、 編寫源NAT規(guī)則首先訪問，并記錄頁面中顯示的信息。實驗實施界面中點擊“添加”，添加如圖所示的防火墻規(guī)則。

4、七、 驗證源NAT實驗結(jié)果再次訪問。對比前面訪問時頁面的顯示，源地址被轉(zhuǎn)換成，結(jié)果如圖所示，從而實現(xiàn)隱藏源地址的作用。IPtables防火墻配置打開Linux實驗臺，進入Linux系統(tǒng)，啟動ftp服務。(1) 通過IE訪問FTP服務器，服務器可訪問時如Error! Reference source not found.所示。(2) 設置防火墻規(guī)則如Error! Reference source not found.所示為防火墻設置默認規(guī)則，即先清空所有規(guī)則，再將OUTPUT鏈設置為默認丟棄。此時不能訪問FTP，如Error! Reference source not found.所示。再針對

5、FTP服務進行放行，添加防火墻規(guī)則如圖所示。其中，如Error! Reference source not found.所示的命令將FTP控制端口放行；如Error! Reference source not found.所示的命令將FTP的數(shù)據(jù)端口放行。(3) 實驗結(jié)果如Error! Reference source not found.所示。Windows防火墻配置(1) 啟動Windows實驗臺，進入Windows 2003系統(tǒng)，開啟Windows防火墻。(2) 本地主機連接Windows實驗臺系統(tǒng)的FTP服務器，連接結(jié)果如圖所示。(3) 設置開啟FTP服務在Windows實驗臺系統(tǒng)中，

6、點擊防火墻的“高級”選項。選擇“本地連接”，然后點擊“設置”。勾選其中的“FTP服務器”選項，彈出如圖所示的對話框，輸入Windows實驗臺自身的IP地址或計算機名稱，點擊“確定”。(4) 查看添加結(jié)果本地主機重新訪問FTP服務器，成功。四、 回答問題：1) 什么情況可以使用NAT，如何設計，有何優(yōu)點NAT常用于下述情形：  1.沒有足夠的公網(wǎng)IP連接到Internet 2.當更換ISP需要重新編址  3.合并兩個使用重疊地址空間的內(nèi)部網(wǎng)絡  4.使用單個IP地址支持基本的負載分擔  優(yōu)點： &

7、#160;1.節(jié)省了公網(wǎng)IP地址  2.能夠處理編址方案重疊的情況  3.網(wǎng)絡發(fā)生改變時不需要重新編址  4.隱藏了真正的IP地址  缺點：  1.NAT引起數(shù)據(jù)交互的延遲  2.導致無法進行端到端的IP跟蹤  3.某些應用程序不支持NAT  4.需要消耗額外的CPU和內(nèi)存2) 防火墻的局限性防火墻十大局限性:   一、防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。 &#

8、160; 二、防火墻不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題。防火墻可以設計為既防外也防內(nèi)，誰 都不可信，但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。   三、防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策 略執(zhí)行設備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。   四、防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個安全設備，但防火墻本身必 須存在于一個安全的地方。   五、防火墻不能防止利用標準網(wǎng)絡協(xié)議中的缺陷進行的攻

9、擊。一旦防火墻準許某些標準網(wǎng)絡 協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進行的攻擊。   六、防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊。黑客通過防火墻準許的訪問端口對 該服務器的漏洞進行攻擊，防火墻不能防止。   七、防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使 集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。八、防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的 主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。 9、 防火墻不能防止

10、內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻是無能 為力的。 十、防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，目前還 沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護。3) 防火墻與入侵檢測的區(qū)別與聯(lián)系 防火墻和入侵檢測系統(tǒng)的區(qū)別:1.概念1)防火墻：防火墻是設置在被保護網(wǎng)絡（本地網(wǎng)絡）和外部網(wǎng)絡（主要是Internet）之間的一道防御系統(tǒng)，以防止發(fā)生不可預測的、潛在的破壞性的侵入。它可以通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能的對外部屏蔽內(nèi)部的信息、結(jié)構和運行狀態(tài)，以此來保護內(nèi)部網(wǎng)絡中的信息、資源等不受外部網(wǎng)絡中非法用戶的

11、侵犯。2)入侵檢測系統(tǒng)：IDS是對入侵行為的發(fā)覺，通過從計算機網(wǎng)絡或計算機的關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。3)總結(jié)：從概念上我們可以看出防火墻是針對黑客攻擊的一種被動的防御，IDS則是主動出擊尋找潛在的攻擊者；防火墻相當于一個機構的門衛(wèi)，收到各種限制和區(qū)域的影響，即凡是防火墻允許的行為都是合法的，而IDS則相當于巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報和漏報的情況出現(xiàn)。2.功能防火墻的主要功能：1)過濾不安全的服務和非法用戶：所有進出內(nèi)部網(wǎng)絡的信息都是必須通過防火墻，防火墻成為一個檢查點，禁止未授權的用戶訪問受保護的網(wǎng)絡。2

12、)控制對特殊站點的訪問：防火墻可以允許受保護網(wǎng)絡中的一部分主機被外部網(wǎng)訪問，而另一部分則被保護起來。3)作為網(wǎng)絡安全的集中監(jiān)視點：防火墻可以記錄所有通過它的訪問，并提供統(tǒng)計數(shù)據(jù)，提供預警和審計功能。入侵檢測系統(tǒng)的主要任務：1)監(jiān)視、分析用戶及系統(tǒng)活動2)對異常行為模式進行統(tǒng)計分析，發(fā)行入侵行為規(guī)律3)檢查系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞4)能夠?qū)崟r對檢測到的入侵行為進行響應5)評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性6)操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為總結(jié)：防火墻只是防御為主，通過防火墻的數(shù)據(jù)便不再進行任何操作，IDS則進行實時的檢測，發(fā)現(xiàn)入侵行為即可做出反應，是對防火墻弱點