防火墙技术实验报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络攻防对抗
实验报告
实验名称:防火墙技术(实验八)指导教师:
专业班级:
姓名:
学号: ______
电子邮件:___ 实验地点: _ 实验日期:
实验成绩:____________________
一、实验目的
防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验,使学生了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。
二、实验原理
防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。
1.防火墙的基本原理
防火墙(firewall)是一种形象的说法,本是中世纪的一种安全防务:在城堡周围挖掘一道深深的壕沟,进入城堡的人都要经过一个吊桥,吊桥的看守检查每一个来往的行人。对于网络,采用了类似的处理方法,它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关( security gateway), 也就是一个电子吊桥,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问,以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击,但是,这种攻击比较容易发现和察觉,危害性也比较小,这一般是用公司内部的规则或者给用户不同的权限来控制。
2. 防火墙的分类
目前市场的防火墙产品主要分类如下:
(1)从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。(2)从防火墙技术“包过滤型”和“应用代理型”两大类。
(3)从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
(4)按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火墙三大类。
(5)按防火墙性能百兆级防火墙和千兆级防火墙两类。
3. 防火墙的基本规则
一切未被允许的就是禁止的(No 规则)。
一切未被禁止的就是允许的(Yes 规则)。
4. 防火墙自身的缺陷和不足
(1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
(2)无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
(3)Internet 防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP 或PPP 联接进入Internet。
(4)对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
(5)Internet 防火墙也不能完全防止传送已感染病毒的软件或文件。
(6)防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到 Internet 主机上,但一旦执行就开始攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。
(7)不能防备新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用。
三、实验内容及步骤
1. 尝试添加一个IP规则,并修改规则
2. 可以修改数据包的方向,IP地址,数据包协议类型及端口,以及规则的动作
3. 这是使用防火墙拦截了80端口后使用IE访问Internet的反应:弹出警告
4. 创建新的IP规则防范主机被ping,以及防范ICMP攻击,IP规则如下
5. 创建IP规则防御IGMP攻击,禁止网络连接,如下:
四、实验思考
1.开放的服务遇到攻击怎么办?
答:暂时关闭相应的服务端口,找出服务受到攻击的原因,譬如该服务是否存在漏洞,防火墙设置是否不合理,然后解决问题,再开放需要使用的服务端口,对于不使用与很少使用的服务,应该关闭,需要使用时再开启。
2.防火墙有没有不能处理的协议?
答:有,防火墙本来就是针对具体协议进行开发的,不可能兼容所有协议。
五、实验体会
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口
令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题
分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上,而集中在防火墙一身上。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP 地址就不会被外界所了解。