防火墙实验报告

信息安全实验报告实验名称：防火墙实验

教师：周亚建

班级： 08211319

学号： 08211718

班内序号: 28

姓名：龙宝莲

2011年 3 月 23 日

一、实验目的

通过实验深入理解防火墙的功能和工作原理，学会使用boson netsim模

拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。

二、实验原理

1、防火墙的实现技术

包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此

决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

应用级网关技术。应用级网关即代理服务器，代理服务器通常运行在两个网

络之间，它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器，而对于外界的服务器来说，他又相当于此Internet 服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果规则允许，代理服务器会将此请求发送给Internet站点，从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离，从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。

状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP

地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内外网间传输的数据包以会话角度进行监测，

利用状态跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。

2、防火墙的体系结构

双重宿主主机体系结构，双重宿主主机体系结构是围绕具有双重宿主主

机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如外部网）并不是直接发送到其它网络（例如内部的被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。

屏蔽主机体系结构，屏蔽主机体系结构使用一个单独的路由器提供来自

仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。

在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：即堡垒主机是数据包过滤也允许堡垒主机开放可允许的连接（什么是“可允许”将由用户的站点的安全策略决定）到外部世界。

屏蔽子网体系结构，屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机

体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔离开。在这种结构下，即使攻破了堡垒主机，也不能直接侵入内部网络（他将仍然必须通过内部路由器）。

三、实验环境

装有WindowsXP的虚拟机，虚拟机上安装好boson netsim 模拟软件四、实验内容和步骤

首先按照老师给的破解步骤一步一步安装(注：一定要先安装好Microsoft .Net Framework 和Adobe Acrobat Reader)

1、使用Boson Netsim设计如下的网络拓扑

并配置路由器Router的访问控制列表（ACL），使得外网不能访问内网，而内网可以访问外网，并采用ping做测试，请记录详细的配置及测试过程。

（1）首先，利用Boson Network Designer绘制网络实验拓扑图，绘制好的拓扑图如下图：

内网

外网

（2）配置路由器基本参数：

在绘制完实验拓扑图后，将其保存并装入Boson Netsim中开始进行实验配置。通过Boson Netsim中的工具栏按钮eRouters选择Router并按照下面过程进行基本参数配置：Router>enable

Router#conf t

Router(config)#hostname R1

R1(config)# int eth 0

R1(config-if)#no shut

R1(config-if)#int eth 1

R1(config-if)#no shut

R1(config-if)#end

R1#copy run start

(3)配置PC基本参数：

通过Boson Netsim中的工具栏按钮“eStations”选择“”按照下面的步骤对外网主机进行配置：

键入“回车键”继续

键入winipcfg，如下图所示，以图形化方式为该主机配置IP地址、子网掩码、默认网关等参数。

在“”

通过Boson Netsim中的工具栏按钮“eStations”选择“”重复以上步骤，对内网主机进行配置：

（4）配置、测试静态路由

选择路由器Router并配置相关的静态路由信息，如下所示：

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#end

R1#copy run start

R1#show ip route

选择“”在其命令提示符下输入以下命令测试静态路由配置：

P

T

选择“”在其命令提示符下输入以下命令测试静态路由配置:

P

T

现在内网能访问外网，外网也能访问内网，下面配置路由器Router的访问控制列表（ACL），使得外网不能访问内网，而内网可以访问外网

（5）配置路由器Router的访问控制列表（ACL）：

如果单纯在外网接口或内网接口将源IP地址为外网的包抛弃，则内网也不能访问外网，因为在内网访问外网过程中，内网必然会接收来自外网回发的数据包（如TCP三次握手协议），所以想到在这里使用自反ACL限制外网访问，在Router命令提示符窗输入如下命令：R1#conf t

R1(config)#ip access-list extended aclout

R1(config-ext-nacl)#permit tcp any any reflect tcp

但提示错误：

上网查阅资料，说是不支持reflect命令？，然后又想到尝试使用标记（evaluate）：

输入如下命令：

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit tcp any any????????

R1(config-ext-nacl)#evaluate abc

但还是提示错误：

上网查阅资料说是，我们使用的是Demo模式运行，好多命令不支持，在想是不是这个原因，但还是找不到解决方法，于是采用以下方式配置：

此时外网ping内网，不通：

内网ping外网，通：

这种方法只能限制使外网不能ping内网，但我认为想要的结果不是这样的，但是又找不到解决方法

2、在外网的计算机上开放FTP（或者Telnet）服务，怎样配置路由器Router，使得内网