防火墻實(shí)驗(yàn)報(bào)告

1、.南京信息工程大學(xué)實(shí)驗(yàn)（實(shí)習(xí)）報(bào)告實(shí)驗(yàn)（實(shí)習(xí)）名稱防火墻實(shí)驗(yàn)（實(shí)習(xí)）日期指導(dǎo)教師專業(yè)一實(shí)驗(yàn)?zāi)康模?. 了解防火墻的相關(guān)知識(shí)2. 防火墻的簡(jiǎn)單實(shí)驗(yàn)二實(shí)驗(yàn)步驟：1. 了解防火墻的概念，類型及作用2. 防火墻的實(shí)驗(yàn)三實(shí)驗(yàn)內(nèi)容：1. 防火墻的概念防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、 專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。由計(jì)算機(jī)硬件或軟件系統(tǒng)構(gòu)成防火墻，來(lái)保護(hù)敏感的數(shù)據(jù)部被竊取和篡改。防火墻是設(shè)置在可信任的企業(yè)內(nèi)部和不可信任的公共網(wǎng)或網(wǎng)絡(luò)安全域之間的以系列部件的組合，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口， 能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)

2、的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。2防火墻的類型技術(shù)上看， 防火墻 有三種基本類型：包過(guò)濾型、 代理服務(wù)器型和復(fù)合型。它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，要根據(jù)具體需求確定。包過(guò)濾型防火墻(Packet Filter Firewall)通常建立在路由器上，在服務(wù)器或計(jì)算機(jī)上也可以安裝包過(guò)濾防火墻軟件。包過(guò)濾型防火墻工作在網(wǎng)絡(luò)層，基于單個(gè)IP 包實(shí)施網(wǎng)絡(luò)控制。它對(duì)所收到的IP 數(shù)據(jù)包的源地址、目的地址、TCP 數(shù)據(jù)分組或UDP 報(bào)文的源端口號(hào)及目.的端口號(hào)、 包出入接口、 協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)定 的訪問(wèn)控制表進(jìn)行比較

3、，確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點(diǎn)是簡(jiǎn)單、方便、速度快、透明性好，對(duì)網(wǎng)絡(luò)性能影響不大，可以用于禁止外部不合法用戶對(duì)企業(yè)內(nèi)部網(wǎng)的訪問(wèn)，也可以用來(lái)禁止訪問(wèn)某些服務(wù)類型，但是不能識(shí)別內(nèi)容有危險(xiǎn)的信息包，無(wú)法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的安全處理。代理服務(wù)器型防火墻(ProxyServiceFirewall) 通過(guò)在計(jì)算機(jī)或服務(wù)器上運(yùn)行代理的服務(wù)程序， 直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)，因此也稱為應(yīng)用層網(wǎng)關(guān)級(jí)防火墻。代理服務(wù)器型防火墻的核心， 是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程，實(shí)質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè) 內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。它代理用戶完成TCPIP 網(wǎng)絡(luò)的訪問(wèn)

4、功能，實(shí)際上是對(duì)電子郵件、 FTP、Telnet 、WWW等各種不同的應(yīng)用各提供一個(gè)相應(yīng)的代理。這種技術(shù)使得外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間需要建立的連接必須通過(guò)代理服務(wù)器的中間轉(zhuǎn)換，實(shí)現(xiàn)了安全的網(wǎng)絡(luò)訪 問(wèn)，并可以實(shí)現(xiàn)用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能，實(shí)現(xiàn)協(xié)議及應(yīng)用的過(guò)濾及會(huì)話過(guò)程的控制， 具有很好的靈活性。 代理服務(wù)器型防火墻的缺點(diǎn)是可能影響網(wǎng)絡(luò)的性能， 對(duì)用戶不透明，且對(duì)每一種TCP IP 服務(wù)都要設(shè)計(jì)一個(gè)代理模塊，建立對(duì)應(yīng)的網(wǎng)關(guān)，實(shí)現(xiàn)起來(lái)比較復(fù)雜。復(fù)合型防火墻(Hybrid Firewall)把包過(guò)濾、 代理服務(wù)和許多其他的網(wǎng)絡(luò)安全防護(hù)功能結(jié)合起來(lái)，形成新的網(wǎng)絡(luò)安全平臺(tái)，以提高防火墻的

5、靈活性和安全性3. 防火墻技術(shù)在網(wǎng)絡(luò)中的作用防火墻技術(shù)作為保護(hù)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相接入的一道安全屏障， 已經(jīng)越來(lái)越受到人們的普遍關(guān)注。作為網(wǎng)絡(luò)安全的屏障只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，可使網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止NFS 協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)， 這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。如防火墻可以禁止NFS 協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。 防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。（

6、1）可以強(qiáng)化網(wǎng)絡(luò)安全策略通過(guò)以防火墻為中心的安全方案配置， 能將所有安全軟件配置在防火墻上。 與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比， 防火墻的集中安全管理更經(jīng)濟(jì)。 例如在網(wǎng)絡(luò)訪問(wèn)時(shí)， 一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻身上。（ 2）可以對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)如果所有的訪問(wèn)都經(jīng)過(guò)防火墻， 那么， 防火墻就能記錄下這些訪問(wèn)并作出日志記錄， 同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。 當(dāng)發(fā)生可疑動(dòng)作時(shí)， 防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警， 并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。 另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的?？梢郧宄阑饓κ欠衲軌虻謸豕粽叩?/p>

7、探測(cè)和攻擊， 并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等也是非常重要的。（ 4）可以防止內(nèi)部信息的外泄通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。4. 防火墻的相關(guān)實(shí)驗(yàn)操作方法與實(shí)驗(yàn)步驟1） 安裝瑞星 2012 防火墻2） 防火墻功能驗(yàn)證（1） 程序聯(lián)網(wǎng)控制（2） 網(wǎng)絡(luò)攻擊攔截（3） 惡意網(wǎng)址攔截（4） ARP 欺騙防御（5） 對(duì)外攻擊攔截（6） 網(wǎng)絡(luò)數(shù)據(jù)保護(hù)（7） IP 規(guī)則設(shè)置1. 安 裝 環(huán)境要求：操作系統(tǒng)：Windows XP / Windows 7/server 2003 CPU：5

8、00 MHz及以上內(nèi)存： 512 MB系統(tǒng)內(nèi)存及以上，最大支持內(nèi)存4GB支持網(wǎng)絡(luò)協(xié)議： IPV4軟件：瑞星個(gè)人防火墻2012版2. 維護(hù)/ 卸載可以通過(guò)添加刪除組件菜單，根據(jù)不同的需求對(duì)瑞星防火墻的組件進(jìn)行管理。也可以通過(guò)修復(fù)菜單，重新安裝已安裝的組件。當(dāng)您不需要瑞星防火墻時(shí)， 可通過(guò)卸載來(lái)完全卸載。方法：?jiǎn)螕簟鹃_(kāi)始】 /【程序】 / 【瑞星個(gè)人防火墻】 / 【修復(fù)】或者打開(kāi)控制面板，雙擊【添加 / 刪除程序】，在【添加或刪除程序】屬性頁(yè)中選中【瑞星個(gè)人防火墻】?！咎砑? 刪除】：選中此項(xiàng)后，您可根據(jù)自身需要，添加或刪除瑞星防火墻的組件，便于您更靈活、更有效地使用資源；【修復(fù)】：選中此項(xiàng)后，程

9、序會(huì)對(duì)現(xiàn)有的瑞星防火墻進(jìn)行修復(fù)安裝，檢查已安裝的瑞星防火墻的完整性， 并修復(fù)存在的問(wèn)題。 便于您更穩(wěn)定地使用瑞星防火墻；【卸載】：選中此項(xiàng)后，將會(huì)卸載瑞星防火墻。一）網(wǎng)絡(luò)防護(hù)1. 程序聯(lián)網(wǎng)控制控制電腦中的程序?qū)W(wǎng)絡(luò)的訪問(wèn)。進(jìn)行“增加”、“刪除”、“導(dǎo)入”、“導(dǎo)出”、“修改”、“高級(jí)選項(xiàng)”設(shè)置，實(shí)現(xiàn)相關(guān)程序的訪問(wèn)控制。2. 網(wǎng)絡(luò)攻擊攔截依托瑞星“智能云安全”網(wǎng)絡(luò)分析技術(shù)，有效攔截各種網(wǎng)絡(luò)攻擊：瀏覽器攻擊、遠(yuǎn)程溢出、蠕蟲(chóng)傳播、僵尸網(wǎng)絡(luò)、木馬后門(mén)（如灰鴿子等）。3. 惡意網(wǎng)址攔截設(shè)置黑白名單， 屏蔽或保護(hù)相關(guān)程序； 啟用釣魚(yú)網(wǎng)頁(yè)掃描功能； 啟用搜索引擎搜索結(jié)果風(fēng)險(xiǎn)分析。.4. ARP 欺騙防御5.

10、對(duì)外攻擊攔截1）檢測(cè) SYN Llood攻擊；2 ）檢測(cè) ICMP Llood攻擊；3）檢測(cè) UDPLlood攻擊。.6. 網(wǎng)絡(luò)數(shù)據(jù)保護(hù)1）啟用端口隱身； 2 ）啟用聊天加密。7. IP 規(guī)則設(shè)置1） 可信區(qū)服務(wù)：2） 黑白名單：通過(guò)“增加”、“導(dǎo)入”設(shè)置白名單，在白名單中的電腦對(duì)本機(jī)具有完全的訪問(wèn)權(quán)限。3） 端口開(kāi)關(guān)：通過(guò)“增加”、“編輯”、“刪除”、“導(dǎo)入”、“導(dǎo)出”設(shè)置，允許或禁止列表中的端口通訊。.6 實(shí)驗(yàn)數(shù)據(jù)處理與分析通過(guò) ARP 靜態(tài)規(guī)則的設(shè)置：“添加”、“編輯”、“刪除”、“導(dǎo)入”、“導(dǎo)出”、“修改”，防止電腦受到 ARP 攻擊，并幫助找到局域網(wǎng)中的攻擊源。防御的方式（可同時(shí)勾選） ：1）定時(shí)檢查本機(jī)ARP 緩存； 2 ）禁止 IP 地址沖突攻擊； 3）禁止本機(jī)對(duì)外發(fā)送虛假IP 數(shù)據(jù)包。防御范圍設(shè)置（勾選之一） ：1 ）防御局域網(wǎng)中的所有電腦；2 ）防御指定的電腦地址和靜態(tài)地址。在 IP 規(guī)則設(shè)置中，可以通過(guò)“增加”、“編輯”、“刪除”、“導(dǎo)入”、“導(dǎo)出”、“恢復(fù)默認(rèn)”設(shè)置IP 規(guī)則。如.四 實(shí)驗(yàn)總結(jié)瑞