防火墻綜合實(shí)驗(yàn)報(bào)告_第1頁(yè)
防火墻綜合實(shí)驗(yàn)報(bào)告_第2頁(yè)
防火墻綜合實(shí)驗(yàn)報(bào)告_第3頁(yè)
防火墻綜合實(shí)驗(yàn)報(bào)告_第4頁(yè)
防火墻綜合實(shí)驗(yàn)報(bào)告_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、 防火墻實(shí)驗(yàn)報(bào)告【實(shí)驗(yàn)名稱】防火墻實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆辗阑饓Φ幕九渲?;掌握防火墻安全策略的配置?!颈尘懊枋觥烤W(wǎng)絡(luò)中存在很多的木馬和攻擊性程序以及人為的惡意行為,因此希望通過(guò)配置防火墻和抗攻擊性策略用于保護(hù)網(wǎng)絡(luò)免受惡意行為的侵害,并阻止其非法行為的網(wǎng)絡(luò)設(shè)備或系統(tǒng),同時(shí)還可以在不同的網(wǎng)絡(luò)區(qū)域之間進(jìn)行流量的訪問(wèn)控制?!拘〗M分工】組長(zhǎng):*(配置內(nèi)網(wǎng)和端口連線)組員:*(配置服務(wù)器和防火墻)【技術(shù)原理】管理員證書(shū):用證書(shū)方式對(duì)管理員進(jìn)行身份認(rèn)證。證書(shū)包括CA證書(shū)、防火墻證書(shū)、防火墻私鑰、管理員證書(shū)。證書(shū)文件有兩種編碼格式:PEM和DER,后綴名可以有pem,der,cer,crt等多種,后綴名與編碼格

2、式?jīng)]有必然聯(lián)系。CA證書(shū)、防火墻證書(shū)和防火墻私鑰只支持PEM編碼格式,cacert.crt和cacert.pem是完全相同的文件。管理員證書(shū)支持PEM和DER兩種,因此提供administrator.crt和administrator.der證書(shū)administrator.crt和administrator.pem是完全相同的文件。*.p12文件是將CA、證書(shū)和私鑰打包的文件。NAT(NetworkAddressTranslation)屬接入廣域網(wǎng)技術(shù),是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)。它完美地解決了IP地址不足的問(wèn)題,而且還能夠有效地避免來(lái)自外部網(wǎng)絡(luò)的攻擊,隱藏并保護(hù)內(nèi)部網(wǎng)絡(luò)的計(jì)

3、算機(jī)。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(NetworkAddressPortTranslation)是人們比較常用的一種NAT方式。它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面,將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上,同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。地址綁定:為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址,以獲得權(quán)限外的信息),可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失敗,而且由于網(wǎng)卡MAC地址的唯一確定性,可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡,進(jìn)而查出非法盜用者。報(bào)文中的源MAC地址與

4、IP地址對(duì)如果無(wú)法與防火墻中設(shè)置的MAC地址與IP地址對(duì)匹配,將無(wú)法通過(guò)防火墻。抗攻擊:銳捷防火墻能抵抗以下的惡意攻擊:SYNFlood攻擊;ICMPFlood攻擊;PingofDeath攻擊;UDPFlood攻擊;PINGSWEEP攻擊;TCP端口掃描;UDP端口掃描;松散源路由攻擊;嚴(yán)格源路由攻擊;WinNuke攻擊;smuef攻擊;無(wú)標(biāo)記攻擊;圣誕樹(shù)攻擊;TSYN&FIN攻擊;無(wú)確認(rèn)FIN攻擊;IP安全選項(xiàng)攻擊;IP記錄路由攻擊;IP流攻擊;IP時(shí)間戳攻擊;Land攻擊;teardrop攻擊?!緦?shí)驗(yàn)設(shè)備】防火墻1臺(tái)(RG-Wall60臺(tái)。每實(shí)驗(yàn)臺(tái)一組)計(jì)算機(jī)3臺(tái)跳線1條【實(shí)驗(yàn)拓?fù)洹俊緦?shí)驗(yàn)

5、步驟】1、管理員首次登錄正確管理防火墻前,需要配置防火墻的管理主機(jī)、管理員帳號(hào)和權(quán)限、網(wǎng)口上可管理IP、防火墻管理方式。默認(rèn)管理員帳號(hào)為student,密碼為student默認(rèn)管理口:防火墻WAN口可管理IP:WAN口上的默認(rèn)IP地址為00/24管理主機(jī):默認(rèn)為00/24默認(rèn)管理方式:(1)用跳線將管理主機(jī)與WAN口連接(2)用管理員證書(shū)進(jìn)行身份認(rèn)證(3)訪問(wèn)00:6666(注:若用電子鑰匙進(jìn)行認(rèn)證,則訪問(wèn)https:/防火墻可管理IP地址:6667),進(jìn)入WEB訪問(wèn)界面。此方式下的通信是加密的。用ping命令查看內(nèi)網(wǎng)PC與外網(wǎng)服務(wù)器的連通性。2、防火墻基本配置1)添加管理員帳號(hào)。要區(qū)分哪些配

6、置具體是由哪個(gè)管理員進(jìn)行設(shè)置的,也就是責(zé)任的劃分。進(jìn)入管理配置管理員賬號(hào),在右窗口點(diǎn)擊“添加”。輸入賬號(hào)和口令,并選擇賬號(hào)類型。2)下面要配置一下防火墻上的相關(guān)接口,每個(gè)設(shè)置完成后點(diǎn)擊“保存配置”選項(xiàng)。Lan是我們的內(nèi)網(wǎng)網(wǎng)關(guān)接口,在本實(shí)驗(yàn)中我們統(tǒng)一定義為172.169101,作為內(nèi)網(wǎng)的網(wǎng)關(guān)。Wan和Wan1都是外網(wǎng)接口,功能相同。在本實(shí)驗(yàn)中連接外網(wǎng)用Wan口。3、基本配置完成之后,我們來(lái)配置一個(gè)NAPT。1)首先我們要定義內(nèi)網(wǎng)對(duì)象進(jìn)入對(duì)象定義地址,打開(kāi)“地址列表”,在右窗口點(diǎn)擊“添加”,如下圖設(shè)置:(注意網(wǎng)段號(hào)是組號(hào),下圖中是第九組所以網(wǎng)段號(hào)為9)2)防火墻NAT規(guī)則設(shè)置進(jìn)入安全策略安全規(guī)則,

7、在右窗口點(diǎn)擊“NAT規(guī)則”,如下圖設(shè)置:3)驗(yàn)證NAPT功能驗(yàn)證內(nèi)網(wǎng)PC可以訪問(wèn)外網(wǎng)服務(wù)器。用內(nèi)網(wǎng)PC機(jī)ping外網(wǎng)服務(wù)器00看是否連通。驗(yàn)證外網(wǎng)服務(wù)器不能訪問(wèn)內(nèi)網(wǎng)PC。用外網(wǎng)服務(wù)器ping內(nèi)網(wǎng)PC看是否連通。4、防火墻地址綁定功能設(shè)置進(jìn)入安全策略地址綁定,在右窗口進(jìn)行設(shè)置,如下圖:冋口啟定djmz允許禁止Ian.Qi帚禦止O允許禁止want禁止a在“主動(dòng)探測(cè)IP/MAC地址對(duì)”欄選中Ian口,先點(diǎn)擊“探測(cè)”按鈕,再點(diǎn)擊“探測(cè)到的IP/MAC對(duì)”,彈出下圖窗口,如下設(shè)置:探測(cè)到的If個(gè)M對(duì)IF/MAT對(duì)選中rrA網(wǎng)口172.169.100,E0.5C:4D.14:3Dlan172.169-20

8、0:EO:1C:4D:82:A3172L6.S.120DO:曲:舊:筋迪:1呂1m172169.11000;E84:ED3:Oa1axi然后在“已綁定IP/MAC對(duì)”欄中看是否已設(shè)置成功然后下面驗(yàn)證IP/MAC綁定效果。占反中3抗攻擊,本實(shí)驗(yàn)只設(shè)置Lan口的抗攻擊策略,如下圖設(shè)置:驗(yàn)證超長(zhǎng)字節(jié)報(bào)文不能通過(guò):用ping命令發(fā)送長(zhǎng)度為800字節(jié)的報(bào)文:ping-l80000用ping命令再發(fā)送長(zhǎng)度為801的報(bào)文:ping-l80100【實(shí)驗(yàn)分析】按照上述實(shí)驗(yàn)過(guò)程得到的實(shí)驗(yàn)結(jié)果是,實(shí)驗(yàn)測(cè)試時(shí)能探測(cè)到主機(jī)的IP地址(包括00/24在內(nèi)的幾臺(tái)內(nèi)網(wǎng)主機(jī)172.16.9.*),但是互相是ping不通的。設(shè)置完的抗攻性能也無(wú)法測(cè)試。防火墻是介于內(nèi)網(wǎng)和外網(wǎng)之間是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道,所有雙向數(shù)據(jù)流必須經(jīng)過(guò)防火墻??梢詸z測(cè)到內(nèi)網(wǎng)主機(jī)的IP()地址,說(shuō)明防火墻和內(nèi)網(wǎng)之間是連通的,可以進(jìn)行數(shù)據(jù)交換,但是內(nèi)網(wǎng)主機(jī)和防火墻之間ping不通,經(jīng)過(guò)我們的集體討論認(rèn)為可能是因?yàn)榉阑饓Π踩呗耘渲贸隽藛?wèn)題,具體不能確定,需要在以后的試驗(yàn)中不斷的探索。如此一來(lái),主機(jī)地址()經(jīng)過(guò)MAC地址綁定后,再把主機(jī)地址改變后(0),ip/mac無(wú)法匹配,理論上與防火墻之間是ping不通的,由于本就p

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論