【正文】 第一篇：實驗 防火墻技術實驗實驗九防火墻技術實驗實驗目的防火墻是網絡安全的第一道防線，按防火墻的應用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗，使學生了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設置方法，掌握根據業(yè)務需求制定防火墻策略的方法。題目描述根據不同的業(yè)務需求制定天網防火墻策略，并制定、測試相應的防火墻的規(guī)則等。實驗要求基本要求了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設置方法，掌握根據業(yè)務需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。相關知識1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀的一種安全防務：在城堡周圍挖掘一道深深的壕溝，進入城堡的人都要經過一個吊橋，吊橋的看守檢查每一個來往的行人。對于網絡，采用了類似的處理方法，它是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網關(securitygateway),也就是一個電子吊橋，從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內部網（通常指局域網或城域網）隔開的屏障。它決定了哪些內部服務可以被外界訪問、可以被哪些人訪問，以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且防火墻本身也必須能夠免于滲透。典型的網絡防火墻如下所示。防火墻也并不能防止內部人員的蓄意破壞和對內部服務器的攻擊，但是，這種攻擊比較容易發(fā)現和察覺，危害性也比較小，這一般是用公司內部的規(guī)則或者給用戶不同的權限來控制。2)防火墻的分類前市場的防火墻產品主要分類如下：（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。（2）從防火墻技術“包過濾型”和“應用代理型”兩大類。（3）從防火墻結構單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應用部署位置邊界防火墻、個人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級防火墻和千兆級防火墻兩類。3）防火墻的基本規(guī)則■一切未被允許的就是禁止的(No規(guī)則)?！鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。很多防火墻(例如SunScreenEFS、CiscoIOs、FW1)以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規(guī)則相比較,然后是第二條、第三條??當它發(fā)現一條匹配規(guī)則時，就停止檢查并應用那條規(guī)則。4）防火墻自身的缺陷和不足■限制有用的網絡服務。防火墻為了提高被保護網絡的安全性，限制或關閉了很多有用但存在安全缺陷的網絡服務?！鰺o法防護內部網絡用戶的攻擊。目前防火墻只提供對外部網絡用戶攻擊的防護，對來自內部網絡用戶的攻擊只能依靠內部網絡主機系統的安全性?！鯥nternet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個被保護的網絡上有一個沒有限制的撥出存在，內部網絡上的用戶就可以直接通過SLIP或PPP聯接進入Internet。■對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效?！鯥nternet防火墻也不能完全防止傳送已感染病毒的軟件或文件?！龇阑饓o法防范數據驅動型的攻擊。數據驅動型的攻擊從表面上看是無害的數據被郵寄或拷貝到Internet主機上，但一旦執(zhí)行就開始攻擊。例如，一個數據型攻擊可能導致主機修改與安全相關的文件，使得入侵者很容易獲得對系統的訪問權?！霾荒芊纻湫碌木W絡安全問題。防火墻是一種被動式的防護手段，它只能對現在已知的網絡威脅起作用。實驗設備主流配置PC，安裝有windows 2000 SP4操作系統，網絡環(huán)境，天網防火墻個人版。實驗步驟1）從指導老師處得到天網防火墻個人版軟件。2）天網防火墻個人版的安裝。按照安裝提示完成安裝，并重啟后系統。3）系統設置。在防火墻的控制面板中點擊“系統設置”按鈕，即可展開防火墻系統設置面板。天網個人版防火墻系統設置界面如下。防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：如果確定，天網防火墻將會把防火墻的安全規(guī)則全部恢復為初始設置，你對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。防火墻設置向導：為了便于用戶合理的設置防火墻，天網防火墻個人版專門為用戶設計了防火墻設置向導。用戶可以跟隨它一步一步完成天網防火墻的合理設置。應用程序權限設置：勾選了該選項之后，所有的應用程序對網絡的訪問都默認為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網絡的應用程序都做審核的時候。（譬如在運行某些游戲程序的時候）局域網地址：設置在局域網內的地址。防火墻將會以這個地址來區(qū)分局域網或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時自動保存日志，當你退出防火墻的保護時，天網防火墻將會把當日的日志記錄自動保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當日的日志記錄。4）安全級別設置天網個人版防火墻的缺省安全級別分為低、中、高三個等級，默認的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規(guī)則的設置等情況，我們選擇自定義安全級別。然后點擊左邊的將打開自定義的IP規(guī)則。從中可以看出，規(guī)則的先后順序為IP規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調整、導入導出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點擊保存圖標進行保存，否則無效。單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?）修改規(guī)則雙擊該規(guī)則，或者點擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對各部分進行修改。（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對進入的數據包還是輸出的數據包有效。（3）“對方的IP地址”，用于確定選擇數據包從那里來或是去哪里，這里有幾點說明： ■“任何地址”是指數據包從任何地方來，都適合本規(guī)則，■“局域網網絡地址”是指數據包來自和發(fā)向局域網，■“指定地址”是你可以自己輸入一個地址，“指定的網絡地址”是你可以自己輸入一個網絡和掩碼。（4）除了錄入選擇上面內容，還要錄入該規(guī)則所對應的協議，其中：■‘IP’協議不用填寫內容，注意，如果你錄入了IP協議的規(guī)則，一點要保證IP協議規(guī)則的最后一條的內容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”?！觥甌CP’協議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標志比較復雜，你可以查閱其他資料，如果你不選擇任何標志，那么將不會對標志作檢查?！觥甀CMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則?！觥甀GMP’不用填寫內容。（5）當一個數據包滿足上面的條件時，你就可以對該數據包采取行動了： ■‘通行’指讓該數據包暢通無阻的進入或出去?！鰯r截’指讓該數據包無法進入你的機器■繼續(xù)下一規(guī)則’指不對該數據包作任何處理，由該規(guī)則的下一條同協議規(guī)則來決定對該包的處理。（6）在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數據包的主要內容，并用右下腳的“天網防火墻個人版”圖標是否閃爍來“警告”，或發(fā)出聲音提示。6）新增規(guī)則點擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許訪問WWW端口的規(guī)則，可以按如下方法設置。設置完成后點擊“確定”，并點擊工具條的保存按鈕。7）普通應用程序規(guī)則設置天網防火墻個人版增加對應用程序數據傳輸封包進行底層分析攔截功能，它可以控制應用程序發(fā)送和接收數據傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網防火墻個人版打開的情況下，首次激活的任何應用程序只要有通訊傳輸數據包發(fā)送和接收存在，都會被天網防火墻個人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時可以根據需要來決定是否允許應用程序訪問網絡。如果不選中“該程序以后按照這次的操作運行”，那么天網防火墻個人版在以后會繼續(xù)截獲該應用程序的數據傳輸數據包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運行”選項，該應用程序將自加入到應用程序列表中，可以通過應用程序設置來設置更為詳盡的數據傳輸封包過濾方式。8）高級應用程序規(guī)則設置單擊可以打開詳細的應用程序規(guī)則設置。單擊應用程序規(guī)則面板中對應每一條應用程序規(guī)則都有幾個按鈕點擊“選項”即可激活應用程序規(guī)則高級設置頁面?！霸搼贸绦蚩梢浴贝翱谑窃O定該應用程序可以做的動作。其中：是指此應用程序進程可以向外發(fā)出連接請求，通常是用于各種客戶端軟件。則是指此程序可以在本機打開監(jiān)聽的端口來提供網絡服務，這通常用于各種服務器端程序中。9）根據以上功能，分別完成如下不同需求的防火墻規(guī)則設置并進行測試。需求1：ICMP規(guī)則允許ping進來，其它禁止，TCP規(guī)則允許訪問本機的WWW服務和主動模式的FTP服務，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進出UDP報文禁止。實驗思考1）根據你所了解的網絡安全事件，你認為天網防火墻不具備的功能有哪些？ 2）防火墻是不是絕對的安全？攻擊防火墻系統的手段有哪些？第二篇：實驗三十三：防火墻技術實驗三十三：防火墻技術一、理論基礎對于報文的訪問控制技術被稱為防火墻技術。實施是為了保護內部網絡免遭非法數據包的侵害。正如防火墻這一詞語本身所顯示的那樣，防火墻一般部署于一個網絡的邊緣，用于控制進入網絡數據包的種類。防火墻作為Internet訪問控制的基本技術，其主要作用是監(jiān)視和過濾通過它的數據包，根據自身所配置的訪問控制策略決定該包應當被轉發(fā)還是應當被拋棄，以拒絕非法用戶訪問網絡并保障合法用戶正常工作。一般應將防火墻置于被保護網絡的入口點來執(zhí)行訪問控制。例如，將防火墻設置在內部網和外部網的連接處，以保護內部網絡或數據免于為未認證或未授權的用戶訪問，防止來自外網的惡意攻擊。也可以用防火墻將企業(yè)網中比較敏感的網段與相對開放的網段隔離開來，對受保護數據的訪問都必須經過防火墻的過濾，即使該訪問是來自組織內部。防火墻可通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護?，F在的許多防火墻同時還具有一些其它特點，如進行用戶身份鑒別，對信息進行安全（加密）處理等等。在路由器上配置了防火墻特性后，路由器就成了一個健壯而有效的防火墻。一般把防火墻分為兩類：網絡層防火墻、應用層防火墻。網絡層的防火墻主要獲取數據包的包頭信息，如協議號、源地址、目的地址和目的端口等或者直接獲取包頭的一段數據，而應用層的防火墻則對整個信息流進行分析。常見的防火墻有以下幾類：應用網關（Application Gateway）包過濾（Packet Filter）代理（Proxy）ACL 華為路由器的防火墻配置包括兩個內容，一是定義對特定數據流的訪問控制規(guī)則，即定義訪問控制列表ACL；二是定義將特定的規(guī)則應用到具體的接口上，從而過濾特定方向的數據流。常用的訪問控制列表可以分為兩種：標準的訪問控制列表和擴展的訪問控制列表。標準訪問控制列表僅僅可以根據IP報文的源地址域區(qū)分不同的數據流，擴展訪問控制列表則可以根據IP報文中的更多域（如目的IP地址，上層協議信息等）來區(qū)分不同數據流。所有的訪問控制列表都有一個編號，標準的訪問控制列表和擴展的訪問控制列表就是按照這個編號來區(qū)分的：標準的訪問控制列表編號范圍是199，擴展的訪問控制列表編號范圍是100199。二、實驗案例防火墻的配置實驗拓撲結構圖：在實驗室我們用RouterA模擬企業(yè)網，用另一臺路由器RouterB模擬外部網。配置說明：RouterA的各個接口的地址分別為： E0::： E0:::： pcB的地址:： pcC的地址:：具體的配置：方法一：（標準的）RouterA上配置策略(啟動防火墻)[routerA]firewall enable Firewall enabled [routerA]acl 1 [routerAacl2000]rule normal permit source Rule has been added to normal packetfiltering rules [routerAacl2000]rule normal deny source Rule has been added to normal packetfiltering rules [routerAacl2000] [routerA]int s0 [routerASerial0]firewall packetfilter 1 outbound [routerASerial0] [routerA]dis cur Now create configuration...Current configuration version sysname routerA firewall enable aaaenable aaa accountingscheme optional acl 2000 matchorder auto rule normal permit source rule normal deny source interface Aux0 async mode flow linkprotocol ppp interface Ethernet0 ip address interface Serial0 linkprotocol ppp ip address firewall packetfilter 2000 outbound interface Serial1 linkprotocol ppp interface Serial2 linkprotocol ppp quit rip network all quit re