防火墙实验报告
南京信息工程大学实验(实习)报告
实验(实习)名称防火墙实验(实习)日期2014.12.21指导教师朱节中
系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001
一.实验目的:
1. 了解防火墙的相关知识
2. 防火墙的简单实验
二.实验步骤:
1. 了解防火墙的概念,类型及作用
2. 防火墙的实验
三.实验内容:
1.防火墙的概念
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。由计算机硬件或软件系统构成防火墙,来保护敏感的数据部被窃取和篡改。防火墙是设置在可信任的企业内部和不可信任的公共网或网络安全域之间的以系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
2防火墙的类型
技术上看,防火墙有三种基本类型:包过滤型、代理服务器型和复合型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。
包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。
代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。它代理用户完成TCP/IP网络的访问功能,实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的代理。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换,实现了安全的网络访问,
并可以实现用户认证、详细日志、审计跟踪和数据加密等功能,实现协议及应用的过滤及会话过程的控制,具有很好的灵活性。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。
复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结合起来,形成新的网络安全平台,以提高防火墙的灵活性和安全性
3.防火墙技术在网络中的作用
防火墙技术作为保护内部网络与外部网络相接入的一道安全屏障,已经越来越受到人们的普遍关注。作为网络安全的屏障只有经过精心选择的应用协议才能通过防火墙,可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。如防火墙可以禁止NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
(1)可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。(2)可以对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。
(4)可以防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
4.操作方法与实验步骤
1)安装瑞星2012防火墙
2)防火墙功能验证
(1)程序联网控制
(2)网络攻击拦截
(3)恶意网址拦截
(4)ARP欺骗防御
(5)对外攻击拦截
(6)网络数据保护
(7)IP规则设置
1. 安装
环境要求:
操作系统: Windows XP / Windows 7/server 2003
CPU:500 MHz及以上
内存:512 MB系统内存及以上,最大支持内存4GB
支持网络协议:IPV4
软件:瑞星个人防火墙2012版
2. 维护/卸载
可以通过添加删除组件菜单,根据不同的需求对瑞星防火墙的组件进行管理。也可以通过修复菜单,重新安装已安装的组件。当您不需要瑞星防火墙时,可通过卸载来完全卸载。
方法:
单击【开始】/【程序】/【瑞星个人防火墙】/【修复】或者
打开控制面板,双击【添加/删除程序】,在【添加或删除程序】属性页中选中【瑞星个人防火墙】。
【添加/删除】:选中此项后,您可根据自身需要,添加或删除瑞星防火墙的组件,便于您更灵活、更有效地使用资源;
【修复】:选中此项后,程序会对现有的瑞星防火墙进行修复安装,检查已安装的瑞星防火墙的完整性,并修复存在的问题。便于您更稳定地使用瑞星防火墙;
【卸载】:选中此项后,将会卸载瑞星防火墙。
一)网络防护
1. 程序联网控制
控制电脑中的程序对网络的访问。进行“增加”、“删除”、“导入”、“导出”、“修改”、“高级选项”设置,实现相关程序的访问控制。
2. 网络攻击拦截
依托瑞星“智能云安全”网络分析技术,有效拦截各种网络攻击:浏览器攻击、远程溢出、蠕虫传播、僵尸网络、木马后门(如灰鸽子等)。
3. 恶意网址拦截
设置黑白名单,屏蔽或保护相关程序;启用钓鱼网页扫描功能;启用搜索引擎搜索结果风险分析。
4. ARP欺骗防御
5. 对外攻击拦截
1)检测SYN Llood攻击;2)检测ICMP Llood攻击;3)检测UDP Llood 攻击。
6. 网络数据保护
1)启用端口隐身;2)启用聊天加密。
7. IP规则设置
1)可信区服务:
2)黑白名单:通过“增加”、“导入”设置白名单,在白名单中的电脑对本机具有完全的访问权限。
3)端口开关:通过“增加”、“编辑”、“删除”、“导入”、“导出”设置,允许或禁止列表中的端口通讯。
5.实验数据处理与分析
通过ARP静态规则的设置:“添加”、“编辑”、“删除”、“导入”、“导出”、“修改”,防止电脑受到ARP攻击,并帮助找到局域网中的攻击源。
防御的方式(可同时勾选):1)定时检查本机ARP缓存;2)禁止IP地址冲突攻击;3)禁止本机对外发送虚假IP数据包。
防御范围设置(勾选之一):1)防御局域网中的所有电脑;2)防御指定的电脑地址和静态地址。
在IP规则设置中,可以通过“增加”、“编辑”、“删除”、“导入”、“导出”、“恢复默认”设置IP规则。如
规则名称状态范围协议远程端口本地端口报警方式
允许域名解
析
放行所有IP包UDP 53 任意端口不报警
允许动态IP 放行所有IP包UDP 67-68 67-68 不报警
允许SNMP 放行所有IP包UDP 任意端口161 不报警
允许FTP 放行所有IP包TCP 20 任意端口不报警
禁止ping入拒绝收到的IP包ICM
P
特征代码为0 不报警
….. ….
四.实验总结
瑞星防火墙是一款比较出名和被狂翻应用的软件防火墙,它可以网络攻击拦截,入侵检测规则库每日随时更新,拦截来自互联网的黑客、病毒攻击、包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。
在安装于配置过程中由于人性化的界面设计和傻瓜是的配置方法,使得在使用瑞星防火墙上可以得心应手,它的功能也能得到很好的发挥出来。
防火墙实验报告
南京信息工程大学实验(实习)报告 实验(实习)名称防火墙实验(实习)日期2012.12.6指导教师朱节中 专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置;掌握防火墙安全策略的配置。 【背景描述】 1.用接入广域网技术(NA T),将私有地址转化为合法IP地址。解决IP地址不足的问题,有效避免来自外部网络的攻击,隐藏并保护内部网络的计算机。 2.网络地址端口转换NAPT(Network Address Port Translation)是人们比较常用的一种NA T方式。它可以将中小型的网络隐藏在一个合法的IP地址后面,将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NA T设备选定的TCP端口号。 3.地址绑定:为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP 地址,也因MAC地址不匹配而盗用失败,而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配,将无法通过防火墙。 4.抗攻击:锐捷防火墙能抵抗以下的恶意攻击:SYN Flood攻击;ICMP Flood攻击;Ping of Death 攻击;UDP Flood 攻击;PING SWEEP攻击;TCP端口扫描;UDP端口扫描;松散源路由攻击;严格源路由攻击;WinNuke攻击;smuef攻击;无标记攻击;圣诞树攻击;TSYN&FIN攻击;无确认FIN攻击;IP安全选项攻击;IP记录路由攻击;IP流攻击;IP时间戳攻击;Land攻击;tear drop攻击。 【小组分工】 组长:IP:192.168.10.200 管理员 :IP:172.16.5.4 策略管理员+日志审计员 :IP:172.16.5.3 日志审计员 :IP:172.16.5.2 策略管理员 :IP:172.16.5.1 配置管理员 【实验设备】 PC 五台 防火墙1台(RG-Wall60 每实验台一组) 跳线一条 【实验拓扑】
网络安全实验报告[整理版]
一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。
实验7:防火墙配置与NAT配置最新完整版
大连理工大学本科实验报告 课程名称:网络综合实验 学院(系):软件学院 专业:软件工程2012年3月30日
大连理工大学实验报告 实验七:防火墙配置与NAT配置 一、实验目的 学习在路由器上配置包过滤防火墙和网络地址转换(NAT) 二、实验原理和内容 1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置 三、实验环境以及设备 2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤(操作方法及思考题) {警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。} 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别 将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以 及配置PC A 和B的缺省网关为202.0.0.1,PC C 的缺省网关为202.0.1.1,PC D 的缺省网关为202.0.2.1。
202.0.0.2/24 202.0.1.2/24 192.0.0.1/24192.0.0.2/24 202.0.0.1/24 202.0.1.1/24S0 S0 E0E0 202.0.0.3/24 202.0.2.2/24 E1 202.0.2.1/24AR18-12 AR28-11 交叉线 交叉线 A B C D 图 1 3、在两台路由器上都启动RIP ,目标是使所有PC 机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。(5分) AR18-12 [Router]interface ethernet0 [Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface serial0 [Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router - Serial0]quit [Router]rip [Router -rip ]network all AR28-11 [Quidway]interface e0/0 [Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1 [Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial/0 [Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip [Quidway-rip]network 0.0.0.0 Ping 结果如下:全都ping 通
网络安全技术实验报告实验10数据库及数据安全
XX大学 本科实验报告 课程名称:网络安全技术 1421351 学号: XXX 姓名: 网络工程专业: 班级:网络B14-1 指导教师: 课内实验目录及成绩 信息技术学院 2016年11 月24日
XX大学实验报告 课程名称:网络安全技术实验类型:演示、验证 实验项目名称:实验十数据库及数据安全 实验地点:信息楼320 实验日期:2017 年11月24 日 实验十数据库及数据安全(数据备份与恢复) 1.实验目的 理解备份的基本概念,了解备份设备的概念。掌握各种备份数据库的方法,了解如何制定备份计划,如何从备份中恢复设备,掌握数据库的恢复方法。掌握SQL Server 备份和恢复数据库的方法。 ?(1)理解SQL Server 2014系统的安全性机制。 ?(2)明确管理和设计SQL Server登录信息,实现服务器级安全控制。 ?(3)掌握设计和实现数据库级的安全保护机制的方法。 ?(4)独立设计和实现数据库备份和恢复。 2.预备知识 数据库的备份与恢复是两个相对应的概念,备份是恢复的基础,恢复是备份的目的。数据库备份是指系统管理员定期或不定期地将数据库部分或全部内容复制到磁带或另一个磁盘上保存起来的过程。备份可分为静态备份和动态备份。数据库恢复是指在数据库遭到破坏时使数据库从有效的备份中恢复正常。 备份期间不允许对数据库进行任何存取、修改活动的备份方式称为静态备份。备份期间允许对数据库进行存取或修改,即各份和用户事务可以并发执行的备份方式称为动态备份。 3.实验准备 1.硬件:PC机、局域网环境 2.软件:Windows NT或Win Server 2016操作系统,SQL Server 2014 4.注意事项 确定备份计划主要考虑以下几个方面: 1)确定备份的频率。确定备份频率要考虑两个因素:一是系统恢复时的工作量,二是系统活动的事务量。对于完整数据库备份,可以是每个月、每一周甚至是每一天进行,而事务日志备份可以是每一周、每一天甚至是每一小时进行。 2)确定备份的内容。确定数据库中的哪些数据需要备份。
防火墙-实验报告
一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问;外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙:将防火墙放置于内外网络的边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因 配置不当带来问题,允许数据包直接通过,容易造成数据 驱动式攻击的潜在危险。 ●应用级网关:内置了专门为了提高安全性而编制的Proxy 应用程序,能够透彻地理解相关服务的命令,对来往的数 据包进行安全化处理,速度较慢,不太适用于高速网 (ATM或千兆位以太网等)之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内部
网络,通过在分组过滤路由器或防火墙上过滤规则的设 置,使堡垒机成为Internet 上其它节点所能到达的唯一 节点,这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器;它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信,它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步的把内部网络和外 部网络(通常是Internet)隔离开。被屏蔽子网体系结构 的最简单的形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容和步骤 (1)简述天网防火墙的工作原理 天网防火墙的工作原理: 在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过
防火墙实验报告记录
防火墙实验报告记录
————————————————————————————————作者:————————————————————————————————日期:
一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问;外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙:将防火墙放置于内外网络的边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因 配置不当带来问题,允许数据包直接通过,容易造成数据 驱动式攻击的潜在危险。 ●应用级网关:内置了专门为了提高安全性而编制的Proxy 应用程序,能够透彻地理解相关服务的命令,对来往的数 据包进行安全化处理,速度较慢,不太适用于高速网 (ATM或千兆位以太网等)之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内部
网络,通过在分组过滤路由器或防火墙上过滤规则的设 置,使堡垒机成为Internet 上其它节点所能到达的唯一 节点,这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器;它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信,它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步的把内部网络和外 部网络(通常是Internet)隔离开。被屏蔽子网体系结构 的最简单的形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容和步骤 (1)简述天网防火墙的工作原理 天网防火墙的工作原理: 在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过
防火墙软件的安装与配置实验报告
实验三防火墙软件的安装与配置 一、防火墙软件的安装 1.双击已经下载好的安装程序,出现如下图所示的安装界面: 2. 在出现的如上图所示的授权协议后,请仔细阅读协议,如果你同意协议中的所有条款,请选择“我接受此协议”,并单击下一步继续安装。如果你对协议有任何异议可以单击取消,安装程序将会关闭。必须接受授权协议才可以继续安装天网防火墙。如果同意协议,单击下一步将会出现如下选择安装的文件夹的界面:
3.继续点击下一步出现如下图所示的选择“开始”菜单文件夹,用于程序的快捷方式 4.点击下一步出现如下图所示的正在复制文件的界面,此时是软件正在安装,请用户耐心等待。
5.文件复制基本完成后,系统会自动弹出如下图所示的“设置向导”,为了方便大家更好的使用天网防火墙,请仔细设置。 6.单击下一步出现如下图所示的“安全级别设置”。为了保证您能够正常上网并免受他人的 恶意攻击,一般情况下,我们建议大多数用户和新用户选择中等安全级别,对于熟悉天网防火墙设置的用户可以选择自定义级别。
7.单击下一步可以看见如下图所示的“局域网信息设置”,软件将会自动检测你的IP 地址,并记录下来,同时我们也建议您勾选“开机的时候自动启动防火墙”这一选项,以保 证您的电脑随时都受到我们的保护。 8.单击下一步进入“常用应用程序设置”,对于大多数用户和新用户建议使用默认选
项。 9.单击下一步,至此天网防火墙的基本设置已经完成,单击“结束”完成安装过程。
10.请保存好正在进行的其他工作,单击完成,计算机将重新启动使防火墙生效。 二、防火墙软件的配置 1.局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。 3-1:局域网地址设置 2.管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.
防火墙的设计与实现
课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号200803010212
姓名王能 指导教师刘铁武韩宁 2011年3 月6 日
湖南工程学院 课程设计任务书 一.设计内容: 问题1:基于802.1X的认证系统 建立为了便于集中认证和管理接入用户,采用AAA(Authentication、Authorization 和Accounting)安全体系。通过某种一致的办法来配置网络服务,控制用户通过网络接入服务器的访问园区网络,设计内容如下: 1.掌握IEEE820.1X和RADIUS等协议的工作原理,了解EAP协议 2.掌握HP5308/HP2626交换机的配置、调试方法 3.掌握WindowsIAS的配置方法和PAP,CHAP等用户验证方法 4.建立一个基于三层交换机的模拟园区网络,用户通过AAA方式接入园区网络 问题2:动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网,对RIP和OSPF协议的工作原理进行研究,设计内容如下: 1.掌握RIP和OSPF路由协议的工作原理 2.掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3.掌握RIP和OSPF协议的报文格式,路由更新的过程 4.建立基于RIP和OSPF协议的模拟园区网络 5.设计实施与测试方案 问题3:防火墙技术与实现 建立一个园区网络应用防火墙的需求,对具体实施尽心设计并实施,设计内容如下: 1.掌握防火墙使用的主要技术:数据包过滤,应用网关和代理服务 2.掌握HP7000路由器的配置、调试方法
防火墙 实验报告
一、实验目得 ●通过实验深入理解防火墙得功能与工作原理 ●熟悉天网防火墙个人版得配置与使用 二、实验原理 ●防火墙得工作原理 ●防火墙能增强机构内部网络得安全性.防火墙系统决定了 哪些内部服务可以被外界访问;外界得哪些人可以访问内 部得服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权得数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术得对比 ●包过滤防火墙:将防火墙放置于内外网络得边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因配置 不当带来问题,允许数据包直接通过,容易造成数据驱动 式攻击得潜在危险. ●应用级网关:内置了专门为了提高安全性而编制得Proxy 应用程序,能够透彻地理解相关服务得命令,对来往得数据 包进行安全化处理,速度较慢,不太适用于高速网(ATM 或千兆位以太网等)之间得应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内
部网络,通过在分组过滤路由器或防火墙上过滤规则得设 置,使堡垒机成为Internet 上其它节点所能到达得唯 一节点,这确保了内部网络不受未授权外部用户得攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样得主机可以充当与这些 接口相连得网络之间得路由器;它能够从一个网络到另外 一个网络发送IP数据包.但就是外部网络与内部网络不能 直接通信,它们之间得通信必须经过双重宿主主机得过滤 与控制. ●被屏蔽子网体系结构:添加额外得安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步得把内部网络与外 部网络(通常就是Internet)隔离开。被屏蔽子网体系结 构得最简单得形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容与步骤 (1)简述天网防火墙得工作原理 天网防火墙得工作原理: 在于监视并过滤网络上流入流出得IP包,拒绝发送可疑得包。基于协议特定得标准,路由器在其端口能够区分包与限制包得能力叫包过滤。由于Internet与Intranet 得连接多数都要使用路由器,所以Router成为内外通信得必经端口,Router得厂商在Router上加
防火墙实验报告
防火墙实验报告 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
信息安全实验报告 实验名称:防火墙实验 教师:周亚建 班级: 08211319 学号: 08211718 班内序号: 28 姓名:龙宝莲 2011年 3 月 23 日 一、实验目的 通过实验深入理解防火墙的功能和工作原理,学会使用boson netsim模 拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。 二、实验原理 1、防火墙的实现技术 ●包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头 (header),由此 决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。 ●应用级网关技术。应用级网关即代理服务器,代理服务器通常运行在两个网 络之间,它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器,而对于外界的服务器来说,他又相当于此Internet 服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求
后,首先会检查该请求是否符合事先制定的安全规则,如果规则允许,代理服务器会将此请求发送给Internet站点,从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离,从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。 ●状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息,而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表,将在内外网间传输的数据包以会话角度进行监测,利用状态跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话。 2、防火墙的体系结构 ●双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主主 机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如外部网)并不是直接发送到其它网络(例如内部的被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 ●屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自 仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。 在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点的安全策略决定)到外部世界。 ●屏蔽子网体系结构,屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机
路由器模拟防火墙实验报告
实验五:路由器模拟防火墙实验报告 实验步骤 本次实验有三台PC机和两台路由器,网络拓扑图如下所示。PC1不能ping通router1,但PC0能ping通router1。通过密码远程登录Router1。
Router1的基本配置命令: Router>enable 进入特权模式 Router#config t 进入全局配置模式 Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0 进入端口配置模式 Router(config-if)#ip address 192.168.4.1 255.255.255.0 配置fa0/0的ip Router(config-if)#no shutdown 启用 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#exit 退出端口配置模式 Router(config)#int s2/0 进入端口配置模式 Router(config-if)#ip address 192.168.3.2 255.255.255.0 配置ser2/0的ip Router(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial2/0, changed state to down Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface Serial2/0, changed state to up Router(config-if)#exit Router(config)#router rip 配置动态路由 Router(config-router)#ver Router(config-router)#version 2 版本号 Router(config-router)#network 192.168.3.0 相连网段 Router(config-router)#network 192.168.4.0 相连网段 Router(config-router)#exit 退出路由配置模式 Router(config)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up (1)未设置ping的控制条件时,PC机之间能够相互ping通。截图如下: PC0 ping PC2 能够ping通 PC1 ping PC2 能够ping通
防火墙实验报告 2
计算机安全实验报告 实验题目:天网防火墙windows安全设置专业/班级:计科一班 学号:110511407 姓名:李冲 指导教师:张小庆
一天网防火墙技术 1 实验题目简述 个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。 这些软件都能够独立运行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。 2.实验目标和意义 实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。 3.实验原理和实验设备 3.1 实验原理 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,
基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 例如,防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围,当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定 TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。 3.1 实验设备 Window 7 天网个人防火墙2010版 4.实验步骤 4.1 实验步骤 第一步:局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。设置如图3-1.
防火墙技术实验报告
网络攻防对抗 实验报告 实验名称:防火墙技术(实验八)指导教师: 专业班级: 姓名: 学号: ______ 电子邮件:___ 实验地点: _ 实验日期: 实验成绩:____________________
一、实验目的 防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验,使学生了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。 二、实验原理 防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。 1.防火墙的基本原理 防火墙(firewall)是一种形象的说法,本是中世纪的一种安全防务:在城堡周围挖掘一道深深的壕沟,进入城堡的人都要经过一个吊桥,吊桥的看守检查每一个来往的行人。对于网络,采用了类似的处理方法,它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关( security gateway), 也就是一个电子吊桥,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问,以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。 防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击,但是,这种攻击比较容易发现和察觉,危害性也比较小,这一般是用公司内部的规则或者给用户不同的权限来控制。
2. 防火墙的分类 目前市场的防火墙产品主要分类如下: (1)从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。(2)从防火墙技术“包过滤型”和“应用代理型”两大类。 (3)从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4)按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火墙三大类。 (5)按防火墙性能百兆级防火墙和千兆级防火墙两类。 3. 防火墙的基本规则 一切未被允许的就是禁止的(No 规则)。 一切未被禁止的就是允许的(Yes 规则)。 4. 防火墙自身的缺陷和不足 (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。 (2)无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。 (3)Internet 防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP 或PPP 联接进入Internet。 (4)对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
网络安全实验报告 (1)
《网络安全与网络管理》课程 实验报告 学院年级2012专业网络工程 姓名学号 任课教师上机地点 实验教师
《网络安全》课程实验报告一 实验题目Sniffer网络抓包分析 一、实验时间2015年 3月 18日周三上午4-5节 二、实验目的: 掌握1-2种Sniffer软件的使用;能利用相关软件进行网络抓包并进行网络协议分析;进而理解相关的网络安全威胁 三、实验要求 1.查看PING包的构成(默认32Byte内容),若用64Byte来ping,内容是什么? 2.登录校园网,查看捕捉到的用户名和密码 3.查看TCP三次握手的包的序列号规律 4.登录校园网的邮箱,查看所用的协议及其工作过程 实验报告要求: 注明以上实验结果(附实验截图) 四、实验内容、过程和结果(实验主要内容的介绍、主要的操作步骤和结果) 1.使用ping命令进行测试,截取数据包抓取ping包: 2.登陆校园网,查看捕捉到的用户名和密码:打开校园网登陆页面,输入用户名yankun,密码123456,然后启动抓包软件抓取到如下截图的包,在包中找到了之前输入的用户名和密码,如下框中所示;
3.查看TCP三次握手的包的序列号规律,对打开浏览器着一过程进行抓包分析:如下截图,通过下面的抓包可以清楚的了解到三次握手的建立过程;
分析:TCP报文的首部如下图所示,序号字段的值则指的是本报文段所发送的数据的第一个字节的序号 确认号字段——占 4 字节,是期望收到对方的下一个报文段的数据的第一个字节的序号。 确认比特 ACK ——只有当 ACK 1 时确认号字段才有效。当 ACK 0 时,确认号无效。 在上面的两个截图中,第一个图的seq=79780372,Ack=171311206,在第二个截图中可以看到seq=171311206, Ack=79780373,接收到的确认号是之前对方发过来的序列号加1,三次握手的过程就是靠双方发送先关序列号进行确认联系,从而建立安全的通道进行数据传输。 4.登录校园网的邮箱,查看所用的协议及其工作过程 此截图是登陆校园邮箱过程的包,可以在包中发现有TLS协议,用来加密数据,以保障数据的安全性;
创建防火墙实验报告
创建防火墙实验报告 班级:10网工三班学生姓名:谢昊天学号:1215134046 实验目的和要求: 1、了解防火墙的基本概念; 2、掌握如何使用规则集实现防火墙; 实验内容与分析设计: 1.WinRoute目前应用比较广泛,既可以作为一个服务器的防火墙系统,也可以作为一个代理服务器软件。用WinRoute创建包过滤规则: (1)使主机不响应“Ping”指令; (2)禁用FTP访问; (3)禁用HTTP访问; 2、编写防火墙规则:禁止除管理员主机(IP为192.168.0.1)外任何一台计算机访问某主机(IP为192.168.0.10)的终端服务(TCP端口为3389),并用WinRoute实现上述规则。 实验步骤与调试过程: 创建防火墙 1.安装WinRoute,既可以作为一个服务器的防火墙系统,也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1,安装文件为wrp41en.exe。 2.安装完毕后,启动winroute administration ,进入winroute的登陆界面。 3.密码设置为空,单击"ok"按钮,进入系统管理,单击"setting"选项卡,在"advanced"中选择“packet filter”菜单项。选中网卡图标,单击“ADD”按钮,会出现“add item” 对话框,所有的过滤规则都此添加。 4.在“protocol”下拉列表中选择“ICMP”,单击"ok"按钮。 5.在“ICMP type”中,将复选框全部选择。 6.在“ACTION”中,选择单选框“Drop”。 7.在“logpocket”中选择“Log into Window”,选择完毕后,单击"ok"按钮。一条规则就创建完毕。 8.设置完毕,该主机就不能响应外界的ping指令。 9.在选择菜单栏“”View下的菜单项“Logs>security logs ,查看日志记录。 使用winroute禁止HTTP访问: 1.单击"setting"选项卡,在"advanced"中选择“packet filter”菜单项。 2.选中网卡图标,单击“ADD”按钮,会出现“add item”对话框,所有的过滤规则都在此添加 3.在“protocol”下拉列表中选择“HTTP”,port=80 4.action选择drny
个人防火墙的应用和配置实验报告
个人防火墙的应用和配置 1 实验题目简述 1.1 题目描述 个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。 这些软件都能够独立运行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。 1.2 实验目标和意义 实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。 2 实验原理和实验设备 2.1 实验原理 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 例如,防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围,当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定 TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。 2.1 实验设备 Window XP 天网个人防火墙
防火墙实验报告
信息安全实验报告 实验名称:防火墙实验 教师:周亚建 班级: 08211319 学号: 08211718 班内序号: 28 姓名:龙宝莲 2011年 3 月 23 日一、实验目的 通过实验深入理解防火墙的功能和工作原理,学会使用boson netsim模 拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。 二、实验原理 1、防火墙的实现技术 ●包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由 此 决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。 ●应用级网关技术。应用级网关即代理服务器,代理服务器通常运行在两个网络之间,它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器,而对于外界的服务器来说,他又相当于此Internet服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后,首先会检查该请求是否符合事先制定的安全规则,如果规则允许,代理服务器会将此请求发送给Internet站点,从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离,从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。 ●状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息,而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表,将在内外网间传输的数据包以会话角度进行监测,利用状态跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话。 2、防火墙的体系结构 ●双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主主
H3C 防火墙 网络实验报告
防火墙配置 【实验目的】 1.掌握防火墙的基本配置。 2.掌握防火墙包过滤配置。 3.掌握防火墙黑名单、MAC绑定的配置 【实验环境】 H3C secpath系列防火墙一台、3100系列交换机两台、PC机4台,网线若干。 【实验原理】 一、防火墙简介 在大厦构造中,防火墙被设计用来防止火从大厦的一部分传播到另一部分。网络的防火墙服务于类似目的:防止Internet的危险传播到内部网络。 防火墙一方面阻止来自Internet对受保护网络的未授权或未认证的访问,另一方面允许内部网络的用户对Internet进行Web访问或收发E-mail等。防火墙也可以作为一个访问Internet的权限控制关口,如允许内部网络的特定用户访问Internet。 防火墙不单用于对Internet的连接,也可以用来在组织网络内部保护大型机和重要的资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。 二、防火墙的安全特性 1、基于访问控制列表(ACL)的包过滤 ACL/包过滤实现对IP数据包的过滤,对防火墙需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。 2、黑名单 黑名单,指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的190
过滤,从而有效地将特定IP地址发送来的报文屏蔽。 黑名单最主要的一个特色是可以由防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此,黑名单是防火墙一个重要的安全特性。 黑名单分为静态和动态两种。静态黑名单需要手动将IP地址添加到黑名单表中。动态黑名单是和地址扫描、端口扫描的攻击防范结合到一起的。 3、MAC和IP地址绑定 MAC和IP地址绑定,指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC 地址不是指定关系对中的地址,防火墙将予以丢弃,是避免IP地址假冒攻击的一种方式。 4、防火墙的攻击防范功能 防火墙的攻击防范功能能够检测出多种类型的网络攻击,如IP地址欺骗、地址扫描与端口扫描、SYN Flood攻击、Ping of Death攻击等等,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行 5、Web和邮件过滤 防火墙支持Web和邮件过滤,以阻止内部用户访问非法的网址或访问含有非法内容的网页,防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。同时,邮件过滤也能防止外部向内部发送邮件。 6、安全区域 防火墙使用安全区域的概念来表示与其相连接的网络。 防火墙预先定义了四个安全区域,这些安全区域也称为系统安全区域,分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别,安全级别由高到低依次为Local、Trust、DMZ、Untrust。 可以为安全区域设置一个优先级,优先级数值越高,表示此区域的安全性越高。 缺省情况下,Local区域的优先级为100,Trust区域的优先级为85,Untrust 区域的优先级为5,DMZ区域的优先级为50。系统定义的这些区域的优先级是 191