根据工作的内容与性质,报告划分为不同的写作格式,加上报告的内容较多,很多人不知道怎么写报告。以下是小编整理的关于《防火墙技术实验报告》,欢迎大家借鉴与参考,希望对大家有所帮助!
第一篇:防火墙技术实验报告
实验 防火墙技术实验
实验九
防火墙技术实验
1、实验目的
防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验,使学生了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。
2、题目描述
根据不同的业务需求制定天网防火墙策略,并制定、测试相应的防火墙的规则等。
3、实验要求
基本要求了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。提高要求能够使用WindowsDDK开发防火墙。
4、相关知识
1)防火墙的基本原理防火墙(firewall)是一种形象的说法,本是中世纪的一种安全防务:在城堡周围挖掘一道深深的壕沟,进入城堡的人都要经过一个吊桥,吊桥的看守检查每一个来往的行人。对于网络,采用了类似的处理方法,它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(securitygateway),也就是一个电子吊桥,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问,以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。典型的网络防火墙如下所示。
防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击,但是,这种攻击比较容易发现和察觉,危害性也比较小,这一般是用公司内部的规则或者给用户不同的权限来控制。
2)防火墙的分类前市场的防火墙产品主要分类如下:
(1)从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。 (2)从防火墙技术“包过滤型”和“应用代理型”两大类。
(3)从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4)按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火墙三大类。 (5)按防火墙性能百兆级防火墙和千兆级防火墙两类。 3)防火墙的基本规则
■一切未被允许的就是禁止的(No规则)。 ■一切未被禁止的就是允许的(Yes规则)。
很多防火墙(例如SunScreenEFS、CiscoIOs、FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条„„当它发现一条匹配规则时,就停止检查并应用那条规则。
4)防火墙自身的缺陷和不足
■限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
■无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。 ■Internet防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或PPP联接进入Internet。
■对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。 ■Internet防火墙也不能完全防止传送已感染病毒的软件或文件。
■防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上,但一旦执行就开始攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。
■不能防备新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用。
5、实验设备
主流配置PC,安装有windows 2000 SP4操作系统,网络环境,天网防火墙个人版。
6、实验步骤
1)从指导老师处得到天网防火墙个人版软件。
2)天网防火墙个人版的安装。按照安装提示完成安装,并重启后系统。
3)系统设置。在防火墙的控制面板中点击“系统设置”按钮,即可展开防火墙系统设置面板。
天网个人版防火墙系统设置界面如下。
防火墙自定义规则重置:占击该按钮,防火墙将弹出窗口,如下:
如果确定,天网防火墙将会把防火墙的安全规则全部恢复为初始设置,你对安全规则的修改和加入的规则将会全部被清除掉。
防火墙设置向导:为了便于用户合理的设置防火墙,天网防火墙个人版专门为用户设计了防火墙设置向导。用户可以跟随它一步一步完成天网防火墙的合理设置。
应用程序权限设置:勾选了该选项之后,所有的应用程序对网络的访问都默认为通行不拦截。这适合在某些特殊情况下,不需要对所有访问网络的应用程序都做审核的时候。(譬如在运行某些游戏程序的时候)
局域网地址:设置在局域网内的地址。防火墙将会以这个地址来区分局域网或者是INTERNET 的IP来源。日志保存:选中每次退出防火墙时自动保存日志,当你退出防火墙的保护时,天网防火墙将会把当日的日志记录自动保存到SkyNet/FireWall/log文件下,打开文件夹便可查看当日的日志记录。
4)安全级别设置天网个人版防火墙的缺省安全级别分为低、中、高三个等级,默认的安全等级为中级。了解安全级别的说明请查看防火墙帮助文件。为了了解规则的设置等情况,我们选择自定义安全级别。
然后点击左边的
将打开自定义的IP规则。
从中可以看出,规则的先后顺序为IP规则、ICMP规则、IGMP规则、TCP规则和UDP规则。自定义IP规则的工具条如下,可以使用这些工具完成规则的增加、修改、删除、保存、调整、 导入导出操作。重要:规则增加、修改、删除等操作后一定要点击保存图标进行保存,否则无效。
单击规则前面的,可使该规则不起作用,且其形状变为。
5)修改规则双击该规则,或者点击工具条上的修改按钮可以打开该规则的修改窗体。然后按照需求对各部分进行修改。
(1)首先输入规则的“名称”和“说明”,以便于查找和阅读。 (2)然后,选择该规则是对进入的数据包还是输出的数据包有效。
(3)“对方的IP地址”,用于确定选择数据包从那里来或是去哪里,这里有几点说明: ■“任何地址”是指数据包从任何地方来,都适合本规则, ■“局域网网络地址”是指数据包来自和发向局域网,
■“指定地址”是你可以自己输入一个地址,“指定的网络地址”是你可以自己输入一个网络和掩码。
(4)除了录入选择上面内容,还要录入该规则所对应的协议,其中:
■‘IP’协议不用填写内容,注意,如果你录入了IP协议的规则,一点要保证IP协议规则的最后一条的内容是:“对方地址:任何地址;动作:继续下一规则”。
■‘TCP’协议要填入本机的端口范围和对方的端口范围,如果只是指定一个端口,那么可以在起始端口处录入该端口,结束处,录入同样的端口。如果不想指定任何端口,只要在起始端口都录入0。TCP标志比较复杂,你可以查阅其他资料,如果你不选择任何标志,那么将不会对标志作检查。
■‘ICMP’规则要填入类型和代码。如果输入255,表示任何类型和代码都符合本规则。 ■‘IGMP’不用填写内容。
(5)当一个数据包满足上面的条件时,你就可以对该数据包采取行动了: ■‘通行’指让该数据包畅通无阻的进入或出去。 ■拦截’指让该数据包无法进入你的机器
■继续下一规则’指不对该数据包作任何处理,由该规则的下一条同协议规则来决定对该包的处理。 (6)在执行这些规则的同时,还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容,并用右下脚的“天网防火墙个人版”图标是否闪烁来“警告”,或发出声音提示。
6)新增规则点击工具条的新增规则按钮可以新增一条规则,并弹出该规则的编辑界面。比如新增一条允许
访问WWW端口的规则,可以按如下方法设置。设置完成后点击“确定”,并点击工具条的保存按钮。
7)普通应用程序规则设置天网防火墙个人版增加对应用程序数据传输封包进行底层分析拦截功能,它可以控制应用程序发送和接收数据传输包的类型、通讯端口,并且决定拦截还是通过。在天网防火墙个人版打开的情况下,首次激活的任何应用程序只要有通讯传输数据包发送和接收存在,都会被天网防火墙个人版先截获分析,并弹出窗口,询问你是通过还是禁止。这时可以根据需要来决定是否允许应用程序访问网络。如果不选中“该程序以后按照这次的操作运行”,那么天网防火墙个人版在以后会继续截获该应用程序的数据传输数据包,并且弹出警告窗口。如果选中“该程序以后按照这次的操作运行”选项,该应用程序将自加入到应用程序列表中,可以通过应用程序设置来设置更为详尽的数据传输封包过滤方式。
8)高级应用程序规则设置单击
可以打开详细的应用程序规则设置。单击应用程序规则面板中对应每一条应用程序规则都有几个按钮
点击“选项”即可激活应用程序规则高级设置页面。
“该应用程序可以”窗口是设定该应用程序可以做的动作。其中:是指此应用程序进程可以向外发出连接请求,通常是用于各种客户端软件。则是指此程序可以在本机打开监听的端口来提供网络服务,这通常用于各种服务器端程序中。
9)根据以上功能,分别完成如下不同需求的防火墙规则设置并进行测试。
需求1:ICMP规则允许ping进来,其它禁止,TCP规则允许访问本机的WWW服务和主动模式的FTP服务,其它禁止,UDP禁止。 需求2:ICMP规则允许ping出去,其它禁止,TCP规则禁止所有连接本机,允许IE访问Internet的80端口,UDP规则允许DNS解析,其它进出UDP报文禁止。
7、实验思考
1)根据你所了解的网络安全事件,你认为天网防火墙不具备的功能有哪些? 2)防火墙是不是绝对的安全?攻击防火墙系统的手段有哪些?
第二篇:《防火墙及应用技术》实验教案
目 录
实验一 了解各类防火墙·································1 实验二 配置Windows 2003防火墙·························5 实验三 ISA服务器管理和配置·······························8 实验四 锐捷防火墙安装····································10 实验五 通过CONSOLE口命令防火墙配置管理··················12 实验六WEB 界面进行锐捷防火墙配置管理····················14 实验七 架设如下拓朴结构··································19
实验一 了解各类防火墙
一、实验目的和要求
1、了解防火墙一些概念与常识
2、熟悉个人防火墙
3、学会使用几种常见的防火墙的使用
二、实验任务
1、在Internet网上分别查找有关各类防火墙。
2、了解各类防火墙
三、实验指导或操作步骤
1.ZoneAlarm(ZA)
这是Zone Labs公司推出的一款防火墙和安全防护软件套装,除了防火墙外,它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的版本相比,新产品现在能够支持专家级的规则制定,它能够让高级用户全面控制网络访问权限,同时还具有一个发送邮件监视器,它将会监视每一个有可能是由于病毒导致的可疑行为,另外,它还将会对网络入侵者的行动进行汇报。除此之外,ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点,即使是刚刚出道的新手也能够很容易得就掌握它的使用。 说明:
(1)安装程序会自动查找已安装的 ZoneAlarm Pro 路径。
(2)如果已经安装过该语言包,再次安装前请先退出 ZA。否则安装后需要重新启动。
(3)若尚未安装 ZA,在安装完 ZA 后进行设置前安装该语言包即可,这样以后的设置将为中文界面。
(4)ZA 是根据当前系统的语言设置来选择相应语言包的,如果系统语言设置为英文,则不会调用中文语言包。
(5)语言包不改动原版任何文件,也适用于和 4.5.594.000 相近的版本。如果需要,在卸载后可还原到英文版。
(6)有极少量英文资源在语言包里没有,故无法汉化。如检查升级时的提示窗口、警报信息中的“Port”。
下载地址: http:///index.asp?rskey=B1B8JXCS
实验二 配置Windows 2003防火墙
一、实验目的和要求
1、了解防火墙一些概念与常识
2、学会配置Windows 2003防火墙
二、实验任务
1、配置Windows 2003防火墙。
2、了解防火墙
三、实验指导或操作步骤
Windows 2003提供的防火墙称为Internet连接防火墙,通过允许安全的网络通信通过防火墙进入网络,同时拒绝不安全的通信进入,使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
在Windows 2003服务器上,对直接连接到 Internet 的计算机启用防火墙功能,支持网络适配器、DSL 适配器或者拨号调制解调器连接到Internet。 1.启动/停止防火墙
(1)打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对话框。
(2)单击“高级”选项卡,出现如图1启动/停止防火墙界面。如果要启用 Internet 连接防火墙,请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙,请清除以上选择。
2.防火墙服务设置
Windows 2003 Internet连接防火墙能够管理服务端口,例如HTTP的80端口、FTP的21端口等,只要系统提供了这些服务,Internet连接防火墙就可以监视并管理这些端口。
(1)标准服务的设置
我们以Windows 2003服务器提供的标准Web服务为例(默认端口80),操作步骤如下:在图1所示界面中单击[设置]按钮,出现如图2所示“服务设置”对话框;在“服务设置”对话框中,选中“Web服务器(HTTP)”复选项,单击[确定]按钮。设置好后,网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。
图1
图2
注:您可以根据Windows 2003服务器所提供的服务进行选择,可以多选。常用标准服务系统已经预置在系统中,你只需选中相应选项就可以了。如果服务器还提供非标准服务,那就需要管理员手动添加了。
(2)非标准服务的设置
我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中,单击[添加]按钮,出现“服务添加”对话框,在此对话框中,填入服务描述、IP地址、服务所使用的端口号,并选择所使用的协议(Web服务使用TCP协议,DNS查询使用UDP协议),最后单击[确定]。设置完成后,网络用户可以通过8000端口访问相应的服务,而对没有经过授权的TCP、UDP端口的访问均被隔离。
3.防火墙安全日志设置
在图2“服务设置”对话框中,选择“安全日志”选项卡,出现“安全日志设置”对话框,选择要记录的项目,防火墙将记录相应的数据。日志文件默认路径为C:WindowsPfirewall.log,用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式,可以用常用的日志分析工具进行查看分析。
Internet 连接防火墙小结: Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,从而提高Windows 2003服务器的安全性。同时,它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
实验三 ISA服务器管理和配置
一、实验目的和要求
(1) 了解ISA一些概念与常识 (2) 熟悉ISA使用环境 (3) 学会管理和配置ISA服务器
二、实验任务
ISA服务器中的可扩展的企业防火墙配置。
三、实验指导或操作步骤
概要: 本文介绍如何安装 Internet Security and Acceleration (ISA) Server 并将其配置为防火墙。要将 ISA Server 架构安装到 Active Directory,您必须是本地计算机上的管理员。此外,您还必须同时是 Enterprise Admins 和 Schema Admins 两个组的成员。您必须为整个企业或组织将 ISA Server 架构一次性地安装到 Active Directory。(注意:企业初始化进程会将 ISA Server 架构信息复制到 Active Directory。由于 Active Directory 不支持架构对象的删除,因此企业初始化进程是不可逆的。)
1、要将 ISA Server 安装为防火墙,请按照下列步骤操作:
(1) 单击开始,单击运行,在打开文本框中键入 cmd,然后单击确定。
(2) 在命令提示符处,键入 PathISAi386Msisaent.exe(其中 Path 是指向 ISA Server 安装文件的路径)。请注意,该路径可能是 ISA Server 光盘的根文件夹,也可能是网络上包含 ISA Server 文件的共享文件夹。
(3) 单击 Microsoft ISA Server 安装对话框中的继续。
(4) 阅读最终用户许可协议 (EULA),然后单击我同意。
(5) 根据需要,选择其中一个安装选项。
(6) 单击"防火墙模式",然后单击继续。
(7) 在系统提示您允许安装程序停止 Internet 信息服务 (IIS) 时,单击确定。
(8) 要自动构建 Internet 协议 (IP) 地址,请单击建立表,单击与您的服务器相连的网卡,然后单击确定。
(9) 单击确定启动配置向导。
2、如何配置防火墙保护,请按照下列步骤操作:
(1) 单击开始,指向程序,指向 Microsoft ISA Server,然后单击 ISA 管理。
(2) 在控制台树中,单击以展开 server_name访问策略(其中 server_name 是服务器的名称),右键单击 IP 数据包筛选器,指向新建,然后单击筛选器。
(3) 在"IP 数据包筛选器名称"框中,键入要筛选的数据包的名称,然后单击下一步。
(4) 单击允许或阻止以允许或阻止该数据包,然后单击下一步。
(5) 接受预定义选项,然后单击下一步。
(6) 单击选项为应用数据包筛选器选择您所希望的方式,然后单击下一步。
(7) 单击远程计算机,然后单击下一步。
(8) 单击完成。
实验四 锐捷防火墙安装
一、实验目的和要求
(1)了解锐捷防火墙一些概念与常识 (2)熟悉锐捷防火墙使用环境注意事项 (3)锐捷防火墙安装注意事项
二、实验任务
锐捷防火墙安装。
三、实验指导或操作步骤
1.安全使用注意事项
本章列出各条安全使用注意事项,请仔细阅读并在使用RG-WALL 60 防火墙过程中严格执行。这将
有助于您更安全地使用和维护您的防火墙。
(1)您使用的RG-WALL 60 防火墙采用220V 交流电源,请确认工作电压并且务必使用三芯带接地
电源插头和插座。良好地接地是您的防火墙正常工作的重要保证。 (2)为使防火墙正常工作,请不要将其放置于高温或者潮湿的地方。
(3)请不要将防火墙放在不稳定的桌面上,万一跌落,会对防火墙造成严重损害。
(4)请保持室内通风良好并保持防火墙通气孔畅通。
(5)为减少受电击的危险,在防火墙工作时不要打开外壳,即使在不带电的情况下,也不随意打
(6)清洁防火墙前,请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙,不能用液体清洗防火墙。 2.检查安装场所
RG-WALL 60防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:
(1)确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。 (2)确认机柜和工作台自身有良好的通风散热系统。
(3)确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。 (4)确认机柜和工作台的良好接地。
为保证防火墙正常工作和延长使用寿命,安装场所还应该满足下列要求。 2.1 温度/湿度要求
为保证RG-WALL 60防火墙正常工作和使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害防火墙的电路。温度过高则危害更大,长期高温将加速绝缘材料的老化过程,使防火墙的可靠性大大降低,严重影响其寿命。 2.2 洁净度要求
灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上,可以造成静电吸附,使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。除灰尘外,机房内应防止有害气体(如SO
2、H2S、NH
3、Cl2 等)的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。 2.3 抗干扰要求
防火墙在使用中可能受到来自系统外部的干扰,这些干扰通过电容/电感耦合,电磁波辐射,公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。为此应注意以下条件:
(1)交流供电系统为TN系统,交流电源插座应采用有保护地线(PE)的单相三线电源插座,使设备上滤波电路能有效的滤除电网干扰。
(2)防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。 (3)电缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏。 3.安装
RG-WALL 60 防火墙可以放置在桌面上,也可以放在标准的19 英寸机架上。安放在桌面上不需要特别的操作,安放在机架上时需要自备螺丝刀,螺钉在包装箱中。 4.加电启动
防火墙启动步骤如下:
(1)请将防火墙安装在机架上或放在一个水平面上。 (2)确认防火墙电源是关闭的。 (3)连接电源线。
(4)防火墙可以通过网口用网线连接管理主机,也可通过串口线连接管理主机进而用超级终端管理防火墙。
(5)接通电源,按下防火墙上的电源开关,置于ON 状态,防火墙加电启动。 (6)橙黄色的状态灯(Status)开始闪烁,表示启动成功。 防火墙启动成功以后,请通过CONSOLE 口命令行或者WEB 浏览器方式管理防火墙,具体方法请参考以下相关章节。如果防火墙未正常启动,请按以上步骤进行检查,如仍无法解决问题,请您联系供应商相关技术支持人员。
实验五 通过CONSOLE口命令防火墙配置管理
一、实验目的和要求
(1)了解锐捷防火墙CONSOLE口命令 (2)熟悉锐捷防火墙使用环境注意事项 (3) CONSOLE口命令进行锐捷防火墙配置管理
二、实验任务
命令配置管理锐捷防火墙。
三、实验指导或操作步骤
1.选用管理主机 要求该主机具备:
(1)空闲的RS232 串口5 (2)有超级终端软件。比如Windows 系统中的“超级终端”连接程序。 2.连接防火墙
利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE,启动超级终端工具,以Windows 自带“超级终端”为例:点击“开始--> 所有程序--> 附件--> 通讯--> 超级终端”,选择用于连接的串口设备,定制通讯参数: (1)每秒位数:9600; (2)数据位:8; (3)奇偶校验:无; (4)停止位:1;
(5)数据流控制:无;
提示:对于Windows 自带“超级终端”,选择“还原默认值”即可。 3.登录CLI 界面
连接成功以后,提示输入管理员账号和口令时,输入出厂默认账号“admin”和口令“firewall”即可
进入登录界面,注意所有的字母都是小写的
实验六WEB 界面进行锐捷防火墙配置管理
一、实验目的和要求
(1)熟悉锐捷防火墙使用环境注意事项 (2) WEB 界面进行锐捷防火墙配置管理
二、实验任务
WEB 界面配置管理锐捷防火墙。
三、实验指导或操作步骤
1.选用管理主机
要求具有以太网卡、USB 接口和光驱,操作系统可以为Window98/2000/XP 中的任意一种,管理主机IE 建议为5.0 以上版本、文字大小为中等,屏幕显示建议设置为1024×768。 2.安装认证驱动程序
在第一次使用电子钥匙前,需要先按照电子钥匙的认证驱动程序。插入随机附带的驱动光盘,进入光盘Ikey Driver目录,双击运行INSTDRV 程序,选择“开始安装”,随后出现安装成功的提示,选择“退出”。切记:安装驱动前不要插入usb 电子钥匙。 3.安装USB 电子钥匙
在管理主机上插入usb 电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows 兼容性测试,选择“仍然继续”即可,如长时间(如约3 分钟)无反映,请拔下usb 电子钥匙,重启系统后再试一次,如仍无法解决,请您联系技术支持人员。 4.连接管理主机与防火墙
利用随机附带的网线直接连接管理主机网口和防火墙WAN 网口(初始配置,只能将管理主机连接在防火墙的WAN 网口上),把管理主机IP 设置为192.168.10.200,掩码为255.255.255.0。在管理主机运行ping 192.168.10.100 验证是否真正连通,如不能连通,请检查管理主机的IP(192.168.10.200)是否设置在与防火墙相连的网络接口上。强烈建议该网口不要绑定其他IP,并且使用交叉线直接连接防火墙。 5.认证管理员身份
第一、插入电子钥匙。
第二、运行Admin Auth目录中的ikeyc 程序,提示输入用户pin,输入12345678 即可。此时电子钥匙中存储的默认防火墙IP 地址为192.168.10.100,认证端口为9999。如果认证成功,将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证,可以对防火墙进行配置管理了。如果出现其他错误,请检查网络连接、pin 码是否输入错误等。 6.登录防火墙WEB 界面
运行IE 浏览器,在地址栏输入https://192.168.10.100:6667,等待约20 秒钟会弹出一个对话框提示接受证书,选择确认即可。系统提示输入管理员帐号和口 令。缺省情况下,管理员帐号是admin,密码是:firewall。 7.WEB 界面配置向导
配置向导仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能,此向导涉及最基本的配置,安全性很低,因此管理员应在此基础上对防火墙细化配置,才能保证防火墙拥有正常有效的网络安全功能。首次使用WEB 界面进行配置,需将管理主机的IP 地址设为192.168.10.200,在IE 地址栏中输入:https://192.168.10.100:6667。登录防火墙以后,点击,开始防火墙的配置。 (1)修改超级管理员admin 的密码,超级管理员的密码默认是:firewall。 (2)选择防火墙lan 和wan 接口的工作模式,防火墙的接口默认都是工作在路由模式
(3)配置防火墙的IP 地址,建议至少设置一个接口上的IP 能用于管理,否则,完成初始配置后无法用WEB 界面管理防火墙。(说明:若lan、wan 都是混合模式,则lan 的地址必须配置,wan 的地址可以不配)
(4)配置默认网关,如果希望防火墙能上互联网,则必须配置默认网关,否则,可以直接跳过本界
面,配置下一个界面。(若防火墙的两个网口都是混合模式,可以不配默认网关) (5)配置管理主机,管理主机必须与防火墙IP 在同一网段。如果想通过防火墙ip:192.168.0.1 来管理防火墙,则可以设置管理主机IP:192.168.0.100。
(6)添加一条允许的安全规则,如果在界面上不填写源地址和目的地址,则会允许所有的访问,建议在网络调试通畅后,删除该规则。
(7)设置管理方式,如果希望用ssh 远程登录来管理防火墙,需要选中“远程SSH 管理”,否则,可以跳过本界面。
(8)如果不需要更改界面上显示的配置信息,单击“完成”。以上配置将立即生效。防火墙的初始配置。并根据提示重新登录防火墙。如果需要保存该配置,请点击WEB 界面上的“保存配置”。
实验七 架设如下拓朴结构
一、实验目的和要求
(1)熟悉使用锐捷防火墙架设网络 (2)进行锐捷防火墙配置管理
二、实验任务
使用锐捷防火墙架设网络。
三、实验指导或操作步骤
架设如下拓朴结构
配置要求如下: (1)子网A的安全级别高,仅能在工作时间访问Internet 和DMZ 区的服务器,IP 地址为:192.168.1.0。
(2)子网B可以在任何时候访问Internet,但是仅能工作时间使用内部服务器的FTP功能,IP 地址为192.168.2.0, 子网B用户能够使用Internet 的HTTP 服务。
(3)DMZ 区服务器的IP 地址为192.168.3.0,路由器内部地址为92.168.4.254,外部地址为202.106.44.233。子网A用户能够使用Internet 的HTTP 和FTP服务。
管理证书安装
1. 进入认证
2. 导入文件
3. 输入认证密码
4. 证书存储
5. 完成证书安装
登陆防火墙
1.配置本机ip为192.168.10.200
2.将默认管理主机的网口用交叉连接的以太网线(两端线序不同)与防火墙的WAN 口连接,管理主机的IE 版本必须是5.5 及以上版本,如果是电子钥匙认证,在浏览器中输入https://192.168.10.100:6666,如果是证书认证,则输入https://192.168.10.100:6666,登录后弹出下面的登录界面:
3.输入用户:admin、密码: firewall
4.成功登陆防火墙
配置防火墙
初始化防火墙:
有串口线级联防火墙,使用命令syscfg reset 添加管理主机
添加lan ip地址
添加wan1 ip地址
添加dmz ip地址
网络配置-接口ip配置
添加规则
测试防火墙
用lan 管理主机
Ping 防火墙lan断口
Ping 防火墙外网网口222.17.244.125
第三篇:防火墙技术报告
《网络与信息安全技术》
防火墙技术浅谈
班 级:
11计算机科学与技术3班
学 号:
2011404010306
姓 名: 王 志 成
分 数:
2013年12月12日
防火墙技术浅谈
摘要:随着计算机网络的发展,全球上网的人数在不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随之不断扩大。然而,因特网的迅猛发展在给人们的生活带来了极大方便的同时,因特网本身也正遭遇着前所未有的威胁。所以,网络的安全问题也越来越成为人们现在考虑的十分重视的问题。
本文主要介绍讨论了防火墙的定义、特点、基本功能,数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。 关键词:防火墙技术 数据包过滤 数据库
引言
网络的安全问题正越来越成为人们现在十分重视的问题。如何使用有效、可行的方法使网络危险降到人们可接受的范围之内已越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估也是很有必要的。防火墙技术作为时下比较成熟的一 种技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统的安全等级;其中,对网络安全的威胁表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰正常运行,利用网络传播病毒,线路窃听等方面,实现对目标网络的网络安全风险评估以及对风险的防范,为提高系统的安全性提供科学依据。
1. 防火墙概述
1.1防火墙的定义
所谓“防火墙”,是在两个网络之间执行说控制策略的一个或一组系统,包括硬伯和软件,目的是保护网络不被他人侵扰。它是一种将内部网和公众访问网(如Internet)分开的
- 1
封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
(2) 防火墙的基本功能
防火墙能够强化安全策略
因为因特网上每天都有上百万人浏览信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。 防火墙能有效地记录因特网上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙记录着被保护的网络和外部网络之间进行的所有事件。
防火墙限制暴露用户点
防火墙驹用来隔开网络中的一个网段与另一个网段。这样,就能够有效控制影响一个网段的问题通过整个网络传播。
防火墙是一个安全策略的检查站
所有进出网络的信息都必须通过防火墙,防火墙便成为一个安全检查点,使可疑的访问被拒绝于门外。
1.3. 防火墙的体系结构
目前,防火墙的体系结构一般有3种:双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。
(1)双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙
- 3
分布式防火墙的优势:
(1)增强了系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。 (4)实施主机策略:对网络中的各节点可以起到更安全的防护。 (5)应用更为广泛,支持VPN通信。
3. 数据包过滤处理原理分析
防火墙技术其实是基于对工作在网络层中的数据包的过滤,数据包的过滤原理要遵揗一些过滤规则: (1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。
- 5
外部命令,在C语言中可以用execlp()这一函数来执行外部命令。 (4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。
5.结束语
防火墙技术作为目前用来实现网络安全措施的一种用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源的主要手段。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
参考文献:
1)袁津生 吴砚农 《计算机网络安全基础》 北京:人民邮电出版社 2013 2)黎连业,张维,防火墙及其应用技术,清华大学出版社. 2004 3)程代伟,网络安全完全手册,电子工业出版社. 2006 4)李涛,网络安全概论,电子工业出版社. 2004
- 7 -
第四篇:防火墙技术实训报告
XXXXXXXXX学校
防火墙技术课程设计总结报告
课程: 班级: 姓名: 学号: 指导老师: 实训地点: 成绩:
目录:
1.
windows 2003防火墙的配置;
2.
天网防火墙的配置及其测试;
3.
ISA企业级防火墙(2006版)的配置
4.
基于网络设备类型X86平台的硬件防火墙的结构以及工作原理。
一、windows 2003防火墙的配置:
1.在server 2003 中启用防火墙服务:
2.打开‘Windows 防火墙’ 属性窗口,在常规对话框中选择‘启用’并勾选‘不允许例外’:
3.点击‘例外’属性,在选择按钮中点击‘添加程序’:
4.在弹出的二级对话框中点击‘浏览’按钮:
5.在弹出的三级对话框中选中在启用防火墙的情况下不允许例外放行的程序,点击‘打开’按钮,确定后完成此步骤的操作:
6.下一步开始设置防火墙的高级选项,在勾选对话框中的‘本地连接’后单击‘设置’按钮:
7.进入‘服务’属性选项卡,勾选在启用防火墙的情况下允许运行在本地连接上的网络服务:
6 8.选择‘ICMP’属性,选择来自Internet的此计算机将要响应的信息请求类型:
windows 2003防火墙的配置完成。
二、天网防火墙的配置及其测试:
1.在系统设置中勾选‘开机后自动启用防火墙’选项以及设定局域网的地址:
2.在‘管理权限设置’属性选项卡中点击‘设置密码’按钮,设定密码后点击‘确定’:
3.在‘日志管理’属性选项卡中勾选‘自动保存日志’并选择保存路径:
4.在‘入侵检测设置’属性选项卡中,勾选‘启用入侵检测功能’并设置‘默认静默时间’:
9 5.在‘应用程序规则’设置中添加已安装的应用程序的网络访问规则,具体设置如下:
6.在‘IP规则管理’属性设置中,增加必要的IP规则对外部网络所进行的访问进行必要的监控,具体设置如下所示:
10 7.在天网防火墙系统中,应用程序网络使用状态部分显示界面截图:
8.针对其他网络访问内网的IP规则测试:
三、ISA企业级防火墙(2006版)的配置:
1、打开ISA服务器管理,会看到已经创建好的阵列,点击阵列名称——配置会看到网络选项,邮件单击,选择启动网络负载平衡集成:
2、点击后会弹出网络负责平衡集成向导,点击下一步:
3、选择启用负载均衡的网络,我们选择内部:
4、点击完成,配置好负载均衡:
5、字防火墙策略中,右键单击——选择新建——访问规则:
6、打开想到后,添加访问规则的名称(名字要比较容易理解,避免以后规则过多混乱):
7、选择允许,点击下一步:
8、此处选择所选协议,单击添加:
9、选择需要允许通过的协议,点击确定:
10、确定协议后,点击下一步:
16
11、添加源网络:
12、选择目标网络:
17
13、单击添加选择账户类型点击下一步:
14、创建好后,点击完成:
18
15、点击阵列——网络——双击内部打开属性 :
16、在web代理处,选择“为此网络启用web代理客户端连接”并设置代理端口;点击身份验证配置身份验证方法:
19
17、选择身份验证为“集成”,也就是通过AD域验证的方式,点击确定:
18、配置好ISA服务器后,在左上角可以看到“应用”:
20
19、应用后,选择“保存更改并重启服务”:
20、保存完成后,5分钟左右配置生效:
21
四、基于网络设备类型X86平台的硬件防火墙的结构以及工作原理:
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,分别如下:
通用CPU架构:
通用CPU架构最常见的是基于Intel X86架构的防火墙,在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。国内安全设备主要采用的就是基于X86的通用CPU架构。 ASIC架构:
ASIC(Application Specific Integrated Circuit,专用集成电路)技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。
网络处理器架构:
由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的最优性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。
工作原理:
防火墙技术 传统意义上的防火墙技术分为三大类, “ 包过滤 ” ( Packet Filtering ) “ 应用代、理”(Application Proxy)和“状态监视”(Stateful Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。 1.包过滤技术
包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”(Static Packet Filtering),使用包过滤技术的防火墙通常工作在 OSI 模型中的网络层(Network Layer)上,后来发展更新的“动态包过滤”(Dynamic Packet Filtering)增加了传输层(Transport Layer),简而言之,包过滤技术工作的地方就是各种基于 TCP/IP 协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(Filtering Rule)进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。
2.应用代理技术
代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。 “应用代理”防火墙实际上就是一台小型的带
22 有数据检测过滤功能的透明代理服务器(Transparent Proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(Application Protocol Analysis)的新技术。
3.状态监视技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的与之类似的有其他厂商联合发展的 “深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视” 的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
(1) 包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具 有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被 黑客所攻破。 (2) 应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从 而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是 从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服 务。所以,应用网关防火墙具有可伸缩性差的缺点。
(3) 状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防 火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以 这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
实训总结
纸上得来终觉浅,绝知此事要躬行!”在短暂的实训过程中,让我深深的感觉到在实际运用中的专业知识的重要性,只有把理论知识应用到实际,才能发现自己对所学知识的掌握程度,也才能真正领悟到“学无止境”的含义。
23
第五篇:3D打印技术实验报告
实验指导教师:代老师
实验地点:第一实验楼北118 学生姓名:任明
学号:2013070116
一、 技术介绍
3D打印机(3D Printers)简称(3DP)是一位名为恩里科·迪尼(Enrico Dini)的发明家设计的一种神奇的打印机,它不仅可以“打印”一幢完整的建筑,甚至可以在航天飞船中给宇航员打印任何所需的物品的形状。
2016年2月3日讯,[1] 中国科学院福建物质结构研究所3D打印工程技术研发中心林文雄课题组在国内首次突破了可连续打印的三维物体快速成型关键技术,并开发出了一款超级快速的连续打印的数字投影(DLP) 3D打印机。该3D打印机的速度达到了创记录的600 mm/h,可以在短短6分钟内,从树脂槽中“拉”出一个高度为60 mm的三维物体,而同样物体采用传统的立体光固化成型工艺(SLA)来打印则需要约10个小时,速度提高了足足有100倍!
1
二、 实验步骤
1, 实验原理讲解
通过3D打印爱好者 张博同学激情澎湃的介绍,我们对3D打印技术有了初步的认识.其主要是电子部分、机械部分和软件电子部分:系统板、主板、电机驱动板、温度控制板(如果采用热敏电阻测温一般不需要用到温控板)、
2
加热管、热电偶(或者是热敏电阻)、热床(目前淘宝最新的是MK2b)机械部分:现在大部分是采用步进电机带动同步带的方式,有的使用滑台组成XYZ轴,所以就需要 电机、支架、同步轮、同步带等软件部分:固件、上位机程序、烧录软件。3D打印是添加剂制造技术的一种形式,在添加剂制造技术中三维对象是通过连续的物理层创建出来的。3D打印机相对于其他的添加剂制造技术而言,具有速度快,价格便宜,高易用性等优点。3D打印机就是可以“打印”出真实3D物体的一种设备,功能上与激光成型技术一样,采用分层加工、迭加成形,即通过逐层增加材料来生成3D实体,与传统的去除材料加工技术完全不同。称之为“打印机”是参照了其技术原理,因为分层加工的过程与喷墨打印十分相似
3
2, 实验过程 在代老师的带领下,让张博同学同学给我们打印了一只可爱的大白兔,栩栩如生,同学们看的是如痴如醉,久久不能自拔,时间过得飞快,随着机器的有条有理得不停运转,一只小白兔跃然于平台上,赢得了同学们雷鸣般的掌声。
4
三、 实验总结及感悟
在此次课程的学习中,给我们普及了先进的科学技术,让我们了解到,要想要国家富裕,人民安居乐业,必须要发展科学教育,提升国民的科学素养,才能让我国人民的生活水平飞速上升,才能是中国在国际社会中有一席之地,不被外国欺负,深深感谢代老师对我们的栽培,他不辞辛苦默默的工作,默默的为我们付出,把自己投身于伟大教育事业当中,我真诚的希望他能注意自己的身体,不要操劳过度,在以后的学习中,我们也会好好听讲,不调皮不捣蛋,在代老师的带领下,希望我们的国家越来越强大,希望世界充满和平和美好。
5