防火墻實(shí)驗(yàn)報(bào)告

1、南京信息工程大學(xué) 實(shí)驗(yàn)（實(shí)習(xí)）報(bào)告實(shí)驗(yàn)（實(shí)習(xí)）名稱 防火墻 實(shí)驗(yàn)（實(shí)習(xí)）日期 2012.12.6 指導(dǎo)教師 朱節(jié)中 專業(yè) 10軟件工程 年級 大三 班次 2 姓名 蔡葉文 學(xué)號 得分 【實(shí)驗(yàn)名稱】 防火墻實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹?掌握防火墻的基本配置；掌握防火墻安全策略的配置?！颈尘懊枋觥?.用接入廣域網(wǎng)技術(shù)（NAT），將私有地址轉(zhuǎn)化為合法IP地址。解決IP地址不足的問題，有效避免來自外部網(wǎng)絡(luò)的攻擊，隱藏并保護(hù)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)。2.網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較常用的一種NAT方式。它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面

2、，將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號。3.地址綁定：為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址，以獲得權(quán)限外的信息)，可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定，盜用者即使修改了IP地址，也因MAC地址不匹配而盜用失敗，而且由于網(wǎng)卡MAC地址的唯一確定性，可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡，進(jìn)而查出非法盜用者。報(bào)文中的源MAC地址與IP地址對如果無法與防火墻中設(shè)置的MAC地址與IP地址對匹配，將無法通過防火墻。4.抗攻擊：銳捷防火墻能抵抗以下的惡意攻擊：SYN Flood攻擊；ICMP Flood

3、攻擊；Ping of Death 攻擊；UDP Flood 攻擊；PING SWEEP攻擊；TCP端口掃描；UDP端口掃描；松散源路由攻擊；嚴(yán)格源路由攻擊； WinNuke攻擊；smuef攻擊；無標(biāo)記攻擊；圣誕樹攻擊；TSYN&FIN攻擊；無確認(rèn)FIN攻擊；IP安全選項(xiàng)攻擊；IP記錄路由攻擊；IP流攻擊；IP時(shí)間戳攻擊；Land攻擊；tear drop攻擊?！拘〗M分工】 組長：IP：192.168.10.200 管理員 ：IP：172.16.5.4 策略管理員+日志審計(jì)員 ：IP：172.16.5.3 日志審計(jì)員 ：IP：172.16.5.2 策略管理員 ：IP：172.16.5.1 配置管理

4、員【實(shí)驗(yàn)設(shè)備】PC 五臺 防火墻1臺（RG-Wall60 每實(shí)驗(yàn)臺一組） 跳線 一條【實(shí)驗(yàn)拓?fù)洹俊緦?shí)驗(yàn)結(jié)果】1. 管理員主機(jī)對管理員主機(jī)的IP進(jìn)行更改，改為192.168.10.200 圖一管理員主機(jī)IP配置用超級中端重啟防火墻（目的是清空防火墻以前的配置） 圖二超級終端管理員為局域網(wǎng)內(nèi)的其他主機(jī)添加管理員賬號，添加后如下圖 圖三管理員賬號添加管理主機(jī)，添加完后如下圖： 圖四管理主機(jī)管理主機(jī)對防火墻的LAN口進(jìn)行相關(guān)配置，內(nèi)網(wǎng)網(wǎng)關(guān)的借口IP為172.16.5.252，添加后如下圖： 圖五添加LAN口2. 配置NAPT1）定義內(nèi)網(wǎng)對象，打開 內(nèi)網(wǎng)定義地址，然后是 地址列表 ，點(diǎn)擊 添加 ，添加完

5、成后，點(diǎn)擊 確定，如下圖： 圖六配置內(nèi)網(wǎng)對象2） 防火墻NET規(guī)則配置，進(jìn)入 安全策略安全規(guī)則，點(diǎn)擊 NAT規(guī)則，做如下圖配置，完成后 確定： 圖七NET規(guī)則配置3） 完成以上所有配置后，有組內(nèi)其他PC機(jī)對配置進(jìn)行驗(yàn)證，隨便選中內(nèi)網(wǎng)的一臺PC機(jī)ping外網(wǎng)服務(wù)器192.168.10.200，結(jié)果是可以ping通的，如下圖： 圖八內(nèi)網(wǎng)Ping外網(wǎng)外網(wǎng)PC機(jī)Ping內(nèi)網(wǎng)的一臺PC機(jī)，結(jié)果是ping不通的，結(jié)果如下圖： 圖九外網(wǎng)ping內(nèi)網(wǎng)原因：有圖六可知，我們設(shè)置了內(nèi)網(wǎng)對象，IP的網(wǎng)段為172.16.5.0。只有處于這個(gè)網(wǎng)段的PC機(jī)才能夠通過防火墻連通外網(wǎng)PC機(jī)。而外網(wǎng)PC機(jī)因?yàn)椴皇翘幱谶@個(gè)網(wǎng)段中

6、，所以會被防火墻過濾掉，是ping不同內(nèi)網(wǎng)PC機(jī)的。3. 防火墻地址綁定功能設(shè)置 1）進(jìn)入 安全策略地址綁定，配置完成后，點(diǎn)擊 確定 如下圖： 圖十LAN口的MAC綁定2） 探測IP/MAC地址對，先探測，然后點(diǎn)擊 探測到的 IP/MAC地址對，先選中一個(gè)地址對，然后選中 唯一性檢查 ，點(diǎn)擊綁定，如下圖： 圖十一IP/MAC綁定（唯一性檢查）3） 實(shí)驗(yàn)結(jié)果驗(yàn)證 綁定成功后，對實(shí)驗(yàn)結(jié)果進(jìn)行驗(yàn)證。 首先，將原IP地址為172.16.5.1的主機(jī)IP設(shè)置為172.16.5.11，作ping測試是否能連通。 如下圖： 圖十二原內(nèi)網(wǎng)PC機(jī)IP 圖十三改后 然后用這臺內(nèi)網(wǎng)PC機(jī)ping外網(wǎng)主機(jī)，是ping

7、不同的，結(jié)果如下圖： 圖十四不通其次，將內(nèi)網(wǎng)的另一臺主機(jī)的IP地址設(shè)為172.16.5.1,做ping測試是否連通。如下圖： 圖十五該主機(jī)原IP圖十六改為被綁定的主機(jī)IP用該內(nèi)網(wǎng)主機(jī)ping外網(wǎng)主機(jī)，結(jié)果是ping不同的，如下圖： 圖十七ping不通原因：因?yàn)樵谏厦嬗梅阑饓Π踩呗缘牡刂方壎?，在我們的這個(gè)實(shí)驗(yàn)中，我們選定了IP為172.16.5.1的一臺內(nèi)網(wǎng)PC機(jī)做了IP/MAC的地址綁定。綁定成功后，該P(yáng)C機(jī)便對應(yīng)一個(gè)固定的MAC地址，當(dāng)該P(yáng)C機(jī)的IP更改后（如圖十二和圖十三），由該P(yáng)C機(jī)向外網(wǎng)PC機(jī)發(fā)送數(shù)據(jù)包時(shí)，防火墻對這時(shí)的IP和MAC進(jìn)行檢測，發(fā)現(xiàn)不一致，將不予通過。同樣的，用組內(nèi)的另

8、一臺IP為172.16.5.3改為172.16.5.1，172.16.5.1是被綁定的PC機(jī)（如圖十五和圖十六），也是因?yàn)镸AC不匹配，ping不通。4. 防火墻抗攻擊設(shè)置 進(jìn)入安全策略抗攻擊，只設(shè)置LAN口的抗攻擊策略，如下圖： 圖十八抗攻擊設(shè)置實(shí)驗(yàn)結(jié)果的測試：首先，選定一臺內(nèi)網(wǎng)的PC機(jī)，向外網(wǎng)的PC機(jī)發(fā)送長度為800字節(jié)的報(bào)文，命令為ping -l 800 192.168.10.200，可以發(fā)送成功，實(shí)驗(yàn)結(jié)果如下圖： 圖十九發(fā)送成功其次，用該P(yáng)C機(jī)再次向外網(wǎng)的PC機(jī)發(fā)送長度為801字節(jié)的報(bào)文，命令為ping -l 801 192.168.10.200，是發(fā)送不成功的，實(shí)驗(yàn)結(jié)果如下圖： 圖二

9、十發(fā)送失敗原因：由上圖可看到，在防火墻的安全策略，抗攻擊設(shè)置中，對于ICMP包的長度設(shè)置已經(jīng)設(shè)置了800字節(jié)，也就是說，對于包長度大于800字節(jié)的數(shù)據(jù)包，防火墻會自行過濾掉，使其無法通過。而實(shí)驗(yàn)圖十一和圖十二可以看出，對于800字節(jié)的ICMP包，能夠與外網(wǎng)ping通，而對于801字節(jié)的ICMP包則不能ping通。5.總結(jié) 以上便是關(guān)于防火墻所做的一些實(shí)驗(yàn)內(nèi)容，所謂防火墻，便是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施訪問控制策略的一個(gè)或一組組件集合。對于防火墻的功能： 1）包過濾功能 主要包括針對網(wǎng)絡(luò)服務(wù)的過濾以及針對數(shù)據(jù)包本身的過濾。 2）代理 將用戶的訪問請求變成由防火墻代為轉(zhuǎn)發(fā)，外部網(wǎng)絡(luò)看不見內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，也無法直接訪問內(nèi)部網(wǎng)絡(luò)的主機(jī)。 3）網(wǎng)絡(luò)地址轉(zhuǎn)換 主要包括針對網(wǎng)絡(luò)服務(wù)的過濾以及針對數(shù)據(jù)包本身的過濾。4）用戶身