防火墻實(shí)驗(yàn)報(bào)告

1、南京信息工程大學(xué) 實(shí)驗(yàn)（實(shí)習(xí)）報(bào)告實(shí)驗(yàn)（實(shí)習(xí)）名稱(chēng) 防火墻 實(shí)驗(yàn)（實(shí)習(xí)）日期 2012.12.6 指導(dǎo)教師 朱節(jié)中 專(zhuān)業(yè) 10軟件工程 年級(jí) 大三 班次 2 姓名 蔡葉文 學(xué)號(hào) 得分 【實(shí)驗(yàn)名稱(chēng)】 防火墻實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹?掌握防火墻的基本配置；掌握防火墻安全策略的配置?！颈尘懊枋觥?.用接入廣域網(wǎng)技術(shù)（NAT），將私有地址轉(zhuǎn)化為合法IP地址。解決IP地址不足的問(wèn)題，有效避免來(lái)自外部網(wǎng)絡(luò)的攻擊，隱藏并保護(hù)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)。2.網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較常用的一種NAT方式。它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面

2、，將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。3.地址綁定：為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址，以獲得權(quán)限外的信息)，可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定，盜用者即使修改了IP地址，也因MAC地址不匹配而盜用失敗，而且由于網(wǎng)卡MAC地址的唯一確定性，可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡，進(jìn)而查出非法盜用者。報(bào)文中的源MAC地址與IP地址對(duì)如果無(wú)法與防火墻中設(shè)置的MAC地址與IP地址對(duì)匹配，將無(wú)法通過(guò)防火墻。4.抗攻擊：銳捷防火墻能抵抗以下的惡意攻擊：SYN Flood攻擊；ICMP Flood

3、攻擊；Ping of Death 攻擊；UDP Flood 攻擊；PING SWEEP攻擊；TCP端口掃描；UDP端口掃描；松散源路由攻擊；嚴(yán)格源路由攻擊； WinNuke攻擊；smuef攻擊；無(wú)標(biāo)記攻擊；圣誕樹(shù)攻擊；TSYN&FIN攻擊；無(wú)確認(rèn)FIN攻擊；IP安全選項(xiàng)攻擊；IP記錄路由攻擊；IP流攻擊；IP時(shí)間戳攻擊；Land攻擊；tear drop攻擊?！拘〗M分工】 組長(zhǎng)：IP：192.168.10.200 管理員 ：IP：172.16.5.4 策略管理員+日志審計(jì)員 ：IP：172.16.5.3 日志審計(jì)員 ：IP：172.16.5.2 策略管理員 ：IP：172.16.5.1 配置管理

4、員【實(shí)驗(yàn)設(shè)備】PC 五臺(tái) 防火墻1臺(tái)（RG-Wall60 每實(shí)驗(yàn)臺(tái)一組） 跳線(xiàn) 一條【實(shí)驗(yàn)拓?fù)洹俊緦?shí)驗(yàn)結(jié)果】1. 管理員主機(jī)對(duì)管理員主機(jī)的IP進(jìn)行更改，改為192.168.10.200 圖一管理員主機(jī)IP配置用超級(jí)中端重啟防火墻（目的是清空防火墻以前的配置） 圖二超級(jí)終端管理員為局域網(wǎng)內(nèi)的其他主機(jī)添加管理員賬號(hào)，添加后如下圖 圖三管理員賬號(hào)添加管理主機(jī)，添加完后如下圖： 圖四管理主機(jī)管理主機(jī)對(duì)防火墻的LAN口進(jìn)行相關(guān)配置，內(nèi)網(wǎng)網(wǎng)關(guān)的借口IP為172.16.5.252，添加后如下圖： 圖五添加LAN口2. 配置NAPT1）定義內(nèi)網(wǎng)對(duì)象，打開(kāi) 內(nèi)網(wǎng)定義地址，然后是 地址列表 ，點(diǎn)擊 添加 ，添加完

5、成后，點(diǎn)擊 確定，如下圖： 圖六配置內(nèi)網(wǎng)對(duì)象2） 防火墻NET規(guī)則配置，進(jìn)入 安全策略安全規(guī)則，點(diǎn)擊 NAT規(guī)則，做如下圖配置，完成后 確定： 圖七NET規(guī)則配置3） 完成以上所有配置后，有組內(nèi)其他PC機(jī)對(duì)配置進(jìn)行驗(yàn)證，隨便選中內(nèi)網(wǎng)的一臺(tái)PC機(jī)ping外網(wǎng)服務(wù)器192.168.10.200，結(jié)果是可以ping通的，如下圖： 圖八內(nèi)網(wǎng)Ping外網(wǎng)外網(wǎng)PC機(jī)Ping內(nèi)網(wǎng)的一臺(tái)PC機(jī)，結(jié)果是ping不通的，結(jié)果如下圖： 圖九外網(wǎng)ping內(nèi)網(wǎng)原因：有圖六可知，我們?cè)O(shè)置了內(nèi)網(wǎng)對(duì)象，IP的網(wǎng)段為172.16.5.0。只有處于這個(gè)網(wǎng)段的PC機(jī)才能夠通過(guò)防火墻連通外網(wǎng)PC機(jī)。而外網(wǎng)PC機(jī)因?yàn)椴皇翘幱谶@個(gè)網(wǎng)段中

6、，所以會(huì)被防火墻過(guò)濾掉，是ping不同內(nèi)網(wǎng)PC機(jī)的。3. 防火墻地址綁定功能設(shè)置 1）進(jìn)入 安全策略地址綁定，配置完成后，點(diǎn)擊 確定 如下圖： 圖十LAN口的MAC綁定2） 探測(cè)IP/MAC地址對(duì)，先探測(cè)，然后點(diǎn)擊 探測(cè)到的 IP/MAC地址對(duì)，先選中一個(gè)地址對(duì)，然后選中 唯一性檢查 ，點(diǎn)擊綁定，如下圖： 圖十一IP/MAC綁定（唯一性檢查）3） 實(shí)驗(yàn)結(jié)果驗(yàn)證 綁定成功后，對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行驗(yàn)證。 首先，將原IP地址為172.16.5.1的主機(jī)IP設(shè)置為172.16.5.11，作ping測(cè)試是否能連通。 如下圖： 圖十二原內(nèi)網(wǎng)PC機(jī)IP 圖十三改后 然后用這臺(tái)內(nèi)網(wǎng)PC機(jī)ping外網(wǎng)主機(jī)，是ping

7、不同的，結(jié)果如下圖： 圖十四不通其次，將內(nèi)網(wǎng)的另一臺(tái)主機(jī)的IP地址設(shè)為172.16.5.1,做ping測(cè)試是否連通。如下圖： 圖十五該主機(jī)原IP圖十六改為被綁定的主機(jī)IP用該內(nèi)網(wǎng)主機(jī)ping外網(wǎng)主機(jī)，結(jié)果是ping不同的，如下圖： 圖十七ping不通原因：因?yàn)樵谏厦嬗梅阑饓Π踩呗缘牡刂方壎?，在我們的這個(gè)實(shí)驗(yàn)中，我們選定了IP為172.16.5.1的一臺(tái)內(nèi)網(wǎng)PC機(jī)做了IP/MAC的地址綁定。綁定成功后，該P(yáng)C機(jī)便對(duì)應(yīng)一個(gè)固定的MAC地址，當(dāng)該P(yáng)C機(jī)的IP更改后（如圖十二和圖十三），由該P(yáng)C機(jī)向外網(wǎng)PC機(jī)發(fā)送數(shù)據(jù)包時(shí)，防火墻對(duì)這時(shí)的IP和MAC進(jìn)行檢測(cè)，發(fā)現(xiàn)不一致，將不予通過(guò)。同樣的，用組內(nèi)的另

8、一臺(tái)IP為172.16.5.3改為172.16.5.1，172.16.5.1是被綁定的PC機(jī)（如圖十五和圖十六），也是因?yàn)镸AC不匹配，ping不通。4. 防火墻抗攻擊設(shè)置 進(jìn)入安全策略抗攻擊，只設(shè)置LAN口的抗攻擊策略，如下圖： 圖十八抗攻擊設(shè)置實(shí)驗(yàn)結(jié)果的測(cè)試：首先，選定一臺(tái)內(nèi)網(wǎng)的PC機(jī)，向外網(wǎng)的PC機(jī)發(fā)送長(zhǎng)度為800字節(jié)的報(bào)文，命令為ping -l 800 192.168.10.200，可以發(fā)送成功，實(shí)驗(yàn)結(jié)果如下圖： 圖十九發(fā)送成功其次，用該P(yáng)C機(jī)再次向外網(wǎng)的PC機(jī)發(fā)送長(zhǎng)度為801字節(jié)的報(bào)文，命令為ping -l 801 192.168.10.200，是發(fā)送不成功的，實(shí)驗(yàn)結(jié)果如下圖： 圖二

9、十發(fā)送失敗原因：由上圖可看到，在防火墻的安全策略，抗攻擊設(shè)置中，對(duì)于ICMP包的長(zhǎng)度設(shè)置已經(jīng)設(shè)置了800字節(jié)，也就是說(shuō)，對(duì)于包長(zhǎng)度大于800字節(jié)的數(shù)據(jù)包，防火墻會(huì)自行過(guò)濾掉，使其無(wú)法通過(guò)。而實(shí)驗(yàn)圖十一和圖十二可以看出，對(duì)于800字節(jié)的ICMP包，能夠與外網(wǎng)ping通，而對(duì)于801字節(jié)的ICMP包則不能ping通。5.總結(jié) 以上便是關(guān)于防火墻所做的一些實(shí)驗(yàn)內(nèi)容，所謂防火墻，便是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施訪(fǎng)問(wèn)控制策略的一個(gè)或一組組件集合。對(duì)于防火墻的功能： 1）包過(guò)濾功能 主要包括針對(duì)網(wǎng)絡(luò)服務(wù)的過(guò)濾以及針對(duì)數(shù)據(jù)包本身的過(guò)濾。 2）代理 將用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求變成由防火墻代為轉(zhuǎn)發(fā)，外部網(wǎng)絡(luò)看不見(jiàn)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，也無(wú)法直接訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的主機(jī)。 3）網(wǎng)絡(luò)地址轉(zhuǎn)換 主要包括針對(duì)網(wǎng)絡(luò)服務(wù)的過(guò)濾以及針對(duì)數(shù)據(jù)包本身的過(guò)濾。4）用戶(hù)身