防火墻綜合實驗報告_第1頁
防火墻綜合實驗報告_第2頁
防火墻綜合實驗報告_第3頁
防火墻綜合實驗報告_第4頁
防火墻綜合實驗報告_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、 防火墻實驗報告【實驗名稱】防火墻實驗【實驗?zāi)康摹空莆辗阑饓Φ幕九渲茫徽莆辗阑饓Π踩呗缘呐渲??!颈尘懊枋觥烤W(wǎng)絡(luò)中存在很多的木馬和攻擊性程序以及人為的惡意行為,因此希望通過配置防火墻和抗攻擊性策略用于保護(hù)網(wǎng)絡(luò)免受惡意行為的侵害,并阻止其非法行為的網(wǎng)絡(luò)設(shè)備或系統(tǒng),同時還可以在不同的網(wǎng)絡(luò)區(qū)域之間進(jìn)行流量的訪問控制。【小組分工】組長:*(配置內(nèi)網(wǎng)和端口連線)組員:*(配置服務(wù)器和防火墻)【技術(shù)原理】管理員證書:用證書方式對管理員進(jìn)行身份認(rèn)證。證書包括CA證書、防火墻證書、防火墻私鑰、管理員證書。證書文件有兩種編碼格式:PEM和DER,后綴名可以有pem,der,cer,crt等多種,后綴名與編碼格

2、式?jīng)]有必然聯(lián)系。CA證書、防火墻證書和防火墻私鑰只支持PEM編碼格式,cacert.crt和cacert.pem是完全相同的文件。管理員證書支持PEM和DER兩種,因此提供administrator.crt和administrator.der證書administrator.crt和administrator.pem是完全相同的文件。*.p12文件是將CA、證書和私鑰打包的文件。NAT(NetworkAddressTranslation)屬接入廣域網(wǎng)技術(shù),是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)。它完美地解決了IP地址不足的問題,而且還能夠有效地避免來自外部網(wǎng)絡(luò)的攻擊,隱藏并保護(hù)內(nèi)部網(wǎng)絡(luò)的計

3、算機。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(NetworkAddressPortTranslation)是人們比較常用的一種NAT方式。它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面,將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。地址綁定:為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址,以獲得權(quán)限外的信息),可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失敗,而且由于網(wǎng)卡MAC地址的唯一確定性,可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡,進(jìn)而查出非法盜用者。報文中的源MAC地址與

4、IP地址對如果無法與防火墻中設(shè)置的MAC地址與IP地址對匹配,將無法通過防火墻??构簦轰J捷防火墻能抵抗以下的惡意攻擊:SYNFlood攻擊;ICMPFlood攻擊;PingofDeath攻擊;UDPFlood攻擊;PINGSWEEP攻擊;TCP端口掃描;UDP端口掃描;松散源路由攻擊;嚴(yán)格源路由攻擊;WinNuke攻擊;smuef攻擊;無標(biāo)記攻擊;圣誕樹攻擊;TSYN&FIN攻擊;無確認(rèn)FIN攻擊;IP安全選項攻擊;IP記錄路由攻擊;IP流攻擊;IP時間戳攻擊;Land攻擊;teardrop攻擊?!緦嶒炘O(shè)備】防火墻1臺(RG-Wall60臺。每實驗臺一組)計算機3臺跳線1條【實驗拓?fù)洹俊緦嶒?/p>

5、步驟】1、管理員首次登錄正確管理防火墻前,需要配置防火墻的管理主機、管理員帳號和權(quán)限、網(wǎng)口上可管理IP、防火墻管理方式。默認(rèn)管理員帳號為student,密碼為student默認(rèn)管理口:防火墻WAN口可管理IP:WAN口上的默認(rèn)IP地址為00/24管理主機:默認(rèn)為00/24默認(rèn)管理方式:(1)用跳線將管理主機與WAN口連接(2)用管理員證書進(jìn)行身份認(rèn)證(3)訪問00:6666(注:若用電子鑰匙進(jìn)行認(rèn)證,則訪問https:/防火墻可管理IP地址:6667),進(jìn)入WEB訪問界面。此方式下的通信是加密的。用ping命令查看內(nèi)網(wǎng)PC與外網(wǎng)服務(wù)器的連通性。2、防火墻基本配置1)添加管理員帳號。要區(qū)分哪些配

6、置具體是由哪個管理員進(jìn)行設(shè)置的,也就是責(zé)任的劃分。進(jìn)入管理配置管理員賬號,在右窗口點擊“添加”。輸入賬號和口令,并選擇賬號類型。2)下面要配置一下防火墻上的相關(guān)接口,每個設(shè)置完成后點擊“保存配置”選項。Lan是我們的內(nèi)網(wǎng)網(wǎng)關(guān)接口,在本實驗中我們統(tǒng)一定義為172.169101,作為內(nèi)網(wǎng)的網(wǎng)關(guān)。Wan和Wan1都是外網(wǎng)接口,功能相同。在本實驗中連接外網(wǎng)用Wan口。3、基本配置完成之后,我們來配置一個NAPT。1)首先我們要定義內(nèi)網(wǎng)對象進(jìn)入對象定義地址,打開“地址列表”,在右窗口點擊“添加”,如下圖設(shè)置:(注意網(wǎng)段號是組號,下圖中是第九組所以網(wǎng)段號為9)2)防火墻NAT規(guī)則設(shè)置進(jìn)入安全策略安全規(guī)則,

7、在右窗口點擊“NAT規(guī)則”,如下圖設(shè)置:3)驗證NAPT功能驗證內(nèi)網(wǎng)PC可以訪問外網(wǎng)服務(wù)器。用內(nèi)網(wǎng)PC機ping外網(wǎng)服務(wù)器00看是否連通。驗證外網(wǎng)服務(wù)器不能訪問內(nèi)網(wǎng)PC。用外網(wǎng)服務(wù)器ping內(nèi)網(wǎng)PC看是否連通。4、防火墻地址綁定功能設(shè)置進(jìn)入安全策略地址綁定,在右窗口進(jìn)行設(shè)置,如下圖:冋口啟定djmz允許禁止Ian.Qi帚禦止O允許禁止want禁止a在“主動探測IP/MAC地址對”欄選中Ian口,先點擊“探測”按鈕,再點擊“探測到的IP/MAC對”,彈出下圖窗口,如下設(shè)置:探測到的If個M對IF/MAT對選中rrA網(wǎng)口172.169.100,E0.5C:4D.14:3Dlan172.169-20

8、0:EO:1C:4D:82:A3172L6.S.120DO:曲:舊:筋迪:1呂1m172169.11000;E84:ED3:Oa1axi然后在“已綁定IP/MAC對”欄中看是否已設(shè)置成功然后下面驗證IP/MAC綁定效果。占反中3抗攻擊,本實驗只設(shè)置Lan口的抗攻擊策略,如下圖設(shè)置:驗證超長字節(jié)報文不能通過:用ping命令發(fā)送長度為800字節(jié)的報文:ping-l80000用ping命令再發(fā)送長度為801的報文:ping-l80100【實驗分析】按照上述實驗過程得到的實驗結(jié)果是,實驗測試時能探測到主機的IP地址(包括00/24在內(nèi)的幾臺內(nèi)網(wǎng)主機172.16.9.*),但是互相是ping不通的。設(shè)置完的抗攻性能也無法測試。防火墻是介于內(nèi)網(wǎng)和外網(wǎng)之間是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道,所有雙向數(shù)據(jù)流必須經(jīng)過防火墻??梢詸z測到內(nèi)網(wǎng)主機的IP()地址,說明防火墻和內(nèi)網(wǎng)之間是連通的,可以進(jìn)行數(shù)據(jù)交換,但是內(nèi)網(wǎng)主機和防火墻之間ping不通,經(jīng)過我們的集體討論認(rèn)為可能是因為防火墻安全策略配置出了問題,具體不能確定,需要在以后的試驗中不斷的探索。如此一來,主機地址()經(jīng)過MAC地址綁定后,再把主機地址改變后(0),ip/mac無法匹配,理論上與防火墻之間是ping不通的,由于本就p

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論