版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、 防火墻實驗報告【實驗名稱】防火墻實驗【實驗?zāi)康摹空莆辗阑饓Φ幕九渲茫徽莆辗阑饓Π踩呗缘呐渲??!颈尘懊枋觥烤W(wǎng)絡(luò)中存在很多的木馬和攻擊性程序以及人為的惡意行為,因此希望通過配置防火墻和抗攻擊性策略用于保護(hù)網(wǎng)絡(luò)免受惡意行為的侵害,并阻止其非法行為的網(wǎng)絡(luò)設(shè)備或系統(tǒng),同時還可以在不同的網(wǎng)絡(luò)區(qū)域之間進(jìn)行流量的訪問控制。【小組分工】組長:*(配置內(nèi)網(wǎng)和端口連線)組員:*(配置服務(wù)器和防火墻)【技術(shù)原理】管理員證書:用證書方式對管理員進(jìn)行身份認(rèn)證。證書包括CA證書、防火墻證書、防火墻私鑰、管理員證書。證書文件有兩種編碼格式:PEM和DER,后綴名可以有pem,der,cer,crt等多種,后綴名與編碼格
2、式?jīng)]有必然聯(lián)系。CA證書、防火墻證書和防火墻私鑰只支持PEM編碼格式,cacert.crt和cacert.pem是完全相同的文件。管理員證書支持PEM和DER兩種,因此提供administrator.crt和administrator.der證書administrator.crt和administrator.pem是完全相同的文件。*.p12文件是將CA、證書和私鑰打包的文件。NAT(NetworkAddressTranslation)屬接入廣域網(wǎng)技術(shù),是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)。它完美地解決了IP地址不足的問題,而且還能夠有效地避免來自外部網(wǎng)絡(luò)的攻擊,隱藏并保護(hù)內(nèi)部網(wǎng)絡(luò)的計
3、算機。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(NetworkAddressPortTranslation)是人們比較常用的一種NAT方式。它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面,將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。地址綁定:為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址,以獲得權(quán)限外的信息),可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失敗,而且由于網(wǎng)卡MAC地址的唯一確定性,可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡,進(jìn)而查出非法盜用者。報文中的源MAC地址與
4、IP地址對如果無法與防火墻中設(shè)置的MAC地址與IP地址對匹配,將無法通過防火墻??构簦轰J捷防火墻能抵抗以下的惡意攻擊:SYNFlood攻擊;ICMPFlood攻擊;PingofDeath攻擊;UDPFlood攻擊;PINGSWEEP攻擊;TCP端口掃描;UDP端口掃描;松散源路由攻擊;嚴(yán)格源路由攻擊;WinNuke攻擊;smuef攻擊;無標(biāo)記攻擊;圣誕樹攻擊;TSYN&FIN攻擊;無確認(rèn)FIN攻擊;IP安全選項攻擊;IP記錄路由攻擊;IP流攻擊;IP時間戳攻擊;Land攻擊;teardrop攻擊?!緦嶒炘O(shè)備】防火墻1臺(RG-Wall60臺。每實驗臺一組)計算機3臺跳線1條【實驗拓?fù)洹俊緦嶒?/p>
5、步驟】1、管理員首次登錄正確管理防火墻前,需要配置防火墻的管理主機、管理員帳號和權(quán)限、網(wǎng)口上可管理IP、防火墻管理方式。默認(rèn)管理員帳號為student,密碼為student默認(rèn)管理口:防火墻WAN口可管理IP:WAN口上的默認(rèn)IP地址為00/24管理主機:默認(rèn)為00/24默認(rèn)管理方式:(1)用跳線將管理主機與WAN口連接(2)用管理員證書進(jìn)行身份認(rèn)證(3)訪問00:6666(注:若用電子鑰匙進(jìn)行認(rèn)證,則訪問https:/防火墻可管理IP地址:6667),進(jìn)入WEB訪問界面。此方式下的通信是加密的。用ping命令查看內(nèi)網(wǎng)PC與外網(wǎng)服務(wù)器的連通性。2、防火墻基本配置1)添加管理員帳號。要區(qū)分哪些配
6、置具體是由哪個管理員進(jìn)行設(shè)置的,也就是責(zé)任的劃分。進(jìn)入管理配置管理員賬號,在右窗口點擊“添加”。輸入賬號和口令,并選擇賬號類型。2)下面要配置一下防火墻上的相關(guān)接口,每個設(shè)置完成后點擊“保存配置”選項。Lan是我們的內(nèi)網(wǎng)網(wǎng)關(guān)接口,在本實驗中我們統(tǒng)一定義為172.169101,作為內(nèi)網(wǎng)的網(wǎng)關(guān)。Wan和Wan1都是外網(wǎng)接口,功能相同。在本實驗中連接外網(wǎng)用Wan口。3、基本配置完成之后,我們來配置一個NAPT。1)首先我們要定義內(nèi)網(wǎng)對象進(jìn)入對象定義地址,打開“地址列表”,在右窗口點擊“添加”,如下圖設(shè)置:(注意網(wǎng)段號是組號,下圖中是第九組所以網(wǎng)段號為9)2)防火墻NAT規(guī)則設(shè)置進(jìn)入安全策略安全規(guī)則,
7、在右窗口點擊“NAT規(guī)則”,如下圖設(shè)置:3)驗證NAPT功能驗證內(nèi)網(wǎng)PC可以訪問外網(wǎng)服務(wù)器。用內(nèi)網(wǎng)PC機ping外網(wǎng)服務(wù)器00看是否連通。驗證外網(wǎng)服務(wù)器不能訪問內(nèi)網(wǎng)PC。用外網(wǎng)服務(wù)器ping內(nèi)網(wǎng)PC看是否連通。4、防火墻地址綁定功能設(shè)置進(jìn)入安全策略地址綁定,在右窗口進(jìn)行設(shè)置,如下圖:冋口啟定djmz允許禁止Ian.Qi帚禦止O允許禁止want禁止a在“主動探測IP/MAC地址對”欄選中Ian口,先點擊“探測”按鈕,再點擊“探測到的IP/MAC對”,彈出下圖窗口,如下設(shè)置:探測到的If個M對IF/MAT對選中rrA網(wǎng)口172.169.100,E0.5C:4D.14:3Dlan172.169-20
8、0:EO:1C:4D:82:A3172L6.S.120DO:曲:舊:筋迪:1呂1m172169.11000;E84:ED3:Oa1axi然后在“已綁定IP/MAC對”欄中看是否已設(shè)置成功然后下面驗證IP/MAC綁定效果。占反中3抗攻擊,本實驗只設(shè)置Lan口的抗攻擊策略,如下圖設(shè)置:驗證超長字節(jié)報文不能通過:用ping命令發(fā)送長度為800字節(jié)的報文:ping-l80000用ping命令再發(fā)送長度為801的報文:ping-l80100【實驗分析】按照上述實驗過程得到的實驗結(jié)果是,實驗測試時能探測到主機的IP地址(包括00/24在內(nèi)的幾臺內(nèi)網(wǎng)主機172.16.9.*),但是互相是ping不通的。設(shè)置完的抗攻性能也無法測試。防火墻是介于內(nèi)網(wǎng)和外網(wǎng)之間是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道,所有雙向數(shù)據(jù)流必須經(jīng)過防火墻??梢詸z測到內(nèi)網(wǎng)主機的IP()地址,說明防火墻和內(nèi)網(wǎng)之間是連通的,可以進(jìn)行數(shù)據(jù)交換,但是內(nèi)網(wǎng)主機和防火墻之間ping不通,經(jīng)過我們的集體討論認(rèn)為可能是因為防火墻安全策略配置出了問題,具體不能確定,需要在以后的試驗中不斷的探索。如此一來,主機地址()經(jīng)過MAC地址綁定后,再把主機地址改變后(0),ip/mac無法匹配,理論上與防火墻之間是ping不通的,由于本就p
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年度專利實施許可合同:專利權(quán)人與生產(chǎn)企業(yè)之間的專利實施許可協(xié)議3篇
- 2024年度體育賽事贊助合同標(biāo)的為賽事廣告權(quán)益3篇
- 2024年度商品混凝土質(zhì)量問題賠償合同
- 2024版定制家具銷售與市場調(diào)研合同3篇
- 2024版房地產(chǎn)項目智能化系統(tǒng)集成服務(wù)合同5篇
- 2024版新型環(huán)保車位鎖采購與推廣服務(wù)合同3篇
- 2024版泰安化工品歐洲清關(guān)代理服務(wù)合同
- 2024年度短視頻平臺與內(nèi)容創(chuàng)作者版權(quán)許可合同2篇
- 2024版合作開發(fā)合同詳細(xì)研發(fā)內(nèi)容3篇
- 2024版房產(chǎn)分銷創(chuàng)新模式研究與落地合同3篇
- 《改善前后對比圖》課件
- 多元化宣教方式提高健康教育的有效性
- 全文逐條解讀公職人員政務(wù)處分法
- 林木分子標(biāo)記輔助育種
- 學(xué)校護(hù)理實訓(xùn)室建設(shè)方案
- 《品保QC培訓(xùn)資料》課件
- 《藥物制劑工程》課程教學(xué)大綱全套
- 《觀光園藝》課件
- 2023年創(chuàng)建智慧校園工作總結(jié)
- DL-T 2559-2022 燈泡貫流式水輪機狀態(tài)檢修評估技術(shù)導(dǎo)則
- 國開電大《人文英語3》一平臺機考真題(第十三套)
評論
0/150
提交評論