防火墙实验报告 2
计算机安全实验报告
实验题目:天网防火墙windows安全设置专业/班级:计科一班
学号:110511407
姓名:李冲
指导教师:张小庆
一天网防火墙技术
1 实验题目简述
个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。
这些软件都能够独立运行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。
2.实验目标和意义
实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。
3.实验原理和实验设备
3.1 实验原理
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,
基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
例如,防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围,当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定 TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。
3.1 实验设备
Window 7
天网个人防火墙2010版
4.实验步骤
4.1 实验步骤
第一步:局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。设置如图3-1.
3-1:局域网地址设置
第二步:管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.
3-2:管理权限设置
第三步:入侵检测设置,开启此功能,当防火墙检测到可疑的数据包时防火墙会弹出入侵检测提示窗口,并将远端主机IP显示于列表中。(如图3-2).
3-3:入侵检测
第四步:安全级别设置,其中共有五个选项。如图3-4页面。
3-4:安全级别设置
低:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照
设置的相应规则运作。计算机将完全信任局域网,允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务)但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。
中:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务(如HTTP、FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。
高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。
扩:基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则,可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。
自定义:如果您了解各种网络协议,可以自己设置规则。注意,设置规则不正确会导致您无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。
第五步:IP规则,如图3-5的页面。
3-5:IP规划
IP规则是针对整个系统的网络层数据包监控而设置的,其中有几个重要的设置。
防御ICMP攻击:选择时,即别人无法用PING的方法来确定用户的存在。但不影响用户去PING别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法,而且该协议对于普通用户来说,是很少使用到的。
防御IGMP攻击:IGMP是用于组播的一种协议,对于MS Windows的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法。
TCP数据包监视:通过这条规则,用户可以监视机器与外部之间的所有TCP
连接请求。注意,这只是一个监视规则,开启后会产生大量的日志。
禁止互联网上的机器使用我的共享资源:开启该规则后,别人就不能访问用户的共享资源,包括获取您的机器名称。
禁止所有人连接低端端口:防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口,几乎所有的Internet服务都是在这些端口上工作的,所以这是一条非常严厉的规则,有可能会影响使用某些软件。
允许已经授权程序打开的端口:某些程序,如ICQ,视频电话等软件,都会开放一些端口,这样,才可以连接到您的机器上。本规则可以保证些软件可以正常工作。
4.2 重点和难点问题分析
网络攻击在网上是一种常见的进攻手段,用来窃取个人信息。本实验的重点
是学习如何利用个人防火墙有效地建立起相对安全的网络应用,以免恶意程序或木马的入侵。并且在实践中让我了解到,网络安全的重点并不是如何避免受到攻击,而是需要用户及时发现攻击并采取有效手段保护自己的网络安全,
甚至对其反攻。
5实验结果的评价
本次实验,提高了自身网络的安全意识以及保护措施。在此次实验中,进行了设置应用程序权限、自定义IP规则设置以及利用IP规则防止常见病毒的设置,从而可以有效的防止上网账号被窃取等恶意现象。
6实验总结
本次实验让我了解了个人防火墙配置的相关知识,了解了木马、病毒的入侵手段。学习到了IP规划设置。并且了解了防火墙的功能,它能够防止Internet 上用户的攻击,阻断木马以及其他恶意程序的进攻。经过配置个人防火墙,让我的网络安全意识进一步得到加强。
二 windows安全设置
一.实验目的:
了解并掌握windows7的一些安全设置,是我们的电脑更加安全。
二.实验要求:
了解并掌握window7的安全设置,熟练控制自己的电脑。
三.实验内容:
经常遇到恶意软件的骚扰——快使用安全管家UAC
其他人的U盘可能有病毒——用组策略让系统只认自己的U盘
不想安装指定的软件——组策略为你挡掉所有烦恼
电脑中有极为重要的文件怕泄漏——两种加密方式保证数据安全
上网和共享担心安全隐患——Win7的网络安全组件很给力
安全管家——UAC
重要程度:★★★★★
安全特性:未授权程序不能自动运行
设置地点:开始菜单的搜索栏中输入“UAC”,得到设置位置“更改用户账户控制设置”
在WinXP时代,如果我们以管理员身份登录系统(这恰是很多用户的使用习惯),那么对系统的一切操作就拥有了管理员权限。这样你一旦安装了捆绑危险程序的软件,或者访问包含恶意代码的网站,那么这些危险程序和恶意代码就可以以管理员身份运行,轻则造成系统瘫痪,重则造成个人隐私的泄露,很有可能又造成一个可怕的“XX门”事件。为了堵住这些安全隐患,微软在Win7中新增了UAC(用户账户控制)组件来避免这种情况的发生。
在Win7中UAC组件默认开启的,这样即使你以管理员身份(非Adminstrator 账户,该账户在Win7中默认设置是“禁用”)登录系统,默认的仍然是“标准用户”权限,这样危险程序和恶意代码试图运行时,UAC就会自动对其拦截并弹出提示窗口,需要用户手动确认“是”才能够运行(如图1)。
它就像大厦里的管家,严格对拜访者进行安全盘查,不仅对程序进行拦截而且提供详细的拦截信息,当我们在日常操作中遇到UAC拦截时,可以通过单击“显示详细信息”来了解更多运行细节。
技巧:对UAC进行设置
UAC组件对所有可能影响系统设置的操作都会进行拦截,如果你只是在进行正常的系统设置,不希望每次操作都弹出UAC提示。可以依次展开“控制面板→
系统和安全→更改用户账户控制”,然后在弹出的窗口,根据自己实际需要拖动滑块进行设置即可(如图2)。
延伸阅读
怎么判断UAC拦截提示
为了便于用户对UAC的拦截有个直观的感觉,在Win7中会对不同类型的程序添加不同颜色的“盾牌”图标来表示。
蓝色色条和对角黄线盾牌标识,表示是Windows自带组件比如命令提示符、注册表编辑器运行时出现,这些程序一般可以信任(但是要注意代码对系统组件的调用)。
灰色的色条和带问号的盾牌,表示来源可靠(合法数字签名)的程序,相对也可以信任,可以通过单击提示框“显示有关此发布者证书的信息“按钮进一步确认是否安全。
黄色感叹号图标,表示来源不可靠(没有合法数字签名)的程序,相对来说风险很大,建议不要运行。
职业保镖——组策略保护
重要程度:★★★★
安全特性:防止U盘自动运行以及指定程序的安装
设置地点:开始菜单的运行栏中输入“gpedit.msc”
UAC只是负责对程序的盘查,程序的运行与否只要主人首肯即可畅通无阻的运行。平时我们遇到程序众多,难免会有漏网之鱼混进大厦,因此我们还要聘请职业保镖来对恶意程序进行拦截。Win7自带的组策略就是一群身手不凡保镖,下面我们以其中两位保镖为例,介绍组策略是如何保护Win7的!
(1)移动设备选择性接受
USB设备的即插即用和便于携带,很多朋友都是用它来交换数据。正是由于USB的便携性,它也成为病毒、木马常见传播媒体,同时也成为隐私数据外泄的便携通道。如何既保证自己的USB设备在电脑上可以使用,又有效防止外来设备的插入?Win7的组策略即可做到。
技巧:让电脑只识别自己的U盘
首先插入自己的U盘,打开资源管理器后右击U盘选择“属性→硬件→选中当前U盘”,然后单击“属性”,在打开的窗口切换到“详细信息”标签,在设
备“属性”下拉框中选择“硬件ID”,复制其中的值。启动设备管理器,展开“通用串行总线控制器→ USB大容量存储设备”的硬件ID,同样复制其中的ID数值(如图3)。
在开始菜单的“运行”中输入“gpedit.msc”启动组策略编辑器,依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”,将右侧的“禁止安装未由其他策略设置描述的设备”设置为“已启用”。接着再将“允许安装与下列设备ID相匹配的设备”设置为“已启用”,然后输入上述复制到的硬件ID,这样我们的电脑就只能识别自己的U盘了(如图4)。
(2)不受欢迎程序批量拦截
现在很多软件出于推广的目的捆绑在常见的装机软件中,新手在安装这些软件时一不小心就会被莫名其妙的安装了很多捆绑软件。对于Win7用户,现在我们只要运用新增的“AppLocker”策略即可批量将某一公司软件全部拒之门外。
技巧:拒绝安装360系列软件
首先启动服务管理组件,找到其中的“Application Identity”服务并设为自动启动。接着同上启动组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker→可执行规则”,右击“可执行规则”选择“创建默认规则“。
创建默认规则后,继续右击“可执行规则”选择“创建新规则”,在打开的创建向导选择默认“Everyone”账户执行权限为“拒绝”,然后按照向导提示选
择“发布者“作为规则主要条件类型,接着导入360公司任一款软件如“360安全卫士在线安装程序”(需要先自行下载备用),其他选择默认设置完成规则的创建并重启(如图5)
对于同一家公司推出的软件,它的发布者一般都是一样的。我们建立上述规则后,以后只要是这家公司(需要软件签名一致,如果不同可以建立多个规则进行拦击)发布的软件,包括同一软件的后续版本,如果试图在本机运行时都会遭到AppLocker拦截而无法在本机安装。
扩展阅读:组策略中更多相关的安全策略:
关闭黑客入侵通道:黑客经常通过扫描工具侦测被攻击系统远程操作权限,从而通过远程操作来控制我们的电脑。现在只要依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,然后双击右侧窗格的“网络访问:可远程访问的注册表路径”,打开组策略属性设置框,删除其中的所有注册表路径信息即可
禁止共享空密码:Win7允许远程用户可以使用空用户连接方式获得网络上某一台计算机的共享资源列表和所有帐户名称。同上展开“安全选项”后,将右侧的“网络访问:不允许SAM账号和共享的匿名枚举”设置为“已启用”。
阻止黑客Ping:黑客经常通过Ping命令来扫描有漏洞的电脑,展开“计算机配置→Windows设置→安全设置→高级安全Windows防火墙→高级安全Windows 防火墙→本地组策略对象→入站规则→新规则→自定义→所有程序→ICMPv4→阻止连接”,自定义IPSec 策略即可阻止黑客们Ping我们的电脑。
专业库管——数据加密
重要程度:★★★★
安全特性:未授权用户无法访问文件或磁盘
设置地点:选择文件或磁盘后,点击右键选择相应菜单
在我们的硬盘中,个人文件是其中最为重要的数据。如果这些数据没有加密,任何使用我们电脑的人都可以访问,显然极其容易造成数据的泄密。那如何保护好自己数据不泄密?Win7为我们提供两种加密服务。
1.基于文件的加密
Win7强制使用NTFS格式作为系统分区,对于保存在NTFS分区的文件,Win7提供EFS加密,EFS加密的文件其他账户是无法访问的,可以有效保护文件的安全。
技巧:使用EFS加密我的文档
如果自己的数据主要保存在“d:\Documents”下,现在只要打开上述目录后右击选择“属性”,然后单击“高级”按钮,在打开的窗口勾选“加密内容以保护数据”即可(如图6)。
在Win7中启用EFS加密的目录会以绿色字体标示,以后我们只要在自己电脑上设置一个专用账户供来宾使用,其他账户登录电脑后是无法访问EFS加密的文件的。但是注意的是一旦启用EFS加密,一定要及时备份密匙以备不时之需。
扩展阅读:使用“权限+EFS”双重保护数据
EFS加密/解密针对加密账户是透明的,也就是说如果其他人使用你的账户登录系统(比如很多朋友设置了Win7自动登录),那么EFS加密的文件是可以自由访问的。因此为了更好保护加密文件,我们还可以结合NTFS的权限来限制用户对特定文件的访问。
比如““d:\Documents\工作文档”不希望任何用户的访问,只要右击该目录选择“属性”,切换到“安全”标签,接着单击“编辑”,把“组和用户”列表下的所有账户删除,这样就没有任何账户可以访问该目录了。如果自己要访问该目录,则只要将当前账户添加到“组和用户”列表,并将读取权限设置为“完全控制”即可。
2.基于驱动器的加密——BitLocker加密
EFS加密只能针对目录设置,如果自己的文件都是保存在某一分区,那么还可以使用Win7新增的“BitLocker加密”。 BitLocker是基于系统底层的加密技术,启用加密时如果要访问加密内容则要求用户对其凭据进行身份验证来访问该信息。
技巧:加密保存重要数据的D盘
BitLocker加密分区操作很简单,比如需要加密分区D,打开资源管理器后右击D盘选择“启用BitLocker”,然后按照加密向导对D盘进行加密即可,普通用户可以将加密密匙保存在U盘,成功加密后驱动器图标会带上一个加密锁标记(如图7)。
完成BitLocker加密后只要重启,下次如果要访问加密分区,系统则会弹出BitLocker解密窗口,要求我们输入指定的密码才能访问该驱动器。而且启用BitLocker加密的硬盘挂接到其他电脑上也是无法法访问的,这样即使你的电脑送去维修也可以保护数据的安全(如图8)。
扩展阅读:EFS加密和BitLocker加密区别(表1)。
贴身护卫——网络安全组件
重要程度:★★★
安全特性:上网及共享更多的安全体验
设置地点:使用系统自带的IE以及设置共享时的安全选项
随着网络的普及,系统遭受的攻击越来越多来自网络:不小心访问挂马网站带来的木马,下载软件暗藏的病毒、黑客的网络攻击等。可以说我们遭受到安全威胁几乎90%来自于网络。因此Win7也大幅增强网络组件的安全防护性能。
1、越来越安全的IE
浏览器是我们遨游网络的必备工具,网络安全威胁也是大多通过浏览器引发的。为了保障用户浏览网络时更加安全,微软不仅频繁对IE进行升级(最新版已是IE9),而且通过各种安全组件加强IE安全性。这里我们以Win7集成的IE8对ActivX控件改进为例。
技巧:选择性的加载ActiveX控件
大家知道访问很多网站时都会被要求下载或者加载特定ActiveX控件,对于恶意网站来说更是通过ActiveX控件来危害访问者的电脑。IE8对ActiveX控件可以针对指定网站加载。
假设现在有个BUG的ActiveX控件,但是现在访问的是正规网站如新浪网,此时IE如果弹出是否加载ActiveX控件提示,由于是安全网站,我们只要点击上方加载提示,选择“仅当前页面加载”,这样浏览新浪页面时就会加载ActiveX 控件而不影响浏览。如果访问的是恶意网站,试图加载有漏洞的ActiveX控件,我们只要选择“不加载”,这样恶意网站就无法利用ActiveX控件威胁我们的电脑了。
扩展阅读:IE9新增安全特性
增加了Smart Screen功能,能够屏蔽假冒网站的威胁(如用户名、密码和帐单数据),以及防止恶意软件侵入电脑。
跟踪保护功能:可以避免用户个人隐私被第三方网站跟踪记录,可定制访问以及禁止访问的第三方网站。
加载项性能顾问:加载项性能顾问会在加载项放缓浏览会话时通知用户。默认情况下,如果所有加载项的总加载时间超过0.2秒,用户就会收到通知,使用
防火墙实验报告
南京信息工程大学实验(实习)报告 实验(实习)名称防火墙实验(实习)日期2012.12.6指导教师朱节中 专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置;掌握防火墙安全策略的配置。 【背景描述】 1.用接入广域网技术(NA T),将私有地址转化为合法IP地址。解决IP地址不足的问题,有效避免来自外部网络的攻击,隐藏并保护内部网络的计算机。 2.网络地址端口转换NAPT(Network Address Port Translation)是人们比较常用的一种NA T方式。它可以将中小型的网络隐藏在一个合法的IP地址后面,将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NA T设备选定的TCP端口号。 3.地址绑定:为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP 地址,也因MAC地址不匹配而盗用失败,而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配,将无法通过防火墙。 4.抗攻击:锐捷防火墙能抵抗以下的恶意攻击:SYN Flood攻击;ICMP Flood攻击;Ping of Death 攻击;UDP Flood 攻击;PING SWEEP攻击;TCP端口扫描;UDP端口扫描;松散源路由攻击;严格源路由攻击;WinNuke攻击;smuef攻击;无标记攻击;圣诞树攻击;TSYN&FIN攻击;无确认FIN攻击;IP安全选项攻击;IP记录路由攻击;IP流攻击;IP时间戳攻击;Land攻击;tear drop攻击。 【小组分工】 组长:IP:192.168.10.200 管理员 :IP:172.16.5.4 策略管理员+日志审计员 :IP:172.16.5.3 日志审计员 :IP:172.16.5.2 策略管理员 :IP:172.16.5.1 配置管理员 【实验设备】 PC 五台 防火墙1台(RG-Wall60 每实验台一组) 跳线一条 【实验拓扑】
网络安全实验报告[整理版]
一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。
实验7:防火墙配置与NAT配置最新完整版
大连理工大学本科实验报告 课程名称:网络综合实验 学院(系):软件学院 专业:软件工程2012年3月30日
大连理工大学实验报告 实验七:防火墙配置与NAT配置 一、实验目的 学习在路由器上配置包过滤防火墙和网络地址转换(NAT) 二、实验原理和内容 1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置 三、实验环境以及设备 2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤(操作方法及思考题) {警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。} 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别 将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以 及配置PC A 和B的缺省网关为202.0.0.1,PC C 的缺省网关为202.0.1.1,PC D 的缺省网关为202.0.2.1。
202.0.0.2/24 202.0.1.2/24 192.0.0.1/24192.0.0.2/24 202.0.0.1/24 202.0.1.1/24S0 S0 E0E0 202.0.0.3/24 202.0.2.2/24 E1 202.0.2.1/24AR18-12 AR28-11 交叉线 交叉线 A B C D 图 1 3、在两台路由器上都启动RIP ,目标是使所有PC 机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。(5分) AR18-12 [Router]interface ethernet0 [Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface serial0 [Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router - Serial0]quit [Router]rip [Router -rip ]network all AR28-11 [Quidway]interface e0/0 [Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1 [Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial/0 [Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip [Quidway-rip]network 0.0.0.0 Ping 结果如下:全都ping 通
网络安全技术实验报告实验10数据库及数据安全
XX大学 本科实验报告 课程名称:网络安全技术 1421351 学号: XXX 姓名: 网络工程专业: 班级:网络B14-1 指导教师: 课内实验目录及成绩 信息技术学院 2016年11 月24日
XX大学实验报告 课程名称:网络安全技术实验类型:演示、验证 实验项目名称:实验十数据库及数据安全 实验地点:信息楼320 实验日期:2017 年11月24 日 实验十数据库及数据安全(数据备份与恢复) 1.实验目的 理解备份的基本概念,了解备份设备的概念。掌握各种备份数据库的方法,了解如何制定备份计划,如何从备份中恢复设备,掌握数据库的恢复方法。掌握SQL Server 备份和恢复数据库的方法。 ?(1)理解SQL Server 2014系统的安全性机制。 ?(2)明确管理和设计SQL Server登录信息,实现服务器级安全控制。 ?(3)掌握设计和实现数据库级的安全保护机制的方法。 ?(4)独立设计和实现数据库备份和恢复。 2.预备知识 数据库的备份与恢复是两个相对应的概念,备份是恢复的基础,恢复是备份的目的。数据库备份是指系统管理员定期或不定期地将数据库部分或全部内容复制到磁带或另一个磁盘上保存起来的过程。备份可分为静态备份和动态备份。数据库恢复是指在数据库遭到破坏时使数据库从有效的备份中恢复正常。 备份期间不允许对数据库进行任何存取、修改活动的备份方式称为静态备份。备份期间允许对数据库进行存取或修改,即各份和用户事务可以并发执行的备份方式称为动态备份。 3.实验准备 1.硬件:PC机、局域网环境 2.软件:Windows NT或Win Server 2016操作系统,SQL Server 2014 4.注意事项 确定备份计划主要考虑以下几个方面: 1)确定备份的频率。确定备份频率要考虑两个因素:一是系统恢复时的工作量,二是系统活动的事务量。对于完整数据库备份,可以是每个月、每一周甚至是每一天进行,而事务日志备份可以是每一周、每一天甚至是每一小时进行。 2)确定备份的内容。确定数据库中的哪些数据需要备份。
防火墙-实验报告
一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问;外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙:将防火墙放置于内外网络的边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因 配置不当带来问题,允许数据包直接通过,容易造成数据 驱动式攻击的潜在危险。 ●应用级网关:内置了专门为了提高安全性而编制的Proxy 应用程序,能够透彻地理解相关服务的命令,对来往的数 据包进行安全化处理,速度较慢,不太适用于高速网 (ATM或千兆位以太网等)之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内部
网络,通过在分组过滤路由器或防火墙上过滤规则的设 置,使堡垒机成为Internet 上其它节点所能到达的唯一 节点,这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器;它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信,它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步的把内部网络和外 部网络(通常是Internet)隔离开。被屏蔽子网体系结构 的最简单的形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容和步骤 (1)简述天网防火墙的工作原理 天网防火墙的工作原理: 在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过
防火墙实验报告记录
防火墙实验报告记录
————————————————————————————————作者:————————————————————————————————日期:
一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问;外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙:将防火墙放置于内外网络的边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因 配置不当带来问题,允许数据包直接通过,容易造成数据 驱动式攻击的潜在危险。 ●应用级网关:内置了专门为了提高安全性而编制的Proxy 应用程序,能够透彻地理解相关服务的命令,对来往的数 据包进行安全化处理,速度较慢,不太适用于高速网 (ATM或千兆位以太网等)之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内部
网络,通过在分组过滤路由器或防火墙上过滤规则的设 置,使堡垒机成为Internet 上其它节点所能到达的唯一 节点,这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器;它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信,它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步的把内部网络和外 部网络(通常是Internet)隔离开。被屏蔽子网体系结构 的最简单的形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容和步骤 (1)简述天网防火墙的工作原理 天网防火墙的工作原理: 在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过
防火墙软件的安装与配置实验报告
实验三防火墙软件的安装与配置 一、防火墙软件的安装 1.双击已经下载好的安装程序,出现如下图所示的安装界面: 2. 在出现的如上图所示的授权协议后,请仔细阅读协议,如果你同意协议中的所有条款,请选择“我接受此协议”,并单击下一步继续安装。如果你对协议有任何异议可以单击取消,安装程序将会关闭。必须接受授权协议才可以继续安装天网防火墙。如果同意协议,单击下一步将会出现如下选择安装的文件夹的界面:
3.继续点击下一步出现如下图所示的选择“开始”菜单文件夹,用于程序的快捷方式 4.点击下一步出现如下图所示的正在复制文件的界面,此时是软件正在安装,请用户耐心等待。
5.文件复制基本完成后,系统会自动弹出如下图所示的“设置向导”,为了方便大家更好的使用天网防火墙,请仔细设置。 6.单击下一步出现如下图所示的“安全级别设置”。为了保证您能够正常上网并免受他人的 恶意攻击,一般情况下,我们建议大多数用户和新用户选择中等安全级别,对于熟悉天网防火墙设置的用户可以选择自定义级别。
7.单击下一步可以看见如下图所示的“局域网信息设置”,软件将会自动检测你的IP 地址,并记录下来,同时我们也建议您勾选“开机的时候自动启动防火墙”这一选项,以保 证您的电脑随时都受到我们的保护。 8.单击下一步进入“常用应用程序设置”,对于大多数用户和新用户建议使用默认选
项。 9.单击下一步,至此天网防火墙的基本设置已经完成,单击“结束”完成安装过程。
10.请保存好正在进行的其他工作,单击完成,计算机将重新启动使防火墙生效。 二、防火墙软件的配置 1.局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。 3-1:局域网地址设置 2.管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.
防火墙的设计与实现
课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号200803010212
姓名王能 指导教师刘铁武韩宁 2011年3 月6 日
湖南工程学院 课程设计任务书 一.设计内容: 问题1:基于802.1X的认证系统 建立为了便于集中认证和管理接入用户,采用AAA(Authentication、Authorization 和Accounting)安全体系。通过某种一致的办法来配置网络服务,控制用户通过网络接入服务器的访问园区网络,设计内容如下: 1.掌握IEEE820.1X和RADIUS等协议的工作原理,了解EAP协议 2.掌握HP5308/HP2626交换机的配置、调试方法 3.掌握WindowsIAS的配置方法和PAP,CHAP等用户验证方法 4.建立一个基于三层交换机的模拟园区网络,用户通过AAA方式接入园区网络 问题2:动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网,对RIP和OSPF协议的工作原理进行研究,设计内容如下: 1.掌握RIP和OSPF路由协议的工作原理 2.掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3.掌握RIP和OSPF协议的报文格式,路由更新的过程 4.建立基于RIP和OSPF协议的模拟园区网络 5.设计实施与测试方案 问题3:防火墙技术与实现 建立一个园区网络应用防火墙的需求,对具体实施尽心设计并实施,设计内容如下: 1.掌握防火墙使用的主要技术:数据包过滤,应用网关和代理服务 2.掌握HP7000路由器的配置、调试方法
防火墙 实验报告
一、实验目得 ●通过实验深入理解防火墙得功能与工作原理 ●熟悉天网防火墙个人版得配置与使用 二、实验原理 ●防火墙得工作原理 ●防火墙能增强机构内部网络得安全性.防火墙系统决定了 哪些内部服务可以被外界访问;外界得哪些人可以访问内 部得服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权得数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术得对比 ●包过滤防火墙:将防火墙放置于内外网络得边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因配置 不当带来问题,允许数据包直接通过,容易造成数据驱动 式攻击得潜在危险. ●应用级网关:内置了专门为了提高安全性而编制得Proxy 应用程序,能够透彻地理解相关服务得命令,对来往得数据 包进行安全化处理,速度较慢,不太适用于高速网(ATM 或千兆位以太网等)之间得应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内
部网络,通过在分组过滤路由器或防火墙上过滤规则得设 置,使堡垒机成为Internet 上其它节点所能到达得唯 一节点,这确保了内部网络不受未授权外部用户得攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样得主机可以充当与这些 接口相连得网络之间得路由器;它能够从一个网络到另外 一个网络发送IP数据包.但就是外部网络与内部网络不能 直接通信,它们之间得通信必须经过双重宿主主机得过滤 与控制. ●被屏蔽子网体系结构:添加额外得安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步得把内部网络与外 部网络(通常就是Internet)隔离开。被屏蔽子网体系结 构得最简单得形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容与步骤 (1)简述天网防火墙得工作原理 天网防火墙得工作原理: 在于监视并过滤网络上流入流出得IP包,拒绝发送可疑得包。基于协议特定得标准,路由器在其端口能够区分包与限制包得能力叫包过滤。由于Internet与Intranet 得连接多数都要使用路由器,所以Router成为内外通信得必经端口,Router得厂商在Router上加
防火墙实验报告
防火墙实验报告 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
信息安全实验报告 实验名称:防火墙实验 教师:周亚建 班级: 08211319 学号: 08211718 班内序号: 28 姓名:龙宝莲 2011年 3 月 23 日 一、实验目的 通过实验深入理解防火墙的功能和工作原理,学会使用boson netsim模 拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。 二、实验原理 1、防火墙的实现技术 ●包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头 (header),由此 决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。 ●应用级网关技术。应用级网关即代理服务器,代理服务器通常运行在两个网 络之间,它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器,而对于外界的服务器来说,他又相当于此Internet 服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求
后,首先会检查该请求是否符合事先制定的安全规则,如果规则允许,代理服务器会将此请求发送给Internet站点,从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离,从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。 ●状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息,而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表,将在内外网间传输的数据包以会话角度进行监测,利用状态跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话。 2、防火墙的体系结构 ●双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主主 机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如外部网)并不是直接发送到其它网络(例如内部的被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 ●屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自 仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。 在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点的安全策略决定)到外部世界。 ●屏蔽子网体系结构,屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机
路由器模拟防火墙实验报告
实验五:路由器模拟防火墙实验报告 实验步骤 本次实验有三台PC机和两台路由器,网络拓扑图如下所示。PC1不能ping通router1,但PC0能ping通router1。通过密码远程登录Router1。
Router1的基本配置命令: Router>enable 进入特权模式 Router#config t 进入全局配置模式 Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0 进入端口配置模式 Router(config-if)#ip address 192.168.4.1 255.255.255.0 配置fa0/0的ip Router(config-if)#no shutdown 启用 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#exit 退出端口配置模式 Router(config)#int s2/0 进入端口配置模式 Router(config-if)#ip address 192.168.3.2 255.255.255.0 配置ser2/0的ip Router(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial2/0, changed state to down Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface Serial2/0, changed state to up Router(config-if)#exit Router(config)#router rip 配置动态路由 Router(config-router)#ver Router(config-router)#version 2 版本号 Router(config-router)#network 192.168.3.0 相连网段 Router(config-router)#network 192.168.4.0 相连网段 Router(config-router)#exit 退出路由配置模式 Router(config)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up (1)未设置ping的控制条件时,PC机之间能够相互ping通。截图如下: PC0 ping PC2 能够ping通 PC1 ping PC2 能够ping通
防火墙实验报告 2
计算机安全实验报告 实验题目:天网防火墙windows安全设置专业/班级:计科一班 学号:110511407 姓名:李冲 指导教师:张小庆
一天网防火墙技术 1 实验题目简述 个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。 这些软件都能够独立运行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。 2.实验目标和意义 实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。 3.实验原理和实验设备 3.1 实验原理 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,
基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 例如,防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围,当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定 TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。 3.1 实验设备 Window 7 天网个人防火墙2010版 4.实验步骤 4.1 实验步骤 第一步:局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。设置如图3-1.
防火墙技术实验报告
网络攻防对抗 实验报告 实验名称:防火墙技术(实验八)指导教师: 专业班级: 姓名: 学号: ______ 电子邮件:___ 实验地点: _ 实验日期: 实验成绩:____________________
一、实验目的 防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验,使学生了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。 二、实验原理 防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。 1.防火墙的基本原理 防火墙(firewall)是一种形象的说法,本是中世纪的一种安全防务:在城堡周围挖掘一道深深的壕沟,进入城堡的人都要经过一个吊桥,吊桥的看守检查每一个来往的行人。对于网络,采用了类似的处理方法,它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关( security gateway), 也就是一个电子吊桥,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问,以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。 防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击,但是,这种攻击比较容易发现和察觉,危害性也比较小,这一般是用公司内部的规则或者给用户不同的权限来控制。
2. 防火墙的分类 目前市场的防火墙产品主要分类如下: (1)从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。(2)从防火墙技术“包过滤型”和“应用代理型”两大类。 (3)从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4)按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火墙三大类。 (5)按防火墙性能百兆级防火墙和千兆级防火墙两类。 3. 防火墙的基本规则 一切未被允许的就是禁止的(No 规则)。 一切未被禁止的就是允许的(Yes 规则)。 4. 防火墙自身的缺陷和不足 (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。 (2)无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。 (3)Internet 防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP 或PPP 联接进入Internet。 (4)对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
网络安全实验报告 (1)
《网络安全与网络管理》课程 实验报告 学院年级2012专业网络工程 姓名学号 任课教师上机地点 实验教师
《网络安全》课程实验报告一 实验题目Sniffer网络抓包分析 一、实验时间2015年 3月 18日周三上午4-5节 二、实验目的: 掌握1-2种Sniffer软件的使用;能利用相关软件进行网络抓包并进行网络协议分析;进而理解相关的网络安全威胁 三、实验要求 1.查看PING包的构成(默认32Byte内容),若用64Byte来ping,内容是什么? 2.登录校园网,查看捕捉到的用户名和密码 3.查看TCP三次握手的包的序列号规律 4.登录校园网的邮箱,查看所用的协议及其工作过程 实验报告要求: 注明以上实验结果(附实验截图) 四、实验内容、过程和结果(实验主要内容的介绍、主要的操作步骤和结果) 1.使用ping命令进行测试,截取数据包抓取ping包: 2.登陆校园网,查看捕捉到的用户名和密码:打开校园网登陆页面,输入用户名yankun,密码123456,然后启动抓包软件抓取到如下截图的包,在包中找到了之前输入的用户名和密码,如下框中所示;
3.查看TCP三次握手的包的序列号规律,对打开浏览器着一过程进行抓包分析:如下截图,通过下面的抓包可以清楚的了解到三次握手的建立过程;
分析:TCP报文的首部如下图所示,序号字段的值则指的是本报文段所发送的数据的第一个字节的序号 确认号字段——占 4 字节,是期望收到对方的下一个报文段的数据的第一个字节的序号。 确认比特 ACK ——只有当 ACK 1 时确认号字段才有效。当 ACK 0 时,确认号无效。 在上面的两个截图中,第一个图的seq=79780372,Ack=171311206,在第二个截图中可以看到seq=171311206, Ack=79780373,接收到的确认号是之前对方发过来的序列号加1,三次握手的过程就是靠双方发送先关序列号进行确认联系,从而建立安全的通道进行数据传输。 4.登录校园网的邮箱,查看所用的协议及其工作过程 此截图是登陆校园邮箱过程的包,可以在包中发现有TLS协议,用来加密数据,以保障数据的安全性;
创建防火墙实验报告
创建防火墙实验报告 班级:10网工三班学生姓名:谢昊天学号:1215134046 实验目的和要求: 1、了解防火墙的基本概念; 2、掌握如何使用规则集实现防火墙; 实验内容与分析设计: 1.WinRoute目前应用比较广泛,既可以作为一个服务器的防火墙系统,也可以作为一个代理服务器软件。用WinRoute创建包过滤规则: (1)使主机不响应“Ping”指令; (2)禁用FTP访问; (3)禁用HTTP访问; 2、编写防火墙规则:禁止除管理员主机(IP为192.168.0.1)外任何一台计算机访问某主机(IP为192.168.0.10)的终端服务(TCP端口为3389),并用WinRoute实现上述规则。 实验步骤与调试过程: 创建防火墙 1.安装WinRoute,既可以作为一个服务器的防火墙系统,也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1,安装文件为wrp41en.exe。 2.安装完毕后,启动winroute administration ,进入winroute的登陆界面。 3.密码设置为空,单击"ok"按钮,进入系统管理,单击"setting"选项卡,在"advanced"中选择“packet filter”菜单项。选中网卡图标,单击“ADD”按钮,会出现“add item” 对话框,所有的过滤规则都此添加。 4.在“protocol”下拉列表中选择“ICMP”,单击"ok"按钮。 5.在“ICMP type”中,将复选框全部选择。 6.在“ACTION”中,选择单选框“Drop”。 7.在“logpocket”中选择“Log into Window”,选择完毕后,单击"ok"按钮。一条规则就创建完毕。 8.设置完毕,该主机就不能响应外界的ping指令。 9.在选择菜单栏“”View下的菜单项“Logs>security logs ,查看日志记录。 使用winroute禁止HTTP访问: 1.单击"setting"选项卡,在"advanced"中选择“packet filter”菜单项。 2.选中网卡图标,单击“ADD”按钮,会出现“add item”对话框,所有的过滤规则都在此添加 3.在“protocol”下拉列表中选择“HTTP”,port=80 4.action选择drny
个人防火墙的应用和配置实验报告
个人防火墙的应用和配置 1 实验题目简述 1.1 题目描述 个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。 这些软件都能够独立运行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。 1.2 实验目标和意义 实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。 2 实验原理和实验设备 2.1 实验原理 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 例如,防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围,当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定 TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。 2.1 实验设备 Window XP 天网个人防火墙
防火墙实验报告
信息安全实验报告 实验名称:防火墙实验 教师:周亚建 班级: 08211319 学号: 08211718 班内序号: 28 姓名:龙宝莲 2011年 3 月 23 日一、实验目的 通过实验深入理解防火墙的功能和工作原理,学会使用boson netsim模 拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。 二、实验原理 1、防火墙的实现技术 ●包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由 此 决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。 ●应用级网关技术。应用级网关即代理服务器,代理服务器通常运行在两个网络之间,它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器,而对于外界的服务器来说,他又相当于此Internet服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后,首先会检查该请求是否符合事先制定的安全规则,如果规则允许,代理服务器会将此请求发送给Internet站点,从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离,从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。 ●状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息,而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表,将在内外网间传输的数据包以会话角度进行监测,利用状态跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话。 2、防火墙的体系结构 ●双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主主
H3C 防火墙 网络实验报告
防火墙配置 【实验目的】 1.掌握防火墙的基本配置。 2.掌握防火墙包过滤配置。 3.掌握防火墙黑名单、MAC绑定的配置 【实验环境】 H3C secpath系列防火墙一台、3100系列交换机两台、PC机4台,网线若干。 【实验原理】 一、防火墙简介 在大厦构造中,防火墙被设计用来防止火从大厦的一部分传播到另一部分。网络的防火墙服务于类似目的:防止Internet的危险传播到内部网络。 防火墙一方面阻止来自Internet对受保护网络的未授权或未认证的访问,另一方面允许内部网络的用户对Internet进行Web访问或收发E-mail等。防火墙也可以作为一个访问Internet的权限控制关口,如允许内部网络的特定用户访问Internet。 防火墙不单用于对Internet的连接,也可以用来在组织网络内部保护大型机和重要的资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。 二、防火墙的安全特性 1、基于访问控制列表(ACL)的包过滤 ACL/包过滤实现对IP数据包的过滤,对防火墙需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。 2、黑名单 黑名单,指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的190
过滤,从而有效地将特定IP地址发送来的报文屏蔽。 黑名单最主要的一个特色是可以由防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此,黑名单是防火墙一个重要的安全特性。 黑名单分为静态和动态两种。静态黑名单需要手动将IP地址添加到黑名单表中。动态黑名单是和地址扫描、端口扫描的攻击防范结合到一起的。 3、MAC和IP地址绑定 MAC和IP地址绑定,指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC 地址不是指定关系对中的地址,防火墙将予以丢弃,是避免IP地址假冒攻击的一种方式。 4、防火墙的攻击防范功能 防火墙的攻击防范功能能够检测出多种类型的网络攻击,如IP地址欺骗、地址扫描与端口扫描、SYN Flood攻击、Ping of Death攻击等等,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行 5、Web和邮件过滤 防火墙支持Web和邮件过滤,以阻止内部用户访问非法的网址或访问含有非法内容的网页,防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。同时,邮件过滤也能防止外部向内部发送邮件。 6、安全区域 防火墙使用安全区域的概念来表示与其相连接的网络。 防火墙预先定义了四个安全区域,这些安全区域也称为系统安全区域,分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别,安全级别由高到低依次为Local、Trust、DMZ、Untrust。 可以为安全区域设置一个优先级,优先级数值越高,表示此区域的安全性越高。 缺省情况下,Local区域的优先级为100,Trust区域的优先级为85,Untrust 区域的优先级为5,DMZ区域的优先级为50。系统定义的这些区域的优先级是 191