防火墙实验
windows防火墙与IPTABLES配置
实验指导书
实验目的
掌握Windows防火墙及Linux系统中iptables的配置
实验环境
Windows7系统(物理机),Linux系统(虚拟机)
实验步骤
1.Linux虚拟机与物理机采用桥接模式。截图
2.在Linux虚拟机中ping物理机。结果截图
3.设置物理机Windows防火墙规则,实现虚拟机ping通物理机。截
图
4.在物理机中ping虚拟机,结果截图
5.在虚拟机中设置iptables规则,实现物理机不能ping通虚拟机,
命令和ping结果截图
6.在iptables配置文件中设置规则,只允许192.168.33.6地址能ping
通虚拟机,配置文件截图(不是命令截图)
附:参考资料:
1.iptables配置文件/etc/sysconfig/iptables
2.初始化linux防火墙
步骤1:清除任何已存在的规则
[root@localhost root]# iptables –F
步骤2:定义默认策略
?一般情况下,希望防火墙禁止任何输入数据包和任何输出数据
包:
[root@ localhost root]# iptables -P INPUT DROP
[root@ localhost root]# iptables -P OUTPUT DROP
[root@ localhost root]# iptables -P FORWARD DROP
?步骤3:启用回环接口
[root@localhost root]# iptables -A INPUT -i lo -j ACCEPT
[root@localhost root]# iptables -A OUTPUT -o lo -j ACCEPT
?步骤4:检查配置的规则
[root@localhost root]# iptables –L
?步骤5:允许本机ping远程主机
[root@localhost root]# iptables -A OUTPUT -p icmp -j ACCEPT
[root@localhost root]# iptables -A INPUT -p icmp -j ACCEPT
例:禁止外部的某部分IP访问内部的服务器
[root@localhost root]# iptables -A FORWARD -i eth0 -p TCP -s 200.1.1.0/24 -d 192.168.1.10 -j DROP
?-A FORWARD -A在转发链FORWARD中添加一条规
则
?-i eth0 -i表示输入网络接口,eth0表示以太
网接口
?-p TCP -p 协议类型,本例针对TCP协议的数
据包
?-s 200.1.1.0/24 -s表示源地址,范围为
200.1.1.0-200.1.1.255
?-d 192.168.1.10 -d表示目的地址为192.168.1.10
?-j DROP -j 符合上边条件的数据包丢弃
例:禁止外部的某部分IP访问内部服务器的www服务
[root@localhost root]# iptables -A FORWARD -i ppp0 -p tcp -s 200.1.1.0/24 --sport 1024:65535 -d 192.168.1.10 --dport www -j DROP
?-A FORWARD -A在转发链FORWARD中添加一条规
则
?-i ppp0 -i表示输入网络接口,ppp0表示adsl
拨号
?-p tcp -p 协议类型,本例针对TCP协议的数据包
?-s 200.1.1.0/24 -s表示源地址,范围为
200.1.1.0-200.1.1.255
?--sport 1024:65535 --sport表示源端口,范围1024到
65535
?-d 192.168.1.10 -d表示目的地址为192.168.1.10
?--dport www --dport目的端口,www服务
?-j DROP -j 符合上边条件的数据包丢弃
例:一次打开多个特定的TCP端口
[root@localhost root]# /sbin/iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m multiport --dports 22,25,80,110,443 -j ACCEPT
?-I FORWARD -I在转发链FORWARD中插入一条规则,这
里没有标明哪条规则前,默认在链的第1条前
?-p tcp -p 协议类型,本例针对TCP协议的数据包
?-s 192.168.1.0/24 -s表示源地址,源地址范围为
192.168.1.0-192.168.1.255
?-m multiport --dports 22,25,80,110,443
-m 匹配规则,multiport表示多端口匹配,--dports对多个目的端口匹配,本例端口为22,25,80,110,443。
?-j ACCEPT -j 符合上边条件的数据包允许通过
防火墙实验报告
南京信息工程大学实验(实习)报告 实验(实习)名称防火墙实验(实习)日期2012.12.6指导教师朱节中 专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置;掌握防火墙安全策略的配置。 【背景描述】 1.用接入广域网技术(NA T),将私有地址转化为合法IP地址。解决IP地址不足的问题,有效避免来自外部网络的攻击,隐藏并保护内部网络的计算机。 2.网络地址端口转换NAPT(Network Address Port Translation)是人们比较常用的一种NA T方式。它可以将中小型的网络隐藏在一个合法的IP地址后面,将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NA T设备选定的TCP端口号。 3.地址绑定:为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP 地址,也因MAC地址不匹配而盗用失败,而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配,将无法通过防火墙。 4.抗攻击:锐捷防火墙能抵抗以下的恶意攻击:SYN Flood攻击;ICMP Flood攻击;Ping of Death 攻击;UDP Flood 攻击;PING SWEEP攻击;TCP端口扫描;UDP端口扫描;松散源路由攻击;严格源路由攻击;WinNuke攻击;smuef攻击;无标记攻击;圣诞树攻击;TSYN&FIN攻击;无确认FIN攻击;IP安全选项攻击;IP记录路由攻击;IP流攻击;IP时间戳攻击;Land攻击;tear drop攻击。 【小组分工】 组长:IP:192.168.10.200 管理员 :IP:172.16.5.4 策略管理员+日志审计员 :IP:172.16.5.3 日志审计员 :IP:172.16.5.2 策略管理员 :IP:172.16.5.1 配置管理员 【实验设备】 PC 五台 防火墙1台(RG-Wall60 每实验台一组) 跳线一条 【实验拓扑】
实验7:防火墙配置与NAT配置(MSR路由器版)
大连理工大学本科实验报告 课程名称: 学院(系): 专业: 班级: 学号: 学生姓名: 年月日
大连理工大学实验报告 学院(系):专业:班级: 姓名:学号:组:___ 实验时间:实验室:实验台: 指导教师签字:成绩: 实验七:防火墙配置与NAT配置 一、实验目的 学习在路由器上配置包过滤防火墙和网络地址转换(NAT) 二、实验原理和内容 1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置 三、实验环境以及设备 2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤(操作方法及思考题) {警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。} 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别 将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。
2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP 地址,以及配置PC A 和B 的缺省网关为 202.0.0.1,PC C 的缺省网关为 202.0.1.1,PC D 的缺省网关为 202.0.2.1。 202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24 E1202.0.2.1/24AR18-12 AR28-11交叉线 交叉线A B C D 图 1 3、在两台路由器上都启动RIP ,目标是使所有PC 机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。(5分) 实际实验中使用了MSR 路由器因此实际代码如下: [Router]interface ethernet 0/0 [Router - GigabitEthernet0/0]ip address 202.0.1.1 255.255.255.0 [Router - GigabitEthernet 0/0]interface ethernet 0/1 [Router - GigabitEthernet 0/1]ip address 202.0.2.1 255.255.255.0 [Router - GigabitEthernet 0/1]interface serial 5/0 [Router -Serial5/0]ip address 192.0.0.2 255.255.255.0 [Router -Serial5/0]shutdown [Router -Serial5/0]undo shutdown [Router -Serial5/0]quit [Router]rip [Router -rip]network 0.0.0.0
网络安全技术实验报告实验10数据库及数据安全
XX大学 本科实验报告 课程名称:网络安全技术 1421351 学号: XXX 姓名: 网络工程专业: 班级:网络B14-1 指导教师: 课内实验目录及成绩 信息技术学院 2016年11 月24日
XX大学实验报告 课程名称:网络安全技术实验类型:演示、验证 实验项目名称:实验十数据库及数据安全 实验地点:信息楼320 实验日期:2017 年11月24 日 实验十数据库及数据安全(数据备份与恢复) 1.实验目的 理解备份的基本概念,了解备份设备的概念。掌握各种备份数据库的方法,了解如何制定备份计划,如何从备份中恢复设备,掌握数据库的恢复方法。掌握SQL Server 备份和恢复数据库的方法。 ?(1)理解SQL Server 2014系统的安全性机制。 ?(2)明确管理和设计SQL Server登录信息,实现服务器级安全控制。 ?(3)掌握设计和实现数据库级的安全保护机制的方法。 ?(4)独立设计和实现数据库备份和恢复。 2.预备知识 数据库的备份与恢复是两个相对应的概念,备份是恢复的基础,恢复是备份的目的。数据库备份是指系统管理员定期或不定期地将数据库部分或全部内容复制到磁带或另一个磁盘上保存起来的过程。备份可分为静态备份和动态备份。数据库恢复是指在数据库遭到破坏时使数据库从有效的备份中恢复正常。 备份期间不允许对数据库进行任何存取、修改活动的备份方式称为静态备份。备份期间允许对数据库进行存取或修改,即各份和用户事务可以并发执行的备份方式称为动态备份。 3.实验准备 1.硬件:PC机、局域网环境 2.软件:Windows NT或Win Server 2016操作系统,SQL Server 2014 4.注意事项 确定备份计划主要考虑以下几个方面: 1)确定备份的频率。确定备份频率要考虑两个因素:一是系统恢复时的工作量,二是系统活动的事务量。对于完整数据库备份,可以是每个月、每一周甚至是每一天进行,而事务日志备份可以是每一周、每一天甚至是每一小时进行。 2)确定备份的内容。确定数据库中的哪些数据需要备份。
实验十一蓝盾防火墙的连接与登录配置
实验十一蓝盾防火墙的连接与登录配置 【实验名称】 防火墙的连接与登录配置 【计划学时】 2学时 【实验目的】 1、掌握防火墙的基本连线方法; 2、通过安装控制中心,实现防火墙的登录; 3、了解防火墙的基本设置、管理模式和操作规范; 4、理解规则的建立过程。 【基本原理】 对于防火墙的连接,在本实验里设定LAN口为内网接口,W AN口为外网接口。DMZ (Demilitarized Zone),即”非军事化区”,它是一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。 蓝盾防火墙允许网口信息名称自定义,支持多线接入,使得应用范围扩大。 【实验拓扑】 蓝盾防火墙 【实验步骤】 一、了解防火墙初始配置
打开了81端口(HTTP)和441端口(HTTPS)以供管理防火墙使用。本实验我们利用网线连接ADMIN口与管理PC,并设置好管理PC的IP地址。 2、默认所有配置均为空,可在管理界面得到防火墙详细的运行信息。 二、利用浏览器登陆防火墙管理界面 1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来,当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上 2、客户端设置,以XP为例,打开网络连接,设置本地连接IP地址: 3、“开始” “运行”,输入“CMD”,打开命令行窗口,使用ping命令测试防火墙和管理PC间是否能互通。
防火墙实验
防火墙实验 【实验目的】 掌握个人防火墙的使用及规则的设置 【实验内容】 防火墙设置,规则的设置,检验防火墙的使用。 【实验环境】 (1)硬件 PC机一台。 (2)系统配置:操作系统windows XP以上。 【实验步骤】 (有两种可选方式,1、以天网防火墙为例,学习防火墙的规则设置,2、通过winroute防火墙学习使用规则设置,两者均需安装虚拟机) 一、虚拟机安装与配置 验证virtual PC是否安装在xp操作系统之上,如果没有安装,从获取相关软件并安装; 从教师机上获取windows 2000虚拟机硬盘 二、包过滤防火墙winroute配置(可选) 1、从教师机上获取winroute安装软件并放置在windows 2000上安装 2、安装默认方式进行安装,并按提示重启系统 3、登陆虚拟机,打开winroute 图1 route 安装界面
以管理员的身份登录,打开开始>WinRoute Pro>WinRoute Administration,输入IP地址或计算机名,以及WinRoute管理员帐号(默认为Admin)、密码(默认为空) 3、打开菜单Setting>Advanced>Packet Filter 4、在Packet Filter对话框中,选中Any interface并展开 双击No Rule图标,打开Add Item对话框 在Protocol下拉列表框中选择ICMP,开始编辑规则 配置Destination:type为Host,IP Address为192.168.1.1 (x为座位号) 5、在ICMP Types中,选中All复选项 在Action区域,选择Drop项 在Log Packet区域选中Log into Window 其他各项均保持默认值,单击OK 单击OK,返回主窗口 6、合作伙伴间ping对方IP,应该没有任何响应 打开菜单View>Logs>Security Log ,详细查看日志记录 禁用或删除规则 8、用WinRoute控制某个特定主机的访问(选作) 要求学生在虚拟机安装ftp服务器。 1) 打开WinRoute,打开菜单Settings>Advanced>Packet Filter选择,Outgoing 标签 2) 选择Any Interface并展开,双击No Rule,然后选择TCP协议 3) 配置Destination 框:type为Host,IP Address为192.168.1.2(2为合作伙伴座位号) 4)、在Source框中:端口范围选择Greater than(>),然后输入1024 5) 以21端口作为Destination Port值 6) 在Action区域,选择Deny选项 7) 选择Log into window选项 8) 应用以上设置,返回主窗口 9) 合作伙伴间互相建立到对方的FTP连接,观察失败信息
防火墙-实验报告
一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问;外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙:将防火墙放置于内外网络的边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因 配置不当带来问题,允许数据包直接通过,容易造成数据 驱动式攻击的潜在危险。 ●应用级网关:内置了专门为了提高安全性而编制的Proxy 应用程序,能够透彻地理解相关服务的命令,对来往的数 据包进行安全化处理,速度较慢,不太适用于高速网 (ATM或千兆位以太网等)之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内部
网络,通过在分组过滤路由器或防火墙上过滤规则的设 置,使堡垒机成为Internet 上其它节点所能到达的唯一 节点,这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器;它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信,它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步的把内部网络和外 部网络(通常是Internet)隔离开。被屏蔽子网体系结构 的最简单的形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容和步骤 (1)简述天网防火墙的工作原理 天网防火墙的工作原理: 在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过
实验四 防火墙基本配置实验
实验四防火墙基本配置实验 【实验目的】 1.了解防火墙的基本原理; 2.掌握防火墙的基本配置方法。 【实验环境】 1.实验3-4人一组。 2.Cisco PIX防火墙一台。 3.PC机4台,其中一台PC机上安装FTP服务器端软件,并连接在内部网络。 4.RJ-45连接电缆若干。 5.Console配置线一根。 【实验内容】 1.按图1-1搭建本地配置环境 通过PC机用Console配置线连接到防火墙Console口对防火墙进行配置。 2.按图1-2拓扑结构组网。 3.配置要求:(如有已保存的配置,先使用write erase清除闪存中的配置信息) (1)所有的口令都设置为“cisco”(实际上,除了“cisco”之外,你可设置为任意的口令,
但实验中统一用“cisco”以避免口令杂乱带来的问题)。 (2)内部网络是10.0.0.0,子网掩码为255.0.0.0。PIX防火墙的内部IP地址是10.1.1.1。(3)外部网络是1.1.1.0,子网掩码为255.0.0.0,PIX防火墙的外部IP地址是1.1.1.1。(4)在防火墙上配置地址转换,使内部PC机使用IP地址1.1.1.3访问外部网络。 (5)用于外部网络的默认路由是1.1.1.254。 (6)外部网络上的计算机只能访问内部网络FTP服务。 (7)允许10.1.1.0网段的电脑telnet到防火墙上。 4.将配置文件以附件方式用电子邮件发送到lws@https://www.sodocs.net/doc/de16043607.html,。附件名为:实验四配置文件-学号姓名。 【实验参考步骤】 注意:实验中用到的IP地址等内容以实验要求中的内容为准,以下内容中的配置举例仅为说明命令的用法。 在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。 外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。 停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。 注意:2个接口的防火墙是没有停火区的。 当第一次启动PIX防火墙的时候,可以看到一个这样的屏幕显示:
防火墙实验报告记录
防火墙实验报告记录
————————————————————————————————作者:————————————————————————————————日期:
一、实验目的 ●通过实验深入理解防火墙的功能和工作原理 ●熟悉天网防火墙个人版的配置和使用 二、实验原理 ●防火墙的工作原理 ●防火墙能增强机构内部网络的安全性。防火墙系统决定了 哪些内部服务可以被外界访问;外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权的数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术的对比 ●包过滤防火墙:将防火墙放置于内外网络的边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因 配置不当带来问题,允许数据包直接通过,容易造成数据 驱动式攻击的潜在危险。 ●应用级网关:内置了专门为了提高安全性而编制的Proxy 应用程序,能够透彻地理解相关服务的命令,对来往的数 据包进行安全化处理,速度较慢,不太适用于高速网 (ATM或千兆位以太网等)之间的应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内部
网络,通过在分组过滤路由器或防火墙上过滤规则的设 置,使堡垒机成为Internet 上其它节点所能到达的唯一 节点,这确保了内部网络不受未授权外部用户的攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样的主机可以充当与这些 接口相连的网络之间的路由器;它能够从一个网络到另外 一个网络发送IP数据包。但是外部网络与内部网络不能 直接通信,它们之间的通信必须经过双重宿主主机的过滤 和控制。 ●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步的把内部网络和外 部网络(通常是Internet)隔离开。被屏蔽子网体系结构 的最简单的形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容和步骤 (1)简述天网防火墙的工作原理 天网防火墙的工作原理: 在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过
防火墙软件的安装与配置实验报告
实验三防火墙软件的安装与配置 一、防火墙软件的安装 1.双击已经下载好的安装程序,出现如下图所示的安装界面: 2. 在出现的如上图所示的授权协议后,请仔细阅读协议,如果你同意协议中的所有条款,请选择“我接受此协议”,并单击下一步继续安装。如果你对协议有任何异议可以单击取消,安装程序将会关闭。必须接受授权协议才可以继续安装天网防火墙。如果同意协议,单击下一步将会出现如下选择安装的文件夹的界面:
3.继续点击下一步出现如下图所示的选择“开始”菜单文件夹,用于程序的快捷方式 4.点击下一步出现如下图所示的正在复制文件的界面,此时是软件正在安装,请用户耐心等待。
5.文件复制基本完成后,系统会自动弹出如下图所示的“设置向导”,为了方便大家更好的使用天网防火墙,请仔细设置。 6.单击下一步出现如下图所示的“安全级别设置”。为了保证您能够正常上网并免受他人的 恶意攻击,一般情况下,我们建议大多数用户和新用户选择中等安全级别,对于熟悉天网防火墙设置的用户可以选择自定义级别。
7.单击下一步可以看见如下图所示的“局域网信息设置”,软件将会自动检测你的IP 地址,并记录下来,同时我们也建议您勾选“开机的时候自动启动防火墙”这一选项,以保 证您的电脑随时都受到我们的保护。 8.单击下一步进入“常用应用程序设置”,对于大多数用户和新用户建议使用默认选
项。 9.单击下一步,至此天网防火墙的基本设置已经完成,单击“结束”完成安装过程。
10.请保存好正在进行的其他工作,单击完成,计算机将重新启动使防火墙生效。 二、防火墙软件的配置 1.局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。 3-1:局域网地址设置 2.管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.
防火墙的设计与实现
课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号200803010212
姓名王能 指导教师刘铁武韩宁 2011年3 月6 日
湖南工程学院 课程设计任务书 一.设计内容: 问题1:基于802.1X的认证系统 建立为了便于集中认证和管理接入用户,采用AAA(Authentication、Authorization 和Accounting)安全体系。通过某种一致的办法来配置网络服务,控制用户通过网络接入服务器的访问园区网络,设计内容如下: 1.掌握IEEE820.1X和RADIUS等协议的工作原理,了解EAP协议 2.掌握HP5308/HP2626交换机的配置、调试方法 3.掌握WindowsIAS的配置方法和PAP,CHAP等用户验证方法 4.建立一个基于三层交换机的模拟园区网络,用户通过AAA方式接入园区网络 问题2:动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网,对RIP和OSPF协议的工作原理进行研究,设计内容如下: 1.掌握RIP和OSPF路由协议的工作原理 2.掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3.掌握RIP和OSPF协议的报文格式,路由更新的过程 4.建立基于RIP和OSPF协议的模拟园区网络 5.设计实施与测试方案 问题3:防火墙技术与实现 建立一个园区网络应用防火墙的需求,对具体实施尽心设计并实施,设计内容如下: 1.掌握防火墙使用的主要技术:数据包过滤,应用网关和代理服务 2.掌握HP7000路由器的配置、调试方法
实验10 思科ASA防火墙的NAT配置
实验10 思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理; 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置,配置IP地址和默认网关 R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip default-gateway 192.168.2.254 //配置默认网关 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit R1#write R2#conf t R2(config)#int f0/0 R2(config-if)#ip address 202.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip default-gateway 202.1.1.254 R2(config)#exit
R2#write Server#conf t Server(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0 Server(config-if)#ip address 192.168.1.1 255.255.255.0 Server(config-if)#no shutdown Server(config-if)#exit Server(config)#ip default-gateway 192.168.1.254 Server(config)#exit Server#write *说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。 2、防火墙基本配置,配置端口IP地址和定义区域 ciscoasa# conf t ciscoasa(config)# int g0 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g1 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g2 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 3、防火墙NAT规则配置 *说明:思科ASA 8.3 版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。 *可以通过show version命令来查看防火墙当前的版本。 (1)配置协议类型放行 //状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。
防火墙 实验报告
一、实验目得 ●通过实验深入理解防火墙得功能与工作原理 ●熟悉天网防火墙个人版得配置与使用 二、实验原理 ●防火墙得工作原理 ●防火墙能增强机构内部网络得安全性.防火墙系统决定了 哪些内部服务可以被外界访问;外界得哪些人可以访问内 部得服务以及哪些外部服务可以被内部人员访问。防火墙 必须只允许授权得数据通过,而且防火墙本身也必须能够 免于渗透。 ●两种防火墙技术得对比 ●包过滤防火墙:将防火墙放置于内外网络得边界;价格较 低,性能开销小,处理速度较快;定义复杂,容易出现因配置 不当带来问题,允许数据包直接通过,容易造成数据驱动 式攻击得潜在危险. ●应用级网关:内置了专门为了提高安全性而编制得Proxy 应用程序,能够透彻地理解相关服务得命令,对来往得数据 包进行安全化处理,速度较慢,不太适用于高速网(ATM 或千兆位以太网等)之间得应用。 ●防火墙体系结构 ●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器 或防火墙与Internet 相连,同时一个堡垒机安装在内
部网络,通过在分组过滤路由器或防火墙上过滤规则得设 置,使堡垒机成为Internet 上其它节点所能到达得唯 一节点,这确保了内部网络不受未授权外部用户得攻击。 ●双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿 主主机至少有两个网络接口。这样得主机可以充当与这些 接口相连得网络之间得路由器;它能够从一个网络到另外 一个网络发送IP数据包.但就是外部网络与内部网络不能 直接通信,它们之间得通信必须经过双重宿主主机得过滤 与控制. ●被屏蔽子网体系结构:添加额外得安全层到被屏蔽主机体 系结构,即通过添加周边网络更进一步得把内部网络与外 部网络(通常就是Internet)隔离开。被屏蔽子网体系结 构得最简单得形式为,两个屏蔽路由器,每一个都连接到周 边网。一个位于周边网与内部网络之间,另一个位于周边 网与外部网络(通常为Internet)之间。 四、实验内容与步骤 (1)简述天网防火墙得工作原理 天网防火墙得工作原理: 在于监视并过滤网络上流入流出得IP包,拒绝发送可疑得包。基于协议特定得标准,路由器在其端口能够区分包与限制包得能力叫包过滤。由于Internet与Intranet 得连接多数都要使用路由器,所以Router成为内外通信得必经端口,Router得厂商在Router上加
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
实验五~简易防火墙配置
●实验五、简易防火墙配置实验报告 ●实验目的: ?在win2000中创建简易防火墙(IP筛选器)。完成实验后,讲能够在本机实现对IP 站点、端口、DNS服务屏蔽,实现防火墙功能。 ●实验环境: ?一台装有Windows XP的计算机。 ●实验内容: ?熟悉防火墙的概念 ●实验步骤: ●(1)、在XP桌面上选择“开始”|“运行”,输入mmc,单击“确定”,出现“控制台1” 窗口,选择菜单上的“控制台”|“添加/删除管理单元”,出现起对话框,选择“独立” 选项卡,单击“添加”按钮: ● ●(2)、在“添加独立管理单元”对话框中,在“可用的独立管理单元”列表框中选择“IP 安全管理策略”,单击“添加”按钮;在出现的“选择计算机”对话框中选择“本地计算机”,单击“完成”。
● ●(3)、返回“添加独立管理单元”对话框,单击“关闭”,返回“添加/删除管理单元”; 单击“确定”,返回“控制台1”窗口,完成“IP安全策略,在本地机器”的设置。 ● ●(4)、选择“IP安全策略,在本地机器”选项,右击,选择“管理IP筛选器表和筛选 器操作”
● ●(5)、在出现的“管理IP筛选器表和筛选器操作”对话框中,单击“添加”,出现“IP 筛选器列表”对话框 ● ●(6)、在“筛选器属性”对话框,选择“寻址”选项卡,在“源地址”和“目标地址” 下拉列表中分别选择“我的IP地址”和“一个特定的IP地址”。
● ●(7)、在“协议”选项卡中,选择协议类型及设置DNS地址
● ●(8)、添加IP筛选器,新在“筛选器操作”属性对话框的“安全措施”选项卡中,选 择“阻止”单选按钮。选择“常规”选项卡,在“名称”文本框中输入“阻止”。单击“确定”按钮,此时“阻止”加入操作列表中。
实验四防火墙配置实验-精
实验四防火墙配置实验-精 2020-12-12 【关键字】方法、文件、模式、问题、系统、公开、统一、建立、掌握、了解、安全、网络、需要、环境、方式、作用、结构、关系、设置、保护、管理、维护、服务、支持、方向、适应、实现 【实验目的】 1.了解防火墙的基本原理; 2.掌握防火墙的基本配置方法。 【实验环境】 1.实验3-4人一组。 2.Cisco PIX防火墙一台。 3.PC机4台,其中一台PC机上安装FTP服务器端软件,并连接在内部网络。 4.RJ-45连接电缆若干。 5.Console配置线一根。 【实验内容】 1.按图1-1搭建本地配置环境 通过PC机用Console配置线连接到防火墙Console口对防火墙进行配置。 2.按图1-2拓扑结构组网。
3.配置要求:(如有已保存的配置,先使用write erase清除闪存中的配置信息) (1)所有的口令都设置为“cisco”(实际上,除了“cisco”之外,你可设置为任意的口令,但实验中统一用“cisco”以避免口令杂乱带来的问题)。 (2)内部网络是10.0.0.0,子网掩码为255.0.0.0。PIX防火墙的内部IP地址是10.1.1.1。(3)外部网络是1.1.1.0,子网掩码为255.0.0.0,PIX防火墙的外部IP地址是1.1.1.1。(4)在防火墙上配置地址转换,使内部PC机使用IP地址1.1.1.3访问外部网络。 (5)用于外部网络的默认路由是1.1.1.254。 (6)外部网络上的计算机只能访问内部网络FTP服务。 (7)允许10.1.1.0网段的电脑telnet到防火墙上。 4.将配置文件以附件方式用电子邮件发送到lws@https://www.sodocs.net/doc/de16043607.html,。附件名为:实验四配置文件-学号姓名。 【实验参考步骤】 注意:实验中用到的IP地址等内容以实验要求中的内容为准,以下内容中的配置举例仅为说明命令的用法。 在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。 外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。 停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。 注意:2个接口的防火墙是没有停火区的。 当第一次启动PIX防火墙的时候,可以看到一个这样的屏幕显示:
防火墙实验报告
防火墙实验报告 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
信息安全实验报告 实验名称:防火墙实验 教师:周亚建 班级: 08211319 学号: 08211718 班内序号: 28 姓名:龙宝莲 2011年 3 月 23 日 一、实验目的 通过实验深入理解防火墙的功能和工作原理,学会使用boson netsim模 拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。 二、实验原理 1、防火墙的实现技术 ●包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头 (header),由此 决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。 ●应用级网关技术。应用级网关即代理服务器,代理服务器通常运行在两个网 络之间,它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器,而对于外界的服务器来说,他又相当于此Internet 服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求
后,首先会检查该请求是否符合事先制定的安全规则,如果规则允许,代理服务器会将此请求发送给Internet站点,从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离,从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。 ●状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息,而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表,将在内外网间传输的数据包以会话角度进行监测,利用状态跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话。 2、防火墙的体系结构 ●双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主主 机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如外部网)并不是直接发送到其它网络(例如内部的被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 ●屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自 仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。 在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点的安全策略决定)到外部世界。 ●屏蔽子网体系结构,屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机
linux防火墙配置实验
单个IP地址建立连接 和DOS 攻击 实验 第九组 2017.05.19 单个IP地址限制连接 实验原理: 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。 netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具,
也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。 实验环境 攻击者win7 64位 ip:172.16.9.1,被攻击者虚拟机vm构造,与宿主机采用桥接,在同一网段,ip为1.1.1.2 实验目的: 通过Vmware虚拟机,配置网关,以及模拟外网,内网,Web服务器。通过 外网来进行DOS攻击,通过在被攻击的主机上抓包可以清楚地看到整个攻击过程,并且在网关上设置了NAT地址转换,在访问外网时将内网地址转换成公网地址(SNAT),以及外网访问内网时将公网地址转换成内网地址(DNAT)。并且可以在网关上设置上网时间,限制某些应用访问Internet等。 实验拓扑:
实验步骤: 搭建实验环境(Vmware虚拟机作为平台),按照逻辑拓扑图进行连接。 1.配置网关 1)配置三块网卡,分别是eth0,eth1,eth2,全部设置为桥接模式。 2)Eth1 ip地址192.168.9.1,eth2 ip地址192.168.19.1,eth0 ip地址1.1.9.1 3)使用命令echo “1”> /proc/sys/net/ipv4/ip_forward,打开路由功能 4)使用命令 /etc/init.d/iptables stop。关闭防火墙。 5)制定NAT转化策略,建议当底层网络全部通时再测试NAT。 2.配置主机(包括web服务器,外网主机) 1)配置一块网卡eth0 添加ip地址,模式为桥接。 2)增加各自的默认网关。 3)关闭本地防火墙。 3.调试dos攻击程序,在模拟外网的pc上编译执行,在web服务器上抓包观察。 4.观察NAT转化是否实现 5.实验截图: 5.1.将网卡配置为桥接模式。