防火墙实验报告集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全实验报告
实验名称:防火墙实验
教师:周亚建
班级: 08211319
学号: 08211718
班内序号: 28
姓名:龙宝莲
2011年 3 月 23 日一、实验目的
通过实验深入理解防火墙的功能和工作原理,学会使用boson netsim模拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。
二、实验原理
1、防火墙的实现技术
包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此
决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。
应用级网关技术。应用级网关即代理服务器,代理服务器通常运行在两个网
络之间,它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器,而对于外界的服务器来说,他又相当于此Internet服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后,首先会检查该请求是否符合事先制定的安全规则,如果规则允许,代理服务器会将此请求发送给Internet站点,从
Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离,从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。
状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息,而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表,将在内外网间传输的数据包以会话角度进行监测,利用状态跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话。
2、防火墙的体系结构
双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP 数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如外部网)并不是直接发送到其它网络(例如内部的被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。
屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点的安全策略决定)到外部世界。
屏蔽子网体系结构,屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机
体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵入内部网络(他将仍然必须通过内部路由器)。
三、实验环境
装有WindowsXP的虚拟机,虚拟机上安装好boson netsim 模拟软件
四、实验内容和步骤
首先按照老师给的破解步骤一步一步安装(注:一定要先安装好Microsoft .Net Framework 和Adobe Acrobat Reader)
1、使用Boson Netsim设计如下的网络拓扑
并配置路由器Router的访问控制列表(ACL),使得外网不能访问内网,而内网可以访问外网,并采用ping做测试,请记录详细的配置及测试过程。
(1)首先,利用Boson Network Designer绘制网络实验拓扑图,绘制好的拓扑图如下图:
内网
外网
(2)配置路由器基本参数:
在绘制完实验拓扑图后,将其保存并装入Boson Netsim中开始进行实验配置。通过Boson Netsim中的工具栏按钮eRouters选择Router 并按照下面过程进行基本参数配置:
Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)# int eth 0
R1(config-if)#ip add
R1(config-if)#no shut
R1(config-if)#int eth 1
R1(config-if)#ip add
R1(config-if)#no shut
R1(config-if)#end
R1#copy run start
(3)配置PC基本参数:
通过Boson Netsim中的工具栏按钮“eStations”选择“/24”按照下面的步骤对外网主机进行配置:
键入“回车键”继续
键入winipcfg,如下图所示,以图形化方式为该主机配置IP地址、子网掩码、默认网关等参数。
在“/24”的命令提示符下键入ping 测试到默认网关的连通性:
通过Boson Netsim中的工具栏按钮“eStations”选择“、16”重复以上步骤,对内网主机进行配置:
(4)配置、测试静态路由
选择路由器Router并配置相关的静态路由信息,如下所示:
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip route
R1(config)#ip route
R1(config)#end
R1#copy run start
R1#show ip route
选择“/24”在其命令提示符下输入以下命令测试静态路由配置:Ping
Tracert
选择“/16”在其命令提示符下输入以下命令测试静态路由配置: Ping
Tracert
现在内网能访问外网,外网也能访问内网,下面配置路由器Router的访问控制列表(ACL),使得外网不能访问内网,而内网可以访问外网
(5)配置路由器Router的访问控制列表(ACL):
如果单纯在外网接口或内网接口将源IP地址为外网的包抛弃,则内网也不能访问外网,因为在内网访问外网过程中,内网必然会接收来自外网回发的数据包(如TCP三次握手协议),所以想到在这里使用自反ACL限制外网访问,在Router命令提示符窗输入如下命令:
R1#conf t
R1(config)#ip access-list extended aclout
R1(config-ext-nacl)#permit tcp any any reflect tcp
但提示错误:
上网查阅资料,说是不支持reflect命令,然后又想到尝试使用标记(evaluate):
输入如下命令:
R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit tcp any any
R1(config-ext-nacl)#evaluate abc
但还是提示错误:
上网查阅资料说是,我们使用的是Demo模式运行,好多命令不支持,在想是不是这个原因,但还是找不到解决方法,于是采用以下方式配置:
此时外网ping内网,不通:
内网ping外网,通:
这种方法只能限制使外网不能ping内网,但我认为想要的结果不是这样的,但是又找不到解决方法
2、在外网的计算机上开放FTP(或者Telnet)服务,怎样配置路由器
Router,使得内网的计算机能接收到来自外网计算机的FTP(或者Telnet)应答信息
首先想到的解决方法是:内网主机先Telnet到路由器,然后再Telnet外网主机:
Router配置过程如下:
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#access-list 10 permit .
[OK]
打开外网Telnet服务:
首先内网Telnet到Router:
Router界面显示:
在Router界面输入的任何字符都会被传到主机上:
在此界面中Telnet到外网则出现如下状况:
实在让人匪夷所思,难道又是模拟器的问题,上网、图书馆查阅资料,均未找到解决方法
若直接从内网主机Telnet外网主机则出现如下状况:
根据第5章中对冲击波病毒特征的描述,利用天网防火墙设置防御冲击波病毒的IP安全规则,将配置步骤和结果提交报告。
通过第5章对冲击波病毒的特征描述,知道该病毒主要是利用TCP的135和4444端口以及UDP的69端口进行攻击,我们可以通过使用软件将这些端口禁止,以防止端口被攻击,达到预防的目的。
首先下载安装天网防火墙个人版,然后打开天网防火墙进入增加IP规则目录,将TCP的135和4444端口以及UDP的69端口拦截:
配置好后本来想在网上找个冲击波病毒试试看有没有效果的,但是找到的都是
冲击波病毒专杀工具。
3、请分析包过滤型防火墙和应用代理型防火墙能否能防御“震荡波”病毒的攻击如果可以,请各以一种常见的产品为例(如瑞星和SOCK等)进行说明,将配
置步骤和结果提交报告。
首先震荡波病毒的攻击方式是:在本地开辟后门,监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
所以包过滤防火墙通过过滤目标端口为445的ip包即能防御震荡波病毒,而应用代理型防火墙也可已通过检测数据包的目的端口,阻止外网主机连接内网的445端口,达到预防的目的。
因为天网防火墙属于包过滤防火墙,所以在这里以天网防火墙为例,通过进入规则设置界面 2 选择“规则——添加” 拦截信息(增加新变种拦截):TCP 接收 5554 1068 9996 9995 TCP或UDP 发送 445,即可达到预防的目的。
对于应用代理型防火墙,找了很久都没有找到相关软件,不知道老师提示的SOCK是不是指,然而属于代理服务器第三方支持软件,可以将用户程序添加到该软件中,只要每次在该软件中运行添加的程序,添加的程序就会通过代理来连接网络,但是不知道这个和预防震荡波病毒有什么关系。难道是要将所有连接网络的程序都通过SocksCap来运行
五、实验总结
首先,我觉得通过这次实验的到了很多收获,主要在以下几点:
1、自学能力得到大大的提高,从最开始完全不知的是什么到能基
本熟练使用该软件,对自己来说无疑是一次重大的突破
2、解决问题的能力提高了,学会了通过上网查阅资料、图书馆查阅资料、
上论
坛提问等方式解决问题。(比如在第一题中使用reflect命令的时候总是提示语法错误,然后上论坛提问,就有几个学长回答说,有的命令Boson模拟器不支持,还建议换个模拟器做实验,然后才怀疑可能是模拟器本身的问题)
3、自己解决问题,独立思考的问题也得到了提高,比如在解决Telnet问题
的时
候上网查资料都只能找到主机Telnet的方法,于是想到能不能通过两次Telnet(即首先Telnet到路由再Telnet到外网主机)解决,可是无奈最终还是为解决,
4、学到了一些路由器相关方面的知识,学会了一些路由器配置的基本命令,了解到通过设置路由器的访问控制列表可以使路由器起到防火墙的功能。
其次,我觉得这次实验做得非常失败,失败的地方主要在以下几点:
1、第一问中设置访问控制列表使内网能访问外网,外网不能访问内网,尝
试了
许多种方法始终还是没用成功,最终只能退而求其次,使用访问控制列表时内网能ping外网,外网不能ping内网
2、第二问使内网主机能Telnet外网主机,也是最终没能成功,只能使内网
能
Telnet路由器,多次上网查阅资料,说好像可以采用路由器端口映射的方法,但由于时间的原因还是没有找到具体解决方法。
3、第三问通过设置防火墙规则预防冲击波病毒和震荡波病毒,都没有下载
病毒
进行测试。
4、应用代理型防火墙没有找到相关软件试用。
最后,通过这次实验,深深地体会到了“学无止境”这句话的含义,自己要学习的东西还有很多,由于时间有限,对于此次实验报告中未解决的问题我一定会在以后的学习过程中努力去解决它。