1、.南京信息工程大學實驗（實習）報告實驗（實習）名稱防火墻實驗（實習）日期指導教師專業一實驗目的：1. 了解防火墻的相關知識2. 防火墻的簡單實驗二實驗步驟：1. 了解防火墻的概念，類型及作用2. 防火墻的實驗三實驗內容：1. 防火墻的概念防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、 專用網與公共網之間的界面上構造的保護屏障。由計算機硬件或軟件系統構成防火墻，來保護敏感的數據部被竊取和篡改。防火墻是設置在可信任的企業內部和不可信任的公共網或網絡安全域之間的以系列部件的組合，它是不同網絡或網絡安全域之間信息的唯一出入口， 能根據企業的安全政策控制出入網絡的信息流，且本身具有較強

2、的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。2防火墻的類型技術上看， 防火墻 有三種基本類型：包過濾型、 代理服務器型和復合型。它們之間各有所長，具體使用哪一種或是否混合使用，要根據具體需求確定。包過濾型防火墻(Packet Filter Firewall)通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網絡層，基于單個IP 包實施網絡控制。它對所收到的IP 數據包的源地址、目的地址、TCP 數據分組或UDP 報文的源端口號及目.的端口號、 包出入接口、 協議類型和數據包中的各種標志位等參數，與網絡管理員預先設定 的訪問控制表進行比較

3、，確定是否符合預定義好的安全策略并決定數據包的放行或丟棄。這種防火墻的優點是簡單、方便、速度快、透明性好，對網絡性能影響不大，可以用于禁止外部不合法用戶對企業內部網的訪問，也可以用來禁止訪問某些服務類型，但是不能識別內容有危險的信息包，無法實施對應用級協議的安全處理。代理服務器型防火墻(ProxyServiceFirewall) 通過在計算機或服務器上運行代理的服務程序， 直接對特定的應用層進行服務，因此也稱為應用層網關級防火墻。代理服務器型防火墻的核心， 是運行于防火墻主機上的代理服務器進程，實質上是為特定網絡應用連接企業 內部網與Internet的網關。它代理用戶完成TCPIP 網絡的訪問

4、功能，實際上是對電子郵件、 FTP、Telnet 、WWW等各種不同的應用各提供一個相應的代理。這種技術使得外部網絡與內部網絡之間需要建立的連接必須通過代理服務器的中間轉換，實現了安全的網絡訪 問，并可以實現用戶認證、詳細日志、審計跟蹤和數據加密等功能，實現協議及應用的過濾及會話過程的控制， 具有很好的靈活性。 代理服務器型防火墻的缺點是可能影響網絡的性能， 對用戶不透明，且對每一種TCP IP 服務都要設計一個代理模塊，建立對應的網關，實現起來比較復雜。復合型防火墻(Hybrid Firewall)把包過濾、 代理服務和許多其他的網絡安全防護功能結合起來，形成新的網絡安全平臺，以提高防火墻的

5、靈活性和安全性3. 防火墻技術在網絡中的作用防火墻技術作為保護內部網絡與外部網絡相接入的一道安全屏障， 已經越來越受到人們的普遍關注。作為網絡安全的屏障只有經過精心選擇的應用協議才能通過防火墻，可使網絡環境變得更安全。如防火墻可以禁止NFS 協議進出受保護的網絡， 這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。如防火墻可以禁止NFS 協議進出受保護的網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。 防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。（

6、1）可以強化網絡安全策略通過以防火墻為中心的安全方案配置， 能將所有安全軟件配置在防火墻上。 與將網絡安全問題分散到各個主機上相比， 防火墻的集中安全管理更經濟。 例如在網絡訪問時， 一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻身上。（ 2）可以對網絡存取和訪問進行監控審計如果所有的訪問都經過防火墻， 那么， 防火墻就能記錄下這些訪問并作出日志記錄， 同時也能提供網絡使用情況的統計數據。 當發生可疑動作時， 防火墻能進行適當的報警， 并提供網絡是否受到監測和攻擊的詳細信息。 另外，收集一個網絡的使用和誤用情況也是非常重要的。可以清楚防火墻是否能夠抵擋攻擊者的

7、探測和攻擊， 并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等也是非常重要的。（ 4）可以防止內部信息的外泄通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。4. 防火墻的相關實驗操作方法與實驗步驟1） 安裝瑞星 2012 防火墻2） 防火墻功能驗證（1） 程序聯網控制（2） 網絡攻擊攔截（3） 惡意網址攔截（4） ARP 欺騙防御（5） 對外攻擊攔截（6） 網絡數據保護（7） IP 規則設置1. 安 裝 環境要求：操作系統：Windows XP / Windows 7/server 2003 CPU：5

8、00 MHz及以上內存： 512 MB系統內存及以上，最大支持內存4GB支持網絡協議： IPV4軟件：瑞星個人防火墻2012版2. 維護/ 卸載可以通過添加刪除組件菜單，根據不同的需求對瑞星防火墻的組件進行管理。也可以通過修復菜單，重新安裝已安裝的組件。當您不需要瑞星防火墻時， 可通過卸載來完全卸載。方法：單擊【開始】 /【程序】 / 【瑞星個人防火墻】 / 【修復】或者打開控制面板，雙擊【添加 / 刪除程序】，在【添加或刪除程序】屬性頁中選中【瑞星個人防火墻】。【添加/ 刪除】：選中此項后，您可根據自身需要，添加或刪除瑞星防火墻的組件，便于您更靈活、更有效地使用資源；【修復】：選中此項后，程

9、序會對現有的瑞星防火墻進行修復安裝，檢查已安裝的瑞星防火墻的完整性， 并修復存在的問題。 便于您更穩定地使用瑞星防火墻；【卸載】：選中此項后，將會卸載瑞星防火墻。一）網絡防護1. 程序聯網控制控制電腦中的程序對網絡的訪問。進行“增加”、“刪除”、“導入”、“導出”、“修改”、“高級選項”設置，實現相關程序的訪問控制。2. 網絡攻擊攔截依托瑞星“智能云安全”網絡分析技術，有效攔截各種網絡攻擊：瀏覽器攻擊、遠程溢出、蠕蟲傳播、僵尸網絡、木馬后門（如灰鴿子等）。3. 惡意網址攔截設置黑白名單， 屏蔽或保護相關程序； 啟用釣魚網頁掃描功能； 啟用搜索引擎搜索結果風險分析。.4. ARP 欺騙防御5.

10、對外攻擊攔截1）檢測 SYN Llood攻擊；2 ）檢測 ICMP Llood攻擊；3）檢測 UDPLlood攻擊。.6. 網絡數據保護1）啟用端口隱身； 2 ）啟用聊天加密。7. IP 規則設置1） 可信區服務：2） 黑白名單：通過“增加”、“導入”設置白名單，在白名單中的電腦對本機具有完全的訪問權限。3） 端口開關：通過“增加”、“編輯”、“刪除”、“導入”、“導出”設置，允許或禁止列表中的端口通訊。.6 實驗數據處理與分析通過 ARP 靜態規則的設置：“添加”、“編輯”、“刪除”、“導入”、“導出”、“修改”，防止電腦受到 ARP 攻擊，并幫助找到局域網中的攻擊源。防御的方式（可同時勾選） ：1）定時檢查本機ARP 緩存； 2 ）禁止 IP 地址沖突攻擊； 3）禁止本機對外發送虛假IP 數據包。防御范圍設置（勾選之一） ：1 ）防御局域網中的所有電腦；2 ）防御指定的電腦地址和靜態地址。在 IP 規則設置中，可以通過“增加”、“編輯”、“刪除”、“導入”、“導出”、“恢復默認”設置IP 規則。如.四 實驗總結瑞