网络攻防对抗 实验报告 实验名称：防火墙技术（实验八） 指导教师： 专业班级： 姓名： 学号：______ 电子邮件：___ 实验地点：_ 实验日期： 实验成绩：____________________ 一、实验目的 防火墙是网络安全的第一道防线，按防火墙的应用部署位置分 类，可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实 验，使学生了解各种不同类型防火墙的特点，掌握个人防火墙的工作 原理和规则设置方法，掌握根据业务需求制定防火墙策略的方法。 二、实验原理 防火墙是网络安全的第一道防线，按防火墙的应用部署位置分 类，可以分为边界防火墙、个人防火墙和分布式防火墙三类。 1.防火墙的基本原理 防火墙（firewall）是一种形象的说法，本是中世纪的一种安全 防务：在城堡周围挖掘一道深深的壕沟，进入城堡的人都要经过一个 吊桥，吊桥的看守检查每一个来往的行人。对于网络，采用了类似的 处理方法，它是一种由计算机硬件和软件的组合，使互联网与内部网 之间建立起一个安全网关(securitygateway),也就是一个电子吊 桥，从而保护内部网免受非法用户的侵入，它其实就是一个把互联网 与内部网（通常指局域网或城域网）隔开的屏障。它决定了哪些内部 服务可以被外界访问、可以被哪些人访问，以及哪些外部服务可以被 内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身 也必须能够免于渗透。 防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻 击，但是，这种攻击比较容易发现和察觉，危害性也比较小，这一般 是用公司内部的规则或者给用户不同的权限来控制。 2.防火墙的分类 目前市场的防火墙产品主要分类如下： （1）从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。 （2）从防火墙技术“包过滤型”和“应用代理型”两大类。 （3）从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式 防火墙三种。 （4）按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火 墙三大类。 （5）按防火墙性能百兆级防火墙和千兆级防火墙两类。 3.防火墙的基本规则 一切未被允许的就是禁止的(No规则)。 一切未被禁止的就是允许的(Yes规则)。 4.防火墙自身的缺陷和不足 （1）限制有用的网络服务。防火墙为了提高被保护网络的安全性， 限制或关闭了很多有用但存在安全缺陷的网络服务。 （2）无法防护内部网络用户的攻击。目前防火墙只提供对外部网络 用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机 系统的安全性。 （3）Internet防火墙无法防范通过防火墙以外的其他途径的攻击。 例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络 上的用户就可以直接通过SLIP或PPP联接进入Internet。 （4）对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 （5）Internet防火墙也不能完全防止传送已感染病毒的软件或文 件。 （6）防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面 上看是无害的数据被邮寄或拷贝到Internet主机上，但一旦执行就 开始攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文 件，使得入侵者很容易获得对系统的访问权。 （7）不能防备新的网络安全问题。防火墙是一种被动式的防护手段， 它只能对现在已知的网络威胁起作用。 三、实验内容及步骤 1.尝试添加一个IP规则，并修改规则 2.可以修改数据包的方向，IP地址，数据包协议类型及端口，以及 规则的动作 3.这是使用防火墙拦截了80端口后使用IE访问Internet的反应： 弹出警告 4.创建新的IP规则防范主机被ping，以及防范ICMP攻击，IP规则 如下 5.创建IP规则防御IGMP攻击，禁止网络连接，如下： 四、实验思考 1.开放的服务遇到攻击怎么办？ 答：暂时关闭相应的服务端口，找出服务受到攻击的原因，譬如该服 务是否存在漏洞，防火墙设置是否不合理，然后解决问题，再开放需 要使用的服务端口，对于不使用与很少使用的服务，应该关闭，需要 使用时再开启。 2.防火墙有没有不能处理的协议？ 答：有，防火墙本来就是针对具体协议进行开发的，不可能兼容所有 协议。 五、实验体会 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口 令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题 分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络 访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在