防火墙实验报告

1、南京信息工程大学实验（实习）报告实验（实习）名称防火墙 实验（实习）日期 2012.12.6 指导教师 朱节中专业 10软件工程年级 大三 班次 2 姓名 蔡叶文 学号20102344042 得分 _【实验名称】防火墙实验【实验目的】掌握防火墙的基本配置；掌握防火墙安全策略的配置。【背景描述】1用接入广域网技术（NAT），将私有地址转化为合法IP地址。解决IP地址不足的问题，有效避免来自外部网络的攻击，隐藏并保护内部网络的计算机。2. 网络地址端口转换 NAPT（ Network Address Port Tran slation ）是人们比较常用的一种 NAT方式。它可以将中小型的网络隐藏在

2、一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。3. 地址绑定：为了防止内部人员进行非法IP盗用（例如盗用权限更高人员的IP地址，以获得权限外的信息），可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该 MAC地址的网卡，进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。4. 抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Floo

3、d攻击；ICMP Flood攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP 攻击；TCP 端口扫描；UDP 端口扫描； 松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FIN 攻击；无确认 FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；tear drop攻击。【小组分工】组长：IP: 00管理员:IP: 策略官理员+日志审计员:IP: 日志审计员:IP: 策略管理员:

4、IP: 配置管理员【实验设备】PC五台防火墙1台（RG-Wall60每实验台一组）跳线一条【实验拓扑】【实验结果】1.管理员主机对管理员主机的IP进行更改，改为 00图一 管理员主机IP配置用超级中端重启防火墙（目的是清空防火墙以前的配置）文件Q 编tfi密 SEGO 呼則©茜送帮勛凶firewall login: adminPassword:RG-WOLL 60 version:3Build time: Mon Nov 20 18:28:4 CST 2006firewall>syscfg resetPlease reb

5、ooi ysteinfirewall>rebootThe system is going doun NOW ? ?Sending SIGTERH to all processes.Chi Id (261) terminated.Sending SIGKILL to all processes.Please stand by whi1a reboo!ing the system.Restarting system.Ethernet ethl： HOC address 00:00:89:38:50:02IP: 10.9,9,1/255.255,255,0. Gateway: 10,9.9.1

6、Default server: 10.9.9 105 DNS seruer IP: 0.00.0EM-434 Ver.fiB0 2006-02-06 (For Ver.AB)己连按1 I3：O1自励检测 9600 6-K-lBIW图二超级终端管理员为局域网内的其他主机添加管理员账号，添加后如下图3B彌&宜理员+日志审计员37日志审计岗36輩咯管理员39目己5E昔理商图三管理员账号添加管理主机，添加完后如下图:图四管理主机管理主机对防火墙的 后如下图：LAN 口进行相关配置，内网网关的借口IP为52，添加苗5配誉工:管难主机璽中管理序号営总主机wIT2J&.S

7、 IITZdSi.S 2IT2.1B S 339舅3T图五添加LAN 口2. 配置NAPT1）定义内网对象，打开 内网定义一一地址，然后是地址列表，点击添加，添加完成后，点击确定，如下图：图六配置内网对象2）防火墙NET规则配置，进入 安全策略一一安全规则，点击NAT规则，做如下图配置，完成后确定：图七 NET规则配置3）完成以上所有配置后，有组内其他PC机对配置进行验证，随便选中内网的一台 PC机ping外网服务器00，结果是可以ping通的，如下图：图八内网Ping外网外网PC机Ping内网的一台PC机，结果是ping不通的，结果如下图:图九外网ping内网原因：有

8、图六可知，我们设置了内网对象，IP的网段为0只有处于这个网段的PC机才能够通过防火墙连通外网PC机。而外网PC机因为不是处于这个网段中，所以会被防火墙过滤掉，是ping不同内网PC机的。3.防火墙地址绑定功能设置1）进入 安全策略一一地址绑定，配置完成后，点击确定 如下图：妥全寮昭理址梆足料口启用工打聲疋st认離略张工世许 禁止图一 IP/MAC绑定（唯一性检查）3）实验结果验证绑定成功后，对实验结果进行验证。首先，将原IP地址为的主机IP设置为1，作ping测试是否能连通。如下图:Internet协该(TCP/IP)屋性辽|区图十二

9、原内网 PC机IP图十三改后然后用这台内网 PC机ping外网主机，是ping不同的，结果如下图:命令提示符PingingBequest Request Bequest Rgquestt ined t ined t ined t inedC:Docunents and tingsAdninistrator>ping 192-168.10-200192 «168 10,20(1 with 32 btes of data ：C:Docunents and SettingsNAduiinistrator>Ping statistics for 00：Pa

10、ckets = Sent: 4鼻 Recglued 0V Lost 4 C10Z 丄曲占静111 in inurh = Ims, naximum = Ims, Auepageout. out« O Lit out -图十四不通其次，将内网的另一台主机的IP地址设为,做ping测试是否连通。如下图:图十五该主机原IP图十六改为被绑定的主机IP用该内网主机ping外网主机，结果是 ping不同的，如下图:图十七 ping不通0 抗TCP无标记攻击回折圣诞树攻击回 抗SYN ». FIN位设置攻击0抗无确认MN攻击抗廿妥全选项收击抗H记录路由取击抗：CF硫攻击

11、抗店吋间戳攻击抗Lfcftd攻击抗攻击原因：因为在上面用防火墙安全策略的地址绑定，在我们的这个实验中，我们选定了IP为的一台内网PC机做了 IP/MAC的地址绑定。绑定成功后，该 PC机便对应 一个固定的MAC地址，当该PC机的IP更改后(如图十二和图十三)，由该PC机向外网PC机发送数据包时，防火墙对这时的IP和MAC进行检测，发现不一致，将不予通过。同样的，用组内的另一台IP为改为，是被绑定的PC机(如图十五和图十六)，也是因为 MAC不匹配，ping不通。4.防火墙抗攻击设置进入安全策略一一抗攻击，只设置LA

12、N 口的抗攻击策略，如下图:3 https:/192. 16S. 10. 10U:G66fi 网口丄翻抗攻西垠蛋 licrosoftInternet Explorer .'1抗陵击设養启用抗攻击0抗SIH Fl加瞰击I赳速率阀值：200牛包/和I； 1-69535 )抗 UMP Flood击'ICMPSil 阀直 1000 T包电' (1-65535 )r送抗 Ping： of Death 攻击1回jM0 宇节1-8553E )抗VEF nooi攻击1TOF包速率阀值：1000牛包励(1-65535 )_ 抗 PING SWEETS击I毎竺呈秒1叶不同：P的IO1F包(

13、1-65535 )抗TCF端口扫描'110呈利同一TP的1(1个不同靖口的TCP赳(1-6SS35 )抗IfflF肃口扫描毎1Q宅秒同一啲10平不同端的UBF包(1-W535 )抗世誌濂&由取击抗严格蹄由取击二| 抗 TinJiid!* 取击二|抗«urf攻击诵走全选取消图十八抗攻击设置 实验结果的测试：首先，选定一台内网的PC机，向外网的PC机发送长度为800字节的报文，命令为ping-I 800 00 ,可以发送成功，实验结果如下图：图十九发送成功其次，用该PC机再次向外网的 PC机发送长度为801字节的报文，命令为 ping -I 801

14、 00，是发送不成功的，实验结果如下图：G： Document窖 and Se 11 Ingrs XAdmiin Ist vator>pin-1 801 192.168.10U200Pinging 00 with 801 bytes of data-Recjiiest timed out BBequest timed out.Bequest timed out.Bequest timed outBPing statistics for 00=Packets- Sent - 4, Receiued = 0, Lost = 4loss>,图二十发送失败原因：由上图可看到，在防火墙的安全策略，抗攻击设置中，对于ICMP包的长度设置已经设置了 800字节，也就是说，对于包长度大于800字节的数据包，防火墙会自行过滤掉， 使其无法通过。而实验图一和图十二可以看出，对于800字节的ICMP包，能够与外网ping通，而对于801字节的ICMP包则不能ping通。5.总结以上便是关于防火墙所做的一些实验内容，所谓防火墙，便是位于两个（或多个）网络间,实施访问控制策略的一个或一组组件集合。对于防火墙的功能：1） 包过滤功能主要包括针对网络服务的过滤以及针对数据包本身的过滤。2）代理