精品资料（2021-2022年收藏）云南大学软件学院信息安全工程实验6精讲

1、云南大学软件学院实 验 报 告课程： 信息安全工程实验 任课教师： 林英 姓名： 学号： 专业： 成绩：实验6.防火墙实验一、 实验目的：通过实验理解入防火墙的功能和工作原理，学习NAT转换原理，熟悉NAT在一般网络环境中的应用、Linux系统中iptables防火墙以及Windows防火墙的配置和使用。二、 实验原理NAT转换实验：网络地址转换(NAT，Network Address Translation)是Internet工程任务组(IETF，Internet Engineering Task Force)的一个标准，是把内部私有IP地址转换成合法网络IP地址的技术，允许一个整体机构以一

2、个公用IP地址出现在Internet上。IPtables防火墙配置实验：IPtables是复杂的，它集成到linux内核中。用户通过IPtables，可以对进出你的计算机的数据包进行过滤。通过IPtables命令设置你的规则，来把守你的计算机网络哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录(log)。Windows防火墙实验：Windows防火墙是一个基于主机的状态防火墙，它丢弃所有未请求的传入流量，即那些既没有对应于为响应计算机的某个请求而发送的流量(请求的流量)，也没有对应于已指定为允许的未请求的流量(异常流量)。Windows防火墙提供某种程度的保护，避免那些依赖未请求的传入流

3、量来攻击网络上的计算机的恶意用户和程序。三、 实验步骤NAT转换实验一、 连接防火墙服务器，开始实验启动实验客户端，选择“防火墙”中的“NAT转换实验”，点击“连接”。连接成功后，会提示连接成功，主界面会显示连接IP信息及防火墙规则操作画面。二、 添加静态路由打开本地主机cmd命令行，输入route add mask ，添加路由。三、 验证网络连通性输入ping 6，如图所示。四、 编写目的NAT规则点击“添加”，填写如图所示的规则。五、 验证目的NAT实验结果目的地址为7的数据包被NAT

4、为6，Ping该目的地址，成功后如图所示。六、 编写源NAT规则首先访问 6/showip.asp，并记录页面中显示的信息。实验实施界面中点击“添加”，添加如图所示的防火墙规则。七、 验证源NAT实验结果再次访问 6/showip.asp 。对比前面访问时页面的显示，源地址被转换成，结果如图所示，从而实现隐藏源地址的作用。IPtables防火墙配置打开Linux实验台，进入Linux系统，启动ftp服务。(1) 通过IE访问FTP服务器，服务器可访问时如Error! Reference so

5、urce not found.所示。(2) 设置防火墙规则如Error! Reference source not found.所示为防火墙设置默认规则，即先清空所有规则，再将OUTPUT链设置为默认丢弃。此时不能访问FTP，如Error! Reference source not found.所示。再针对 FTP服务进行放行，添加防火墙规则如图所示。其中，如Error! Reference source not found.所示的命令将FTP控制端口放行；如Error! Reference source not found.所示的命令将FTP的数据端口放行。(3) 实验结果如Error! R

6、eference source not found.所示。Windows防火墙配置(1) 启动Windows实验台，进入Windows 2003系统，开启Windows防火墙。(2) 本地主机连接Windows实验台系统的FTP服务器，连接结果如图所示。(3) 设置开启FTP服务在Windows实验台系统中，点击防火墙的“高级”选项。选择“本地连接”，然后点击“设置”。勾选其中的“FTP服务器”选项，弹出如图所示的对话框，输入Windows实验台自身的IP地址或计算机名称，点击“确定”。(4) 查看添加结果本地主机重新访问FTP服务器，成功。四、 回答问题：1) 什么情况可以使用NAT，如何设

7、计，有何优点NAT常用于下述情形：  1.没有足够的公网IP连接到Internet 2.当更换ISP需要重新编址  3.合并两个使用重叠地址空间的内部网络  4.使用单个IP地址支持基本的负载分担  优点：  1.节省了公网IP地址  2.能够处理编址方案重叠的情况  3.网络发生改变时不需要重新编址  4.隐藏了真正的IP地址  缺点：  1.NAT引起数据交互的延迟 

8、60;2.导致无法进行端到端的IP跟踪  3.某些应用程序不支持NAT  4.需要消耗额外的CPU和内存2) 防火墙的局限性防火墙十大局限性:   一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。   二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁 都不可信，但绝大多数单位因为不方便，不要求防火墙防内。   三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策

9、0;略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。   四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必 须存在于一个安全的地方。   五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络 协议，防火墙不能防止利用该协议中的缺陷进行的攻击。   六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对 该服务器的漏洞进行攻击，防火墙不能防止。  

10、60;七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使 集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的 主机上并被执行时，可能会发生数据驱动式的攻击。 9、 防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能 为力的。 十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还 没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。3) 防火墙与入侵检测的区别与联系 防火墙和入侵检测系统的

11、区别:1.概念1)防火墙：防火墙是设置在被保护网络（本地网络）和外部网络（主要是Internet）之间的一道防御系统，以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽内部的信息、结构和运行状态，以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。2)入侵检测系统：IDS是对入侵行为的发觉，通过从计算机网络或计算机的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3)总结：从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御，IDS则是主动出击寻找潜在的攻击者；防火墙相当于一个机构的门

12、卫，收到各种限制和区域的影响，即凡是防火墙允许的行为都是合法的，而IDS则相当于巡逻兵，不受范围和限制的约束，这也造成了ISO存在误报和漏报的情况出现。2.功能防火墙的主要功能：1)过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。2)控制对特殊站点的访问：防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分则被保护起来。3)作为网络安全的集中监视点：防火墙可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。入侵检测系统的主要任务：1)监视、分析用户及系统活动2)对异常行为模式进行统计分析，发行入侵行为规律3)检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞4)能够实时对检测到的入侵行为进行响应5)评估系统关键资源和数据文件的完整性6)操作系统的审计跟踪管理，并识别用户违反安全策略的行为总结：防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS则进行实时的检测，发现入侵行为即可做出反应