信息安全实验报告

1、抑我蹴展2趋实验报告（ 2 0 1 /2 0 1 学年第学期）课程名称信息安全技术实验名称 防火墙和安全IP实验实验时间年 月 日指导单位指导教师实验报告实验名称防火墙和安全IP实验指导教师沈苏彬、王光辉实验类型上机实验学时8实验时间2015-10-21/22/29一、实验目的和要求（1）理解防火墙技术和安全IP技术的原理（2）掌握个人电脑的防火墙、安全IP的配置方法。（3）完成防火墙的配置和测试、安全IP的配置和测试、以及基于报文嗅探软件 的测试。要求独立完成实验方案的设计、配置和测试；要求 独立完成实验报告的编写。二、实验环境（实验设备）硬件：微机软件：嗅探软件 Wireshark , W

2、indows系统二、实验原埋及内容实验1:安全IP实验。两个同学为一组进行试验；如果没有找到合作进行实验 的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。1.1 实验和测试在没有安全IP保护的网络环5的网络安全危险：实验和测试在 没有安全保护的情况卜，通过嗅探报文可以看到在同一个网段内传送的所有IP报文以及这些IP报文包括的内容，例如可以通过 Ping另一台电脑，通过嗅探软件，测试是否 能够分析出Ping报文。1.2 配置和测试安全IP:在两台电脑上配置安全IP策略，选择安全关联建立的 方法（例如：米用基于共享密钥的安全关联建立方式） ，通过嗅探软件，观察和分析安 全IP的

3、安全关联建立过程，以及嗅探软件可以窥探到安全 IP报文的哪些内容。1.3 通过嗅探软件，对照安全IP的原理，观察和分析安全IP的特性，例如观察 安全IP的面向连接特性等。实验2:防火墙实验。两个同学为一组进行试验；如果没有找到合作进行实验的 同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。2.1 通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台 联网电脑访问设置防火墙电脑的限制，以及设置防火墙电脑对某台联网电脑访问限制， 并且通过相关网络应用（例如 Ping）,测试防火墙的作用。2.2 通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类

4、应用（例如基于 ICMPv4的Ping）访问设置防火墙电脑的限制，以及设置防火墙电脑对 某类应用（例如基于 ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火 墙的作用。2.3 配置和验证自己认为具有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。2.4 罗列以上防火墙配置对应的访问控制列表。实验报告实验1安全IP实验1 .安全IP的配置步骤(1) 从系统控制面板出发，打开系统与安全功能，打开管理工具选项，找到本地安全策略。 _ 二苣*砧艇段及p W9XIIidiri sKvi TJKt> wmiwi工打产总工邑总»2J Elffl0曰立小建iSCSI

5、 2:£起配序JW9P/14 12：542 K6豌! Windows- PowerShdl Modules20M/7/14.1 羌坡Saffizt3 KB用而近!后 Winders内声讲tti就砌7714 12:%品会第注IE哀IQ丽a 17;制笠式2 KBi而> IJttilK2015加 2 17;的STEt2 4B2 E<E&OT 门口 4 12：5420M/7/14 12:54 2003/7/14 L2：M20OT.W14 12：5d 2009/7/14 12:狎 2009/7/14 12:5320OT/?/l< 12；53 2009/7/14 12:

6、572XE2 KE2 KB2 KB2 KE2 KB2 KB点开本地安全策略，找到本地电脑IP策略。新建IP安全策略，描述中填写“IPSec学习练习”，点击下一步，进入配ip安全笠略向身Word资料若要关间此向肾，语单击“亮底”。正在完成ip安全策略向导您已成功地完阂旨定螭诩IF安全第畴的国性立需即舞爵 更岸景% 选中u硒闺住“真步编辑用性了)取消上一步®(3)创建IP安全规则，点击增加，进入IP安全规则创建过程；选择“此规则不指 定隧道”，即选用传输模式IPSec,选中后单击“下一步”按钮；选择“所有网络连接” 单击“下一步”按钮，进入配置IP过滤器列表阶段。(4) IP过滤器列表配

7、置。点击新增按钮，新建IP过滤器列表，进行过滤器列表配置； 点击新增，进行IP过滤器配置，点击下一步；描述内容”与同组主机进行安全的icmp通信”；源地址选择“我的IP地址”；目的地址选择“一个特定的IP地址”，填写另一台主 机的IP地址，；选择“ICMP协议类型，单击“下一步”按钮。单击“完成”按钮，完成IP过滤器配置。1日为卜：:，事户网草p鸟碣去M蔺闻f陇刈I二闰.乱圣旧加 芸物st*r- J .Z.fflli .TBWSB 量-去望曰.注:t-tn口 二 KIGT1EBEEI卷限贴！BiF安卦PBww 1M 1B F至婀g中选上:油iML? JME1司、事与I冏snE&iEJt

8、K?CcM j 码用科瓯(5)过滤器行为配置。根据上图所示，选择新增的过滤器列表，点击下一步，进入过滤器行为配置阶段。点击新增，进行过滤器行为配置。行为命名为“安全的ICMPffi信”;“筛选器操作常规选项”中选中“协商安全”，单击“下一步”按钮；选中“不与不支持 IPSec的计算机通信”，单击“下一步”按钮；在“IP通信安全措施”中，选择“完整性 和加密”，单击“下一步”按钮；最后单击“完成”；(6) “身份验证方法”界面。选中“使用此字符串保护密钥交换(预共享密钥)”，填写共享密钥“ lin ”(主机A、主机B的共享密钥必须一致)，单击“下一步”按钮，直至最 终完成。(注意：应用策略之前必

9、须指派策略，否则策略不会自动生效。右键点击“ IP安 全策略”，选择“指派assign ”使策略生效。)IP0"学习练习属性|一丁|同|提则常期耳：当和其他计苴机通讯的安全规则IF安全规则CO：添加皿：蹒旧| |删除|颦衿向确定n Issr 1口丽而(7)完成IPSec配置2.测试结果与分析使用wireshark抓去ping的数据包的报文通常有其固定的格式：报文长度(98bytes)=以太网头(14bytes) +IP 头(20bytes ) +ICMP艮文(64bytes)其中，以太网头(14bytes)二目的MAC(6bytes ) +源MAC(6bytes) +以太网类型080

10、0 (2bytes )我们以(a)策略为例进行分析：(a)主机A不指派策略，主机B不指派策略。主机A在“cmd'控制台中，输入如下命令：ping主机B的IP ping操作反馈信息与报文嗅探软件给出的结果：:xUsersXRdninistratorJpinff 10-20.794-1±e三-五三匚-二EfcEFEKPing 9310.20.79,193 的10.20-79.193 明10-20,79-193 的93 的具有32字节的数据，0-R :拜a用间 _81 1L Kii c Fl Hl r-I I二32=32二子-=32时间lin

11、s<lni；=1 msTTL=12STTL=12BTTL=12BTTL=1283 4.q 0 .1包的- s；数存瓯 北返 0 E失 丢k 0 C 0- 生 丢僦 04,-(.pturirq frc+ri TlWi ?内办小rk L3Z-4 'yL：4.4 D-5b4BiiLi T-sm rrunlvr l.UII QdE Xkm Qp £ip!ua -liknTtphF 11mli，加3口* 口碑安 广 后募胃、*中吞鼻(BWl 3,Q值已一回KRhp： ifuht >> 过世世国4 ExpinHr. dr，pu： Ee1lifmIuumUM2-3 mJ.

12、4171ZlQ.arT9C!H UjMW 1125. dlUA 10. J£i.?f inOfll-A U25.91M9 ID. ZD.内/嘲了 130434 UZS. =81957 IQ. 20. ?9窕 rumHanuimHisKin1mM339AL4 1443. H54310. 20. rs.iSE 353 日;U10.JO.lld5. 47010 ID. .30. 73.1g73Jd>5M 1-M0. 6ZJ701必 2必？9； 1921«1. IZta J 1. jq-3MTN llfg#4TlQTQ,呻-1可73JdflJ2 l«33i Se(H

13、7 1O.JOl7Su1S2;DMEMiiunkouKC"! L*»g4i 加、1D.2D.79.1S3TC*<2 5.?011-ld5 SmJ盟(.<n-a wSS-HW REe1lD.20.7i.lilTCPM Mtn J* «K.j Mi4»l .«A：k-l wlI+2 如 NXd1D.2D.TD. IQ中。IOS y«<rt i ata Pratac-ol Antf-aitID. 20.79.193：UI-erup 田上净1匕er. aronyw%lD.7D.Tfl. 1«TCNP74 Echo

14、ping) r«ply 1-d-DaaDOl,trwjuiiiFI 1113714)ID. 20.79.191icwr?a echo p-ing) rtpi单iObijooi, 5处£门 12 cti-lZB rtquwc in 3333inKHP?4 ehfil *H) TQW£*门U*. CT1-126 (f-t4uKC1 刊iQ.2g.7g. miT£MPn iEcha (pring) r«ply idUlriOIKa, 9Bq-iAQM. tflT*in iaaQ3fl93：icmf?e Echoping) rtqu

15、esc l«o-i3&La s«pl.'13&口加17 1n M般6*TID. 2d. -'9. 19ichp?4到gj r<quE l+uijaim, 士冲£41。Etl -ije 14口1 第 1而 Ji*.p4d>IQ, HQ,才Q, IQKHP?J Echn tp1m：i r-qunc IdOvGDOI ,才*7门。1Ttply -InIDiZDiTSilSi)：icwp?fi Cho pring) rtqgt3«K»'10fai TC1-1J4 bvlyTn 3 3433) Frua

16、i 13GO73: 42 bytn oil 1 r« b I El.( 02 bLaa c4.irad (4X bl 父 InK-irf O Erlrrer 13. Src； E I iTBFnjS ：CC ：fB Cei：r3B.rt!b-5e-izr-ie5)i OSH El1i：-fqro_a|.：Cf： 35 CC；Bl；g；U；M；均 !工屯屯rM Pr.MMal4. ETC： 1S.M.75.1S2 q。血门，Mt. 1O.K.7&,1&3 Oj.JQ.JO.lift?)Trjji3Hl3xl«n Control PraltKah Efe iPw

17、rt:凸 TNBj. h Part: M3(H-4 !), Siq:弧 L-n二 dSwte Hri;*供。t*M的 M5T1MJC1041 PCiFT! 4*5 (+41> £tre«n -irviva: IdA TtFLE；。¥4A4u电便* ruito«f_ 白 (r-filnfvifc 工 AEbrKNlBrigwrR rurtMr: verier Lcr«gch； 24 toytts国mfl 加3 an口 - Fl . UUKIi! ：；&YH；I bn ndrw »*!< vjiIub : IlfG!c

18、iRMlaccxf ¥ln*b« ;1M；才1921柏: 口位3cb vAl-idAl!Wjurrrt pqlntfr ：。 opt sans： (8 即es pudHiwf serpent ifze. *> optr-ulon (iwr)s 内口 npcrn+M mo-f) , s«k pervlic&d由ping的结果可以看出两台主机连接通道良好，没有丢包现象，可以进行后续分析如上图报文结果所示。其中：以太网头为：eca86ba8cce8eca86ba8ce390800IP 头：4500003c11a10000800100000a144fc10a

19、144fc0IMCP艮文：08004d5a000100016162636465666768696a6b6c6d6e6f7071727374757677616263646566676869按照相同的分析方法，我们可以一次分析以下几种情况：(b)主机A指派策略，主机B不指派策略。主机A在“cmd'控制台中，输入如下命令：ping主机B的IP ping操作反馈信息与报文嗅探软件给出的结果：MisersistratcF>ping 10.2W.?5 .193SI 0 0 0 0 p超超超超 至*於.、三之 王 PVWI VIAr ±8ss_ra具有33字节的数据:0.20.79.

20、193 的 Pins 统计信息:数据包：已发送=4,已曩收=目，丢失=4 <100z丢失>.H 二ptiri'q fr«Ti叫&tiharfc L1 露I 归口工也e mnHrr.LZIIta 皿£mr 口 p SIm Jvn 1LM*311a fn* H*o a M 2 * + 4 T A 画 73 R 匚风匚 U Wr iiF%：g小血20iM.L94» Ejrp>niM3r-. CIm*力 IwrNoInnfCUIE4D»aiiuiiariL*卧kiio1LW2-5 U2S.4171Z1Q. 2QrT9.19

21、63;91TC*17Qd4-dd5 (5«| MN miss itn-fl- BRSS-1J.W11ME7 1125,d12 tL7SL1SI1TCP3tynACk-1 Vln-442«0 LAiVtiUGflM 1125. Il HQ 1. ZD. 71.1?ia.3D.7a. mi*&109Ut9at 1 via Pratoc-alM聃，工tman uzs. sust io. 20. ?s.i92ID. 30.79.191111msj*w setup andc士聃史文，WBr; ar<MV«W311CI.1: 2 1LF*.

22、d匚制 LIJ. 20. -.1. L'J.!：. Jl'. H. 1,1：TCP士二34，1：m, ACK1z：dUTWI 3U7.-K344 LQ. 30. N. LQ7ID. JD.7Q. laiT£MP7Ttping)r*plyFfn.EHWl,ttl-l7K (r«qu«->i: in 311"4-&>313014 U43. 11W3 IQ. 20. 79.1921(93ic*r?iEtho而喻r<fllySMHZ.'HJ. TTl-lZEin 33331?35孑石¥

23、4 1M>4.111. 20.iu.上b.N. 1"KMPGCtKiFtplp工许区町 CT1-I2fi (f-tquKC Innijqf rid，. 17OID la. jo. rq. iq?1D.7D.7Q. 1.91T£NP71Echflping)r*F】T1 出口 0l»l ,trlwlM (rvqu»t in 13397433d6&f 1M0, 92S70 ID. 20.叫歌1Di2D.79.19icwrEcho断而rtquwt1O0bXMK>ls3MM'-J56. CT1-12E rrtply In 33*6S7J

24、J54.NJ 1M1. IZba J Itl. JU.lD.2D.flil. 191-KHP也GClM1到r<4utlE1+口工皿巴，计ET1-12E Cr-iply Irt 5H也 JjUT|» U?. SI7MT IQ.风 风 iq?ig.7Q;79, miKMP74Eclw(pinU：ir-rquME1i&UmJDQl.冲普7。，ttl-17¥ Cr*ply 1n3052 1331971(!. 3Ci.”馨1C1.20.7S.101It HF川mho旧国rawest与一凡。加.噌口lyTn睛&箱MJinr? TO4E. gjB-M in. jo.

25、1D.2D.TD. 191KMP74G£hA时r«4iwfaEl-d-DaJODDl,lOq-li.-im, Itl-12-l- g r*£puit« Fuixd!)* 5759 ?&以 554 LU. ?Q- r919Zla. IQ. 79.193TCWP741R町FMWTIMJrQOQl.tcl-lf-l Ee rtspcwijt +n皿 i)M5629 Wja.47Uaia.20.7l9.192 M 3910 TOflJ. 4O3Q !. 2D.10.20. TS. 191 in.2D.xa. 191K3*P KNP7、 74uho Ech

26、o旧皿 (png)rtquMC rqu»t1+0 MMK% I*口MD00.,5«71,17S2, icl-ifl (m f*的ins* faixrf!) ictqaB.-ZEH-S, Ltl*134 tna rcpuim. Fairri!)* FtflaA 11001： 42 eyt-M 4na-1 Elj., B3 cdirad (4,GQ &l j onG Erherri： 13, Src; El itbk/H熊匚：*HsKEbF酎E"E，055' til 5-eqrcual.： ct-： 3S ec;吩工位电rmr pcmoccH *蟆51

27、5 4. etc: i-D.K).7&. 1S2 <10.20.Mt . 1O.K.7S.1S3 Cifi.2Q. 79.iflJ)g iTrnsnl aslcn Central Pr-Q<Dal , Src fwt:i；JTD4aJ _ g 皂 Port: 44A (4-4 9), Saq: % Lbhl OSwce Ptri; 蛹 ROWD45Tlnac1on pen: 4*& (+45) Stravi inivt: ld!b WLE 0lSAQuAfKA。 (r-klafCfvifi:工笛 115：命仆口膏)AdrrwIadgnrK3 mar: wexler

28、Lgg 24 6yi«m ndw iktiw yjiIub : IlfQ! cilCMlace4 wlndovi sin;才 192 & clksud： onfeiLbdliblodyr*94*Tt pQnt-tr ： 0n opeia>n5i (fl byres). laaiMlmBsfzt. w opcr-ulw Ciwr> no npcrKfiMi fwp). skk pervlxcid(MXKItcjA«b.aflce39«u9Ebgu&妙M-5M匕.虫.匕.LGOLG0030«052dQQ444M00011A&

29、;TcOOali,4”.G020arclded6(Mbd<b5216M00MGO70KOs . B. .», p»OOM 国 04 H3 铀 00 M 呢伊 05 b4 01 01 0J. K. a.愣 寒，. dha 03山电力 prxki?- fit. PKtap *551* 6诲"? £q4*H在A指派，B不指派的情况下，我们可以发现在 ping的结果中发送的报文为4,接受 为0。在wireshark的报文接收界面中，按照上述分析， A主机无法ping到B主机。上述报 文中恰巧反映这点。(c)主机A指派策略，主机B指派策略。主机A在“cmd&

30、#39;控制台中，输入如下命令：ping主机B的IPping操作反馈信息与报文嗅探软件给出的结果：C： MJsers Jldmin i5trator>pin« 92"lk=mm = h 三正来来来来Ping 10.20.79 10.20.?9.192 10-20-79.192 10-20.79.192 10-20-79-19232节节节节 有4±i±于 具wiioikw:s S 5 S 居 m m m m si 1 1 1 = "17771 mtrTTTn m、 丁J.,J.r-1 -"D二 J 一-二 L,

31、二 L,二 JhL 2 2 2 2 3 3 3 3ITL=128TTL=128TTL=128TTL=12810.20.79A92的Ping统计信息.毅堀食二弓爰送、与,响攵一%丢失=0 <0z丢失)， 使返行超的估计向即以量秒为显生二取起 =1ns,取长 =ln=,平均 =1nsC： xUcei'G xfldmin istrator>oB .d . . . . k .LG i: Globally uni t|u«fikadr£!ss craccory oerjiu it .工。bit: individualfwrkast)Type; ip <QxQ

32、WQ)E XHternet protocol version 4 . sre: 92 (10.20, S.192) B osi: 10.20.79,193 (931m Encap与IE 匕电tu广Ity payloadESP SPI： QKbbl"4的(Ji 3«74 5M1JESP： 7oooo001000200030DQ40LG bit: Globally unique address (factory default) IG bit: individual address (unicast)Types IP (OxOSOO)比 i

33、nter net protocol version 4, src: 10u2Qa 79.192 (10. 2Q.79.192)., dst : 10. 20. 79B193 (10.20. 79*193) S Encapsulating security PayloadESP SPI； 0xbbl574d9 (313&745561)esp sequence： 70000 ec a8 6b a8 口e739 ec aS0010 00 CO 6b 56 00 00 BO 320030 06 75 cf 62 b6 fc 3d 5f 0040 bd 2d 2b 02 b2 db 71 oc

34、0050 fe c8 cd 67 朋 56 2f 720060 32 Da Qb da f6 fb a4 996b a8 e8 lb 6d Da 14 00 07 48 57 bO fd 32 70 62 fc 2a. 96 05 de b9 fe 66 ec 9b 67OS 00 45 00 4f co oa 14 25 g& 巾?3 aS 36 61 26 bf c8 2d 77 火 4b 2f a6eg 39在A主机和B主机都指派的情况下，A主机成功发送和接受了数据包，因此连接稳定 无问题。再次基础上我们对接受的数据包进行分析。I、ESP（Encapsulating Securi

35、ty Payload）协议分析分析析源地址为主机 A的IP、目的地址为主机B的IP的数据包信息；根据ESP报文 格式，对数据进行分析与安全参数索引 SPIo （按照链路层报头（默认14字节）一网络层 报头（本实验中为20字节）一 ESP报头的顺序解析数据。）07 815 1623 2431 比特r安全参数索引母Pi）rI 顺序编号报体数据（可变K度）填充数据（B255字节）填充数据长度下个报体身份验证数据（可变长度）在该ESPB议下的报文中，安全参数索引 SPI为4个字节，即“ bb 15 74 d9 ”。通过 这个SPI发送给对方的时候，对方只需要查看 SAD吸据库中的SPI来匹配，然后通过

36、该 SPI下的加密参数和策略来进行解密。II、AH（Authentication Header）协议分析主机A、B同时进行如下操作，修改“ ICMP安全通信策略”，利用AH协议对数据源进行身份验证，而不对传输数据进行加密处理，选择 MD5点击确定主机A对主机B进行ping操作，待操作完成，协议分析器停止捕获数据包。切换至 ”协议解析视图”，观察十六过制显示区数据，按照链路层报头（默认 14字节）一网络层 报头（本实验中为20字节）一 AH报头的顺序解析数据。C： MJsers SAdnin 1st ratoi*>Lnns 10.20*79.193-三一三三七 正来来夭来Ping 10.2

37、0.79 93 10-20.79.193 10,20,79.193 10.20.79,193士勺勺勺， A -14二-rL . msss 居 4 mmm 5 1 1 1 力.''.一 = 一 - 4-p- 3 Hfl jhL 2 2 2 2 ITT 3 3 3 3= = 32节节节节 1±±i子ITL-128TTL=128TTL-128TTL=12810.20.7*.193 的统计信退、：丢失14ms=04配主失，返露熟髓靛遑词翘尾 题短-lmst题长-54mst平均E Frane 4 34 579： 96 bytes an wire (

38、7fi4 bits)t 98 bytes captured (7fi4 biits) on interface 0ffi Ethernet II. Src: Elitegrci!_aS:cc:e8 (ec:a8:6b:a8:cc:e8) P Ost: Elitegro_a8:ce:39 (ec:a8.：6b:a8:ce:39) Hi internet Protocol version 4 . src: 10.20» 79-192 C10. 20.79.192) B Dsti 10. 20.79.193 (93)Auth&nt 1 cation Header

39、ffi Internet Carrtrol Message Protocol00000010002000300040 DO SO Q060b 46 6fl d 6 0 66g 2 百石a -1 6 61 e 7 665 1 6 6一 kr .9 一jj wopqrstuv hi在此情况中，我们探讨在AH协议下的数据处理分析思路。如上图所示，蓝色面积即为AH报文，其他内容和上述结论一致。15 1631比特下个报头报体长度预留安全参数索引他pn顺序线号身份验证数据（长冏可莹）上图为AH报文的构成方式。其中“下一个报头”为“ 01”。报体长度为 “04”。预留是“ 00 00”。安全参数索引 SPI

40、为“47 38 b3 d3 ”。顺序编号为 “00 00 00 05 "。剩下字段为身份验证数据和填充 数据。实验2防火墙实验设置防火墙的入站和出站规则，可以实现阻挡或者允许特定程序或者端口进行连接。在windows防火墙高级设置中可以完成相应的设置。在该实验中，本机（A机）IP地址为28，同学电脑（B机）IP为33毒蛆安殳Windows附文堪读哥第夏a JMfattQ网的文样豳作风 *91yi腑为币利H E东电计也上鸵将强美至 临n，Ai!出站视ill 诬推S咤痢h2.1 通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联

41、网电 脑访问设置防火墙电脑的限制，以及设置防火墙电脑对某台联网电脑访问限制，并且通过 相关网络应用（例如Ping）,测试防火墙的作用。在进行防火墙的相关设置之前，将 A机尝试ping B机，结果如图。:：Uindows Xs y后t日Aping 1。=2(LEG.133TTL128TTL=128TTL-128TTL=128:5 S 3 S据ImlnlnklR中 < < < < 场用用司用 h. ; I , 白 mJM时BB;122 2 2 3 3 3 3H =32节节节节 s s J号w复员 33回回回回 1勺勺勺勺 -&&&JB=£=

42、(=M =一 正来来未来0.20,66.133 的 Ping 统计信息二数据包工已就送=4.己拗攵 %丢失一5 丢失, 壬返行翟的彳古计俞小以毫秒势单位八瓯短 =目巾£ t 取长 0nc, 平均 =Ans可见，在进行防火墙出入站规则修改之前，两者可以联通。下面，进行防火墙出站规则的修改，大致的设置步骤整理如下:(1)点击“出站规则” -> “新建规则”-> “自定义”宜韩1启 盘作像I Miyi传助品*1力固后/ Kti'+sa古地计掉机上的昭史n Aiflfil!n出拈感机!v左昵殳规则?颗堇很年端就M向号秋则奖型选瑾后因的带犬?喊谓克外琴鼻：-昆席ra冰说相落

43、口£F际旧强利/并注博田拓值&作用国O /口期始制 E 更UP瑞口隹的蝌*圈壶文件。憾定义娘卜"言前到於父功代控制MNmr桃灶找隹到的顺h酉白宏真七】自定文如N*一;：匚 I 下一。t13 3H:：nrecii jr费西匚51应努JJiH(K£for Lenovo¥行i£C£l SEgiTCP DdtlI5C5I ®S<rCP-OutQLenovo(2)点击“作用域”，在远程IP地址中添加目标IP (),再确定.本1酬善机上需 g AWW k SfeJW 九九*皿虹7；S£4府摘i%5 面£

44、否舌*=. fl斯勺(3)点击“操作”，选择“阻止连接”选项页也n婿作曲些看mi宰即讣(1明曲怔1回国国 刘附寓观上明幽1H d9出用现院卸法至也配> « SM.响出语期的导Sft院在孰与飒中淀的条件相匹里时曼愿仃的势作,J &不二年隹惇在台1S是最件时区鼬行什也协作? 壮仔O比才冲抵的 协议侧口总部用H“u 蝴彦&，以覆未使用IF”现阐隹瘠中 作用慢心只炀出全连操皿«槽作身廨躺椅嚼®瘫帼钠洛例会中协，at置交件， .名祎颈用住连犊的缸& Kncp-out)港c舅赧弟寺悭会用苦ftiSCSI EWSCM就密眼务域JTC免0UJ 4地庄

45、 4 MLenow| * Lmavo酹书呈丸7t上一#旧 工一出1岁I 必(4)最后修改名称为“阻止连接”，点击完成听董立仁®T二触钢g?i+m机上玉31立3里 *c.人口通、Afcfel*皿新=±=刖内导1E国厮悖话厢£*野善棋稚n节用以*脸中件*筋FF aSFSfcSlC!rs£a±iAs同E十£S守£拜青晒万杵田哂中gw wo山韦计薛见叫0 a 史地触（5）配置完成后，在出站规则列表中的视图如下ar出rattr*本国 口A理:-1 ._折片_二EiLIQjq-K.133fE*f _任利a*i _J才 WKIM（6）最后

46、开后防火墙本地计算机上的局殷安全Windows防火建制性遭文件 专用配宜文件 公用配苴文件IP£，设置指定将计茸机连接至慎企业域时的行为呼状态一防火墙状态（EM自用（推荐）y入站连热（D：阻止现认值）出站连接受保护的网络连榜允许认值）7tirpipws：自定文©日志指定用于疑难解管的日志设置口自定义处.最后在本机对B机进行PING操作，结果如下:.，二 XWindowsXssFsten)32>ping 1 W,2W,66.13J9*»»#inSMlp故故故故-133且百32子下的.的据:0,20.66.133 的 Ping 统计信息：数据包：已发送

47、=%已接收=Bi丢失=4 "CI瞅丢失八可见，此时A机无法连接上B机。另外，在B机上Ping A机时，在B机上有如下结果:Xllindo wsXs16.243,66.12®二己白- '匚I目 三.自Ping 1M_20.bb 2B 28 28 10.20,66 A2832节节节节 (rHHx子2 2 2 23 3 3 3-一 =二二、二、二 L m -B nMUs据InTTL=128TTL=128TTL-126TTL=12866.128的Ping统计彳 据包:已发送=L已 程的估计俞丽以毫秒: 短=0ms,

48、最长=0ms4,丢失=0ns二国呢丢失九发现，此时B机可以访问A机，综合上两图，该结果符合实验预期接下来可以设置防火墙对于某类应用的限制。比如说将PING.exe设置静止访问，那么 应该可 以拒绝PING语句的作用。比如说如下图配置，将system32文件夹下面的 设置为阻止连接2.2 通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例 如基于ICMPv4的Ping）访问设置防火墙电脑的限制，以及设置防火墙电脑对某类应用（例 如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。在这部分实验中，我们尝试将PING.exe设置静止访问，即可以拒绝PING语句的作用。 按照类似实验2.1的配置，将system32文件夹下面的PING.EX改置为阻止连接。配置成功后的截图如下：斯建*站函他导程序节察：*也则*乎理芹-卓作-国E文件-翎融1M