实训4防火墙与网络隔离技术

4.1实训了解防火墙技术本节实训与思考的目的是：〔1)生疏防火墙技术的根本概念，了解防火墙技术的根本内容。(2〕通过因特网搜寻与扫瞄,了解网络环境中主流的防火墙技术网站，把握通过专业网站不断丰富防火墙技术最学问的学习方法，尝试通过专业网站的关心与支持来开展防火墙技术应用实践。〔3〕WindowsXP中配置简易防火墙(IP筛选器)，完成后，将能够在本机实现对IP站点、端口、DNS效劳屏蔽，实现防火墙功能。1工具/预备工作.需要预备一台运行WindowsXPProfessional并带有扫瞄器，能够访问因特网的计算机。2实训内容与步骤〔1)概念理解请通过查阅有关资料，尽量用自己的语言，简述防火墙的作用是什么？防火墙是网络安全的屏障.防火墙可以强化网络安全策略对网络存取和访问进展监控审计。防止内部信息的外泄。 依据防范的方式和侧重点的不同，防火墙技术可分成很多类型,但总体来讲还是二大类:分组过滤和应用代理。请分别简洁介绍这两种防火墙技术。2 信息安全技术分组过滤或包过滤技术：作用于网络层和传输层，通常安装在路由器上，对数据进展选择,它依据分组包头源地址、目的地址和端口号、协议类型等标志，确定是否允许数据包通过。只有满足过滤规律的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃.应用代理技术：通过对每种应用效劳编制特地的代理程序，实现监视和掌握应用层通信流的作用。请分别简洁介绍：什么是“胖”防火墙：“胖”防火墙在保证根本功能的前提下,不断扩展增值功能—-NAT、VPN、QoS“胖”Solution趋向于一种留意功能大而全的单一产品体系，力图将防火墙系统开发成为一个安全域的整体解决方案，它的优点在于可以满足用户绝大局部的网络安全需求。一般来说，大型用户安全需求广泛,专业性要求强，安全投入较,这种客户均倾向于使用独立的安全设备，并渴望发挥每种产品的最大效果。而安全厂商也尽力挖掘每种安全产品的最大功能,“瘦”防火墙也就经受了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的进展阶段。(2)Windows防火墙的应用Windows防火墙能做到和不能做到的功能状况请参见表4.1。表4.1 Windows防火墙的功能能做到： 不能做到：到达你的计算机。,以阻挡或取消阻挡某些连接恳求。〔安全日志)，

检测或制止计算机病毒和蠕虫〔假设它们已经在你的计算机上〕以防范病毒、蠕虫和其他安全威逼破坏你的计算机或使用你的计算机将病毒集中到其他计算机.阻挡你翻开带有危急附件的电子邮件。不要翻开来自不生疏的发件人的电子邮件附件。即使你知道并信任电子邮件的来源，,请在翻开附件前认真查看主题行。假设主题行比较杂乱或者你认为没有任何意义，那么请在翻开附件前向发件人确认。可用于记录对计算机的成功 圾邮件或未经恳求的电子邮件消灭在你的收件箱中。连接尝试和不成功的连接尝 不过，某些电子邮件程序可以帮助你做到这一点。试，可用作故障排解工具.第4章 防火墙与网络隔离技术 31〕翻开或关闭WindowsWindows防火墙，必需以治理员身份登录计算机，并按以下步骤执行：步骤1：在Windows的“开头”菜单中单击“掌握面板“命令，然后双击其中的“Windows防火墙”图标，翻开Windows4.6所示。图4.6 “Windows防火墙”对话框步骤2：在“常规”选项卡上，单击以下选项之一:①启用(推举〕：通常应当使用此设置。②关闭〔不推举〕：关闭Windows防火墙可能会使你的计算机以及网络更简洁受到病毒或未知入侵者的损坏。假设使用“高级”选项卡关闭一个或多个单个连接的Windows防火墙，那么Windows.规”选项卡中，Windows防火墙将照旧设置为“启用“。2)启用安全记录.Windows防火墙处于翻开状态时，在默认状况下并不启用安.而只有启用了Windows防火墙的连接才能使用日志记录功能。为启用安全记录选项,用户必需以治理员身份登录计算机，并执行以下操作：1:翻开“Windows防火墙”对话框，单击“高级“选项卡,4。7所示。步骤2：“对4.8所示。步骤3:单击下面的选项之一：①假设要启用对不成功的入站连接尝试的记录，请选中“记录被丢弃的数据包”复选框。4 信息安全技术②假设要启用对成功的出站连接的记录，请选中“记录成功的连接”复选框。步骤4：单击“确定”按钮，完成操作。图4。7 Windows防火墙的“高级”选项卡 图4.8 “日志设置“对话框3〕查看安全日志文件。为查看安全日志文件,请按以下步骤操作:1：Windows““置”按钮。步骤2：单击“另存为”按钮，在对话框中进展扫瞄查看。步骤3：右键单击pfirewall.log,然后在快捷菜单中单击“翻开”命令。pfirewall.log，其存放位置在Windows文件夹中。但必需选中“记录被丢弃的数据包”或“记录成功的连接”复选框，才能使pfirewall。log文件消灭在Windows文件夹中。假设超过了pfirewall。log可允许的最大大小〔4096KB〕，则日志文件中原有的信息将转移到一个文件中,并用文件名pfirewall。log.old进展保存。的信息将保〔名为pfirewall。log)中.请记录：上述各项操作能够顺当完成吗？假设不能，请分析缘由。能够顺当完成。第4章 防火墙与网络隔离技术 5〔3)简易防火墙设置下面,我们尝试在WindowsXPProfessional上学习设置简易的防火墙。1〕运行IP筛选器。为运行IP筛选器,请按以下步骤执行：1：WindowsXP的“开头”菜单中单击“运行”命令，在“运行”对话框的“翻开”文本框中输入mmc,单击“确定”按钮，屏幕显示“掌握台1”窗口，如4。9所示.其中包含了“掌握台根节点”窗口。图4.9 “掌握台1“窗口2：1”窗口的“文件”菜单中单击“添加/删除治理单元…”命令，消灭“添加/删除治理单元”对话框〔4.10〕.在其中选择“独立”选项卡。图4。10 “添加/删除治理单元“对话框 图4。11 “添加独立治理单元”对话框步骤3:,“6 信息安全技术加…“按钮,消灭“添加独立治理单元”对话框，见图4。11所示。请记录：在“可用的独立治理单元”栏中有哪些选项(请阅读相关的描述信息):a组件效劳b组策略对象编辑器c证书d性能日志和警报e文件夹f索引效劳g大事查看器h设备治理器i可移动存储治理j计算机治理k共享文件夹l效劳m磁盘碎片整理程序n磁盘治理o策略的结果集p本地拥护和组q安全配置和分析r安全摸板WMT掌握WEB地址的连接uSQLServer配置治理器Oracle治理对象SQL企业治理器Micrsoft元数据扫瞄器Internet协议安全性〔IPSec)治理步骤4：在“可用的独立治理单元”列表框中选择“IP安全策略治理”选项，单击“添加“按钮，显示“选择计算机”对话框，如图4。12所示.在其中选择“本地计算机”单项选择按钮,单击“完成“按钮，返回“添加独立治理单元”对话框.步骤5：单击“关闭“按钮，返回“添加/删除治理单元”对话框。请记录:此时，在“添加/删除治理单元“对话框下部的“描述“框中，显示的“IP安全策略”描述信息是:Internet协议安全性〔IPSec〕IPSec策略。第4章 防火墙与网络隔离技术 7步骤6：单击“确定“1“窗口,完成“IP安全策略，在本地计算机”的设置。添加IPIP〔192.168.14.1)进展筛选的IP筛选器表.图4.12 “选择计算机或域”对话框1：1”窗口的“掌握台根节点“窗口中，单击刚建立的“IP安全策略，在本地计算机”选项，右边框中消灭3个默认的安全规章,请分别记录其描述信息:①安全效劳器需要安全〕IP通讯总是使用Kerberos不允许与不被信任的客户端的担忧全通讯。②客户端〔仅响应〕：正常通讯(担忧全的〕。使用默认的响应规章与请示安③效劳器〔恳求安全〕：对全部IP通讯总是使用Kerberos信任恳求安全。允许与不响应请求的客户端的不安全通讯. 步骤2：选中左边的“IP,从快捷菜单8 信息安全技术IP筛选器表和筛选器操作“IP筛选器表和筛选器操作”4。13所示.3：在对话框中单击“添加”按钮，消灭“IP筛选器列表”对话框〔4。。在翻开的“IPIP称”为“屏蔽特定IP”，“描述”为“屏蔽192.168。14.1”,并取消选择“使用‘添加向导’“…(4.15〕可对“屏蔽特定IP”进展设置。步骤4：在“筛选器属性”对话框中选择“寻址”选项卡，在“源地址”和“目标地址”下拉列表框框中分别选择“我的IP地址”和“一个特定的IP地址“选项。中选IP地址“时,会消灭“IP地址“IP地址,如“192.168。14。1“.IP5种，简洁理解.图4.13 “治理IP筛选器表和筛选器操作”对话框第4章 防火墙与网络隔离技术 9图4.14 “IP筛选器列表“对话框默认状况下，“IP筛选器”的作用是单方面的,A，目标地址为B，则防火墙只对A→BB→A“复选框，则防火墙对A←→B的双向流量都进展处理(相当于一次添加了两条规章).步骤5：在“协议”选项卡中，可选择协议类型及设置IP协议端口。步骤6：在“描述“选项卡的“描述“文本框中，可输入描述文字,作为筛选器的具体描述.图4。15 “筛选器属性”对话框7：然后，单击“确定“按钮，返回“IP筛选器列表”对话框，再单击“确定按钮，返回“治理IP筛选器表和筛选器操作”对话框IIP筛选器列表“中。10 信息安全技术步骤8：单击“关闭”按钮,完本钱次操作。IP筛选器操作。上述操作将一个虚拟的C192。168。14.1参加到了“待屏蔽IP列表“,但它只是一个列表，没有防火墙功能，只有再参加动作后，才能够发挥作用。下面,我们将建立一个“阻挡”操作，通过操作与刚刚的列表结合，就可以屏蔽特定的IP地址.步骤1：1”窗口的“掌握台根节点”窗口中，选中左边的“IP安全,IP筛选器表和筛选器操作…“命令，显示“治理IP筛选器表和筛选器操作”对话框。2：IP筛选器列表“IP”选项，选项卡见图4.16)取消对其中的“使用‘添加向导选项的选择，再单击“添加”按钮，消灭“筛选器操作属性“对话框(4.17).步骤3：“单项选择按钮,然后选择“常规”选项卡,在“名称”文本框中输入“阻挡“〔4。18〕。步骤4：单击“确定“按钮，此时“阻挡”参加到筛选器操作列表中。步骤5：请在“治理IP筛选器表和筛选器操作”对话框的“筛选器操作”列表中查阅和记录各筛选器操作的描述信息：①恳求安全〔可选):承受担忧全的通讯但总是用TPSECTPSEC的计算机进展担忧全的通讯。4。16“治理筛选器操作”选项卡4.17“筛选器操作属性“对话框第4章 防火墙与网络隔离技术 11图4。18 “常规”标签页②需要安全：承受担忧全的通讯但总是用TPSEC响应。③许可：允许担忧全的IP包经过。创立IP安全策略。筛选器表和筛选器操作已建立完毕，将它们结合起来发挥防火墙的作用。1：1”的“掌握台根节点”窗口,选择“IP安全策略,在本地计算机”选项并单击右键，在快捷菜单中单击“创立IP安全策略…”命令，消灭“IP安全策略向导”对话框之一，单击“下一步”按钮。2：在“IP(4.19)的“名称”文本框中输入“我文本框中输入对安全策略设置的描述。12 信息安全技术图4.19 “IP安全策略向导”对话框步骤3:单击“下一步”按钮，在连续显示的“IP安全策略向导“对话框中，取消选择“激活默认响应规章“复选框(4.20〕。步骤4:IP复选框(4。21〕，再单击“完成”按钮，这时，将消灭“我的安全策略属性”对话框〔4。22〕。步骤5：在“我的安全策略属性”对话框的“规章”选项卡中,取消对其中的“使,再单击“添加”按钮,消灭“规章属性”对话框〔图4.23)。图4.21 “IP安全策略向导”对话框步骤6:.属性”对话框的“IP筛选器列表“标签页中，选择建立的IP筛选器〔即“屏蔽特定I〕单项选择按钮；然后单击“确定“,可以看到规章已经建立。至此，屏蔽特定IP的操作已完成。图4。20 “IP安全策略向导“对话框第4章 防火墙与网络隔离技术 13用IP139端口“的IP139端口，然后结合上述任务添加的“阻挡“动作进展设置。同样，也可以关闭其他端口。步骤1：在“掌握台1”窗口的“掌握台根节点”窗口中，选中左边的“IP安全策略，在本地计算机”选项并单击右键,在快捷菜单中单击“治理IP筛选器表和筛选器操作…”命令.步骤2：在“治理IP…”按钮，在“IP输入“屏蔽139“按钮，消灭“筛选器属性”对话框.图4。22 “我的安全策略属性”对话框 图4。23 “规章属性”对话框14 信息安全技术步骤3：在“筛选器属性”对话框“寻址”选项卡的“源地址”下拉列表框中选择“任何IPIP4.24所示.“筛选器属性“对话框中的“协议”选项卡和“描述“选项卡,4。25进展设置.4：单击“确定”按钮，返回“治理IP筛选器表和筛选器操作”对话框,可以139端口”已建立。6〕应用IP安全策略规章。为应用IP安全策略规章,可执行以下步骤：步骤1:在“掌握台1”窗口的“掌握台根节点”窗口中，在右边建立的“我的安全策略”规章上单击右键,在快捷菜单中单击“属性“，翻开“我的安全策略属性”对话框，单击“添加”按钮，翻开“规章属性”对话框，2：在“规章属性“对话框的“IP筛选器列表”标签页中，选择建立的IP筛选器〔139端口”)单项选择按钮；再在“筛选器操作”选项卡中，选择“阻挡“对话框，可以看到“屏蔽特定IP和“屏蔽139〕已经4.26所示。单击“确定“1”窗口.3：1”的“掌握台根节点”窗口，选择“IP安全策略,在本地计算机”选项并单击右键，在快捷菜单中单击单击“指派“命令。步骤4：在窗口的左边选择“IP安全策略，在本地计算机“选项并单击右键,在快捷菜单中单击“全部任务…”命令,备份所设置的安全策略。同样，也可以使用“导入策略…”命令恢复。图4。24 “寻址”选项卡第4章 防火墙与网络隔离技术 15图4.25 “协议“和“描述”选项卡的设置(4)防火墙产品选择,在因特网上搜寻，选择至少3款防火墙产品，并分别简洁描述之.1。图4.26 “我的安全策略属性“选项卡16 信息安全技术①产品名称:华为赛门铁克SecospaceUSG5530②产品生产厂家： ③产品功能描述:,支持光电两类内置Bypass插卡,供给超长无故障硬件保障，商用10年+的超稳定软件平台，全球在线设备超过10万台,打造永续的办公环境，56千兆+14万兆的高密度接口,为提前跨入万兆时代的您供给不同组网状况下的安全防护，便利细化安全区域,32G防火墙吞吐，15K并发VPN隧道,大容量NAT转换力量，轻松实现海量业务处理。:有没有不清楚⑤产品价格:2023 2。①产品名称：金山KingGateMBG+25②产品生产厂