《实训4-1防火墙网络隔离技术》由会员分享,可在线阅读,更多相关《实训4-1防火墙网络隔离技术(17页珍藏版)》请在金锄头文库上搜索。
1、 .实训4.1了解防火墙技术本节实训与思考的目的是:(1) 熟悉防火墙技术的基本概念,了解防火墙技术的基本内容。(2) 通过因特网搜索与浏览,了解网络环境中主流的防火墙技术网站,掌握通过专业网站不断丰富防火墙技术最新知识的学习方法,尝试通过专业网站的辅助与支持来开展防火墙技术应用实践。(3) 在Windows XP中配置简易防火墙 (IP筛选器) ,完成后,将能够在本机实现对IP站点、端口、DNS服务屏蔽,实现防火墙功能。1 工具/准备工作在开始本实训之前,请认真阅读本课程的相关内容,熟悉防火墙的基本概念。需要准备一台运行Windows XP Professional并带有浏览器,能够访问因特
2、网的计算机。2 实训内容与步骤(1) 概念理解1) 请通过查阅有关资料,尽量用自己的语言,简述防火墙的作用是什么?防火墙是网络安全的屏障。防火墙可以强化网络安全策略。对网络存取和访问进行监控审计。防止内部信息的外泄。_2) 根据防范的方式和侧重点的不同,防火墙技术可分成很多类型,但总体来讲还是二大类:分组过滤和应用代理。请分别简单介绍这两种防火墙技术。分组过滤或包过滤技术:作用于网络层和传输层,通常安装在路由器上,对数据进行选择,它根据分组包头源地址、目的地址和端口号、协议类型等标志,确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。应
3、用代理技术:通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。3) 请分别简单介绍:什么是“胖”防火墙:“胖”防火墙在保证基本功能的前提下,不断扩展增值功能NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系,力图将防火墙系统开发成为一个安全域的整体解决方案,它的优点在于可以满足用户绝大部分的网络安全需求。什么是“瘦”防火墙:一般来说,大型用户安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力也较高,因此,这种客户均倾向于使用独立的安全设备,并渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全
4、产品的最大功能,“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。(2) Windows防火墙的应用Windows 防火墙能做到和不能做到的功能情况请参见表4.1。表4.1 Windows防火墙的功能能做到:不能做到:阻止计算机病毒和蠕虫到达你的计算机。检测或禁止计算机病毒和蠕虫 (如果它们已经在你的计算机上) 。由于这个原因,还应该安装防病毒软件并及时进行更新,以防范病毒、蠕虫和其他安全威胁破坏你的计算机或使用你的计算机将病毒扩散到其他计算机。请求你的允许,以阻止或取消阻止某些连接请求。阻止你打开带有危险附件的电子邮件。不要打
5、开来自不认识的发件人的电子邮件附件。即使你知道并信任电子邮件的来源,仍然要格外小心。如果你认识的某个人向你发送了电子邮件附件,请在打开附件前仔细查看主题行。如果主题行比较杂乱或者你认为没有任何意义,那么请在打开附件前向发件人确认。创建记录 (安全日志) ,可用于记录对计算机的成功连接尝试和不成功的连接尝试,可用作故障排除工具。阻止垃圾邮件或未经请求的电子邮件出现在你的收件箱中。不过,某些电子邮件程序可以帮助你做到这一点。1) 打开或关闭Windows防火墙。为打开或关闭Windows防火墙,必须以管理员身份登录计算机,并按以下步骤执行:步骤1:在Windows的“开始”菜单中单击“控制面板”命
6、令,然后双击其中的“Windows 防火墙”图标,打开Windows防火墙,见图4.6所示。图4.6 “Windows防火墙”对话框步骤2:在“常规”选项卡上,单击下列选项之一: 启用 (推荐) :通常应当使用此设置。 关闭 (不推荐) :关闭Windows防火墙可能会使你的计算机以及网络更容易受到病毒或未知入侵者的损坏。如果使用“高级”选项卡关闭一个或多个单个连接的Windows防火墙,那么Windows安全中心将报告防火墙已关闭,即使其他连接的防火墙并未关闭。并且,在“常规”选项卡中,Windows防火墙将仍旧设置为“启用”。2) 启用安全记录。当Windows防火墙处于打开状态时,在默认
7、情况下并不启用安全记录。但是,无论安全记录是否被启用,防火墙都能正常工作。而只有启用了Windows防火墙的连接才能使用日志记录功能。为启用安全记录选项,用户必须以管理员身份登录计算机,并执行以下操作:步骤1:打开“Windows防火墙”对话框,单击“高级”选项卡,见图4.7所示。步骤2:在其中的“安全日志记录”栏中单击“设置”按钮,打开“日志设置”对话框,如图4.8所示。步骤3:单击下面的选项之一: 若要启用对不成功的入站连接尝试的记录,请选中“记录被丢弃的数据包”复选框。 若要启用对成功的出站连接的记录,请选中“记录成功的连接”复选框。步骤4:单击“确定”按钮,完成操作。 图4.7 Win
8、dows防火墙的“高级”选项卡 图4.8 “日志设置”对话框3) 查看安全日志文件。为查看安全日志文件,请按以下步骤操作:步骤1:打开Windows防火墙,在“高级”选项卡上单击“安全日志记录”下的“设置”按钮。步骤2:单击“另存为”按钮,在对话框中进行浏览查看。步骤3:右键单击pfirewall.log,然后在快捷菜单中单击“打开”命令。防火墙日志的默认名称是pfirewall.log,其存放位置在Windows文件夹中。但必须选中“记录被丢弃的数据包”或“记录成功的连接”复选框,才能使pfirewall.log文件出现在Windows文件夹中。如果超过了pfirewall.log可允许的最
9、大大小 (4096 KB) ,则日志文件中原有的信息将转移到一个新文件中,并用文件名pfirewall.log.old进行保存。新的信息将保存在所创建的第一个文件 (名为pfirewall.log) 中。请记录:上述各项操作能够顺利完成吗?如果不能,请分析原因。能够顺利完成。 (3) 简易防火墙设置下面,我们尝试在Windows XP Professional上学习设置简易的防火墙。1) 运行IP筛选器。为运行IP筛选器,请按以下步骤执行:步骤1:在Windows XP的“开始”菜单中单击“运行”命令,在“运行”对话框的“打开”文本框中输入mmc,单击“确定”按钮,屏幕显示“控制台1”窗口,如
10、图4.9所示。其中包含了“控制台根节点”窗口。图4.9 “控制台1”窗口步骤2:在“控制台1”窗口的“文件”菜单中单击“添加/删除管理单元”命令,出现“添加/删除管理单元”对话框 (见图4.10) 。在其中选择“独立”选项卡。 图4.10 “添加/删除管理单元”对话框 图4.11 “添加独立管理单元”对话框步骤3:在“管理单元添加到”下拉列表框中,选择“控制台根节点”选项,单击“添加”按钮,出现“添加独立管理单元”对话框,见图4.11所示。请记录:在“可用的独立管理单元”栏中有哪些选项 (请阅读相关的描述信息) :a 组件服务 b 组策略对象编辑器c证书d 性能日志和警报e 文件夹f 索引服务
11、g事件查看器h 设备管理器i 可移动存储管理j计算机管理k共享文件夹l服务m 磁盘碎片整理程序n 磁盘管理o 策略的结果集p 本地拥护和组q 安全配置和分析r安全摸板s WMT控制t WEB地址的连接u SQL Server 配置管理器v Oracle 管理对象w SQL 企业管理器x Micrsoft 元数据浏览器y Internet 协议安全性 (IPSec) 管理步骤4:在“可用的独立管理单元”列表框中选择“IP安全策略管理”选项,单击“添加”按钮,显示“选择计算机”对话框,如图4.12所示。在其中选择“本地计算机”单选按钮,单击“完成”按钮,返回“添加独立管理单元”对话框。步骤5:单击
12、“关闭”按钮,返回“添加/删除管理单元”对话框。请记录:此时,在“添加/删除管理单元”对话框下部的“描述”框中,显示的“IP安全策略”描述信息是:Internet 协议安全性 (IPSec) 管理。为与别的计算机进行安全通讯管理 IPSec 策略。_步骤6:单击“确定”按钮,返回“控制台1”窗口,完成“IP安全策略,在本地计算机”的设置。2) 添加IP筛选器表。在本机中添加一个能对指定IP地址 (192.168.14.1) 进行筛选的IP筛选器表。图4.12 “选择计算机或域”对话框步骤1:在“控制台1”窗口的“控制台根节点”窗口中,单击刚建立的“IP安全策略,在本地计算机”选项,右边框中出现
13、3个默认的安全规则,请分别记录其描述信息: 安全服务器 (需要安全) :对所有 IP 通讯总是使用 Kerberos 信任请求安全。不允许与不被信任的客户端的不安全通讯。 _ 客户端 (仅响应) :正常通讯 (不安全的)。使用默认的响应规则与请示安全的服务器协商。只有与服务器的请求协议和端口通讯是安全的。_ _ 服务器 (请求安全) :对所有 IP 通讯总是使用 Kerberos 信任请求安全。允许与不响应请求的客户端的不安全通讯。_步骤2:选中左边的“IP安全策略,在本地计算机”选项并单击右键,从快捷菜单中单击“管理IP筛选器表和筛选器操作”命令,出现“管理IP筛选器表和筛选器操作”对话框,如图4.13所示。步骤3:在对话框中单击“添加”按钮,出现“IP筛选器列表”对话框 (图4.14) 。在打开的“IP筛选器列表”对话框中输入此IP筛选器的名称和描述。例如:“名称”为“屏蔽特定IP”,“描述”为“屏蔽192.168.14.1”,并取消选择“使用添加向导”复选框,然后单击“添加”按钮,出现“筛选器属性”对话框 (见图4.15) ,可对“屏蔽特定IP”进行设置。步骤4:在“筛选器属性”对话框中选择“寻址”选项卡,在“源地址”和“目标地址”下拉列表框框中分别选择“我的IP地址”和“一个特定的IP地址”选项。当选择“一个特定的IP地址”时,会出现“
