《网络安全试验---Windows防火墙应用》由会员分享,可在线阅读,更多相关《网络安全试验---Windows防火墙应用(13页珍藏版)》请在金锄头文库上搜索。
1、实验目的和要求了解防火墙的含义和作用学习防火墙的基本配置方法二、实验内容和原理一防火墙在古代,人们已经想到在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所,于是有了“防火墙”的概念。进入信息时代后,防火墙又被赋予了一个类似但又全新的含义。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网 络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、一个限制器、也是一个分析
2、器, 有效地监控了内部网络和In ternet之间的任何活动,保证了内部网络的安全。二防火墙功能1. 防火墙是网络安全的屏障一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。 由于只有经过精心选择的使用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和 ICMP重定向中的重定向攻击。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2. 防火墙可以强化
3、网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。和将网络安全问题分散到各个主机上相比,防火墙的集中安全管 理更经济。例如在网络访问时, 一次一密口令系统和其它的身份认证系统完全可以不必分散 在各个主机上,而集中在防火墙一身上。3. 对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。这样可以清楚防火墙是否能够抵挡攻击
4、者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4. 防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务如Fin ger, DNS等。Fin ger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。Fin ger显示的信息非常容易被攻击者
5、所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有In ternet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。三.NATNAT英文全称是 “ Network Address Tran slation ,中文意思是 网络地址转换”,它是一个 IETF(Internet Eng
6、ineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公 共IP地址出现在In ternet上。顾名思义,它是一种把内部私有IP地址翻译成公共IP地址的 技术。简单的说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要和外部网络 进行通讯时,就在网关处,将内部地址替换成公用地址,从而在外部公网(In ternet)上正常使用,NAT可以使多台计算机共享In ternet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,您可以只申请一个公共IP地址,就把整个局域网中的计算机接入In ternet中。这时,NAT屏蔽了内部网络,所有
7、内部网络计算机对于公共网络来说是不可 见的,而内部网计算机用户通常不会意识到NAT的存在。这里提到的内部地址,是指在内部网络中分配给节点的私有IP地址,这个地址只能在内部网络中使用,不能被路由。虽然内部地址可以随机挑选,但是通常使用的是下面的地址:10.0.0.010.255.255.255 ,172.16.0.0172.16.255.255, 192.168.0.0192.168.255.255。NAT 将这些无法在互联网上使用 的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC (网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表
8、一个或多个内部局部地址,是全球统一的可寻址的地址。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的 NAT设备中。比如Cisco路由器中已经加入这一功能,网络管理员只需在路由器的IOS中设置NAT功能,就可以实现对内部网络的屏蔽。再比如防火墙将Web Server的内部地址192.168.1.1映射为外部地址202.96.23.11,外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。另外对资金有限的小型企业来说,现在通过软件也可以实现这一功能。Windows 98 SE、Windows2000都包含了这一功能。NAT有三种类型: 静态NAT(Stati
9、c NAT)、动态地址 NAT(Pooled NAT)、网络地址端口 转换 NAPT ( Port- Level NAT )。其中静态NAT设置起来是最为简单和最容易实现的一种,内部网络中的每个主机都被 永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各有利弊。动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要使用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动
10、态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。网络地址端口转换 NAPT (Network Address Port Tran slation )是人们比较熟悉的一种转 换方式。NAPT普遍使用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT和动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。在In ternet中使用NAPT时,所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用, 通过从ISP处申请的一个IP地址,将多个连接
11、通过 NAPT 接入In ternet。实际上,许多 SOHO远程访问设备支持基于 PPP的动态IP地址。这样,ISP 甚至不需要支持 NAPT,就可以做到多个内部 IP地址共用一个外部IP地址访问In ternet,虽 然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用 NAPT还是很值得的。四.Windows 2003防火墙Win dows 2003提供的防火墙称为In ternet连接防火墙,通过允许安全的网络通信通过防 火墙进入网络,同时拒绝不安全的通信进入,使网络免受外来威胁。In ternet连接防火墙只包含在 Windows Server 2003 Sta
12、ndard Edition 和 32 位版本的 Windows Server 2003 Enterprise Edition 中。在Win dows2003服务器上,对直接连接到In ternet的计算机启用防火墙功能,支持网络适配器、DSL适配器或者拨号调制解调器连接到In ternet。它可以有效地拦截对 Win dows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,从而提高Windows 2003服务器的安全性。同时,它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用 Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网
13、 络起到很好的保护作用。1. 启用/关闭防火墙(1) 打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对 话框。(2) 选择高级”选项卡,单击“设置”按钮,出现启动/停止防火墙界面。如果要启用In ternet连接防火墙,请单击 启用(O) ”按钮;如果要禁用In ternet连接防火墙,请单击“关 闭(F) ”按钮。2. 防火墙服务设置Win dows 2003 In ternet连接防火墙能够管理服务端口,例如HTTP的80端口、FTP的21端口等,只要系统提供了这些服务,In ternet连接防火墙就可以监视并管理这些端口。(1) 解除阻止设置。在“例外”选项卡中,
14、可以通过设定让防火墙禁止和允许本机中某些使用程序访问网络, 加上“V”表示允许,不加“V”表示禁止。如果允许本机中某项使用程序访问网络,则在 对话框中间列表中所列出该项服务前加“V”(如果不存在则可单击“添加程序”按钮进行添加);如果禁止本机中某项使用程序访问网络,则将该项服务前的“V”清除(如果不存 在同样可以添加)。在“ Windows防火墙阻止程序时通知我”选项前打“V”则在主机出现 列表框中不存在的使用程序欲访问网络时,防火墙会弹出提示框询问用户是否允许该项网络连接。(2) 高级设置。在“高级”选项卡中,可以指定需要防火墙保护的网络连接,双击网络连接或单击“设 置”按钮设置允许其他用户
15、访问运行于本主机的特定网络服务。选择“服务”选项卡,其中 列举出了网络标准服务,加上“V”表示允许,不加“V”表示禁止。如果允许外部网络用 户访问网络的某一项服务,则在对话框中间列表中所列出该项服务前加“V”(如果不存在则可单击“添加程序”按钮进行添加);如果禁止外部网络用户访问内部网络的某一项服务, 则将该项服务前的“V”清除(如果不存在同样可以添加)。选择“ ICMP ”选项卡,允许或禁止某些类型的ICMP响应,建议禁止所有的ICMP响应。3. 防火墙安全日志设置Windows2003防火墙可以记录所有允许和拒绝进入的数据包,以便进行进一步的分析。 在“高级”选项卡的“安全日志记录”框中单击“设置”按钮,进入“日志设置”界面。如果要记录被丢弃的包,则选中“记录被丢弃的数据包”复选按钮;如果要记录成功的连接,则选中“记录成功的连接”复选按钮。日志文件默认路径为 C:WINDOWSpfirewall.log ,用记事本可以打开,所生成的安全日 志使用的格式为 W3C扩展日志文件格式,可以用常用的日志分析工具进行查看分析,也可 以重新指定日志文件,而且还可以通过“大小限制”限定文件的最大使用空间。说明建立安全日
