实训41防火墙与网络隔离技术.docx
- 文档编号:4268127
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:21
- 大小:443.89KB
实训41防火墙与网络隔离技术.docx
《实训41防火墙与网络隔离技术.docx》由会员分享,可在线阅读,更多相关《实训41防火墙与网络隔离技术.docx(21页珍藏版)》请在冰点文库上搜索。
实训41防火墙与网络隔离技术
本节实训与思考的目的是:
(1)熟悉防火墙技术的基本概念,了解防火墙技术的基本内容。
(2)通过因特网搜索与浏览,了解网络环境中主流的防火墙技术网站,掌握通过专业网站不断丰富防火墙技术最新知识的学习方法,尝试通过专业网站的辅助与支持来开展防火墙技术应用实践。
(3)在WindowsXP中配置简易防火墙(IP筛选器),完成后,将能够在本机实现对IP站点、端口、DNS服务屏蔽,实现防火墙功能。
1工具/准备工作
在开始本实训之前,请认真阅读本课程的相关内容,熟悉防火墙的基本概念。
需要准备一台运行WindowsXPProfessional并带有浏览器,能够访问因特网的计算机。
2实训内容与步骤
(1)概念理解
1)请通过查阅有关资料,尽量用自己的语言,简述防火墙的作用是什么?
防火墙是网络安全的屏障。
防火墙可以强化网络安全策略。
对网络存取和访问进行监控审计。
防止内部信息的外泄。
_________________________________
2)根据防范的方式和侧重点的不同,防火墙技术可分成很多类型,但总体来讲还是二大类:
分组过滤和应用代理。
请分别简单介绍这两种防火墙技术。
分组过滤或包过滤技术:
作用于网络层和传输层,通常安装在路由器上,对数据进行选择,它根据分组包头源地址、目的地址和端口号、协议类型等标志,确定是否允许数据包通过。
只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
应用代理技术:
通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
3)请分别简单介绍:
什么是“胖”防火墙:
“胖”防火墙在保证基本功能的前提下,不断扩展增值功能——NAT、VPN、QoS以及入侵检测、防病毒等。
“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系,力图将防火墙系统开发成为一个安全域的整体解决方案,它的优点在于可以满足用户绝大部分的网络安全需求。
什么是“瘦”防火墙:
一般来说,大型用户安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力也较高,因此,这种客户均倾向于使用独立的安全设备,并渴望发挥每种产品的最大效果。
而安全厂商也竭力挖掘每种安全产品的最大功能,“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。
(2)Windows防火墙的应用
Windows防火墙能做到和不能做到的功能情况请参见表4.1。
表4.1Windows防火墙的功能
能做到:
不能做到:
阻止计算机病毒和蠕虫到达你的计算机。
检测或禁止计算机病毒和蠕虫(如果它们已经在你的计算机上)。
由于这个原因,还应该安装防病毒软件并及时进行更新,以防范病毒、蠕虫和其他安全威胁破坏你的计算机或使用你的计算机将病毒扩散到其他计算机。
请求你的允许,以阻止或取消阻止某些连接请求。
阻止你打开带有危险附件的电子邮件。
不要打开来自不认识的发件人的电子邮件附件。
即使你知道并信任电子邮件的来源,仍然要格外小心。
如果你认识的某个人向你发送了电子邮件附件,请在打开附件前仔细查看主题行。
如果主题行比较杂乱或者你认为没有任何意义,那么请在打开附件前向发件人确认。
创建记录(安全日志),可用于记录对计算机的成功连接尝试和不成功的连接尝试,可用作故障排除工具。
阻止垃圾邮件或未经请求的电子邮件出现在你的收件箱中。
不过,某些电子邮件程序可以帮助你做到这一点。
1)打开或关闭Windows防火墙。
为打开或关闭Windows防火墙,必须以管理员身份登录计算机,并按以下步骤执行:
步骤1:
在Windows的“开始”菜单中单击“控制面板”命令,然后双击其中的“Windows防火墙”图标,打开Windows防火墙,见图4.6所示。
图4.6“Windows防火墙”对话框
步骤2:
在“常规”选项卡上,单击下列选项之一:
①启用(推荐):
通常应当使用此设置。
②关闭(不推荐):
关闭Windows防火墙可能会使你的计算机以及网络更容易受到病毒或未知入侵者的损坏。
如果使用“高级”选项卡关闭一个或多个单个连接的Windows防火墙,那么Windows安全中心将报告防火墙已关闭,即使其他连接的防火墙并未关闭。
并且,在“常规”选项卡中,Windows防火墙将仍旧设置为“启用”。
2)启用安全记录。
当Windows防火墙处于打开状态时,在默认情况下并不启用安全记录。
但是,无论安全记录是否被启用,防火墙都能正常工作。
而只有启用了Windows防火墙的连接才能使用日志记录功能。
为启用安全记录选项,用户必须以管理员身份登录计算机,并执行以下操作:
步骤1:
打开“Windows防火墙”对话框,单击“高级”选项卡,见图4.7所示。
步骤2:
在其中的“安全日志记录”栏中单击“设置”按钮,打开“日志设置”对话框,如图4.8所示。
步骤3:
单击下面的选项之一:
①若要启用对不成功的入站连接尝试的记录,请选中“记录被丢弃的数据包”复选框。
②若要启用对成功的出站连接的记录,请选中“记录成功的连接”复选框。
步骤4:
单击“确定”按钮,完成操作。
图4.7Windows防火墙的“高级”选项卡图4.8“日志设置”对话框
3)查看安全日志文件。
为查看安全日志文件,请按以下步骤操作:
步骤1:
打开Windows防火墙,在“高级”选项卡上单击“安全日志记录”下的“设置”按钮。
步骤2:
单击“另存为”按钮,在对话框中进行浏览查看。
步骤3:
右键单击pfirewall.log,然后在快捷菜单中单击“打开”命令。
防火墙日志的默认名称是pfirewall.log,其存放位置在Windows文件夹中。
但必须选中“记录被丢弃的数据包”或“记录成功的连接”复选框,才能使pfirewall.log文件出现在Windows文件夹中。
如果超过了pfirewall.log可允许的最大大小(4096KB),则日志文件中原有的信息将转移到一个新文件中,并用文件名pfirewall.log.old进行保存。
新的信息将保存在所创建的第一个文件(名为pfirewall.log)中。
请记录:
上述各项操作能够顺利完成吗?
如果不能,请分析原因。
能够顺利完成。
(3)简易防火墙设置
下面,我们尝试在WindowsXPProfessional上学习设置简易的防火墙。
1)运行IP筛选器。
为运行IP筛选器,请按以下步骤执行:
步骤1:
在WindowsXP的“开始”菜单中单击“运行”命令,在“运行”对话框的“打开”文本框中输入mmc,单击“确定”按钮,屏幕显示“控制台1”窗口,如图4.9所示。
其中包含了“控制台根节点”窗口。
图4.9“控制台1”窗口
步骤2:
在“控制台1”窗口的“文件”菜单中单击“添加/删除管理单元…”命令,出现“添加/删除管理单元”对话框(见图4.10)。
在其中选择“独立”选项卡。
图4.10“添加/删除管理单元”对话框图4.11“添加独立管理单元”对话框
步骤3:
在“管理单元添加到”下拉列表框中,选择“控制台根节点”选项,单击“添加…”按钮,出现“添加独立管理单元”对话框,见图4.11所示。
请记录:
在“可用的独立管理单元”栏中有哪些选项(请阅读相关的描述信息):
a组件服务
b组策略对象编辑器
c证书
d性能日志和警报
e文件夹
f索引服务
g事件查看器
h设备管理器
i可移动存储管理
j计算机管理
k共享文件夹
l服务
m磁盘碎片整理程序
n磁盘管理
o策略的结果集
p本地拥护和组
q安全配置和分析
r安全摸板
sWMT控制
tWEB地址的连接
uSQLServer配置管理器
vOracle管理对象
wSQL企业管理器
xMicrsoft元数据浏览器
yInternet协议安全性(IPSec)管理
步骤4:
在“可用的独立管理单元”列表框中选择“IP安全策略管理”选项,单击“添加”按钮,显示“选择计算机”对话框,如图4.12所示。
在其中选择“本地计算机”单选按钮,单击“完成”按钮,返回“添加独立管理单元”对话框。
步骤5:
单击“关闭”按钮,返回“添加/删除管理单元”对话框。
请记录:
此时,在“添加/删除管理单元”对话框下部的“描述”框中,显示的“IP安全策略”描述信息是:
Internet协议安全性(IPSec)管理。
为与别的计算机进行安全通讯管理IPSec策略。
_________________________________________________________________________
步骤6:
单击“确定”按钮,返回“控制台1”窗口,完成“IP安全策略,在本地计算机”的设置。
2)添加IP筛选器表。
在本机中添加一个能对指定IP地址(192.168.14.1)进行筛选的IP筛选器表。
图4.12“选择计算机或域”对话框
步骤1:
在“控制台1”窗口的“控制台根节点”窗口中,单击刚建立的“IP安全策略,在本地计算机”选项,右边框中出现3个默认的安全规则,请分别记录其描述信息:
①安全服务器(需要安全):
对所有IP通讯总是使用Kerberos信任请求安全。
不允许与不被信任的客户端的不安全通讯。
_________________________________________________________________________
②客户端(仅响应):
正常通讯(不安全的)。
使用默认的响应规则与请示安全的服务器协商。
只有与服务器的请求协议和端口通讯是安全的。
_____________________
_________________________________________________________________________
③服务器(请求安全):
对所有IP通讯总是使用Kerberos信任请求安全。
允许与不响应请求的客户端的不安全通讯。
_______________________________________________
_________________________________________________________________________
步骤2:
选中左边的“IP安全策略,在本地计算机”选项并单击右键,从快捷菜单中单击“管理IP筛选器表和筛选器操作”命令,出现“管理IP筛选器表和筛选器操作”对话框,如图4.13所示。
步骤3:
在对话框中单击“添加”按钮,出现“IP筛选器列表”对话框(图4.14)。
在打开的“IP筛选器列表”对话框中输入此IP筛选器的名称和描述。
例如:
“名称”为“屏蔽特定IP”,“描述”为“屏蔽192.168.14.1”,并取消选择“使用‘添加向导’”复选框,然后单击“添加…”按钮,出现“筛选器属性”对话框(见图4.15),可对“屏蔽特定IP”进行设置。
步骤4:
在“筛选器属性”对话框中选择“寻址”选项卡,在“源地址”和“目标地址”下拉列表框框中分别选择“我的IP地址”和“一个特定的IP地址”选项。
当选择“一个特定的IP地址”时,会出现“IP地址”文本框,可输入要屏蔽的IP地址,如“192.168.14.1”。
选择IP地址设定的方法有5种,容易理解。
图4.13“管理IP筛选器表和筛选器操作”对话框
图4.14“IP筛选器列表”对话框
默认情况下,“IP筛选器”的作用是单方面的,比如源地址为A,目标地址为B,则防火墙只对A→B的流量起作用,对B→A的流量则略过不计。
选中“镜像”复选框,则防火墙对A←→B的双向流量都进行处理(相当于一次添加了两条规则)。
步骤5:
在“协议”选项卡中,可选择协议类型及设置IP协议端口。
步骤6:
在“描述”选项卡的“描述”文本框中,可输入描述文字,作为筛选器的详细描述。
图4.15“筛选器属性”对话框
步骤7:
然后,单击“确定”按钮,返回“IP筛选器列表”对话框,再单击“确定”按钮,返回“管理IP筛选器表和筛选器操作”对话框,“屏蔽特定IP”被填入了“IP筛选器列表”中。
步骤8:
单击“关闭”按钮,完成本次操作。
3)添加IP筛选器操作。
上述操作将一个虚拟的C类网段192.168.14.1加入到了“待屏蔽IP列表”,但它只是一个列表,没有防火墙功能,只有再加入动作后,才能够发挥作用。
下面,我们将建立一个“阻止”操作,通过操作与刚才的列表结合,就可以屏蔽特定的IP地址。
步骤1:
在“控制台1”窗口的“控制台根节点”窗口中,选中左边的“IP安全策略,在本地计算机”选项并单击右键,选择“管理IP筛选器表和筛选器操作…”命令,显示“管理IP筛选器表和筛选器操作”对话框。
步骤2:
在对话框的“管理IP筛选器列表”选项卡中选择“屏蔽特定IP”选项,然后选择“管理筛选器操作”选项卡(见图4.16),取消对其中的“使用‘添加向导’”选项的选择,再单击“添加”按钮,出现“新筛选器操作属性”对话框(见图4.17)。
步骤3:
在“新筛选器操作属性”对话框的“安全措施”选项卡中选择“阻止”单选按钮,然后选择“常规”选项卡,在“名称”文本框中输入“阻止”(图4.18)。
步骤4:
单击“确定”按钮,此时“阻止”加入到筛选器操作列表中。
步骤5:
请在“管理IP筛选器表和筛选器操作”对话框的“筛选器操作”列表中查阅和记录各筛选器操作的描述信息:
①请求安全(可选):
接受不安全的通讯但总是用TPSEC响应。
允许和不支持TPSEC的计算机进行不安全的通讯。
图4.16“管理筛选器操作”选项卡图4.17“新筛选器操作属性”对话框
图4.18“常规”标签页
②需要安全:
接受不安全的通讯但总是用TPSEC响应。
③许可:
允许不安全的IP包经过。
4)创建IP安全策略。
筛选器表和筛选器操作已建立完毕,将它们结合起来发挥防火墙的作用。
步骤1:
返回“控制台1”的“控制台根节点”窗口,选择“IP安全策略,在本地计算机”选项并单击右键,在快捷菜单中单击“创建IP安全策略…”命令,出现“IP安全策略向导”对话框之一,单击“下一步”按钮。
步骤2:
在“IP安全策略向导”对话框(见图4.19)的“名称”文本框中输入“我的安全策略”,还可以在“描述”文本框中输入对安全策略设置的描述。
图4.19“IP安全策略向导”对话框
步骤3:
单击“下一步”按钮,在继续显示的“IP安全策略向导”对话框中,取消选择“激活默认响应规则”复选框(见图4.20)。
步骤4:
再单击“下一步”按钮,在“IP安全策略向导”对话框中选择“编辑属性”复选框(见图4.21),再单击“完成”按钮,这时,将出现“我的安全策略属性”对话框(见图4.22)。
步骤5:
在“我的安全策略属性”对话框的“规则”选项卡中,取消对其中的“使用‘添加向导’”选项的选择,再单击“添加”按钮,出现“新规则属性”对话框(图4.23)。
图4.21“IP安全策略向导”对话框
步骤6:
我们来修改策略的属性,用筛选器表和筛选器操作建立规则。
为此,在“新规则属性”对话框的“IP筛选器列表”标签页中,选择新建立的IP筛选器(即“屏蔽特定IP”)单选按钮;再在“筛选器操作”选项卡中,选择“阻止”单选按钮;然后单击“确定”按钮,返回“我的安全策略属性”对话框,可以看到新规则已经建立。
至此,屏蔽特定IP的操作已完成。
图4.20“IP安全策略向导”对话框
5)用IP筛选器屏蔽特定端口。
下面,我们建立一个名为“屏蔽139端口”的IP筛选器规则,关闭本机的139端口,然后结合上述任务添加的“阻止”动作进行设置。
同样,也可以关闭其他端口。
步骤1:
在“控制台1”窗口的“控制台根节点”窗口中,选中左边的“IP安全策略,在本地计算机”选项并单击右键,在快捷菜单中单击“管理IP筛选器表和筛选器操作…”命令。
步骤2:
在“管理IP筛选器表和筛选器操作”对话框中单击“添加…”按钮,在“IP筛选器列表”对话框的“名称”文本框中,输入“屏蔽139端口”,继续单击“添加”按钮,出现“筛选器属性”对话框。
图4.22“我的安全策略属性”对话框图4.23“新规则属性”对话框
步骤3:
在“筛选器属性”对话框“寻址”选项卡的“源地址”下拉列表框中选择“任何IP地址”;在“目的地址”下拉列框中,选择“我的IP地址”;取消“镜像”复选框,如图4.24所示。
“筛选器属性”对话框中的“协议”选项卡和“描述”选项卡,请参考图4.25进行设置。
步骤4:
单击“确定”按钮,返回“管理IP筛选器表和筛选器操作”对话框,可以看到‘屏蔽139端口”已建立。
6)应用IP安全策略规则。
为应用IP安全策略规则,可执行以下步骤:
步骤1:
在“控制台1”窗口的“控制台根节点”窗口中,在右边新建立的“我的安全策略”规则上单击右键,在快捷菜单中单击“属性”,打开“我的安全策略属性”对话框,单击“添加”按钮,打开“新规则属性”对话框,
步骤2:
在“新规则属性”对话框的“IP筛选器列表”标签页中,选择新建立的IP筛选器(即“屏蔽139端口”)单选按钮;再在“筛选器操作”选项卡中,选择“阻止”单选按钮;然后单击“确定”按钮,返回“我的安全策略属性”对话框,可以看到新规则已经建立。
至此,共有两条安全规则(“屏蔽特定IP”和“屏蔽139端口”)已经建立,如图4.26所示。
单击“确定”按钮,返回“控制台1”窗口。
步骤3:
“控制台1”的“控制台根节点”窗口,选择“IP安全策略,在本地计算机”选项并单击右键,在快捷菜单中单击单击“指派”命令。
步骤4:
在窗口的左边选择“IP安全策略,在本地计算机”选项并单击右键,在快捷菜单中单击“所有任务”>“导出策略…”命令,备份所设置的安全策略。
同样,也可以使用“导入策略…”命令恢复。
图4.24“寻址”选项卡
图4.25“协议”和“描述”选项卡的设置
(4)防火墙产品选择
请以“防火墙产品”为关键字,在因特网上搜索,选择至少3款防火墙产品,并分别简单描述之。
1)产品选择1。
图4.26“我的安全策略属性”选项卡
①产品名称:
华为赛门铁克SecospaceUSG5530
②产品生产厂家:
____________________________________________________
③产品功能描述:
关键部件冗余配置,成熟的链路转换机制,支持光电两类内置Bypass插卡,提供超长无故障硬件保障,商用10年+的超稳定软件平台,全球在线设备超过10万台,打造永续的办公环境,56千兆+14万兆的高密度接口,为提前跨入万兆时代的您提供不同组网情况下的安全防护,方便细化安全区域,32G防火墙吞吐,15K并发VPN隧道,大容量NAT转换能力,轻松实现海量业务处理。
④是否具备公安部门的销售许可:
有没有不清楚
⑤产品价格:
2000___________________________
2)产品选择2。
①产品名称:
金山KingGateMBG+25
②产品生产厂家:
____________________________________________________
③产品功能描述:
支持策略路由、支持应用地址及IP地址、支持URLQQMSN管理与控制、支持应用控制、支持流量控制、支持桌面杀毒、支持上网管理、支持负载均衡、支持统计日志、支持零配置快速开通、支持交换机接入。
④是否具备公安部门的销售许可:
有没有不清楚
⑤产品价格:
1580___________________________
3)产品选择3。
①产品名称:
方正3000-FA-NP200。
②产品生产厂家:
____________________________________________________
③产品功能描述:
方正FA防火墙对数据包进行状态检测过滤,而且能够记录通过防火墙的连接状态,直接对分组里的数据进行处理,具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤。
④是否具备公安部门的销售许可:
有没有不清楚
⑤产品价格:
98000___________________________
上述3款产品中,你向用户首推哪一款,为什么?
请简述之。
第一款,关键部件冗余配置,成熟的链路转换机制,支持光电两类内置Bypass插卡,提供超长无故障硬件保障,商用10年+的超稳定软件平台,全球在线设备超过10万台,打造永续的办公环境,56千兆+14万兆的高密度接口,为提前跨入万兆时代的您提供不同组网情况下的安全防护,方便细化安全区域,32G防火墙吞吐,15K并发VPN隧道,大容量NAT转换能力,轻松实现海量业务处理。
3实训总结
熟悉防火墙技术的基本概念,了解防火墙技术的基本内容。
通过因特网搜索和浏览,了解网络环境中主流的防火墙技术网站,掌握通过专业网站不断丰富防火墙技术最新知识的学习方法,尝试通过专业网站的辅助与支持来开展防火墙技术应用实践。
在WindowsXP中配置简易防火墙,完成后,将能够在本机实现对IP站点、端口、DNS服务屏蔽,实现防火墙功能。
4实训评价(教师)
_____________________________________________________________________
_________________________________________________________________________
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实训41 防火墙与网络隔离技术 实训 41 防火墙 网络 隔离 技术