2020防火墙实验报告x|

信息安全实验报告

实验名称： 防火墙实验

教师： 周亚建

班级：

学号：

班内序号： 28

姓名： 龙宝莲

2011 年3月23日

一、 实验目的

通过实验深入理解防火墙的功能和工作原理，学会使用 boson netsim模

拟路由器软件、学会 Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤 型防火墙和应用代理型防火墙。

二、 实验原理

1、 防火墙的实现技术

包过滤技术，包过滤防火墙是用一个软件查看所流经的数据包的包头

（header），由此匕

决定整个包的命运。它可能会决定丢弃（DROP这个包，可能会接受（ACCEP,

这个包（让这个包通过），也可能执行其它更复杂的动作。

应用级网关技术。应用级网关即代理服务器，代理服务器通常运行在两个网 络之间，它为内部网的客户提供 HTTP FTP等某些特定的In ternet服务。代理服务器相 对于内网的客户来说是一台服务器，而对于外界的服务器来说，他又相当于此 In ternet

服务器的一台客户机。当代理服务器接收到内部网的客户对某 In ternet站点的访问请求 后，首先会检查该请求是否符合事先制定的安全规则 ，如果规则允许，代理服务器会将 此请求发送给In ternet站点，从In ternet站点反馈回的响应信息再由代理服务器转发 给内部网客户。代理服务器将内部网的客户和 In ternet隔离，从In ternet中只能看到

该代理服务器而无法获知任何内部客户的资源。

状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的 IP

地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的 核心部分建立数据包的连接状态表，将在内外网间传输的数据包以会话角度进行监测，

利用状态跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。

2、 防火墙的体系结构

双重宿主主机体系结构，双重宿主主机体系结构是围绕具有双重宿主主 机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接 口相连的网络之间的路由器；它能够从一个网络到另一个网络发送 IP数据包。然

而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而， IP数据包从一

个网络（例如外部网）并不是直接发送到其它网络（例如内部的被保护的网络） 。

防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主 机通信，但是这些系统不能直接互相通信。它们之间的 IP通信被完全阻止。

屏蔽主机体系结构，屏蔽主机体系结构使用一个单独的路由器提供来自 仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过 滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。

在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：即堡垒主机是数据 包过滤也允许堡垒主机开放可允许的连接（什么是“可允许”将由用户的站点的安 全策略决定）到外部世界。

屏蔽子网体系结构，屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机

体系结构，即通过添加周边网络更进一步地把内部网络与 In ternet隔离开。在这种结构 下，即使攻破了堡垒主机，也不能直接侵入内部网络（他将仍然必须通过内部路由器）。

三、 实验环境

装有 WindowsXF的虚拟机，虚拟机上安装好 boson netsim 7.02 模拟软件

四、 实验内容和步骤

首先按照老师给的破解步骤一步一步安装 Bos on .Netsim（注：一定要先安装

好 Microsoft .Net Framework 1.1 和 Adobe Acrobat Reader）

1、 使用Boson Netsim设计如下的网络拓扑

并配置路由器Router的访问控制列表（ACL，使得外网不能访问内网，而内网可以访问 外网，并采用ping做测试，请记录详细的配置及测试过程。

（1）首先，利用Boson Network Designer绘制网络实验拓扑图，绘制好的拓扑图如下图：

(2)配置路由器基本参数：

在绘制完实验拓扑图后，将其保存并装入 Boson Netsim中开始进行实验配置。通过

Boson Netsim中的工具栏按钮eRouters选择Router并按照下面过程进行基本参数配置：

Router>e nable

Router#c onf t

Router(c on fig)#host name R1

R1(co nfig)# int eth 0

R1(co nfig-if)# no shut

R1(c on fig-if)#i nt eth 1

R1(co nfig-if)# no shut

R1(co nfig-if)#e nd

R1#copy run start

⑶配置P(基本参数：

通过Boson Netsim中的工具栏按钮“ eStations ”选择“”按照下面的步骤对外网主 机进行配置：

键入“回车键”继续

键入winipcfg，如下图所示，以图形化方式为该主机配置IP地址、子网掩码、默认网 关等参数。

在“”

通过Boson Netsim中的工具栏按钮“ eStations ”选择“”重复以上步骤，对内网主

机进行配置：

(4)配置、测试静态路由

选择路由器 Router 并配置相关的静态路由信息，如下所示：

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#end

R1#copy run start

R1#show ip route

选择“”在其命令提示符下输入以下命令测试静态路由配置：

P

T

选择“”在其命令提示符下输入以下命令测试静态路由配置 :

P

T

现在内网能访问外网，外网也能访问内网，下面配置路由器 Router 的访问控制列表

(ACL，使得外网不能访问内网，而内网可以访问外网

(5)配置路由器Router的访问控制列表(ACL :

如果单纯在外网接口或内网接口将源IP地址为外网的包抛弃，则内网也不能访问外网, 因为在内网访问外网过程中，内网必然会接收来自外网回发的数据包(如 TCPE次握手协 议)，所以想到在这里使用自反AC限制外网访问，在Router命令提示符窗输入如下命令：

R1#conf t

R1(config)#ip access-list extended aclout

R1(config-ext-nacl)#permit tcp any any reflect tcp

但提示错误：

上网查阅资料，说是 Boson.Netsim 不支持 reflect 命令？，然后又想到尝试使用标记

( evaluate )：

输入如下命令：

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit tcp any any

R1(config-ext-nacl)#evaluate abc

但还是提示错误：

上网查阅资料说是，我们使用的是 Dem模式运行，好多命令不支持，在想是不是这个原 因，但还是找不到解决方法，于是采用以下方式配置：

此时外网ping内网，不通：

内网ping外网，通：

这种方法只能限制使外网不能 ping 内网，但我认为想要的结果不是这样的，但是又找不 到解决方法

2、 在外网的计算机上开放FTP(或者Telnet )服务，怎样配置路由器Router，使得内网 的计算机能接收到来自外网计算机的FTP(或者Tel net )应答信息？

首先想到的解决方法是：内网主机先 Telnet到路由器，然后再Telnet外网主机：

Router 配置过程如下：

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

// 建立访问列表 10号

R1(config)#line vty 0 4// 建立0~4号共5个虚拟终端接口

R1(config-line)#access-class 10 in// 把10号访问列表绑定在虚拟接口上

R1(config-line)#access-class 10 out

R1(config-line)#login

R1(config-line)#password bupt// 设置登陆密码

R1(config-line)#end

R1#copy run start

Destination filename [startup-config]?

Building configuration...

[OK]

打开外网 Telnet 服务：

首先内网Tel net到Router:

Router 界面显示：

在此界面中 Telnet 到外网 实在让人匪夷所思，难道又是模拟器的问题，上网、图书馆查阅资料，均未找到解决方 法

若直接从内网主机 Telnet 外网主机则出现如下状况：

根据第5章中对冲击波病毒特征的描述，利用天网防火墙设置防御冲击波病毒的IP安全规 则，将配置步骤和结果提交报告。

通过第5章对冲击波病毒的特征描述，知道该病毒主要是利用 TC啲135和4444端口以

及UDP勺69端口进行攻击，我们可以通过使用软件将这些端口禁止，以防止端口被攻击， 达到预防的目的。

首先下载安装天网防火墙个人版，然后打开天网防火墙进入增加 IP规则目录，将TCP

的135和4444端口以及UDP勺69端口拦截： 配置好后本来想在网上找个冲击波病毒试试看有没有效果的，但是找到的都是冲击波病 毒专杀工具。

3、 请分析包过滤型防火墙和应用代理型防火墙能否能防御“震荡波”病毒的攻击？如果

可以，请各以一种常见的产品为例(如瑞星和 SOCK?)进行说明，将配置步骤和结果提

交报告。

首先震荡波病毒的攻击方式是：在本地开辟后门，监听 TCP5554端口，做为FTP服务

器等待远程控制命令。病毒以 FTP的形式提供文件传送。黑客可以通过这个端口偷窃用 户机器的文件和其他信息。

　病毒开辟 128 个扫描线程。以本地 IP 地址为基础，取随机 IP地址，疯狂的试探连接445端口，试图利用windows的LSASS中存在一个缓冲区溢出 漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失 败也会造成对方机器的缓冲区溢出 , 导致对方机器程序非法操作 , 以及系统异常等。

所以包过滤防火墙通过过滤目标端口为 445的 ip 包即能防御震荡波病毒， 而应用代 理型防火墙也可已通过检测数据包的目的端口，阻止外网主机连接内网的 445 端口，达 到预防的目的。

因为天网 防火墙属于包过滤防火墙，所以在这里以天网防火墙为例，通过进入规则设 置界面 2 选择 “规则——添加” 拦截信息（增加新变种拦截） ： TCP 接收 5554 1068 9996 9995 TCP或UDP发送445，即可达到预防的目的。

对于应用代理型防火墙，找了很久都没有找到相关软件，不知道老师提示的 SOCK是

不是指 SocksCap32_V2.35_CN.exe然而 SocksCap32_V2.35_CN.exe属于代理服务器第三 方支持软件，可以将用户程序添加到该软件中，只要每次在该软件中运行添加的程序， 添加的程序就会通过代理来连接网络，但是不知道这个和预防震荡波病毒有什么关系。

　难道是要将所有连接网络的程序都通过 SocksCap来运行？

五、 实验总结

首先，我觉得通过这次实验的到了很多收获，主要在以下几点：

1、 自学能力得到大大的提高，从最开始完全不知的 Boson.Netsims 是什么到能基 本熟练使用该软件，对自己来说无疑是一次重大的突破

2、 解决问题的能力提高了，学会了通过上网查阅资料、图书馆查阅资料、上论

坛提问等方式解决问题。

　（比如在第一题中使用 reflect 命令的时候总是提示语法错误， 然后上论坛提问，就有几个学长回答说，有的命令 Boson模拟器不支持，还建议换个模

拟器做实验，然后才怀疑可能是模拟器本身的问题）

3、 自己解决问题，独立思考的问题也得到了提高，比如在解决 Telnet 问题的时

候上网查资料都只能找到主机 Telnet的方法，于是想到能不能通过两次Telnet （即首先 Telnet 到路由再 Telnet 到外网主机）解决，可是无奈最终还是为解决，

4、 学到了一些路由器相关方面的知识，学会了一些路由器配置的基本命令，了 解到通过设置路由器的访问控制列表可以使路由器起到防火墙的功能。

　其次，我觉得这次实验做得非常失败，失败的地方主要在以下几点：

1、 第一问中设置访问控制列表使内网能访问外网，外网不能访问内网，尝试了 许多种方法始终还是没用成功，最终只能退而求其次，使用访问控制列表时内网能 ping 外网，外网不能 ping 内网

2、 第二问使内网主机能 Telnet 外网主机，也是最终没能成功，只能使内网能 Telnet 路由器，多次上网查阅资料，说好像可以采用路由器端口映射的方法，但由于时 间的原因还是没有找到具体解决方法。

3、 第三问通过设置防火墙规则预防冲击波病毒和震荡波病毒，都没有下载病毒 进行测试。

4、 应用代理型防火墙没有找到相关软件试用。

　最后，通过这次实验，深深地体会到了“学无止境”这句话的含义，自己要学习的东西 还有很多，由于时间有限，对于此次实验报告中未解决的问题我一定会在以后的学习过

程中努力去解决它。

相关热词搜索： 实验报告 防火墙 实验 报告 2020防火墙实验报告x