資源描述:
《云南大學(xué)軟件學(xué)院信息安全工程實(shí)驗(yàn)6》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、云南大學(xué)軟件學(xué)院實(shí)驗(yàn)報(bào)告課程:信息安全工程實(shí)驗(yàn)任課教師:林英姓名:學(xué)號(hào):專業(yè):成績(jī):實(shí)驗(yàn)6.防火墻實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康模和ㄟ^(guò)實(shí)驗(yàn)理解入防火墻的功能和工作原理,學(xué)習(xí)NAT轉(zhuǎn)換原理,熟悉NAT在一般網(wǎng)絡(luò)環(huán)境中的應(yīng)用、Linux系統(tǒng)中iptables防火墻以及Windows防火墻的配置和使用。二、實(shí)驗(yàn)原理NAT轉(zhuǎn)換實(shí)驗(yàn):網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)是Internet工程任務(wù)組(IETF,InternetEngineeringTaskForce)的一個(gè)標(biāo)準(zhǔn),是把內(nèi)部私有IP地址轉(zhuǎn)換成合法網(wǎng)絡(luò)IP地址的技術(shù),允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Inter
2、net上。IPtables防火墻配置實(shí)驗(yàn):IPtables是復(fù)雜的,它集成到linux內(nèi)核中。用戶通過(guò)IPtables,可以對(duì)進(jìn)出你的計(jì)算機(jī)的數(shù)據(jù)包進(jìn)行過(guò)濾。通過(guò)IPtables命令設(shè)置你的規(guī)則,來(lái)把守你的計(jì)算機(jī)網(wǎng)絡(luò)──哪些數(shù)據(jù)允許通過(guò),哪些不能通過(guò),哪些通過(guò)的數(shù)據(jù)進(jìn)行記錄(log)。Windows防火墻實(shí)驗(yàn):Windows防火墻是一個(gè)基于主機(jī)的狀態(tài)防火墻,它丟棄所有未請(qǐng)求的傳入流量,即那些既沒(méi)有對(duì)應(yīng)于為響應(yīng)計(jì)算機(jī)的某個(gè)請(qǐng)求而發(fā)送的流量(請(qǐng)求的流量),也沒(méi)有對(duì)應(yīng)于已指定為允許的未請(qǐng)求的流量(異常流量)。Windows防火墻提供某種程度的保護(hù),避免那些依賴未請(qǐng)求的傳入流量來(lái)攻擊網(wǎng)絡(luò)上的計(jì)算機(jī)
3、的惡意用戶和程序。一、實(shí)驗(yàn)步驟NAT轉(zhuǎn)換實(shí)驗(yàn)一、連接防火墻服務(wù)器,開(kāi)始實(shí)驗(yàn)啟動(dòng)實(shí)驗(yàn)客戶端,選擇“防火墻”中的“NAT轉(zhuǎn)換實(shí)驗(yàn)”,點(diǎn)擊“連接”。連接成功后,會(huì)提示連接成功,主界面會(huì)顯示連接IP信息及防火墻規(guī)則操作畫(huà)面。二、添加靜態(tài)路由打開(kāi)本地主機(jī)cmd命令行,輸入routeadd172.21.0.0mask255.255.0.0172.20.2.1,添加路由。三、驗(yàn)證網(wǎng)絡(luò)連通性輸入ping172.21.3.76,如圖所示。四、編寫目的NAT規(guī)則點(diǎn)擊“添加”,填寫如圖所示的規(guī)則。五、驗(yàn)證目的NAT實(shí)驗(yàn)結(jié)果目的地址為172.21.3.77的數(shù)據(jù)包被NAT為172.21.3.76,Ping該目的地
4、址,成功后如圖所示。一、編寫源NAT規(guī)則首先訪問(wèn)http://172.21.3.76/showip.asp,并記錄頁(yè)面中顯示的信息。實(shí)驗(yàn)實(shí)施界面中點(diǎn)擊“添加”,添加如圖所示的防火墻規(guī)則。二、驗(yàn)證源NAT實(shí)驗(yàn)結(jié)果再次訪問(wèn)http://172.21.3.76/showip.asp。對(duì)比前面訪問(wèn)時(shí)頁(yè)面的顯示,源地址被轉(zhuǎn)換成172.20.2.1,結(jié)果如圖所示,從而實(shí)現(xiàn)隱藏源地址的作用。IPtables防火墻配置打開(kāi)Linux實(shí)驗(yàn)臺(tái),進(jìn)入Linux系統(tǒng),啟動(dòng)ftp服務(wù)。(1)通過(guò)IE訪問(wèn)FTP服務(wù)器,服務(wù)器可訪問(wèn)時(shí)如Error!Referencesourcenotfound.所示。(2)設(shè)置防火墻規(guī)
5、則如Error!Referencesourcenotfound.所示為防火墻設(shè)置默認(rèn)規(guī)則,即先清空所有規(guī)則,再將OUTPUT鏈設(shè)置為默認(rèn)丟棄。此時(shí)不能訪問(wèn)FTP,如Error!Referencesourcenotfound.所示。再針對(duì)FTP服務(wù)進(jìn)行放行,添加防火墻規(guī)則如圖所示。其中,如Error!Referencesourcenotfound.所示的命令將FTP控制端口放行;如Error!Referencesourcenotfound.所示的命令將FTP的數(shù)據(jù)端口放行。(1)實(shí)驗(yàn)結(jié)果如Error!Referencesourcenotfound.所示。Windows防火墻配置(1)啟動(dòng)Wi
6、ndows實(shí)驗(yàn)臺(tái),進(jìn)入Windows2003系統(tǒng),開(kāi)啟Windows防火墻。(2)本地主機(jī)連接Windows實(shí)驗(yàn)臺(tái)系統(tǒng)的FTP服務(wù)器,連接結(jié)果如圖所示。(1)設(shè)置開(kāi)啟FTP服務(wù)在Windows實(shí)驗(yàn)臺(tái)系統(tǒng)中,點(diǎn)擊防火墻的“高級(jí)”選項(xiàng)。選擇“本地連接”,然后點(diǎn)擊“設(shè)置”。勾選其中的“FTP服務(wù)器”選項(xiàng),彈出如圖所示的對(duì)話框,輸入Windows實(shí)驗(yàn)臺(tái)自身的IP地址或計(jì)算機(jī)名稱,點(diǎn)擊“確定”。(2)查看添加結(jié)果本地主機(jī)重新訪問(wèn)FTP服務(wù)器,成功。一、回答問(wèn)題:1)什么情況可以使用NAT,如何設(shè)計(jì),有何優(yōu)點(diǎn)NAT常用于下述情形:??1.沒(méi)有足夠的公網(wǎng)IP連接到Internet?2.當(dāng)更換ISP需要重
7、新編址??3.合并兩個(gè)使用重疊地址空間的內(nèi)部網(wǎng)絡(luò)??4.使用單個(gè)IP地址支持基本的負(fù)載分擔(dān)??優(yōu)點(diǎn):??1.節(jié)省了公網(wǎng)IP地址??2.能夠處理編址方案重疊的情況??3.網(wǎng)絡(luò)發(fā)生改變時(shí)不需要重新編址??4.隱藏了真正的IP地址??缺點(diǎn):??1.NAT引起數(shù)據(jù)交互的延遲??2.導(dǎo)致無(wú)法進(jìn)行端到端的IP跟蹤??3.某些應(yīng)用程序不支持NAT??4.需要消耗額外的CPU和內(nèi)存1)防火墻的局限性防火墻十大局限性:???一、防火墻不能