实验五~简易防火墙配置

防火墙实验【实验目的】掌握个人防火墙的使用及规则的设置【实验内容】防火墙设置，规则的设置，检验防火墙的使用。

【实验环境】（1）硬件 PC机一台。

（2）系统配置：操作系统windows XP以上。

【实验步骤】(有两种可选方式，1、以天网防火墙为例，学习防火墙的规则设置，2、通过winroute防火墙学习使用规则设置，两者均需安装虚拟机)一、虚拟机安装与配置验证virtual PC是否安装在xp操作系统之上，如果没有安装，从获取相关软件并安装；从教师机上获取windows 2000虚拟机硬盘二、包过滤防火墙winroute配置（可选）1、从教师机上获取winroute安装软件并放置在windows 2000上安装2、安装默认方式进行安装，并按提示重启系统3、登陆虚拟机,打开winroute图1 route 安装界面以管理员的身份登录，打开开始>WinRoute Pro>WinRoute Administration，输入IP地址或计算机名，以及WinRoute管理员帐号（默认为Admin）、密码（默认为空）3、打开菜单Setting>Advanced>Packet Filter4、在Packet Filter对话框中，选中Any interface并展开双击No Rule图标，打开Add Item对话框在Protocol下拉列表框中选择ICMP，开始编辑规则配置Destination：type为Host,IP Address为192.168.1.1 (x为座位号)5、在ICMP Types中，选中All复选项在Action区域，选择Drop项在Log Packet区域选中Log into Window其他各项均保持默认值，单击OK单击OK，返回主窗口6、合作伙伴间ping对方IP，应该没有任何响应打开菜单View>Logs>Security Log ,详细查看日志记录禁用或删除规则8、用WinRoute控制某个特定主机的访问（选作）要求学生在虚拟机安装ftp服务器。

防火墙实验实验报告1：防火墙基本配置和过滤规则实验实验目的：了解防火墙的基本配置和过滤规则的设置，掌握防火墙的基本工作原理和功能。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外网接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙策略：根据实际需求，配置防火墙的入站和出站规则。

可以设置允许或拒绝特定IP地址、端口或协议的流量通过防火墙。

启用防火墙并测试：保存配置并启用防火墙，然后通过实验主机进行网络连接和通信测试，观察防火墙是否按照预期进行流量过滤和管理。

实验结果和分析：通过正确配置和启用防火墙，实验主机的网络连接和通信应该受到防火墙的限制和管理。

只有符合防火墙策略的网络流量才能通过，不符合策略的流量将被防火墙拦截或丢弃。

通过观察实验主机的网络连接和通信情况，可以评估防火墙的工作效果和安全性能。

实验总结：本次实验通过配置防火墙的基本设置和过滤规则，掌握了防火墙的基本工作原理和功能。

实验结果表明，正确配置和启用防火墙可以提高网络的安全性和稳定性。

实验报告2：防火墙日志分析实验实验目的：了解防火墙日志的产生和分析方法，掌握通过分析防火墙日志来识别潜在的安全威胁和攻击。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙日志：在防火墙设备中启用日志记录功能，并设置日志记录级别和存储位置。

进行网络活动：通过实验主机进行各种网络活动，包括浏览网页、发送邮件、进行文件传输等。

防火墙的设计与配置实验报告(一)防火墙的设计与配置实验报告引言防火墙是网络安全中的重要组成部分，它能够保护网络免受恶意攻击和未经授权的访问。

在本实验报告中，我们将重点讨论防火墙的设计与配置。

设计原则为了确保防火墙的有效性和可靠性，我们应遵循以下设计原则：- 合规性：防火墙的配置和规则设置必须符合相关安全标准和法规要求。

- 防御深度：采用多层次的防护方式，例如网络隔离、访问控制列表（ACL）等，保障网络的安全性。

- 灵活性：防火墙的设计应该具备适应不同网络环境和需求变化的能力。

- 可管理性：防火墙的配置和管理应该简单易行，不影响正常网络运行。

配置步骤以下是防火墙配置的基本步骤：1.定义安全策略：根据实际需求，明确访问控制政策并制定安全规则。

2.确定网络拓扑：了解网络拓扑和通信流量，确定防火墙的位置及其与其他网络设备的连接方式。

3.规划地址空间：分配和规划IP地址、端口和协议。

4.设置访问规则：配置防火墙的访问控制列表（ACL），限制特定IP地址或端口的访问权限。

5.创建安全组：根据需求设定安全组，限制特定IP地址或协议的流量。

6.启用日志记录：开启防火墙日志记录功能，及时发现和应对潜在的安全威胁。

7.测试与验证：经过配置后，进行防火墙功能和安全性的测试与验证。

最佳实践以下是一些防火墙设计与配置的最佳实践：•使用默认拒绝规则：配置防火墙时，优先采用默认拒绝规则来限制访问，只允许必要的和经过授权的流量通过。

•定期审查和更新规则：定期审查现有的安全规则，删除不再需要的规则，并及时更新和添加新的规则以适应网络变化。

•网络监控和入侵检测：与防火墙配套使用网络监控和入侵检测工具，及时监测和响应网络安全事件。

•应用安全补丁和更新：定期更新和应用防火墙设备的安全补丁和软件更新，以关闭已知的漏洞和提高系统的安全性。

结论通过本次实验，我们深入了解了防火墙的设计与配置过程。

只有在遵循合适的设计原则和最佳实践的前提下，才能保障防火墙的有效性和网络的安全性。

实验5 简易防火墙配置目的：在这个实验中，将在Windows 2000中创建简易防火墙配置（IP筛选器）。

完成实验后，将能够在本机实现对IP站点、端口、DNS服务屏蔽，实现防火墙功能。

实验条件：必须熟悉防火墙的概念。

必须具备下述环境：本机运行Windows 2000 Server。

任务1．运行IP筛选器任务描述：在Windows 2000 Server上运行IP筛选器。

操作步骤：（1）在Windows 2000桌面上选择“开始”︱“运行”命令，在出现的“运行”对话框中输入mmc，单击“确定”按钮，出现“控制台1”窗口，选择菜单上的“控制台”︱“添加/删除管理单元”命令，出现“添加/删除管理单元”对话框。

图1（2）在“添加/删除管理单元”对话框中，选择“独立”标签页，在“管理单元添加到”下拉列表框中，选择“控制台根节点”选项，单击“添加”按钮，出现“添加独立管理单元”对话框。

图2（3）在“添加独立管理单元”对话框中，在“可用的独立管理单元”列表框中，选择“IP安全策略管理”选项，单击“添加”按钮；在出现的“选择计算机”对话框中，单击“本地计算机”单选按钮，单击“完成”按钮。

图3图4（4）返回“添加独立管理单元”对话框，单击“关闭”按钮，返回“添加/删除管理单元”对话框；单击“确定”按钮，返回“控制台1”窗口（见图4），完成“IP安全策略，在本地计算机”的设置。

图5任务2．添加IP筛选器表任务描述：在本级中添加一个能对指定IP（同组的另一台主机的IP）进行筛选的IP筛选器表。

操作步骤：（1）在“控制台1”窗口的“控制台根节点”窗口中，展开刚建立的“IP安全策略，在本地机器”选项，右边框中有3个默认的安全规则；选中左边的“IP安全策略，在本地计算机器”选项并右击，从打开的菜单中选择“管理IP筛选器表和筛选器操作”命令，出现“管理IP筛选器表和筛选器操作”对话框。

图6（2）在出现的“管理IP筛选器表和筛选器操作”对话框中，单击“添加”按钮，出现“IP筛选器列表”对话框。

实验七交换机基本配置一、实验目的（1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。

实验设备与器材熟悉交换机开机界面；（2）掌握Quidway S系列中低端交换机几种常用配置方法；（3）掌握Quidway S系列中低端交换机基本配置命令。

二、实验环境Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。

交换机，标准Console配置线。

三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。

预备知识1、防火墙防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。

2、包过滤技术一般情况下，包过滤是指对转发IP数据包的过滤。

对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。

3、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。

访问控制列表(Access Control List )的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。

实验一防火墙软件设置与使用实验报告实验课程信息安全技术实验名称防火墙与防病毒软件的设置与使用实验时间2012-2013学年上学期8 周星期 6 第7、8 节学生姓名学号班级实验地点设备号A21、D50 指导教师一、实验目的1.熟悉防火墙基本知识。

2.掌握防火墙的配置策略与实现。

3.了解杀毒软件的工作原理。

4.学习使用杀毒软件清除病毒。

二、实验要求1.掌握防火墙的具体使用，熟悉防火墙配置规则。

2.掌握常用杀毒软件清除病毒的方法。

三、实验内容1、天网防火墙1）防火墙的安装天网防火墙个人版是以一个可执行文件方式提供的，下载之后直接执行便可以开始安装了，每次选择next。

运行天网个人版防火墙后，你可以看见一款非常漂亮简洁的界面：这时，你可以根据自己安全需要设置天网个人版防火墙，天网个人版防火墙提供了应用程序规则设置、自定义IP规则设置、系统设置、安全级别设置的等功能。

（1）应用程序规则设置新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。

在天网个人版防火墙打开的情况下，点击第二个菜单，就可以进行设置了，弹出窗口。

一般情况下，选择“开机的时候自动启动防火墙”。

对于“我的电脑在局域网中使用”的这一个选项，我们的电脑都是在局域网中使用的，所以也要进行选择。

下面的框中有一个IP地址，是我们电脑的动态IP地址，同学们可以打开自己的电脑的IP地址来核对一下。

在我们运行天网的时候，还会出现一些如上图的这些对话框，同学们还是一样的根据自己的选择进行选择时允许还是禁止。

如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。

如果你选中以后都允许选项，该程序将自动加入到应用程序列表中，天网个人版防火墙将默认不会再拦截该程序发送和接受的数据包。

你可以通过应用程序设置来设置更为复杂的数据包过滤方式。

简易防火墙的配置摘要当今时代是飞速发展的信息时代，计算机与信息处理技术日渐成熟。

随着Internet和计算机网络技术的蓬勃发展，网络安全问题现在已经得到普遍重视。

网络防火墙系统就是网络安全技术在实际中的应用之一。

本文通过学习防火墙和IPSec两种不同技术，学习两者协同工作技术近几年国内外的研究成果，并通过实践动手配置windows2003 IP筛选器，加深了对防火墙技术和IPSec安全协议的理解认识。

关键词：网络安全；防火墙；IPSec安全协议；协同The simple configuration of FirewallAbstractThe current era is a rapid development of information age.The technologies of computer and information processing become mature.With the Internet and computer network technology to be flourishing，network security that has been widely concerned. Firewall system is one of the security technologies that used in the network.In this paper, it studied firewall and IPSec technologies and the research results of the problem of cooperation of IPSec and firewall at home and abroad in recent years. At last,in order to have a better understanding of firewall and IPSec technologies, make a configuration of IP filter on windows 2003 server.Key words:Network Security;Firewall;IPSec;Cooperation目录摘要 (1)Abstract (1)1引言 (3)1.1 实验背景 (3)1.2 本实验研究方法 (3)2 国内外研究成果 (3)2.1 面临的问题 (3)2.2 解决的方案 (4)3 实验过程 (5)3.1实验环境 (5)3.2实验内容 (5)3.3实验步骤 (5)3.3.1运行IP筛选器 (5)3.3.2添加IP筛选器表 (6)3.3.3添加IP筛选器动作 (10)3.3.4创建IP安全策略 (11)3.3.5用IP筛选器屏蔽特定端口 (13)3.3.6 应用IP安全策略规则 (15)3.3.7 用IP筛选器屏蔽DNS服务 (15)结论 (17)心得体会 (17)下一步工作 (17)参考文献 (17)附录1：插图与表格索引 (18)1引言1.1 实验背景防火墙是一种隔离技术，是一类防范措施的总称，利用它使得内部网络与Internet或者其他外部网络之间相互隔离，通过限制网络互访来保护内部网络。

实验五配置防火墙• 4.1 教学要求理解：防火墙的概念与功能、入侵检测技术的概念与功能、入侵防御的概念与功能。

掌握：防火墙部署的结构类型、网络安全态势感知技术。

了解：防火墙的应用场景、入侵检测的应用场景、网络防御技术的应用。

• 4.2教学实践本节介绍配置高级安全 Windows Defender 防火墙。

虽然有很多商业的防火墙软件可以对用户主机加以防护，但大多数情况下，Windows操作系统自带的防火墙功能足够强大，可以支持用户基本的安全需要。

Windows Defender防火墙是基于状态的主机防火墙，可以对IPv4和IPv6流量按规则进行筛选过滤，除此之外，它还可以指定端口号、应用程序名称、服务名称或其他标准来对允许通过的业务流量进行配置。

（1）通过打开Windows控制面板里搜索“防火墙”，或者在“配置”功能里搜索“防火墙”，可以打开Windows Defender防火墙功能，如图4-6所示。

点击“高级设置”按钮，可以进入到高级安全WindowsDefender防火墙功能。

图4-6 Windows Defender防火墙（2）进入“高级安全的 Windows 防火墙”后，其窗口左侧提供了相关“高级安全的 Windows Defender防火墙”的选项功能列表，包括“入站规则”、“出站规则”、“连接安全规则”和“监视”等功能，如图4-7所示。

图4-7 高级安全Windows Defender防火墙配置界面（3）通过出站规则限制特定的程序访问互联网。

在高级安全Windows Defender防火墙配置界面上，点击出站规则，在界面右侧选择“新建规则”，进入到“新建出站规则向导”功能，如图4-8所示。

图4-8选择新建出站规则的类型以限制QQ访问互联网为例，在没有进行限制前，QQ软件可以成功登陆。

现在通过Windows Defender防火墙功能，把QQ软件的出站访问进行限制，即限制QQ主程序访问互联网，如图4-9所示，将QQ.exe的程序路径加入。

《认识防火墙》作业设计方案（第一课时）一、作业目标本节课的作业设计旨在帮助学生理解防火墙的基本概念、作用和重要性，通过实际操作加深对防火墙的认识，并能够正确配置简单的防火墙设置，为后续的网络安全学习打下基础。

二、作业内容1. 理论学习：学生需完成对防火墙的课前预习，掌握防火墙的基本概念、分类、功能以及在网络安全中的作用。

2. 视频观摩：观看有关防火墙的工作原理和配置过程的视频教程，理解防火墙的实际操作流程。

3. 实践操作：学生需在教师提供的虚拟实验环境中，模拟配置防火墙，包括设置访问规则、监控网络流量等基本操作。

4. 作业报告：完成一份关于“我理解的防火墙”的报告，阐述对防火墙的理解以及在日常生活和学习中可能的应用场景。

三、作业要求1. 理论学习部分要求学生在预习后能够回答与防火墙相关的基本问题，并记录下不理解的地方以供课堂讨论。

2. 视频观摩后需提交一份简短的观后报告，描述视频中的关键操作步骤和自己的理解。

3. 实践操作部分需按照教师提供的步骤和要求，认真完成防火墙的模拟配置，并记录操作过程。

4. 作业报告需结合理论学习和实践操作的内容，写出自己的见解和思考，报告字数不少于800字。

四、作业评价1. 教师将根据学生的理论学习情况、视频观摩报告、实践操作过程及作业报告的综合表现进行评价。

2. 评价标准包括对防火墙基本概念的理解程度、操作步骤的正确性、报告的逻辑性和深度等。

3. 对于表现优秀的学生，教师将给予表扬和鼓励，并作为课堂表现的参考；对于存在问题的学生，教师将给予指导和帮助，并要求其进行改正。

五、作业反馈1. 教师将在课堂上对学生的作业进行点评，指出存在的问题和需要改进的地方。

2. 对于学生在实践操作中遇到的困难和问题，教师将提供详细的解答和指导。

3. 学生可根据教师的反馈和建议，对自己的作业进行修改和完善，以提高学习效果。

六、结语通过本次作业的设计与实施，期望能够帮助学生更好地理解防火墙的重要性和作用，提高网络安全意识，为今后的学习和生活打下坚实的基础。

网络安全防火墙的配置操作规程1. 引言网络安全防火墙是现代网络系统中的重要组成部分，能够有效保护网络系统免受来自外部网络的攻击和威胁。

本文将介绍网络安全防火墙的配置操作规程，以帮助管理员正确、高效地配置防火墙，提高网络安全性。

2. 规程概述网络安全防火墙的配置操作规程旨在确保防火墙在部署和配置过程中能够满足网络系统的安全需求。

此规程适用于企业、组织或个人网络系统的防火墙配置。

3. 配置前准备在开始配置网络安全防火墙之前，应提前做好以下准备工作：3.1 对网络拓扑结构进行深入了解，并确定防火墙的部署位置；3.2 审查网络系统的安全策略和需求，确定合适的访问控制策略；3.3 选定一种可靠的防火墙产品，并确保其操作手册和技术支持文档齐全；3.4 准备必要的硬件设备和软件工具。

4. 防火墙配置步骤4.1 连接与初始化4.1.1 将防火墙设备与网络系统中的交换机或路由器进行物理连接；4.1.2 配置防火墙的基本网络参数，如IP地址、子网掩码等；4.1.3 设定登录密码和管理权限，确保只有授权人员能够进行配置和管理。

4.2 策略配置4.2.1 根据网络系统的安全策略，制定适当的访问控制策略；4.2.2 配置防火墙规则，包括允许和拒绝特定IP地址、端口和协议进行通信；4.2.3 设置网络地址转换（NAT）规则，将私有IP地址映射为公有IP地址。

4.3 服务配置4.3.1 开启合适的网络服务，如HTTP、FTP、SMTP等；4.3.2 配置服务访问规则，限制服务的访问权限；4.3.3 设置应用层代理，对特定的服务进行安全过滤和检测。

4.4 安全选项配置4.4.1 配置入侵检测和阻断系统（IDS/IPS），监控和保护网络免受恶意攻击；4.4.2 开启流量过滤和防御，对异常流量进行识别和过滤；4.4.3 设定虚拟专用网（VPN）配置，提供安全的远程访问和数据传输。

5. 防火墙日志管理5.1 配置日志记录功能，并确定日志保存的位置和存储时间；5.2 定期检查防火墙日志，分析和识别异常活动；5.3 建立日志备份和归档机制，以便日后审计和调查。

网络安全实验Windows防火墙应用网络安全实验：Windows防火墙的应用在互联网环境下，网络安全问题至关重要。

防火墙是保障网络安全的重要设备，而Windows防火墙作为其中的一种，具有广泛的应用。

本文将通过实验的方式，探讨Windows防火墙在网络安全中的应用。

实验目的本实验旨在研究Windows防火墙的配置与使用，通过搭建模拟网络环境，观察防火墙对网络攻击的防护效果，为提高系统安全性能提供参考建议。

实验环境实验设备：一台运行Windows 10操作系统的计算机实验软件：Windows防火墙、网络攻击工具（如Nmap）实验网络拓扑：计算机通过交换机与路由器相连，构成一个简单的局域网。

实验步骤1、安装并配置Windows防火墙在Windows 10操作系统中，打开“控制面板”，选择“系统和安全”，然后单击“Windows防火墙”，进入防火墙设置界面。

根据系统提示，启用防火墙，并添加需要保护的网络连接。

2、搭建网络攻击环境使用网络攻击工具（如Nmap），对实验设备进行扫描，确保网络层和应用层的漏洞存在。

3、进行网络攻击实验分别对开启和关闭Windows防火墙的实验设备进行网络攻击，观察攻击结果。

4、分析实验数据记录开启和关闭防火墙时，实验设备遭受网络攻击的情况，并进行对比分析。

5、总结实验结果根据实验数据，分析Windows防火墙在网络安全中的作用。

实验结果通过实验数据对比，我们发现：1、当关闭Windows防火墙时，实验设备遭受网络攻击的次数较多，且部分攻击成功；2、当开启Windows防火墙时，实验设备遭受网络攻击的次数明显减少，且攻击成功率降低。

实验分析Windows防火墙通过监控网络流量，对进入或离开计算机的数据包进行过滤，从而阻止未经授权的访问。

在实验中，开启防火墙后，实验设备遭受网络攻击的次数明显减少，说明Windows防火墙能够有效防护网络攻击。

但需要注意的是，防火墙并非万能，还需结合其他安全措施，共同提高系统安全性能。

《网络安全技术》实验报告2) 定义IP规则, 这里是采用默认情况, 见下图。

3) 下图是各个应用程序使用端口的情况。

4) 下图就是日志, 上面记录了程序访问网络的记录, 局域网和互联网上被IP扫描端口的情况。

4) 防火墙开放端口应用,打开6881～6889端口。

①建立新的IP规则, 如下图, 在自定义IP规则里双击进行新规则设置②设置新规则后, 把规则上移到该协议组的置顶, 并保存。

然后可以进行在线端口测试, 这些端口是否已经开放的。

5) 应用自定义规则防止常见病毒。

下面是防范冲击波病毒的实例应用, 冲击波就是利用WINDOWS 系统的RPC服务漏洞以及开放的69、135.139、445.4444端口入侵。

①下图就是禁止4444端口的示意图。

②封锁69端口, 见下图。

③封锁445端口, 见下图。

④建立完后就保存, 保存完后就可以防范冲击波病毒了。

七、实验思考防火墙日志的作用是什么以及如何使用防火墙日志？作用：1、作为网络安全的屏障；2、可以强化网络安全策略；3、可以对网络存取和访问进行监控审计；4、可以防止内部信息的外泄；如何使用防火墙日志：天网防火墙会把所有不合规则的数据包拦截并记录到日志中, 如果选择了监视所有TCP和UDP数据包, 那发送和接收的每个数据包都将被记录。

天网防火墙会把所有不合规则的数据包拦截并记录到日志中, 如果选择了监视所有TCP和UDP数据包, 那发送和接收的每个数据包都将被记录。

如139端口攻击, 139端口是NetBIOS协议所使用的端口, 在安装了TCP/IP 协议的同时, NetBIOS 也会被作为默认设置安装到系统中。

139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道电脑中的一切!如何配置其他一些常见网络防火墙？八. 实验结论通过本次实验, 我知道了一般软件防火墙的使用与配置。

可以使用该软件监听各个应用程序使用端口的情况, 查看哪些程序使用了端口, 使用哪个端口, 是否存在可疑程序在使用网络资源。

河北工业大学网络安全实验报告班级：网络Z072组别：第一组教师：***组长：薛静组员：夏灵梓刘建敏刘文千苗贝贝史丽丽郝明秀马明丽申玉敏昝蕊张舒丁越李莉CISCO PIX515E 防火墙安全配置● 实验目的：⏹ 熟悉CiscoPIX515防火墙的基本组成功能，了解CiscoPIX515防火墙的启动过程。

掌握通过超级终端由console 口登陆到防火墙。

⏹ 理解防火墙静态，动态地址翻译原理，掌握相关的配置命令 ⏹ 掌握防火墙的管道功能及配置命令● 实验内容：通过本图搭建网络 并完成以下操作根据拓扑图中以给定的IP 地址，按下列要求对防火墙进行配置:图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1口，右口为f0/0口。

要求：1.对防火墙、路由器进行基本的命令配置。

使得内网的所有机器能访问外网。

2．所有内网的主机出口使用防火墙对外的全局地址为202.161.1.2192.168.1.20112.16.1.20192.168.3.23．所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机，此主机对外的公开地址为202.161.1.5,允许对此主机进行www、ftp实验过程：一．路由器配置配置：路由器R1配置：int f0/1ip add 192.168.1.1 255.255.255.0no shutint f0/0ip add 192.168.2.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.2.2路由器R2配置：int f0/1ip add 192.168.3.2 255.255.255.0no shutint f0/0ip add 112.16.1.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.3.1防火墙配置：设置端口安全级别：nameif e0 outside sec0nameif e1 inside sec100设置端口参数：interface e0 autointerface e1 auto配置内外网的IP地址：ip add outside 192.168.3.1ip add inside 192.168.2.2设置指向内外网的静态路由nat (inside) 1 0 0global (outside) 1 202.161.1.2route outside 0.0.0.0 0.0.0.0 192.168.3.2为什么//route inside 192.168.1.1 255.255.255.0 192.168.2.1配置静态IP地址映射命令static (inside,outside) 202.161.1.5 192.168.1.10通过conduit命令设置对资源主机的访问控制conduit permit tcp host 202.161.1.5eq www anyconduit permit tcp host 202.161.1.5eq ftp any●实验结果:：●实验总结：网络知识就是一个大型开发场，给我们无限的钻研空间！通。

简单的防火墙设计课程设计一、课程目标知识目标：1. 学生理解防火墙的基本概念，掌握防火墙的类型与工作原理；2. 学生掌握简单防火墙配置与管理的方法；3. 学生了解网络安全的层次结构，理解防火墙在网络安全中的重要性。

技能目标：1. 学生能够运用所学知识设计简单的防火墙规则；2. 学生能够通过实验操作，完成防火墙的基本配置；3. 学生能够分析并解决简单的网络安全问题。

情感态度价值观目标：1. 学生培养对网络安全的关注和意识，增强信息保护的责任感；2. 学生培养团队协作精神，学会在团队中沟通交流、共同解决问题；3. 学生通过实际操作，体验成功的喜悦，激发学习网络安全的兴趣。

课程性质：本课程为计算机网络技术课程的一部分，侧重于实践操作，旨在让学生在实际操作中掌握防火墙的相关知识。

学生特点：学生为高中二年级学生，具备一定的计算机网络基础，对新鲜事物充满好奇，喜欢动手实践。

教学要求：结合学生特点，注重理论与实践相结合，以学生为主体，引导他们主动探索、积极思考，培养实际操作能力。

在教学过程中，将目标分解为具体的学习成果，便于教学设计和评估。

二、教学内容1. 防火墙基础概念：防火墙的定义、作用、类型；2. 防火墙工作原理：包过滤、状态检测、应用代理等；3. 防火墙配置与管理：规则设置、策略配置、日志管理等；4. 网络安全层次结构：物理层、网络层、传输层、应用层；5. 防火墙在实际应用中的案例分析：家庭、企业、校园等场景；6. 实践操作：使用模拟软件进行防火墙配置与测试。

教学大纲：第一课时：防火墙基础概念及类型介绍第二课时：防火墙工作原理及网络安全层次结构第三课时：防火墙配置与管理方法第四课时：案例分析与实践操作指导第五课时：实践操作与成果展示教学内容安排与进度：1. 前两课时：学习防火墙基础概念、工作原理及网络安全层次结构；2. 第三课时：学习防火墙配置与管理方法，进行实际操作演示；3. 第四课时：分析防火墙在实际应用中的案例，指导学生进行实践操作；4. 第五课时：学生完成实践操作，进行成果展示与交流。

防火墙设置实验报告的一、引言防火墙设置是计算机网络安全的重要组成部分，通过限制网络传输的流量来保护计算机和网络资源免受潜在的威胁。

本实验报告将介绍防火墙设置的基本概念、实验过程和结果，并分享个人对防火墙设置的观点和理解。

二、防火墙设置的基本概念防火墙是一种网络安全设备，位于计算机与外部网络之间，负责监控和控制网络流量。

防火墙通过定义和实施规则，对传入和传出的数据包进行检查和过滤，以保证网络安全与资源保护。

三、实验过程1. 确定防火墙类型：选择适合实验需求的网络防火墙类型，比如软件防火墙或硬件防火墙。

2. 设置防火墙规则：根据实验目标和网络安全需求，设置防火墙规则，包括允许或禁止的传入/传出连接、端口策略、应用程序权限等。

3. 测试与调整：根据实验需求，进行各种网络传输测试，例如Ping 测试、端口扫描等，以验证防火墙设置的有效性和安全性。

4. 优化和完善：根据实验过程中的测试结果和安全需求，对防火墙设置进行优化和完善，确保网络安全和正常通信。

四、实验结果本次实验采用软件防火墙，设置了如下规则：1. 允许传入的HTTP和HTTPS连接，限制传出的SMTP和POP3连接。

2. 开放特定端口（如80端口）供外部访问，严格限制其他端口的访问。

3. 禁止某些应用程序（如P2P文件共享工具）访问网络。

经过测试和优化，防火墙设置实现了预期的目标，并成功保护了计算机和网络资源的安全。

五、个人观点和理解防火墙设置在现代网络环境中至关重要。

通过限制和过滤网络流量，防火墙有效地保护了计算机和网络资源免受恶意攻击和未经授权的访问。

在设置防火墙规则时，我们需要充分考虑实际需求和安全策略，避免设置过于宽松或过于严格的规则。

定期测试和调整防火墙设置也是必要的，以应对不断变化的网络威胁。

六、总结与回顾本实验报告介绍了防火墙设置的基本概念、实验过程和结果，以及个人对防火墙设置的观点和理解。

防火墙作为网络安全的重要组成部分，通过限制和过滤网络流量，有效保护了计算机和网络资源的安全。

防火墙实验【实验名称】防火墙实验【实验目的】掌握防火墙的基本配置；掌握防火墙安全策略的配置。

【背景描述】1.用接入广域网技术（NA T），将私有地址转化为合法IP地址。

解决IP地址不足的问题，有效避免来自外部网络的攻击，隐藏并保护内部网络的计算机。

2.网络地址端口转换NAPT（Network Address Port Translation）是人们比较常用的一种NA T方式。

它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NA T设备选定的TCP端口号。

3.地址绑定：为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP 地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。

4.抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Flood攻击；ICMP Flood攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FIN攻击；无确认FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；tear drop攻击。

【小组分工】组长：IP：192.168.10.200 管理员：IP：172.16.5.4 策略管理员+日志审计员：IP：172.16.5.3 日志审计员：IP：172.16.5.2 策略管理员：IP：172.16.5.1 配置管理员{注：在以下的试验中，有管理员对防火墙进行了必要配置后，以后的实验所有的成员都根据自己所分配功能进行了相关的配置，和对配置结果进行了相关测试。

网络防火墙配置报告防火墙专题实训3.1 实训任务1、防火墙上实现ip-sweep和port-scan攻击防范动态加入黑名单功能。

2、防火墙上实现分片报文攻击防范、常见flood攻击防范。

3、防火墙墙上添加相应的规则，进行常见病毒攻击的防护。

图3.1 组网图如图所示，使用SecPath防火墙，两端分别连接一台PC做内外网，在外网端使用一台PC做攻击者，攻击内网用户，模拟实际情况。

做好地址规划和各端口配置。

按组网要求进行配置。

3.2 IP地址规划这个题目我构建了一个简单的网络结构，在防火墙的两端分别接上PC，模拟内网和外网。

表2 IP地址规划3.3 设备配置防火墙配置：[firewall]dis cur#sysname firewall#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20 #firewall statistic system enable#firewall blacklist enable#radius scheme systemserver-type extended#domain system#aspf-policy 1detect tcpdetect udp#acl number 3000rule 1 deny ip destination 192.68.20.3 0 fragmentrule 2 permit tcp destination 192.168.20.2 0 fragmentrule 3 permit ip source 192.168.30.0 0.0.0.255rule 5 permit ip source 192.168.30.3 0acl number 3001rule 0 deny tcp source-port eq 3127rule 1 deny tcp source-port eq 1025rule 2 deny tcp source-port eq 5554rule 3 deny tcp source-port eq 9996rule 4 deny tcp source-port eq 1068rule 5 deny tcp source-port eq 135rule 6 deny udp source-port eq 135rule 7 deny tcp source-port eq 137rule 8 deny udp source-port eq netbios-nsrule 9 deny tcp source-port eq 138rule 10 deny udp source-port eq netbios-dgmrule 11 deny tcp source-port eq 139rule 12 deny udp source-port eq netbios-ssnrule 13 deny tcp source-port eq 593rule 14 deny tcp source-port eq 4444rule 15 deny tcp source-port eq 5800rule 16 deny tcp source-port eq 5900rule 18 deny tcp source-port eq 8998rule 19 deny tcp source-port eq 445rule 20 deny udp source-port eq 445rule 21 deny udp source-port eq 1434rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgm rule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssn rule 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444 rule 45 deny tcp destination-port eq 5800 rule 46 deny tcp destination-port eq 5900 rule 48 deny tcp destination-port eq 8998 rule 49 deny tcp destination-port eq 445 rule 50 deny udp destination-port eq 445 rule 51 deny udp destination-port eq 1434 #interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.20.1 255.255.255.0 firewall packet-filter 3001 inbound#interface Ethernet0/1ip address 192.168.30.1 255.255.255.0 firewall packet-filter 3000 inbound firewall aspf 1 outbound#interface Ethernet0/2#interface Ethernet0/3#interface Encrypt1/0interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0 set priority 85statistic enable ip inzone#firewall zone untrustadd interface Ethernet0/1set priority 5statistic enable ip outzone#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrustfirewall defend ip-sweep max-rate 100 blacklist-timeout 2 firewall defend port-scan max-rate 100 blacklist-timeout 2 firewall defend syn-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood ip 192.168.20.2 max-rate 100 tcp-proxyfirewall defend udp-flood ip 192.168.20.2firewall defend icmp-flood ip 192.168.20.2#user-interface con 0user-interface aux 0user-interface vty 0 4#return3.4 测试结果动态加入黑名单功能测试：动态加入黑名单主要是针对ip-sweep和port-scan攻击的。