防火墙实验报告

信息安全实验报告

实验名称：防火墙实验

教师：周亚建

班级： 08211319

学号： 08211718

班内序号: 28

姓名：龙宝莲

2011年 3 月 23 日一、实验目的

通过实验深入理解防火墙的功能和工作原理，学会使用boson netsim模

拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。

二、实验原理

1、防火墙的实现技术

●包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由

此

决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

●应用级网关技术。应用级网关即代理服务器，代理服务器通常运行在两个网络之间，它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器，而对于外界的服务器来说，他又相当于此Internet服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果规则允许，代理服务器会将此请求发送给Internet站点，从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离，从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。

●状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内外网间传输的数据包以会话角度进行监测，利用状态跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。

2、防火墙的体系结构

●双重宿主主机体系结构，双重宿主主机体系结构是围绕具有双重宿主主

机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如外部网）并不是直接发送到其它网络（例如内部的被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。

●屏蔽主机体系结构，屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。

在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：即堡垒主机是数据包过滤也允许堡垒主机开放可允许的连接（什么是“可允许”将由用户的站点的安全策略决定）到外部世界。

●屏蔽子网体系结构，屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机

体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔离开。在这种结构下，即使攻破了堡垒主机，也不能直接侵入内部网络（他将仍然必须通过内部路由器）。

三、实验环境

装有WindowsXP的虚拟机，虚拟机上安装好boson netsim 模拟软件

四、实验内容和步骤

首先按照老师给的破解步骤一步一步安装(注：一定要先安装好Microsoft .Net Framework 和Adobe Acrobat Reader)

1、使用Boson Netsim设计如下的网络拓扑

并配置路由器Router的访问控制列表（ACL），使得外网不能访问内网，而内网可以访问外网，并采用ping做测试，请记录详细的配置及测试过程。

（1）首先，利用Boson Network Designer绘制网络实验拓扑图，绘制好的拓扑图如下图：

内网

外网

（2）配置路由器基本参数：

在绘制完实验拓扑图后，将其保存并装入Boson Netsim中开始进行实验配置。通过Boson Netsim中的工具栏按钮eRouters选择Router并按照下面过程进行基本参数配置：

●Router>enable

●Router#conf t

●Router(config)#hostname R1

●R1(config)# int eth 0

●R1(config-if)#ip add shut

●R1(config-if)#int eth 1

●R1(config-if)#ip add shut

●R1(config-if)#end

●R1#copy run start

(3)配置PC基本参数：

通过Boson Netsim中的工具栏按钮“eStations”选择“按照下面的步骤对外网主机进行配置：

●键入“回车键”继续

●键入winipcfg，如下图所示，以图形化方式为该主机配置IP地址、子网掩码、

默认网关等参数。

●在“的命令提示符下键入ping 测试到默认网关的连通性：

通过Boson Netsim中的工具栏按钮“eStations”选择“、16”重复以上步骤，

对内网主机进行配置：

（4）配置、测试静态路由

选择路由器Router并配置相关的静态路由信息，如下所示：

●R1#conf t

●Enter configuration commands, one per line. End with CNTL/Z.

●R1(config)#ip route route run start

●R1#show ip route

选择“在其命令提示符下输入以下命令测试静态路由配置：

Ping 选择“在其命令提示符下输入以下命令测试静态路由配置: Ping 现在内网能访问外网，外网也能访问内网，下面配置路由器Router 的访问控制列表（ACL），使得外网不能访问内网，而内网可以访问外网

（5）配置路由器Router的访问控制列表（ACL）：

如果单纯在外网接口或内网接口将源IP地址为外网的包抛弃，则内网也不能访问外网，因为在内网访问外网过程中，内网必然会接收来自外网回发的数据包（如TCP三次握手协议），所以想到在这里使用自反ACL限制外网访问，在Router 命令提示符窗输入如下命令：

●R1#conf t

●R1(config)#ip access-list extended aclout

●R1(config-ext-nacl)#permit tcp any any reflect tcp

但提示错误：

上网查阅资料，说是不支持reflect命令？，然后又想到尝试使用标记（evaluate）：输入如下命令：

●R1(config)#ip access-list extended come

●R1(config-ext-nacl)#permit tcp any any????????

●R1(config-ext-nacl)#evaluate abc

但还是提示错误：

上网查阅资料说是，我们使用的是Demo模式运行，好多命令不支持，在想是不是这个原因，但还是找不到解决方法，于是采用以下方式配置：

此时外网ping内网，不通：

内网ping外网，通：

这种方法只能限制使外网不能ping内网，但我认为想要的结果不是这样的，但是又找不到解决方法

2、在外网的计算机上开放FTP（或者Telnet）服务，怎样配置路由器Router，使

得内网的计算机能接收到来自外网计算机的FTP（或者Telnet）应答信息？