灰鸽子2012

1

(此文档为word格式，下载后您可任意编辑修改！)

实验项目列表

序号实验项目名称成绩指导教师

1防火墙的功能验证

2防火墙的安全配置与管理

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

2

防火墙的功能验证

1．实验目的和要求

掌握防火墙的安装、基本配置、安全策略，能够实现通过防火墙的规则设置，

保护内部网络的基本操作方法，理解防火墙的工作原理与基本功能。

2．实验原理

网络攻击拦截：阻止黑客攻击系统对用户造成的危险。

出站攻击防御：最大程度解决“肉鸡”和“网络僵尸”对网络造成的安全威

胁。

恶意网址拦截：保护用户在访问网页时，不被病毒及钓鱼网页侵害。

个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品，具有

完备的规则设置，能有效的监控任何网络连接，保护网络不受黑客的攻击。

3．主要仪器设备（实验用的软硬件环境）

1)WindowsServer2003操作系统

2)瑞星2012防火墙软件

4．操作方法与实验步骤

1）安装瑞星2012防火墙

2）防火墙功能验证

（1）程序联网控制

（2）网络攻击拦截

（3）恶意网址拦截

（4）ARP欺骗防御

（5）对外攻击拦截

（6）网络数据保护

（7）IP规则设置

5．实验内容及实验数据记录

一）软件安装与维护

1.安装

环境要求：

操作系统：WindowsXPWindows7rver2003

3

CPU：500MHz及以上

内存：512MB系统内存及以上，最大支持内存4GB

支持网络协议：IPV4

软件：瑞星个人防火墙2012版

2.维护卸载

可以通过添加删除组件菜单，根据不同的需求对瑞星防火墙的组件进行管

理。也可以通过修复菜单，重新安装已安装的组件。当您不需要瑞星防火墙时，

可通过卸载来完全卸载。

方法：

单击【开始】【程序】【瑞星个人防火墙】【修复】或者

打开控制面板，双击【添加删除程序】，在【添加或删除程序】属性页中选

中【瑞星个人防火墙】。

4

【添加删除】：选中此项后，您可根据自身需要，添加或删除瑞星防火墙的

组件，便于您更灵活、更有效地使用资源；

【修复】：选中此项后，程序会对现有的瑞星防火墙进行修复安装，检查已

安装的瑞星防火墙的完整性，并修复存在的问题。便于您更稳定地使用瑞星防

火墙；

【卸载】：选中此项后，将会卸载瑞星防火墙。

二）网络防护

1.程序联网控制

控制电脑中的程序对网络的访问。进行“增加”、“删除”、“导入”、“导出”、

“修改”、“高级选项”设置，实现相关程序的访问控制。

2.网络攻击拦截

依托瑞星“智能云安全”网络分析技术，有效拦截各种网络攻击：浏览器

攻击、远程溢出、蠕虫传播、僵尸网络、木马后门（如灰鸽子等）。

3.恶意网址拦截

设置黑白名单，屏蔽或保护相关程序；启用钓鱼网页扫描功能；启用搜索

引擎搜索结果风险分析。

欺骗防御

5.对外攻击拦截

5

1）检测SYNLlood攻击；2）检测ICMPLlood攻击；3）检测UDPLlood

攻击。

6.网络数据保护

1）启用端口隐身；2）启用聊天加密。

规则设置

1）可信区服务：

2）黑白名单：通过“增加”、“导入”设置白名单，在白名单中的电脑对

本机具有完全的访问权限。

3）端口开关：通过“增加”、“编辑”、“删除”、“导入”、“导出”设置，

允许或禁止列表中的端口通讯。

6．实验数据处理与分析

通过ARP静态规则的设置：“添加”、“编辑”、“删除”、“导入”、“导出”、“修

改”，防止电脑受到ARP攻击，并帮助找到局域网中的攻击源。

防御的方式（可同时勾选）：1）定时检查本机ARP缓存；2）禁止IP地址

冲突攻击；3）禁止本机对外发送虚假IP数据包。

防御范围设置（勾选之一）：1）防御局域网中的所有电脑；2）防御指定的

电脑地址和静态地址。

在IP规则设置中，可以通过“增加”、“编辑”、“删除”、“导入”、“导出”、

“恢复默认”设置IP规则。如

规则名称状态范围

协

议

远程端口本地端口

报警方

式

允许域名

解析

放行所有IP包

UD

P

53

任意端口不报警

允许动态

IP

放行所有IP包

UD

P

67-6867-68

不报警

允许

SNMP

放行所有IP包

UD

P

任意端口

161

不报警

允许FTP放行所有IP包

TC

P

20

任意端口不报警

6

禁止ping

入

拒绝收到的IP包

IC

MP

特征代码为0不报警

…..….

7．质疑、建议、问题讨论

瑞星防火墙是一款比较出名和被狂翻应用的软件防火墙，它可以网络攻击拦

截，入侵检测规则库每日随时更新，拦截来自互联网的黑客、病毒攻击、包括

木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。

在安装于配置过程中由于人性化的界面设计和傻瓜是的配置方法，使得在使

用瑞星防火墙上可以得心应手，它的功能也能得到很好的发挥出来。

防火墙的安全配置与管理

1．实验目的和要求

理解防火墙的基本功能、原理与配置原则，掌握防火墙的安全规则策略创

建与测试方案。

2．实验原理

网络攻击拦截：阻止黑客攻击系统对用户造成的危险。

出站攻击防御：最大程度解决“肉鸡”和“网络僵尸”对网络造成的安全威

胁。

恶意网址拦截：保护用户在访问网页时，不被病毒及钓鱼网页侵害。

个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品，具有

完备的规则设置，能有效的监控任何网络连接，保护网络不受黑客的攻击。

3．主要仪器设备（实验用的软硬件环境）

1)WindowsServer2003操作系统

2)ISAServer2006防火墙软件

3）天网防火墙软件

4．操作方法与实验步骤

1）安装ISAServer2006防火墙

2）ISA防火墙的安全配置

（1）配置内部网络

7

（2）创建网络规则

（3）创建策略规则

（4）测试该方案

3）创建和配置受限制的计算机集

4）发布外围网络中的Web服务器

5）发布外围网络中的Web服务器

6）配置虚拟专用网（VPN）

5．实验内容及实验数据记录

1）安装ISAServer2006防火墙

在虚拟机中打开一个03和一个XP,用03作放火墙服务器,XP内网客户端,

真机作为外网

（1）在03上安装ISA

8

9

10

11

12

13

14

15

2）ISA防火墙的安全配置

16

17

18

19

20

3）配置客户端

1.配置SecureNATClient

客户机能ping通外网

21

2.配置WebProxyClient

客户端不能ping通外网,但能访问,以为它不支持一个协议

22

3.配置FirewallClient

23

客户端不能ping通外网,但能访问,以为它不支持一个协议

6．实验数据处理与分析

ISAServer2006是路由级别的防火墙,兼有高性能缓存功能，ISA

Server2006可以部署成一台专用防火墙,作为内部用户接入Internet的安全网

关。

安全服务器的发布:ISAServer2006,内部用户能够向Internet发布服务,

ISAServer2006计算机代表内部发布服务器来处理客户端的请求,避免服务器直

24

接暴露在Internet上而收到攻击。

Web缓存服务器:ISAServer2006可以像代理防火墙一样,通过服务器中的

缓存实现网络的加速,可以同时将Internet防火墙和Web缓存部署到同一台服

务器。

在配置ISAServer2006客户端时有：

特性

SecureNATClientFirwallClientWebProxyClient

是否需要安装

否,但是需要修改网络

配置

是

否,但是需要配置

浏览器

操作系统支持

任何支持TCPIP协议

的系统

只有Windows

操作平台

所有操作平台,但

是需要以Web应

用的方式

协议支持

及其它

之

Windows应用

程序

P以及Gopher

用户级身份验

证

只要VPN客户端需要需要

服务器应用程

序

不需要配置或安装需要配置文件

NA

7．质疑、建议、问题讨论

1.防火墙的主要功能有：

强化安全策略；记录用户的上网活动；隐藏用户站点或网络拓扑；安全策

略的检查。

2.在防火墙的分类上有：

1)包过滤型防火墙：工作在OSI参考模型的网络层，根据数据包头源地址，

目的地址，端口号和协议类型等标志来确定是否允许数据包通过。

2)代理型防火墙：工作在OSI的最高层,应用层，代理服务器实是在确认客

户端连接请求后接管连接，代其向服务器发出连接请求，代理服务器根据服务

器的应答，决定如何响应客户端请求，缺点是速度慢。

25

3)状态检测型防火墙：是由包过滤型发展而来的，可以自动生成和删除响

应过滤规则，还可以追踪连接状态，工作在网络层。

3.防火墙体系

双宿主堡垒主机：两块网卡的主机做防火墙，一个用外网，一个用内网

三宿主堡主机：防火墙有三个接口，一个内网，一个外网，一个非军事区

背靠背连接：有两台双网卡的防火墙，DMZ区就在两个防火墙之间