防火墙技术实训报告.doc

1 XXXXXXXXX学校 防火墙技术课程设计总结报告 课程： 班级： 姓名： 学号： 指导老师： 实训地点： 成绩： 2 目录： 1. windows 2003防火墙的配置； 2. 天网防火墙的配置及其测试； 3. ISA企业级防火墙（2006版）的配置 4. 基于网络设备类型X86平台的硬件防火墙的结 构以及工作原理。3 一、windows 2003防火墙的配置： 1.在server 2003 中启用防火墙服务： 2.打开‘Windows 防火墙’ 属性窗口，在常规对话框中选择‘启用’并勾选‘不允许例 外’： 3.点击‘例外’属性，在选择按钮中点击‘添加程序’：4 4.在弹出的二级对话框中点击‘浏览’按钮： 5.在弹出的三级对话框中选中在启用防火墙的情况下不允许例外放行的程序，点击‘打 开’按钮，确定后完成此步骤的操作：5 6.下一步开始设置防火墙的高级选项，在勾选对话框中的‘本地连接’后单击‘设置’按 钮：6 7.进入‘服务’属性选项卡，勾选在启用防火墙的情况下允许运行在本地连接上的网络服 务：7 8.选择‘ICMP’属性，选择来自Internet的此计算机将要响应的信息请求类型： windows 2003防火墙的配置完成。 二、天网防火墙的配置及其测试：8 1.在系统设置中勾选‘开机后自动启用防火墙’选项以及设定局域网的地址： 2.在‘管理权限设置’属性选项卡中点击‘设置密码’按钮，设定密码后点击‘确定’： 3.在‘日志管理’属性选项卡中勾选‘自动保存日志’并选择保存路径：9 4.在‘入侵检测设置’属性选项卡中，勾选‘启用入侵检测功能’并设置‘默认静默时 间’：10 5.在‘应用程序规则’设置中添加已安装的应用程序的网络访问规则，具体设置如下： 6.在‘IP规则管理’属性设置中，增加必要的IP规则对外部网络所进行的访问进行必要 的监控，具体设置如下所示：11 7.在天网防火墙系统中，应用程序网络使用状态部分显示界面截图： 8.针对其他网络访问内网的IP规则测试：12 三、ISA企业级防火墙（2006版）的配置： 1、打开 ISA 服务器管理，会看到已经创建好的阵列，点击阵列名称——配置会看到网络 选项，邮件单击，选择启动网络负载平衡集成： 2、点击后会弹出网络负责平衡集成向导，点击下一步：13 3、选择启用负载均衡的网络，我们选择内部： 4、点击完成，配置好负载均衡：14 5、字防火墙策略中，右键单击——选择新建——访问规则： 6、打开想到后，添加访问规则的名称（名字要比较容易理解，避免以后规则过多混乱）：15 7、选择允许，点击下一步： 8、此处选择所选协议，单击添加：16 9、选择需要允许通过的协议，点击确定： 10、确定协议后，点击下一步：17 11、添加源网络： 12、选择目标网络：18 13、单击添加选择账户类型点击下一步： 14、创建好后，点击完成：19 15、点击阵列——网络——双击内部打开属性 ： 16、在 web 代理处，选择“为此网络启用 web 代理客户端连接”并设置代理端口；点击 身份验证配置身份验证方法：20 17、选择身份验证为“集成” ，也就是通过 AD 域验证的方式，点击确定： 18、配置好 ISA 服务器后，在左上角可以看到“应用”：21 19、应用后，选择“保存更改并重启服务”： 20、保存完成后，5 分钟左右配置生效：22 四、基于网络设备类型X86平台的硬件防火墙的结构以及 工作原理： 防火墙的硬件体系结构曾经历过通用 CPU 架构、ASIC 架构和网络处理器架构， 分别如下： 通用CPU 架构:通用 CPU 架构最常见的是基于 Intel X86 架构的防火墙，在百兆防火墙中 Intel X86 架 构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了 PCI 总线接口， Intel X86 架构的硬件虽然理论上能达到 2Gbps 的吞吐量甚至更高，但是在实际应用中， 尤其是在小包情况下，远远达不到标称性能，通用 CPU 的处理能力也很有限。国内安全 设备主要采用的就是基于 X86 的通用 CPU 架构。 ASIC 架构:ASIC（Application Specific Integrated Circuit，专用集成电路）技术是国外高端网络 设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层 面分离等技术， ASIC 架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很 好的保证。 网络处理器架构:由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此 网络处理器架构的防火墙产品难以占有大量的市场份额。23 工作原理： 防火墙技术 传统意义上的防火墙技术分为三大类， “ 包过滤 ” （ Packet Filtering ） “ 应用代、理” （Application Proxy）和“状态监视” （Stateful Inspection） ，无论一个防 火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。 1.包过滤技术 包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤” （Static Packet Filtering） ，使用包过滤技术的防火墙通常工作在 OSI 模型中的网络层（Network Layer）上，后来发展更新的“动态包过滤” （Dynamic Packet Filtering）增加了传输层 （Transport Layer） ，简而言之，包过滤技术工作的地方就是各种基于 TCP/IP 协议的数据 报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、 端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（Filtering Rule）进行核对， 一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就 会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效，但是这种技术只能根据 预设的过滤规则进行判断，一旦出现一个没有在设计人员意料之中的有害数据包请求，整 个防火墙的保护就相当于摆设了。 2.应用代理技术 代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广 泛。我们都知道，一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的 请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返 回的数据转发给用户，完成一次代理工作过程。 “应用代理”防火墙实际上就是一台小型 的带有数据检测过滤功能的透明代理服务器（Transparent Proxy） ，但是它并不是单纯的在 一个代理设备中嵌入包过滤技术，而是一种被称为“应用协议分析” （Application Protocol Analysis）的新技术。3.状态监视技术 这是继“包过滤”技