防火墙技术实训报告.doc

1、(完整word版)防火墙技术实训报告XXXXXXXXX学校防火墙技术课程设计总结报告课程： 班级： 姓名： 学号： 指导老师: 实训地点： 成绩： 目录：1。windows 2003防火墙的配置；2.天网防火墙的配置及其测试；3。ISA企业级防火墙(2006版)的配置4。基于网络设备类型X86平台的硬件防火墙的结构以及工作原理。一、windows 2003防火墙的配置：1。在server 2003 中启用防火墙服务：2.打开Windows 防火墙 属性窗口，在常规对话框中选择启用并勾选不允许例外：3.点击例外属性，在选择按钮中点击添加程序:4.在弹出的二级对话框中点击浏览按钮：5.在弹出的三级

2、对话框中选中在启用防火墙的情况下不允许例外放行的程序，点击打开按钮，确定后完成此步骤的操作:6。下一步开始设置防火墙的高级选项，在勾选对话框中的本地连接后单击设置按钮：7.进入服务属性选项卡，勾选在启用防火墙的情况下允许运行在本地连接上的网络服务：8。选择ICMP属性,选择来自Internet的此计算机将要响应的信息请求类型：windows 2003防火墙的配置完成.二、天网防火墙的配置及其测试：1.在系统设置中勾选开机后自动启用防火墙选项以及设定局域网的地址：2.在管理权限设置属性选项卡中点击设置密码按钮，设定密码后点击确定：3。在日志管理属性选项卡中勾选自动保存日志并选择保存路径:4.在入

3、侵检测设置属性选项卡中，勾选启用入侵检测功能并设置默认静默时间：5.在应用程序规则设置中添加已安装的应用程序的网络访问规则,具体设置如下:6。在IP规则管理属性设置中，增加必要的IP规则对外部网络所进行的访问进行必要的监控,具体设置如下所示：7。在天网防火墙系统中，应用程序网络使用状态部分显示界面截图:8。针对其他网络访问内网的IP规则测试：三、ISA企业级防火墙(2006版）的配置:1、打开ISA服务器管理，会看到已经创建好的阵列，点击阵列名称-配置会看到网络选项，邮件单击,选择启动网络负载平衡集成：2、点击后会弹出网络负责平衡集成向导，点击下一步:3、选择启用负载均衡的网络,我们选择内部：

4、4、点击完成，配置好负载均衡：5、字防火墙策略中，右键单击选择新建-访问规则：6、打开想到后，添加访问规则的名称（名字要比较容易理解,避免以后规则过多混乱）：7、选择允许，点击下一步:8、此处选择所选协议，单击添加:9、选择需要允许通过的协议，点击确定：10、确定协议后，点击下一步：11、添加源网络：12、选择目标网络：13、单击添加选择账户类型点击下一步：14、创建好后，点击完成：15、点击阵列网络-双击内部打开属性 ：16、在web代理处，选择“为此网络启用web代理客户端连接”并设置代理端口;点击身份验证配置身份验证方法：17、选择身份验证为“集成”，也就是通过AD域验证的方式，点击确定

5、:18、配置好ISA服务器后,在左上角可以看到“应用”：19、应用后，选择“保存更改并重启服务：20、保存完成后，5分钟左右配置生效：四、基于网络设备类型X86平台的硬件防火墙的结构以及工作原理：防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，分别如下：通用CPU架构：通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，

6、通用CPU的处理能力也很有限。国内安全设备主要采用的就是基于X86的通用CPU架构。ASIC架构：ASIC（Application Specific Integrated Circuit，专用集成电路)技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证.网络处理器架构：由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。工作原理:防火墙技术 传统意义上的防火墙技术分为三大类, “ 包过滤

7、” （ Packet Filtering ) “ 应用代、理”（Application Proxy）和“状态监视”（Stateful Inspection）,无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。1。包过滤技术 包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤（Static Packet Filtering)，使用包过滤技术的防火墙通常工作在 OSI 模型中的网络层（Network Layer)上，后来发展更新的“动态包过滤”（Dynamic Packet Filtering)增加了传输层(Transport Layer），简而言之，包

8、过滤技术工作的地方就是各种基于 TCP/IP 协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则（Filtering Rule)进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃.适当的设置过滤规则可以让防火墙工作得更安全有效，但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求，整个防火墙的保护就相当于摆设了。 2。应用代理技术 代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。我们都

9、知道,一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。 “应用代理”防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(Transparent Proxy)，但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为“应用协议分析”（Application Protocol Analysis）的新技术。 3。状态监视技术 这是继“包过滤技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤原理的“动态包过滤”技

10、术发展而来的与之类似的有其他厂商联合发展的 “深度包检测”（Deep Packet Inspection）技术。这种防火墙技术通过一种被称为“状态监视” 的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。 (1) 包过滤防火墙 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关.这样系统就具 有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被 黑客所

11、攻破。 （2） 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从 而提高网络的安全性.然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接：一个是从客户端到防火墙，另一个是 从防火墙到服务器.另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服 务。所以，应用网关防火墙具有可伸缩性差的缺点。 （3) 状态检测防火墙 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好,同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防 火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以 这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为.实训总结纸上得来终觉浅，绝知此事要躬行!”在短暂的实训过程中，让我深深的感觉到在实际运用中的专业知识的重要性，只有把理论知识应用到实际,才能发现自己对所学知识的掌握程度,也才能真正领悟到“学无止境的含义。25