【免费】10-2019051121-林晓旭-个人防火墙配置1资源-CSDN文库

需积分: 0 103 浏览量 2022-08-08 19:56:38 上传评论收藏 902KB DOCX 举报

资源详情

资源评论

资源推荐

暨南大学本科实验报告专用纸

课程名称网络安全实验成绩评定

实验项目名称个人防火墙配置指导教师潘冰

实验项目编号 10 实验项目类型验证型实验地点

学生姓名林晓旭学号 2019051121

学院智能科学与工程系专业信息安全

实验时间 2022 年 5 月 11 日上午～ 5 月 11 日下午

一、实验目的

1、通过配置 Windows7/10 系统提供的系统防火墙，实现多种安全策略，对主机所有的网络信息进行

监控和审查，深入了解个人防火墙的主要功能和配置。

二、实验原理

1、防火墙简介。

防火墙介于外部网络和内部网络之间，提供对外部网络的安全隔离，对内部网络的安全管控，

入侵防御，防病毒，能进行内容安全过滤。简单地说，防火墙的主要作用是划分网络安全边界，

实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击。与路由器相比防火墙提供了

更丰富的安全防御策略，提高了安全策略下数据报转发速率。由于防火墙用于安全边界，因此往

往兼备 NAT、VPN 等功能，并且在这方面的相比路由器更加强劲。

2、防火墙分类

包过滤防火墙(Packet Filtering)：包过滤利用定义的特定规则过滤数据包，防火墙直接获得

数据包的 IP 源地址、目的地址、TCP/ UDP 的源端口、和 TCP/UDP 的目的端口。包过滤防火墙

简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包都需

要进行策略检查，策略过多会导致性能急剧下降。

代理型防火墙（Application Gateway）：代理型防火墙使得防火墙做为一个访问的中间节

点，对客户端来说防火墙是一个服务器，对服务器来说防火墙是一个客户端。代理型防火墙安全

性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型

防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。

状态检测防火墙：状态检测是一种高级通信过滤，它检查应用层协议信息并且监控基于连接

的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是

否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙。

3、安全区域

安全区域（Security Zone），简称为区域（Zone），是一个安全概念，许多安全策略都基于安全区

域实施。我们在防火墙上创建安全区域，并且定义该安全区域的安全级别（也被称为优先级，通过 1～

100 的数字表示，数字越大表示安全级别越高），然后将防火墙的接口关联到一个安全区域，那么该接

在一个安全策略的条件语句中，相同类型的条件内可以配置多个值，多个值之间是“或”的关

系，报文的属性只要匹配任意一个值，就认为报文的属性匹配了这个条件。例如一条规则中指

定了源 IP 地址条件，那么用户可以指定多个源地址，报文只需要匹配其中一个地址，即被认为

匹配该条件类型。

一个安全策略中可以包含多个匹配条件，如源、目的安全区域，源、目的地址，用户或应

用类型等。各个匹配条件之间是“与”的关系，报文的属性与各个条件必须全部匹配，才认为该报

文匹配这条规则。例如在某条规则中，定义了源地址与目的地址条件，那么报文必须同时匹配

该源、目的地址才被视为匹配该条件。缺省情况下所有的条件均为 any（也即该规则中没有定义

任何条件时），即所有流量（包括域内流量）均可以命中该规则

6、会话表

会话表用来记录 TCP、UDP、ICMP 等协议连接状态的表项，是防火墙转发报文的重要依据。

防火墙基于连接状态转发报文。只对首包或者少量报文进行检测然后确认一个连接状态（会话

项），然后根据此状态来对后续报文进行控制。会话表就是记录大量连接状态的表，大大提升防火

墙的检测和转发效率。表项包括会话的源 IP 地址、目的 IP 地址、源端口号、目的端口号以及协

议类型等信息，此外，还有该会话的入站区域、出站区域、去向报文个数以及回程报文个数等。

对于一个已经建立的会话表表项，只有当它不断被报文匹配才有存在的必要。如果长时间没

有报文匹配，则说明可能通信双方已经断开了连接，不再需要该条会话表项了。为了节约系统资

源，系统会在一条表项连续未被匹配一段时间后，将其删除，即会话表项已经老化。对于某些特

殊业务中，一条会话的两个连续报文可能间隔时间很长。对于某些特殊业务中，一条会话的两个

连续报文可能间隔时间很长。如果只靠延长这些业务所属协议的老化时间来解决这个问题，会导

致一些同样属于这个协议，但是其实并不需要这么长的老化时间的会话长时间不能得到老化。这

会导致系统资源被大量占用，性能下降，甚至无法再为其他业务建立会话。所以必须缩小延长老

化时间的流量范围。长连接功能可以解决这一问题。长连接功能可以对特定的数据流设置超长老

化时间，保证这些应用的会话表表项不被删除，这样当这些会话的报文长时间没有到达设备后再

次到达时，仍然能够通过设备。从而使这些应用不被中断。

7、 Server-map

由于会话表对哪些报文属于同一条流量的标准过于严格，会导致一些特殊协议不能正确匹配

会话表。Server-map 表可以解决这一问题。例如使用 FTP 协议的 port 方式传输文件时，既需要客

户端主动向服务器端发起控制连接，又需要服务器端主动向客户端发起服务器数据连接，如果设

备上配置的安全策略为允许单方向上报文主动通过，则 FTP 文件传输不能成功。为了解决这一类

问题，引入了 Server-map 表，Server-map 用于存放一种映射关系。这种映射关系可以是控制数据

剩余15页未读，继续阅读

评论收藏

内容反馈

实在想不出来了

粉丝: 24
资源: 318

10-2019051121-林晓旭-个人防火墙配置1

评论0

最新资源

10-2019051121-林晓旭-个人防火墙配置1

评论0

10-2019051121-林晓旭-网络地址转换1

1-2019051121-林晓旭-钓鱼攻击1

8-2019051121-林晓旭-RIP路由协议配置1

6-2019051121-林晓旭-DDOS1

9-2019051121-林晓旭-OSPF路由协议配置1

12-2019051121-林晓旭-综合组网配置1

3-2019051121-林晓旭-网络监听1

9-2019051121-林晓旭-HTTPS协议分析1

2-2019051121-林晓旭-网络信息收集1

11-2019051121-林晓旭-SNORT入侵检测系统1

13-2019051121-林晓旭-无线网络监听与破解1

3-2019051121-林晓旭-Internet应用与应用层协议分析1

7-2019051121-林晓旭-数据链路层和网络层协议分析1

5&6-2019051121-林晓旭-交换机基本配置与VLAN的划分&跨VLAN通信实现1

2019051121-林晓旭-互联网时代观后感1

2019051121林晓旭1

代码黑魔法-叉姐(郭晓旭)

Fourier_transform-叉姐（交大郭晓旭）

Dynamic_Programming_Theory_Part_2-叉姐(郭晓旭)

BurpLoaderKeygen.jar.zip

最新版ISO/IEC 27001:2022、ISO 27002:2022中英文合集

Goby红队版-win-x64-2.4.7版本

Chrome Header Editor 插件

ISO SAE 21434-2021 中文版.pdf

OpenVAS GVM 中文翻译补丁

安全认证cisp教材全套

STM32F103C8T6核心板-电路原理图1.PDF

软件工程导论(第六版)课后习题答案1

最新资源