没有合适的资源?快使用搜索试试~ 我知道了~
10-2019051121-林晓旭-个人防火墙配置1
需积分: 0 0 下载量 103 浏览量
2022-08-08
19:56:38
上传
评论
收藏 902KB DOCX 举报
温馨提示
试读
16页
(2)添加出入站规则 以添加对某个网站的访问规则为例,实现对网络流量的管理(注意效果截图) (5)下一步就是输入站点对应的IP地址了 (6)因为该规则的目的是限
资源详情
资源评论
资源推荐
暨南大学本科实验报告专用纸
课程名称 网络安全实验 成绩评定
实验项目名称 个人防火墙配置 指导教师 潘冰
实验项目编号 10 实验项目类型 验证型 实验地点
学生姓名 林晓旭 学号 2019051121
学院 智能科学与工程 系 专业 信息安全
实验时间 2022 年 5 月 11 日 上午~ 5 月 11 日 下午
一、 实验目的
1、通过配置 Windows7/10 系统提供的系统防火墙,实现多种安全策略,对主机所有的网络信息进行
监控和审查,深入了解个人防火墙的主要功能和配置。
二、 实验原理
1、防火墙简介。
防火墙介于外部网络和内部网络之间,提供对外部网络的安全隔离,对内部网络的安全管控,
入侵防御,防病毒,能进行内容安全过滤。简单地说,防火墙的主要作用是划分网络安全边界,
实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击。与路由器相比防火墙提供了
更丰富的安全防御策略,提高了安全策略下数据报转发速率。由于防火墙用于安全边界,因此往
往兼备 NAT、VPN 等功能,并且在这方面的相比路由器更加强劲。
2、 防火墙分类
包过滤防火墙(Packet Filtering):包过滤利用定义的特定规则过滤数据包,防火墙直接获得
数据包的 IP 源地址、目的地址、TCP/ UDP 的源端口、和 TCP/UDP 的目的端口。包过滤防火墙
简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包都需
要进行策略检查,策略过多会导致性能急剧下降。
代理型防火墙(Application Gateway):代理型防火墙使得防火墙做为一个访问的中间节
点,对客户端来说防火墙是一个服务器,对服务器来说防火墙是一个客户端。代理型防火墙安全
性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型
防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。
状态检测防火墙:状态检测是一种高级通信过滤,它检查应用层协议信息并且监控基于连接
的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是
否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙。
3、 安全区域
安全区域(Security Zone),简称为区域(Zone),是一个安全概念,许多安全策略都基于安全区
域实施。我们在防火墙上创建安全区域,并且定义该安全区域的安全级别(也被称为优先级,通过 1~
100 的数字表示,数字越大表示安全级别越高),然后将防火墙的接口关联到一个安全区域,那么该接
口所连接的网络就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。
安全域间(Interzone)这个概念用来描述流量的传输通道,它是两个“区域”之间的唯一“道路”。
如果希望对经过这条通道的流量进行检测等,就必须在通道上设立“关卡”,如 ASPF 等功能。任意两
个安全区域都构成一个安全域间,并具有单独的安全域间视图。
安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound):入方向
(inbound):数据由低级别安全区域向高级别安全区域传输的方向;出方向(outbound):数据由高级
别安全区域向低级别安全区域传输的方向。
4、 安全策略
安全策略是防火墙中对流量转发、以及对流量中的内容进行安全一体化检测的策略。当防火墙收
到流量后,会对流量的属性(包括五元组、用户、时间段等)进行识别,从而和安全策略进行匹配,
如果能够匹配上,则执行相应的动作。
安全策略由匹配条件、动作、安全配置文件组成。
(1) 匹配条件。匹配条件包括五元组(源地址、目的地址、源端口、目的端口、协议)、
VLAN、源安全区域、目的安全区域、用户、时间段等。
(2) 动作。一般来说,动作包括允许和禁止。如果动作为允许且没有配置内容安全检测,则
允许流量通过。如果配置了内容安全检测,最终根据内容安全检测来判断是否通过;如
果动作为禁止,防火墙不仅可以将报文丢弃,还可以针对不同报文类型选择发送对应的
反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后,可以快速结束
会话并让用户感知到请求被阻断。
(3) 安全配置文件。安全配置文件的目的是实现更加复杂、精细的动作。一个安全策略可以
有多个安全配置文件。如果其中一个安全配置文件阻断该流量,则防火墙阻断该流量。
如果所有的安全配置文件都允许该流量转发,则防火墙允许该流量转发。
5、 安全策略匹配过程。
安全策略的匹配按照策略列表顺序执行,从上往下逐条匹配,如果匹配了某条策略,将不再
往下匹配。因此,配置安全策略的顺序很重要,需要优先配置精确的安全策略,然后再配置粗略
的安全策略。
在一个安全策略的条件语句中,相同类型的条件内可以配置多个值,多个值之间是“或”的关
系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。例如一条规则中指
定了源 IP 地址条件,那么用户可以指定多个源地址,报文只需要匹配其中一个地址,即被认为
匹配该条件类型。
一个安全策略中可以包含多个匹配条件,如源、目的安全区域,源、目的地址,用户或应
用类型等。各个匹配条件之间是“与”的关系,报文的属性与各个条件必须全部匹配,才认为该报
文匹配这条规则。例如在某条规则中,定义了源地址与目的地址条件,那么报文必须同时匹配
该源、目的地址才被视为匹配该条件。缺省情况下所有的条件均为 any(也即该规则中没有定义
任何条件时),即所有流量(包括域内流量)均可以命中该规则
6、 会话表
会话表用来记录 TCP、UDP、ICMP 等协议连接状态的表项,是防火墙转发报文的重要依据。
防火墙基于连接状态转发报文。只对首包或者少量报文进行检测然后确认一个连接状态(会话
项),然后根据此状态来对后续报文进行控制。会话表就是记录大量连接状态的表,大大提升防火
墙的检测和转发效率。表项包括会话的源 IP 地址、目的 IP 地址、源端口号、目的端口号以及协
议类型等信息,此外,还有该会话的入站区域、出站区域、去向报文个数以及回程报文个数等。
对于一个已经建立的会话表表项,只有当它不断被报文匹配才有存在的必要。如果长时间没
有报文匹配,则说明可能通信双方已经断开了连接,不再需要该条会话表项了。为了节约系统资
源,系统会在一条表项连续未被匹配一段时间后,将其删除,即会话表项已经老化。对于某些特
殊业务中,一条会话的两个连续报文可能间隔时间很长。对于某些特殊业务中,一条会话的两个
连续报文可能间隔时间很长。如果只靠延长这些业务所属协议的老化时间来解决这个问题,会导
致一些同样属于这个协议,但是其实并不需要这么长的老化时间的会话长时间不能得到老化。这
会导致系统资源被大量占用,性能下降,甚至无法再为其他业务建立会话。所以必须缩小延长老
化时间的流量范围。长连接功能可以解决这一问题。长连接功能可以对特定的数据流设置超长老
化时间,保证这些应用的会话表表项不被删除,这样当这些会话的报文长时间没有到达设备后再
次到达时,仍然能够通过设备。从而使这些应用不被中断。
7、 Server-map
由于会话表对哪些报文属于同一条流量的标准过于严格,会导致一些特殊协议不能正确匹配
会话表。Server-map 表可以解决这一问题。例如使用 FTP 协议的 port 方式传输文件时,既需要客
户端主动向服务器端发起控制连接,又需要服务器端主动向客户端发起服务器数据连接,如果设
备上配置的安全策略为允许单方向上报文主动通过,则 FTP 文件传输不能成功。为了解决这一类
问题,引入了 Server-map 表,Server-map 用于存放一种映射关系。这种映射关系可以是控制数据
剩余15页未读,继续阅读
实在想不出来了
- 粉丝: 24
- 资源: 318
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 基于JavaScript讲解的数据结构和算法
- python计算机视觉python-computer-vision.rar
- VB+ACCESS计算机等级考试管理系统(源代码+系统+答辩PPT).zip
- python密码python-ciphers.rar
- 2c60fbb3dt9ad50ed8864298eea1484b.MP4
- 基于yolov8+dlib实现视觉识别的安全驾驶监测系统部署到jetson NX平台源码+模型.zip
- Qt框架+OpenCV+动态爱心+编程教学+520
- 基于opencv+yolov8实现目标追踪及驻留时长统计源码.zip
- 水稻病害基于Yolov8算法优化目标检测识别与AI辅助决策python源码+模型+使用说明.zip
- 海尔618算价表_七海5.20_16.00xlsx(1)(2).xlsx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0