第3课 实验5-防火墙实验.doc

姓名：杨琳 学号：20091120021 专业：信息安全 实验5－防火墙实验 实验目的 通过实验理解防火墙的功能和工作原理天网防火墙个人版的配置和使用???防火墙的分类： 从实现技术方式来分类，防火墙可分为包过滤防火墙、应用网关防火墙、代理防火墙和状态检测防火墙等。 从形态上来分类，防火墙可以分为软件防火墙和硬件防火墙。软件防火墙提供防火墙应用软件，需要安装在一些公共的操作系统上；硬件防火墙是将防火墙软件安装在专用的硬件平台和专有操作系统之上，以硬件形式出现，有的还使用一些专有的ASIC硬件芯片负责数据包的过滤，这种方式可以减少系统的漏洞，性能更好，是比较常用的方式，比如?Cisco 的PIX防火墙。 互联网连接防火墙简称ICF，用于保护家庭用户和小型企业不受外部威胁的侵害。ICF旨在为windows 操作系统提供一个基本的入侵保护机制。这意味着ICF可以防止黑客扫描计算机信息，也可以阻止未经计算机请求的外部流量进入计算机。所以，这个简单的防护工具可以有效防止低级黑客入侵系统。ICF为用户提供一种简单和透明的安全体验，用户可以通过一个简单的复选框或者向导在互联网连接上启用ICF，在为高级用户提供灵活的定制设置的同时，也为普通用户提供了一种简单轻松的配置过程。 根据防火墙保护的对象不同，防火墙可分为网络防火墙和主机防火墙。主机防火墙也称为个人防火墙或单机防火墙，它主要对主机系统进行全面的防护。 天网防火墙个人版包过滤防火墙??? 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具 有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被 黑客所攻破。 ??????????????????? （包过滤防火墙工作原理图） 应用网关防火墙 　　应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从 而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是 从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服 务。所以，应用网关防火墙具有可伸缩性差的缺点。 ????????????????? ?????????????????????（应用网关防火墙工作原理图） 状态检测防火墙??? 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防 火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以 这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过 设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限 于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。??? 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关 信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数 据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通 1024号以上的端口，使得安全性得到进一步地提高。存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。