网络安全实验四.pdfVIP

实验四Windows2003防火墙配置

一实验目的

1.了解防火墙的含义与作用

2.学习防火墙的基本配置方法

二实验原理

一．防火墙

在古代，人们已经想到在寓所之间砌起一道砖墙，一旦火灾发生，它能够防

止火势蔓延到别的寓所，于是有了“防火墙”的概念。

进入信息时代后，防火墙又被赋予了一个类似但又全新的含义。防火墙是指

设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间

的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根

据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强

的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻

辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部

网络和Internet之间的任何活动，保证了内部网络的安全。

二．防火墙功能

1．防火墙是网络安全的屏障

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并

通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过

防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的

NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来

攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的

源路由攻击和ICMP重定向中的重定向攻击。防火墙应该可以拒绝所有以上类型

攻击的报文并通知防火墙管理员。

2．防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、

身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，

防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的

身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

3．对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日

志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能

进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个

网络的使用和误用情况也是非常重要的。这样可以清楚防火墙是否能够抵挡攻击

者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求

分析和威胁分析等而言也是非常重要的。

4．防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限

制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网

络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线

索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用

防火墙就可以隐蔽那些透漏内部细节的服务如Finger，DNS等。Finger显示了

主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。Finger

显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程

度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。

防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地

址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术

体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子

网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技

术保障。

三．NAT

NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转

换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标

准，允许一个整体机构以一个公共IP地址出现在Internet上。顾名思义，它是

一种把内部私有IP地址翻译成公共IP地址的技术。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与

外部网络进行通讯时，就在网关处，将内部地址替换成公用地址，从而在外部公

网（Internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一

功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个

公共IP地址，就把整个局域网中的计算机接入Internet中。