实验 2 -1 网络和应用系统安全 【实验目的】 通过实验深入理解防火墙的功能和工作原理,熟悉天网防火墙个人版的配置和使用。 【实验原理】 2.1 防火墙的工作原理 防火墙是一种访问控制技术,位于可信和不可信网络之问,通过设置一系列安全规则对两个网络之间的通信进行控制,检测交换的信息,防止对重要信息资源的非法存取和访问,以达到保护系统的目的。防火墙有软件防火墙和硬件防火墙,保护的可信网络为企业内部的网络,不可信网络为 Internet。此外,防火墙也用于内部网络,保护某一重要部门的网络不受内部网中其它部门网络的侵害。一个好的防火墙系统应具有以下几方面的特性: (1)在内部网络和外部网络之间传输的所有数据都必须通过防火墙: (2)提供众多安全策略,并且只有防火墙安全策略允许的数据可以通过防火墙: (3)防火墙能抵御各种攻击对其正常功能的影响,能使用现代密码技术、一次口令系统、智能卡等信息安全技术提供防火墙的自身安全性; (4)具有良好的人机界面,用户配置使用方便、易管理。系统管理员可以方便地对防火墙进行设置,对 Internet 的访问者、被访问者、访问协议以及访问方式进行控制。 1.防火墙的实现技术 防火墙实现控制内外网问数据传输的技术有多种,简单地可以分为包过滤技术、应用级网关技术和状态检测技术 3 大类。 (1)包过滤技术包过滤是防火墙最基本的过滤技术,这一技术在 1989 年提出,是最早期的防火墙技术。它要求将防火墙放置于内外网络的边界,作为内部、外部网络的惟一通道使一切数据包都必须经过防火墙。防火墙包过滤技术就是对内外网之间传输的数据包按照某些特征事先设置一系列的安全规则(或称安全策略),进行过滤或筛选,使符合安全规则的数据包通过,而丢弃那些不符合安全规则的数据包。这些安全规则设置过程中所判断的特征包括: ①数据包协议类型:TCP、UDP、ICMP、IGMP 等: ②源、目的 IP 地址: ③源、目的端口:FTP、HTTP、DNS 等; ④IP 选项:源路由、记录路由等; ⑤TCP 选项:SYN、ACK、FIN、RST 等; ⑥其它协议选项:ICMP ECHO、ICMP ECHO REPLY 等; ⑦数据包流向:in(进)或ou t(出); ⑧数据包流经的网络接口。 因为包过滤技术只需要对每个数据包与相应的安全规则进行比较即可,实现较为简单,因而得到了非常广泛的应用。早期直接应用于路由器,作为路由器功能的一部分。这种技术实现效率高,但配置复杂,容易因配置不当而带来很多问...
