云南大学软件学院信息安全工程实验6.docVIP

云南大学软件学院 实 验 报 告 课程： 信息安全工程实验 任课教师： 林英 姓名： 学号： 专业： 成绩： 实验6.防火墙实验 实验目的： 通过实验理解入防火墙的功能和工作原理，学习NAT转换原理，熟悉NAT在一般网络环境中的应用、Linux系统中iptables防火墙以及Windows防火墙的配置和使用。 实验原理 NAT转换实验： 网络地址转换(NAT，Network Address Translation)是Internet工程任务组(IETF，Internet Engineering Task Force)的一个标准，是把内部私有IP地址转换成合法网络IP地址的技术，允许一个整体机构以一个公用IP地址出现在Internet上。 IPtables防火墙配置实验： IPtables是复杂的，它集成到linux内核中。用户通过IPtables，可以对进出你的计算机的数据包进行过滤。通过IPtables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录(log)。 Windows防火墙实验： Windows防火墙是一个基于主机的状态防火墙，它丢弃所有未请求的传入流量，即那些既没有对应于为响应计算机的某个请求而发送的流量(请求的流量)，也没有对应于已指定为允许的未请求的流量(异常流量)。Windows防火墙提供某种程度的保护，避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。 实验步骤 NAT转换实验 连接防火墙服务器，开始实验 启动实验客户端，选择“防火墙”中的“NAT转换实验”，点击“连接”。 连接成功后，会提示连接成功，主界面会显示连接IP信息及防火墙规则操作画面。 添加静态路由 打开本地主机cmd命令行，输入route add mask ，添加路由。 验证网络连通性 输入ping 6，如图所示。 编写目的NAT规则 点击“添加”，填写如图所示的规则。 验证目的NAT实验结果 目的地址为7的数据包被NAT为6，Ping该目的地址，成功后如图所示。 编写源NAT规则 首先访问 6/showip.asp，并记录页面中显示的信息。 实验实施界面中点击“添加”，添加如图所示的防火墙规则。 验证源NAT实验结果 再次访问 6/showip.asp 。对比前面访问时页面的显示，源地址被转换成，结果如图所示，从而实现隐藏源地址的作用。 IPtables防火墙配置 打开Linux实验台，进入Linux系统，启动ftp服务。 通过IE访问FTP服务器，服务器可访问时如 REF _Ref270663694 \* MERGEFORMAT 图所示。 设置防火墙规则 如 REF _Ref270663695 \* MERGEFORMAT 图所示为防火墙设置默认规则，即先清空所有规则，再将OUTPUT链设置为默认丢弃。 此时不能访问FTP，如 REF _Ref270663696 \* MERGEFORMAT 图所示。 再针对 FTP服务进行放行，添加防火墙规则如图所示。 其中，如 REF _Ref270663698 \* MERGEFORMAT 图所示的命令将FTP控制端口放行；如 REF _Ref270663699 \* MERGEFORMAT 图所示的命令将FTP的数据端口放行。 实验结果如 REF _Ref270663700 \* MERGEFORMAT 图所示。 Windows防火墙配置 启动Windows实验台，进入Windows 2003系统，开启Windows防火墙。 本地主机连接Windows实验台系统的FTP服务器，连接结果如图所示。 设置开启FTP服务 在Windows实验台系统中，点击防火墙的“高级”选项。 选择“本地连接”，然后点击“设置”。 勾选其中的“FTP服务器”选项，弹出如图所示的对话框，输入Windows实验台自身的IP地址或计算机名称，点击“确定”。 查看添加结果 本地主机重新访问FTP服务器，成功。 回答问题： 什么情况可以使用NAT，如何设计，有何优点 NAT常用于下述情形：? ?1.没有足够的公网IP连接到Internet? 2.当更换ISP需要重新编址? ?3.合并两个使用重叠地址空间的内部网络?? 4.使用单个IP地址支持基本的负载分担?? 优点：? ?1.节省了公网IP地址? ?2.能够处理编址方案重叠的情况?? 3.网络发生改变时不需要重新编址?? 4.隐藏了真正的IP地址?? 缺点：? ?1.NAT引起数据交互的延迟? ?2.导致无法进行端到端的IP跟