简易防火墙配置.docVIP

简易防火墙的摘要当今时代是飞速发展的信息时代，计算机与信息处理技术日渐成熟。随着Internet和计算机网络技术的蓬勃发展，网络安全问题现在已经得到普遍重视。网络防火墙系统就是网络安全技术在实际中的应用之一。关键词：防火墙；In this paper, it studied firewall and IPSec technologies and the research results of the problem of cooperation of IPSec and firewall at home and abroad in recent years. At last,in order to have a better understanding of firewall and IPSec technologies, make a configuration of IP filter on windows 2003 server. Key words:Network Security;Firewall;IPSec;Cooperation 目录 摘要 1 Abstract 1 1引言 3 1.1 实验背景 3 1.2 本实验研究方法 3 2 国内外研究成果 3 2.1 面临的问题 3 2.2 解决的方案 4 3 实验过程 5 3.1实验环境 5 3.2实验内容 5 3.3实验步骤 5 3.3.1运行IP筛选器 5 3.3.2添加IP筛选器表 6 3.3.3添加IP筛选器动作 10 3.3.4创建IP安全策略 11 3.3.5用IP筛选器屏蔽特定端口 13 3.3.6 应用IP安全策略规则 15 3.3.7 用IP筛选器屏蔽DNS服务 15 结论 17 心得体会 17 下一步工作 17 参考文献 17 附录1：插图与表格索引 18 1引言1.1 实验 防火墙是一种隔离技术，是一类防范措施的总称，利用它使得内部网络与Internet或者其他外部网络之间相互隔离，通过限制网络互访来保护内部网络。防火墙是建立在内部网络与外部网络之间的唯一安全通道，简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现，它可以在IP层设置屏障，也可以用应用软件来阻止外来攻击。通过制定相应的安全规则，可以答应符合条件的数据进入，同时将不符合条件的数据拒之门外，这样就可以阻止非法用户的侵入，保证内部网络的安全。IPSec是IETF设计的网络安全协议。它能够提供的安全服务包括访问控制、无连接的完整性、抗重播攻击保护、数据源认证、机密性等安全服务。这些目标通过三大协议：认证首部协议AH、封装安全载荷协议ESP和自动密钥管理协议IKE的协同使用来完成。 1.2 本实验研究 验证性实验，通过收集整理资料，了解当前国内外研究的成果。并在此基础上动手实践，在windows2003下配置IP筛选器。 2 国内外研究成果 2.1 面临的问题 防火墙主要是用来保护内部网络的，IPsec主要是用来保护数据在网络上传输时的安全，所以很多时候需要这两种技术协同工作以保护整个网络的数据安全。然而，如果将这两种技术简单地组合在一起，就会引起一定的问题：IPSec需要将整个IP报文(隧道模式)或整个网络层数据(传输模式)作为整体进行加密或验证处理；而防火墙则需要访问IP报文中传输层的协议头信息进行访问控制处理。这种根本性的冲突使得在一个分布式的环境下如何让IPSec和防火墙协同工作成为一个实际困难的问题。 2.2 解决的方案 而现今国内外的研究结果主流的有3种解决方案。 第一种方案。将IP报文分成了几个区，对不同的区使用不同的保护方法，每个区均有它们各自的安全关联、密钥以及访问控制规则。第二种方案将IP报文分为协议头和数据两部分，分别对它们使用AH协议或者ESP协议进行安全处理。第三种方案是一种双层IPSec处理思想：将IP报文分为协议头和数据两部分，使用不同的安全关联(SA)对其进行安全处理。下面将详述各个方案的总体思想及其优缺点。 方案一，将IP报文分区，使用分层IPSec提供对报文端到端的保护时，第一个IPSec安全主机把IP报文划分成若干区并对不同的区使用不同的SA进行保护处理。受保护的报文通过中间可信任防火墙时，报文的某一特定部分将被解密或修改后再重新被加密，但是其他部分不 受影响。当报文到达最后的IPSec安全主机时，分层IPSec将重新构造原始报文。 该方案的优点是达到了可信任防火墙对IP报文特定部分安全、可控、有限制地访问，同时对用户报文提供了端到端的保护。然而该方案对于SA的协商不够灵活，假设安全主机与防火墙之间的网络是安全的，则传输层协议头部分就可以不用进行安全处理，而与之相对应的SA也不用协商，该方案中的SA从源端到目的端均是一致的，所