实验5防火墙和VPN.docx
- 文档编号:23676321
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:19
- 大小:207.33KB
实验5防火墙和VPN.docx
《实验5防火墙和VPN.docx》由会员分享,可在线阅读,更多相关《实验5防火墙和VPN.docx(19页珍藏版)》请在冰豆网上搜索。
实验5防火墙和VPN
实验5防火墙和VPN
作业内容:
1、Windows自带防火墙设置
2、查询网上有关防火墙产品(软、硬件)的报价、功能
3、VPN是什么?
有什么功能?
4、有哪几类用户比较适合使用VPN系统?
5、查询VPN产品的报价,VPN设置方法
目录
一、Windows自带防火墙设置5
1、打开Windows防火墙5
.2、设置“常规”选项5
二、查询网上有关防火墙产品(软、硬件)的报价、功能8
1、软防火墙9
1.1、国产产品9
1.2、国外产品9
1.3、适应范围9
2、硬防火墙9
2.1、产品9
2.2、适应范围:
11
3、防火墙功能11
3.1、个人防火墙功能11
三、VPN是什么?
有什么功能?
12
1、VPN是什么12
1.1、意义12
1.2、特点13
2、VPN功能14
2.1、信息包分类14
2.2、带宽管理14
2.4、公平带宽14
2.5、传输保证14
3、VPN的实现方式15
3.1、VPN的实现有很多种方法,常用的有以下四种:
15
4、VPN分类15
4.1、按VPN的协议分类15
4.2、按VPN的应用分类:
15
4.3、按所用的设备类型进行分类16
5、VPN技术16
5.1、隧道技术16
5.3、加解密技术17
5.4、密匙管理技术17
5.5、使用者与设备身份认证技术17
四、有哪几类用户比较适合使用VPN系统17
五、查询VPN产品的报价,VPN设置方法18
1、VPN产品的报价18
2、VPN设置方法18
2.2.修改注册表19
2.3、登录方法:
19
一、Windows自带防火墙设置
1、打开Windows防火墙
在WindowsXP操作系统下,依次单击“开始→程序→控制面板→网络和Internet连接→Windows防火墙”,打开“Windows防火墙”对话框,“Windows防火墙”对话框包含三个选项卡:
“常规”、“异常”、“高级”
.2、设置“常规”选项
在“常规”选项卡上,您可以选择以下选项:
2.1、启用(推荐)
选择这个选项来对“高级”选项卡上选择的所有网络连接启用Windows防火墙。
Windows防火墙启用后将仅允许请求的和异常的传入流量。
异常流量可在“异常”选项卡上进行配置。
2.2、不允许异常流量
单击这个选项来仅允许请求的传入流量。
这样将不允许异常的传入流量。
“异常”选项卡上的设置将被忽略,所有的连接都将受到保护,而不管“高级”选项卡上的设置如何。
2.3、禁用
选择这个选项来禁用Windows防火墙。
不推荐这样做,特别是对于可通过Internet直接访问的网络连接。
3、设置“异常”选项卡
在“异常”选项卡上,您可以启用或禁用某个现有的程序或服务,或者维护用于定义异常流量的程序或服务的列表。
当选中“常规”选项卡上的“不允许异常流量”选项时,异常流量将被拒绝。
Windows防火墙的特性之一就是能够定义传入流量的范围。
范围定义了允许发起异常流量的网段。
在定义程序或端口的范围时,您有两种选择:
“任何计算机”
允许异常流量来自任何IP地址。
“仅只是我的网络(子网)”
仅允许异常流量来自如下IP地址,即它与接收该流量的网络连接所连接到的本地网段(子网)相匹配。
例如,如果该网络连接的IP地址被配置为192.168.0.99,子网掩码为255.255.0.0,那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的IP地址。
当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务,但是又不希望允许潜在的恶意Internet用户进行访问,那么“仅只是我的网络(子网)”设定的地址范围很有用。
一旦添加了某个程序或端口,它在“程序和服务”列表中就被默认禁用。
在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。
4、设置“高级”选项卡
“高级”选项卡包含以下选项:
网络连接设置、安全日志、ICMP、默认设置
4.1、“网络连接设置”
在“网络连接设置”中,您可以:
(1)指定要在其上启用Windows防火墙的接口集。
要启用Windows防火墙,请选中网络连接名称后面的复选框。
要禁用Windows防火墙,则清除该复选框。
默认情况下,所有网络连接都启用了Windows防火墙。
如果某个网络连接没有出现在这个列表中,那么它就不是一个标准的网络连接。
这样的例子包括Internet服务提供商(ISP)提供的自定义拨号程序。
(2)、通过单击网络连接名称,然后单击“设置”,配置单独的网络连接的高级配置。
如果清除“网络连接设置”中的所有复选框,那么Windows防火墙就不会保护您的计算机,而不管您是否在“常规”选项卡上选中了“启用(推荐)”。
如果您在“常规”选项卡上选中了“不允许异常流量”,那么“网络连接设置”中的设置将被忽略,这种情况下所有接口都将受到保护。
当您单击“设置”时,将弹出“高级设置”对话框。
在“高级设置”对话框上,您可以在“服务”选项卡中配置特定的服务(仅根据TCP或UDP端口来配置),或者在“ICMP”选项卡中启用特定类型的ICMP流量。
这两个选项卡等价于WindowsXP(SP2之前的版本)中的icf配置的设置选项卡。
4.2、“安全日志”
在“安全日志”中,请单击“设置”,以便在“日志设置”对话框中指定Windows防火墙日志的配置,
在“日志设置”对话框中,您可以配置是否要记录丢弃的数据包或成功的连接,以及指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。
4.3、“ICMP”
在“ICMP”中,请单击“设置”以便在“ICMP”对话框中指定允许的ICMP流量类型。
在“ICMP”对话框中,您可以启用和禁用Windows防火墙允许在“高级”选项卡上选择的所有连接传入的ICMP消息的类型。
ICMP消息用于诊断、报告错误情况和配置。
默认情况下,该列表中不允许任何ICMP消息。
诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。
在检验时,您可以发送一条ICMPECHO消息,然后获得一条ICMPECHOreply消息作为响应。
默认情况下,Windows防火墙不允许传入ICMPECHO消息,因此该计算机无法发回一条ICMPECHOreply消息作为响应。
为了配置Windows防火墙允许传入的ICMPECHO消息,您必须启用“允许传入的ECHO请求”设置。
4.4、“默认设置”
单击“还原默认设置”,将Windows防火墙重设回它的初始安装状态。
当您单击“还原默认设置”时,系统会在Windows防火墙设置改变之前提示您核实自己的决定。
二、查询网上有关防火墙产品(软、硬件)的报价、功能
1、软防火墙
1.1、国产产品
(1)瑞星个人防火墙,收费。
(2)天网个人防火墙,收费。
(3)江民个人防火墙,收费。
(4)360木马防火墙,免费。
1.2、国外产品
(1)pctoolsfirewallplus免费。
(2)outpostfirewall收费。
(3)ZoneAlarm收费。
1.3、适应范围
个人用户
2、硬防火墙
2.1、产品
参考资料:
2.2、适应范围:
企业型
3、防火墙功能
3.1、个人防火墙功能
个人防火墙一般具有以下功能:
(1)数据包过滤
过滤技术(IpFilteringorpacketfiltering)的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。
在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包头信息中包括IP源地址、IP目标地址、内装协议(ICP、UDP、ICMP、或IPTunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。
当这些包被送上互联网时,防火墙会读取接收者的IP并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。
包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。
如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。
(2)防火墙的安全规则
安全规则就是对你计算机所使用局域网、互联网的内制协议设置,从而达到系统的最佳安全状态。
个人防火墙软件中的安全规则方式可分为两种:
一种是定义好的安全规则
就是把安全规则定义成几种方案,一般分为低、中、高三种。
这样不懂网络协议的用户,就可以根据自己的需要灵活的设置不同的安全方案。
例如:
ZoneAlarm防火墙.
还有一种用户可以自定义安全规则
也就是说,在你非常了解网络协议的情况下,你就可以根据自已所需的安全状态,单独设置某个协议。
(3)事件日记
这是每个防火墙软件所不能少的主要的功能。
记录着防火墙软件监听到发生的一切事件,比如入侵者的来源、协议、端口、时间等等。
记录的事件是由防火墙的功能来决定的。
3.2、企业型防火墙功能
(1)地址转换,防火墙,统一威胁管理
(2)内容安全,VoIP安全性,vpn,防火墙和VPN用户验证,路由,封装,流量管
理(QoS),系统管理,
(3)日志记录和监视
三、VPN是什么?
有什么功能?
1、VPN是什么
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。
其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、FrameRelay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
1.1、意义
VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。
例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
怎么才能让外地员工访问到内网资源呢?
VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。
外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用作为跳板进入企业内网。
为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。
有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。
但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。
即:
VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用dsn(数字数据网)专线或帧中继。
这的
通讯方案必然导致高昂的网络通讯/维护费
对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
虚拟专用网的提出就是来解决这些问题:
⑴使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
⑶连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。
在企业内部也可以自己建立虚拟专用网。
1.2、特点
⑴安全保障
VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有性和安全性。
⑵服务质量保证
VPN可以为不同要求用户提供不同等级的服务质量保证。
⑶可扩充、灵活性
VPN支持通过Internet和Extranet的任何类型的数据流。
⑷可管理性
VPN可以从用户和运营商角度方便进行管理。
2、VPN功能
在网络中,服务质量(QoS)是指所能提供的带宽级别。
将QoS融入一个VPN,使得管理员可以在网络中完全控制数据流。
信息包分类和带宽管理是两种可以实现控制的方法:
2.1、信息包分类
信息包分类按重要性将数据分组。
数据越重要,它的级别越高。
当然,它的操作也会优先于同网络中相对次要的数据。
2.2、带宽管理
通过带宽管理,一个VPN管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。
其他的带宽控制形式还有:
2.3、通信量管理
通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。
大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。
2.4、公平带宽
公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。
通过公平带宽,当应用程序需要用更大的数据流,例如MP3时,它将减少所用带宽以便给其他人访问的机会。
2.5、传输保证
传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。
它判断哪个服务有更高的优先权并分配相应带宽。
网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。
因为远程办公还有待发展,VPN管理员在维护带宽上还有许多问题。
然而,新技术对QoS的补充将会帮助网络管理员解决这个问题。
3、VPN的实现方式
3.1、VPN的实现有很多种方法,常用的有以下四种:
(1)VPN服务器,在大型局域网中,可以在网络中心通过搭建VPN服务器的方法来实现。
(2)软件VPN,可以通过专用的软件来实现VPN。
(3)硬件VPN,可以通过专用的硬件来实现VPN。
(4)集成VPN,很多的硬件设备,如路由器,防火墙等等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
注:
如果是大型局域网的话,购买路由器,交换机等设备时就不需要VPN这一项了。
直接在服务器上安装相应的软件就可以了。
4、VPN分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
4.1、按VPN的协议分类
VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。
L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
4.2、按VPN的应用分类:
(1)AccessVPN(远程接入VPN):
客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量;
(2)IntranetVPN(内联网VPN):
网关到网关,通过公司的网络架构连接来自同公司的资源;
(3)ExtranetVPN(外联网VPN):
与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;
4.3、按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
(1)路由器式VPN:
路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
(2)交换机式VPN:
主要应用于连接用户较少的VPN网络;
(3)防火墙式VPN:
防火墙式VPN是最常见的一种VPN的实现方
5、VPN技术
5.1、隧道技术
实现VPN,最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以是在链路层和网络层。
第二层隧道主要是PPP连接,如PPTP,L2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。
5.2、隧道协议
隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现VPN功能。
为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。
(1)PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地的ISP,通过因特网安全远程访问公司资源的新型技术。
它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。
PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。
被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。
(2)L2TP协议:
L2TP是PPTP与L2F(第二层转发)的一种综合,他是由思科公司所推出的一种技术。
(3)IPSec协议:
是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。
IPSec的主要特征在于它可以对所有IP级的通信进行加密。
5.3、加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术实现加解密。
5.4、密匙管理技术
密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。
5.5、使用者与设备身份认证技术
使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。
四、有哪几类用户比较适合使用VPN系统
1、总的来说,有三类用户比较适合采用VPN:
(1)位置众多,特别是单个用户和远程办公室站点多,例如企业用户、远程教育用户;
(2)用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户;
(3)对线路保密性和可用性有一定要求的用户。
2、相对而言,有以下几种企业可能并不适于采用VPN:
(1)对数据的安全性非常重视的企业;
(2)将性能而不是价格放在第一位的企业;
(3)网络系统采用不常见的协议或特殊应用,不能在IP隧道中传送数据的企业。
五、查询VPN产品的报价,VPN设置方法
1、VPN产品的报价
参考资料:
2、VPN设置方法
按照以下步骤配置WindowsXP计算机,使其成为L2TP客户端。
2.1、配置L2TP拨号连接:
(1)进入WindowsXP的“开始”“设置”“控制面板”,选择“切换到分类视图”。
(2)选择“网络和Internet连接”。
(3)选择“建立一个您的工作位置的网络连接”。
(4)选择“虚拟专用网络连接”,单击“下一步”。
(5)为连接输入一个名字为“l2tp”,单击“下一步”。
(6)选择“不拨此初始连接”,单击“下一步”。
(7)输入准备连接的L2TP服务器的IP地址“112.91.67.50”,单击“下一步”。
(8)单击“完成”。
(9)双击“l2tp”连接,在l2tp连接窗口,单击“属性”。
(10)选择“安全”属性页,选择“高级(自定义设置)”,单击“设置”。
(11)在“数据加密”中选择“可选加密(没有加密也可以连接)”。
(12)在“允许这些协议”选中“不加密的密码(PAP)”、“质询握手身份验证协议
(CHAP)”、“MicrosoftCHAP(MS-CHAP)”,单击“确定”。
(13)选择“网络”属性页面,在“VPN类型”选择“L2TPIPSecVPN”。
(14)确认“Internet协议(TCP/IP)”被选中。
(15)确认“NWLinkIPX/SPX/NetBIOSCompatibleTransportPrococol”、“微软网络文件
和打印共享”、“微软网络客户”协议没有被选中。
(16)单击“确定”,保存所做的修改。
2.2.修改注册表
缺省的WindowsXPL2TP传输策略不允许L2TP传输不使用IPSec加密。
可以通过修改
WindowsXP注册表来禁用缺省的行为:
手工修改:
(1)进入WindowsXP的“开始”“运行”里面输入“Regedt32”,打开“注册表编辑
器”,定位“HKEY_Local_Machine\System\CurrentControlSet\Services\RasMan\
Parameters”主键。
(2)为该主键添加以下键值:
键值:
ProhibitIpSec
数据类型:
reg_dword
值:
1
(3)保存所做的修改,重新启动电脑以使改动生效。
2.3、登录方法:
(1)确认计算机已经连接到Internet(可能是拨号连接或者是固定IP接入)。
(2)启动前面步骤中创建的“l2tp”拨号连接。
(3)输入的l2tp连接的用户名(manuser)和密码(654321)。
(4)单击“连接”。
连接成功后,进入WindowsXP的“开始”“运行”里面输入
\\192.168.3.3即可打开共用档案。
用完后请断开l2tp网络连接。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 防火墙 VPN