防火墙技术实验报告

防火墙技术实验报告（通用6篇）

防火墙技术实验报告 篇1

一、实验目的

 通过实验深入理解防火墙的功能和工作原理  熟悉天网防火墙个人版的配置和使用

二、实验原理

 防火墙的工作原理

 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

 两种防火墙技术的对比

 包过滤防火墙：将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快；定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。

 应用级网关：内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用。

 防火墙体系结构

 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

 双重宿主主机体系结构：围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

 被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。

四、实验内容和步骤

（1）简述天网防火墙的工作原理 天网防火墙的工作原理：

在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。

路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。

（2）实验过程 步骤：

（1）运行天网防火墙设置向导，根据向导进行基本设置。

（2）启动天网防火墙，运用它拦截一些程序的网络连接请求，如启动Microsoft Baseline Security Analyzer，则天网防火墙会弹出报警窗口。此时选中“该程序以后都按照这次的操作运行”，允许MBSA对网络的访问。

（3）打开应用程序规则窗口，可设置MBSA的安全规则，如使其只可以通过TCP协议发送信息，并制定协议只可使用端口21和8080等。了解应用程序规则设置方法。

（4）使用IP规则配置，可对主机中每一个发送和传输的数据包进行控制；ping局域网内机器，观察能否收到reply；修改IP规则配置，将“允许自己用ping命令探测其他机器”改为禁止并保存，再次ping局域网内同一台机器，观察能否收到reply。改变不同IP规则引起的结果：

规则是一系列的比较条件和一个对数据包的动作，即根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理设置规则就可以把有害的数据包挡在机器之外。

（5）将“允许自己用ping命令探测其他机器”改回为允许，但将此规则下移到“防御ICMP攻击”规则之后，再次ping 局域网内的同一台机器，观察能否收到reply。

（6）添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规则；邻居同学发起FTP请求连接，观察结果。

（7）观察应用程序使用网络的状态，有无特殊进程在访问网络，若有，可用“结束进程”按钮来禁止它们。

（8）察看防火墙日志，了解记录的格式和含义。日志的格式和含义：

天网防火墙将会把所有不符合规则的数据包拦截并且记录下来，如图 15 所示。每条记 录从左到右分别是发送／接受时间、发送 IP 地址、数据传输封包类型、本机通信端口、标 志位和防火墙的操作。

五、实验总结

通过该实验了解了个人防火墙的工作原理和规则设置方法，了解到天火防火墙的优点及缺点：

1、灵活的安全级别设置

2、实用的应用程序规则设置

3、详细的访问记录

4、严密的应用程序网络状态监控功能

5、多样的缺省IP规则

6、可以自定义IP规则

7、具有修补系统漏洞功能。

防火墙技术实验报告 篇2

关键词：电子技术综合实验 实验报告 模式

电子技术综合实验是弱电类专业学生必修的专业基础实验课，包括电路实验、数字电路实验、模拟电路实验等。通过这些实验，学生能够学会基本电工仪器仪表的使用方法，熟悉电子电路的测量方法，加深理论知识的理解和应用，从而培养学生的动手能力和分析、解决问题的能力。

实验结束后，书写实验报告是实验课的必须要求，是对实验课教学的书面考查。书写实验报告的过程能够培养学生实事求是的科学态度和作风，帮助他们树立学术意识，锻炼语言表达能力，有利于他们将来总结研究资料，撰写科技论文等等。书写实验报告就是学生将来从事科学研究、工程技术等实际工作中撰写实验报告、研究成果报告及科技论文的模拟演习，这种能力的培养会直接影响到他们今后实际工作的能力和工作业绩。实验报告是培养科学实验分析总结能力的有效手段，也是一项重要的基本功训练，它能很好地巩固实验成果，加深对基本理论的认识和理解，从而进一步扩大知识面。

因此，我们应当在实验课教学中重视实验报告的书写，帮助学生掌握实验报告的书写方法，建立一个比较规范的实验报告书写模式，引导学生对实验过程和实验结果进行有效的分析和总结。

一、学生书写实验报告存在的问题

目前，我校所有的弱电类专业均开设了电子技术综合实验课程，该实验课是独立于理论课程的专业基础实验课程，根据相应理论课程的教学进程在大一、大二阶段开设。在教学中，普遍存在着学生对书写实验报告敷衍了事、实验报告不合格等现象，这里既有“学”方面的问题，也反映了“教”方面的问题，归纳起来主要有以下几点：

1.抄袭实验指导书，把实验报告和实验指导书混为一谈，这种现象十分普遍。学生往往从实验指导书上摘抄几段或几个条目，再添上一些数据和简单的结论，就算完成了实验报告。

2.实验报告缺乏实事求是的精神。实验报告是对实验过程全面、客观的总结，报告的核心特征就是实事求是。但是，很多学生书写实验报告时，对实验过程中应记录的实验条件、实验现象、测量数据和观测波形很不重视，实验记录潦草、零乱，有些随意修改数据，或照抄他人数据，甚至臆测实验结果。

3.不重视实验结果的分析和讨论。由于实验方法和实验仪器的测量精度等原因，实验数据必然存在一定的误差，但是学生不懂如何分析实验误差以及误差产生的原因，往往以“实验仪器精度不够”“实验箱的问题”等比较模糊的原因去解释，也没有对各种实验现象进行深入的讨论和研究，对课后的思考题一般不予作答，实验的体会比较肤浅。

4.实验报告书写不工整、不规范。很多学生交来的实验报告字迹潦草，条理不清，语言不通顺，数据表格、信号波形和符号不规范，很难读懂。

5.任课教师忽视了书写实验报告的教学。学生在进入大学前，一般较少接受书写实验报告的专门训练，他们不懂如何书写一份合格的专业基础实验的实验报告。由于实验内容多、课时少等原因，授课教师往往重视实验内容的教学，而没有专门教学生如何写实验报告。

二、电子技术实验报告的写作方法及基本模式

实验报告要真实地反映实验过程和实验结果，还应对实验进行分析、总结和思考。实验报告一份技术报告，要求概念正确，文理通顺，表达清楚，文字简洁，图表完备，符号标准。报告内容应包括实验目的、实验所用的仪器设备和元器件、实验内容和结果以及分析讨论等。根据笔者近年来的教学实践，结合课程的实际情况，给出如下书写电子技术实验报告的基本模式和方法。

首先，做实验者应在实验报告的开头如实填写个人信息、同组实验者、实验名称、实验日期等信息，再认真书写以下内容。

1.实验目的。实验目的是实验研究的主要任务，它反映了学生通过实验应掌握哪方面的理论知识和实验方法，学生应参考实验指导书，简明扼要地说明所做实验的目的。

2.实验仪器设备。电子技术综合实验离不开各种电子仪器和设备，学生应在实验报告中如实列出实验时所使用的仪器设备名称及其型号，如：信号发生器、万用表、示波器等，若实验是在实验箱上完成的，还应写明完成该实验所使用的相应电路模块。

3.实验原理。实验原理是实验的理论依据，是理论与实践的衔接，它是根据实验内容和实验条件，以理论为基础而设计的可行性实验方案。因此，学生应在认真阅讀实验指导书的基础上，详细论述实验原理，但不可长篇大论，力求简明扼要。例如：在“戴维南定理”实验中，等效电阻Req的测量方法有三种，学生应充分理解这三种测量方法，在实验报告中简要说明这三种测量方法及其优缺点。

4.实验内容及数据记录。“实验内容与实验数据”是实验报告的核心内容，学生应根据实验所采取的实验方法，如实叙述实验内容、实验步骤、观察到的实验结果等，并将测量数据填入拟好的表格中。说明实验步骤要条理清晰，填写实验数据要实事求是，不可臆测实验数据，也不得抄写其他同学的实验数据。

实验记录是实验过程中获得的第一手资料，写好“实验内容和数据记录”是以实验记录为基础的。实验过程中所测试的数据和波形必须和理论值基本一致，记录必须清楚、合理、正确，若不正确，则要及时重复测试，找出原因。实验记录应详细记录实验测试的数据和观测的波形以及实验中出现的现象，并初步判断实验的正确性；记录波形时，应注意观测输入、输出波形的时间相位关系，在坐标轴上对齐，准确读数。

通过实验测出数据后，通常要对实验数据进行计算、分析和整理，把实验数据变换成图、表、曲线或归纳成一定的表达式。在研究多个物理量之间的关系时，图、表更为直观。比如：在数字电路实验中常用真值表描述组合逻辑电路的输出与输入之间的关系，用状态表描述时序逻辑电路的输出和次态与输入和现态之间的关系；在模拟电路实验中，通常用曲线表示输出信号随输入信号连续变化的规律，如放大器的增益随信号频率的变化规律（即电路的幅频特性）。根据测量数据绘制曲线时，应注意：合理选择坐标系；合理选择坐标分度，标明坐标名称和单位；合理选择测量点及正确拟合特性曲线等。

填写测量数据的表格要规范，观测波形和各种特性曲线应根据实验数据在坐标纸上精确绘制。

5.结论与分析。实验过程固然重要，但如果做完实验不分析、不总结，那就达不到实验的目的。“结论与分析”是理论知识运用到实践中的科学总结，是实验报告的精髓，它是学生从感性认识到理性认识的升华。学生应根据实验原理，认真分析实验数据，判断实验结果正确与否；计算测量绝对误差和相对误差，并分析误差产生的原因及减小误差的方法。教师在授课开始时，应向学生讲授计算绝对误差和相对误差的方法。

对于验证型实验，必须明确表明实验结果与理论是否相符；对于研究设计型实验，要明确叙述设计思想和设计方案，说明实现设计方案的结果。

6.思考及建议。“思考与建议”是培养学生创造思维能力和探索能力的有效环节，学生可根据实验指导书给出的思考题进行新的思考和探索，阐明自己的见解，不必泛泛而谈。

三、结束语

书写实验报告是实验教学的重要环节，教与学两方面都应予以高度重视。教师应明确告知学生书写实验报告的格式、内容及规范，教会学生如何书写一份合格的实验报告，学生应按照实验报告的规范，认真书写每一份实验报告。只有这样，才能培养学生分析实际问题的能力，从而提高实验教学的质量。

参考文献：

[1]李海燕，赵汗青，高兴海，刘玉波.改革专业实验报告?摇提高实验教学质量[J].高校实验室工作研究，2008，（1）：30-31.

[2]马聪玲，饶汉文.谈谈如何书写实验报告[J].科技咨询导报，2006，（18）：231.

[3]臧春华，等.电子线路设计与应用[M].北京：高等教育出版社，2004：9-11.

作者简介：肖洪祥（1965-），男，湖北武汉人，副教授，从事电子信息工程专业教学与科研工作。

实验三 防火墙的配置 篇3

 实验目的

1、了解防火墙的含义与作用

2、学习防火墙的基本配置方法

3、理解iptables工作机理

4、熟练掌握iptables包过滤命令及规则

5、学会利用iptables对网络事件进行审计

6、熟练掌握iptables NAT工作原理及实现流程

7、学会利用iptables+squid实现web应用代理

 实验原理

 防火墙的基本原理

一．什么是防火墙

在古代，人们已经想到在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，于是有了“防火墙”的概念。

进入信息时代后，防火墙又被赋予了一个类似但又全新的含义。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

二．防火墙能做什么 1．防火墙是网络安全的屏障

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2．防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

3．对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4．防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

三．NAT NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（Internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0～10.255.255.255，172.16.0.0～172.16.255.255，192.168.0.0～192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将Web Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问192.168.1.1。另外对资金有限的小型企业来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。

NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。

其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。

动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

在Internet中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址访问Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。

 Windows 2003防火墙

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows2003服务器上，对直接连接到Internet的计算机启用防火墙功能，支持网络适配器、DSL适配器或者拨号调制解调器连接到Internet。它可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，从而提高Windows 2003服务器的安全性。同时，它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

1．启用/关闭防火墙

（1）打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

（2）选择“高级”选项卡，单击“设置”按钮，出现启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请单击“启用(O)”按钮；如果要禁用Internet 连接防火墙，请单击“关闭(F)”按钮。

2．防火墙服务设置

Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

（1）解除阻止设置。

在“例外”选项卡中，可以通过设定让防火墙禁止和允许本机中某些应用程序访问网络，加上“√”表示允许，不加“√”表示禁止。如果允许本机中某项应用程序访问网络，则在对话框中间列表中所列出该项服务前加“√”（如果不存在则可单击“添加程序”按钮进行添加）；如果禁止本机中某项应用程序访问网络，则将该项服务前的“√”清除（如果不存在同样可以添加）。在“Windows防火墙阻止程序时通知我”选项前打“√”则在主机出现列表框中不存在的应用程序欲访问网络时，防火墙会弹出提示框询问用户是否允许该项网络连接。

（2）高级设置。

在“高级”选项卡中，可以指定需要防火墙保护的网络连接，双击网络连接或单击“设置”按钮设置允许其他用户访问运行于本主机的特定网络服务。选择“服务”选项卡，其中列举出了网络标准服务，加上“√”表示允许，不加“√”表示禁止。如果允许外部网络用户访问网络的某一项服务，则在对话框中间列表中所列出该项服务前加“√”（如果不存在则可单击“添加程序”按钮进行添加）；如果禁止外部网络用户访问内部网络的某一项服务，则将该项服务前的“√”清除（如果不存在同样可以添加）。选择“ICMP”选项卡，允许或禁止某些类型的ICMP响应，建议禁止所有的ICMP响应。

3．防火墙安全日志设置

Windows2003防火墙可以记录所有允许和拒绝进入的数据包，以便进行进一步的分析。在“高级”选项卡的“安全日志记录”框中单击“设置”按钮，进入“日志设置”界面。

如果要记录被丢弃的包，则选中“记录被丢弃的数据包”复选按钮；如果要记录成功的连接，则选中“记录成功的连接”复选按钮。

日志文件默认路径为C:WINDOWSpfirewall.log，用记事本可以打开，所生成的安全日志使用的格式为W3C扩展日志文件格式，可以用常用的日志分析工具进行查看分析。你也可以重新指定日志文件，而且还可以通过“大小限制”限定文件的最大使用空间。

「说明」 建立安全日志是非常必要的，在服务器安全受到威胁时，日志可以提供可靠的证据。

 linux防火墙-iptable的应用

一．iptables简介

从1.1内核开始，linux就已经具有包过滤功能了，在2.0的内核中我们采用ipfwadm来操作内核包过滤规则。之后在2.2内核中，采用了大家并不陌生的ipchains来控制内核包过滤规则。在2.4内核中我们不再使用ipchains，而是采用一个全新的内核包过滤管理工具—iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。

实际上iptables只是一个内核包过滤的工具，iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是netfilter(Linux内核中一个通用架构)及其相关模块(如iptables模块和nat模块)。

netfilter提供了一系列的“表(tables)”，每个表由若干“链(chains)”组成，而每条链中有一条或数条规则(rule)组成。我们可以这样来理解，netfilter是表的容器，表是链的容器，链又是规则的容器。

netfilter系统缺省的表为“filter”,该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据预先定义的策略(policy)来处理该数据包。

图3-2-1 网络数据包在filter表中的流程

数据包在filter表中的流程如图3-2-1所示。有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况：

（1）如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

（2）如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

（3）如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

当我们在使用iptables NAT功能的时候，我们所使用的表不再是“filter”表，而是“nat”表，所以我们必须使用“-t nat”选项来显式地指明这一点。因为系统缺省的表是“filter”，所以在使用filter功能时，我们没有必要显式的指明“-t filter”。

同“filter”表一样，nat表也有三条缺省的链，这三条链也是规则的容器，它们分别是：

（1）PREROUTING: 可以在这里定义进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的IP地址，为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。

（2）POSTROUTING: 可以在这里定义进行源NAT的规则，在路由器进行路由之后才进行源NAT。（3）OUTPUT: 定义对本地产生的数据包的目的NAT规则。二．NAT工作原理

NAT的基本思想是为每个企业分配一个IP地址(或者是很少几个)来进行Internet传输。在企业内部，每个电脑取得一唯一的IP地址来为内部传输做路由。然而，当封包离开企业，进入ISP之后，就需要进行地址转换了。为了使这个方案可行，IP地址的范围被声明为私有的，企业可以随意在内部使用他们。仅有的规则是，没有包含这些地址的封包出现在Internet上。

「说明」 IP私有地址范围是：10.0.0.0～10.255.255.255/

8、172.16.0.0 ～172.31.255.255/

12、192.168.0.0～192.168.255.255/16。

如图3-2-2所示。在企业内部，每个机器都有一个唯一的172.16.x.y形式的地址。然而，当封包离开企业时，它要经过NAT转盒，NAT盒将内部IP源地址，即图中的172.16.0.50转换成企业的真实地址(这个地址对于Internet来说是可见的)，此例中为202.198.168.150。NAT盒通常和防火墙一起绑定在一个设备上，这里的防火墙通过小心地控制进出企业的封包提供了安全保障。

图3-2-2 NAT地址转换

三．iptables常用操作语法

对于任何协议及协议的扩展，通用匹配都可以直接使用。（1）匹配指定协议。

匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／说明匹配指定的协议，指定协议的形式有以下几种：①名字不分大小写，但必须是在/etc/protocols中定义的；②可以使用协议相应的整数值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少设置ALL，相应数值是0,要注意这只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定义的所有协议；④可以是协议列表，以英文逗号为分隔符，如：udp,tcp；⑤可以在协议前加英文的感叹号表示取反，注意有空格,如：--protocol!tcp表示非TCP协议，也就是UDP和ICMP。可以看出这个取反的范围只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

匹配-s,--src,--source／使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT／说明以IP源地址匹配包。地址的形式如下：①单个地址，如192.168.0.1，也可写成192.168.0.1/255.255.255.255或192.168.0.1/32；②网络，如192.168.0.0/24,或192.168.0.0/255.255.255.0；③在地址前加英文感叹号表示取反，注意空格，如—source!192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

匹配-d,--dst,--destination／使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT／说明以IP目的地址匹配包。地址的形式和—source完全一样。

（4）以包进入本地使用的网络接口匹配包。

匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／说明以包进入本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于INPUT,FORWARD和PREROUTING这三个链，用在其他任何地方会提示错误信息。指定接口有以下方法：①指定接口名称，如：eth0、ppp0等；②使用通配符，即英文加号，它代表字符数字串。若直接用一个加号，即iptables-A INPUT-i +表示匹配所有的包，而不考虑使用哪个接口。通配符还可以放在某一类接口的后面，如：eth+表示匹配所有从Ethernet接口进入的包；③在接口前加英文感叹号表示取反，如：-i!eth0意思是匹配来自除eth0外的所有包。

（5）以包离开本地所使用的网络接口来匹配包。

匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／说明以包离开本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于OUTPUT,FORWARD和POSTROUTING这三个链，用在其他任何地方会提示错误信息。

（6）匹配通信源端口。

匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／说明当通信协议为TCP或UDP时，可以指定匹配的源端口，但必须与匹配协议相结合使用。

（7）匹配通信源端口。

匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／说明当通信协议为TCP或UDP时，可以指定匹配的目的端口，但必须与匹配协议相结合使用。

五．iptables功能扩展 1．TCP扩展

iptables可以扩展，扩展分为两种：一种是标准的；另一种是用户派生的。如果指定了“-p tcp”，那么TCP扩展将自动加载，通过--tcp-flags扩展，我们指定TCP报文的哪些Flags位被设置，在其后跟随两个参数：第一个参数代表Mask,指定想要测验的标志位；第二个参数指定哪些位被设置。

例：设置iptables防火墙禁止来自外部的任何tcp主动请求，并对此请求行为进行事件记录。

其中ULOG指定对匹配的数据包进行记录,由日志生成工具ULOG生成iptables防火日志，--log-prefix选项为记录前缀。

2．ICMP扩展

例：设置iptables防火墙允许来自外部的某种类型/代码的ICMP数据包。

其中--icmp-type为扩展命令选项，其后参数可以是三种模式：（1）ICMP类型名称（例如，host-unreachable）。（2）ICMP类型值(例如3)。（3）ICMP类型及代码值（8/0）。六．状态检测

“状态”的意思是指如果一个数据包是对先前从防火墙发出去的包的回复，则防火墙自动不用检查任何规则就立即允许该数据包进入并返回给请求者，这样就不用设置许多规则定义就可实现应用的功能。

我们可以把请求端与应答端之间建立的网络通信连接称为网络会话，每个网络会话都包括以下信息——源IP地址、目标IP地址、源端口、目的端口，称为套接字对；协议类型、连接状态（TCP协议）和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单的包过滤防火墙具有更大的安全性，而iptables就是一种基于状态的防火墙。命令格式如下：

iptables-m state--state [!] state [,state,state,state] 其中，state表是一个由逗号分割的列表，用来指定连接状态，状态分为4种：（1）NEW: 该包想要建立一个新的连接（重新连接或连接重定向）

（2）RELATED:该包是属于某个已经建立的连接所建立的新连接。举例：FTP的数据传输连接和控制连接之间就是RELATED关系。

（3）ESTABLISHED：该包属于某个已经建立的连接。（4）INVALID:该包不匹配于任何连接，通常这些包被DROP。七．NAT操作

前面提到在iptables防火墙中提供了3种策略规则表：Filter、Mangle和NAT，这3种表功能各不相同，而最为常用的就是filter和nat表。

nat表仅用于NAT,也就是网络地址转换。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于流的包只会经过这个表一次，经一个包被允许做NAT,那么余下的包都会自动地做相同的操作。也就是说，余下的包不会再通过这个表一个一个的被NAT，而是自动完成的。常用操作分为以下几类。

（1）SNAT(source network address translation，源网络地址目标转换)。

SNAT是POSTROUTING链表的作用，在封包就要离开防火墙之前改变其源地址，这在极大程度上可以隐藏本地网络或者DMZ等。比如，多个PC机使用路由器共享上网，每个PC机都配置了内网IP(私有IP)，PC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的IP，当外部网络的服务器比如网站Web服务器接到访问请求的时候，它的日志记录下来的路由器的IP，而不是PC机的内网IP，这是因为，这个服务器收到的数据包的报头里边的“源地址”已经被替换了。所以叫做SNAT，基于源地址的地址转换。

例如更改所有来自192.168.0.1/24的数据包的源IP地址为10.0.0.1，其iptables实现为：

（2）DNAT(destination network address translation，目标网络地址转换)。

DNAT是PREROUTING链表的作用，在封包刚刚到达防火墙时改变其目的地址，以使包能重路由到某台主机。典型的应用是，有个Web服务器放在企业网络DMZ区，其配置了内网IP地址，企业防火墙的的外网接口配置了企业唯一的公网IP，互联网上的访问者使用公网IP来访问这个网站，当访问的时候，客户端发出一个数据包，这个数据包的报头里边，目标地址写的是防火墙的公网IP，然后再把这个数据包发送到DMZ区的Web服务器上，这样，数据包就穿透了防火墙，并从公网IP变成了一个对DMZ区的访问了。所以叫做DNAT，基于目标的网络地址转换。

例如更改所有来自202.98.0.1/24的数据包的目的IP地址为192.168.0.1，其iptables实现为：

（3）REDIRECT(重定向)。

REDIRECT是DNAT的特殊情况是重定向，也就是所谓的Redirection，这时候就相当于将符合条件的数据包的目的IP地址改为数据包进入系统时的网络接口的IP地址。通常是在与squid配置形成透明代理时使用，假设squid的监听端口是3128,我们可以通过以下语句来将来自192.168.0.1/24，目的端口为80的数据包重定向到squid监听：

（4）MASQUERADE(地址伪装)。

在iptables中有着和SNAT相近的效果，但也有一些区别。在使用SNAT的时候，出口IP的地址范围可以是一个，也可以是多个，例如把所有

192.168.0.0/2

4网段数据包

SNAT

成202.98.0.150/202.98.0.151/202.98.0.152等几个IP然后发出去,其iptables实现为：

SNAT即可以NAT成一个地址，也可以NAT成多个地址。但是，对于SNAT来说不管是几个地址，必须明确指定转换的目标地址IP。假如当前系统用的是ADSL动态拨号方式，那么每次拨号，出口IP都会改变，而且改变的幅度很大，不一定是202.98.0.150到202.98.0.152范围内的地址，这个时候如果使用SNAT的方式来配置iptables就会出现麻烦了，因为每次拨号后出口IP都会变化，而iptables规则内的IP是不会随着自动变化的，每次地址变化后都必须手工修改一次iptables，把规则里边的固定的IP改成新的IP，这样是非常不好用的。

MASQUERADE就是针对这种场景而设计的，它的作用是从防火墙外网接口上自动获取当前IP地址来做NAT，比如下边的命令：

八．防火墙应用代理 1．代理服务器概述

在TCP/IP网络中，传统的通信过程是这样的：客户端向服务器请求数据，服务器响应该请求，将数据传送给客户端，如图3-2-3所示。

图3-2-3 直接访问Internet 在引入了代理服务器以后，这一过程变成了这样：客户端向服务器发起请求，该请求被送到代理服务器；代理服务器分析该请求，先查看自己缓存中是否有请求数据，如果有就直接传递给客户端，如果没有就代替客户端向该服务器发出请求。服务器响应以后，代理服务将响应的数据传递给客户端，同时在自己的缓存中保留一份该数据的拷贝。这样，再有客户端请求相同的数据时，代理服务器就可以直接将数据传送给客户端，而不需要再向该服务器发起请求，如图3-2-4所示。

图3-2-4 通过代理服务器访问Internet

2．代理服务器功能

一般说来，代理服务器具有以下的功能：（1）通过缓存增加访问速度。

随着Internet的迅猛发展，网络带宽变得越来越珍贵。所以为了提高访问速度，好多ISP都提供代理服务器，通过代理服务器的缓存功能来加快网络的访问速度。一般说来，大多数的代理服务器都支持HTTP缓存，但是，有的代理服务器也支持FTP缓存。在选择代理服务器时，对于大多数的组织，只需要HTTP缓存功能就足够了。

通常，缓存有主动缓存被动缓存之分。所谓被动缓存，指的是代理服务器只在客户端请求数据时才将服务器返回的数据进行缓存，如果数据过期了，又有客户端请求相同的数据时，代理服务器又必须重新发起新的数据请求，在将响应数据传送给客户端时又进行新的缓存。所谓主动缓存，就是代理服务器不断地检查缓存中的数据，一旦有数据过期，则代理服务器主动发起新的数据请求来更新数据。这样，当有客户端请求该数据时就会大大缩短响应时间。对于数据中的认证信息，大多数的代理服务器都不会进行缓存的。

（2）提供用私有IP访问Internet的方法。

IP地址是不可再生的宝贵资源，假如你只有有限的IP地址，但是需要提供整个组织的Internet访问能力，那么，你可以通过使用代理服务器来实现这一点。

（3）提高网络的安全性。

如果内部用户访问Internet都是通过代理服务器，那么代理服务器就成为进入Internet的唯一通道；反过来说，代理服务器也是Internet访问内部网络的唯一通道，如果你没有做反向代理，则对于Internet上的主机来说，你的整个内部网只有代理服务器是可见的，从而大大增强了网络的安全性。

3．传统、透明和反向代理服务器（1）传统代理服务器。

传统代理常被用于缓存静态网页(例如：html文件和图片文件等)到本地网络上的一台主机上(即代理服务器)。不缓存的页面被第二次访问的时候，浏览器将直接从本地代理服务器那里获取请求数据而不再向原Web站点请求数据。这样就节省了宝贵的网络带宽，而且提高了访问速度。但是，要想实现这种方式，必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时，每次都把请求给代理服务器处理，代理服务器根据请求确定是否连接到远程Web服务器获取数据。如果在本地缓冲区有目标文件，则直接将文件传给用户即可。如果没有的话则先取回文件，并在本地保存一份缓冲，然后将文件发给客户端浏览器。

（2）透明代理服务器。

透明代理与传统代理的功能完全相同。但是，代理操作对客户端浏览器是透明的(即不需指明代理服务器的IP和端口)。透明代理服务器阻断网络通信，并且过滤出访问外部的HTTP(80端口)流量。如果客户端的请求在本地有缓冲则将缓冲的数据直接发给用户，如果在本地没有缓冲则向远程Web服务器发出请求，其余操作和传统代理服务器完全相同。对于Linux操作系统来说，透明代理使用iptables实现。因为不需要对浏览器作任何设置，所以，透明代理对于ISP来说特别有用。

（3）反向代理服务器。

反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始Web服务器的负载。反向代理服务器承担了对原始Web服务器的静态页面的请求，防止原始服务器过载。如图3-2-5所示，它位于本地Web服务器和Internet之间，处理所有对Web服务器的请求。如果互联网用户请求的页面在代理器上有缓冲的话，代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向Web服务器发出请求，取回数据，本地缓存后再发送给用户。这种方式通过降低了向Web服务器的请求数从而降低了Web服务器的负载。

图3-2-5 反向代理服务器位于Internet与组织服务器之间

4．代理服务器squid简介

Squid是一个缓存Internet数据的一个开源软件，它会接收用户的下载申请，并自动处理所下载的数据。也就是说，当一个用户要下载一个主页时，他向squid发出一个申请，要求squid替它下载，squid连接申请网站并请求该主页，然后把该主页传给用户同时保留一个备份，当别的用户申请同样的页面时，squid把保存的备份立即传给用户，使用户觉得速度相当快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议，暂不能代理POP、NNTP等协议。但是已经有人开始改进squid，相信不久的将来，squid将能够代理这些协议。

Squid不是对任何数据都进行缓存。像信用卡账号、可以远方执行的Script、经常变换的主页等是不适合缓存的。Squid可以根据用户的需要进行设置，过滤掉不想要的东西。

Squid可用在很多操作系统中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系统中重新编译过Squid。

Squid对内存有一定的要求，一般不应小于128M，硬盘最好使用服务器专用SCSI硬盘。

Squid是一个高性能的代理缓存服务器，和一般的代理缓存软件不同，Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。

Squid将数据元缓存在内存中，同时也缓存DNS查询的结果。此外，它还支持非模块化的DNS查询，对失败的请求进行消极缓存。Squid支持SSL，支持访问控制。由于使用了ICP（轻量Internet缓存协议），Squid能够实现层叠的代理阵列，从而最大限度地节约带宽。

Squid由一个主要的服务程序Squid,一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成。当Squid启动以后，它可以派生出预先指定数目的dnsserver进程，而每一个dnsserver进程都可以执行单独的DNS查询，这样就减少了服务器等待DNS查询的时间。

5．Squid常用配置选项

因为缺省的配置文件不能使Squid正常启动服务，所以我们必须首先修改该配置文件的有关内容,才能让Squid运行起来。

下面是squid.conf文件的结构。squid.conf配置文件的可以分为13个部分，这13个部分如下有所示。

虽然Squid的配置文件很庞大，但是如果你只是为一个中小型网络提供代理服务，并且只准备使用一台服务器，则只需要修改配置文件中的几个选项。

6．Squid常用命令选项（1）端口号。

http_port指令告诉squid在哪个端口侦听HTTP请求。默认端口是3128：http_port 3128，如果要squid作为加速器运行则应将它设为80。

你能使用附加http_port行来指squid侦听在多个端口上。例如，来自某个部门的浏览器发送请求3128，然而另一个部门使8080端口。可以将两个端口号列举出来：

http_port 3128 http_port 8080 Squid也可以使http_port指令侦听在指定的接口地址上。squid作为防火墙运行时，它有两个网络接口：一个内部的和一个外部的。你可能不想接受来自外部的http请求。为了使squid仅仅侦听在内部接口上，简单的将IP地址放在端口号前面：

http_port 192.168.1.1:3128（2）日志文件路径。

默认的日志目录是squid安装位置下的logs目录，其路径是/usr/local/squid/var/logs。

你必须确认日志文件所存放的磁盘位置空间足够。squid想确认你不会丢失任何重要的日志信息，特别是你的系统被滥用或者被攻击时。

Squid有三个主要的日志文件：cache.log、access.log和store.log。cache.log文件包含状态性的和调试性的消息。access.log文件包含了对squid发起的每个客户请求的单一行。每行平均约150个字节。假如因为某些理由，你不想squid记录客户端请求日志，你能指定日志文件的路径为/dev/null。store.log文件对大多数cache管理员来说并非很有用。它包含了进入和离开缓存的每个目标的记录。平均记录大小典型的是175-200字节。

如果squid的日志文件增加没有限制。某些操作系统对单个文件强制执行2G的大小限制，即使你有充足的磁盘空间。超过该限制会导致写错误，squid就会退出。（3）访问控制。

squid默认的配置文件拒绝每一个客户请求。在任何人能使用代理之前，你必须在squid.conf文件里加入附加的访问控制规则。最简单的方法就是定义一个针对客户IP地址的ACL和一个访问规则，告诉squid允许来自这些地址的HTTP请求。squid有许多不同的ACL类型。src类型匹配客户IP地址，squid会针对客户HTTP请求检查http_access规则。

acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 请将这些行放在正确的位置。http_access的顺序非常重要。在第一次编辑squid.conf文件时，请看如下注释：

在该注释之后，以及“http_access deny all”之前插入新规则。（4）命令选项。

这里的很多选项在实际应用中从不会使用，另外有些仅仅在调试问题时有用。

 实验步骤

 Windows 2003防火墙

一．防火墙基础操作

操作概述：启用windows2003系统防火墙，设置规则阻断ICMP回显请求数据包，并验证针对UDP连接工具的例外操作。

（1）在启用防火墙之前，同组主机通过ping指令互相测试网络连通性，确保互相是连通的，若测试未通过请排除故障。

（2）本机启用防火墙，并设置防火墙仅对“本地连接”进行保护。

（3）同组主机再次通过ping指令互相测试网络连通性，确认是否相互连通_______。（4）设置本机防火墙允许其传入ICMP回显请求。（5）第三次测试网络连通性。二．防火墙例外操作

操作概述：启用windows2003系统防火墙，在“例外”选项卡中添加程序“UDPtools” 允许UDPtools间通信，并弹出网络连接提示信息。

（1）关闭防火墙，同组主机间利用UDPtools进行数据通信，确保通信成功。

「说明」 UDPtools通信双方应分别为客户端和服务端，其默认通过2513/UDP端口进行通信，可以自定义通信端口，运行如图3-1-1所示。

图3-1-1 UDP连接工具

（2）本机启用防火墙(仅对本地连接)，将本机作为UDPtools服务器端，同组主机以UDPtools客户端身份进行通信，确定客户端通信请求是否被防火墙阻塞_______。

（3）断开UDPtools通信，单击“例外”选项卡，在“程序和服务”列表框添加程序“UDPtools.exe”（C:JLCSSTOOLSAnalysertoolsUdpTools.exe）并将其选中。再次启动UDPtools并以服务器身份运行，同组主机仍以客户端身份与其通信，确定客户端通信请求是否被防火墙阻塞_______。

三．NAT操作

操作概述：Windows Server 2003“路由和远程访问”服务包括NAT路由协议。如果将NAT路由协议安装和配置在运行“路由和远程访问”的服务器上，则使用专用IP地址的内部网络客户端可以通过NAT服务器的外部接口访问Internet。

图3-1-2 实验网络连接示意

参看图3-1-2，当内部网络主机PC1发送要连接Internet主机PC2的请求时，NAT协议驱动程序会截取该请求，并将其转发到目标Internet主机。所有请求看上去都像是来自NAT器的外部连接IP地址，这样就隐藏了内部网络主机。

在这里我们将windows Server 2003主机配置成为“路由和远程访问”NAT服务器，并模拟搭建Internet网络环境对NAT服务器进行测试。

（1）实验网络拓扑规划。

按图3-1-2所示，本实验需3台主机共同完成，其中一台主机扮演实验角色“内网主机PC1”,一台主机扮演实验角色“外网主机PC2”,最后一台主机扮演“NAT服务器”。

默认外部网络地址202.98.0.0／24；内部网络地址172.16.0.0／24，也可根据实际情况指定内网与外网地址。

默认主机“本地连接”为内部网络接口；“外部连接“为外部网络接口，也可指定“本地连接”为外部网络接口。

（2）按步骤(1)中规划分别为本机的“本地连接”、“外部连接”配置IP地址。

（3）配置NAT路由服务。依次单击“开始”|“程序”|“管理工具”|“路由和远程访问”，在“路由和远程访问”MMC中，选择要安装NAT路由协议的服务器(这里为本地主机)，右键单击在弹出菜单中选择“配置并启用路由和远程访问”。

「注」 操作期间若弹出“为主机名启用了Windows防火墙/Internet连接共享服务……”警告信息，请先禁用“Windows防火墙/Internet连接共享”服务，后重试操作。具体做法：“开始”|“程序”| “管理工具”|“计算机管理”|“服务和应用程序”|“服务”，在右侧服务列表中选择“Windows Firewall/Internet Connection Sharing(ICS)”服务，先将其停止，然后在启动类型中将其禁用。

（4）在“路由和远程访问服务器安装向导”中选择“网络地址转换(NAT)”服务。

（5）在“NAT Internet连接”界面中指定连接到Internet的网络接口，该网络接口对于Internet来说是可见的。若在步骤(1)中已将“外部连接”指定为公共接口，则此处应选择“外部连接”。

（6）本实验中没有应用到DHCP、DNS服务，所以在“名称和地址转换服务”界面中选择“我将稍后设置名称和地址服务”。至最后完成路由和远程访问配置。

（7）接下来的工作是对各NAT服务器进行测试。下面以主机ABC为例进行测试说明：参照图3-1-2，设定主机A为内网主机PC1，将其内部网络接口(默认为“本地连接”)的默认网关指向主机B的内部网络接口(默认为“本地连接”)；设定主机C为外网主机PC2。内网主机A通过ping指令对外网主机C做连通性测试。

（8）ICMP会话分析。在主机A做连通性测试的同时，主机B打开“协议分析器”并定义过滤器，操作如下：依次单击菜单项“设置”|“过滤器”，在“协议过滤”选项卡“协议树”中选中“ICMP”协议。依次单击按钮“新建捕获窗口”|“开始捕获数据包”，在弹出的“适配器选择”界面中选择“外部连接”，开始捕获。观察状态栏“捕获帧数”窗格，当捕获到数据时单击“停止捕获数据包”按钮，依次展开“会话分析树”|“ICMP会话”，如图3-1-3所示。

图3-1-3 在NAT服务器外部接口上监听到的ICMP会话

（9）结合ICMP会话分析结果说出ICMP数据包的传输（路由）过程_________。

 linux防火墙-iptable的应用

一．包过滤实验

操作概述：为了应用iptables的包过滤功能，首先我们将filter链表的所有链规则清空，并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则，依次允许同组主机icmp回显请求、Web请求，最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。

（1）清空filter链表所有规则链规则。iptables命令________。

（2）确定同组主机已清空filter链表后，利用nmap（/opt/portscan/目录下）对同组主机进行端口扫描。

nmap端口扫描命令________。

「说明」 nmap具体使用方法可查看实验6｜练习1｜TCP端口扫描。查看端口扫描结果，并填写下表。

（3）查看INPUT、FORWARD和OUTPUT链默认策略。iptables命令_________。

 （4）将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。iptables命令_________。

确定同组主机已将默认策略设置为DROP后，本机再次利用nmap其进行端口扫描，查看扫描结果，并利用ping命令进行连通性测试。

（5）利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。ICMP回显请求类型__________；代码__________。ICMP回显应答类型__________；代码__________。iptables命令__________ 利用ping指令测试本机与同组主机的连通性。（6）对外开放Web服务(默认端口80/tcp)。iptables命令__________ 利用nmap对同组主机进行端口扫描，查看扫描结果。

（7）设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。iptables命令_______ 利用nmap对同组主机进行端口扫描，查看扫描结果。二．事件审计实验

操作概述：利用iptables的日志功能检测、记录网络端口扫描事件，日志路径 /var/log/iptables.log。（1）根据实验原理(TCP扩展)设计iptables包过滤规则，并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。

iptables命令__________（2）同组主机应用端口扫描工具对当前主机进行端口扫描，并观察扫描结果。（3）在同组主机端口扫描完成后，当前主机查看iptables日志，对端口扫描事件进行审计，日志内容如图3-2-1所示。

图3-2-1 iptables日志内容

三．状态检测实验

操作概述：分别对新建和已建的网络会话进行状态检测。1．对新建的网络会话进行状态检测（1）清空filter规则链全部内容。iptables命令__________（2）设置全部链表默认规则为允许。iptables命令__________（3）设置规则禁止任何新建连接通过。iptables命令__________（4）同组主机对当前主机防火墙规则进行测试，验证规则正确性。2．对已建的网络会话进行状态检测

（1）清空filter规则链全部内容，并设置默认规则为允许。

（2）同组主机首先telnet远程登录当前主机，当出现“login:”界面时，暂停登录操作。telnet登录命令_________（3）iptables添加新规则(状态检测)——仅禁止新建网络会话请求。iptables命令___________ 或___________________ 同组主机续(1)步骤继续执行远程登录操作，尝试输入登录用户名“guest”及口令“guestpass”，登录是否成功__________。

同组主机启动Web浏览器访问当前主机Web服务，访问是否成功__________。解释上述现象______________________。

（4）删除步骤（3）中添加的规则，并插入新规则(状态检测)——仅禁止已建网络会话请求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作实验步骤(1)(2)(4)。同组主机续(1)步骤继续执行远程登录操作，尝试输入登录用户名“guest”及口令 “guestpass”，登录是否成功__________。

同组主机启动Web浏览器访问当前主机Web服务，访问是否成功__________。解释上述现象_______________。

（5）当前主机再次清空filter链表规则，并设置默认策略为DROP,添加规则开放FTP服务，并允许远程用户上传文件至FTP服务器。

iptables命令______________________________________ 四．NAT转换实验

实验概述：图3-2-2描述了NAT转换实验所应用的网络拓扑结构。内网主机与NAT服务器eth0接口位于同一网段(内网)；外网主机与NAT服务器eth1接口位于同一网络(外网)；NAT服务器提供NAT转换。通过设置nat服务器的iptables NAT规则，实现内、外网主机间的通信数据包的地址转换，达到屏蔽内部网络拓扑结构与转发外网主机请求端口的目的。

图3-2-2 实验网络拓扑结

「说明」 本实验是在Linux系统下完成，Linux系统默认安装了2块以太网卡，网络接口分别为eth0和eth1，在设置NAT服务前请激活eth1网络接口，命令ifconfig eth1 up。

1．确定各接口IP地址

本实验由ABC、DEF主机各为一实验小组。默认实验角色：主机A为内网主机、B为NAT服务器、C为外网主机。也可以自定义实验角色。

默认内网IP地址192.168.0.0/

24、外网IP地址202.98.0.0/24。配置完成内网主机eth0接口IP地址及默认网关(指向NAT服务器内网接口)，NAT服务器eth0和eth1接口IP地址，外网主机eth0接口IP地址，并完成下列问题的填写：

内网主机IP____________________，其默认网关____________________； 外网主机IP____________________；

NAT服务器内网接口IP____________________、外网接口IP____________________。

内网主机对NAT服务器内网接口进行连通性测试（ping）；外网主机对NAT服务器外网接口进行连通性测试（ping）。

2．设置防火墙规则允许内部网络访问外部网络

操作流程：首先开启NAT服务器的路由功能(开启网络接口间数据的转发)，清空filter链表全部规则，并设置其默认策略为DROP；继续设置规则允许来自内网的数据流进入外网，并允许任何返回流量回到内网；最后规则实现内网、外网接口间的数据转发。

（1）NAT服务器开启路由功能。

基于安全的考虑，默认情况下Linux路由数据包的功能是关闭的，通过下述命令开启系统路由功能：

（2）设置filter表规则链，默认策略为禁止。iptables命令_______________________（3）添加filter表新规则，允许来自防火墙的流量进入Internet；允许任何相关的返回流量回到防火墙。

iptables命令_______________________（4）添加filter表新规则，实现NAT服务器内部网络接口eth0与外部网络接口eth1间的数据转发。iptables命令_______________________（5）主机C启动Snort（/opt/ids/snort）以网络嗅探方式运行(设置过滤器仅监听icmp数据包)，主机A ping探测主机C，是否ping通______？

将主机C的默认网关指向NAT服务器的外网接口，主机A再次ping探测主机C，是否ping通__________？结合snort捕获数据，对比实验现象，说明原因：___________________。

3．设置防火墙规则通过NAT屏蔽内部网络拓扑结构

操作流程：在实现步骤2的操作基础上，添加nat表新规则实现数据从内网到外网的地址翻译。（1）NAT服务器重新启动iptables服务。service iptables restart（2）重新操作步骤2(⑵～⑶)。

（3）添加nat表新规则，通过网络地址翻译实现内部网络地址转换。iptables命令_______________________（4）添加filter表新规则，实现NAT内部网络接口eth0与外部网络接口eth1之间的数据转发。iptables命令_______________________（5）主机C重新将默认网关指为空，重新启动Snort捕获ICMP数据。主机A对主机C进行ping探测，是否ping通__________？主机C停止Snort监听，查看已捕获到ICMP数据，其源IP地址是__________？解释实验象_____________________________________。

4．设置防火墙规则通过NAT实现外网请求端口转发

操作流程：在实现步骤3的操作基础，添加nat表新规则实现数据从外网到内网的地址翻译(端口转发)。（1）NAT服务器重新启动iptables服务。service iptables restart（2）重新操作步骤3(⑵～⑷)。

（3）添加nat表新规则，实现数据从外网到内网的地址翻译（80/tcp端口转发）。iptables命令__________________(4)完成NAT外部接口eth1到内部接口eth0之间的数据转发 iptables命令__________________（5）确定主机C默认网关指为空，主机A和主机C启动Snort捕获80/tcp数据，主机C启动Web浏览器，在地址栏中输入：http://202.98.0.150，观察访问结果，回答下列问题：

主机C访问是否成功__________？若成功，其访问的是哪台主机的Web主页__________（主机A/主机B）？

主机C停止Snort捕获，观察80/tcp会话的源、目的IP地址对__________________。主机A停止Snort捕获，观察80/tcp会话的源、目的IP地址对__________________。解释上述实验现象______________________________________________________。五．应用代理实验

实验概述：使用iptables+squid方式来实现传统代理、透明代理和反向代理。

实验角色说明如下：

内网客户端仅需启用“本地连接”，其IP地址形式如下：172.16.X.Y，子网掩码255.255.255.0,其中X为所属实验组编号（1-32）,Y为主机编号（1-6）,例如第4组主机A的IP地址为172.16.4.4。

代理服务器需要启动内部网络接口eth0和外部网络接口eth1。内部IP地址形式同内网客户端，外部IP地址形式如下：202.98.X.Y，子网掩码255.255.255.0，其中X为所属实验组号（1-32）,Y为主机编号，例如第4组主机B的内部IP地址为172.16.4.2，外部IP地址为202.98.4.2。

外网Web服务器仅需启用“本地连接”，其IP地址形式如下：202.98.X.Y，子网掩码255.255.255.0，其中X为所属实验组号（1-32），Y为主机编号（1-6），例如第4组主机C的IP地址为202.98.4.3。

在进行实验操作前，首先清空防火墙规则。1．传统代理

（1）外网Web服务器手动分配IP地址，并确认本地Web服务已启动。

（2）代理服务器激活网络接口eth1，并手动分配IP地址，可通过以下两种方式激活eth1： 通过“桌面”｜“管理”｜“网络”激活eth1，并手动分配IP地址； 在控制台中输入命令ifconfig eth1 up激活eth1,输入命令ifconfig eth1 202.98.X.Y/24为eth1分配IP地址。（3）代理服务器配置squid。

代理服务器进入目录/usr/local/squid/etc/，使用vim编辑器打开配置文件squid.conf。在squid.conf中配置如下选项：

第936行，使用默认的端口http_port 3128；

第574行，添加行acl mynet src 主机A地址域。例如acl mynet src 172.16.1.0/24； 第610行，添加行http_access allow mynet。（4）运行代理服务器

代理服务器进入目录/usr/local/squid/sbin/，输入命令：./squid –NCd1启动代理服务。（5）通过代理访问Web服务器

内网客户端打开IE浏览器，通过“工具”｜“Internet选项”｜“连接”｜“局域网设置”选中“为LAN使用代理服务器”，在“地址”中输入代理服务器的内网IP，在“端口”中输入代理服务器的监听端口号，单击“确定”按钮，完成浏览器设置。

内网客户端在IE浏览器地址栏中输入“http://外网Web服务器IP地址”，即可访问到Web页面。（6）验证代理服务器的作用

内网客户访问外网Web服务，是否可以访问到页面__________。

外网Web服务器关闭Web服务，代理服务器访问外网Web服务，是否可以访问到页面__________。内网客户端再次访问外网Web服务，是否可以访问到页面__________，为什么？____________。2．透明代理

（1）外网Web服务器开启Web服务。（2）代理服务器配置squid。

代理服务器进入目录/usr/local/squid/etc/，使用vim编辑器打开配置文件squid.conf，配置如下选项： 第936行，修改为：http_port 主机B内网IP:3128 transparent（3）代理服务器添加iptables规则。

对从代理服务器内网接口进入的、基于tcp协议的、目的端口是80的数据包，做“端口重定向”。将数据包重定向到3128端口，规则如下：

iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）运行代理服务器。

（5）通过代理访问Web服务器。

内网客户端将本地连接的“默认网关”设置为代理服务器的内网IP，即代理服务器的eth0网络接口的IP。内网客户端打开IE浏览器，通过“工具”｜“Internet选项”｜“连接”｜“局域网设置”，取消“为LAN使用代理服务器”。

内网客户端在IE浏览器地址栏输入“http://外网Web服务器的IP”，即可访问到外网Web服务器的Web页面。

3．反向代理

（1）内网客户端开启Web服务。（2）代理服务器配置squid。

代理服务器进入目录/usr/local/squid/etc/，使用vim编辑器打开配置文件squid.conf，配置如下选项： 第936行，修改为：http_port 主机B外网地址:80 vhost。

第1499行，添加行：cache_peer 主机A的IP parent 80 0 no-query originserver。第574行，修改为：acl outside src 主机C地址域。例如acl outside src 202.98.1.0/24。第610行，修改为：http_access allow outside。（3）停止代理服务器的Web服务。

在代理服务器的终端输入命令：service httpd stop。（4）删除缓存文件。

删除目录/usr/local/squid/var/cache/00/00下所有文件。（5）运行代理服务器。

（6）外网通过代理访问内网客户端Web服务

电气控制技术实验报告 篇4

实验设计报告

一、安装过程描述

1、安放原件的框架安装：安装好底座，通过比对用锯子锯出长短合适的长铁片，一次安装上去。

2、元件安装：

（1）安装plc柜门的各种按钮，指示灯等。

（2）在安装柜子里面的的电源的空气开关，依次向左安装四个5位接线端子和变频器特别注意端子的距离，以防止没地方安装变频器）接着柜门中间铁片上从左到右一次

安装空气开关和plc最下面一个铁片上面安装两个12位接线端子和行程开关，最下面一条铁片上安装时间继电器和中间继电器

（3）底座上面安装两个5位接线端子和一个12位接线端子，在安装两个接触器和一个三相交流电动机

3、接线

安装好所有元件后开始按照电路图开始接线（注意黄绿红线的何时使用和具体的顺序以及使用蓝线一般是零线），注意线的长度和线路。

4、测试，所有线安装完毕之后对照电路图检查线路是否安装正确，在通过万用变检查线路正常接通，最后打开电源，plc是否运行正常。

5、最后安装好柜子两边门，将线路理顺整理好在固定。

二、元件认识 继电器：

当操作器件被吸合时延当操作器件被释放时延当操作器件被释放时延当操作器件被吸合时延吸合时延时闭合和释放时闭合的动合触点时断开的动合触点时闭合的动断触点时断开的动断触点时延时断开的动合触点 指示灯

灯、信号灯一般符号单灯光字牌双灯光字牌闪光型信号灯机电型指示器信号元件模拟灯（发电机模拟灯）开关

开关装置和控制装置图形符号动合常开触点多极开关接触器(在非动作位置触点断开)具有自动释放的接触器接触器(在非动作位置触点闭合)断路器隔离开关漏电隔离开关 负荷开关(负荷隔离开关)具有自动释放的负荷开关自动空气开关手车式抽屉式断路器手车式抽屉式隔离开关短路开关快速分离的隔离开关天磁开关

三、元器件布局要求及设计

图1 面板元器件布置图

说明：

1、编号首字母“0”为电源开关、指示灯；

2、编号首字母“1”为交流220V指示灯或按钮（开关）；

3、编号首字母“2”为直流24V指示灯或按钮（开关）。

图2 柜内底板元器件布置图

图3 柜内正面元器件布置图

四、电路原理图

五、实验柜中所用保护措施的原理

该实验柜内的线路采用的是三相五线制系统，三相五线制的接法：包含三根相线L1---(A)相、L2---(B)相、L3---(C)相及一根零线N，还有一根地线PE，是工作零线与保护零线分开设置或部分分开设置的接零保护系统。PE线在供电变压器侧和N线接到一起，但进入用户侧后则不能当作零线使用。三相五线制的优点是保护灵敏性与可靠性都比三相四线制的要高，因为PE线（即接地零线）是单独设置，并且是直接接自电源变压器中性点，变压器的中性点已可靠直接接地，接地电阻较低，满足系统保护要求。三相五线制通常用于用于安全要求较高，设备要求统一接地的场所及住宅。应用中最好使用标准/规范的导线颜色：A线用黄色，B线用蓝色，C线用红色，N线用褐色，PE线用黄绿色。零线和地线的根本差别在于一个构成工作回路,一个起保护作用叫做保护接地,一个回电网,一个回大地,在电子电路中这两个概念是要区别开来的。

零线（N）：从变压器中性点接地后引出主干线。

地线（PE）：从变压器中性点接地后引出主干线，根据标准，每间隔20-30米重复接地。原理的区别：

零线（N）：主要应用于工作回路，零线所产生的电压等于线阻乘以工作回路的电流。由于长距离的传输，零线产生的电压就不可忽视，作为保护人身安全的措施就变得不可靠。

地线（PE）：不用于工作回路，只作为保护线。利用大地的绝对“0”电压，当设备外壳发生漏电，电流会迅速流入大地，即使发生PE线有开路的情况，也会从附近的接地体流入大地。

TN-S系统--工作零线 N 和专用保护线 PE 严格分开的供电系统。（1）系统正常运行时，专用保护线上没有电流，只是工作零线上有不平衡电流。PE 线对地没有电压，所以电气设备金属外壳接零保护是接在专用的保护线 PE 上，安全可靠。（2）工作零线只用作单相照明负载回路。（3）专用保护线 PE 不许断线，也不许进入漏电开关作工作零线。（4）干线上使用漏电保护器，漏电保护器下不得有重复接地，而 PE 线有重复接地，但是不经过漏电保护器，所以 TN-S 系统供电干线上也可以安装漏电保护器。（5）TN-S 方式供电系统安全可靠，适用于工业与民用建筑等低压供电系统。

六、小组（个人）实验体会

通过这次实验,让我们学习到不少关于电路接线规则、元器件合理布局及接线过程中该注意的细节问题等等。

这次实验让我们对plc有了更进一步的了解，以及通过电路图对实际电路的连接，让我更深入的理解了实验柜的内部构成，相信这对我以后学习plc会有很大的作用。

《工业组态控制技术》实验报告 篇5

任务一：我的第一个工程，时间3月8日 任务二：水箱控制，时间3月22日 任务三：用户权限的管理，时间

4月18日

任务一：我的第一个工程

一、工作任务

1、理解组态技术、MCGS组态软件的特点和构成。

2、建立一个简单的MCGS组态工程。

二、工作要求

1、正确回答相关的理论知识点。

2、建立名为“我的第一个工程”的工程项目，保存到F盘以自己学号和姓名命名的文件夹中。

3、工程运行时，立即最大化显示工程画面，窗口标题为“我的第一个工程”。画面中有：1台水泵、2个水罐、2个阀门、3段水管和相关文字注释。工程效果图可参见MCGS帮助系统：MCGS快速入门。

三、工作过程

（一）理论学习，回答下列问题：

1、什么是工控组态软件？

2、说明英文缩写的含义：MCGS、ODBC、OPC、OLE。

3、MCGS系统包括哪些部分？其核心是什么？

4、MCGS系统为什么与设备无关？

（二）详细写出组态工作过程

1、创建自己的文件夹

打开F盘，鼠标右击，新建文件夹，将文件夹命名为自己的学号和姓名，如：41011150 XX。这样在F盘根目录下就建立了自己的文件夹——F:41011150 XX。（每次组态工作前，先创建自己的文件夹，然后将组态工程文件保存在此文件夹中，今后不再重复说明）。

2、创建工程

（1）双击桌面“MCGS组态环境”图标，打开MCGS组态环境窗口。（一般会自动弹出一个最近编辑过的工作台窗口，将它关闭。）

（2）单击“文件”菜单中的“新建工程”选项，弹出一个工作台窗口。一般会在D：MCGSWORK下自动生成新建工程，默认的工程名为：“新建工程0.MCG”（若新建工程0.MCG已经存在，则新建工程的顺序号顺延，如：1、2、3等）。

（3）单击“文件”菜单中的“工程另存为”选项，弹出文件保存窗口。在“文件名”一栏内输入“我的第一个工程”。再单击“保存在”一栏内的小黑三角，找到自己的文件夹，如F:41011150 XX。点击“保存”按钮，工程创建完毕。

3、创建用户窗口

（1）在工作台中，单击“新建窗口”按钮，新建一个用户窗口，名称为“窗口0”。（2）选择“窗口0”，单击“窗口属性”按钮，进入“用户窗口属性设置”。将窗口名称改为：我的第一个工程，窗口标题改为：我的第一个工程，窗口内容注释改为：××设计（如：41011150 XX设计），窗口位置选中“最大化显示”，其它不变，单击“确认”按钮。这时原来的“窗口0”已经变为“我的第一个工程”。

（3）选中“我的第一个工程”，点击右键，选择下拉菜单中的“设置为启动窗口”选项，将该窗口设置为MCGS运行环境中自动加载的启动窗口。

4、编辑画面

（1）选中“我的第一个工程”窗口图标，单击“动画组态”按钮（或直接双击“我的第一个工程”窗口图标），进入动画组态窗口。若没有看见工具箱则单击“查看”菜单，选择“绘图工具箱”。下面开始编辑本窗口的画面。

（2）画水泵：单击工具箱“插入元件”，弹出“对象元件库管理”对话框，从“泵”类中选取泵40，再将泵调整为适当大小，用鼠标拖动到适当位置（参照效果图）。从最下一行的状态条中，记录泵的位置和大小。若没有看见状态条则单击“查看”菜单，选择“状态条”。（3）画“储藏罐”：同理，在“储藏罐”类中分别选取罐

17、罐53。参照效果图调整位置和大小，并做好记录。

（4）画“阀门”：同理，在“阀门”类中分别选取阀

58、阀44。参照效果图调整位置和大小，并做好记录。

（5）画“水管”：单击工具箱“流动块”，移动鼠标至窗口的预定位置，点击一下鼠标左键，移动鼠标，在鼠标光标后形成一道虚线，拖动一定距离后，点击鼠标左键，生成一段流动块。再拖动鼠标（可沿原来方向，也可垂直原来方向），生成下一段流动块。双击鼠标左键即可结束绘制。（若想修改流动块，先选中流动块，鼠标指针指向流动块周围的某一小方块，按住左键拖动鼠标，即可调整流动块的形状）。参照效果图，用流动块画出3段水管。为了让水管两端与水罐连接的美观，或者水管挡住了阀门画面，可以将水管的图层移动至最底层。选择所画的流动块，右击鼠标，选择“排列”，再选择“最后面”。（6）作出“文字注释”：单击工具箱“标签”，在水泵下方用鼠标拖动出一个文本框，输入“水泵”。再双击“水泵”标签，弹出“对象组态属性设置”对话框，边线颜色选“无边线颜色”，字符颜色选“蓝色”，字符字体选“宋体/粗体/三号”，单击“确认”。若文字显示不全，则用鼠标调整文本框大小（调大一些没有关系）。同理，在适当的位置分别画出另外的文字标签“水罐1”、“水罐2”、“调节阀”、“出水阀”。（7）保存画面：选择“文件”菜单中的“保存窗口”选项，保存画面。

5、工程运行

单击单击“文件”菜单中的“进入运行环境”，系统提示：并口（USB接口）上没有软件狗，只能运行30分钟！点击“确认”即可进入MCGS运行环境（若关闭了“MCGS组态环境”窗口，则在桌面上双击“MCGS运行环境”即可）。

6、工程提交

将电脑中建立的自己的文件夹发送到自己的移动盘中，并尝试运行一次，确认组态工程被正确保存。运行过的组态工程会多一个加字母D的数据库文件“我的第一个工程D”，下次运行时还会自动生成，若运行数据无需保存，可以删除。

四、工作结果

进入MCGS运行环境，立即最大化显示标题为“我的第一个工程”的工程画面，画面内容达到设计要求。工程效果图如下：（参见程序文件）

五、总结与体会

围绕以下要点来谈谈完成本次任务的体会：

1、本次任务中自己做了什么？遇到哪些问题？如何解决的？

2、完成这次任务有什么收获？

任务二：水箱控制

一、工作任务

1、制作水箱控制组态画面。

2、模拟水箱控制过程。

二、工作要求

1、正确回答相关的理论知识点。

2、建立名为“水箱控制”的工程项目，保存到F盘以自己学号和姓名命名的文件夹中。

3、工程运行时，立即最大化显示工程画面，窗口标题为“水箱控制”。画面中有：2台水泵、1个水罐、1个滑动输入器、2段水管和相关文字注释。下水泵排水、上水泵进水。水位可以人工调节，也可以在20-80之间自动调节。

三、工作过程

（一）理论学习，回答下列问题：

1、什么是用户窗口？

2、怎样产生动画效果？动画连接主要有哪几种？rdf

3、水管是用什么构件制作的？怎样使进、出水的流动方向相反？

4、脚本程序有什么用处？共有几种语句？

（二）详细写出组态工作过程

1、创建自己的文件夹

打开F盘，鼠标右击，新建文件夹，将文件夹命名为自己的学号和姓名，如：41011150 XX。这样在F盘根目录下就建立了自己的文件夹——F:41011150 XX。

2、创建工程

3、创建用户窗口

4、编辑画面

5、工程运行

6、工程提交

四、工作结果

进入MCGS运行环境，立即最大化显示标题为“水箱控制”的工程画面，画面内容达到设计要求。可以看到水箱水位在自动变化。工程效果图如下：（参见程序文件）人工调节水位的模拟：„„

五、总结与体会

围绕以下要点来谈谈完成本次任务的体会：

1、本次任务中自己做了什么？遇到哪些问题？如何解决的？

2、完成这次任务有什么收获？

任务三：用户权限的管理

一、工作任务

1、设置工程密码，保护工程不会被其他人打开使用或修改。

2、设置工程试用期，通过多级密码控制系统的运行或停止。

3、规定操作权限，提高工程安全性。

二、工作要求

1、正确回答相关的理论知识点。

2、建立名为“安全机制练习”的工程项目，保存到F盘以自己学号和姓名命名的文件夹中。

3、工程运行时，立即最大化显示工程画面，窗口标题为“安全机制练习”。画面中有：用户权限分配表，和相关文字注释。通过菜单操作，可根据不同用户权限在其他5个画面之间跳转。

三、工作过程

（一）理论学习，回答下列问题：

1、主控窗口的主要功能是什么？

2、权限设置的作用是什么？

3、怎样设置试用期？

4、怎样设置启动属性？

（二）详细写出组态工作过程

1、创建自己的文件夹

2、创建工程

3、创建用户窗口

4、编辑画面

5、工程运行

6、工程提交

四、工作结果

进入MCGS运行环境，显示„„工程画面，画面内容达到设计要求。可以操作„„。工程效果图如下：（参见程序文件）

五、总结与体会

围绕以下要点来谈谈完成本次任务的体会：

1、本次任务中自己做了什么？遇到哪些问题？如何解决的？

防火墙技术综述 篇6

关键词：网络安全；防火墙；技术

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 05-0000-01

Summary of Firewall Technology

Li Huimin

(Hunan Vocational College of Information Science,Changsha410151,China)

Abstract:This article starting from the current network security issues at home.Described in detail the information security technology familiar firewall technology,a comparative analysis of the characteristics various types of firewall technology,and architecture.And to outlook on the firewall.

Keywords:Network security;Firewall;Technology

一、前言

Internet的流行，与WEB技术的发展是密不可分的。标准的WEB服务通过客户端的WEB浏览器向WEB服务器发出请求，以进行文件读取，数据提交或信息检索等操作。因此黑客攻击猖獗。随着人们对WEB依赖性的增强，针对WEB的攻击也越来越多。那些越是流行的服务器、越是流行的应用软件，越发成为被攻击的对象。美国<<信息安全>>杂志进行一年一度的信息安全行业调查表明，与2000年相比，2001年美国WEB服务器受攻击的次数翻了一翻。近50%的受调查企业收到外界对他们的WEB服务器的攻击，高于2000年的24%，而通过WEB对个人主机发起的攻击更是举不胜举。我们可以看出网络的不安全原因是：自身缺陷+开放性+黑客攻击。与网络安全相关的技术有：（1）防火墙技术；（2）PKI技术；（3）VPN技术；（4）入侵检测技术；（5）病毒防护技术。

针对出现的各种网络安全防护技术，本文将对防火墙技术做详细介绍。

二、防火墙技术

（一）防火墙的概念。防火墙是一种用来加强网络之间访问控制的特殊网络互连设备。是一种非常有效的网络安全模型。它的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。目的是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道。以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。

（二）防火墙的分类

1.个人防火墙。是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能。常用的个人防火墙有：Norton、天网个人防火墙、瑞星防火墙等。

2.软件防火墙。个人防火墙也是一种纯软件的防火墙，但其应用范围较小，且只支持windows系统。功能相对来说要弱很多。并且安全性和并发连接处理能力较差。作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。

3.纯硬件防火墙。采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）；纯硬件防火墙最大的亮点：高性能，非常高的并发连接数和吞吐量；采用ASIC芯片的方法在国外比较流行，技术也比较成熟。

三、防火墙的体系结构

防火墙系统实现所采用的架构及其实现所采用的方法。它决定着防火墙的功能，性能及使用范围。常见的防火墙的体系结构有：

（一）分组过滤路由器。作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。

（二）双宿主机。双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。通常采用代理服务的方法.堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等。

（三）屏蔽主机。一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。

（四）屏蔽子网。屏蔽子网是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（Demilitarized Zone）），如图4所示。在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中。

四、防火墙技术展望

随着技术的发展，防火墙技术也得到了长足的发展。在今后将会有智能防火墙，分布式防火墙，网络产品的系统化的应用。

（一）智能防火墙。智能防火墙是采用人工智能识别技术（统计，记忆，概率和决策等）。因此智能防火墙具有安全，高效的特点。在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。

（二）分布式防火墙。分布式防火墙是一种新的防火墙体系结构，包含网络防火墙，主机防火墙和管理中心。由于传统防火墙属于边界防火墙。缺陷是：结构性限制；内部威胁；效率和故障。但是分布式防火墙是一种新的防火墙体系结构，在网络内部增加了另一层安全，支持基于加密和认证的网络应用，与拓扑无关，支持移动计算的特点。

（三）网络产品的系统化。以防火墙为核心的网络安全体系的解决方法。（1）直接把相关安全产品“做”到防火墙中。（2）各个产品相互分离，但是通过某种通信方式形成一个整体。

五、总结

随着Internet技术的发展，网络安全将会面临更加严峻的挑战。本文从网络安全角度出发，对防火墙技术进行了详细的介绍，希望能对不同的用户提供参考。

参考文献：

[1]Timothy S.Ramteke.计算机网络[M].北京:机械工业出版社,2004

[2]李惠芳,吴友武.网络攻击防范的策略分析与思考[J].中国公安大学学报（自然科学版）,2005,2