实验5防火墙和VPN.docx

1、实验5防火墙和VPN 实验5 防火墙和VPN作业内容：1、 Windows自带防火墙设置2、查询网上有关防火墙产品(软、硬件)的报价、功能3、VPN是什么？有什么功能？4、有哪几类用户比较适合使用VPN系统？5、查询VPN产品的报价，VPN设置方法 目录一、Windows自带防火墙设置 51、打开Windows防火墙 5.2、设置“常规”选项 5二、查询网上有关防火墙产品(软、硬件)的报价、功能 81、软防火墙 91.1、国产产品 91.2、国外产品 91.3、适应范围 92、硬防火墙 92.1、产品 92.2、适应范围： 113、防火墙功能 113.1、个人防火墙功能 11三、VPN是什么？

2、有什么功能？ 121、VPN是什么 121.1、意义 121.2、特点 132、VPN功能 142.1、信息包分类 142.2、带宽管理 142.4、公平带宽 142.5、传输保证 143、VPN的实现方式 153.1、VPN的实现有很多种方法，常用的有以下四种： 154、VPN分类 154.1、按VPN的协议分类 154.2、按VPN的应用分类： 154.3、按所用的设备类型进行分类 165、VPN技术 165.1、隧道技术 165.3、加解密技术 175.4、密匙管理技术 175.5、使用者与设备身份认证技术 17 四、有哪几类用户比较适合使用VPN系统 17 五、查询VPN产品的报价，V

3、PN设置方法 181、VPN产品的报价 182、VPN设置方法 182.2. 修改注册表 192.3、登录方法： 19一、Windows自带防火墙设置1、打开Windows防火墙在Windows XP 操作系统下，依次单击“开始程序控制面板网络和Internet连接Windows防火墙”，打开“Windows防火墙”对话框， “Windows防火墙”对话框包含三个选项卡：“常规”、“异常”、“高级”.2、设置“常规”选项 在“常规”选项卡上，您可以选择以下选项： 2.1、启用(推荐)选择这个选项来对“高级”选项卡上选择的所有网络连接启用Windows防火墙。 Windows防火墙启用后将仅允许

4、请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。 2.2、不允许异常流量单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略，所有的连接都将受到保护，而不管“高级”选项卡上的设置如何。 2.3、禁用选择这个选项来禁用Windows防火墙。不推荐这样做，特别是对于可通过Internet直接访问的网络连接。 3、设置“异常”选项卡 在“异常”选项卡上，您可以启用或禁用某个现有的程序或服务，或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许异常流量”选项时，异常流量将被拒绝。 Windows防火墙的特性之一就是能够定义

5、传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时，您有两种选择： “任何计算机” 允许异常流量来自任何IP地址。 “仅只是我的网络(子网)” 仅允许异常流量来自如下IP地址，即它与接收该流量的网络连接所连接到的本地网段(子网)相匹配。例如，如果该网络连接的IP地址被配置为 192.168.0.99，子网掩码为255.255.0.0，那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的 IP地址。 当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务，但是又不希望允许潜在的恶意Internet用户进行访问，那么“仅只

6、是我的网络(子网)”设定的地址范围很有用。 一旦添加了某个程序或端口，它在“程序和服务”列表中就被默认禁用。在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。 4、设置“高级”选项卡 “高级”选项卡包含以下选项： 网络连接设置、安全日志、ICMP、默认设置 4.1、“网络连接设置” 在“网络连接设置”中，您可以： （1）指定要在其上启用Windows防火墙的接口集。要启用Windows防火墙，请选中网络连接名称后面的复选框。要禁用Windows防火墙，则清除该复选框。默认情况下，所有网络连接都启用了Windows防火墙。如果某个网络连接没有出现在这个列表中，

7、那么它就不是一个标准的网络连接。这样的例子包括Internet服务提供商(ISP)提供的自定义拨号程序。 （2）、通过单击网络连接名称，然后单击“设置”，配置单独的网络连接的高级配置。 如果清除“网络连接设置”中的所有复选框，那么Windows防火墙就不会保护您的计算机，而不管您是否在“常规”选项卡上选中了“启用(推荐)”。如果您在“常规”选项卡上选中了“不允许异常流量”，那么“网络连接设置”中的设置将被忽略，这种情况下所有接口都将受到保护。 当您单击“设置”时，将弹出“高级设置”对话框。 在“高级设置”对话框上，您可以在“服务”选项卡中配置特定的服务(仅根据TCP或UDP端口来配置)，或者在

8、“ICMP”选项卡中启用特定类型的ICMP流量。 这两个选项卡等价于Windows XP(SP2之前的版本)中的icf配置的设置选项卡。 4.2、“安全日志” 在“安全日志”中，请单击“设置”，以便在“日志设置”对话框中指定Windows防火墙日志的配置， 在“日志设置”对话框中，您可以配置是否要记录丢弃的数据包或成功的连接，以及指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。 4.3、“ICMP” 在“ICMP”中，请单击“设置”以便在“ICMP”对话框中指定允许的ICMP流量类型。 在“ICMP”对话框中，您可以启用和禁用Windows防火

9、墙允许在“高级”选项卡上选择的所有连接传入的ICMP消息的类型。ICMP消息用于诊断、报告错误情况和配置。默认情况下，该列表中不允许任何ICMP消息。 诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。在检验时，您可以发送一条ICMP ECHO消息，然后获得一条ICMP ECHO reply消息作为响应。 默认情况下，Windows防火墙不允许传入ICMP ECHO消息，因此该计算机无法发回一条ICMP ECHO reply消息作为响应。为了配置Windows防火墙允许传入的ICMP ECHO消息，您必须启用“允许传入的ECHO请求”设置。 4.4、“默认设置” 单击“

10、还原默认设置”，将Windows防火墙重设回它的初始安装状态。 当您单击“还原默认设置”时，系统会在Windows防火墙设置改变之前提示您核实自己的决定。二、查询网上有关防火墙产品(软、硬件)的报价、功能1、软防火墙1.1、国产产品（1）瑞星个人防火墙，收费。（2）天网个人防火墙，收费。（3）江民个人防火墙，收费。（4）360木马防火墙， 免费。1.2、国外产品（1）pc tools firewall plus 免费。（2）outpost firewall 收费。（3）ZoneAlarm 收费。1.3、适应范围 个人用户2、硬防火墙2.1、产品 参考资料：2.2、适应范围： 企业型3、防火墙功

11、能3.1、个人防火墙功能个人防火墙一般具有以下功能: （1）数据包过滤 过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包，拒绝发送可疑的包。 在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包头信息中包括IP源地址、IP目标地址、内装协议(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。当这些包被送上互联网时，防火墙会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地

12、重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。 （2）防火墙的安全规则 安全规则就是对你计算机所使用局域网、互联网的内制协议设置，从而达到系统的最佳安全状态。 个人防火墙软件中的安全规则方式可分为两种: 一种是定义好的安全规则 就是把安全规则定义成几种方案，一般分为低、中、高三种。这样不懂网络协议的用户，就可以根据自己的需要灵活的设置不同的安全方案。例如:ZoneAlarm防火墙. 还有一种用户可以自定义安全规则 也就是说，在你非常了解网络协议的情况下，你

13、就可以根据自已所需的安全状态，单独设置某个协议。 （3）事件日记 这是每个防火墙软件所不能少的主要的功能。记录着防火墙软件监听到发生的一切事件，比如入侵者的来源、协议、端口、时间等等。记录的事件是由防火墙的功能来决定的。 3.2、企业型防火墙功能 （1）地址转换, 防火墙, 统一威胁管理 （2）内容安全, VoIP 安全性, vpn, 防火墙和VPN 用户验证, 路由, 封装, 流量管 理(QoS), 系统管理, (3)日志记录和监视 三、VPN是什么？有什么功能？1、VPN是什么 虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术

14、。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 1.1、意义 VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到

15、内网资源呢？VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源

16、，这就是为什么VPN在企业中应用得如此广泛。 在传统的企业网络配置中，要进行异地局域网 之间的互连，传统的方法是租用dsn（数字数据网）专线或帧中继。这的通讯方案必然导致高昂的网络通讯/维护费对于移动用户（移动办公人员）与远端个人用户而言，一般通过拨号线路（Internet)进入企业的局域网，而这样必然带来安全上的隐患。 虚拟专用网的提出就是来解决这些问题：使用VPN可降低成本通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN（广域网）设备和远程访问设备。传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安

17、全和保密性。连接方便灵活用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。完全控制虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。 1.2、特点安全保障 VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有性和安全性。服务质量保证VPN可以为不同要求用户提供不同等级的服务质量保证。可扩充、灵活性VPN支持通过Intern

18、et和Extranet的任何类型的数据流。可管理性VPN可以从用户和运营商角度方便进行管理。2、VPN功能 在网络中，服务质量（QoS）是指所能提供的带宽级别。将QoS融入一个VPN，使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法：2.1、信息包分类 信息包分类按重要性将数据分组。数据越重要，它的级别越高。当然，它的操作也会优先于同网络中相对次要的数据。2.2、带宽管理 通过带宽管理，一个VPN管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。其他的带宽控制形式还有：2.3、通信量管理 通信量管理方法的形成是一个服务提供商在In

19、ternet通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。2.4、公平带宽 公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽，当应用程序需要用更大的数据流，例如MP3时，它将减少所用带宽以便给其他人访问的机会。2.5、传输保证 传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展，VPN管理员在维护带宽上还有许多问题。然而，新技术对QoS的补充将会帮助网络管理员解决这个问题。3、V

20、PN的实现方式3.1、VPN的实现有很多种方法，常用的有以下四种：（1）VPN服务器，在大型局域网中，可以在网络中心通过搭建VPN服务器的方法来实现。（2）软件VPN，可以通过专用的软件来实现VPN。（3）硬件VPN，可以通过专用的硬件来实现VPN。（4）集成VPN，很多的硬件设备，如路由器，防火墙等等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。注：如果是大型局域网的话，购买路由器，交换机等设备时就不需要VPN这一项了。直接在服务器上安装相应的软件就可以了。 4、VPN分类 根据不同的划分标准，VPN可以按几个标准进行分类划分4.1、按VPN的协议分类 VP

21、N的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。4.2、按VPN的应用分类：（1） Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量；（2） Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；（3） Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连

22、接；4.3、按所用的设备类型进行分类 网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙（1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；（2）交换机式VPN：主要应用于连接用户较少的VPN网络；（3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方 5、VPN技术5.1、隧道技术实现VPN，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinI

23、P，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。5.2、 隧道协议 隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。（1）PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压

24、缩。（2）L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。（3）IPSec协议：是一个标准的第三层安全协议，它是在隧道外面再封装，保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。5.3、加解密技术加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术实现加解密。5.4、密匙管理技术密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。5.5、使用者与设备身份认证技术使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。四、有哪几类用户比较适合使用VPN系统1、总的来说，有三

25、类用户比较适合采用VPN： （1）位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户； （2）用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户； （3）对线路保密性和可用性有一定要求的用户。 2、相对而言，有以下几种企业可能并不适于采用VPN： (1)对数据的安全性非常重视的企业； (2)将性能而不是价格放在第一位的企业； (3)网络系统采用不常见的协议或特殊应用，不能在IP隧道中传送数据的企业。 五、查询VPN产品的报价，VPN设置方法1、VPN产品的报价参考资料： 2、VPN设置方法 按照以下步骤配置Windows XP

26、计算机，使其成为L2TP 客户端。 2.1、配置L2TP 拨号连接： （1） 进入Windows XP 的“开始” “设置” “控制面板”，选择“切换到分类视图”。 （2） 选择“网络和Internet 连接”。 （3） 选择“建立一个您的工作位置的网络连接”。 （4） 选择“虚拟专用网络连接”，单击“下一步”。 （5） 为连接输入一个名字为“l2tp”，单击“下一步”。 （6） 选择“不拨此初始连接”，单击“下一步”。 （7） 输入准备连接的L2TP 服务器的IP 地址“112.91.67.50”，单击“下一步”。 （8） 单击“完成”。 （9） 双击“l2tp”连接，在l2tp 连接窗口，

27、单击“属性”。 （10） 选择“安全”属性页，选择“高级（自定义设置）”，单击“设置”。 （11） 在“数据加密”中选择“可选加密（没有加密也可以连接）”。 （12） 在“允许这些协议”选中“不加密的密码（PAP）”、“质询握手身份验证协议 （CHAP）”、“Microsoft CHAP（MS-CHAP）”，单击“确定”。 （13） 选择“网络”属性页面，在“VPN 类型”选择“L2TP IPSec VPN”。 （14） 确认“Internet 协议（TCP/IP）”被选中。 （15） 确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococo

28、l”、“微软网络文件 和打印共享”、“微软网络客户”协议没有被选中。 （16） 单击“确定”，保存所做的修改。 2.2. 修改注册表 缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。可以通过修改 Windows XP 注册表来禁用缺省的行为： 手工修改： （1） 进入Windows XP 的“开始” “运行”里面输入“Regedt32”，打开“注册表编辑 器”，定位“HKEY_Local_Machine System CurrentControl Set Services RasMan Parameters ”主键。 （2） 为该主键添加以下键值： 键值：ProhibitIpSec 数据类型：reg_dword 值：1 （3）保存所做的修改，重新启动电脑以使改动生效。2.3、登录方法：（1） 确认计算机已经连接到Internet（可能是拨号连接或者是固定IP 接入）。 (2） 启动前面步骤中创建的“l2tp”拨号连接。 (3） 输入的l2tp 连接的用户名（manuser）和密码（654321）。 (4） 单击“连接”。连接成功后，进入Windows XP 的“开始” “运行”里面输入192.168.3.3 即可打开共用档案。用完后请断开l2tp网络连接。