实验防火墙安全应用

实验防火墙安全应用（共8篇）

篇1：实验防火墙安全应用

陵水思源实验学校构筑消防安全“防火墙”工程实施方案

为了深入贯彻学校消防安全管理规定，全面落实“学校统一领导、部门依法监管、单位全面负责、师生积极参与”的消防工作原则，切实加强消防安全管理，提升学校火灾防控水平，按照市政府关于构筑社会消防安全“防火墙”工程工作部署，学校决定从现在起到2012年末，在全校实施构筑消防安全“防火墙”工程。

一、领导机构

学校成立构筑消防安全“防火墙”工程领导小组。

组 长：尹长安

副组长：朱兹文 陈聂图梁明法

成 员：由校长室、校办公室、德育处、教务处、总务处、负责人组成。

领导小组办公室设在保卫处，办公室主任由赵伟担任。

二、工作任务

（一）提高自检自查消除火灾隐患能力，切实做到“消防安全自管、火灾隐患自除”。各单位消防安全领导小组作为实施“防火墙”工程的领导机构，确定责任人和专兼职管理人员，具体负责本单位的消防安全管理，定期开展防火安全检查、巡查，切实抓好火灾隐患的源头控制。对检查中发现的火灾隐患要立即消除，不能立即消除的，要制定整改方案，明确整改措施，落实整改资金，限时消除。

（二）提高组织扑救初起火灾能力，切实做到“火情发现早、小火灭

得了”。各单位要建立一支精干的灭火队伍，承担扑救初起火灾的职能。要结合实际制定灭火应急预案并定期组织演练，确保一旦发生火情，能按职责分工及时到位、有效处置。消防控制室值班操作人员熟悉消防设备，熟练掌握火警处置及启动消防设施设备的程序和方法。

（三）提高组织人员疏散逃生能力，切实做到“能火场逃生自救、会引导人员疏散”。各单位要确定应急疏散引导员，熟悉引导疏散程序。师生员工普遍掌握火场逃生自救基本技能，熟悉逃生路线和安全出口，确保一旦发生火灾，能够及时组织在场人员安全疏散。

（四）提高消防宣传教育培训能力，切实做到“消防设施标识化、消防常识普及化”。各单位要开展经常性的消防宣传教育，定期开展消防技能培训，使师生员工普遍达到“懂基本消防常识、懂消防器材使用方法、懂逃生自救技能，会查改火灾隐患、会扑救初起火灾、会组织人员疏散”的要求。10月底前，各单位要建立消防安全“四个能力”为主要内容的宣传专栏；后勤管理部门要在重点部位、重要场所、疏散通道、安全出口等部位及建筑消防设施设置“提示”和“禁止”类消防标语。

（五）提高消防基础设施抗御火灾能力，切实做到“消防设施运行正常、灭火器材完好有效”。后勤部门要加强公共消防设施的维护保养，对存在故障的要尽快修复，确保正常运行；防火部门要做好灭火器材更新换代工作，配足配齐灭火器材，保证扑救初起火灾的需要。

三、工作要求

（一）落实组织领导责任。各单位主要领导要高度重视“防火墙”工程

建设和本单位的防火工作，认真履行消防工作职责，定期研究解决本单位消防工作重大问题。在重大节假日期间以及火灾多发季节，组织开展消防安全检查、消防知识宣传提示和教育培训，全面加强本单位消防安全管理的长效机制。

（二）落实部门监管责任。学校防火部门要加强对校内各单位实施“防火墙”工程的监督指导，督促相关职能部门落实消防安全监管责任，督促隐患单位及时消除火灾隐患，严格审核涉及消防安全的审批项目，加强消防安全的源头控制。

（三）落实设施建设责任。学校后勤部门要加强公共消防设施建设和维护管理，确保正常运行。凡公共消防设施不能满足防火和灭火应急救援需要的，要及时增建、改建、配置或进行技术改造。

（四）抓好消防骨干培训。各单位要抓好消防骨干培训工作，积极组织本单位消防安全责任人和专兼职管理人员参加消防专业培训，确保每个单位都有消防安全能力建设的“明白人”和骨干队伍。后勤部门要加强对消防控制室值班操作人员的消防安全教育和专门培训，并持消防行业特有工种职业资格证上岗。

（五）定期组织考核验收。各单位要把构筑消防安全“防火墙”工程有机地融合到日常消防工作中，加强基础档案建设，夯实火灾防控基础，全面提高单位消防安全能力。学校将构筑“防火墙”工程纳入社会治安综合治理检查考评内容，每年进行一次检查，2012年底进行总体验收和全面总结。

篇2：实验防火墙安全应用

目 录

实验一 了解各类防火墙·································1 实验二 配置Windows 2003防火墙·························5 实验三 ISA服务器管理和配置·······························8 实验四 锐捷防火墙安装····································10 实验五 通过CONSOLE口命令防火墙配置管理··················12 实验六WEB 界面进行锐捷防火墙配置管理····················14 实验七 架设如下拓朴结构··································19

实验一 了解各类防火墙

一、实验目的和要求

1、了解防火墙一些概念与常识

2、熟悉个人防火墙

3、学会使用几种常见的防火墙的使用

二、实验任务

1、在Internet网上分别查找有关各类防火墙。

2、了解各类防火墙

三、实验指导或操作步骤

1.ZoneAlarm（ZA）

这是Zone Labs公司推出的一款防火墙和安全防护软件套装，除了防火墙外，它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的版本相比，新产品现在能够支持专家级的规则制定，它能够让高级用户全面控制网络访问权限，同时还具有一个发送邮件监视器，它将会监视每一个有可能是由于病毒导致的可疑行为，另外，它还将会对网络入侵者的行动进行汇报。除此之外，ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点，即使是刚刚出道的新手也能够很容易得就掌握它的使用。说明：

(1)安装程序会自动查找已安装的 ZoneAlarm Pro 路径。

(2)如果已经安装过该语言包，再次安装前请先退出 ZA。否则安装后需要重新启动。

(3)若尚未安装 ZA，在安装完 ZA 后进行设置前安装该语言包即可，这样以后的设置将为中文界面。

(4)ZA 是根据当前系统的语言设置来选择相应语言包的，如果系统语言设置为英文，则不会调用中文语言包。

(5)语言包不改动原版任何文件，也适用于和 4.5.594.000 相近的版本。如果需要，在卸载后可还原到英文版。

(6)有极少量英文资源在语言包里没有，故无法汉化。如检查升级时的提示窗口、警报信息中的“Port”。

下载地址： http:///index.asp?rskey=B1B8JXCS

实验二 配置Windows 2003防火墙

一、实验目的和要求

1、了解防火墙一些概念与常识

2、学会配置Windows 2003防火墙

二、实验任务

1、配置Windows 2003防火墙。

2、了解防火墙

三、实验指导或操作步骤

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到Internet。1．启动/停止防火墙

（1）打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

（2）单击“高级”选项卡，出现如图1启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框；如果要禁用Internet 连接防火墙，请清除以上选择。

2．防火墙服务设置

Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

（1）标准服务的设置

我们以Windows 2003服务器提供的标准Web服务为例（默认端口80），操作步骤如下：在图1所示界面中单击[设置]按钮，出现如图2所示“服务设置”对话框；在“服务设置”对话框中，选中“Web服务器（HTTP）”复选项，单击[确定]按钮。设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。

图1

图2

注：您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。如果服务器还提供非标准服务，那就需要管理员手动添加了。

（2）非标准服务的设置

我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中，单击[添加]按钮，出现“服务添加”对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议（Web服务使用TCP协议，DNS查询使用UDP协议），最后单击[确定]。设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。

3．防火墙安全日志设置

在图2“服务设置”对话框中，选择“安全日志”选项卡，出现“安全日志设置”对话框，选择要记录的项目，防火墙将记录相应的数据。日志文件默认路径为C:WindowsPfirewall.log，用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式，可以用常用的日志分析工具进行查看分析。

Internet 连接防火墙小结: Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，从而提高Windows 2003服务器的安全性。同时，它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

实验三 ISA服务器管理和配置

一、实验目的和要求

(1)了解ISA一些概念与常识(2)熟悉ISA使用环境(3)学会管理和配置ISA服务器

二、实验任务

ISA服务器中的可扩展的企业防火墙配置。

三、实验指导或操作步骤

概要: 本文介绍如何安装 Internet Security and Acceleration(ISA)Server 并将其配置为防火墙。要将 ISA Server 架构安装到 Active Directory，您必须是本地计算机上的管理员。此外，您还必须同时是 Enterprise Admins 和 Schema Admins 两个组的成员。您必须为整个企业或组织将 ISA Server 架构一次性地安装到 Active Directory。（注意：企业初始化进程会将 ISA Server 架构信息复制到 Active Directory。由于 Active Directory 不支持架构对象的删除，因此企业初始化进程是不可逆的。）

1、要将 ISA Server 安装为防火墙，请按照下列步骤操作：

(1)单击开始，单击运行，在打开文本框中键入 cmd，然后单击确定。

(2)在命令提示符处，键入 PathISAi386Msisaent.exe（其中 Path 是指向 ISA Server 安装文件的路径）。请注意，该路径可能是 ISA Server 光盘的根文件夹，也可能是网络上包含 ISA Server 文件的共享文件夹。

(3)单击 Microsoft ISA Server 安装对话框中的继续。

(4)阅读最终用户许可协议(EULA)，然后单击我同意。

(5)根据需要，选择其中一个安装选项。

(6)单击“防火墙模式”，然后单击继续。

(7)在系统提示您允许安装程序停止 Internet 信息服务(IIS)时，单击确定。

(8)要自动构建 Internet 协议(IP)地址，请单击建立表，单击与您的服务器相连的网卡，然后单击确定。

(9)单击确定启动配置向导。

2、如何配置防火墙保护，请按照下列步骤操作：

(1)单击开始，指向程序，指向 Microsoft ISA Server，然后单击 ISA 管理。

(2)在控制台树中，单击以展开 server_name访问策略（其中 server_name 是服务器的名称），右键单击 IP 数据包筛选器，指向新建，然后单击筛选器。

(3)在“IP 数据包筛选器名称”框中，键入要筛选的数据包的名称，然后单击下一步。

(4)单击允许或阻止以允许或阻止该数据包，然后单击下一步。

(5)接受预定义选项，然后单击下一步。

(6)单击选项为应用数据包筛选器选择您所希望的方式，然后单击下一步。

(7)单击远程计算机，然后单击下一步。

(8)单击完成。

实验四 锐捷防火墙安装

一、实验目的和要求

(1)了解锐捷防火墙一些概念与常识(2)熟悉锐捷防火墙使用环境注意事项(3)锐捷防火墙安装注意事项

二、实验任务

锐捷防火墙安装。

三、实验指导或操作步骤

1．安全使用注意事项

本章列出各条安全使用注意事项，请仔细阅读并在使用RG-WALL 60 防火墙过程中严格执行。这将

有助于您更安全地使用和维护您的防火墙。

（1）您使用的RG-WALL 60 防火墙采用220V 交流电源，请确认工作电压并且务必使用三芯带接地

电源插头和插座。良好地接地是您的防火墙正常工作的重要保证。（2）为使防火墙正常工作，请不要将其放置于高温或者潮湿的地方。

（3）请不要将防火墙放在不稳定的桌面上，万一跌落，会对防火墙造成严重损害。

（4）请保持室内通风良好并保持防火墙通气孔畅通。

（5）为减少受电击的危险，在防火墙工作时不要打开外壳，即使在不带电的情况下，也不随意打

（6）清洁防火墙前，请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙，不能用液体清洗防火墙。2．检查安装场所

RG-WALL 60防火墙必须在室内使用，无论您将防火墙安装在机柜内还是直接放在工作台上，都需要保证以下条件：

（1）确认防火墙的入风口及通风口处留有空间，以利于防火墙机箱的散热。（2）确认机柜和工作台自身有良好的通风散热系统。

（3）确认机柜和工作台足够牢固，能够支撑防火墙及其安装附件的重量。（4）确认机柜和工作台的良好接地。

为保证防火墙正常工作和延长使用寿命，安装场所还应该满足下列要求。2.1 温度／湿度要求

为保证RG-WALL 60防火墙正常工作和使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害防火墙的电路。温度过高则危害更大，长期高温将加速绝缘材料的老化过程，使防火墙的可靠性大大降低，严重影响其寿命。2.2 洁净度要求

灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上，可以造成静电吸附，使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下，更易造成静电吸附，不但会影响设备寿命，而且容易造成通信故障。除灰尘外，机房内应防止有害气体（如SO2、H2S、NH3、Cl2 等）的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。2.3 抗干扰要求

防火墙在使用中可能受到来自系统外部的干扰，这些干扰通过电容/电感耦合，电磁波辐射，公共阻抗（包括接地系统）耦合和导线（电源线、信号线和输出线等）的传导方式对设备产生影响。为此应注意以下条件：

（1）交流供电系统为TN系统，交流电源插座应采用有保护地线（PE）的单相三线电源插座，使设备上滤波电路能有效的滤除电网干扰。

（2）防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。（3）电缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流将设备信号口损坏。3．安装

RG-WALL 60 防火墙可以放置在桌面上，也可以放在标准的19 英寸机架上。安放在桌面上不需要特别的操作，安放在机架上时需要自备螺丝刀，螺钉在包装箱中。4．加电启动

防火墙启动步骤如下：

（1）请将防火墙安装在机架上或放在一个水平面上。（2）确认防火墙电源是关闭的。（3）连接电源线。

（4）防火墙可以通过网口用网线连接管理主机，也可通过串口线连接管理主机进而用超级终端管理防火墙。

（5）接通电源，按下防火墙上的电源开关，置于ON 状态，防火墙加电启动。（6）橙黄色的状态灯(Status)开始闪烁，表示启动成功。防火墙启动成功以后，请通过CONSOLE 口命令行或者WEB 浏览器方式管理防火墙，具体方法请参考以下相关章节。如果防火墙未正常启动，请按以上步骤进行检查，如仍无法解决问题，请您联系供应商相关技术支持人员。

实验五 通过CONSOLE口命令防火墙配置管理

一、实验目的和要求

(1)了解锐捷防火墙CONSOLE口命令(2)熟悉锐捷防火墙使用环境注意事项(3)CONSOLE口命令进行锐捷防火墙配置管理

二、实验任务

命令配置管理锐捷防火墙。

三、实验指导或操作步骤

1．选用管理主机 要求该主机具备：

（1）空闲的RS232 串口5（2）有超级终端软件。比如Windows 系统中的“超级终端”连接程序。2．连接防火墙

利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE，启动超级终端工具，以Windows 自带“超级终端”为例：点击“开始--> 所有程序--> 附件--> 通讯--> 超级终端”，选择用于连接的串口设备，定制通讯参数：（1）每秒位数：9600；（2）数据位：8；（3）奇偶校验：无；（4）停止位：1；

（5）数据流控制：无；

提示：对于Windows 自带“超级终端”，选择“还原默认值”即可。3．登录CLI 界面

连接成功以后，提示输入管理员账号和口令时，输入出厂默认账号“admin”和口令“firewall”即可

进入登录界面，注意所有的字母都是小写的

实验六WEB 界面进行锐捷防火墙配置管理

一、实验目的和要求

(1)熟悉锐捷防火墙使用环境注意事项(2)WEB 界面进行锐捷防火墙配置管理

二、实验任务

WEB 界面配置管理锐捷防火墙。

三、实验指导或操作步骤

1．选用管理主机

要求具有以太网卡、USB 接口和光驱，操作系统可以为Window98/2000/XP 中的任意一种，管理主机IE 建议为5.0 以上版本、文字大小为中等，屏幕显示建议设置为1024×768。2．安装认证驱动程序

在第一次使用电子钥匙前，需要先按照电子钥匙的认证驱动程序。插入随机附带的驱动光盘，进入光盘Ikey Driver目录，双击运行INSTDRV 程序，选择“开始安装”，随后出现安装成功的提示，选择“退出”。切记：安装驱动前不要插入usb 电子钥匙。3．安装USB 电子钥匙

在管理主机上插入usb 电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows 兼容性测试，选择“仍然继续”即可，如长时间（如约3 分钟）无反映，请拔下usb 电子钥匙，重启系统后再试一次，如仍无法解决，请您联系技术支持人员。4．连接管理主机与防火墙

利用随机附带的网线直接连接管理主机网口和防火墙WAN 网口（初始配置，只能将管理主机连接在防火墙的WAN 网口上），把管理主机IP 设置为192.168.10.200，掩码为255.255.255.0。在管理主机运行ping 192.168.10.100 验证是否真正连通，如不能连通，请检查管理主机的IP（192.168.10.200）是否设置在与防火墙相连的网络接口上。强烈建议该网口不要绑定其他IP，并且使用交叉线直接连接防火墙。5．认证管理员身份

第一、插入电子钥匙。

第二、运行Admin Auth目录中的ikeyc 程序，提示输入用户pin，输入12345678 即可。此时电子钥匙中存储的默认防火墙IP 地址为192.168.10.100，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了。如果出现其他错误，请检查网络连接、pin 码是否输入错误等。6．登录防火墙WEB 界面

运行IE 浏览器，在地址栏输入https://192.168.10.100:6667，等待约20 秒钟会弹出一个对话框提示接受证书，选择确认即可。系统提示输入管理员帐号和口 令。缺省情况下，管理员帐号是admin，密码是：firewall。7．WEB 界面配置向导

配置向导仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能，此向导涉及最基本的配置，安全性很低，因此管理员应在此基础上对防火墙细化配置，才能保证防火墙拥有正常有效的网络安全功能。首次使用WEB 界面进行配置，需将管理主机的IP 地址设为192.168.10.200，在IE 地址栏中输入：https://192.168.10.100:6667。登录防火墙以后，点击，开始防火墙的配置。（1）修改超级管理员admin 的密码，超级管理员的密码默认是：firewall。（2）选择防火墙lan 和wan 接口的工作模式，防火墙的接口默认都是工作在路由模式

（3）配置防火墙的IP 地址，建议至少设置一个接口上的IP 能用于管理，否则，完成初始配置后无法用WEB 界面管理防火墙。（说明：若lan、wan 都是混合模式，则lan 的地址必须配置，wan 的地址可以不配）

（4）配置默认网关，如果希望防火墙能上互联网，则必须配置默认网关，否则，可以直接跳过本界

面，配置下一个界面。（若防火墙的两个网口都是混合模式，可以不配默认网关）（5）配置管理主机，管理主机必须与防火墙IP 在同一网段。如果想通过防火墙ip：192.168.0.1 来管理防火墙，则可以设置管理主机IP：192.168.0.100。

（6）添加一条允许的安全规则，如果在界面上不填写源地址和目的地址，则会允许所有的访问，建议在网络调试通畅后，删除该规则。

（7）设置管理方式，如果希望用ssh 远程登录来管理防火墙，需要选中“远程SSH 管理”，否则，可以跳过本界面。

（8）如果不需要更改界面上显示的配置信息，单击“完成”。以上配置将立即生效。防火墙的初始配置。并根据提示重新登录防火墙。如果需要保存该配置，请点击WEB 界面上的“保存配置”。

实验七 架设如下拓朴结构

一、实验目的和要求

(1)熟悉使用锐捷防火墙架设网络(2)进行锐捷防火墙配置管理

二、实验任务

使用锐捷防火墙架设网络。

三、实验指导或操作步骤

架设如下拓朴结构

配置要求如下:(1)子网Ａ的安全级别高，仅能在工作时间访问Internet 和DMZ 区的服务器，IP 地址为：192.168.1.0。

(2)子网Ｂ可以在任何时候访问Internet，但是仅能工作时间使用内部服务器的FTP功能，IP 地址为192.168.2.0, 子网Ｂ用户能够使用Internet 的HTTP 服务。

(3)DMZ 区服务器的IP 地址为192.168.3.0，路由器内部地址为92.168.4.254，外部地址为202.106.44.233。子网Ａ用户能够使用Internet 的HTTP 和FTP服务。

管理证书安装

1.进入认证

2.导入文件

3.输入认证密码

4.证书存储

5.完成证书安装

登陆防火墙

1.配置本机ip为192.168.10.200

2.将默认管理主机的网口用交叉连接的以太网线（两端线序不同）与防火墙的WAN 口连接，管理主机的IE 版本必须是5.5 及以上版本，如果是电子钥匙认证，在浏览器中输入https://192.168.10.100:6666，如果是证书认证，则输入https://192.168.10.100:6666，登录后弹出下面的登录界面：

3.输入用户：admin、密码: firewall

4.成功登陆防火墙

配置防火墙

初始化防火墙：

有串口线级联防火墙，使用命令syscfg reset 添加管理主机

添加lan ip地址

添加wan1 ip地址

添加dmz ip地址

网络配置-接口ip配置

添加规则

测试防火墙

用lan 管理主机

Ping 防火墙lan断口

篇3：中学化学实验室的安全防火

一、原因

当可燃物达到着火点遇到助燃物就着火燃烧，燃烧无法控制就酿成火灾。中学化学实验室里常用的可燃物有乙醇、苯类、氢气等，助燃的主要是空气和一些常用的氧化剂，如氯酸钾、高锰酸钾等，火源也很多。如火柴、燃烧的酒精灯、化学反应产生的热能、用电设备等。部分物质着火点表如下：

二、预防措施

为了防止发生火灾，必须加强防范。

1. 各种自燃物。这些物质不需要明火，当与空气接触就被空气中的氧气氧化而发热，温度逐渐升高到着火点就燃烧。这种物质要避光与空气隔绝密封保存，和其他试剂分开。如白磷要浸在水中，并将瓶子的2/3埋在沙里。

2. 各种可燃物。可燃物与氧化剂要隔开放，千万不能混放在一起。氯酸钾、过氧化钠、浓硝酸等强氧化剂如果包装破损，接触了有机物、易燃物，会引起火灾的，应特别注意防范。

3. 实验室要保持清洁，地面、墙角不堆积污物，废液缸应经常出清。要注意科学地处理废液和废物。

4. 使用易产生蒸气的可燃物如酒精、苯类等要防止蒸汽散逸。绝对不能在燃烧的火焰附近转移或添加易燃试剂。

5. 实验室内严禁吸烟。使用加热设备要严格执行操作规程。注意电器设备的维护检修，防止产生电火花或因短路等原因引起线路发热而起火。

6. 实验室内应准备好沙桶、灭火器等消防器材，这些器材要放在容易拿到的地方。

7. 实验室里易爆物品也很多，如金属钠、钾遇水立刻产生易燃气体，同时放出热量，很容易燃烧或爆炸;红磷经受撞击、摩擦或与氧化剂接触能引起急剧的燃烧和爆炸。所以这些东西要小心保管，防止发生事故。在使用化学试剂时也应注意防爆。如切勿将水加入浓硫酸中;点燃氢气前，必须检验它的纯度;实验中如果产生乙炔等可燃气体，要格外注意防爆，因为可燃气体与空气混合达到爆炸极限时，遇火会爆炸。另外，在使用硝酸银溶液和氨水制备银氨溶液时要特别小心，配制时防止加入过量的氨水，以免产生易爆的雷酸银;银氨溶液不可久置，以免产生会发生猛烈爆炸的叠氮化银，溶液也不可用酒精灯直接加热，否则会产生易爆炸的雷酸银，用后的银氨溶液应加些盐酸处理以免发生危险。部分物质爆炸极限表如下：

三、处理方法

如果发生了火灾要沉着冷静，采取有效的灭火方法，严重的要立刻向消防部门求救。扑灭火灾要根据起火原因和火场周围情况，及时采取措施。

1. 起火后，除立刻进行灭火外，应停止加热;关闭通风设备，停止通风;拉开电闸，切断电源，以防电线着火;要移开火区内和周围一切易燃物，以防蔓延。

2. 如果是酒精泼洒在桌面着火，用湿抹布或沙盖就能灭火。若是身上衣服着火，切勿乱跑，可以躺在地上，就地打滚，或用实验服浸湿后覆盖，使火隔绝空气而熄灭。

3. 根据失火情况，用不同的灭火剂。

(1)水。将水浇到燃烧物的表面，能使温度迅速下降到着火点以下而灭火。注意：金属钾、钠、电石引起的火灾千万不能用水灭火，否则会引起更大的火灾。一般有机溶剂着火也不可以使用水来灭火，有机溶剂一般密度比水小，用水会使溶剂四处流淌扩大燃烧面积，酿成更大的危险。

(2)沙。沙盖在燃烧物上可以隔绝空气而灭火，沙可用来盖灭少量易燃液体和一些不宜用水扑灭的化学药品的着火。化学实验室里应该经常准备装有沙的消防桶，里面的沙要干燥而松散，不能参杂纸张、木屑等可燃物，消防桶要放在固定的地方。

(4)使用灭火器。灭火器是一种可由人力移动的轻便灭火器具，它能在其内部压力作用下，将所充装的灭火剂喷出，用来扑救火灾。灭火器种类繁多，使用范围也有所不同，只有正确选择灭火器的类型，才能有效地扑救不同种类的火灾，达到预期的效果。

四、火灾的类别

1. A类。

普通物品火灾。如由木材、纸张、棉、布、塑料等固体燃烧所引起的火灾。应选用水型、泡沫、磷酸铵盐干粉、卤代烷型灭火器。

2. B类。

易燃液体和可熔化的固体物质的火灾。如由汽油、酒精等液体引起的火灾。应选用干粉、泡沫、卤代烷、二氧化碳型灭火器(这里值得注意的是，化学泡沫灭火器不能灭B类极性溶性溶剂火灾，因为化学泡沫与有机溶剂按触，泡沫会迅速被吸收，使泡沫很快消失，这样就不能起到灭火的作用。醇、醛、酮、醚、酯等都属于极性溶剂)。

3. C类。

可燃火灾。如液化石油气、煤气、乙炔等气体燃烧引起的火灾。应选用干粉、卤代烷、二氧化碳型灭火器。

4. D类。

金属燃烧的火灾。如钾、钠、镁、锂等和禁水物质引起的火灾。就我国目前情况来说，还没有定型的灭火器产品。目前国外灭D类的灭火器主要有粉装石墨灭火器和灭金属火灾专用干粉灭火器。在国内尚未定型生产灭火器和灭火剂情况下可采用沙、土等覆盖灭火。

5. 带电火灾。

应选用卤代烷、二氧化碳、干粉型灭火器。

五、灭火器的选择

1．干粉类的灭火器（适用于A、B、C类火灾）。

充装的灭火剂主要有两种，即碳酸氢钠和磷酸铵盐灭火剂。同时还加入了适量的润滑剂和防潮剂(如硬脂酸铝和云母粉、石英粉或滑石粉)，在灭火器里装有压缩的二氧化碳作为喷射动力。由于喷射出的粉末颗粒细小，浓度密，盖在固体燃烧物上构成阻碍燃烧的隔离层，同时受热还会分解出不燃性的气体，因此能迅速灭火。使用时，将灭火器翻转几次，再打开阀门，灭火器内就会喷射出大量的白色粉末而扑灭火焰。

碳酸氢钠干粉灭火器适用于易燃、可燃液体、气体和带电设备的初起火灾;磷酸铵盐干粉灭火器除可用于上述几类火灾外，还可扑救固体类物质的初起火灾。但都不能扑救金属燃烧火灾。

2. 二氧化碳灭火器（适用于B、C类火灾）。

灭火器里压入液态二氧化碳，使用时，打开阀门，喷射出的二氧化碳生成一层气体覆盖层，降低燃烧物的温度和隔绝空气而灭火。适用于油脂、电器设备、忌水化学药品、化纤原料及文物档案等所发生的小型火灾。二氧化碳喷出时，越近火源越好，先喷火焰边缘再覆盖全面。使用二氧化碳灭火器时，在室外使用的，应选择在上风方向喷射;在室内窄小空间使用的，灭火后操作者应迅速离开，以防窒息。

3. 泡沫型灭火器（适用于A、B类火灾，不可用于C类）。

泡沫型灭火器里的药液为硫酸铝饱和溶液、碳酸氢钠饱和溶液和用甘草或皂角等做原料制作的发泡剂。硫酸铝饱和溶液、碳酸氢纳饱和溶液和发泡剂的混合液在灭火器里是分别存放在内筒和外筒里的，使用时将灭火器倒转，两溶液混合反应，产生二氧化碳和泡沫液体一起喷出。

化学泡沫型灭火器适用于扑救一般液体火灾，如油制品、油脂等火灾，也可适用于固体燃烧火灾，但不能扑救液体火灾中的水溶性可燃、易燃液体的火灾，如醇、酯、醚、酮等物质火灾;也不能扑救带电设备及气体燃烧的和金属燃烧的火灾。

专门的抗溶泡沫灭火器能扑救水溶性易燃、可燃液体的火灾如醇、醚、酮等溶剂燃烧的初起火灾。

4. 卤代烷型灭火器（俗称“1211”灭火器和“1301”灭火器）（适用于A、B、C类火灾）。

1211灭火器在室外使用时，应选择在上风方向喷射;在窄小的室内灭火时，灭火后操作者应迅速撤离，因1211灭火剂有一定的毒性，以防对人体的伤害。

5. 高效阻燃灭火器。

是国内“1211”的替代品，可用于A、B、C类及电器火灾。效果好，重量轻，药剂无毒无污染，具有阻燃、灭火双重功效。另外，新颖的灭火器还有四氯化碳灭火器等。

因为火灾的发生是突然而至的，能在蔓延之前扑灭的机会又稍纵即逝的，所以起火之时我们要沉着冷静，选择合适的方法解决。救火的最高原则是人员安全第一，最好的安全是防患于未然，所以实验室的安全是以预防为主。

参考文献

[1]中学化学教师手册.上海教育出版社, 1986.

[2]麦维馨.中学化学实验教学讲稿.1988.

篇4：实验防火墙安全应用

关键词：WAF；数字化校园； 防火墙； DMZ

中图分类号：TP393 文献标志码：B 文章编号：1673-8454（2016）18-0075-03

一、引言

苏州经贸职业技术学院的信息化建设经过多年的发展已经初见成效，当前智慧校园建设已经成为信息化建设的重要组成部分，在前期信息化建设的基础上，网络、系统、应用已经成为目前建设的下一步重点工作。网络可以看作智慧校园的“路”，系统可以看作在路上跑的“车”，应用作为用户最终的体验，可以看作是“货物”。货物流通的多少，最终直接决定着智慧校园建设的效果。当注意力都集中在“路”、“车”、“货”的时候，道路安全、车辆安全、货物安全也成为了建设工程的重要组成部分。

自从2016年初开始，学校站群系统受到了大量木马攻击，与早期攻击相比较，目前的攻击策略具有了更大的隐蔽性和破坏性。由于多次被攻击都是被动发现，并且被网监查到，领导非常重视，相关安全工作也已经逐步展开。既然外面有矛指向学校的安全，必要的盾还是需要的，更重要的是如何使用盾牌来进行防卫，保障“路”、“车”、“货物”系统安全。

二、安全设备工作原理

信息系统安全是很大的题目，信息系统的安全一般可以分为：设施的安全、系统的安全、网络的安全、数据库的安全等等。设施的安全主要是指系统主机所在的机房的安全，其中有接地安全、电磁安全、电源安全等；系统的安全主要是主机的操作系统的安全和开发的应用系统的安全等；网络的安全主要是网络的边界安全、防护安全、入侵检测、病毒防护等；数据库的安全主要是授权访问、数据的完整性、防篡改等。本文主要侧重介绍系统安全。

为了实现学校的系统安全，信息化部门采用了防火墙和WAF（Web Application Firewall）来完成信息系统安全工作。

1.防火墙工作原理

防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

防火墙主要工作在网络层和传输层。常用的防火墙包括：包过滤技术防火墙和代理类防火墙。①包过滤类防火墙也叫分组过滤防火墙。根据分组包的源、目的地址、端口号及协议类型、标志位确定是否允许分组包通过。优点是高效、透明；缺点是不支持应用层协议，不能防范部分的黑客IP欺骗类攻击。②代理类防火墙也叫应用网关防火墙。每个代理需要一个不同的应用进程，或一个后台运行的服务程序；对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。优点是安全性高，提供应用层的安全，检查应用层、传输层和网络层的协议特征；缺点是性能差、伸缩性差、处理速度较慢。

防火墙安全规则设置需要遵循如下原则：①防火墙安全规则遵循从上到下匹配的原则，一旦有一条匹配，剩余的都不进行匹配。②如果所有的规则都没有匹配到，数据包将被丢弃。③安全过滤规则主要包含源、目的地址和端口，TCP标志位，应用时间以及一些高级过滤选项。

实际工作中需要对应用控制策略进行详细的分析与验证。

2.WAF 工作原理

Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。Web防火墙产品部署在Web服务器的前面，串行接入。WAF防火墙主要是对DMZ（demilitarized zone）区中的Web服务器的防护。

WAF逻辑上位于客户端和服务器程序之间的应用层，它在服务器之前先接收到客户端提交的请求，并在客户端之前先接收到服务器发来的应答。主动安全防御的思想是让WAF充分介入到客户端和服务器程序的HTTP会话中，在服务器端向客户端发送HTTP应答时，主动采用安全机制来保护相关的会话ID、隐藏按钮和Cookie 等状态数据，然后将受保护的状态数据发送给客户端，保证其在客户端的完整性，并在下一次客户端向服务器端提交状态数据时，对这些数据进行验证、解除保护并发送给服务器端。

WAF主要采用以下4种方式对Web服务器进行防护。

（1）代理服务：代理方式本身就是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。

（2）特征识别：识别出入侵者是防护它的前提。

（3）通过高效的算法实现特征识别，完成语义理解，快速识别攻击类别。

（4）模式匹配：把攻击行为归纳成一定模式，匹配后能确定是入侵行为。

Web防火墙最大的挑战是识别率，这并不是一个容易测量的指标，比如给网页挂马，很难察觉进来的是哪一个，不知道当然也无法统计。对于已知的攻击方式，可以谈识别率；对未知的攻击方式，你也只好发现以后事后处理。

学校今年遇到了几次挂马情况都是事后发现，并且攻击手段隐蔽，发现以后再处理就很被动，学校也要承担更大的压力。所以采用具有“自学习”功能的WAF设备，它将会完成主动防御，避免事后追溯问题来源，造成被动应对。

3.防火墙与WAF设备比较

防火墙主要工作在网络层和传输层，完成IP地址和端口的过滤工作。WAF设备工作在应用层，主要针对HTTP请求进行检测。WAF对HTTP 请求和应答进行攻击特征检测，通过“自学习”功能建立自己的智能防御库进行防御。

2.基于微信公众平台的碎片化知识针对性强，但是却缺乏适用性

微信公众平台根据我们的兴趣推送了相应的学习内容之后，这种内容很符合我们的需求，但是却缺乏实际情境的验证。它仅仅是一种问题的单一解决方法，如果迁移到其他情境中就无法适用。比如：我们在学习操作性的知识时，它是必须要结合实践进行的，而碎片化知识只能知道问题解决的方法，却不知道问题的原因，在实际解决时，我们又不知道怎样办。

3.微信公众平台缺乏多样的交互

虽然微信公众平台可以根据关键词进行回复，但是这种回复是不是学习者想要的答案或者对学习者有没有用处，这些都是未知的。另一方面，微信公众号在推送了相应的学习内容之后，学习者是否有效地阅读，或者学习者在阅读了相应的学习内容之后，无法直接进行提问，也得不到针对性的解答。

五、思考与建议

微信公众平台在为碎片化学习提供支持之外，也存在一些问题。但是并不能因为存在问题我们就要拒绝这些碎片化知识。因此怎样把这些碎片化知识建构到自己的知识体系，与已有知识之间建立联系就显得至关重要。

1.建立碎片化学习体系是基础

我们在接受碎片化知识时除了要系统地学习、思考、分析之外，最重要的是找到一个自己感兴趣的知识点，以此为根节点，不断扩充其分支。也就是说要建立一个系统的知识体系。或者将这些知识点纳入到自己已有的知识体系中，找到它们之间的联系。

2.“思维导图”就是一种将放射性碎片化思考具体化的方法

研究表明，思维导图的建立有利于人们对其思考的问题进行全方位和系统的描述与分析。同时它又是灵活的，个性化的，具有无限的发展性的，这些特点非常符合碎片化学习的特征，因此对于碎片化思考具体化它是一个很有效的方法，同时，它有助于提高学习者的学习能力，有助于一个学习者真正实现终身学习的目标。现在随着移动技术的发展，手机端也有很多使用方便的软件，比如：极品思维导图、思维简图等等，它们可以结合微信公众号进行使用。

3.检验和输出是完善碎片化学习知识体系最关键的环节

在建立相应的知识体系之后，并不是所有的碎片化知识都能纳入其中，我们需要对这些知识进行检验，也就是说，我们要弄清楚它与已有知识之间的联系，如果联系不大或者它根本没有价值，我们要果断舍弃。而对于输出，即碎片化知识的巩固和迁移，其中最简单的方法就是，可以将碎片化知识进行转述给其他人，或者将借助一些外部工具做笔记，建立思维导图等等。

碎片化学习作为非正式学习的一种，它不仅仅只可以通过微信公众平台获得，还有很多其他途径，但是它的特点和利弊都普遍存在，我们一定要理性辩证地思考它的利弊，合理检验与输出，从而真正实现随时随地的碎片化学习。

参考文献：

[1]顾小清.超越碎片化学习——语义图示与深度学习[J].中国电化教育.2015（3）.

[2]王竹立.零存整取：网络时代的学习策略[J].远程教育杂志，2013（3）.

[3]朱学伟，朱昱，徐小丽.基于碎片化应用的微型学习研究[J].现代教育技术，2011（12）.

[4]王承博，李小平，赵丰年，张琳.大数据时代碎片化学习研究[J].电化教育研究，2015（10）.

[5]柳玉婷.微信公众平台在移动学习中的应用研究[J].软件导刊，2013（10）.

篇5：实验防火墙安全应用

各班组织召开三夏防火、防溺水安全主题班会，教育学生防火、防溺水。学校把《致学生家长的公开信》发给每一位学生，让学生带回家让家长亲自签名，以增强广大学生家长的防火、防溺水意识。要求学生不玩火，不私自下水游泳，不擅自与同学结伴游泳，不在无家长或监护人带领的情况下游泳

安全第一，防患于未然。水火无情，加强安全意识，防止火灾、溺水事故的发生。

永和镇实验小学

篇6：计算机防火墙安全应用论文

摘 要：随着计算机技术的快速发展，计算机应用越来越广泛，为人们生活、工作和学习等信息网络方面提供技术上的便利，同时也对人们的正常工作和生活造成影响，传递数据信息的过程中一旦遭遇病毒，会导致计算机不能正常运行。

防火墙是网络与计算机之间的重要保护屏障，可以防止外界病毒对计算机的入侵，对计算机系统起到较好的保护作用。

本文主要分析计算机防火墙的概念、分类、特点和安全应用存在的问题，提出解决问题的措施。

篇7：防火墙技术在网络安全的应用研究

摘要：随着互联网信息技术的高速发展，网络技术已经被广泛运用到各个领域。但是，目前随着个人网络技术水平的提高，有许多非法的组织或者个人，通过破解密码偷窃学校、企业，甚至是国家的隐私性机密文件或者是资金，严重威胁到这些单位的财产和隐私安全。因此，网络在给社会带来巨大便捷性的同时，也隐藏着较大的安全隐患。防火墙技术是抵御“黑客”非法入侵和非法访问的有效手段之一。本文在此基础上重点探讨了如何在网络安全中合理应用防火墙技术，以达到保护网络安全的目的。

关键词：网络安全问题；防火墙技术；应用

引言：网络技术凭借着自身快捷性和准确性等优势，已经被广泛应用到社会各个领域。我国正处在由工业化社会向信息化社会过渡的阶段，人们对网络的依赖性较强，但企业、个人频繁出现信息资源被盗，机密性文件被窃取，网络被黑客制造的病毒攻击导致整个网络系统瘫痪等恶性事件，这些风险极大影响了企业的正常运行以及个人信息的保障。网络安全问题还不仅仅出现在企业运营上以及个人生活中，甚至还出现在国家安全部门或者机关部门中。所以，如何在信息化高速发展的今天，实现防火墙技术在网络安全的有效运用是有关部门需要长期探讨和研究的问题。我们要借鉴防火墙技术在网络安全成功应用的经验，提出创新性的方案和手段，来克服网络安全问题给社会带来的风险。

一、运用防火墙技术强化网络安全策略

相关单位在运用防火墙技术时，要重视配置以防火墙为中心的安全策略方案，将口令、身份认证、审查、加密等安全信息全部配置到防火墙上，这样相比将网络安全问题分散与各个主机或者是其它部位来讲，都集中在防火墙上更便于管理，安全性强，投入成本少，经济效益高。笔者根据自己长期的研究，总结了一套运用防火墙强化网络安全策略的相关配置方案，其基本步骤如下:第一，在控制面板上实现对防火墙基础信息的设置，这是实现防火墙强化网络安全策略的首要前提和根本保证；第二，实现对静态网络地址转换和动态网络地址转换为主的网络地址转换的设置，动态地址转化和静态地址转换的功能作用各不相同，动态地址转换主要用于内部网络的对外访问用户的出口，而静态地址转换则用来帮

助实现停火区的服务区地址的映射的效果，两者要紧密相连，缺一不可，否则防火墙也达不到其应有的功效；第三，为了最大程度的实现防火墙的防护功能，需要将应用于整个网络系统的安全策略应用添加到防火墙的安全策略列表当中，实现各个安全策略之间良性的运作效果。

二、发挥防火墙网络安全屏障的作用

防火墙是一种位于内部网络与外部网络之间的网络安全系统。实质上是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过，从而保护内部网络免受非法用户的侵入，从而实现网络安全。各个企业或者是单位要积极发挥防火墙网络安全屏障的作用，提高内部网络的安全性，通过过滤外来网络的不安全服务，降低网络安全风险的系数，防火墙只接收外来信息在系统可以准确识别的情况下的相关应用协议。同时，也极大的保护了网路免遭受基于路由的攻击和破坏，防火墙在受到不明信息的攻击和骚扰时，能够自觉运用并且同时将该情况通知防火墙的管理人员。从以上角度分析，说防火墙是网络安全的屏障。为了使防火墙更好的发挥在网络安全的屏障作用，企业等相关部门要采取一定的措施：第一，增强职员防火墙在网络安全中应用的意识；第二，建立其防火墙配置和管理部门，包括对防火墙管理人员的培训和管理；第三，加大对防火墙技术的资金投入，不断升级防火墙技术等。通过以上策略，完善防火墙技术在网络安全中的硬软件基础设施，在防火墙技术的屏障保护下，实现网络系统的健康稳定安全和可持续运行。

三、运用防火墙技术监控网络存取和访问

防火墙能有效地记录Internet上的任何活动，当其它网络用户等访问经过防火墙时，防火墙就会发挥自身技术监控审计的功能，不仅能详细记录这些访问的时间和来源，而且还可以自动生成日志，可供防火墙管理人员的日后参考和追究。当发生不明来源的信息和访问攻击内部网络时，防火墙能根据风险程度自动报警，并能提供网络是否受到外部网络的攻击和监测的详细信息，为有关单位指证不法犯罪团伙利用网络实施违法行为提供了证据。除此之外，时时记录网络的使用情况为日后调整防火墙对内部网络的控制力度也是具有一定的参考价值，分析网络安全风险存在的系数，从而加紧防范，遏制网络风险的生根发芽。有关部门要注重运用防火墙技术监控网络存取和访问这一功能，首先就要确保防火墙技

术的正常运行，保证24小时不分时间和部门进行监测和存取记录，做到防患于未然。

四、发挥防火墙对信息数据库安全维护的补充作用

信息数据库是各个企业必备的存储区域，信息，数据库的建立，不仅为了实现资源的有效整理，还兼顾保证信息，数据的安全。防止内部信息的外泄是防火墙的主要优点之一，我们之所以在某种程度上将防火墙视为一种隔离技术，是因为防火墙技术是一种将内部网和公众访问网（如Internet）分开的方法。利用防火墙我们可以实现对内部网重点网段的隔离，限制和拒绝了一些非法信息的侵入，确保了整个网络系统不受局部敏感的网络安全问题的影响。我们要加大在防墙技术和数据信息库这两者之间实现有效结合的技术研究和开发，使防火墙技术能够确保单位的信息和安全，维护单位和个人的利益。

结语：

网络安全问题的频繁出现，提高了人们对于维护网络安全的意识。通过防火墙技术在网络中的运用，网络安全已经得到了极大的改善。但是，我们不能否认一个防护墙并不能百分之百的保障网络安全，相关部门需要长期不断的探索，在摸索中开发出更先进的防火墙技术，提高网络的安全性。

参考文献：

篇8：实验防火墙安全应用

在网络与信息安全等相关课程的教学中, 一般都包含有防火墙的内容。

目前市场上防火墙产品十分丰富, 为防火墙实验教学提供了非常好的条件。但有相当部分高校可能经费紧张, 无力购买相关设备, 或相关设备购买数量不够而无法开展教学, 因此在这类学校开设防火墙实验时, 老师只能要求学生做一些网上提供的免费软件或试用软件, 或做一些教学演示, 教学效果不理想。

随着计算机技术的发展, 出现了虚拟实验技术。虚拟实验就是用软件来模拟真实的硬件环境, 实验效果和真实的环境几乎一样。

Pemu就是一款Cisco Pix防火墙模拟器的共享软件, 于2007年4月11日发布, 它与Cisco路由器模拟器Dynamips一样, 也是模拟出真实的硬件环境, 然后在这个环境中直接运行Pix的IOS。不像Boson通过软件模拟出IOS的命令行。

Pemu目前支持Pix633、Pix635、Pix721、Pix722和Pix802, 它的运行平台有Linux和Windows。

本文基于Pemu模拟器对现有防火墙实验教学进行改进, 设计了一系列实验项目来提高防火墙教学的效果, 同时也提高了学生在学习过程中的主动性, 并使得学生的创新能力和科学意识得到培养, 提高了教学质量。

2. Pemu的特点

Pemu提供了多个物理接口, 一般只使用其中的3个。一个作内网接口, 一个作外网接口, 一个作DMZ接口。运行时, 需要把配套的Dynamips模拟的3台路由器启动, 3台路由器分别与3个接口相连。实验还支持Vmware虚拟机, 路由器可以与Vmware虚拟机相连, 模拟出一个外部网络。实验也支持与本机相连, 使得模拟环境可以与真实机通信。

实验环境的配置, 是以文本文件的形式提供, 通过编辑配置文件, 可以改变实验的拓扑图, 路由器的型号等, 非常方便。

3. 实验教学内容设计

根据我校学生的特点, 设计了如下一些实验项目, 实验项目可根据课程名不同做适当调整。如"防火墙技术"课程可以做全部必做实验, "网络信息安全"课程可选做部分实验。实验拓扑图如图1所示, 防火墙有三个接口, E0接外网, E1接内网, E2接DMZ区, 本机和R2路由器的一个端口相连。

3.1 PIX防火墙模拟器的安装

通过本实验, 使学生学会模拟器的安装使用, 为后面的实验做准备, 同时也方便了学生随时随地自主做实验。

3.2 PIX防火墙的基本配置

通过本实验, 使学生学会配置pix接口, 配置NAT, 配置静态路由, 通过ping测试内外网和DMZ区的连通性。

3.3 Telnet和SSH到PIX防火墙

pix内部接口可以实现telnet连接, 默认不能外部接口telnet连接PIX。因为telnet是个不安全的协议, 外部网络到pix的外部接口可以使用ssh协议, 这是一个安全的协议。这是只需把e0和e1接口互换, R2就变成了外部路由器, 从pc ssh到pix。

3.4 保存基本配置到tftp服务器

这时需下载一个tftp server, 装在内部pc上。通过本实验, 使学生学会把配置存储到外部, 可以供其他人共享, 也可以在系统重新安装后, 不用再配置。

3.5 配置访问控制列表ACLs

防火墙最主要的功能就是流量控制, 防火墙对流量的控制就是通过配置ACL来实现的。实验中, 可以提出各种限制要求, 让学生学会ACL的配置, 学生也可以自主提出限制要求进行配置。由于是虚拟机, 不存在真实机中几个学生共享一台设备的情况, 不会对别人实验造成影响。

本实验可以作为重点内容让学生反复练习。

3.6 防火墙日志

对于任何防火墙产品来说, 最有价值的功能之一就是对事件进行日志记录, 因为日志可以告诉管理员防火墙发生了什么, 可以知道防火墙的运行状态。有了日志, 还要进行日志的查看和分析, 通过日志, 对攻击事件还可以取证。

通过本实验, 让学生了解日志的重要性。

3.7 配置虚拟专用网Vpn

VPN现在成了防火墙的基本功能之一, 它是一种安全的连接技术。VPN的配置包括Site-to-Site VPN配置和远程访问VPN配置。本实验实现IPSEC远程接入。图1中, 把e1设为outside, R2成为外部路由器, 从pc上实现Vpn连接, pc上需要安装一个Cisco Vpn Client软件。使用预共享密钥进行认证。

通过本实验, 使学生学会远程访问Vpn的配置过程。如果想做Site-to-Site Vpn, 可以采用双防火墙结构的拓扑图, 这时只需改变Pemu的配置文件即可。这个可以作为学生课后选做的实验内容。

3.8 攻击防范

网页中包含大量的Java applet和ActiveX控件, 而它们的安全性不能保证, 所以Pix提供了过滤Java applet和ActiveX的功能。Pix还能进行URL过滤, 这是需要装N2H2或Websense的内容过滤服务器。以上过滤, Pix设置很简单, 只要设置Filter命令即可。

Pix还具有防止SYN Flood DDos攻击的能力, 这是在nat和static命令中设置允许的最大连接数和最大半连接数来达到的。

Pix还提供了其它一些防范攻击的命令, 可以作为学生课后选做的实验内容。

通过本实验, 让学生了解到Pix具有防范黑客攻击的能力。

3.9 综合实验

实验要求:

1.内网中的所有用户可以防问Internet和DMZ中的WEB服务器。

2.外网的用户可以防问DMZ区的Web平台。

3.DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。

为完成以上实验需要安装Vmware虚拟机, 这部分内容可作为选做实验。

4. 实验教学规划与效果分析

整个实验教学还是按授课计划按时进行, 但辅以远程教学指导。我们开设有本门课程的教学网站, 教学资料也放在了网站上, 网站上还有答疑系统。

实验前, 教师要做好实验指导书, 准备相关软件, 对机器的内存进行扩充等。

学生上实验课时, 一人一机, 每台机器都安装虚拟环境。与有些课程因设备数量不够而采取分组的方式相比, 使得人人都有机会动手。并且每个学生都可以按照自己的思路去做实验。学生也可不必严格按照实验步骤进行, 自己提出一些问题, 在教师的帮助下去解决, 这就使得学生的科学意识和创新能力得到锻炼。同时也大大激发了学生学习兴趣, 使得学生把学习变被动为主动, 以教师为中心的学习变为以学生为中心的学习。

学生课后可做一些选做内容, 或重复某些内容, 以加深理解。学生有什么问题可以进入答疑系统, 我们专门有人负责答疑。

从学生的问题中, 我们发现把Pemu模拟器运用到防火墙技术的实验教学中, 学生普遍反映很好, 通过实验加深了对理论的理解, 对于这种理论性较强的课程都很喜欢上实验课。还有些学生进而对Cisco的相关认证感兴趣, 参加了Cisco的相关培训和认证, 我们这门课起到了入门的作用。

学生做完实验后, 要求学生提交实验报告, 实验报告有一栏叫心得体会, 可以发现学生对这种实验课相当满意, 认为学到了东西。

现在高校的很多实验课还是以验证性实验为主, 学校提出要增加设计性和综合性的实验。为此, 我们在实验中就专门设计了一个综合性的实验3.9。实验3.5也可以作为设计性实验来开展。

实验课程考核方式, 包括考勤及实验表现, 实验报告的撰写等。在答疑系统提问及选做实验内容作为另外加分的依据。

5. 结束语

介绍了Pemu模拟器在防火墙实验课程教学中的应用情况, 对防火墙实验课进行了有益的探索, 实践证明效果非常好。但也应该看到虚拟实验使学生对实验设备没有感性认识。实际应用中, 可以购置一套真实设备, 给学生演示, 学生的实验在模拟机上进行。

摘要：介绍了Cisco Pix防火墙模拟器Pemu在防火墙实验教学中的应用, 设计了一系列实验教学项目并对教学效果进行了简要分析。实践证明这对提高学生的自主学习能力和培养创新能力、激发学生学习兴趣、提高教学质量都具有十分重要的意义。

关键词：模拟器,虚拟实验,实验教学,防火墙

参考文献

[1].朱敏.虚拟实验与教学应用研究[D].上海:华东师范大学博士学位论文, 2006.

[2]. (美) James Pike著, 常晓波译.Cisco网络安全[M].北京:清华大学出版社, 2004.

[3]. (美) Wes Noonan著, 陈麒帆译.防火墙基础[M].北京:人民邮电出版社, 2007.

[4].落叶.PIX635防火墙教程[EB/OL].http://www.xinzhouschool.com/bbs