下面是范文網(wǎng)小編整理的實驗8防火墻透明模式配置3篇 防火墻透明模式部署,歡迎參閱。
實驗8防火墻透明模式配置1
第五章 防火墻的具體應用
遠鍵實業(yè)公司是一個典型的中小企業(yè)。大概100 人左右。是一家科技企業(yè),主要從事計算機 系統(tǒng)集成服務,大約有100 人左右,分為市場部、財務部、銷售部、人力資源部、辦公室、網(wǎng)絡管理部、工程部,網(wǎng)絡分成內網(wǎng)、外網(wǎng)。內網(wǎng)經(jīng)常感染病毒,蠕蟲,而且某些員工使用 工具進行大數(shù)據(jù)量下載也影響網(wǎng)絡正常工作,有時也發(fā)現(xiàn)來自外網(wǎng)黑客攻擊現(xiàn)象,同時公司 隨著業(yè)務的發(fā)展也將擴大宣傳,考慮建立一個Web 服務器用來對外發(fā)布信息。公司領導和 網(wǎng)絡部經(jīng)過仔細討論,決定在公司現(xiàn)有網(wǎng)絡基礎上部署一臺防火墻。防火墻有很多種,國外 和國內有很多防火墻。經(jīng)過選型后公司選擇一款Cisco PIX 515 防火墻。公司拓撲結構如下:
公司網(wǎng)絡要求
一、配置公司PIX劃分內網(wǎng)、外網(wǎng)及DMZ區(qū)域:
遠鍵實業(yè)公司的規(guī)模并不是很大,網(wǎng)絡拓撲結構如上圖,分為內網(wǎng)、外網(wǎng)。在滿足 內網(wǎng)用戶快速訪問INTERNET 的同時有效防止來自外網(wǎng)黑客攻擊;此外,公司隨著業(yè)務的 發(fā)展也需要擴大宣傳,市場部考慮建立電子營銷,所以希望建立一個Web 服務器用來對外 發(fā)布業(yè)務信息。公司網(wǎng)絡管理部門決定在公司的防火墻上部署在內網(wǎng)和外網(wǎng)之 間配置PIX劃分內網(wǎng)、外網(wǎng)及DMZ區(qū)域。pixfirewall>ena pixfirewall# #進入全局配置模式 pixfirewall# conf t #配置防火墻接口的名字,并指定安全級別(nameif)。pixfirewall(config)#int e0 pixfirewall(config-if)# nameif inside pixfirewall(config-if)# security-level 100 pixfirewall(config)#int e1 pixfirewall(config-if)# nameif dmz pixfirewall(config-if)# security-level 50 pixfirewall(config)#int e2 pixfirewall(config-if)# nameif outside pixfirewall(config-if)# security-level 0 security-leve 0 是外部端口outside 的安全級別(0 安全級別最高)
security-leve 100 是內部端口inside 的安全級別,如果中間還有以太口,則security-leve 10,security-leve 20 等等命名,多個網(wǎng)卡組成多個網(wǎng)絡,一般情況下增加一個以太口作為dmz security-leve 50 是?;饏^(qū)dmz 的安全級別。#配置內外網(wǎng)卡的IP 地址 pixfirewall(config)#int e0 pixfirewall(config-if)# ip address pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip address pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip address pixfirewall(config-if)# no shut 在配置內外網(wǎng)卡的IP 地址時注意別忘了用no shutdown 命令來激活端口。(no shut 是no shutdown 的簡寫)。
#允許內部網(wǎng)絡服務器telnet pix(允許遠程登錄到防火墻)pixfirewall(config)# telnet inside #同時你也可以允許外部網(wǎng)絡服務器遠程登錄到防火墻命令如下 pix515(config)# telnet outside 但為了安全最好是只允許內部網(wǎng)絡服務器遠程登錄到防火墻,保證防火墻的安全。#配置遠程登錄密碼
Pix515(config)# password 以上表明遠程登錄密碼為 #保存配置 write memory 在配置完成后,要記住保存配置,以便以后進一步的配置及管理。、配置DMZ #設置DMZ 接口IP 地址,設置好后可以按拓撲結構圖測試從PIX 上ping 檢查連通性。
Pixfirewall(config)#int e1 pixfirewall(config-if)# ip address #允許DMZ 主機訪問外部網(wǎng)絡icmp 協(xié)議
Pixfirewall(config-if)# access-list acl_dmz permit icmp any any #應用策略到DMZ 接口 把acl_dmz 規(guī)則邦定到dmz 端口上使之生效 pixfirewall(config-if)# access-group acl_dmz in interface dmz #發(fā)布DMZ 服務器到因特網(wǎng) 設置靜態(tài)的因特網(wǎng)、局域網(wǎng)、dmz 區(qū)的訪問關系 static(dmz,outside) netmask #設置策略允許因特網(wǎng)訪問DMZ 服務器80 端口
Pixfirewall(config)# access-list 100 permit tcp any host eq 80 #將 上的www..complete Loading from (via Ethernet0/0):?。。。。。?!文件下載成功后操作終端顯示器會提示: Do you wish to erase the passwords? [y/n] y Passwords have been erased.因為設備眾多,口令也就多了,非常容易混淆和忘記口令。忘記口令后,恢復口令就相 當重要了。掌握了恢復口令,會對工作有很大的幫助。
十、PIX防火墻VPN的實現(xiàn)
公司員工經(jīng)常需要通過Internet 與客戶進行通信,由于Internet 是一個不安全的網(wǎng) 絡,其中公司有一些商業(yè)文檔需要機密,公司網(wǎng)絡部希望公司員工防火墻能夠保障通過 Internet 與公司重要客戶進行通信時實現(xiàn)信息傳輸保密。對PIX 防火墻進行配置,實現(xiàn)VPN。
一、基礎知識: PPTP:點對點隧道協(xié)議
點對點隧道協(xié)議(PPTP: Point to Point Tunneling Protocol)是一種支持多協(xié)議虛 擬專用網(wǎng)絡的網(wǎng)絡技術。通過該協(xié)議,遠程用戶能夠通過 Microsoft Windows NT 工作站、Windows XP 操作系統(tǒng)以及其它裝有點對點協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡,并能撥號連入本 地 ISP,通過 Internet 安全鏈接到公司網(wǎng)絡。
PPTP 可以用于在 IP 網(wǎng)絡上建立 PPP 會話隧道。在這種配置下,PPTP 隧道和
PPP 會話運行在兩個相同的機器上,呼叫方充當 使用客戶機-服務器結構來分 離當前網(wǎng)絡訪問服務器具備的一些功能并支持虛擬專用網(wǎng)絡。PPTP 作為一個呼叫控制和管 理協(xié)議,它允許服務器控制來自 PSTN 或 ISDN 的撥入電路交換呼叫訪問并初始化外部電路交換連 接。
PPTP 只能通過 PAC 和 PNS 來實施,其它系統(tǒng)沒有必要知道 PPTP.撥號網(wǎng)絡可與 PAC 相連接而無需知道 PPTP.標準的 PPP 客戶機軟件可繼續(xù)在隧道 PPP 鏈接上操作。PPTP 使用 GRE 的擴展版本來傳輸用戶 PPP 包。這些增強允許為在 PAC 和 PNS 之間 傳輸用戶數(shù)據(jù)的隧道提供低層擁塞控制和流控制。這種機制允許高效使用隧道可用帶寬并且 避免了不必要的重發(fā)和緩沖區(qū)溢出。PPTP 沒有規(guī)定特定的算法用于低層控制,但它確實定 義了一些通信參數(shù)來支持這樣的算法工作。
二、配置
1、命令行方式直接在PIX上配置PPTP的VPN,即PIX作為PPTP方式VPDN的服務器 ip local pool pptp //定義一個pptp 方式的vpdn撥入后獲得的IP地址池,名字叫做pptp。此處地址段的定義 范圍不要和撥入后內網(wǎng)其他計算機的IP沖突,并且要根據(jù)撥入用戶的數(shù)量來定義地址池的 大小
Pixfirewall(config)# crypto ipsec transform-set xp esp-des esp-md5-hmac 創(chuàng)建與加密相關的全局值
Pixfirewall(config)# crypto dynamic-map dymap 10 set transform-set xp 創(chuàng)建一個動態(tài)加密映射項
Pixfirewall(config)# crypto map mymap 10 ipsec-isakmp dynamic dymap 定義名字為mymap編號為10靜態(tài)加密map, 將名字為dymap的動態(tài)加密map 映射到靜 態(tài)加密map mymap 上.pixfirewall(config)# crypto map mymap interface outside 將靜態(tài)加密map應用在外部接口上 pixfirewall(config)# pixfirewall(config)# isakmp enable outside 在外部接口上啟用ISAKMP策略。
Pixfirewall(config)# isakmp key address netmask 針對分支機構的動態(tài)公有IP,配置ISAKMP預共享密鑰,如,表示適合 于所有的公有IP地址。
Pixfirewall(config)# isakmp policy 9 authentication pre-share 定義編號為9的ISAKMP策略,認證方式使用預共享密鑰:Pre-Share Key pixfirewall(config)# isakmp policy 9 encryption des 對于編號為9的ISAKMP策略的加密算法使用des pixfirewall(config)# isakmp policy 9 hash sha 對于編號為9的ISAKMP策略的hash完整性算法使用sha pixfirewall(config)# isakmp policy 9 group 2 對于編號為9的ISAKMP策略,密鑰交換組DH(Diffie-Hellman)長度為group 2 pixfirewall(config)# isakmp policy 9 lifetime 對于編號為9的ISAKMP策略生存時期為秒。pptp使用1723端口,而通常pix里面的服務器對外都是做的靜態(tài)NAT轉換,但是光雙 向開放1723端口仍舊無法建立pptp的vpn連接,那么對于pix 以上版本的pptp穿透 可以用一條命令fixup protocol pptp 1723 來解決這個問題。
通過對PIX 防火墻的設置,實現(xiàn)了VPN。公司內的一些商業(yè)機密能有了保障。通過 Internet 與公司重要客戶進行通信時實現(xiàn)信息傳輸保密。
十一、建立Pix 防火墻日志重定向
黑客攻擊進來后,有時間會把防火墻的日志進行擦除以逃避責任,公司網(wǎng)絡部希望網(wǎng)絡管理員能夠有效地保存防火墻日志。建立Pix 防火墻日志重定向。linux 配置:
1、vi/etc/sysconfig/syslog(按i 進入vi 的編輯狀態(tài)。): SYSLOGD_OPTIONS=“-m 0”修改為
sYSLOGD_OPTIONS=“-r-m 0”//-r 允許從遠端主機寫入messages(編輯完成后按ESC 回到命令行狀態(tài),然后輸入:wq,存盤退出,如果不存盤輸入:q)
2、vi/etc/ 加入下列內容
把設備號為local4(pix的默認設備號,對應pix端的facility為20)的所有的日志記錄到 /var/log/中
# local4.* /var/log/
3、為了避免日志過大,配置日志輪循(manlogrotate查看詳細的幫助信息)vi/etc/ 增加下列內容: #system-specific logs may be also be configured here./var/log/{ weekly rotate4&
4、重起syslog 服務:
[root@localhost&etc]# service syslog restart pix 配置:
Pix
完成以上配置后就可以在linux 下運用cat /var/log/ 查看 Pix的日志文件:
黑客攻擊進來后,有時間會把防火墻的日志進行擦除以逃避責任,通過把linux配置成PIX 的 日志主機,能夠有效地保存防火墻日志,進一步提高安全性。
實驗8防火墻透明模式配置2
實驗九
防火墻技術實驗
1、實驗目的
防火墻是網(wǎng)絡安全的第一道防線,按防火墻的應用部署位置分類,可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗,使學生了解各種不同類型防火墻的特點,掌握個人防火墻的工作原理和規(guī)則設置方法,掌握根據(jù)業(yè)務需求制定防火墻策略的方法。
2、題目描述
根據(jù)不同的業(yè)務需求制定天網(wǎng)防火墻策略,并制定、測試相應的防火墻的規(guī)則等。
3、實驗要求
基本要求了解各種不同類型防火墻的特點,掌握個人防火墻的工作原理和規(guī)則設置方法,掌握根據(jù)業(yè)務需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。
4、相關知識
1)防火墻的基本原理防火墻(firewall)是一種形象的說法,本是中世紀的一種安全防務:在城堡周圍挖掘一道深深的壕溝,進入城堡的人都要經(jīng)過一個吊橋,吊橋的看守檢查每一個來往的行人。對于網(wǎng)絡,采用了類似的處理方法,它是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關(securitygateway),也就是一個電子吊橋,從而保護內部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。它決定了哪些內部服務可以被外界訪問、可以被哪些人訪問,以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數(shù)據(jù)通過,而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡防火墻如下所示。
防火墻也并不能防止內部人員的蓄意破壞和對內部服務器的攻擊,但是,這種攻擊比較容易發(fā)現(xiàn)和察覺,危害性也比較小,這一般是用公司內部的規(guī)則或者給用戶不同的權限來控制。
2)防火墻的分類前市場的防火墻產(chǎn)品主要分類如下:
(1)從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。(2)從防火墻技術“包過濾型”和“應用代理型”兩大類。
(3)從防火墻結構單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。(4)按防火墻的應用部署位置邊界防火墻、個人防火墻和混合防火墻三大類。(5)按防火墻性能百兆級防火墻和千兆級防火墻兩類。3)防火墻的基本規(guī)則
■一切未被允許的就是禁止的(No規(guī)則)?!鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。
很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包,當防火墻接收到一個信息包時,它先與第一條規(guī)則相比較,然后是第二條、第三條??當它發(fā)現(xiàn)一條匹配規(guī)則時,就停止檢查并應用那條規(guī)則。
4)防火墻自身的缺陷和不足
■限制有用的網(wǎng)絡服務。防火墻為了提高被保護網(wǎng)絡的安全性,限制或關閉了很多有用但存在安全缺陷的網(wǎng)絡服務。
■無法防護內部網(wǎng)絡用戶的攻擊。目前防火墻只提供對外部網(wǎng)絡用戶攻擊的防護,對來自內部網(wǎng)絡用戶的攻擊只能依靠內部網(wǎng)絡主機系統(tǒng)的安全性?!鯥nternet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如,在一個被保護的網(wǎng)絡上有一個沒有限制的撥出存在,內部網(wǎng)絡上的用戶就可以直接通過SLIP或PPP聯(lián)接進入Internet。
■對用戶不完全透明,可能帶來傳輸延遲、瓶頸及單點失效?!鯥nternet防火墻也不能完全防止傳送已感染病毒的軟件或文件。
■防火墻無法防范數(shù)據(jù)驅動型的攻擊。數(shù)據(jù)驅動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機上,但一旦執(zhí)行就開始攻擊。例如,一個數(shù)據(jù)型攻擊可能導致主機修改與安全相關的文件,使得入侵者很容易獲得對系統(tǒng)的訪問權。
■不能防備新的網(wǎng)絡安全問題。防火墻是一種被動式的防護手段,它只能對現(xiàn)在已知的網(wǎng)絡威脅起作用。
5、實驗設備
主流配置PC,安裝有windows 2000 SP4操作系統(tǒng),網(wǎng)絡環(huán)境,天網(wǎng)防火墻個人版。
6、實驗步驟
1)從指導老師處得到天網(wǎng)防火墻個人版軟件。
2)天網(wǎng)防火墻個人版的安裝。按照安裝提示完成安裝,并重啟后系統(tǒng)。
3)系統(tǒng)設置。在防火墻的控制面板中點擊“系統(tǒng)設置”按鈕,即可展開防火墻系統(tǒng)設置面板。
天網(wǎng)個人版防火墻系統(tǒng)設置界面如下。
防火墻自定義規(guī)則重置:占擊該按鈕,防火墻將彈出窗口,如下:
如果確定,天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復為初始設置,你對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。
防火墻設置向導:為了便于用戶合理的設置防火墻,天網(wǎng)防火墻個人版專門為用戶設計了防火墻設置向導。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設置。
應用程序權限設置:勾選了該選項之后,所有的應用程序對網(wǎng)絡的訪問都默認為通行不攔截。這適合在某些特殊情況下,不需要對所有訪問網(wǎng)絡的應用程序都做審核的時候。(譬如在運行某些游戲程序的時候)
局域網(wǎng)地址:設置在局域網(wǎng)內的地址。防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存:選中每次退出防火墻時自動保存日志,當你退出防火墻的保護時,天網(wǎng)防火墻將會把當日的日志記錄自動保存到SkyNet/FireWall/log文件下,打開文件夾便可查看當日的日志記錄。
4)安全級別設置天網(wǎng)個人版防火墻的缺省安全級別分為低、中、高三個等級,默認的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規(guī)則的設置等情況,我們選擇自定義安全級別。
然后點擊左邊的將打開自定義的IP規(guī)則。
從中可以看出,規(guī)則的先后順序為IP規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下,可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調整、導入導出操作。重要:規(guī)則增加、修改、刪除等操作后一定要點擊保存圖標進行保存,否則無效。
單擊規(guī)則前面的,可使該規(guī)則不起作用,且其形狀變?yōu)椤?/p>
5)修改規(guī)則雙擊該規(guī)則,或者點擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對各部分進行修改。
(1)首先輸入規(guī)則的“名稱”和“說明”,以便于查找和閱讀。(2)然后,選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。
(3)“對方的IP地址”,用于確定選擇數(shù)據(jù)包從那里來或是去哪里,這里有幾點說明: ■“任何地址”是指數(shù)據(jù)包從任何地方來,都適合本規(guī)則,■“局域網(wǎng)網(wǎng)絡地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng),■“指定地址”是你可以自己輸入一個地址,“指定的網(wǎng)絡地址”是你可以自己輸入一個網(wǎng)絡和掩碼。
(4)除了錄入選擇上面內容,還要錄入該規(guī)則所對應的協(xié)議,其中:
■‘IP’協(xié)議不用填寫內容,注意,如果你錄入了IP協(xié)議的規(guī)則,一點要保證IP協(xié)議規(guī)則的最后一條的內容是:“對方地址:任何地址;動作:繼續(xù)下一規(guī)則”。
■‘TCP’協(xié)議要填入本機的端口范圍和對方的端口范圍,如果只是指定一個端口,那么可以在起始端口處錄入該端口,結束處,錄入同樣的端口。如果不想指定任何端口,只要在起始端口都錄入0。TCP標志比較復雜,你可以查閱其他資料,如果你不選擇任何標志,那么將不會對標志作檢查。
■‘ICMP’規(guī)則要填入類型和代碼。如果輸入255,表示任何類型和代碼都符合本規(guī)則。■‘IGMP’不用填寫內容。
(5)當一個數(shù)據(jù)包滿足上面的條件時,你就可以對該數(shù)據(jù)包采取行動了: ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進入或出去?!鰯r截’指讓該數(shù)據(jù)包無法進入你的機器
■繼續(xù)下一規(guī)則’指不對該數(shù)據(jù)包作任何處理,由該規(guī)則的下一條同協(xié)議規(guī)則來決定對該包的處理。(6)在執(zhí)行這些規(guī)則的同時,還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內容,并用右下腳的“天網(wǎng)防火墻個人版”圖標是否閃爍來“警告”,或發(fā)出聲音提示。
6)新增規(guī)則點擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則,并彈出該規(guī)則的編輯界面。比如新增一條允許
訪問WWW端口的規(guī)則,可以按如下方法設置。設置完成后點擊“確定”,并點擊工具條的保存按鈕。
7)普通應用程序規(guī)則設置天網(wǎng)防火墻個人版增加對應用程序數(shù)據(jù)傳輸封包進行底層分析攔截功能,它可以控制應用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口,并且決定攔截還是通過。在天網(wǎng)防火墻個人版打開的情況下,首次激活的任何應用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在,都會被天網(wǎng)防火墻個人版先截獲分析,并彈出窗口,詢問你是通過還是禁止。這時可以根據(jù)需要來決定是否允許應用程序訪問網(wǎng)絡。如果不選中“該程序以后按照這次的操作運行”,那么天網(wǎng)防火墻個人版在以后會繼續(xù)截獲該應用程序的數(shù)據(jù)傳輸數(shù)據(jù)包,并且彈出警告窗口。如果選中“該程序以后按照這次的操作運行”選項,該應用程序將自加入到應用程序列表中,可以通過應用程序設置來設置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。
8)高級應用程序規(guī)則設置單擊
可以打開詳細的應用程序規(guī)則設置。單擊應用程序規(guī)則面板中對應每一條應用程序規(guī)則都有幾個按鈕
點擊“選項”即可激活應用程序規(guī)則高級設置頁面。
“該應用程序可以”窗口是設定該應用程序可以做的動作。其中:是指此應用程序進程可以向外發(fā)出連接請求,通常是用于各種客戶端軟件。則是指此程序可以在本機打開監(jiān)聽的端口來提供網(wǎng)絡服務,這通常用于各種服務器端程序中。
9)根據(jù)以上功能,分別完成如下不同需求的防火墻規(guī)則設置并進行測試。
需求1:ICMP規(guī)則允許ping進來,其它禁止,TCP規(guī)則允許訪問本機的WWW服務和主動模式的FTP服務,其它禁止,UDP禁止。需求2:ICMP規(guī)則允許ping出去,其它禁止,TCP規(guī)則禁止所有連接本機,允許IE訪問Internet的80端口,UDP規(guī)則允許DNS解析,其它進出UDP報文禁止。
7、實驗思考
1)根據(jù)你所了解的網(wǎng)絡安全事件,你認為天網(wǎng)防火墻不具備的功能有哪些? 2)防火墻是不是絕對的安全?攻擊防火墻系統(tǒng)的手段有哪些?
實驗8防火墻透明模式配置3
實驗三 防火墻的配置
? 實驗目的
1、了解防火墻的含義與作用
2、學習防火墻的基本配置方法
3、理解iptables工作機理
4、熟練掌握iptables包過濾命令及規(guī)則
5、學會利用iptables對網(wǎng)絡事件進行審計
6、熟練掌握iptables NAT工作原理及實現(xiàn)流程
7、學會利用iptables+squid實現(xiàn)web應用代理
? 實驗原理
? 防火墻的基本原理
一.什么是防火墻
在古代,人們已經(jīng)想到在寓所之間砌起一道磚墻,一旦火災發(fā)生,它能夠防止火勢蔓延到別的寓所,于是有了“防火墻”的概念。
進入信息時代后,防火墻又被賦予了一個類似但又全新的含義。防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動,保證了內部網(wǎng)絡的安全。
二.防火墻能做什么 1.防火墻是網(wǎng)絡安全的屏障
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
2.防火墻可以強化網(wǎng)絡安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上,而集中在防火墻一身上。
3.對網(wǎng)絡存取和訪問進行監(jiān)控審計
如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?,并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外,收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。
4.防止內部信息的外泄
通過利用防火墻對內部網(wǎng)絡的劃分,可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者,隱私是內部網(wǎng)絡非常關心的問題,一個內部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度,這個系統(tǒng)是否有用戶正在連線上網(wǎng),這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網(wǎng)絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網(wǎng),有機地聯(lián)成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
三.NAT NAT英文全稱是“Network Address Translation”,中文意思是“網(wǎng)絡地址轉換”,它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準,允許一個整體機構以一個公用IP(Internet Protocol)地址出現(xiàn)在Internet上。顧名思義,它是一種把內部私有網(wǎng)絡地址(IP地址)翻譯成合法網(wǎng)絡IP地址的技術。
簡單的說,NAT就是在局域網(wǎng)內部網(wǎng)絡中使用內部地址,而當內部節(jié)點要與外部網(wǎng)絡進行通訊時,就在網(wǎng)關(可以理解為出口,打個比方就像院子的門一樣)處,將內部地址替換成公用地址,從而在外部公網(wǎng)(Internet)上正常使用,NAT可以使多臺計算機共享Internet連接,這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法,您可以只申請一個合法IP地址,就把整個局域網(wǎng)中的計算機接入Internet中。這時,NAT屏蔽了內部網(wǎng)絡,所有內部網(wǎng)計算機對于公共網(wǎng)絡來說是不可見的,而內部網(wǎng)計算機用戶通常不會意識到NAT的存在。這里提到的內部地址,是指在內部網(wǎng)絡中分配給節(jié)點的私有IP地址,這個地址只能在內部網(wǎng)絡中使用,不能被路由(一種網(wǎng)絡技術,可以實現(xiàn)不同路徑轉發(fā))。雖然內部地址可以隨機挑選,但是通常使用的是下面的地址:~,~,~。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC(網(wǎng)絡信息中心)或者ISP(網(wǎng)絡服務提供商)分配的地址,對外代表一個或多個內部局部地址,是全球統(tǒng)一的可尋址的地址。
NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經(jīng)加入這一功能,網(wǎng)絡管理員只需在路由器的IOS中設置NAT功能,就可以實現(xiàn)對內部網(wǎng)絡的屏蔽。再比如防火墻將Web Server的內部地址映射為外部地址,外部訪問地址實際上就是訪問。另外對資金有限的小型企業(yè)來說,現(xiàn)在通過軟件也可以實現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。
NAT有三種類型:靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡地址端口轉換NAPT(Port-Level NAT)。
其中靜態(tài)NAT設置起來最為簡單和最容易實現(xiàn)的一種,內部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內部網(wǎng)絡。NAPT則是把內部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要,三種NAT方案各有利弊。
動態(tài)地址NAT只是轉換IP地址,它為每一個內部的IP地址分配一個臨時的外部IP地址,主要應用于撥號,對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
網(wǎng)絡地址端口轉換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉換方式。NAPT普遍應用于接入設備中,它可以將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同,它將內部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設備選定的TCP端口號。
在Internet中使用NAPT時,所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內非常實用,通過從ISP處申請的一個IP地址,將多個連接通過NAPT接入Internet。實際上,許多SOHO遠程訪問設備支持基于PPP的動態(tài)IP地址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內部IP地址共用一個外部IP地址訪問Internet,雖然這樣會導致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點,用NAPT還是很值得的。
? Windows 2003防火墻
Windows 2003提供的防火墻稱為Internet連接防火墻,通過允許安全的網(wǎng)絡通信通過防火墻進入網(wǎng)絡,同時拒絕不安全的通信進入,使網(wǎng)絡免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
在Windows2003服務器上,對直接連接到Internet的計算機啟用防火墻功能,支持網(wǎng)絡適配器、DSL適配器或者撥號調制解調器連接到Internet。它可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠程主機對服務器的掃描,從而提高Windows 2003服務器的安全性。同時,它也可以有效攔截利用操作系統(tǒng)漏洞進行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能,能夠對整個內部網(wǎng)絡起到很好的保護作用。
1.啟用/關閉防火墻
(1)打開“網(wǎng)絡連接”,右擊要保護的連接,單擊“屬性”,出現(xiàn)“本地連接屬性”對話框。
(2)選擇“高級”選項卡,單擊“設置”按鈕,出現(xiàn)啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻,請單擊“啟用(O)”按鈕;如果要禁用Internet 連接防火墻,請單擊“關閉(F)”按鈕。
2.防火墻服務設置
Windows 2003 Internet連接防火墻能夠管理服務端口,例如HTTP的80端口、FTP的21端口等,只要系統(tǒng)提供了這些服務,Internet連接防火墻就可以監(jiān)視并管理這些端口。
(1)解除阻止設置。
在“例外”選項卡中,可以通過設定讓防火墻禁止和允許本機中某些應用程序訪問網(wǎng)絡,加上“√”表示允許,不加“√”表示禁止。如果允許本機中某項應用程序訪問網(wǎng)絡,則在對話框中間列表中所列出該項服務前加“√”(如果不存在則可單擊“添加程序”按鈕進行添加);如果禁止本機中某項應用程序訪問網(wǎng)絡,則將該項服務前的“√”清除(如果不存在同樣可以添加)。在“Windows防火墻阻止程序時通知我”選項前打“√”則在主機出現(xiàn)列表框中不存在的應用程序欲訪問網(wǎng)絡時,防火墻會彈出提示框詢問用戶是否允許該項網(wǎng)絡連接。
(2)高級設置。
在“高級”選項卡中,可以指定需要防火墻保護的網(wǎng)絡連接,雙擊網(wǎng)絡連接或單擊“設置”按鈕設置允許其他用戶訪問運行于本主機的特定網(wǎng)絡服務。選擇“服務”選項卡,其中列舉出了網(wǎng)絡標準服務,加上“√”表示允許,不加“√”表示禁止。如果允許外部網(wǎng)絡用戶訪問網(wǎng)絡的某一項服務,則在對話框中間列表中所列出該項服務前加“√”(如果不存在則可單擊“添加程序”按鈕進行添加);如果禁止外部網(wǎng)絡用戶訪問內部網(wǎng)絡的某一項服務,則將該項服務前的“√”清除(如果不存在同樣可以添加)。選擇“ICMP”選項卡,允許或禁止某些類型的ICMP響應,建議禁止所有的ICMP響應。
3.防火墻安全日志設置
Windows2003防火墻可以記錄所有允許和拒絕進入的數(shù)據(jù)包,以便進行進一步的分析。在“高級”選項卡的“安全日志記錄”框中單擊“設置”按鈕,進入“日志設置”界面。
如果要記錄被丟棄的包,則選中“記錄被丟棄的數(shù)據(jù)包”復選按鈕;如果要記錄成功的連接,則選中“記錄成功的連接”復選按鈕。
日志文件默認路徑為C:,用記事本可以打開,所生成的安全日志使用的格式為W3C擴展日志文件格式,可以用常用的日志分析工具進行查看分析。你也可以重新指定日志文件,而且還可以通過“大小限制”限定文件的最大使用空間。
「說明」 建立安全日志是非常必要的,在服務器安全受到威脅時,日志可以提供可靠的證據(jù)。
? linux防火墻-iptable的應用
一.iptables簡介
從內核開始,linux就已經(jīng)具有包過濾功能了,在的內核中我們采用ipfwadm來操作內核包過濾規(guī)則。之后在內核中,采用了大家并不陌生的ipchains來控制內核包過濾規(guī)則。在內核中我們不再使用ipchains,而是采用一個全新的內核包過濾管理工具—iptables。這個全新的內核包過濾工具將使用戶更易于理解其工作原理,更容易被使用,當然也將具有更為強大的功能。
實際上iptables只是一個內核包過濾的工具,iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內核中一個通用架構)及其相關模塊(如iptables模塊和nat模塊)。
Netfilter提供了一系列的“表(tables)”,每個表由若干“鏈(chains)”組成,而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解,netfilter是表的容器,表是鏈的容器,鏈又是規(guī)則的容器。
Netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數(shù)條規(guī)則,每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件,就這樣處理這個數(shù)據(jù)包”。當一個數(shù)據(jù)包到達一個鏈時,系統(tǒng)就會從第一條規(guī)則開始檢查,看是否符合該規(guī)則所定義的條件:如果滿足,系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包;如果不滿足則繼續(xù)檢查下一條規(guī)則。最后,如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話,系統(tǒng)就會根據(jù)預先定義的策略(policy)來處理該數(shù)據(jù)包。
圖3-2-1 網(wǎng)絡數(shù)據(jù)包在filter表中的流程
數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進入系統(tǒng)時,系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈,則可能有三種情況:
(1)如果數(shù)據(jù)包的目的地址是本機,則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應的本地進程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會將這個包丟掉。
(2)如果數(shù)據(jù)包的目的地址不是本機,也就是說,這個包將被轉發(fā),則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應的本地進程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會將這個包丟掉。
(3)如果數(shù)據(jù)包是由本地系統(tǒng)進程產(chǎn)生的,則系統(tǒng)將其送往OUTPUT鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應的本地進程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會將這個包丟掉。
當我們在使用iptables NAT功能的時候,我們所使用的表不再是“filter”表,而是“nat”表,所以我們必須使用“-t nat”選項來顯式地指明這一點。因為系統(tǒng)缺省的表是“filter”,所以在使用filter功能時,我們沒有必要顯式的指明“-t filter”。
同“filter”表一樣,nat表也有三條缺省的鏈,這三條鏈也是規(guī)則的容器,它們分別是:
(1)PREROUTING: 可以在這里定義進行目的NAT的規(guī)則,因為路由器進行路由時只檢查數(shù)據(jù)包的目的IP地址,為了使數(shù)據(jù)包得以正確路由,我們必須在路由之前就進行目的NAT。
(2)POSTROUTING: 可以在這里定義進行源NAT的規(guī)則,在路由器進行路由之后才進行源NAT。(3)OUTPUT: 定義對本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。二.NAT工作原理
NAT的基本思想是為每個企業(yè)分配一個IP地址(或者是很少幾個)來進行Internet傳輸。在企業(yè)內部,每個電腦取得一唯一的IP地址來為內部傳輸做路由。然而,當封包離開企業(yè),進入ISP之后,就需要進行地址轉換了。為了使這個方案可行,IP地址的范圍被聲明為私有的,企業(yè)可以隨意在內部使用他們。僅有的規(guī)則是,沒有包含這些地址的封包出現(xiàn)在Internet上。
「說明」 IP私有地址范圍是:~/
8、 ~/
12、~/16。
如圖3-2-2所示。在企業(yè)內部,每個機器都有一個唯一的形式的地址。然而,當封包離開企業(yè)時,它要經(jīng)過NAT轉盒,NAT盒將內部IP源地址,即圖中的轉換成企業(yè)的真實地址(這個地址對于Internet來說是可見的),此例中為。NAT盒通常和防火墻一起綁定在一個設備上,這里的防火墻通過小心地控制進出企業(yè)的封包提供了安全保障。
圖3-2-2 NAT地址轉換
三.iptables常用操作語法
對于任何協(xié)議及協(xié)議的擴展,通用匹配都可以直接使用。(1)匹配指定協(xié)議。
匹配-p,--protocol/使用 iptables-A INPUT-p tcp-j ACCEPT/說明匹配指定的協(xié)議,指定協(xié)議的形式有以下幾種:①名字不分大小寫,但必須是在/etc/protocols中定義的;②可以使用協(xié)議相應的整數(shù)值。例如,ICMP的值是1,TCP是6,UDP是17;③缺少設置ALL,相應數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP,而不是/etc/protocols中定義的所有協(xié)議;④可以是協(xié)議列表,以英文逗號為分隔符,如:udp,tcp;⑤可以在協(xié)議前加英文的感嘆號表示取反,注意有空格,如:--protocol!tcp表示非TCP協(xié)議,也就是UDP和ICMP??梢钥闯鲞@個取反的范圍只是TCP、UDP和ICMP。
(2)以IP源地址匹配包。
匹配-s,--src,--source/使用 iptables-A INPUT-s ACCEPT/說明以IP源地址匹配包。地址的形式如下:①單個地址,如,也可寫成/或/32;②網(wǎng)絡,如/24,或/;③在地址前加英文感嘆號表示取反,注意空格,如—source!/24表示除此地址外的所有地址;④缺省是所有地址。
(3)以IP目的地址匹配包。
匹配-d,--dst,--destination/使用 iptables-A INPUT-d ACCEPT/說明以IP目的地址匹配包。地址的形式和—source完全一樣。
(4)以包進入本地使用的網(wǎng)絡接口匹配包。
匹配-i/使用 iptables-A INPUT-i eth0-j ACCEPT/說明以包進入本地所使用的網(wǎng)絡接口來匹配包。要注意這個匹配操作只能用于INPUT,FORWARD和PREROUTING這三個鏈,用在其他任何地方會提示錯誤信息。指定接口有以下方法:①指定接口名稱,如:eth0、ppp0等;②使用通配符,即英文加號,它代表字符數(shù)字串。若直接用一個加號,即iptables-A INPUT-i +表示匹配所有的包,而不考慮使用哪個接口。通配符還可以放在某一類接口的后面,如:eth+表示匹配所有從Ethernet接口進入的包;③在接口前加英文感嘆號表示取反,如:-i!eth0意思是匹配來自除eth0外的所有包。
(5)以包離開本地所使用的網(wǎng)絡接口來匹配包。
匹配-o/使用 iptables-A OUTPUT-o eth1-j ACCEPT/說明以包離開本地所使用的網(wǎng)絡接口來匹配包。要注意這個匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個鏈,用在其他任何地方會提示錯誤信息。
(6)匹配通信源端口。
匹配--source-port,--sport/使用 iptables-A INPUT-p tcp--sport 1111/說明當通信協(xié)議為TCP或UDP時,可以指定匹配的源端口,但必須與匹配協(xié)議相結合使用。
(7)匹配通信源端口。
匹配--destination-port,--dport/使用 iptables-A INPUT-p tcp--dport 80/說明當通信協(xié)議為TCP或UDP時,可以指定匹配的目的端口,但必須與匹配協(xié)議相結合使用。
五.iptables功能擴展 1.TCP擴展
iptables可以擴展,擴展分為兩種:一種是標準的;另一種是用戶派生的。如果指定了“-p tcp”,那么TCP擴展將自動加載,通過--tcp-flags擴展,我們指定TCP報文的哪些Flags位被設置,在其后跟隨兩個參數(shù):第一個參數(shù)代表Mask,指定想要測驗的標志位;第二個參數(shù)指定哪些位被設置。
例:設置iptables防火墻禁止來自外部的任何tcp主動請求,并對此請求行為進行事件記錄。
其中ULOG指定對匹配的數(shù)據(jù)包進行記錄,由日志生成工具ULOG生成iptables防火日志,--log-prefix選項為記錄前綴。
2.ICMP擴展
例:設置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。
其中--icmp-type為擴展命令選項,其后參數(shù)可以是三種模式:(1)ICMP類型名稱(例如,host-unreachable)。(2)ICMP類型值(例如3)。(3)ICMP類型及代碼值(8/0)。六.狀態(tài)檢測
“狀態(tài)”的意思是指如果一個數(shù)據(jù)包是對先前從防火墻發(fā)出去的包的回復,則防火墻自動不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進入并返回給請求者,這樣就不用設置許多規(guī)則定義就可實現(xiàn)應用的功能。
我們可以把請求端與應答端之間建立的網(wǎng)絡通信連接稱為網(wǎng)絡會話,每個網(wǎng)絡會話都包括以下信息——源IP地址、目標IP地址、源端口、目的端口,稱為套接字對;協(xié)議類型、連接狀態(tài)(TCP協(xié)議)和超時時間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內存中維護一個跟蹤狀態(tài)的表,比簡單的包過濾防火墻具有更大的安全性,而iptables就是一種基于狀態(tài)的防火墻。命令格式如下:
iptables-m state--state [!] state [,state,state,state] 其中,state表是一個由逗號分割的列表,用來指定連接狀態(tài),狀態(tài)分為4種:(1)NEW: 該包想要建立一個新的連接(重新連接或連接重定向)
(2)RELATED:該包是屬于某個已經(jīng)建立的連接所建立的新連接。舉例:FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關系。
(3)ESTABLISHED:該包屬于某個已經(jīng)建立的連接。(4)INVALID:該包不匹配于任何連接,通常這些包被DROP。七.NAT操作
前面提到在iptables防火墻中提供了3種策略規(guī)則表:Filter、Mangle和NAT,這3種表功能各不相同,而最為常用的就是filter和nat表。
Nat表僅用于NAT,也就是網(wǎng)絡地址轉換。做過NAT操作的數(shù)據(jù)包的地址就被改變了,當然這種改變是根據(jù)我們的規(guī)則進行的。屬于流的包只會經(jīng)過這個表一次,經(jīng)一個包被允許做NAT,那么余下的包都會自動地做相同的操作。也就是說,余下的包不會再通過這個表一個一個的被NAT,而是自動完成的。常用操作分為以下幾類。
(1)SNAT(source network address translation,源網(wǎng)絡地址目標轉換)。
sNAT是POSTROUTING鏈表的作用,在封包就要離開防火墻之前改變其源地址,這在極大程度上可以隱藏本地網(wǎng)絡或者DMZ等。比如,多個PC機使用路由器共享上網(wǎng),每個PC機都配置了內網(wǎng)IP(私有IP),PC機訪問外部網(wǎng)絡的時候,路由器將數(shù)據(jù)包的報頭中的源地址替換成路由器的IP,當外部網(wǎng)絡的服務器比如網(wǎng)站W(wǎng)eb服務器接到訪問請求的時候,它的日志記錄下來的路由器的IP,而不是PC機的內網(wǎng)IP,這是因為,這個服務器收到的數(shù)據(jù)包的報頭里邊的“源地址”已經(jīng)被替換了。所以叫做SNAT,基于源地址的地址轉換。
例如更改所有來自/24的數(shù)據(jù)包的源IP地址為,其iptables實現(xiàn)為:
(2)DNAT(destination network address translation,目標網(wǎng)絡地址轉換)。
DNAT是PREROUTING鏈表的作用,在封包剛剛到達防火墻時改變其目的地址,以使包能重路由到某臺主機。典型的應用是,有個Web服務器放在企業(yè)網(wǎng)絡DMZ區(qū),其配置了內網(wǎng)IP地址,企業(yè)防火墻的的外網(wǎng)接口配置了企業(yè)唯一的公網(wǎng)IP,互聯(lián)網(wǎng)上的訪問者使用公網(wǎng)IP來訪問這個網(wǎng)站,當訪問的時候,客戶端發(fā)出一個數(shù)據(jù)包,這個數(shù)據(jù)包的報頭里邊,目標地址寫的是防火墻的公網(wǎng)IP,然后再把這個數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務器上,這樣,數(shù)據(jù)包就穿透了防火墻,并從公網(wǎng)IP變成了一個對DMZ區(qū)的訪問了。所以叫做DNAT,基于目標的網(wǎng)絡地址轉換。
例如更改所有來自/24的數(shù)據(jù)包的目的IP地址為,其iptables實現(xiàn)為:
(3)REDIRECT(重定向)。
REDIRECT是DNAT的特殊情況是重定向,也就是所謂的Redirection,這時候就相當于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進入系統(tǒng)時的網(wǎng)絡接口的IP地址。通常是在與squid配置形成透明代理時使用,假設squid的監(jiān)聽端口是3128,我們可以通過以下語句來將來自/24,目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽:
(4)MASQUERADE(地址偽裝)。
在iptables中有著和SNAT相近的效果,但也有一些區(qū)別。在使用SNAT的時候,出口IP的地址范圍可以是一個,也可以是多個,例如把所有
/2
4網(wǎng)段數(shù)據(jù)包
sNAT
成//等幾個IP然后發(fā)出去,其iptables實現(xiàn)為:
sNAT即可以NAT成一個地址,也可以NAT成多個地址。但是,對于SNAT來說不管是幾個地址,必須明確指定轉換的目標地址IP。假如當前系統(tǒng)用的是ADSL動態(tài)撥號方式,那么每次撥號,出口IP都會改變,而且改變的幅度很大,不一定是到范圍內的地址,這個時候如果使用SNAT的方式來配置iptables就會出現(xiàn)麻煩了,因為每次撥號后出口IP都會變化,而iptables規(guī)則內的IP是不會隨著自動變化的,每次地址變化后都必須手工修改一次iptables,把規(guī)則里邊的固定的IP改成新的IP,這樣是非常不好用的。
MASQUERADE就是針對這種場景而設計的,它的作用是從防火墻外網(wǎng)接口上自動獲取當前IP地址來做NAT,比如下邊的命令:
八.防火墻應用代理 1.代理服務器概述
在TCP/IP網(wǎng)絡中,傳統(tǒng)的通信過程是這樣的:客戶端向服務器請求數(shù)據(jù),服務器響應該請求,將數(shù)據(jù)傳送給客戶端,如圖3-2-3所示。
圖3-2-3 直接訪問Internet 在引入了代理服務器以后,這一過程變成了這樣:客戶端向服務器發(fā)起請求,該請求被送到代理服務器;代理服務器分析該請求,先查看自己緩存中是否有請求數(shù)據(jù),如果有就直接傳遞給客戶端,如果沒有就代替客戶端向該服務器發(fā)出請求。服務器響應以后,代理服務將響應的數(shù)據(jù)傳遞給客戶端,同時在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣,再有客戶端請求相同的數(shù)據(jù)時,代理服務器就可以直接將數(shù)據(jù)傳送給客戶端,而不需要再向該服務器發(fā)起請求,如圖3-2-4所示。
圖3-2-4 通過代理服務器訪問Internet
2.代理服務器功能
一般說來,代理服務器具有以下的功能:(1)通過緩存增加訪問速度。
隨著Internet的迅猛發(fā)展,網(wǎng)絡帶寬變得越來越珍貴。所以為了提高訪問速度,好多ISP都提供代理服務器,通過代理服務器的緩存功能來加快網(wǎng)絡的訪問速度。一般說來,大多數(shù)的代理服務器都支持HTTP緩存,但是,有的代理服務器也支持FTP緩存。在選擇代理服務器時,對于大多數(shù)的組織,只需要HTTP緩存功能就足夠了。
通常,緩存有主動緩存被動緩存之分。所謂被動緩存,指的是代理服務器只在客戶端請求數(shù)據(jù)時才將服務器返回的數(shù)據(jù)進行緩存,如果數(shù)據(jù)過期了,又有客戶端請求相同的數(shù)據(jù)時,代理服務器又必須重新發(fā)起新的數(shù)據(jù)請求,在將響應數(shù)據(jù)傳送給客戶端時又進行新的緩存。所謂主動緩存,就是代理服務器不斷地檢查緩存中的數(shù)據(jù),一旦有數(shù)據(jù)過期,則代理服務器主動發(fā)起新的數(shù)據(jù)請求來更新數(shù)據(jù)。這樣,當有客戶端請求該數(shù)據(jù)時就會大大縮短響應時間。對于數(shù)據(jù)中的認證信息,大多數(shù)的代理服務器都不會進行緩存的。
(2)提供用私有IP訪問Internet的方法。
iP地址是不可再生的寶貴資源,假如你只有有限的IP地址,但是需要提供整個組織的Internet訪問能力,那么,你可以通過使用代理服務器來實現(xiàn)這一點。
(3)提高網(wǎng)絡的安全性。
如果內部用戶訪問Internet都是通過代理服務器,那么代理服務器就成為進入Internet的唯一通道;反過來說,代理服務器也是Internet訪問內部網(wǎng)絡的唯一通道,如果你沒有做反向代理,則對于Internet上的主機來說,你的整個內部網(wǎng)只有代理服務器是可見的,從而大大增強了網(wǎng)絡的安全性。
3.傳統(tǒng)、透明和反向代理服務器(1)傳統(tǒng)代理服務器。
傳統(tǒng)代理常被用于緩存靜態(tài)網(wǎng)頁(例如:html文件和圖片文件等)到本地網(wǎng)絡上的一臺主機上(即代理服務器)。不緩存的頁面被第二次訪問的時候,瀏覽器將直接從本地代理服務器那里獲取請求數(shù)據(jù)而不再向原Web站點請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡帶寬,而且提高了訪問速度。但是,要想實現(xiàn)這種方式,必須在每一個內部主機的瀏覽器上明確指明代理服務器的IP地址和端口號??蛻舳松暇W(wǎng)時,每次都把請求給代理服務器處理,代理服務器根據(jù)請求確定是否連接到遠程Web服務器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標文件,則直接將文件傳給用戶即可。如果沒有的話則先取回文件,并在本地保存一份緩沖,然后將文件發(fā)給客戶端瀏覽器。
(2)透明代理服務器。
透明代理與傳統(tǒng)代理的功能完全相同。但是,代理操作對客戶端瀏覽器是透明的(即不需指明代理服務器的IP和端口)。透明代理服務器阻斷網(wǎng)絡通信,并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶,如果在本地沒有緩沖則向遠程Web服務器發(fā)出請求,其余操作和傳統(tǒng)代理服務器完全相同。對于Linux操作系統(tǒng)來說,透明代理使用iptables實現(xiàn)。因為不需要對瀏覽器作任何設置,所以,透明代理對于ISP來說特別有用。
(3)反向代理服務器。
反向代理是和前兩種代理完全不同的一種代理服務。使用它可以降低原始Web服務器的負載。反向代理服務器承擔了對原始Web服務器的靜態(tài)頁面的請求,防止原始服務器過載。如圖3-2-5所示,它位于本地Web服務器和Internet之間,處理所有對Web服務器的請求。如果互聯(lián)網(wǎng)用戶請求的頁面在代理器上有緩沖的話,代理服務器直接將緩沖內容發(fā)送給用戶。如果沒有緩沖則先向Web服務器發(fā)出請求,取回數(shù)據(jù),本地緩存后再發(fā)送給用戶。這種方式通過降低了向Web服務器的請求數(shù)從而降低了Web服務器的負載。
圖3-2-5 反向代理服務器位于Internet與組織服務器之間
4.代理服務器squid簡介
squid是一個緩存Internet數(shù)據(jù)的一個開源軟件,它會接收用戶的下載申請,并自動處理所下載的數(shù)據(jù)。也就是說,當一個用戶要下載一個主頁時,他向squid發(fā)出一個申請,要求squid替它下載,squid連接申請網(wǎng)站并請求該主頁,然后把該主頁傳給用戶同時保留一個備份,當別的用戶申請同樣的頁面時,squid把保存的備份立即傳給用戶,使用戶覺得速度相當快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議,暫不能代理POP、NNTP等協(xié)議。但是已經(jīng)有人開始改進squid,相信不久的將來,squid將能夠代理這些協(xié)議。
squid不是對任何數(shù)據(jù)都進行緩存。像信用卡賬號、可以遠方執(zhí)行的Script、經(jīng)常變換的主頁等是不適合緩存的。Squid可以根據(jù)用戶的需要進行設置,過濾掉不想要的東西。
squid可用在很多操作系統(tǒng)中,如Digital Unix, FreeBSD, HP-UX, Linux, Solaris,OS/2等,也有不少人在其他操作系統(tǒng)中重新編譯過Squid。
squid對內存有一定的要求,一般不應小于128M,硬盤最好使用服務器專用SCSI硬盤。
squid是一個高性能的代理緩存服務器,和一般的代理緩存軟件不同,Squid用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。
squid將數(shù)據(jù)元緩存在內存中,同時也緩存DNS查詢的結果。此外,它還支持非模塊化的DNS查詢,對失敗的請求進行消極緩存。Squid支持SSL,支持訪問控制。由于使用了ICP(輕量Internet緩存協(xié)議),Squid能夠實現(xiàn)層疊的代理陣列,從而最大限度地節(jié)約帶寬。
squid由一個主要的服務程序Squid,一個DNS查詢程序dnsserver,幾個重寫請求和執(zhí)行認證的程序,以及幾個管理工具組成。當Squid啟動以后,它可以派生出預先指定數(shù)目的dnsserver進程,而每一個dnsserver進程都可以執(zhí)行單獨的DNS查詢,這樣就減少了服務器等待DNS查詢的時間。
5.Squid常用配置選項
因為缺省的配置文件不能使Squid正常啟動服務,所以我們必須首先修改該配置文件的有關內容,才能讓Squid運行起來。
下面是文件的結構。配置文件的可以分為13個部分,這13個部分如下有所示。
雖然Squid的配置文件很龐大,但是如果你只是為一個中小型網(wǎng)絡提供代理服務,并且只準備使用一臺服務器,則只需要修改配置文件中的幾個選項。
6.Squid常用命令選項(1)端口號。
http_port指令告訴squid在哪個端口偵聽HTTP請求。默認端口是3128:http_port 3128,如果要squid作為加速器運行則應將它設為80。
你能使用附加http_port行來指squid偵聽在多個端口上。例如,來自某個部門的瀏覽器發(fā)送請求3128,然而另一個部門使8080端口。可以將兩個端口號列舉出來:
http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運行時,它有兩個網(wǎng)絡接口:一個內部的和一個外部的。你可能不想接受來自外部的http請求。為了使squid僅僅偵聽在內部接口上,簡單的將IP地址放在端口號前面:
http_port :3128(2)日志文件路徑。
默認的日志目錄是squid安裝位置下的logs目錄,其路徑是/usr/local/squid/var/logs。
你必須確認日志文件所存放的磁盤位置空間足夠。squid想確認你不會丟失任何重要的日志信息,特別是你的系統(tǒng)被濫用或者被攻擊時。
squid有三個主要的日志文件:、和。文件包含狀態(tài)性的和調試性的消息。文件包含了對squid發(fā)起的每個客戶請求的單一行。每行平均約150個字節(jié)。假如因為某些理由,你不想squid記錄客戶端請求日志,你能指定日志文件的路徑為/dev/null。文件對大多數(shù)cache管理員來說并非很有用。它包含了進入和離開緩存的每個目標的記錄。平均記錄大小典型的是175-200字節(jié)。
如果squid的日志文件增加沒有限制。某些操作系統(tǒng)對單個文件強制執(zhí)行2G的大小限制,即使你有充足的磁盤空間。超過該限制會導致寫錯誤,squid就會退出。(3)訪問控制。
squid默認的配置文件拒絕每一個客戶請求。在任何人能使用代理之前,你必須在文件里加入附加的訪問控制規(guī)則。最簡單的方法就是定義一個針對客戶IP地址的ACL和一個訪問規(guī)則,告訴squid允許來自這些地址的HTTP請求。squid有許多不同的ACL類型。src類型匹配客戶IP地址,squid會針對客戶HTTP請求檢查http_access規(guī)則。
acl MyNetwork src /16 http_access allow MyNetwork 請將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯文件時,請看如下注釋:
在該注釋之后,以及“http_access deny all”之前插入新規(guī)則。(4)命令選項。
這里的很多選項在實際應用中從不會使用,另外有些僅僅在調試問題時有用。
? 實驗步驟
? Windows 2003防火墻
一.防火墻基礎操作
操作概述:啟用windows2003系統(tǒng)防火墻,設置規(guī)則阻斷ICMP回顯請求數(shù)據(jù)包,并驗證針對UDP連接工具的例外操作。
(1)在啟用防火墻之前,同組主機通過ping指令互相測試網(wǎng)絡連通性,確?;ハ嗍沁B通的,若測試未通過請排除故障。
(2)本機啟用防火墻,并設置防火墻僅對“本地連接”進行保護。
(3)同組主機再次通過ping指令互相測試網(wǎng)絡連通性,確認是否相互連通_______。(4)設置本機防火墻允許其傳入ICMP回顯請求。(5)第三次測試網(wǎng)絡連通性。二.防火墻例外操作
操作概述:啟用windows2003系統(tǒng)防火墻,在“例外”選項卡中添加程序“UDPtools” 允許UDPtools間通信,并彈出網(wǎng)絡連接提示信息。
(1)關閉防火墻,同組主機間利用UDPtools進行數(shù)據(jù)通信,確保通信成功。
「說明」 UDPtools通信雙方應分別為客戶端和服務端,其默認通過2513/UDP端口進行通信,可以自定義通信端口,運行如圖3-1-1所示。
圖3-1-1 UDP連接工具
(2)本機啟用防火墻(僅對本地連接),將本機作為UDPtools服務器端,同組主機以UDPtools客戶端身份進行通信,確定客戶端通信請求是否被防火墻阻塞_______。
(3)斷開UDPtools通信,單擊“例外”選項卡,在“程序和服務”列表框添加程序“”(C:)并將其選中。再次啟動UDPtools并以服務器身份運行,同組主機仍以客戶端身份與其通信,確定客戶端通信請求是否被防火墻阻塞_______。
三.NAT操作
操作概述:Windows Server 2003“路由和遠程訪問”服務包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運行“路由和遠程訪問”的服務器上,則使用專用IP地址的內部網(wǎng)絡客戶端可以通過NAT服務器的外部接口訪問Internet。
圖3-1-2 實驗網(wǎng)絡連接示意
參看圖3-1-2,當內部網(wǎng)絡主機PC1發(fā)送要連接Internet主機PC2的請求時,NAT協(xié)議驅動程序會截取該請求,并將其轉發(fā)到目標Internet主機。所有請求看上去都像是來自NAT器的外部連接IP地址,這樣就隱藏了內部網(wǎng)絡主機。
在這里我們將windows Server 2003主機配置成為“路由和遠程訪問”NAT服務器,并模擬搭建Internet網(wǎng)絡環(huán)境對NAT服務器進行測試。
(1)實驗網(wǎng)絡拓撲規(guī)劃。
按圖3-1-2所示,本實驗需3臺主機共同完成,其中一臺主機扮演實驗角色“內網(wǎng)主機PC1”,一臺主機扮演實驗角色“外網(wǎng)主機PC2”,最后一臺主機扮演“NAT服務器”。
默認外部網(wǎng)絡地址/24;內部網(wǎng)絡地址/24,也可根據(jù)實際情況指定內網(wǎng)與外網(wǎng)地址。
默認主機“本地連接”為內部網(wǎng)絡接口;“外部連接“為外部網(wǎng)絡接口,也可指定“本地連接”為外部網(wǎng)絡接口。
(2)按步驟(1)中規(guī)劃分別為本機的“本地連接”、“外部連接”配置IP地址。
(3)配置NAT路由服務。依次單擊“開始”|“程序”|“管理工具”|“路由和遠程訪問”,在“路由和遠程訪問”MMC中,選擇要安裝NAT路由協(xié)議的服務器(這里為本地主機),右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠程訪問”。
「注」 操作期間若彈出“為主機名啟用了Windows防火墻/Internet連接共享服務……”警告信息,請先禁用“Windows防火墻/Internet連接共享”服務,后重試操作。具體做法:“開始”|“程序”| “管理工具”|“計算機管理”|“服務和應用程序”|“服務”,在右側服務列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務,先將其停止,然后在啟動類型中將其禁用。
(4)在“路由和遠程訪問服務器安裝向導”中選擇“網(wǎng)絡地址轉換(NAT)”服務。
(5)在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡接口,該網(wǎng)絡接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口,則此處應選擇“外部連接”。
(6)本實驗中沒有應用到DHCP、DNS服務,所以在“名稱和地址轉換服務”界面中選擇“我將稍后設置名稱和地址服務”。至最后完成路由和遠程訪問配置。
(7)接下來的工作是對各NAT服務器進行測試。下面以主機ABC為例進行測試說明:參照圖3-1-2,設定主機A為內網(wǎng)主機PC1,將其內部網(wǎng)絡接口(默認為“本地連接”)的默認網(wǎng)關指向主機B的內部網(wǎng)絡接口(默認為“本地連接”);設定主機C為外網(wǎng)主機PC2。內網(wǎng)主機A通過ping指令對外網(wǎng)主機C做連通性測試。
(8)ICMP會話分析。在主機A做連通性測試的同時,主機B打開“協(xié)議分析器”并定義過濾器,操作如下:依次單擊菜單項“設置”|“過濾器”,在“協(xié)議過濾”選項卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”,在彈出的“適配器選擇”界面中選擇“外部連接”,開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格,當捕獲到數(shù)據(jù)時單擊“停止捕獲數(shù)據(jù)包”按鈕,依次展開“會話分析樹”|“ICMP會話”,如圖3-1-3所示。
圖3-1-3 在NAT服務器外部接口上監(jiān)聽到的ICMP會話
(9)結合ICMP會話分析結果說出ICMP數(shù)據(jù)包的傳輸(路由)過程_________。
? linux防火墻-iptable的應用
一.包過濾實驗
操作概述:為了應用iptables的包過濾功能,首先我們將filter鏈表的所有鏈規(guī)則清空,并設置鏈表默認策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則,依次允許同組主機icmp回顯請求、Web請求,最后開放信任接口eth0。iptables操作期間需同組主機進行操作驗證。
(1)清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。
(2)確定同組主機已清空filter鏈表后,利用nmap(/opt/portscan/目錄下)對同組主機進行端口掃描。
Nmap端口掃描命令________。
「說明」 nmap具體使用方法可查看實驗6|練習1|TCP端口掃描。查看端口掃描結果,并填寫下表。
(3)查看INPUT、FORWARD和OUTPUT鏈默認策略。iptables命令_________。
? ?(4)將INPUT、FORWARD和OUTPUT鏈默認策略均設置為DROP。iptables命令_________。
確定同組主機已將默認策略設置為DROP后,本機再次利用nmap其進行端口掃描,查看掃描結果,并利用ping命令進行連通性測試。
(5)利用功能擴展命令選項(ICMP)設置防火墻僅允許ICMP回顯請求及回顯應答。ICMP回顯請求類型__________;代碼__________。ICMP回顯應答類型__________;代碼__________。iptables命令__________ 利用ping指令測試本機與同組主機的連通性。(6)對外開放Web服務(默認端口80/tcp)。iptables命令__________ 利用nmap對同組主機進行端口掃描,查看掃描結果。
(7)設置防火墻允許來自eth0(假設eth0為內部網(wǎng)絡接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對同組主機進行端口掃描,查看掃描結果。二.事件審計實驗
操作概述:利用iptables的日志功能檢測、記錄網(wǎng)絡端口掃描事件,日志路徑 /var/log/。(1)根據(jù)實驗原理(TCP擴展)設計iptables包過濾規(guī)則,并應用日志生成工具ULOG對iptables捕獲的網(wǎng)絡事件進行響應。
iptables命令__________(2)同組主機應用端口掃描工具對當前主機進行端口掃描,并觀察掃描結果。(3)在同組主機端口掃描完成后,當前主機查看iptables日志,對端口掃描事件進行審計,日志內容如圖3-2-1所示。
圖3-2-1 iptables日志內容
三.狀態(tài)檢測實驗
操作概述:分別對新建和已建的網(wǎng)絡會話進行狀態(tài)檢測。1.對新建的網(wǎng)絡會話進行狀態(tài)檢測(1)清空filter規(guī)則鏈全部內容。iptables命令__________(2)設置全部鏈表默認規(guī)則為允許。iptables命令__________(3)設置規(guī)則禁止任何新建連接通過。iptables命令__________(4)同組主機對當前主機防火墻規(guī)則進行測試,驗證規(guī)則正確性。2.對已建的網(wǎng)絡會話進行狀態(tài)檢測
(1)清空filter規(guī)則鏈全部內容,并設置默認規(guī)則為允許。
(2)同組主機首先telnet遠程登錄當前主機,當出現(xiàn)“l(fā)ogin:”界面時,暫停登錄操作。telnet登錄命令_________(3)iptables添加新規(guī)則(狀態(tài)檢測)——僅禁止新建網(wǎng)絡會話請求。iptables命令___________ 或___________________ 同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作,嘗試輸入登錄用戶名“guest”及口令“guestpass”,登錄是否成功__________。
同組主機啟動Web瀏覽器訪問當前主機Web服務,訪問是否成功__________。解釋上述現(xiàn)象______________________。
(4)刪除步驟(3)中添加的規(guī)則,并插入新規(guī)則(狀態(tài)檢測)——僅禁止已建網(wǎng)絡會話請求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實驗步驟(1)(2)(4)。同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作,嘗試輸入登錄用戶名“guest”及口令 “guestpass”,登錄是否成功__________。
同組主機啟動Web瀏覽器訪問當前主機Web服務,訪問是否成功__________。解釋上述現(xiàn)象_______________。
(5)當前主機再次清空filter鏈表規(guī)則,并設置默認策略為DROP,添加規(guī)則開放FTP服務,并允許遠程用戶上傳文件至FTP服務器。
iptables命令______________________________________ 四.NAT轉換實驗
實驗概述:圖3-2-2描述了NAT轉換實驗所應用的網(wǎng)絡拓撲結構。內網(wǎng)主機與NAT服務器eth0接口位于同一網(wǎng)段(內網(wǎng));外網(wǎng)主機與NAT服務器eth1接口位于同一網(wǎng)絡(外網(wǎng));NAT服務器提供NAT轉換。通過設置nat服務器的iptables NAT規(guī)則,實現(xiàn)內、外網(wǎng)主機間的通信數(shù)據(jù)包的地址轉換,達到屏蔽內部網(wǎng)絡拓撲結構與轉發(fā)外網(wǎng)主機請求端口的目的。
圖3-2-2 實驗網(wǎng)絡拓撲結
「說明」 本實驗是在Linux系統(tǒng)下完成,Linux系統(tǒng)默認安裝了2塊以太網(wǎng)卡,網(wǎng)絡接口分別為eth0和eth1,在設置NAT服務前請激活eth1網(wǎng)絡接口,命令ifconfig eth1 up。
1.確定各接口IP地址
本實驗由ABC、DEF主機各為一實驗小組。默認實驗角色:主機A為內網(wǎng)主機、B為NAT服務器、C為外網(wǎng)主機。也可以自定義實驗角色。
默認內網(wǎng)IP地址/
24、外網(wǎng)IP地址/24。配置完成內網(wǎng)主機eth0接口IP地址及默認網(wǎng)關(指向NAT服務器內網(wǎng)接口),NAT服務器eth0和eth1接口IP地址,外網(wǎng)主機eth0接口IP地址,并完成下列問題的填寫:
內網(wǎng)主機IP____________________,其默認網(wǎng)關____________________; 外網(wǎng)主機IP____________________;
NAT服務器內網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。
內網(wǎng)主機對NAT服務器內網(wǎng)接口進行連通性測試(ping);外網(wǎng)主機對NAT服務器外網(wǎng)接口進行連通性測試(ping)。
2.設置防火墻規(guī)則允許內部網(wǎng)絡訪問外部網(wǎng)絡
操作流程:首先開啟NAT服務器的路由功能(開啟網(wǎng)絡接口間數(shù)據(jù)的轉發(fā)),清空filter鏈表全部規(guī)則,并設置其默認策略為DROP;繼續(xù)設置規(guī)則允許來自內網(wǎng)的數(shù)據(jù)流進入外網(wǎng),并允許任何返回流量回到內網(wǎng);最后規(guī)則實現(xiàn)內網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉發(fā)。
(1)NAT服務器開啟路由功能。
基于安全的考慮,默認情況下Linux路由數(shù)據(jù)包的功能是關閉的,通過下述命令開啟系統(tǒng)路由功能:
(2)設置filter表規(guī)則鏈,默認策略為禁止。iptables命令_______________________(3)添加filter表新規(guī)則,允許來自防火墻的流量進入Internet;允許任何相關的返回流量回到防火墻。
iptables命令_______________________(4)添加filter表新規(guī)則,實現(xiàn)NAT服務器內部網(wǎng)絡接口eth0與外部網(wǎng)絡接口eth1間的數(shù)據(jù)轉發(fā)。iptables命令_______________________(5)主機C啟動Snort(/opt/ids/snort)以網(wǎng)絡嗅探方式運行(設置過濾器僅監(jiān)聽icmp數(shù)據(jù)包),主機A ping探測主機C,是否ping通______?
將主機C的默認網(wǎng)關指向NAT服務器的外網(wǎng)接口,主機A再次ping探測主機C,是否ping通__________?結合snort捕獲數(shù)據(jù),對比實驗現(xiàn)象,說明原因:___________________。
3.設置防火墻規(guī)則通過NAT屏蔽內部網(wǎng)絡拓撲結構
操作流程:在實現(xiàn)步驟2的操作基礎上,添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從內網(wǎng)到外網(wǎng)的地址翻譯。(1)NAT服務器重新啟動iptables服務。service iptables restart(2)重新操作步驟2(⑵~⑶)。
(3)添加nat表新規(guī)則,通過網(wǎng)絡地址翻譯實現(xiàn)內部網(wǎng)絡地址轉換。iptables命令_______________________(4)添加filter表新規(guī)則,實現(xiàn)NAT內部網(wǎng)絡接口eth0與外部網(wǎng)絡接口eth1之間的數(shù)據(jù)轉發(fā)。iptables命令_______________________(5)主機C重新將默認網(wǎng)關指為空,重新啟動Snort捕獲ICMP數(shù)據(jù)。主機A對主機C進行ping探測,是否ping通__________?主機C停止Snort監(jiān)聽,查看已捕獲到ICMP數(shù)據(jù),其源IP地址是__________?解釋實驗象_____________________________________。
4.設置防火墻規(guī)則通過NAT實現(xiàn)外網(wǎng)請求端口轉發(fā)
操作流程:在實現(xiàn)步驟3的操作基礎,添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從外網(wǎng)到內網(wǎng)的地址翻譯(端口轉發(fā))。(1)NAT服務器重新啟動iptables服務。service iptables restart(2)重新操作步驟3(⑵~⑷)。
(3)添加nat表新規(guī)則,實現(xiàn)數(shù)據(jù)從外網(wǎng)到內網(wǎng)的地址翻譯(80/tcp端口轉發(fā))。iptables命令__________________(4)完成NAT外部接口eth1到內部接口eth0之間的數(shù)據(jù)轉發(fā) iptables命令__________________(5)確定主機C默認網(wǎng)關指為空,主機A和主機C啟動Snort捕獲80/tcp數(shù)據(jù),主機C啟動Web瀏覽器,在地址欄中輸入: 通過“桌面”|“管理”|“網(wǎng)絡”激活eth1,并手動分配IP地址; 在控制臺中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 /24為eth1分配IP地址。(3)代理服務器配置squid。
代理服務器進入目錄/usr/local/squid/etc/,使用vim編輯器打開配置文件。在中配置如下選項:
第936行,使用默認的端口http_port 3128;
第574行,添加行acl mynet src 主機A地址域。例如acl mynet src /24; 第610行,添加行http_access allow mynet。(4)運行代理服務器
代理服務器進入目錄/usr/local/squid/sbin/,輸入命令:./squid –NCd1啟動代理服務。(5)通過代理訪問Web服務器
內網(wǎng)客戶端打開IE瀏覽器,通過“工具”|“Internet選項”|“連接”|“局域網(wǎng)設置”選中“為LAN使用代理服務器”,在“地址”中輸入代理服務器的內網(wǎng)IP,在“端口”中輸入代理服務器的監(jiān)聽端口號,單擊“確定”按鈕,完成瀏覽器設置。
內網(wǎng)客戶端在IE瀏覽器地址欄中輸入“ 第936行,修改為:http_port 主機B內網(wǎng)IP:3128 transparent(3)代理服務器添加iptables規(guī)則。
對從代理服務器內網(wǎng)接口進入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包,做“端口重定向”。將數(shù)據(jù)包重定向到3128端口,規(guī)則如下:
iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128(4)運行代理服務器。
(5)通過代理訪問Web服務器。
內網(wǎng)客戶端將本地連接的“默認網(wǎng)關”設置為代理服務器的內網(wǎng)IP,即代理服務器的eth0網(wǎng)絡接口的IP。內網(wǎng)客戶端打開IE瀏覽器,通過“工具”|“Internet選項”|“連接”|“局域網(wǎng)設置”,取消“為LAN使用代理服務器”。
內網(wǎng)客戶端在IE瀏覽器地址欄輸入“ 第936行,修改為:http_port 主機B外網(wǎng)地址:80 vhost。
第1499行,添加行:cache_peer 主機A的IP parent 80 0 no-query originserver。第574行,修改為:acl outside src 主機C地址域。例如acl outside src /24。第610行,修改為:http_access allow outside。(3)停止代理服務器的Web服務。
在代理服務器的終端輸入命令:service httpd stop。(4)刪除緩存文件。
刪除目錄/usr/local/squid/var/cache/00/00下所有文件。(5)運行代理服務器。
(6)外網(wǎng)通過代理訪問內網(wǎng)客戶端Web服務
外網(wǎng)Web服務器在IE瀏覽器地址欄中輸入“ 滿分: 分
顯示答案
簡答題(共5題,分)
1按照拓撲圖,搭建環(huán)境配置服務器并設置接口區(qū)域和ip地址。(15分)
提交display ip int bri中接口配置;(5分)
提交display current中接口添加到對應區(qū)域的配置;(6分)
2設置源NAT策略和配置安全策略,保證內網(wǎng)vlan10和vlan20用戶通過HFW1能訪問外網(wǎng);內網(wǎng)vlan30和vlan40用戶通過HFW2能訪問外網(wǎng)。(共計30分)
提交HFW1的安全策略配置和NAT策略截圖(分);
提交HFW2的安全策略配置和NAT策略截圖(分);
提交vlan10和vlan20主機訪問外網(wǎng)后,防火墻HFW1 display firewall session table截圖;(分);
提交vlan30和vlan40主機訪問外網(wǎng)后,防火墻HFW2 display firewall session table截圖;(分);
設置目的NAT策略和配置安全策略,保證外網(wǎng)用戶訪問的web服務時,訪問的是內部網(wǎng)絡dmz區(qū)域的(共計15分);
提交HFW1上display nat server截圖(10分);
提交外部瀏覽器訪問 current與DHCP有關的截圖(6分),其中地址池配置4分,端口下引用(2分));
提交vlan10下主機pc1獲得ip地址的截圖(分);
提交vlan20下主機pc2獲得ip地址的截圖(分);
提交vlan30下主機pc3獲得ip地址的截圖(分);
提交vlan40下主機pc4獲得ip地址的截圖(分);
配置兩臺防火墻的雙機熱備,HFW1防火墻為vlan10和vlan20的active(活動)設備,HFW2防火墻為vlan10和vlan20的standby(備份)設備;HFW1防火墻為vlan40和vlan30的standby(備份)設備,HFW2防火墻為vlan30和vlan40的active(活動)設備;
兩臺防火墻均可以訪問互聯(lián)網(wǎng),當active(活動)設備發(fā)生故障時能夠實現(xiàn)切換,虛擬機訪問互聯(lián)網(wǎng)不能出現(xiàn)中斷。(共計40分)
1)熱冗余備份配置完成后,提交相關驗證結果(16分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結果(2分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果(2分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結果(2分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果(2分);
提交VLAN10的主機用tracert 訪問外部網(wǎng)絡主機的截圖(2分);
提交VLAN40的主機用tracert 訪問外部網(wǎng)絡主機的截圖(2分);
提交FHW1的display firewall session會話轉化表(2分);
提交FHW2的display firewall session會話轉化表(2分);
2)熱冗余備份環(huán)境下,在交換機g0/0/24下執(zhí)行shutdown命令,提交相關驗證結果(8分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結果(1分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果(1分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結果(1分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果(1分);
提交VLAN10的主機用tracert 訪問外部網(wǎng)絡主機的截圖(1分);
提交VLAN40的主機用tracert 訪問外部網(wǎng)絡主機的截圖(1分);
提交FHW1的display firewall session會話轉化表(1分);
提交FHW2的display firewall session會話轉化表(1分);
3)熱冗余備份環(huán)境下,在交換機的g0/0/24下再執(zhí)行undo shutdown命令后,等待系統(tǒng)恢復后提交相關驗證結果(8分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結果(1分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果(1分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結果(1分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果(1分);
提交VLAN10的主機用tracert 訪問外部網(wǎng)絡主機的截圖(1分);
提交VLAN40的主機用tracert 訪問外部網(wǎng)絡主機的截圖(1分);
提交FHW1的display firewall session會話轉化表(1分);
提交FHW2的display firewall session會話轉化表(1分);
4)熱冗余備份環(huán)境下,在防火墻HFW2下的g1/0/4下執(zhí)行shutdown命令后,等待一段時間,提交相關驗證結果(8分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結果(1分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果(1分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結果(1分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果(1分);
提交VLAN10的主機用tracert 訪問外部網(wǎng)絡主機的截圖(1分);
提交VLAN40的主機用tracert 訪問外部網(wǎng)絡主機的截圖(1分);
提交FHW1的display firewall session會話轉化表(1分);
提交FHW2的display firewall session會話轉化表(1分);
實驗8防火墻透明模式配置3篇 防火墻透明模式部署相關文章: