第一篇:实验防火墙技术实验
实验 防火墙技术实验
实验九
防火墙技术实验
1、实验目的
防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验,使学生了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。
2、题目描述
根据不同的业务需求制定天网防火墙策略,并制定、测试相应的防火墙的规则等。
3、实验要求
基本要求了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。提高要求能够使用WindowsDDK开发防火墙。
4、相关知识
1)防火墙的基本原理防火墙(firewall)是一种形象的说法,本是中世纪的一种安全防务:在城堡周围挖掘一道深深的壕沟,进入城堡的人都要经过一个吊桥,吊桥的看守检查每一个来往的行人。对于网络,采用了类似的处理方法,它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(securitygateway),也就是一个电子吊桥,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问,以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。典型的网络防火墙如下所示。
防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击,但是,这种攻击比较容易发现和察觉,危害性也比较小,这一般是用公司内部的规则或者给用户不同的权限来控制。
2)防火墙的分类前市场的防火墙产品主要分类如下:
(1)从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。 (2)从防火墙技术“包过滤型”和“应用代理型”两大类。
(3)从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4)按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火墙三大类。 (5)按防火墙性能百兆级防火墙和千兆级防火墙两类。 3)防火墙的基本规则
■一切未被允许的就是禁止的(No规则)。 ■一切未被禁止的就是允许的(Yes规则)。
很多防火墙(例如SunScreenEFS、CiscoIOs、FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条„„当它发现一条匹配规则时,就停止检查并应用那条规则。
4)防火墙自身的缺陷和不足
■限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
■无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。 ■Internet防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或PPP联接进入Internet。
■对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。 ■Internet防火墙也不能完全防止传送已感染病毒的软件或文件。
■防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上,但一旦执行就开始攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。
■不能防备新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用。
5、实验设备
主流配置PC,安装有windows 2000 SP4操作系统,网络环境,天网防火墙个人版。
6、实验步骤
1)从指导老师处得到天网防火墙个人版软件。
2)天网防火墙个人版的安装。按照安装提示完成安装,并重启后系统。
3)系统设置。在防火墙的控制面板中点击“系统设置”按钮,即可展开防火墙系统设置面板。
天网个人版防火墙系统设置界面如下。
防火墙自定义规则重置:占击该按钮,防火墙将弹出窗口,如下:
如果确定,天网防火墙将会把防火墙的安全规则全部恢复为初始设置,你对安全规则的修改和加入的规则将会全部被清除掉。
防火墙设置向导:为了便于用户合理的设置防火墙,天网防火墙个人版专门为用户设计了防火墙设置向导。用户可以跟随它一步一步完成天网防火墙的合理设置。
应用程序权限设置:勾选了该选项之后,所有的应用程序对网络的访问都默认为通行不拦截。这适合在某些特殊情况下,不需要对所有访问网络的应用程序都做审核的时候。(譬如在运行某些游戏程序的时候)
局域网地址:设置在局域网内的地址。防火墙将会以这个地址来区分局域网或者是INTERNET 的IP来源。日志保存:选中每次退出防火墙时自动保存日志,当你退出防火墙的保护时,天网防火墙将会把当日的日志记录自动保存到SkyNet/FireWall/log文件下,打开文件夹便可查看当日的日志记录。
4)安全级别设置天网个人版防火墙的缺省安全级别分为低、中、高三个等级,默认的安全等级为中级。了解安全级别的说明请查看防火墙帮助文件。为了了解规则的设置等情况,我们选择自定义安全级别。
然后点击左边的
将打开自定义的IP规则。
从中可以看出,规则的先后顺序为IP规则、ICMP规则、IGMP规则、TCP规则和UDP规则。自定义IP规则的工具条如下,可以使用这些工具完成规则的增加、修改、删除、保存、调整、 导入导出操作。重要:规则增加、修改、删除等操作后一定要点击保存图标进行保存,否则无效。
单击规则前面的,可使该规则不起作用,且其形状变为。
5)修改规则双击该规则,或者点击工具条上的修改按钮可以打开该规则的修改窗体。然后按照需求对各部分进行修改。
(1)首先输入规则的“名称”和“说明”,以便于查找和阅读。 (2)然后,选择该规则是对进入的数据包还是输出的数据包有效。
(3)“对方的IP地址”,用于确定选择数据包从那里来或是去哪里,这里有几点说明: ■“任何地址”是指数据包从任何地方来,都适合本规则, ■“局域网网络地址”是指数据包来自和发向局域网,
■“指定地址”是你可以自己输入一个地址,“指定的网络地址”是你可以自己输入一个网络和掩码。
(4)除了录入选择上面内容,还要录入该规则所对应的协议,其中:
■‘IP’协议不用填写内容,注意,如果你录入了IP协议的规则,一点要保证IP协议规则的最后一条的内容是:“对方地址:任何地址;动作:继续下一规则”。
■‘TCP’协议要填入本机的端口范围和对方的端口范围,如果只是指定一个端口,那么可以在起始端口处录入该端口,结束处,录入同样的端口。如果不想指定任何端口,只要在起始端口都录入0。TCP标志比较复杂,你可以查阅其他资料,如果你不选择任何标志,那么将不会对标志作检查。
■‘ICMP’规则要填入类型和代码。如果输入255,表示任何类型和代码都符合本规则。 ■‘IGMP’不用填写内容。
(5)当一个数据包满足上面的条件时,你就可以对该数据包采取行动了: ■‘通行’指让该数据包畅通无阻的进入或出去。 ■拦截’指让该数据包无法进入你的机器
■继续下一规则’指不对该数据包作任何处理,由该规则的下一条同协议规则来决定对该包的处理。 (6)在执行这些规则的同时,还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容,并用右下脚的“天网防火墙个人版”图标是否闪烁来“警告”,或发出声音提示。
6)新增规则点击工具条的新增规则按钮可以新增一条规则,并弹出该规则的编辑界面。比如新增一条允许
访问WWW端口的规则,可以按如下方法设置。设置完成后点击“确定”,并点击工具条的保存按钮。
7)普通应用程序规则设置天网防火墙个人版增加对应用程序数据传输封包进行底层分析拦截功能,它可以控制应用程序发送和接收数据传输包的类型、通讯端口,并且决定拦截还是通过。在天网防火墙个人版打开的情况下,首次激活的任何应用程序只要有通讯传输数据包发送和接收存在,都会被天网防火墙个人版先截获分析,并弹出窗口,询问你是通过还是禁止。这时可以根据需要来决定是否允许应用程序访问网络。如果不选中“该程序以后按照这次的操作运行”,那么天网防火墙个人版在以后会继续截获该应用程序的数据传输数据包,并且弹出警告窗口。如果选中“该程序以后按照这次的操作运行”选项,该应用程序将自加入到应用程序列表中,可以通过应用程序设置来设置更为详尽的数据传输封包过滤方式。
8)高级应用程序规则设置单击
可以打开详细的应用程序规则设置。单击应用程序规则面板中对应每一条应用程序规则都有几个按钮
点击“选项”即可激活应用程序规则高级设置页面。
“该应用程序可以”窗口是设定该应用程序可以做的动作。其中:是指此应用程序进程可以向外发出连接请求,通常是用于各种客户端软件。则是指此程序可以在本机打开监听的端口来提供网络服务,这通常用于各种服务器端程序中。
9)根据以上功能,分别完成如下不同需求的防火墙规则设置并进行测试。
需求1:ICMP规则允许ping进来,其它禁止,TCP规则允许访问本机的WWW服务和主动模式的FTP服务,其它禁止,UDP禁止。 需求2:ICMP规则允许ping出去,其它禁止,TCP规则禁止所有连接本机,允许IE访问Internet的80端口,UDP规则允许DNS解析,其它进出UDP报文禁止。
7、实验思考
1)根据你所了解的网络安全事件,你认为天网防火墙不具备的功能有哪些? 2)防火墙是不是绝对的安全?攻击防火墙系统的手段有哪些?
第二篇:《防火墙及应用技术》实验教案
目 录
实验一 了解各类防火墙·································1 实验二 配置Windows 2003防火墙·························5 实验三 ISA服务器管理和配置·······························8 实验四 锐捷防火墙安装····································10 实验五 通过CONSOLE口命令防火墙配置管理··················12 实验六WEB 界面进行锐捷防火墙配置管理····················14 实验七 架设如下拓朴结构··································19
实验一 了解各类防火墙
一、实验目的和要求
1、了解防火墙一些概念与常识
2、熟悉个人防火墙
3、学会使用几种常见的防火墙的使用
二、实验任务
1、在Internet网上分别查找有关各类防火墙。
2、了解各类防火墙
三、实验指导或操作步骤
1.ZoneAlarm(ZA)
这是Zone Labs公司推出的一款防火墙和安全防护软件套装,除了防火墙外,它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的版本相比,新产品现在能够支持专家级的规则制定,它能够让高级用户全面控制网络访问权限,同时还具有一个发送邮件监视器,它将会监视每一个有可能是由于病毒导致的可疑行为,另外,它还将会对网络入侵者的行动进行汇报。除此之外,ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点,即使是刚刚出道的新手也能够很容易得就掌握它的使用。 说明:
(1)安装程序会自动查找已安装的 ZoneAlarm Pro 路径。
(2)如果已经安装过该语言包,再次安装前请先退出 ZA。否则安装后需要重新启动。
(3)若尚未安装 ZA,在安装完 ZA 后进行设置前安装该语言包即可,这样以后的设置将为中文界面。
(4)ZA 是根据当前系统的语言设置来选择相应语言包的,如果系统语言设置为英文,则不会调用中文语言包。
(5)语言包不改动原版任何文件,也适用于和 4.5.594.000 相近的版本。如果需要,在卸载后可还原到英文版。
(6)有极少量英文资源在语言包里没有,故无法汉化。如检查升级时的提示窗口、警报信息中的“Port”。
下载地址: http:///index.asp?rskey=B1B8JXCS
实验二 配置Windows 2003防火墙
一、实验目的和要求
1、了解防火墙一些概念与常识
2、学会配置Windows 2003防火墙
二、实验任务
1、配置Windows 2003防火墙。
2、了解防火墙
三、实验指导或操作步骤
Windows 2003提供的防火墙称为Internet连接防火墙,通过允许安全的网络通信通过防火墙进入网络,同时拒绝不安全的通信进入,使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
在Windows 2003服务器上,对直接连接到 Internet 的计算机启用防火墙功能,支持网络适配器、DSL 适配器或者拨号调制解调器连接到Internet。 1.启动/停止防火墙
(1)打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对话框。
(2)单击“高级”选项卡,出现如图1启动/停止防火墙界面。如果要启用 Internet 连接防火墙,请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙,请清除以上选择。
2.防火墙服务设置
Windows 2003 Internet连接防火墙能够管理服务端口,例如HTTP的80端口、FTP的21端口等,只要系统提供了这些服务,Internet连接防火墙就可以监视并管理这些端口。
(1)标准服务的设置
我们以Windows 2003服务器提供的标准Web服务为例(默认端口80),操作步骤如下:在图1所示界面中单击[设置]按钮,出现如图2所示“服务设置”对话框;在“服务设置”对话框中,选中“Web服务器(HTTP)”复选项,单击[确定]按钮。设置好后,网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。
图1
图2
注:您可以根据Windows 2003服务器所提供的服务进行选择,可以多选。常用标准服务系统已经预置在系统中,你只需选中相应选项就可以了。如果服务器还提供非标准服务,那就需要管理员手动添加了。
(2)非标准服务的设置
我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中,单击[添加]按钮,出现“服务添加”对话框,在此对话框中,填入服务描述、IP地址、服务所使用的端口号,并选择所使用的协议(Web服务使用TCP协议,DNS查询使用UDP协议),最后单击[确定]。设置完成后,网络用户可以通过8000端口访问相应的服务,而对没有经过授权的TCP、UDP端口的访问均被隔离。
3.防火墙安全日志设置
在图2“服务设置”对话框中,选择“安全日志”选项卡,出现“安全日志设置”对话框,选择要记录的项目,防火墙将记录相应的数据。日志文件默认路径为C:WindowsPfirewall.log,用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式,可以用常用的日志分析工具进行查看分析。
Internet 连接防火墙小结: Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,从而提高Windows 2003服务器的安全性。同时,它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
实验三 ISA服务器管理和配置
一、实验目的和要求
(1) 了解ISA一些概念与常识 (2) 熟悉ISA使用环境 (3) 学会管理和配置ISA服务器
二、实验任务
ISA服务器中的可扩展的企业防火墙配置。
三、实验指导或操作步骤
概要: 本文介绍如何安装 Internet Security and Acceleration (ISA) Server 并将其配置为防火墙。要将 ISA Server 架构安装到 Active Directory,您必须是本地计算机上的管理员。此外,您还必须同时是 Enterprise Admins 和 Schema Admins 两个组的成员。您必须为整个企业或组织将 ISA Server 架构一次性地安装到 Active Directory。(注意:企业初始化进程会将 ISA Server 架构信息复制到 Active Directory。由于 Active Directory 不支持架构对象的删除,因此企业初始化进程是不可逆的。)
1、要将 ISA Server 安装为防火墙,请按照下列步骤操作:
(1) 单击开始,单击运行,在打开文本框中键入 cmd,然后单击确定。
(2) 在命令提示符处,键入 PathISAi386Msisaent.exe(其中 Path 是指向 ISA Server 安装文件的路径)。请注意,该路径可能是 ISA Server 光盘的根文件夹,也可能是网络上包含 ISA Server 文件的共享文件夹。
(3) 单击 Microsoft ISA Server 安装对话框中的继续。
(4) 阅读最终用户许可协议 (EULA),然后单击我同意。
(5) 根据需要,选择其中一个安装选项。
(6) 单击"防火墙模式",然后单击继续。
(7) 在系统提示您允许安装程序停止 Internet 信息服务 (IIS) 时,单击确定。
(8) 要自动构建 Internet 协议 (IP) 地址,请单击建立表,单击与您的服务器相连的网卡,然后单击确定。
(9) 单击确定启动配置向导。
2、如何配置防火墙保护,请按照下列步骤操作:
(1) 单击开始,指向程序,指向 Microsoft ISA Server,然后单击 ISA 管理。
(2) 在控制台树中,单击以展开 server_name访问策略(其中 server_name 是服务器的名称),右键单击 IP 数据包筛选器,指向新建,然后单击筛选器。
(3) 在"IP 数据包筛选器名称"框中,键入要筛选的数据包的名称,然后单击下一步。
(4) 单击允许或阻止以允许或阻止该数据包,然后单击下一步。
(5) 接受预定义选项,然后单击下一步。
(6) 单击选项为应用数据包筛选器选择您所希望的方式,然后单击下一步。
(7) 单击远程计算机,然后单击下一步。
(8) 单击完成。
实验四 锐捷防火墙安装
一、实验目的和要求
(1)了解锐捷防火墙一些概念与常识 (2)熟悉锐捷防火墙使用环境注意事项 (3)锐捷防火墙安装注意事项
二、实验任务
锐捷防火墙安装。
三、实验指导或操作步骤
1.安全使用注意事项
本章列出各条安全使用注意事项,请仔细阅读并在使用RG-WALL 60 防火墙过程中严格执行。这将
有助于您更安全地使用和维护您的防火墙。
(1)您使用的RG-WALL 60 防火墙采用220V 交流电源,请确认工作电压并且务必使用三芯带接地
电源插头和插座。良好地接地是您的防火墙正常工作的重要保证。 (2)为使防火墙正常工作,请不要将其放置于高温或者潮湿的地方。
(3)请不要将防火墙放在不稳定的桌面上,万一跌落,会对防火墙造成严重损害。
(4)请保持室内通风良好并保持防火墙通气孔畅通。
(5)为减少受电击的危险,在防火墙工作时不要打开外壳,即使在不带电的情况下,也不随意打
(6)清洁防火墙前,请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙,不能用液体清洗防火墙。 2.检查安装场所
RG-WALL 60防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:
(1)确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。 (2)确认机柜和工作台自身有良好的通风散热系统。
(3)确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。 (4)确认机柜和工作台的良好接地。
为保证防火墙正常工作和延长使用寿命,安装场所还应该满足下列要求。 2.1 温度/湿度要求
为保证RG-WALL 60防火墙正常工作和使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害防火墙的电路。温度过高则危害更大,长期高温将加速绝缘材料的老化过程,使防火墙的可靠性大大降低,严重影响其寿命。 2.2 洁净度要求
灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上,可以造成静电吸附,使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。除灰尘外,机房内应防止有害气体(如SO
2、H2S、NH
3、Cl2 等)的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。 2.3 抗干扰要求
防火墙在使用中可能受到来自系统外部的干扰,这些干扰通过电容/电感耦合,电磁波辐射,公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。为此应注意以下条件:
(1)交流供电系统为TN系统,交流电源插座应采用有保护地线(PE)的单相三线电源插座,使设备上滤波电路能有效的滤除电网干扰。
(2)防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。 (3)电缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏。 3.安装
RG-WALL 60 防火墙可以放置在桌面上,也可以放在标准的19 英寸机架上。安放在桌面上不需要特别的操作,安放在机架上时需要自备螺丝刀,螺钉在包装箱中。 4.加电启动
防火墙启动步骤如下:
(1)请将防火墙安装在机架上或放在一个水平面上。 (2)确认防火墙电源是关闭的。 (3)连接电源线。
(4)防火墙可以通过网口用网线连接管理主机,也可通过串口线连接管理主机进而用超级终端管理防火墙。
(5)接通电源,按下防火墙上的电源开关,置于ON 状态,防火墙加电启动。 (6)橙黄色的状态灯(Status)开始闪烁,表示启动成功。 防火墙启动成功以后,请通过CONSOLE 口命令行或者WEB 浏览器方式管理防火墙,具体方法请参考以下相关章节。如果防火墙未正常启动,请按以上步骤进行检查,如仍无法解决问题,请您联系供应商相关技术支持人员。
实验五 通过CONSOLE口命令防火墙配置管理
一、实验目的和要求
(1)了解锐捷防火墙CONSOLE口命令 (2)熟悉锐捷防火墙使用环境注意事项 (3) CONSOLE口命令进行锐捷防火墙配置管理
二、实验任务
命令配置管理锐捷防火墙。
三、实验指导或操作步骤
1.选用管理主机 要求该主机具备:
(1)空闲的RS232 串口5 (2)有超级终端软件。比如Windows 系统中的“超级终端”连接程序。 2.连接防火墙
利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE,启动超级终端工具,以Windows 自带“超级终端”为例:点击“开始--> 所有程序--> 附件--> 通讯--> 超级终端”,选择用于连接的串口设备,定制通讯参数: (1)每秒位数:9600; (2)数据位:8; (3)奇偶校验:无; (4)停止位:1;
(5)数据流控制:无;
提示:对于Windows 自带“超级终端”,选择“还原默认值”即可。 3.登录CLI 界面
连接成功以后,提示输入管理员账号和口令时,输入出厂默认账号“admin”和口令“firewall”即可
进入登录界面,注意所有的字母都是小写的
实验六WEB 界面进行锐捷防火墙配置管理
一、实验目的和要求
(1)熟悉锐捷防火墙使用环境注意事项 (2) WEB 界面进行锐捷防火墙配置管理
二、实验任务
WEB 界面配置管理锐捷防火墙。
三、实验指导或操作步骤
1.选用管理主机
要求具有以太网卡、USB 接口和光驱,操作系统可以为Window98/2000/XP 中的任意一种,管理主机IE 建议为5.0 以上版本、文字大小为中等,屏幕显示建议设置为1024×768。 2.安装认证驱动程序
在第一次使用电子钥匙前,需要先按照电子钥匙的认证驱动程序。插入随机附带的驱动光盘,进入光盘Ikey Driver目录,双击运行INSTDRV 程序,选择“开始安装”,随后出现安装成功的提示,选择“退出”。切记:安装驱动前不要插入usb 电子钥匙。 3.安装USB 电子钥匙
在管理主机上插入usb 电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows 兼容性测试,选择“仍然继续”即可,如长时间(如约3 分钟)无反映,请拔下usb 电子钥匙,重启系统后再试一次,如仍无法解决,请您联系技术支持人员。 4.连接管理主机与防火墙
利用随机附带的网线直接连接管理主机网口和防火墙WAN 网口(初始配置,只能将管理主机连接在防火墙的WAN 网口上),把管理主机IP 设置为192.168.10.200,掩码为255.255.255.0。在管理主机运行ping 192.168.10.100 验证是否真正连通,如不能连通,请检查管理主机的IP(192.168.10.200)是否设置在与防火墙相连的网络接口上。强烈建议该网口不要绑定其他IP,并且使用交叉线直接连接防火墙。 5.认证管理员身份
第一、插入电子钥匙。
第二、运行Admin Auth目录中的ikeyc 程序,提示输入用户pin,输入12345678 即可。此时电子钥匙中存储的默认防火墙IP 地址为192.168.10.100,认证端口为9999。如果认证成功,将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证,可以对防火墙进行配置管理了。如果出现其他错误,请检查网络连接、pin 码是否输入错误等。 6.登录防火墙WEB 界面
运行IE 浏览器,在地址栏输入https://192.168.10.100:6667,等待约20 秒钟会弹出一个对话框提示接受证书,选择确认即可。系统提示输入管理员帐号和口 令。缺省情况下,管理员帐号是admin,密码是:firewall。 7.WEB 界面配置向导
配置向导仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能,此向导涉及最基本的配置,安全性很低,因此管理员应在此基础上对防火墙细化配置,才能保证防火墙拥有正常有效的网络安全功能。首次使用WEB 界面进行配置,需将管理主机的IP 地址设为192.168.10.200,在IE 地址栏中输入:https://192.168.10.100:6667。登录防火墙以后,点击,开始防火墙的配置。 (1)修改超级管理员admin 的密码,超级管理员的密码默认是:firewall。 (2)选择防火墙lan 和wan 接口的工作模式,防火墙的接口默认都是工作在路由模式
(3)配置防火墙的IP 地址,建议至少设置一个接口上的IP 能用于管理,否则,完成初始配置后无法用WEB 界面管理防火墙。(说明:若lan、wan 都是混合模式,则lan 的地址必须配置,wan 的地址可以不配)
(4)配置默认网关,如果希望防火墙能上互联网,则必须配置默认网关,否则,可以直接跳过本界
面,配置下一个界面。(若防火墙的两个网口都是混合模式,可以不配默认网关) (5)配置管理主机,管理主机必须与防火墙IP 在同一网段。如果想通过防火墙ip:192.168.0.1 来管理防火墙,则可以设置管理主机IP:192.168.0.100。
(6)添加一条允许的安全规则,如果在界面上不填写源地址和目的地址,则会允许所有的访问,建议在网络调试通畅后,删除该规则。
(7)设置管理方式,如果希望用ssh 远程登录来管理防火墙,需要选中“远程SSH 管理”,否则,可以跳过本界面。
(8)如果不需要更改界面上显示的配置信息,单击“完成”。以上配置将立即生效。防火墙的初始配置。并根据提示重新登录防火墙。如果需要保存该配置,请点击WEB 界面上的“保存配置”。
实验七 架设如下拓朴结构
一、实验目的和要求
(1)熟悉使用锐捷防火墙架设网络 (2)进行锐捷防火墙配置管理
二、实验任务
使用锐捷防火墙架设网络。
三、实验指导或操作步骤
架设如下拓朴结构
配置要求如下: (1)子网A的安全级别高,仅能在工作时间访问Internet 和DMZ 区的服务器,IP 地址为:192.168.1.0。
(2)子网B可以在任何时候访问Internet,但是仅能工作时间使用内部服务器的FTP功能,IP 地址为192.168.2.0, 子网B用户能够使用Internet 的HTTP 服务。
(3)DMZ 区服务器的IP 地址为192.168.3.0,路由器内部地址为92.168.4.254,外部地址为202.106.44.233。子网A用户能够使用Internet 的HTTP 和FTP服务。
管理证书安装
1. 进入认证
2. 导入文件
3. 输入认证密码
4. 证书存储
5. 完成证书安装
登陆防火墙
1.配置本机ip为192.168.10.200
2.将默认管理主机的网口用交叉连接的以太网线(两端线序不同)与防火墙的WAN 口连接,管理主机的IE 版本必须是5.5 及以上版本,如果是电子钥匙认证,在浏览器中输入https://192.168.10.100:6666,如果是证书认证,则输入https://192.168.10.100:6666,登录后弹出下面的登录界面:
3.输入用户:admin、密码: firewall
4.成功登陆防火墙
配置防火墙
初始化防火墙:
有串口线级联防火墙,使用命令syscfg reset 添加管理主机
添加lan ip地址
添加wan1 ip地址
添加dmz ip地址
网络配置-接口ip配置
添加规则
测试防火墙
用lan 管理主机
Ping 防火墙lan断口
Ping 防火墙外网网口222.17.244.125
第三篇:实验三 防火墙的配置
实验目的
1、了解防火墙的含义与作用
2、学习防火墙的基本配置方法
3、理解iptables工作机理
4、熟练掌握iptables包过滤命令及规则
5、学会利用iptables对网络事件进行审计
6、熟练掌握iptables NAT工作原理及实现流程
7、学会利用iptables+squid实现web应用代理
实验原理
防火墙的基本原理
一.什么是防火墙
在古代,人们已经想到在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所,于是有了“防火墙”的概念。
进入信息时代后,防火墙又被赋予了一个类似但又全新的含义。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
二.防火墙能做什么 1.防火墙是网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.防火墙可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3.对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣, 甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
三.NAT NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
简单的说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处, 将内部地址替换成公用地址,从而在外部公网(Internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,您可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在。这里提到的内部地址,是指在内部网络中分配给节点的私有IP地址,这个地址只能在内部网络中使用,不能被路由(一种网络技术,可以实现不同路径转发)。虽然内部地址可以随机挑选,但是通常使用的是下面的地址:10.0.0.0~10.255.255.255,172.16.0.0~172.16.255.255, 192.168.0.0~192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻址的地址。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能,网络管理员只需在路由器的IOS中设置NAT功能,就可以实现对内部网络的屏蔽。再比如防火墙将Web Server的内部地址192.168.1.1映射为外部地址202.96.23.11,外部访问202.96.23.11地址实际上就是访问192.168.1.1。另外对资金有限的小型企业来说,现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。
NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)。
其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各有利弊。
动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。
网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时,所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址访问Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还是很值得的。
Windows 2003防火墙
Windows 2003提供的防火墙称为Internet连接防火墙,通过允许安全的网络通信通过防火墙进入网络,同时拒绝不安全的通信进入,使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
在Windows2003服务器上,对直接连接到Internet的计算机启用防火墙功能,支持网络适配器、DSL适配器或者拨号调制解调器连接到Internet。它可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,从而提高Windows 2003服务器的安全性。同时,它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
1.启用/关闭防火墙
(1)打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对话框。
(2)选择“高级”选项卡,单击“设置”按钮,出现启动/停止防火墙界面。如果要启用 Internet 连接防火墙,请单击“启用(O)”按钮;如果要禁用Internet 连接防火墙,请单击“关闭(F)”按钮。
2.防火墙服务设置
Windows 2003 Internet连接防火墙能够管理服务端口,例如HTTP的80端口、FTP的21端口等,只要系统提供了这些服务,Internet连接防火墙就可以监视并管理这些端口。
(1)解除阻止设置。
在“例外”选项卡中,可以通过设定让防火墙禁止和允许本机中某些应用程序访问网络,加上“√”表示允许,不加“√”表示禁止。如果允许本机中某项应用程序访问网络,则在对话框中间列表中所列出该项服务前加“√” (如果不存在则可单击“添加程序”按钮进行添加);如果禁止本机中某项应用程序访问网络,则将该项服务前的“√”清除(如果不存在同样可以添加)。在“Windows防火墙阻止程序时通知我”选项前打“√”则在主机出现列表框中不存在的应用程序欲访问网络时,防火墙会弹出提示框询问用户是否允许该项网络连接。
(2)高级设置。
在“高级”选项卡中,可以指定需要防火墙保护的网络连接,双击网络连接或单击“设置”按钮设置允许其他用户访问运行于本主机的特定网络服务。选择“服务”选项卡,其中列举出了网络标准服务,加上“√”表示允许,不加“√”表示禁止。如果允许外部网络用户访问网络的某一项服务,则在对话框中间列表中所列出该项服务前加“√”(如果不存在则可单击“添加程序”按钮进行添加);如果禁止外部网络用户访问内部网络的某一项服务,则将该项服务前的“√”清除(如果不存在同样可以添加)。选择“ICMP”选项卡,允许或禁止某些类型的ICMP响应,建议禁止所有的ICMP响应。
3.防火墙安全日志设置
Windows2003防火墙可以记录所有允许和拒绝进入的数据包,以便进行进一步的分析。在“高级”选项卡的“安全日志记录”框中单击“设置”按钮,进入“日志设置”界面。
如果要记录被丢弃的包,则选中“记录被丢弃的数据包”复选按钮;如果要记录成功的连接,则选中“记录成功的连接”复选按钮。
日志文件默认路径为C:WINDOWSpfirewall.log,用记事本可以打开,所生成的安全日志使用的格式为W3C扩展日志文件格式,可以用常用的日志分析工具进行查看分析。你也可以重新指定日志文件,而且还可以通过“大小限制”限定文件的最大使用空间。
「说明」 建立安全日志是非常必要的,在服务器安全受到威胁时,日志可以提供可靠的证据。
linux防火墙-iptable的应用
一.iptables简介
从1.1内核开始,linux就已经具有包过滤功能了,在2.0的内核中我们采用ipfwadm来操作内核包过滤规则。之后在2.2内核中,采用了大家并不陌生的ipchains来控制内核包过滤规则。在2.4内核中我们不再使用ipchains,而是采用一个全新的内核包过滤管理工具—iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理,更容易被使用,当然也将具有更为强大的功能。
实际上iptables只是一个内核包过滤的工具,iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是netfilter(Linux内核中一个通用架构)及其相关模块(如iptables模块和nat模块)。
netfilter提供了一系列的“表(tables)”,每个表由若干“链(chains)”组成,而每条链中有一条或数条规则(rule)组成。我们可以这样来理解,netfilter是表的容器,表是链的容器,链又是规则的容器。
netfilter系统缺省的表为“filter”,该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则,每一条规则都是这样定义的“如果数据包头符合这样的条件,就这样处理这个数据包”。当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件:如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据预先定义的策略(policy)来处理该数据包。
图3-2-1 网络数据包在filter表中的流程
数据包在filter表中的流程如图3-2-1所示。有数据包进入系统时,系统首先根据路由表决定将数据包发给哪一条链,则可能有三种情况:
(1)如果数据包的目的地址是本机,则系统将数据包送往INPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。
(2)如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往FORWARD链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。
(3)如果数据包是由本地系统进程产生的,则系统将其送往OUTPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。
当我们在使用iptables NAT功能的时候,我们所使用的表不再是“filter”表,而是“nat”表,所以我们必须使用“-t nat”选项来显式地指明这一点。因为系统缺省的表是“filter”,所以在使用filter功能时,我们没有必要显式的指明“-t filter”。
同“filter”表一样,nat表也有三条缺省的链,这三条链也是规则的容器,它们分别是:
(1)PREROUTING: 可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的IP地址,为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT。
(2)POSTROUTING: 可以在这里定义进行源NAT的规则,在路由器进行路由之后才进行源NAT。 (3)OUTPUT: 定义对本地产生的数据包的目的NAT规则。 二.NAT工作原理
NAT的基本思想是为每个企业分配一个IP地址(或者是很少几个)来进行Internet传输。在企业内部,每个电脑取得一唯一的IP地址来为内部传输做路由。然而,当封包离开企业,进入ISP之后,就需要进行地址转换了。为了使这个方案可行,IP地址的范围被声明为私有的,企业可以随意在内部使用他们。仅有的规则是,没有包含这些地址的封包出现在Internet上。
「说明」 IP私有地址范围是:10.0.0.0~10.255.255.255/
8、172.16.0.0 ~172.31.255.255/
12、192.168.0.0~192.168.255.255/16。
如图3-2-2所示。在企业内部,每个机器都有一个唯一的172.16.x.y形式的地址。然而,当封包离开企业时,它要经过NAT转盒,NAT盒将内部IP源地址,即图中的172.16.0.50转换成企业的真实地址(这个地址对于Internet来说是可见的),此例中为202.198.168.150。NAT盒通常和防火墙一起绑定在一个设备上,这里的防火墙通过小心地控制进出企业的封包提供了安全保障。
图3-2-2 NAT地址转换
三.iptables常用操作语法
对于任何协议及协议的扩展,通用匹配都可以直接使用。 (1)匹配指定协议。
匹配 -p,--protocol/使用 iptables -A INPUT -p tcp -j ACCEPT/说明匹配指定的协议,指定协议的形式有以下几种:①名字不分大小写,但必须是在/etc/protocols中定义的;②可以使用协议相应的整数值。例如,ICMP的值是1,TCP是6,UDP是17;③缺少设置ALL,相应数值是0,要注意这只代表匹配TCP、UDP、ICMP,而不是/etc/protocols中定义的所有协议;④可以是协议列表,以英文逗号为分隔符,如:udp,tcp;⑤可以在协议前加英文的感叹号表示取反,注意有空格,如:--protocol !tcp表示非TCP协议,也就是UDP和ICMP。可以看出这个取反的范围只是TCP、UDP和ICMP。
(2)以IP源地址匹配包。
匹配 -s,--src,--source/使用 iptables -A INPUT -s 192.168.0.1 -j ACCEPT/说明以IP源地址匹配包。地址的形式如下:①单个地址,如192.168.0.1,也可写成192.168.0.1/255.255.255.255或192.168.0.1/32;②网络,如192.168.0.0/24,或192.168.0.0/255.255.255.0;③在地址前加英文感叹号表示取反,注意空格,如—source !192.168.0.0/24表示除此地址外的所有地址;④缺省是所有地址。
(3)以IP目的地址匹配包。
匹配 -d,--dst,--destination/使用 iptables -A INPUT -d 192.168.0.1 -j ACCEPT/说明以IP目的地址匹配包。地址的形式和—source完全一样。
(4)以包进入本地使用的网络接口匹配包。
匹配 -i/使用 iptables -A INPUT -i eth0 -j ACCEPT/说明以包进入本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于INPUT,FORWARD和PREROUTING这三个链,用在其他任何地方会提示错误信息。指定接口有以下方法:①指定接口名称,如:eth0、ppp0等;②使用通配符,即英文加号,它代表字符数字串。若直接用一个加号,即iptables -A INPUT -i +表示匹配所有的包,而不考虑使用哪个接口。通配符还可以放在某一类接口的后面,如:eth+表示匹配所有从Ethernet接口进入的包;③在接口前加英文感叹号表示取反,如:-i ! eth0意思是匹配来自除eth0外的所有包。
(5)以包离开本地所使用的网络接口来匹配包。
匹配 -o/使用 iptables -A OUTPUT -o eth1 -j ACCEPT/说明以包离开本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于OUTPUT,FORWARD和POSTROUTING这三个链,用在其他任何地方会提示错误信息。
(6)匹配通信源端口。
匹配 --source-port,--sport/使用 iptables -A INPUT -p tcp --sport 1111/说明当通信协议为TCP或UDP时,可以指定匹配的源端口,但必须与匹配协议相结合使用。
(7)匹配通信源端口。
匹配 -- destination-port,--dport/使用 iptables -A INPUT -p tcp --dport 80/说明当通信协议为TCP或UDP时,可以指定匹配的目的端口,但必须与匹配协议相结合使用。
五.iptables功能扩展 1.TCP扩展
iptables可以扩展,扩展分为两种:一种是标准的;另一种是用户派生的。如果指定了“-p tcp”,那么TCP扩展将自动加载,通过--tcp-flags扩展,我们指定TCP报文的哪些Flags位被设置,在其后跟随两个参数:第一个参数代表Mask,指定想要测验的标志位;第二个参数指定哪些位被设置。
例:设置iptables防火墙禁止来自外部的任何tcp主动请求,并对此请求行为进行事件记录。
其中ULOG指定对匹配的数据包进行记录,由日志生成工具ULOG生成iptables防火日志,--log-prefix选项为记录前缀。
2.ICMP扩展
例:设置iptables防火墙允许来自外部的某种类型/代码的ICMP数据包。
其中--icmp-type为扩展命令选项,其后参数可以是三种模式: (1)ICMP类型名称(例如,host-unreachable)。 (2)ICMP类型值(例如3)。 (3)ICMP类型及代码值(8/0)。 六.状态检测
“状态”的意思是指如果一个数据包是对先前从防火墙发出去的包的回复,则防火墙自动不用检查任何规则就立即允许该数据包进入并返回给请求者,这样就不用设置许多规则定义就可实现应用的功能。
我们可以把请求端与应答端之间建立的网络通信连接称为网络会话,每个网络会话都包括以下信息——源IP地址、目标IP地址、源端口、目的端口,称为套接字对;协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的表,比简单的包过滤防火墙具有更大的安全性,而iptables就是一种基于状态的防火墙。命令格式如下:
iptables -m state --state [!] state [,state,state,state] 其中,state表是一个由逗号分割的列表,用来指定连接状态,状态分为4种: (1)NEW: 该包想要建立一个新的连接(重新连接或连接重定向)
(2)RELATED:该包是属于某个已经建立的连接所建立的新连接。举例:FTP的数据传输连接和控制连接之间就是RELATED关系。
(3)ESTABLISHED:该包属于某个已经建立的连接。 (4)INVALID:该包不匹配于任何连接,通常这些包被DROP。 七.NAT操作
前面提到在iptables防火墙中提供了3种策略规则表:Filter、Mangle和NAT,这3种表功能各不相同,而最为常用的就是filter和nat表。
nat表仅用于NAT,也就是网络地址转换。做过NAT操作的数据包的地址就被改变了,当然这种改变是根据我们的规则进行的。属于流的包只会经过这个表一次,经一个包被允许做NAT,那么余下的包都会自动地做相同的操作。也就是说,余下的包不会再通过这个表一个一个的被NAT,而是自动完成的。常用操作分为以下几类。
(1)SNAT(source network address translation,源网络地址目标转换)。
SNAT是POSTROUTING链表的作用,在封包就要离开防火墙之前改变其源地址,这在极大程度上可以隐藏本地网络或者DMZ等。比如,多个PC机使用路由器共享上网,每个PC机都配置了内网IP(私有IP),PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的IP,当外部网络的服务器比如网站Web服务器接到访问请求的时候,它的日志记录下来的路由器的IP,而不是PC机的内网IP,这是因为,这个服务器收到的数据包的报头里边的“源地址”已经被替换了。所以叫做SNAT,基于源地址的地址转换。
例如更改所有来自192.168.0.1/24的数据包的源IP地址为10.0.0.1,其iptables实现为:
(2)DNAT(destination network address translation,目标网络地址转换)。
DNAT是PREROUTING链表的作用,在封包刚刚到达防火墙时改变其目的地址,以使包能重路由到某台主机。典型的应用是,有个Web服务器放在企业网络DMZ区,其配置了内网IP地址,企业防火墙的的外网接口配置了企业唯一的公网IP,互联网上的访问者使用公网IP来访问这个网站,当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网IP,然后再把这个数据包发送到DMZ区的Web服务器上,这样,数据包就穿透了防火墙,并从公网IP变成了一个对DMZ区的访问了。所以叫做DNAT,基于目标的网络地址转换。
例如更改所有来自202.98.0.1/24的数据包的目的IP地址为192.168.0.1,其iptables实现为:
(3)REDIRECT(重定向)。
REDIRECT是DNAT的特殊情况是重定向,也就是所谓的Redirection,这时候就相当于将符合条件的数据包的目的IP地址改为数据包进入系统时的网络接口的IP地址。通常是在与squid配置形成透明代理时使用,假设squid的监听端口是3128,我们可以通过以下语句来将来自192.168.0.1/24,目的端口为80的数据包重定向到squid监听:
(4)MASQUERADE(地址伪装)。
在iptables中有着和SNAT相近的效果,但也有一些区别。在使用SNAT的时候,出口IP的地址范围可以是一个,也可以是多个,例如把所有
192.168.0.0/2
4网段数据包
SNAT
成202.98.0.150/202.98.0.151/202.98.0.152等几个IP然后发出去,其iptables实现为:
SNAT即可以NAT成一个地址,也可以NAT成多个地址。但是,对于SNAT来说不管是几个地址,必须明确指定转换的目标地址IP。假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口IP都会改变,而且改变的幅度很大,不一定是202.98.0.150到202.98.0.152范围内的地址,这个时候如果使用SNAT的方式来配置iptables就会出现麻烦了,因为每次拨号后出口IP都会变化,而iptables规则内的IP是不会随着自动变化的,每次地址变化后都必须手工修改一次iptables,把规则里边的固定的IP改成新的IP,这样是非常不好用的。
MASQUERADE就是针对这种场景而设计的,它的作用是从防火墙外网接口上自动获取当前IP地址来做NAT,比如下边的命令:
八.防火墙应用代理 1.代理服务器概述
在TCP/IP网络中,传统的通信过程是这样的:客户端向服务器请求数据,服务器响应该请求,将数据传送给客户端,如图3-2-3所示。
图3-2-3 直接访问Internet 在引入了代理服务器以后,这一过程变成了这样:客户端向服务器发起请求,该请求被送到代理服务器;代理服务器分析该请求,先查看自己缓存中是否有请求数据,如果有就直接传递给客户端,如果没有就代替客户端向该服务器发出请求。服务器响应以后,代理服务将响应的数据传递给客户端,同时在自己的缓存中保留一份该数据的拷贝。这样,再有客户端请求相同的数据时,代理服务器就可以直接将数据传送给客户端,而不需要再向该服务器发起请求,如图3-2-4所示。
图3-2-4 通过代理服务器访问Internet
2.代理服务器功能
一般说来,代理服务器具有以下的功能: (1)通过缓存增加访问速度。
随着Internet的迅猛发展,网络带宽变得越来越珍贵。所以为了提高访问速度,好多ISP都提供代理服务器,通过代理服务器的缓存功能来加快网络的访问速度。一般说来,大多数的代理服务器都支持HTTP缓存,但是,有的代理服务器也支持FTP缓存。在选择代理服务器时,对于大多数的组织,只需要HTTP缓存功能就足够了。
通常,缓存有主动缓存被动缓存之分。所谓被动缓存,指的是代理服务器只在客户端请求数据时才将服务器返回的数据进行缓存,如果数据过期了,又有客户端请求相同的数据时,代理服务器又必须重新发起新的数据请求,在将响应数据传送给客户端时又进行新的缓存。所谓主动缓存,就是代理服务器不断地检查缓存中的数据,一旦有数据过期,则代理服务器主动发起新的数据请求来更新数据。这样,当有客户端请求该数据时就会大大缩短响应时间。对于数据中的认证信息,大多数的代理服务器都不会进行缓存的。
(2)提供用私有IP访问Internet的方法。
IP地址是不可再生的宝贵资源,假如你只有有限的IP地址,但是需要提供整个组织的Internet访问能力,那么,你可以通过使用代理服务器来实现这一点。
(3)提高网络的安全性。
如果内部用户访问Internet都是通过代理服务器,那么代理服务器就成为进入Internet的唯一通道;反过来说,代理服务器也是Internet访问内部网络的唯一通道,如果你没有做反向代理,则对于Internet上的主机来说,你的整个内部网只有代理服务器是可见的,从而大大增强了网络的安全性。
3.传统、透明和反向代理服务器 (1)传统代理服务器。
传统代理常被用于缓存静态网页(例如:html文件和图片文件等)到本地网络上的一台主机上(即代理服务器)。不缓存的页面被第二次访问的时候,浏览器将直接从本地代理服务器那里获取请求数据而不再向原Web站点请求数据。这样就节省了宝贵的网络带宽,而且提高了访问速度。但是,要想实现这种方式,必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时,每次都把请求给代理服务器处理,代理服务器根据请求确定是否连接到远程Web服务器获取数据。如果在本地缓冲区有目标文件,则直接将文件传给用户即可。如果没有的话则先取回文件,并在本地保存一份缓冲,然后将文件发给客户端浏览器。
(2)透明代理服务器。
透明代理与传统代理的功能完全相同。但是,代理操作对客户端浏览器是透明的(即不需指明代理服务器的IP和端口)。透明代理服务器阻断网络通信,并且过滤出访问外部的HTTP(80端口)流量。如果客户端的请求在本地有缓冲则将缓冲的数据直接发给用户,如果在本地没有缓冲则向远程Web服务器发出请求,其余操作和传统代理服务器完全相同。对于Linux操作系统来说,透明代理使用iptables实现。因为不需要对浏览器作任何设置,所以,透明代理对于ISP来说特别有用。
(3)反向代理服务器。
反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始Web服务器的负载。反向代理服务器承担了对原始Web服务器的静态页面的请求,防止原始服务器过载。如图3-2-5所示,它位于本地Web服务器和Internet之间,处理所有对Web服务器的请求。如果互联网用户请求的页面在代理器上有缓冲的话,代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向Web服务器发出请求,取回数据,本地缓存后再发送给用户。这种方式通过降低了向Web服务器的请求数从而降低了Web服务器的负载。
图3-2-5 反向代理服务器位于Internet与组织服务器之间
4.代理服务器squid简介
Squid是一个缓存Internet数据的一个开源软件,它会接收用户的下载申请,并自动处理所下载的数据。也就是说,当一个用户要下载一个主页时,他向squid发出一个申请,要求squid替它下载,squid连接申请网站并请求该主页,然后把该主页传给用户同时保留一个备份,当别的用户申请同样的页面时,squid把保存的备份立即传给用户,使用户觉得速度相当快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议,暂不能代理POP、NNTP等协议。但是已经有人开始改进squid,相信不久的将来,squid将能够代理这些协议。
Squid不是对任何数据都进行缓存。像信用卡账号、可以远方执行的Script、经常变换的主页等是不适合缓存的。Squid可以根据用户的需要进行设置,过滤掉不想要的东西。
Squid可用在很多操作系统中,如Digital Unix, FreeBSD, HP-UX, Linux, Solaris,OS/2等,也有不少人在其他操作系统中重新编译过Squid。
Squid对内存有一定的要求,一般不应小于128M,硬盘最好使用服务器专用SCSI硬盘。
Squid是一个高性能的代理缓存服务器,和一般的代理缓存软件不同,Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。
Squid将数据元缓存在内存中,同时也缓存DNS查询的结果。此外,它还支持非模块化的DNS查询,对失败的请求进行消极缓存。Squid支持SSL,支持访问控制。由于使用了ICP(轻量Internet缓存协议),Squid能够实现层叠的代理阵列,从而最大限度地节约带宽。
Squid由一个主要的服务程序Squid,一个DNS查询程序dnsserver,几个重写请求和执行认证的程序,以及几个管理工具组成。当Squid启动以后,它可以派生出预先指定数目的dnsserver进程,而每一个dnsserver进程都可以执行单独的DNS查询,这样就减少了服务器等待DNS查询的时间。
5.Squid常用配置选项
因为缺省的配置文件不能使Squid正常启动服务,所以我们必须首先修改该配置文件的有关内容,才能让Squid运行起来。
下面是squid.conf文件的结构。squid.conf配置文件的可以分为13个部分,这13个部分如下有所示。
虽然Squid的配置文件很庞大,但是如果你只是为一个中小型网络提供代理服务,并且只准备使用一台服务器,则只需要修改配置文件中的几个选项。
6.Squid常用命令选项 (1)端口号。
http_port指令告诉squid在哪个端口侦听HTTP请求。默认端口是3128:http_port 3128,如果要squid作为加速器运行则应将它设为80。
你能使用附加http_port行来指squid侦听在多个端口上。例如,来自某个部门的浏览器发送请求3128,然而另一个部门使8080端口。可以将两个端口号列举出来:
http_port 3128 http_port 8080 Squid也可以使http_port指令侦听在指定的接口地址上。squid作为防火墙运行时,它有两个网络接口:一个内部的和一个外部的。你可能不想接受来自外部的http请求。为了使squid仅仅侦听在内部接口上,简单的将IP地址放在端口号前面:
http_port 192.168.1.1:3128 (2)日志文件路径。
默认的日志目录是squid安装位置下的logs目录,其路径是/usr/local/squid/var/logs。
你必须确认日志文件所存放的磁盘位置空间足够。squid想确认你不会丢失任何重要的日志信息,特别是你的系统被滥用或者被攻击时。
Squid有三个主要的日志文件:cache.log、access.log和store.log。cache.log文件包含状态性的和调试性的消息。access.log文件包含了对squid发起的每个客户请求的单一行。每行平均约150个字节。假如因为某些理由,你不想squid记录客户端请求日志,你能指定日志文件的路径为/dev/null。store.log文件对大多数cache管理员来说并非很有用。它包含了进入和离开缓存的每个目标的记录。平均记录大小典型的是175-200字节。
如果squid的日志文件增加没有限制。某些操作系统对单个文件强制执行2G的大小限制,即使你有充足的磁盘空间。超过该限制会导致写错误,squid就会退出。 (3)访问控制。
squid默认的配置文件拒绝每一个客户请求。在任何人能使用代理之前,你必须在squid.conf文件里加入附加的访问控制规则。最简单的方法就是定义一个针对客户IP地址的ACL和一个访问规则,告诉squid允许来自这些地址的HTTP请求。squid有许多不同的ACL类型。src类型匹配客户IP地址,squid会针对客户HTTP请求检查http_access规则。
acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 请将这些行放在正确的位置。http_access的顺序非常重要。在第一次编辑squid.conf文件时,请看如下注释:
在该注释之后,以及"http_access deny all"之前插入新规则。 (4)命令选项。
这里的很多选项在实际应用中从不会使用,另外有些仅仅在调试问题时有用。
实验步骤
Windows 2003防火墙
一.防火墙基础操作
操作概述:启用windows2003系统防火墙,设置规则阻断ICMP回显请求数据包,并验证针对UDP连接工具的例外操作。
(1)在启用防火墙之前,同组主机通过ping指令互相测试网络连通性,确保互相是连通的,若测试未通过请排除故障。
(2)本机启用防火墙,并设置防火墙仅对“本地连接”进行保护。
(3)同组主机再次通过ping指令互相测试网络连通性,确认是否相互连通_______。 (4)设置本机防火墙允许其传入ICMP回显请求。 (5)第三次测试网络连通性。 二.防火墙例外操作
操作概述:启用windows2003系统防火墙,在“例外”选项卡中添加程序“UDPtools” 允许UDPtools间通信,并弹出网络连接提示信息。
(1)关闭防火墙,同组主机间利用UDPtools进行数据通信,确保通信成功。
「说明」 UDPtools通信双方应分别为客户端和服务端,其默认通过2513/UDP端口进行通信,可以自定义通信端口,运行如图3-1-1所示。
图3-1-1 UDP连接工具
(2)本机启用防火墙(仅对本地连接),将本机作为UDPtools服务器端,同组主机以UDPtools客户端身份进行通信,确定客户端通信请求是否被防火墙阻塞_______。
(3)断开UDPtools通信,单击“例外”选项卡,在“程序和服务”列表框添加程序“UDPtools.exe”(C:JLCSSTOOLSAnalyser oolsUdpTools.exe)并将其选中。再次启动UDPtools并以服务器身份运行,同组主机仍以客户端身份与其通信,确定客户端通信请求是否被防火墙阻塞_______。
三.NAT操作
操作概述:Windows Server 2003“路由和远程访问”服务包括NAT路由协议。如果将NAT路由协议安装和配置在运行“路由和远程访问”的服务器上,则使用专用IP地址的内部网络客户端可以通过NAT服务器的外部接口访问Internet。
图3-1-2 实验网络连接示意
参看图3-1-2,当内部网络主机PC1发送要连接Internet主机PC2的请求时,NAT协议驱动程序会截取该请求,并将其转发到目标Internet主机。所有请求看上去都像是来自NAT器的外部连接IP地址,这样就隐藏了内部网络主机。
在这里我们将windows Server 2003主机配置成为“路由和远程访问”NAT服务器,并模拟搭建Internet网络环境对NAT服务器进行测试。
(1)实验网络拓扑规划。
按图3-1-2所示,本实验需3台主机共同完成,其中一台主机扮演实验角色“内网主机PC1”,一台主机扮演实验角色“外网主机PC2”,最后一台主机扮演“NAT服务器”。
默认外部网络地址202.98.0.0/24;内部网络地址172.16.0.0/24,也可根据实际情况指定内网与外网地址。
默认主机“本地连接”为内部网络接口;“外部连接“为外部网络接口,也可指定“本地连接”为外部网络接口。
(2)按步骤(1)中规划分别为本机的“本地连接”、“外部连接”配置IP地址。
(3)配置NAT路由服务。依次单击“开始”|“程序”|“管理工具”|“路由和远程访问”,在“路由和远程访问”MMC中,选择要安装NAT路由协议的服务器(这里为本地主机),右键单击在弹出菜单中选择“配置并启用路由和远程访问”。
「注」 操作期间若弹出“为主机名启用了Windows防火墙/Internet连接共享服务……”警告信息,请先禁用“Windows防火墙/Internet连接共享”服务,后重试操作。具体做法:“开始”|“程序”| “管理工具”|“计算机管理”|“服务和应用程序”|“服务”,在右侧服务列表中选择“Windows Firewall/Internet Connection Sharing(ICS)”服务,先将其停止,然后在启动类型中将其禁用。
(4)在“路由和远程访问服务器安装向导”中选择“网络地址转换(NAT)”服务。
(5)在“NAT Internet连接”界面中指定连接到Internet的网络接口,该网络接口对于Internet来说是可见的。若在步骤(1)中已将“外部连接”指定为公共接口,则此处应选择“外部连接”。
(6)本实验中没有应用到DHCP、DNS服务,所以在“名称和地址转换服务”界面中选择“我将稍后设置名称和地址服务”。至最后完成路由和远程访问配置。
(7)接下来的工作是对各NAT服务器进行测试。下面以主机ABC为例进行测试说明:参照图3-1-2,设定主机A为内网主机PC1,将其内部网络接口(默认为“本地连接”)的默认网关指向主机B的内部网络接口(默认为“本地连接”);设定主机C为外网主机PC2。内网主机A通过ping指令对外网主机C做连通性测试。
(8)ICMP会话分析。在主机A做连通性测试的同时,主机B打开“协议分析器”并定义过滤器,操作如下:依次单击菜单项“设置”|“过滤器”,在“协议过滤”选项卡“协议树”中选中“ICMP”协议。依次单击按钮“新建捕获窗口”|“开始捕获数据包”,在弹出的“适配器选择”界面中选择“外部连接”,开始捕获。观察状态栏“捕获帧数”窗格,当捕获到数据时单击“停止捕获数据包”按钮,依次展开“会话分析树”|“ICMP会话”,如图3-1-3所示。
图3-1-3 在NAT服务器外部接口上监听到的ICMP会话
(9)结合ICMP会话分析结果说出ICMP数据包的传输(路由)过程_________。
linux防火墙-iptable的应用
一.包过滤实验
操作概述:为了应用iptables的包过滤功能,首先我们将filter链表的所有链规则清空,并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则,依次允许同组主机icmp回显请求、Web请求,最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。
(1)清空filter链表所有规则链规则。 iptables命令________。
(2)确定同组主机已清空filter链表后,利用nmap(/opt/portscan/目录下)对同组主机进行端口扫描。
nmap端口扫描命令________。
「说明」 nmap具体使用方法可查看实验6|练习1|TCP端口扫描。 查看端口扫描结果,并填写下表。
(3)查看INPUT、FORWARD和OUTPUT链默认策略。 iptables命令_________。
(4)将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。 iptables命令_________。
确定同组主机已将默认策略设置为DROP后,本机再次利用nmap其进行端口扫描,查看扫描结果,并利用ping命令进行连通性测试。
(5)利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。 ICMP回显请求类型__________;代码__________。 ICMP回显应答类型__________;代码__________。 iptables命令__________ 利用ping指令测试本机与同组主机的连通性。 (6)对外开放Web服务(默认端口80/tcp)。 iptables命令__________ 利用nmap对同组主机进行端口扫描,查看扫描结果。
(7)设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。 iptables命令_______ 利用nmap对同组主机进行端口扫描,查看扫描结果。 二.事件审计实验
操作概述:利用iptables的日志功能检测、记录网络端口扫描事件,日志路径 /var/log/iptables.log。 (1)根据实验原理(TCP扩展)设计iptables包过滤规则,并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。
iptables命令__________ (2)同组主机应用端口扫描工具对当前主机进行端口扫描,并观察扫描结果。 (3)在同组主机端口扫描完成后,当前主机查看iptables日志,对端口扫描事件进行审计,日志内容如图3-2-1所示。
图3-2-1 iptables日志内容
三.状态检测实验
操作概述:分别对新建和已建的网络会话进行状态检测。 1.对新建的网络会话进行状态检测 (1)清空filter规则链全部内容。 iptables命令__________ (2)设置全部链表默认规则为允许。 iptables命令__________ (3)设置规则禁止任何新建连接通过。 iptables命令__________ (4)同组主机对当前主机防火墙规则进行测试,验证规则正确性。 2.对已建的网络会话进行状态检测
(1)清空filter规则链全部内容,并设置默认规则为允许。
(2)同组主机首先telnet远程登录当前主机,当出现“login:”界面时,暂停登录操作。 telnet登录命令_________ (3)iptables添加新规则(状态检测)——仅禁止新建网络会话请求。 iptables命令___________ 或___________________ 同组主机续(1)步骤继续执行远程登录操作,尝试输入登录用户名“guest”及口令“guestpass”,登录是否成功__________。
同组主机启动Web浏览器访问当前主机Web服务,访问是否成功__________。解释上述现象______________________。
(4)删除步骤(3)中添加的规则,并插入新规则(状态检测)——仅禁止已建网络会话请求。 iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作实验步骤(1)(2)(4)。同组主机续(1)步骤继续执行远程登录操作,尝试输入登录用户名“guest”及口令 “guestpass”,登录是否成功__________。
同组主机启动Web浏览器访问当前主机Web服务,访问是否成功__________。解释上述现象_______________。
(5)当前主机再次清空filter链表规则,并设置默认策略为DROP,添加规则开放FTP服务,并允许远程用户上传文件至FTP服务器。
iptables命令______________________________________ 四.NAT转换实验
实验概述:图3-2-2描述了NAT转换实验所应用的网络拓扑结构。内网主机与NAT服务器eth0接口位于同一网段(内网);外网主机与NAT服务器eth1接口位于同一网络(外网);NAT服务器提供NAT转换。通过设置nat服务器的iptables NAT规则,实现内、外网主机间的通信数据包的地址转换,达到屏蔽内部网络拓扑结构与转发外网主机请求端口的目的。
图3-2-2 实验网络拓扑结
「说明」 本实验是在Linux系统下完成,Linux系统默认安装了2块以太网卡,网络接口分别为eth0和eth1,在设置NAT服务前请激活eth1网络接口,命令ifconfig eth1 up。
1.确定各接口IP地址
本实验由ABC、DEF主机各为一实验小组。默认实验角色:主机A为内网主机、B为NAT服务器、C为外网主机。也可以自定义实验角色。
默认内网IP地址192.168.0.0/
24、外网IP地址202.98.0.0/24。配置完成内网主机eth0接口IP地址及默认网关(指向NAT服务器内网接口),NAT服务器eth0和eth1接口IP地址,外网主机eth0接口IP地址,并完成下列问题的填写:
内网主机IP____________________,其默认网关____________________; 外网主机IP____________________;
NAT服务器内网接口IP____________________、外网接口IP____________________。
内网主机对NAT服务器内网接口进行连通性测试(ping);外网主机对NAT服务器外网接口进行连通性测试(ping)。
2.设置防火墙规则允许内部网络访问外部网络
操作流程:首先开启NAT服务器的路由功能(开启网络接口间数据的转发),清空filter链表全部规则,并设置其默认策略为DROP;继续设置规则允许来自内网的数据流进入外网,并允许任何返回流量回到内网;最后规则实现内网、外网接口间的数据转发。
(1)NAT服务器开启路由功能。
基于安全的考虑,默认情况下Linux路由数据包的功能是关闭的,通过下述命令开启系统路由功能:
(2)设置filter表规则链,默认策略为禁止。 iptables命令_______________________ (3)添加filter表新规则,允许来自防火墙的流量进入Internet;允许任何相关的返回流量回到防火墙。
iptables命令_______________________ (4)添加filter表新规则,实现NAT服务器内部网络接口eth0与外部网络接口eth1间的数据转发。 iptables命令_______________________ (5)主机C启动Snort(/opt/ids/snort)以网络嗅探方式运行(设置过滤器仅监听icmp数据包),主机A ping探测主机C,是否ping通______?
将主机C的默认网关指向NAT服务器的外网接口,主机A再次ping探测主机C,是否ping通__________?结合snort捕获数据,对比实验现象,说明原因:___________________。
3.设置防火墙规则通过NAT屏蔽内部网络拓扑结构
操作流程:在实现步骤2的操作基础上,添加nat表新规则实现数据从内网到外网的地址翻译。 (1)NAT服务器重新启动iptables服务。 service iptables restart (2)重新操作步骤2(⑵~⑶)。
(3)添加nat表新规则,通过网络地址翻译实现内部网络地址转换。 iptables命令_______________________ (4)添加filter表新规则,实现NAT内部网络接口eth0与外部网络接口eth1之间的数据转发。 iptables命令_______________________ (5)主机C重新将默认网关指为空,重新启动Snort捕获ICMP数据。主机A对主机C进行ping探测,是否ping通__________?主机C停止Snort监听,查看已捕获到ICMP数据,其源IP地址是__________?解释实验象_____________________________________。
4.设置防火墙规则通过NAT实现外网请求端口转发
操作流程:在实现步骤3的操作基础,添加nat表新规则实现数据从外网到内网的地址翻译(端口转发)。 (1)NAT服务器重新启动iptables服务。 service iptables restart (2)重新操作步骤3( ⑵~⑷ )。
(3)添加nat表新规则,实现数据从外网到内网的地址翻译(80/tcp端口转发)。 iptables命令__________________ (4)完成NAT外部接口eth1到内部接口eth0之间的数据转发 iptables命令__________________ (5)确定主机C默认网关指为空,主机A和主机C启动Snort捕获80/tcp数据,主机C启动Web浏览器,在地址栏中输入:http://202.98.0.150,观察访问结果,回答下列问题:
主机C访问是否成功__________?若成功,其访问的是哪台主机的Web主页__________(主机A/主机B)?
主机C停止Snort捕获,观察80/tcp会话的源、目的IP地址对__________________。 主机A停止Snort捕获,观察80/tcp会话的源、目的IP地址对__________________。 解释上述实验现象______________________________________________________。 五.应用代理实验
实验概述:使用iptables+squid方式来实现传统代理、透明代理和反向代理。
实验角色说明如下:
内网客户端仅需启用“本地连接”,其IP地址形式如下:172.16.X.Y,子网掩码255.255.255.0,其中X为所属实验组编号(1-32),Y为主机编号(1-6),例如第4组主机A的IP地址为172.16.4.4。
代理服务器需要启动内部网络接口eth0和外部网络接口eth1。内部IP地址形式同内网客户端,外部IP地址形式如下:202.98.X.Y,子网掩码255.255.255.0,其中X为所属实验组号(1-32),Y为主机编号,例如第4组主机B的内部IP地址为172.16.4.2,外部IP地址为202.98.4.2。
外网Web服务器仅需启用“本地连接”,其IP地址形式如下:202.98.X.Y,子网掩码255.255.255.0,其中X为所属实验组号(1-32),Y为主机编号(1-6),例如第4组主机C的IP地址为202.98.4.3。
在进行实验操作前,首先清空防火墙规则。 1.传统代理
(1)外网Web服务器手动分配IP地址,并确认本地Web服务已启动。
(2)代理服务器激活网络接口eth1,并手动分配IP地址,可通过以下两种方式激活eth1: 通过“桌面”|“管理”|“网络”激活eth1,并手动分配IP地址; 在控制台中输入命令ifconfig eth1 up激活eth1,输入命令ifconfig eth1 202.98.X.Y/24为eth1分配IP地址。 (3)代理服务器配置squid。
代理服务器进入目录/usr/local/squid/etc/,使用vim编辑器打开配置文件squid.conf。 在squid.conf中配置如下选项:
第936行,使用默认的端口http_port 3128;
第574行,添加行acl mynet src 主机A地址域。例如acl mynet src 172.16.1.0/24; 第610行,添加行http_access allow mynet。 (4)运行代理服务器
代理服务器进入目录/usr/local/squid/sbin/,输入命令:./squid –NCd1启动代理服务。 (5)通过代理访问Web服务器
内网客户端打开IE浏览器,通过“工具”|“Internet选项”|“连接”|“局域网设置”选中“为LAN使用代理服务器”,在“地址”中输入代理服务器的内网IP,在“端口”中输入代理服务器的监听端口号,单击“确定”按钮,完成浏览器设置。
内网客户端在IE浏览器地址栏中输入“http://外网Web服务器IP地址”,即可访问到Web页面。 (6)验证代理服务器的作用
内网客户访问外网Web服务,是否可以访问到页面__________。
外网Web服务器关闭Web服务,代理服务器访问外网Web服务,是否可以访问到页面__________。 内网客户端再次访问外网Web服务,是否可以访问到页面__________,为什么?____________。 2.透明代理
(1)外网Web服务器开启Web服务。 (2)代理服务器配置squid。
代理服务器进入目录/usr/local/squid/etc/,使用vim编辑器打开配置文件squid.conf,配置如下选项: 第936行,修改为:http_port 主机B内网IP:3128 transparent (3)代理服务器添加iptables规则。
对从代理服务器内网接口进入的、基于tcp协议的、目的端口是80的数据包,做“端口重定向”。将数据包重定向到3128端口,规则如下:
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 (4)运行代理服务器。
(5)通过代理访问Web服务器。
内网客户端将本地连接的“默认网关”设置为代理服务器的内网IP,即代理服务器的eth0网络接口的IP。 内网客户端打开IE浏览器,通过“工具”|“Internet选项”|“连接”|“局域网设置”,取消“为LAN使用代理服务器”。
内网客户端在IE浏览器地址栏输入“http://外网Web服务器的IP”,即可访问到外网Web服务器的Web页面。
3.反向代理
(1)内网客户端开启Web服务。 (2)代理服务器配置squid。
代理服务器进入目录/usr/local/squid/etc/,使用vim编辑器打开配置文件squid.conf,配置如下选项: 第936行,修改为:http_port 主机B外网地址:80 vhost。
第1499行,添加行:cache_peer 主机A的IP parent 80 0 no-query originserver。 第574行,修改为:acl outside src 主机C地址域。例如acl outside src 202.98.1.0/24。 第610行,修改为:http_access allow outside。 (3)停止代理服务器的Web服务。
在代理服务器的终端输入命令:service httpd stop。 (4)删除缓存文件。
删除目录/usr/local/squid/var/cache/00/00下所有文件。 (5)运行代理服务器。
(6)外网通过代理访问内网客户端Web服务
外网Web服务器在IE浏览器地址栏中输入“http://代理服务器外网IP”即可访问到内网客户端的Web页面。
第四篇:陵水思源实验学校构筑消防安全“防火墙”工程实施方案
为了深入贯彻学校消防安全管理规定,全面落实“学校统一领导、部门依法监管、单位全面负责、师生积极参与”的消防工作原则,切实加强消防安全管理,提升学校火灾防控水平,按照市政府关于构筑社会消防安全“防火墙”工程工作部署,学校决定从现在起到2012年末,在全校实施构筑消防安全“防火墙”工程。
一、领导机构
学校成立构筑消防安全“防火墙”工程领导小组。
组 长:尹长安
副组长:朱兹文 陈聂图梁明法
成 员:由校长室、校办公室、德育处、教务处、总务处、负责人组成。
领导小组办公室设在保卫处,办公室主任由赵伟担任。
二、工作任务
(一)提高自检自查消除火灾隐患能力,切实做到“消防安全自管、火灾隐患自除”。各单位消防安全领导小组作为实施“防火墙”工程的领导机构,确定责任人和专兼职管理人员,具体负责本单位的消防安全管理,定期开展防火安全检查、巡查,切实抓好火灾隐患的源头控制。对检查中发现的火灾隐患要立即消除,不能立即消除的,要制定整改方案,明确整改措施,落实整改资金,限时消除。
(二)提高组织扑救初起火灾能力,切实做到“火情发现早、小火灭
得了”。各单位要建立一支精干的灭火队伍,承担扑救初起火灾的职能。要结合实际制定灭火应急预案并定期组织演练,确保一旦发生火情,能按职责分工及时到位、有效处置。消防控制室值班操作人员熟悉消防设备,熟练掌握火警处置及启动消防设施设备的程序和方法。
(三)提高组织人员疏散逃生能力,切实做到“能火场逃生自救、会引导人员疏散”。各单位要确定应急疏散引导员,熟悉引导疏散程序。师生员工普遍掌握火场逃生自救基本技能,熟悉逃生路线和安全出口,确保一旦发生火灾,能够及时组织在场人员安全疏散。
(四)提高消防宣传教育培训能力,切实做到“消防设施标识化、消防常识普及化”。各单位要开展经常性的消防宣传教育,定期开展消防技能培训,使师生员工普遍达到“懂基本消防常识、懂消防器材使用方法、懂逃生自救技能,会查改火灾隐患、会扑救初起火灾、会组织人员疏散”的要求。10月底前,各单位要建立消防安全“四个能力”为主要内容的宣传专栏;后勤管理部门要在重点部位、重要场所、疏散通道、安全出口等部位及建筑消防设施设置“提示”和“禁止”类消防标语。
(五)提高消防基础设施抗御火灾能力,切实做到“消防设施运行正常、灭火器材完好有效”。后勤部门要加强公共消防设施的维护保养,对存在故障的要尽快修复,确保正常运行;防火部门要做好灭火器材更新换代工作,配足配齐灭火器材,保证扑救初起火灾的需要。
三、工作要求
(一)落实组织领导责任。各单位主要领导要高度重视“防火墙”工程
建设和本单位的防火工作,认真履行消防工作职责,定期研究解决本单位消防工作重大问题。在重大节假日期间以及火灾多发季节,组织开展消防安全检查、消防知识宣传提示和教育培训,全面加强本单位消防安全管理的长效机制。
(二)落实部门监管责任。学校防火部门要加强对校内各单位实施“防火墙”工程的监督指导,督促相关职能部门落实消防安全监管责任,督促隐患单位及时消除火灾隐患,严格审核涉及消防安全的审批项目,加强消防安全的源头控制。
(三)落实设施建设责任。学校后勤部门要加强公共消防设施建设和维护管理,确保正常运行。凡公共消防设施不能满足防火和灭火应急救援需要的,要及时增建、改建、配置或进行技术改造。
(四)抓好消防骨干培训。各单位要抓好消防骨干培训工作,积极组织本单位消防安全责任人和专兼职管理人员参加消防专业培训,确保每个单位都有消防安全能力建设的“明白人”和骨干队伍。后勤部门要加强对消防控制室值班操作人员的消防安全教育和专门培训,并持消防行业特有工种职业资格证上岗。
(五)定期组织考核验收。各单位要把构筑消防安全“防火墙”工程有机地融合到日常消防工作中,加强基础档案建设,夯实火灾防控基础,全面提高单位消防安全能力。学校将构筑“防火墙”工程纳入社会治安综合治理检查考评内容,每年进行一次检查,2012年底进行总体验收和全面总结。
第五篇:永和镇实验小学开展夏季防火防溺水安全教育
永和镇实验小学开展夏季防火防溺水安全教育时至三夏,收割季节,天气炎热,永和镇实验小学将学生安全教育放在首位,通过召开师生大会、班会和家长会、手机短信等形式,向学生和家长进行防火、防溺水及交通安全教育。
各班组织召开三夏防火、防溺水安全主题班会,教育学生防火、防溺水。学校把《致学生家长的公开信》发给每一位学生,让学生带回家让家长亲自签名,以增强广大学生家长的防火、防溺水意识。要求学生不玩火,不私自下水游泳,不擅自与同学结伴游泳,不在无家长或监护人带领的情况下游泳
安全第一,防患于未然。水火无情,加强安全意识,防止火灾、溺水事故的发生。
永和镇实验小学
2014-6-3