實(shí)驗(yàn)四 網(wǎng)上安全技術(shù) 防火墻

1、.淮海工學(xué)院計算機(jī)工程學(xué)院實(shí)驗(yàn)報告書課程名： 網(wǎng)絡(luò)安全技術(shù) 題 目： 防火墻 班 級： 學(xué) 號： 姓 名： 評語：成績： 指導(dǎo)教師： 批閱時間： 年 月 日. v.【實(shí)驗(yàn)?zāi)康摹?理解iptables工作機(jī)理 熟練掌握iptables包過濾命令及規(guī)則 學(xué)會利用iptables對網(wǎng)絡(luò)事件進(jìn)行審計 熟練掌握iptables NAT工作原理及實(shí)現(xiàn)流程 學(xué)會利用iptables+squid實(shí)現(xiàn)Web應(yīng)用代理【實(shí)驗(yàn)人數(shù)】每組2人 合作方：韓云霄 2012122618【系統(tǒng)環(huán)境】Linux 【網(wǎng)絡(luò)環(huán)境】交換網(wǎng)絡(luò)結(jié)構(gòu)【實(shí)驗(yàn)工具】iptablesNmapUlogd【實(shí)驗(yàn)步驟】一、 iptables包過濾本任務(wù)主

2、機(jī)A、B為一組，C、D為一組，E、F為一組。 首先使用“快照X”恢復(fù)Linux系統(tǒng)環(huán)境。操作概述：為了應(yīng)用iptables的包過濾功能，首先我們將filter鏈表的所有鏈規(guī)則清空，并設(shè)置鏈表默認(rèn)策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則，依次允許同組主機(jī)icmp回顯請求、Web請求，最后開放信任接口eth0。iptables操作期間需同組主機(jī)進(jìn)行操作驗(yàn)證。 （2）同組主機(jī)點(diǎn)擊工具欄中“控制臺”按鈕，使用nmap工具對當(dāng)前主機(jī)進(jìn)行端口掃描。nmap端口掃描命令 nmap -sS -T5 同組主機(jī)IP。 說明 nmap具體使用方法可查看實(shí)驗(yàn)1練習(xí)一實(shí)驗(yàn)原理。 查看端口掃描結(jié)果，并填寫

3、表9-2-1。表9-2-1開放端口（tcp）提供服務(wù)21ftp23telnet80http111rpcbind443https （3）查看INPUT、FORWARD和OUTPUT鏈默認(rèn)策略。iptables命令 iptables -t filter -L 。 （4）將INPUT、FORWARD和OUTPUT鏈默認(rèn)策略均設(shè)置為DROP。iptables命令 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 同組主機(jī)利用nmap對當(dāng)前主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果，并利用ping命令進(jìn)行連通性測試。（5）

4、利用功能擴(kuò)展命令選項(xiàng)(ICMP)設(shè)置防火墻僅允許ICMP回顯請求及回顯應(yīng)答。ICMP回顯請求類型 8 ；代碼 0 。ICMP回顯應(yīng)答類型 0 ；代碼 0 。iptables命令 iptables -I INPUT -p icmp -icmp-type 8/0 -j ACCEPT iptables -I OUTPUT -p icmp -icmp-type 0/0 -j ACCEPT 利用ping指令測試本機(jī)與同組主機(jī)的連通性。 （6）對外開放Web服務(wù)(默認(rèn)端口80/tcp)。iptables命令 iptables -I INPUT -p tcp -dport 80 -j ACCEPT ipta

5、bles -I OUTPUT -p tcp -sport 80 -j ACCEPT 同組主機(jī)利用nmap對當(dāng)前主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。 （7）設(shè)置防火墻允許來自eth0(假設(shè)eth0為內(nèi)部網(wǎng)絡(luò)接口)的任何數(shù)據(jù)通過。iptables命令 iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT 同組主機(jī)利用nmap對當(dāng)前主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。一事件審計實(shí)驗(yàn) 操作概述：利用iptables的日志功能檢測、記錄網(wǎng)絡(luò)端口掃描事件，日志路徑 /var/log/iptables.log。 （1）清空f

6、ilter表所有規(guī)則鏈規(guī)則。 iptables命令 （2）根據(jù)實(shí)驗(yàn)原理(TCP擴(kuò)展)設(shè)計iptables包過濾規(guī)則，并應(yīng)用日志生成工具ULOG對iptables捕獲的網(wǎng)絡(luò)事件進(jìn)行響應(yīng)。iptables命令 （3）同組主機(jī)應(yīng)用端口掃描工具對當(dāng)前主機(jī)進(jìn)行端口掃描，并觀察掃描結(jié)果。（4）在同組主機(jī)端口掃描完成后，當(dāng)前主機(jī)查看iptables日志，對端口掃描事件進(jìn)行審計，日志內(nèi)容如圖所示。二狀態(tài)檢測實(shí)驗(yàn) 操作概述：分別對新建和已建的網(wǎng)絡(luò)會話進(jìn)行狀態(tài)檢測。 1對新建的網(wǎng)絡(luò)會話進(jìn)行狀態(tài)檢測 （1）清空filter規(guī)則鏈全部內(nèi)容。 iptables命令 （2）設(shè)置全部鏈表默認(rèn)規(guī)則為允許。 iptables命

7、令 （3）設(shè)置規(guī)則禁止任何新建連接通過。iptables命令 （4）同組主機(jī)對當(dāng)前主機(jī)防火墻規(guī)則進(jìn)行測試，驗(yàn)證規(guī)則正確性。 2對已建的網(wǎng)絡(luò)會話進(jìn)行狀態(tài)檢測 （1）清空filter規(guī)則鏈全部內(nèi)容，并設(shè)置默認(rèn)規(guī)則為允許。 （2）同組主機(jī)首先telnet遠(yuǎn)程登錄當(dāng)前主機(jī)，當(dāng)出現(xiàn)“l(fā)ogin:”界面時，暫停登錄操作。telnet登錄命令 （3）iptables添加新規(guī)則（狀態(tài)檢測）僅禁止新建網(wǎng)絡(luò)會話請求。 iptables命令 或 同組主機(jī)續(xù)步驟（2）繼續(xù)執(zhí)行登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功. 。同組主機(jī)啟動Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù)，訪問是

8、否成功. 。解釋上述現(xiàn)象 。 （4）刪除步驟（3）中添加的規(guī)則。 iptables命令 或 （5）同組主機(jī)重新telnet遠(yuǎn)程登錄當(dāng)前主機(jī)，當(dāng)出現(xiàn)“l(fā)ogin:”界面時，暫停登錄操作。 （6）iptables添加新規(guī)則（狀態(tài)檢測）僅禁止已建網(wǎng)絡(luò)會話請求。 iptables命令 或 同組主機(jī)續(xù)步驟（5）繼續(xù)執(zhí)行登錄操作，登錄是否成功. 。同組主機(jī)啟動Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù)，訪問是否成功. 。解釋上述現(xiàn)象 。 （7）當(dāng)前主機(jī)再次清空filter鏈表規(guī)則，并設(shè)置默認(rèn)策略為DROP,添加規(guī)則開放FTP服務(wù)，并允許遠(yuǎn)程用戶上傳文件至FTP服務(wù)器。iptables命令 iptables -A INPUT -p tcp -dport 21 -j ACCEPT iptables -A INPUT -m state -state ESTABLISHED,RELATED j ACCEPT iptables -A OUTPUT -p