第一篇:防火墻訪問控制規(guī)則配置--教案
訪問控制規(guī)則配置
訪問規(guī)則描述了網(wǎng)絡衛(wèi)士防火墻允許或禁止匹配訪問控制規(guī)則的報文通過。防火墻接收到報文后,將順序匹配訪問規(guī)則表中所設定規(guī)則。一旦尋找到匹配的規(guī)則,則按照該策略所規(guī)定的操作(允許或丟棄)處理該報文,不再進行區(qū)域缺省屬性的檢查。如果不存在可匹配的訪問策略,網(wǎng)絡衛(wèi)士防火墻將根據(jù)目的接口所在區(qū)域的缺省屬性(允許訪問或禁止訪問),處理該報文。在進行訪問控制規(guī)則查詢之前,網(wǎng)絡衛(wèi)士防火墻將首先查詢數(shù)據(jù)包是否符合目的地址轉(zhuǎn)換規(guī)則。如果符合目的地址轉(zhuǎn)換規(guī)則,網(wǎng)絡衛(wèi)士防火墻將把接收的報文的目的IP 地址轉(zhuǎn)換為預先設置的IP 地址(一般為真實IP)。因此在進行訪問規(guī)則設置時,系統(tǒng)一般采用的是真實的源和目的地址(轉(zhuǎn)換后目的地址)來設置訪問規(guī)則;同時,系統(tǒng)也支持按照轉(zhuǎn)換前的目的地址設置訪問規(guī)則,此時,報文將按照轉(zhuǎn)換前的目的地址匹配訪問控制規(guī)則。
根據(jù)源、目的配置訪問控制規(guī)則
基本需求
系統(tǒng)可以從區(qū)域、VLAN、地址、用戶、連接、時間等多個層面對數(shù)據(jù)報文進行判別和匹配,訪問控制規(guī)則的源和目的既可以是已經(jīng)定義好的VLAN 或區(qū)域,也可以細化到一個或多個地址資源以及用戶組資源。與包過濾策略相同,訪問控制規(guī)則也是順序匹配的,系統(tǒng)首先檢查是否與包過濾策略匹配,如果匹配到包過濾策略后將停止訪問控制規(guī)則檢查。但與包過濾策略不同的是訪問控制規(guī)則沒有默認規(guī)則。也就是說,如果沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話,系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性(允許訪問或禁止訪問)處理該報文。
案例:某企業(yè)的網(wǎng)絡結(jié)構(gòu)示意圖如下圖所示,網(wǎng)絡衛(wèi)士防火墻工作在混合模式。Eth0 口屬于內(nèi)網(wǎng)區(qū)域(area_eth0),為交換trunk 接口,同時屬于VLAN.0001 和VLAN.0002,vlan.0001 IP 地址為192.168.1.1,連接研發(fā)部門文檔組所在的內(nèi)網(wǎng)(192.168.1.0/24);vlan.0002 IP 地址為192.168.2.1,連接研發(fā)部門項目組所在的內(nèi)網(wǎng)(192.168.2.0/24)。
圖 25 根據(jù)源、目的進行訪問控制示意圖
Eth1 口IP 地址為192.168.100.140,屬于外網(wǎng)area_eth1 區(qū)域,公司通過與防火墻Eth1口相連的路由器連接外網(wǎng)。Eth2 口屬于area_eth2 區(qū)域,為路由接口,其IP 地址為172.16.1.1,為信息管理部所在區(qū)域,有多臺服務器,其中Web 服務器的IP 地址:172.16.1.3。
用戶要求如下:
內(nèi)網(wǎng)文檔組的機器可以上網(wǎng),允許項目組領導上網(wǎng),禁止項目組普通員工上網(wǎng)。
外網(wǎng)和area_eth2 區(qū)域的機器不能訪問研發(fā)部門內(nèi)網(wǎng);
內(nèi)外網(wǎng)用戶均可以訪問area_eth2 區(qū)域的WEB 服務器。
配置要點
設置區(qū)域?qū)ο蟮娜笔≡L問權限:area_eth0、area_eth2 為禁止訪問,area_eth1 為允許訪問。
定義源地址轉(zhuǎn)換規(guī)則,保證內(nèi)網(wǎng)用戶能夠訪問外網(wǎng);定義目的地址轉(zhuǎn)換規(guī)則,使得外網(wǎng)用戶可以訪問area_eth2 區(qū)域的WEB 服務器。
定義訪問控制規(guī)則,禁止項目組除領導外的普通員工上網(wǎng),允許內(nèi)網(wǎng)和外網(wǎng)用戶訪問area_eth2 區(qū)域的WEB 服務器。
WebUI 配置步驟
1)設定物理接口eth1 和eth2 的IP 地址。
選擇 網(wǎng)絡管理 > 接口,激活“物理接口”頁簽,然后點擊Eth1、Eth2 端口后的“設 置”字段圖標,添加接口的IP 地址。如下圖所示。
2)添加VLAN 虛接口,設定VLAN 的IP 地址,再選擇相應的物理接口加入到已添 加的VLAN 中。
a)選擇 網(wǎng)絡管理 > 二層網(wǎng)絡,激活“VLAN”頁簽,然后點擊“添加/刪除VLAN 范圍”,如下圖所示。
b)設定VLAN 虛接口的IP 地址。
點擊VLAN 虛接口的“修改”字段圖標,在彈出界面中設置VLAN.0001 的IP 為:
192.168.1.1,掩碼為:255.255.255.0;VLAN.0002 的IP 為:192.168.2.1,掩碼為:255.255.255.0。如下圖所示。
c)設定VLAN 和物理接口的關系。
選擇 網(wǎng)絡管理 > 接口,激活“物理接口”頁簽,然后點擊eth0 接口后的“設置” 字段圖標,設置接口信息,如下圖所示。3)定義主機、子網(wǎng)地址對象。
a)選擇 資源管理 > 地址,選擇“主機”頁簽,定義主機地址資源。定義WEB 服 務器主機名稱設為172.16.1.3,IP 為172.16.1.3;定義虛擬WEB 服務器(即WEB 服務器 的在外網(wǎng)區(qū)域的虛擬IP 地址)主機名稱設為192.168.100.143, IP 為192.168.100.143;定義 接口主機地址資源192.168.100.140(也可以是其他字符串),主機名稱設為192.168.100.140, IP 為192.168.100.140;定義文檔服務器,主機名稱設為doc_server, IP 為10.10.10.3。定義 完成后的界面如下圖所示:
b)選擇 資源管理 > 地址,選擇“子網(wǎng)”頁簽,點擊“添加”定義子網(wǎng)地址資源。資源名稱rd_group,以及網(wǎng)絡地址192.168.2.0、子網(wǎng)掩碼255.255.255.0 以及排除領導地 址:10.10.11.2 和10.10.11.3。
4)定義區(qū)域資源的訪問權限(整個區(qū)域是否允許訪問)。
選擇 資源管理 > 區(qū)域,設定外網(wǎng)區(qū)域area_eth1 的缺省屬性為“允許”訪問,內(nèi)網(wǎng) 區(qū)域area_eth0 和area_eth2 的缺省屬性為“禁止”訪問。以area_eth1 為例,設置界面如 下圖所示。
設置完成后的界面如下圖所示。5)選擇 防火墻 > 地址轉(zhuǎn)換,定義地址轉(zhuǎn)換規(guī)則。a)定義源地址轉(zhuǎn)換規(guī)則,使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng): 選擇“源轉(zhuǎn)換”。
① 選擇“源”頁簽,參數(shù)設置如下圖所示。不設置參數(shù),表示不對報文的源進行限 制。
② 選擇“目的”頁簽,參數(shù)設置如下圖所示。
③ 選擇“服務”頁簽,參數(shù)設置如下圖所示。
轉(zhuǎn)換源地址對象為“192.168.100.140”。設置完成后的規(guī)則如下圖所示。
b)定義目的地址轉(zhuǎn)換規(guī)則,使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域 的 WEB 服務器。選擇“目的轉(zhuǎn)換”
① 選擇“源”頁簽,設置參數(shù)如下圖所示。不設置參數(shù),表示不對報文的源進行限 制。
② 選擇“目的”頁簽,設置參數(shù)如下圖所示。
③ 選擇“服務”頁簽,設置參數(shù)如下圖所示。“目的地址轉(zhuǎn)換”為地址資源“172.16.1.3”。設置完成后的界面如下圖所示。
6)選擇菜單 防火墻 > 訪問控制,定義訪問控制規(guī)則。a)允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務器
由于Web 服務器所在的area_eth2 區(qū)域禁止訪問,所以要允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以 訪問Web 服務器,需要定義訪問控制規(guī)則如下。① 選擇“源”頁簽,參數(shù)設置如下圖所示。
源VLAN 和源區(qū)域不選擇,表示不對區(qū)域加以限制; ② 選擇“目的”頁簽,參數(shù)設置如下圖所示。③ 選擇“服務”頁簽,參數(shù)設置如下圖所示。
b)允許項目組領導訪問外網(wǎng),禁止項目組普通員工rd_group 訪問外網(wǎng)。由于外網(wǎng)區(qū)域允許訪問,所以需要添加禁止訪問外網(wǎng)的規(guī)則如下: ① 選擇“源”頁簽,參數(shù)設置如下圖所示。
② 選擇“目的”頁簽設置如下圖所示。
③ 選擇“服務”頁簽,參數(shù)設置如下圖所示。
CLI 配置步驟
1)設定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2)添加VLAN 虛接口,設定VLAN 的IP 地址,再選擇相應的物理接口加入到已添 加的VLAN 中。
#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3)定義主機、子網(wǎng)地址資源。
#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’
4)設置區(qū)域資源的缺省訪問權限:area_eth0、area_eth2 為禁止訪問,area_eth1 為允 許訪問(缺省權限,無需再設定)。
#define area add name area_eth0 access off attribute eth0(不允許訪問內(nèi)網(wǎng))#define area add name area_eth2 access off attribute eth2(不允許訪問內(nèi)網(wǎng))5)定義地址轉(zhuǎn)換規(guī)則。
定義源地址轉(zhuǎn)換規(guī)則,使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)。
#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定義目的地址轉(zhuǎn)換規(guī)則,使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域的 WEB 服務器。
#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6)定義訪問控制規(guī)則。
允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務器
#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允許項目組領導訪問外網(wǎng),禁止項目組普通員工訪問外網(wǎng)
#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事項
1)目的地址需要選擇WEB 服務器的真實IP 地址,因為防火墻要先對數(shù)據(jù)包進行目 的地址轉(zhuǎn)換處理,當內(nèi)網(wǎng)用戶利用http://192.168.100.143 訪問SSN 區(qū)域的Web 服務器時,由于符合NAT 目的地址轉(zhuǎn)換規(guī)則,所以數(shù)據(jù)包的目的地址將被轉(zhuǎn)換為172.16.1.3。然后才 進行訪問規(guī)則查詢,此時只有設定為WEB 服務器的真實IP 地址才能達到內(nèi)網(wǎng)用戶訪問 SSN 區(qū)域WEB 服務器的目的。網(wǎng)絡衛(wèi)士系列防火墻處理數(shù)據(jù)包的流程請參考用戶手冊相 關章節(jié)。
2)定義目的地址轉(zhuǎn)換規(guī)則時,不能選擇目的區(qū)域與目的VLAN。
根據(jù)源端口配置訪問控制規(guī)則
基本需求
案例:某銀行系統(tǒng)應用軟件使用特定的端口進行業(yè)務主機與服務器間的數(shù)據(jù)通信,為 了保證數(shù)據(jù)及設備的安全,禁止其他對于業(yè)務主機和服務器的訪問。網(wǎng)絡結(jié)構(gòu)示意圖如下所示。
圖 26 根據(jù)源端口進行訪問控制示意圖
業(yè)務主機可以使用特殊端口訪問服務器,不能使用其他端口。業(yè)務主機區(qū)域和服務器 區(qū)域禁止其他類型的訪問。
配置要點
定義區(qū)域:area_eth1、area_eth2。
定義服務端口:FS_port
設置訪問控制規(guī)則
WebUI 配置步驟
1)定義區(qū)域area_eth1 為禁止訪問,并與屬性eth1 綁定。選擇 資源管理 > 區(qū)域,點擊“添加”,如下圖所示。
2)定義區(qū)域area_eth2 為禁止訪問,并與屬性eth2 綁定。
具體操作與area_eth1 相似,請參考area_eth1 的定義過程完成。3)定義服務端口
由于系統(tǒng)使用的通信端口是:4500,不是通常使用的協(xié)議端口,在設置規(guī)則前需要自 定義端口。
選擇 資源管理 > 服務,激活“自定義服務”頁簽,進入自定義服務頁面。點擊右 側(cè)“添加”,如下圖所示。
選擇類型:TCP,設置名稱:FS_port,服務器實際使用的端口:4500。完成后點擊“確 定”按鈕。
4)定義訪問控制規(guī)則
該規(guī)則為來自area_eth1 區(qū)域使用源端口為4500 的數(shù)據(jù)包允許通過防火墻訪問 area_eth2 區(qū)域。
a)選擇“源”頁簽,參數(shù)設置如下。
b)選擇“目的”頁簽,參數(shù)設置如下圖所示。
c)選擇“服務”頁簽,參數(shù)設置如下圖所示。
d)選擇“選項”頁簽設置參數(shù)如下。由于所使用的軟件系統(tǒng)所建立的連接需要長時期保持,在“連接選項”中選擇“長連 接”,根據(jù)需要選擇“日志記錄”。點擊“確定”完成ACL 規(guī)則設置。
CLI 配置步驟
1)定義區(qū)域:area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2)定義服務端口:FS_port #define service add name FS_port protocol 6 port 4500 3)設置訪問控制規(guī)則
#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes
注意事項
由于環(huán)境所限此案例未能進行實際測試,僅供參考使用。
根據(jù)特定服務配置訪問控制規(guī)則
基本需求
在進行訪問控制規(guī)則的設置時,可以對用戶所能訪問的服務進行控制,系統(tǒng)預定義了
可控制的常見服務,可以實現(xiàn)二到七層的訪問控制,用戶也可以自定義服務進行訪問控制。案例:某企業(yè)網(wǎng)絡被防火墻化分為三個區(qū)域area_eth0、area_eth1 和area_eth2,三個
區(qū)域分別與接口Eth0、Eth1 和Eth2 綁定,area_eth0 連接外網(wǎng),允許用戶訪問,area_eth1 和area_eth2 區(qū)域禁止用戶訪問。服務器位于area_eth1,IP 地址為192.168.100.140,內(nèi)網(wǎng) 位于area_eth2,網(wǎng)絡地址為192.168.101.0。企業(yè)的網(wǎng)絡結(jié)構(gòu)如下圖所示。
要求:
允許內(nèi)網(wǎng)用戶訪問服務器的TELNET、SSH、FTP 和Web_port 服務,其中Web_port 服務為自定義服務,端口號為8080;但不能訪問Eth1 口的其他服務器和其他服務。不允許外網(wǎng)用戶訪問Eth1 口服務器的TELNET 和SSH 服務。圖 27 根據(jù)服務設置訪問控制規(guī)則示意圖
配置要點
定義區(qū)域和地址資源
定義服務資源
定義服務組資源 設置訪問控制規(guī)則
WebUI 配置步驟
1)定義區(qū)域和地址資源
a)定義區(qū)域資源area_eth0、area_eth1 和area_eth2,分別與Eth0、Eth1 和Eth2 綁定。區(qū)域權限均為“允許”。
選擇 資源管理 > 區(qū)域,點擊“添加”添加區(qū)域資源,界面如下圖。① 添加區(qū)域area_eth0。② 添加區(qū)域area_eth1。③ 添加區(qū)域area_eth2。
服務熱線:8008105119 183 設置完成后界面如下圖所示。b)定義IP 地址資源
選擇 資源管理 > 地址,選擇“主機”頁簽,點擊“添加”,如下圖所示。c)定義子網(wǎng)資源
選擇 資源管理 > 地址,選擇“子網(wǎng)”頁簽,點擊“添加”,如下圖所示。
2)設置自定義服務
選擇 資源管理 > 服務,激活“自定義服務”頁簽,配置自定義服務“Web_port” 如下圖所示。
3)設置服務組資源
選擇 資源管理 > 服務,激活“服務組”頁簽,配置服務組“內(nèi)網(wǎng)訪問服務”如下 圖所示。
本例中服務組名稱為“內(nèi)網(wǎng)訪問服務”,包括“Web_port、SSH、TELNET、FTP”。4)設置訪問控制規(guī)則。由于服務器所在區(qū)域area_eth1 禁止訪問,所以只要定義允許 訪問的規(guī)則即可。
a)設置允許內(nèi)網(wǎng)area_eth2 的網(wǎng)段為192.168.101.0/24 的用戶訪問area_eth1 的服務器(192.168.100.140)SSH、TELNET、FTP 以及8080 端口服務的訪問控制規(guī)則 選擇 防火墻 > 訪問控制,點擊“添加”按鈕,設置訪問控制規(guī)則。① 選擇“源”頁簽,參數(shù)設置如下圖所示。
② 選擇“目的”頁簽,參數(shù)設置如下圖所示。
服務熱線:8008105119 187 ③ 選擇“服務”頁簽,參數(shù)設置如下圖所示。
服務熱線:8008105119 188 設置完成的ACL 規(guī)則如下圖所示。
b)設置僅允許外網(wǎng)區(qū)域(area_eth0)的用戶訪問服務器的8080 端口的服務訪問控制 規(guī)則。
選擇 防火墻 > 訪問控制,點擊“添加”按鈕,設置訪問控制規(guī)則。① 選擇“源”頁簽,參數(shù)設置如下圖所示。
服務熱線:8008105119 189 ② 選擇“目的”頁簽,參數(shù)設置如下圖。
服務熱線:8008105119 190 ③ 選擇“服務”頁簽,參數(shù)設置如下圖。
服務熱線:8008105119 191 設置完成后的ACL 規(guī)則如下圖所示。
CLI 配置步驟
1)定義區(qū)域資源
#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2)定義主機和子網(wǎng)地址資源
#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 內(nèi)網(wǎng) ipaddr 192.168.101.0 mask 255.255.255.0 3)設置自定義服務,服務名為Web_port,端口號為8080。#difine service add name Web_port protocol tcp port 8080 4)設置服務組資源,組名稱為“內(nèi)網(wǎng)訪問服務”,包括Web_port、FTP、TELNET 和SSH 服務。
#difine group_service add name 內(nèi)網(wǎng)訪問服務 member Web_port,FTP,TELNET,SSH 5)設置訪問控制規(guī)則
a)區(qū)域“area_eth2”的子網(wǎng)對象“內(nèi)網(wǎng)”(192.168.101.0/24)允許訪問區(qū)域“area_eth1” 的服務器的Web_port、FTP、TELNET 和SSH 服務(有自定義服務組“內(nèi)網(wǎng)訪問服務”綁 定),服務器的IP 地址為192.168.100.140。
#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 內(nèi)網(wǎng)dst 192.168.100.140 service 內(nèi)網(wǎng)訪問服務 enable yes
服務熱線:8008105119 192 b)設置僅允許外網(wǎng)用戶訪問服務器192.168.100.140 的8080 端口的服務訪問控制規(guī) 則。
#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事項
如果只允許開放某些服務,其他服務均被禁止,可以設置目的區(qū)域的默認訪問權限為 “禁止”,系統(tǒng)在匹配完訪問控制規(guī)則后將自動匹配區(qū)域的默認訪問權限。
根據(jù)轉(zhuǎn)換前目的地址配置訪問控制規(guī)則
基本需求
背景:某企業(yè)的WEB 服務器(IP:192.168.83.56)通過防火墻將其IP 地址MAP 為
202.45.56.5 對外提供WEB 服務。WEB 服務器連在防火墻的Eth1 口(IP:192.168.83.2),且防火墻通過Eth0 口(IP:202.45.56.3)與Internet 相連,如下圖所示。
圖 28 根據(jù)轉(zhuǎn)換前目的進行訪問控制示意圖
需求:為了保護企業(yè)網(wǎng)絡的安全,網(wǎng)關Eth1 接口所屬的區(qū)域area_eth1 設置為禁止訪 問,要求Internet 用戶只可訪問企業(yè)WEB 服務器的HTTP 服務,要求用WEB 服務器的 MAP 地址202.45.56.5 作訪問控制。
服務熱線:8008105119 193 配置要點
定義主機地址資源
定義地址轉(zhuǎn)換策略
定義訪問控制規(guī)則
WebUI 配置步驟
1)將防火墻的Eth1 口所屬區(qū)域的默認訪問權限設置為“禁止”。選擇 資源管理 > 區(qū)域,點擊“添加”,如下圖。
2)定義WEB 服務器主機地址資源R-WebServer 和虛擬主機對象V-WebServer。選擇 資源管理 > 地址,激活“主機”頁簽,定義主機地址資源R-WebServer 和 V-WebServer。
定義R-WebServer 主機地址資源圖。
服務熱線:8008105119 194 定義V-WebServer 主機地址資源圖。3)定義地址轉(zhuǎn)換規(guī)則。
選擇 防火墻 > 地址轉(zhuǎn)換,并在右側(cè)界面中點擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。
a)選擇“源”頁簽,設置參數(shù)如下圖。
服務熱線:8008105119 195 b)選擇“目的”頁簽,參數(shù)設置如下。
服務熱線:8008105119 196 c)選擇“服務”頁簽,參數(shù)設置如下。設置完成后的目的NAT 規(guī)則如下圖所示。4)設置訪問控制規(guī)則。
選擇 防火墻 > 訪問控制,并在右側(cè)界面中點擊“添加”定義訪問控制規(guī)則。
服務熱線:8008105119 197 a)選擇“源”頁簽,參數(shù)設置如下。b)選擇“目的”頁簽,設置根據(jù)轉(zhuǎn)換前的目的地址進行訪問控制。參數(shù)設置如下。
服務熱線:8008105119 198 c)選擇“服務”頁簽,參數(shù)設置如下。
服務熱線:8008105119 199 設置完成后的ACL 規(guī)則如下圖所示。至此,WEBUI 方式的配置完成。
CLI 配置步驟
1)將防火墻的Eth1 口所屬區(qū)域的默認訪問權限設置為“禁止”。#define area add name area_eth1 access off attribute eth1 2)定義WEB 服務器主機地址資源R-WebServer 和虛擬主機地址資源V-WebServer。定義R-WebServer 主機地址資源
#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定義V-WebServer 主機地址資源
#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3)定義地址轉(zhuǎn)換規(guī)則。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)設置訪問控制規(guī)則。
#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes
注意事項
1)因為該案例要求internet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務器的HTTP 服務,因此需 要事先拒絕internet 用戶的所有訪問,再定義訪問控制規(guī)則允許其訪問HTTP 服務。2)對轉(zhuǎn)換前的目的地址進行匹配時,只需在“轉(zhuǎn)換前目的地址”中進行選擇目的地 址,而無須在“目的地址”中再選擇地址。
3)在配置過程中,請確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。
根據(jù)轉(zhuǎn)換后目的地址配置訪問控制規(guī)則
基本需求
背景:某企業(yè)的WEB 服務器(IP:192.168.83.56)通過防火墻將其IP 地址MAP 為
202.45.56.5 對外提供WEB 服務。WEB 服務器連在防火墻的Eth1 口(IP:192.168.83.2),且防火墻通過Eth2 口(IP:202.45.56.3)與Internet 相連,如下圖所示。
需求:為了保護企業(yè)網(wǎng)絡的安全,要求Internet 用戶只可訪問企業(yè)WEB服務器的HTTP 服務,要求用WEB 服務器的IP 地址192.168.83.56 做訪問控制。圖 29 根據(jù)轉(zhuǎn)換后目的進行訪問控制示意圖
配置要點
定義主機地址資源
定義地址轉(zhuǎn)換策略
定義訪問控制規(guī)則
WebUI 配置步驟
1)將防火墻的Eth1 口所屬區(qū)域的默認訪問權限設置為“禁止”。選擇 資源管理 > 區(qū)域,點擊“添加”,如下圖。
2)定義WEB 服務器主機地址資源R-WebServer 和虛擬主機地址資源V-WebServer。選擇 資源管理 > 地址,激活“主機”頁簽,在右側(cè)界面中點擊“添加”定義主機 地址資源R-WebServer 和V-WebServer。定義R-WebServer 主機地址資源。定義V-WebServer 主機地址資源。3)定義地址轉(zhuǎn)換規(guī)則。
選擇 防火墻 > 地址轉(zhuǎn)換,并在右側(cè)界面中點擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。
a)選擇“源”頁簽,設置參數(shù)如下圖。
b)選擇“目的”頁簽,參數(shù)設置如下。
c)選擇“服務”頁簽,參數(shù)設置如下。設置完成后的目的NAT 規(guī)則如下圖所示。4)設置訪問控制規(guī)則。
a)選擇“源”頁簽,參數(shù)設置如下。
b)選擇“目的”頁簽,設置根據(jù)NAT 轉(zhuǎn)換后的目的地址(R_WebServer)進行訪問 控制。參數(shù)設置如下。
c)選擇“服務”頁簽,參數(shù)設置如下。
設置完成后的ACL 規(guī)則如下圖所示。至此,WEBUI 方式的配置完成。
CLI 配置步驟
1)將防火墻的Eth1 口所屬區(qū)域的默認訪問權限設置為“禁止”。#define area add name area_eth1 access off attribute eth1 2)定義WEB 服務器主機對象R-WebServer 和虛擬主機對象V-WebServer。定義R-WebServer 主機地址資源
#define host add name R-WebServer ipaddr 192.168.83.56 定義V-WebServer 主機地址資源
#define host add name V-WebServer ipaddr 202.45.56.5 3)定義地址轉(zhuǎn)換規(guī)則。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)設置訪問控制規(guī)則。
#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事項
1)因為該案例要求internet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務器的HTTP 服務,因此需 要事先拒絕internet 用戶的所有訪問,再定義訪問控制規(guī)則允許其訪問HTTP 服務。2)當TOS 設備處理經(jīng)過地址轉(zhuǎn)換的數(shù)據(jù)包時,匹配的是目的地址轉(zhuǎn)換后的地址,故 一般不需要設置“轉(zhuǎn)換前目的”中的地址。
3)在配置過程中請確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。
基于認證用戶的訪問控制
用戶認證的主要目的是為了對用戶進行身份鑒別、授權以及進行細粒度的訪問控制,用戶認證的方式主要包括本地認證(密碼和證書)和第三方認證(Radius、Tacacs、SecurID、LDAP 以及域認證等等),通過將認證用戶設置為用戶組,訪問控制規(guī)則的源和目的即可 以是用戶組對象,從而實現(xiàn)基于本地密碼認證、OTP 認證以及第三方認證用戶的細粒度 的訪問控制。
基本需求
Area_eth2 區(qū)域為研發(fā)部門內(nèi)網(wǎng),禁止外網(wǎng)和其余部門訪問,只允許內(nèi)網(wǎng)area_eth1 區(qū) 域的某些用戶通過TOPSEC 認證客戶端訪問內(nèi)網(wǎng)主機10.10.10.22 的TELNET 服務。圖 30 基于認證用戶的訪問控制示意圖 配置要點
設置區(qū)域?qū)傩?/p>
設置NAT 地址轉(zhuǎn)換規(guī)則
設置認證服務器和用戶組
開放相關接口的認證服務
設置基于認證用戶的訪問控制規(guī)則。
設置用戶認證客戶端
WebUI 配置步驟
1)設置區(qū)域?qū)傩裕砑又鳈C地址資源。
a)選擇 資源管理 > 區(qū)域,定義內(nèi)網(wǎng)區(qū)域area_eth2 的缺省屬性為禁止訪問。外網(wǎng)區(qū)域area_eth1 為允許訪問。
b)選擇 資源管理 > 地址,激活“主機”頁簽,定義內(nèi)網(wǎng)TELNET 服務器的真實IP 地址資源(10.10.10.22)。
定義虛擬IP 地址資源(192.168.83.223)。如下圖所示。
2)選擇 防火墻 > 地址轉(zhuǎn)換,設置目的NAT 規(guī)則,使得用戶能夠訪問內(nèi)網(wǎng)TELNET 服務器。
選擇“目的轉(zhuǎn)換”。
a)選擇“源”頁簽,設置參數(shù)如下圖。
b)選__
第二篇:防火墻配置試卷D
防火墻配置試卷D
題量:5 滿分:100.0 分
顯示答案
簡答題(共5題,100.0分)
1按照拓撲圖,搭建環(huán)境配置服務器并設置接口區(qū)域和ip地址。(15分)
提交display ip int bri中接口配置;(5分)
提交display current中接口添加到對應區(qū)域的配置;(6分)
![“"](”/d/file/p/2021/12-22/63569e37d61fde70ed2bd3a1f0e21a94.jpeg"/)
2設置源NAT策略和配置安全策略,保證內(nèi)網(wǎng)vlan10和vlan20用戶通過HFW1能訪問外網(wǎng);內(nèi)網(wǎng)vlan30和vlan40用戶通過HFW2能訪問外網(wǎng)。(共計30分)
提交HFW1的安全策略配置和NAT策略截圖(7.5分);
提交HFW2的安全策略配置和NAT策略截圖(7.5分);
提交vlan10和vlan20主機訪問外網(wǎng)192.168.20.1后,防火墻HFW1 display firewall session table截圖;(7.5分);
提交vlan30和vlan40主機訪問外網(wǎng)192.168.10.1后,防火墻HFW2 display firewall session table截圖;(7.5分);
設置目的NAT策略和配置安全策略,保證外網(wǎng)用戶訪問192.168.20.100的web服務時,訪問的是內(nèi)部網(wǎng)絡dmz區(qū)域的172.16.8.100(共計15分);
提交HFW1上display nat server截圖(10分);
提交外部瀏覽器訪問http://192.168.20.100截圖(5分);
設置在任選一臺防火墻配置DHCP服務器,為內(nèi)部trust區(qū)域中vlan10、vlan20、vlan30和vlan40下面的主機提供iP地址。(共計12分);
提交選擇防火墻上display current與DHCP有關的截圖(6分),其中地址池配置4分,端口下引用(2分));
提交vlan10下主機pc1獲得ip地址的截圖(1.5分);
提交vlan20下主機pc2獲得ip地址的截圖(1.5分);
提交vlan30下主機pc3獲得ip地址的截圖(1.5分);
提交vlan40下主機pc4獲得ip地址的截圖(1.5分);
配置兩臺防火墻的雙機熱備,HFW1防火墻為vlan10和vlan20的active(活動)設備,HFW2防火墻為vlan10和vlan20的standby(備份)設備;HFW1防火墻為vlan40和vlan30的standby(備份)設備,HFW2防火墻為vlan30和vlan40的active(活動)設備;
兩臺防火墻均可以訪問互聯(lián)網(wǎng),當active(活動)設備發(fā)生故障時能夠?qū)崿F(xiàn)切換,虛擬機訪問互聯(lián)網(wǎng)不能出現(xiàn)中斷。(共計40分)
1)熱冗余備份配置完成后,提交相關驗證結(jié)果(16分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果(2分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果(2分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果(2分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果(2分);
提交VLAN10的主機用tracert 192.168.20.1訪問外部網(wǎng)絡主機的截圖(2分);
提交VLAN40的主機用tracert 192.168.10.1訪問外部網(wǎng)絡主機的截圖(2分);
提交FHW1的display firewall session會話轉(zhuǎn)化表(2分);
提交FHW2的display firewall session會話轉(zhuǎn)化表(2分);
2)熱冗余備份環(huán)境下,在交換機g0/0/24下執(zhí)行shutdown命令,提交相關驗證結(jié)果(8分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果(1分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果(1分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果(1分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果(1分);
提交VLAN10的主機用tracert 192.168.20.1訪問外部網(wǎng)絡主機的截圖(1分);
提交VLAN40的主機用tracert 192.168.10.1訪問外部網(wǎng)絡主機的截圖(1分);
提交FHW1的display firewall session會話轉(zhuǎn)化表(1分);
提交FHW2的display firewall session會話轉(zhuǎn)化表(1分);
3)熱冗余備份環(huán)境下,在交換機的g0/0/24下再執(zhí)行undo shutdown命令后,等待系統(tǒng)恢復后提交相關驗證結(jié)果(8分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果(1分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果(1分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果(1分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果(1分);
提交VLAN10的主機用tracert 192.168.20.1訪問外部網(wǎng)絡主機的截圖(1分);
提交VLAN40的主機用tracert 192.168.10.1訪問外部網(wǎng)絡主機的截圖(1分);
提交FHW1的display firewall session會話轉(zhuǎn)化表(1分);
提交FHW2的display firewall session會話轉(zhuǎn)化表(1分);
4)熱冗余備份環(huán)境下,在防火墻HFW2下的g1/0/4下執(zhí)行shutdown命令后,等待一段時間,提交相關驗證結(jié)果(8分)
提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果(1分);
提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果(1分);
提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果(1分),提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果(1分);
提交VLAN10的主機用tracert 192.168.20.1訪問外部網(wǎng)絡主機的截圖(1分);
提交VLAN40的主機用tracert 192.168.10.1訪問外部網(wǎng)絡主機的截圖(1分);
提交FHW1的display firewall session會話轉(zhuǎn)化表(1分);
提交FHW2的display firewall session會話轉(zhuǎn)化表(1分);
第三篇:畢業(yè)論文 LINUX路由防火墻配置
LINUX路由防火墻配置 加上摘要、關鍵字 LINUX系統(tǒng)應用概述(安全方面應用)防火墻的功能介紹 防火墻規(guī)則配置 防火墻路由配置 防火墻NAT配置
RedHat Linux 為增加系統(tǒng)安全性提供了防火墻保護。防火墻存在于你的計算機和網(wǎng)絡之間,用來判定網(wǎng)絡中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。
其中有以下幾種配置方式:
高級:如只有以下連接是果你選擇了「高級」,你的系統(tǒng)就不會接受那些沒有被你具體指定的連接(除了默認設置外)。默認允許的: DNS回應
DHCP — 任何使用 DHCP 的網(wǎng)絡接口都可以被相應地配置。如果你選擇「高級」,你的防火墻將不允許下列連接
1.活躍狀態(tài)FTP(在多數(shù)客戶機中默認使用的被動狀態(tài)FTP應該能夠正常運行。)2.IRC DCC 文件傳輸
3.RealAudio 4.遠程 X 窗口系統(tǒng)客戶機 如果你要把系統(tǒng)連接到互聯(lián)網(wǎng)上,但是并不打算運行服務器,這是最安全的選擇。
如果需要額外的服務,你可以選擇 「定制」 來具體指定允許通過防火墻的服務。注記:如果你在安裝中選擇設置了中級或高級防火墻,網(wǎng)絡驗證方法(NIS 和 LDAP)將行不通。
中級:如果你選擇了「中級」,你的防火墻將不準你的系統(tǒng)訪問某些資源。訪問下列資源是默認不允許的:
1.低于1023 的端口 — 這些是標準要保留的端口,主要被一些系統(tǒng)服務所使用,例如: FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務器端口(2049)— 在遠程服務器和本地客戶機上,NFS 都已被禁用。3.為遠程 X 客戶機設立的本地 X 窗口系統(tǒng)顯示。4.X 字體服務器端口(xfs 不在網(wǎng)絡中監(jiān)聽;它在字體服務器中被默認禁用)。
如果你想準許到RealAudio之類資源的訪問,但仍要堵塞到普通系統(tǒng)服務的訪問,選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務穿過防火墻。
注記:如果你在安裝中選擇設置了中級或高級防火墻,網(wǎng)絡驗證方法(NIS 和 LDAP)將行不通。
無防火墻:無防火墻給予完全訪問權并不做任何安全檢查。安全檢查是對某些服務的禁用。
建議你只有在一個可信任的網(wǎng)絡(非互聯(lián)網(wǎng))中運行時,或者你想稍后再進行詳細的防火墻配置時才選此項。選擇 「定制」 來添加信任的設備或允許其它的進入接口。
信任的設備:選擇「信任的設備」中的任何一個將會允許你的系統(tǒng)接受來自這一設備的全部交通;它不受防火墻規(guī)則的限制。
例如,如果你在運行一個局域網(wǎng),但是通過PPP撥號連接到了互聯(lián)網(wǎng)上,你可以選擇「eth0」,而后所有來自你的局域網(wǎng)的交通將會被允許。
把「eth0」選為“信任的”意味著所有這個以太網(wǎng)內(nèi)的交通都是被允許的,但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通,不要選擇它。建議你不要將連接到互聯(lián)網(wǎng)之類的公共網(wǎng)絡上的設備定為 「信任的設備」。
允許進入:啟用這些選項將允許具體指定的服務穿過防火墻。注意:在工作站類型安裝中,大多數(shù)這類服務在系統(tǒng)內(nèi)沒有被安裝。
DHCP:如果你允許進入的 DHCP 查詢和回應,你將會允許任何使用 DHCP 來判定其IP地址的網(wǎng)絡接口。DHCP通常是啟用的。如果DHCP沒有被啟用,你的計算機就不能夠獲取 IP 地址。
SSH:Secure(安全)SHell(SSH)是用來在遠程機器上登錄及執(zhí)行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機器,啟用該選項。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠程訪問你的機器。
TELNET:Telnet是用來在遠程機器上登錄的協(xié)議。Telnet通信是不加密的,幾乎沒有提供任何防止來自網(wǎng)絡刺探之類的安全措施。建議你不要允許進入的Telnet訪問。如果你想允許進入的 Telnet 訪問,你需要安裝 telnet-server 軟件包。
HTTP:HTTP協(xié)議被Apache(以及其它萬維網(wǎng)服務器)用來進行網(wǎng)頁服務。如果你打算向公眾開放你的萬維網(wǎng)服務器,請啟用該選項。你不需要啟用該選項來查看本地網(wǎng)頁或開發(fā)網(wǎng)頁。如果你打算提供網(wǎng)頁服務的話,你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會為 HTTPS 打開一個端口。要啟用 HTTPS,在 「其它端口」 字段內(nèi)注明。
SMTP:如果你需要允許遠程主機直接連接到你的機器來發(fā)送郵件,啟用該選項。如果你想從你的ISP服務器中收取POP3或IMAP郵件,或者你使用的是fetchmail之類的工具,不要啟用該選項。請注意,不正確配置的 SMTP 服務器會允許遠程機器使用你的服務器發(fā)送垃圾郵件。
FTP:FTP 協(xié)議是用于在網(wǎng)絡機器間傳輸文件的協(xié)議。如果你打算使你的 FTP 服務器可被公開利用,啟用該選項。你需要安裝 vsftpd 軟件包才能利用該選項。
其他端口:你可以允許到這里沒有列出的其它端口的訪問,方法是在 「其它端口」 字段內(nèi)把它們列出。格式為: 端口:協(xié)議。例如,如果你想允許 IMAP 通過你的防火墻,你可以指定 imap:tcp。你還可以具體指定端口號碼 要允許 UDP 包在端口 1234 通過防火墻,輸入 1234:udp。要指定多個端口,用逗號將它們隔開。
竅門:要在安裝完畢后改變你的安全級別配置,使用 安全級別配置工具。
在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動 安全級別配置工具。如果你不是根用戶,它會提示你輸入根口令后再繼續(xù)。
運行防火墻的計算機(以下稱防火墻)既連接外部網(wǎng),又連接內(nèi)部網(wǎng)。一般情況下,內(nèi)部網(wǎng)的用戶不能直接訪問外部網(wǎng),反之亦然。如果內(nèi)部網(wǎng)用戶要訪問外部網(wǎng),必須先登錄到防火墻,由防火墻進行IP地址轉(zhuǎn)換后,再由防火墻發(fā)送給外部網(wǎng),即當內(nèi)部網(wǎng)機器通過防火墻時,源IP地址均被設置(或稱偽裝,或稱欺騙)成外部網(wǎng)合法的IP地址。經(jīng)偽裝以后,在外部網(wǎng)看來,內(nèi)部網(wǎng)的機器是一個具有合法的IP地址的機器,因而可進行通信。外部網(wǎng)用戶要訪問內(nèi)部網(wǎng)用戶時,也要先登錄到防火墻,經(jīng)過濾后,僅通過允許的服務。由此可見,防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間起到了兩個作用:(1)IP包過濾——保護作用;(2)路由——網(wǎng)絡互連作用。
硬件安裝:運行Linux防火墻的計算機上必須安裝有兩塊網(wǎng)卡或一塊網(wǎng)卡、一塊Modem卡。本文以兩塊網(wǎng)卡為例。安裝網(wǎng)卡,正確設置中斷號及端口號,并為各網(wǎng)卡分配合適的IP地址。例如:eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創(chuàng)建,刪除或插入鏈,并可以在鏈中創(chuàng)建,刪除或插入過濾規(guī)則。Iptables僅僅是一個包過濾管理工具,對過濾規(guī)則的執(zhí)行是通過LINUX的NETWORK PACKET FILTERING內(nèi)核和相關的支持模塊來實現(xiàn)的。
RED HAT LINUX在安裝時,也安裝了對舊版的IPCHAINS的支持,但是兩者不能同時使用,可以用以下命令卸下: Rmmod ipchains 然后可以檢查下Iptables是否安裝了: Rpm –q Iptables Iptables-1.2.7a-2 說明已經(jīng)安裝了Iptables Iptables有以下服務: 啟用:service Iptables start 重啟:service Iptables restart 停止:servixe Iptables stop 對鏈的操作:
1. 2. 查看鏈:Iptables –L 創(chuàng)建與刪除鏈:Iptables –N block block為新鏈
Iptables –X 為刪除鏈 3.
對規(guī)則的操作:
1. 2. 3. 4. 5. 6. 7. 刪除鏈中規(guī)則:Iptables –E 歸零封包記數(shù)器:Iptables –Z 設置鏈的默認策略:Iptables –P 新增規(guī)則:Iptables –A 替換規(guī)則:Iptables –R 刪除規(guī)則:Iptables –D 插入規(guī)則:Iptables –I 更改鏈的名稱:Iptables-E 要禁止外網(wǎng)PING本機,可以執(zhí)行規(guī)則為:
Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機訪問本機,規(guī)則為: Iptables –A INPUT –s 220.174.156.22 –j DROP 規(guī)則的處理動作: 1. 2. ACCEPT:允許封包通過或接收該封包
REJECT:攔截該封包,并回傳一個封包通知對方
3. 4. DROP:直接丟棄封包
5. 6. MASQUERADE:用于改寫封包的來源IP為封包流出的外網(wǎng)卡的IP地址,實現(xiàn)IP偽裝
假設外網(wǎng)卡為ETH0,則 : iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99
構(gòu)建路由: 增加一條靜態(tài)路由:
# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態(tài)路由:
# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統(tǒng)增加一條缺省路由,因為缺省的路由是把所有的數(shù)據(jù)包都發(fā)往它的上一級網(wǎng)關
(假設地址是172.16.1.254,這個地址依賴于使用的網(wǎng)絡而定,由網(wǎng)絡管理員分配),因此增加如下的缺省路由記錄: # route add default gw 172.16.77.254 最后一步,要增加系統(tǒng)的IP轉(zhuǎn)發(fā)功能。這個功能由
執(zhí)行如下命令打開ip轉(zhuǎn)發(fā)功能: echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。
第四篇:實驗三 防火墻的配置
實驗三 防火墻的配置
? 實驗目的
1、了解防火墻的含義與作用
2、學習防火墻的基本配置方法
3、理解iptables工作機理
4、熟練掌握iptables包過濾命令及規(guī)則
5、學會利用iptables對網(wǎng)絡事件進行審計
6、熟練掌握iptables NAT工作原理及實現(xiàn)流程
7、學會利用iptables+squid實現(xiàn)web應用代理
? 實驗原理
? 防火墻的基本原理
一.什么是防火墻
在古代,人們已經(jīng)想到在寓所之間砌起一道磚墻,一旦火災發(fā)生,它能夠防止火勢蔓延到別的寓所,于是有了“防火墻”的概念。
進入信息時代后,防火墻又被賦予了一個類似但又全新的含義。防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡的安全。
二.防火墻能做什么 1.防火墻是網(wǎng)絡安全的屏障
一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
2.防火墻可以強化網(wǎng)絡安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上,而集中在防火墻一身上。
3.對網(wǎng)絡存取和訪問進行監(jiān)控審計
如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外,收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。
4.防止內(nèi)部信息的外泄
通過利用防火墻對內(nèi)部網(wǎng)絡的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者,隱私是內(nèi)部網(wǎng)絡非常關心的問題,一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度,這個系統(tǒng)是否有用戶正在連線上網(wǎng),這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內(nèi)部網(wǎng)絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機地聯(lián)成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
三.NAT NAT英文全稱是“Network Address Translation”,中文意思是“網(wǎng)絡地址轉(zhuǎn)換”,它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準,允許一個整體機構(gòu)以一個公用IP(Internet Protocol)地址出現(xiàn)在Internet上。顧名思義,它是一種把內(nèi)部私有網(wǎng)絡地址(IP地址)翻譯成合法網(wǎng)絡IP地址的技術。
簡單的說,NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡中使用內(nèi)部地址,而當內(nèi)部節(jié)點要與外部網(wǎng)絡進行通訊時,就在網(wǎng)關(可以理解為出口,打個比方就像院子的門一樣)處,將內(nèi)部地址替換成公用地址,從而在外部公網(wǎng)(Internet)上正常使用,NAT可以使多臺計算機共享Internet連接,這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法,您可以只申請一個合法IP地址,就把整個局域網(wǎng)中的計算機接入Internet中。這時,NAT屏蔽了內(nèi)部網(wǎng)絡,所有內(nèi)部網(wǎng)計算機對于公共網(wǎng)絡來說是不可見的,而內(nèi)部網(wǎng)計算機用戶通常不會意識到NAT的存在。這里提到的內(nèi)部地址,是指在內(nèi)部網(wǎng)絡中分配給節(jié)點的私有IP地址,這個地址只能在內(nèi)部網(wǎng)絡中使用,不能被路由(一種網(wǎng)絡技術,可以實現(xiàn)不同路徑轉(zhuǎn)發(fā))。雖然內(nèi)部地址可以隨機挑選,但是通常使用的是下面的地址:10.0.0.0~10.255.255.255,172.16.0.0~172.16.255.255,192.168.0.0~192.168.255.255。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC(網(wǎng)絡信息中心)或者ISP(網(wǎng)絡服務提供商)分配的地址,對外代表一個或多個內(nèi)部局部地址,是全球統(tǒng)一的可尋址的地址。
NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經(jīng)加入這一功能,網(wǎng)絡管理員只需在路由器的IOS中設置NAT功能,就可以實現(xiàn)對內(nèi)部網(wǎng)絡的屏蔽。再比如防火墻將Web Server的內(nèi)部地址192.168.1.1映射為外部地址202.96.23.11,外部訪問202.96.23.11地址實際上就是訪問192.168.1.1。另外對資金有限的小型企業(yè)來說,現(xiàn)在通過軟件也可以實現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。
NAT有三種類型:靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡地址端口轉(zhuǎn)換NAPT(Port-Level NAT)。
其中靜態(tài)NAT設置起來最為簡單和最容易實現(xiàn)的一種,內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要,三種NAT方案各有利弊。
動態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,主要應用于撥號,對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
網(wǎng)絡地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應用于接入設備中,它可以將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設備選定的TCP端口號。
在Internet中使用NAPT時,所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用,通過從ISP處申請的一個IP地址,將多個連接通過NAPT接入Internet。實際上,許多SOHO遠程訪問設備支持基于PPP的動態(tài)IP地址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內(nèi)部IP地址共用一個外部IP地址訪問Internet,雖然這樣會導致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點,用NAPT還是很值得的。
? Windows 2003防火墻
Windows 2003提供的防火墻稱為Internet連接防火墻,通過允許安全的網(wǎng)絡通信通過防火墻進入網(wǎng)絡,同時拒絕不安全的通信進入,使網(wǎng)絡免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
在Windows2003服務器上,對直接連接到Internet的計算機啟用防火墻功能,支持網(wǎng)絡適配器、DSL適配器或者撥號調(diào)制解調(diào)器連接到Internet。它可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠程主機對服務器的掃描,從而提高Windows 2003服務器的安全性。同時,它也可以有效攔截利用操作系統(tǒng)漏洞進行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能,能夠?qū)φ麄€內(nèi)部網(wǎng)絡起到很好的保護作用。
1.啟用/關閉防火墻
(1)打開“網(wǎng)絡連接”,右擊要保護的連接,單擊“屬性”,出現(xiàn)“本地連接屬性”對話框。
(2)選擇“高級”選項卡,單擊“設置”按鈕,出現(xiàn)啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻,請單擊“啟用(O)”按鈕;如果要禁用Internet 連接防火墻,請單擊“關閉(F)”按鈕。
2.防火墻服務設置
Windows 2003 Internet連接防火墻能夠管理服務端口,例如HTTP的80端口、FTP的21端口等,只要系統(tǒng)提供了這些服務,Internet連接防火墻就可以監(jiān)視并管理這些端口。
(1)解除阻止設置。
在“例外”選項卡中,可以通過設定讓防火墻禁止和允許本機中某些應用程序訪問網(wǎng)絡,加上“√”表示允許,不加“√”表示禁止。如果允許本機中某項應用程序訪問網(wǎng)絡,則在對話框中間列表中所列出該項服務前加“√”(如果不存在則可單擊“添加程序”按鈕進行添加);如果禁止本機中某項應用程序訪問網(wǎng)絡,則將該項服務前的“√”清除(如果不存在同樣可以添加)。在“Windows防火墻阻止程序時通知我”選項前打“√”則在主機出現(xiàn)列表框中不存在的應用程序欲訪問網(wǎng)絡時,防火墻會彈出提示框詢問用戶是否允許該項網(wǎng)絡連接。
(2)高級設置。
在“高級”選項卡中,可以指定需要防火墻保護的網(wǎng)絡連接,雙擊網(wǎng)絡連接或單擊“設置”按鈕設置允許其他用戶訪問運行于本主機的特定網(wǎng)絡服務。選擇“服務”選項卡,其中列舉出了網(wǎng)絡標準服務,加上“√”表示允許,不加“√”表示禁止。如果允許外部網(wǎng)絡用戶訪問網(wǎng)絡的某一項服務,則在對話框中間列表中所列出該項服務前加“√”(如果不存在則可單擊“添加程序”按鈕進行添加);如果禁止外部網(wǎng)絡用戶訪問內(nèi)部網(wǎng)絡的某一項服務,則將該項服務前的“√”清除(如果不存在同樣可以添加)。選擇“ICMP”選項卡,允許或禁止某些類型的ICMP響應,建議禁止所有的ICMP響應。
3.防火墻安全日志設置
Windows2003防火墻可以記錄所有允許和拒絕進入的數(shù)據(jù)包,以便進行進一步的分析。在“高級”選項卡的“安全日志記錄”框中單擊“設置”按鈕,進入“日志設置”界面。
如果要記錄被丟棄的包,則選中“記錄被丟棄的數(shù)據(jù)包”復選按鈕;如果要記錄成功的連接,則選中“記錄成功的連接”復選按鈕。
日志文件默認路徑為C:WINDOWSpfirewall.log,用記事本可以打開,所生成的安全日志使用的格式為W3C擴展日志文件格式,可以用常用的日志分析工具進行查看分析。你也可以重新指定日志文件,而且還可以通過“大小限制”限定文件的最大使用空間。
「說明」 建立安全日志是非常必要的,在服務器安全受到威脅時,日志可以提供可靠的證據(jù)。
? linux防火墻-iptable的應用
一.iptables簡介
從1.1內(nèi)核開始,linux就已經(jīng)具有包過濾功能了,在2.0的內(nèi)核中我們采用ipfwadm來操作內(nèi)核包過濾規(guī)則。之后在2.2內(nèi)核中,采用了大家并不陌生的ipchains來控制內(nèi)核包過濾規(guī)則。在2.4內(nèi)核中我們不再使用ipchains,而是采用一個全新的內(nèi)核包過濾管理工具—iptables。這個全新的內(nèi)核包過濾工具將使用戶更易于理解其工作原理,更容易被使用,當然也將具有更為強大的功能。
實際上iptables只是一個內(nèi)核包過濾的工具,iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內(nèi)核中一個通用架構(gòu))及其相關模塊(如iptables模塊和nat模塊)。
netfilter提供了一系列的“表(tables)”,每個表由若干“鏈(chains)”組成,而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解,netfilter是表的容器,表是鏈的容器,鏈又是規(guī)則的容器。
netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數(shù)條規(guī)則,每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件,就這樣處理這個數(shù)據(jù)包”。當一個數(shù)據(jù)包到達一個鏈時,系統(tǒng)就會從第一條規(guī)則開始檢查,看是否符合該規(guī)則所定義的條件:如果滿足,系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包;如果不滿足則繼續(xù)檢查下一條規(guī)則。最后,如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話,系統(tǒng)就會根據(jù)預先定義的策略(policy)來處理該數(shù)據(jù)包。
圖3-2-1 網(wǎng)絡數(shù)據(jù)包在filter表中的流程
數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進入系統(tǒng)時,系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈,則可能有三種情況:
(1)如果數(shù)據(jù)包的目的地址是本機,則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應的本地進程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會將這個包丟掉。
(2)如果數(shù)據(jù)包的目的地址不是本機,也就是說,這個包將被轉(zhuǎn)發(fā),則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應的本地進程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會將這個包丟掉。
(3)如果數(shù)據(jù)包是由本地系統(tǒng)進程產(chǎn)生的,則系統(tǒng)將其送往OUTPUT鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應的本地進程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會將這個包丟掉。
當我們在使用iptables NAT功能的時候,我們所使用的表不再是“filter”表,而是“nat”表,所以我們必須使用“-t nat”選項來顯式地指明這一點。因為系統(tǒng)缺省的表是“filter”,所以在使用filter功能時,我們沒有必要顯式的指明“-t filter”。
同“filter”表一樣,nat表也有三條缺省的鏈,這三條鏈也是規(guī)則的容器,它們分別是:
(1)PREROUTING: 可以在這里定義進行目的NAT的規(guī)則,因為路由器進行路由時只檢查數(shù)據(jù)包的目的IP地址,為了使數(shù)據(jù)包得以正確路由,我們必須在路由之前就進行目的NAT。
(2)POSTROUTING: 可以在這里定義進行源NAT的規(guī)則,在路由器進行路由之后才進行源NAT。(3)OUTPUT: 定義對本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。二.NAT工作原理
NAT的基本思想是為每個企業(yè)分配一個IP地址(或者是很少幾個)來進行Internet傳輸。在企業(yè)內(nèi)部,每個電腦取得一唯一的IP地址來為內(nèi)部傳輸做路由。然而,當封包離開企業(yè),進入ISP之后,就需要進行地址轉(zhuǎn)換了。為了使這個方案可行,IP地址的范圍被聲明為私有的,企業(yè)可以隨意在內(nèi)部使用他們。僅有的規(guī)則是,沒有包含這些地址的封包出現(xiàn)在Internet上。
「說明」 IP私有地址范圍是:10.0.0.0~10.255.255.255/
8、172.16.0.0 ~172.31.255.255/
12、192.168.0.0~192.168.255.255/16。
如圖3-2-2所示。在企業(yè)內(nèi)部,每個機器都有一個唯一的172.16.x.y形式的地址。然而,當封包離開企業(yè)時,它要經(jīng)過NAT轉(zhuǎn)盒,NAT盒將內(nèi)部IP源地址,即圖中的172.16.0.50轉(zhuǎn)換成企業(yè)的真實地址(這個地址對于Internet來說是可見的),此例中為202.198.168.150。NAT盒通常和防火墻一起綁定在一個設備上,這里的防火墻通過小心地控制進出企業(yè)的封包提供了安全保障。
圖3-2-2 NAT地址轉(zhuǎn)換
三.iptables常用操作語法
對于任何協(xié)議及協(xié)議的擴展,通用匹配都可以直接使用。(1)匹配指定協(xié)議。
匹配-p,--protocol/使用 iptables-A INPUT-p tcp-j ACCEPT/說明匹配指定的協(xié)議,指定協(xié)議的形式有以下幾種:①名字不分大小寫,但必須是在/etc/protocols中定義的;②可以使用協(xié)議相應的整數(shù)值。例如,ICMP的值是1,TCP是6,UDP是17;③缺少設置ALL,相應數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP,而不是/etc/protocols中定義的所有協(xié)議;④可以是協(xié)議列表,以英文逗號為分隔符,如:udp,tcp;⑤可以在協(xié)議前加英文的感嘆號表示取反,注意有空格,如:--protocol!tcp表示非TCP協(xié)議,也就是UDP和ICMP。可以看出這個取反的范圍只是TCP、UDP和ICMP。
(2)以IP源地址匹配包。
匹配-s,--src,--source/使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT/說明以IP源地址匹配包。地址的形式如下:①單個地址,如192.168.0.1,也可寫成192.168.0.1/255.255.255.255或192.168.0.1/32;②網(wǎng)絡,如192.168.0.0/24,或192.168.0.0/255.255.255.0;③在地址前加英文感嘆號表示取反,注意空格,如—source!192.168.0.0/24表示除此地址外的所有地址;④缺省是所有地址。
(3)以IP目的地址匹配包。
匹配-d,--dst,--destination/使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT/說明以IP目的地址匹配包。地址的形式和—source完全一樣。
(4)以包進入本地使用的網(wǎng)絡接口匹配包。
匹配-i/使用 iptables-A INPUT-i eth0-j ACCEPT/說明以包進入本地所使用的網(wǎng)絡接口來匹配包。要注意這個匹配操作只能用于INPUT,FORWARD和PREROUTING這三個鏈,用在其他任何地方會提示錯誤信息。指定接口有以下方法:①指定接口名稱,如:eth0、ppp0等;②使用通配符,即英文加號,它代表字符數(shù)字串。若直接用一個加號,即iptables-A INPUT-i +表示匹配所有的包,而不考慮使用哪個接口。通配符還可以放在某一類接口的后面,如:eth+表示匹配所有從Ethernet接口進入的包;③在接口前加英文感嘆號表示取反,如:-i!eth0意思是匹配來自除eth0外的所有包。
(5)以包離開本地所使用的網(wǎng)絡接口來匹配包。
匹配-o/使用 iptables-A OUTPUT-o eth1-j ACCEPT/說明以包離開本地所使用的網(wǎng)絡接口來匹配包。要注意這個匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個鏈,用在其他任何地方會提示錯誤信息。
(6)匹配通信源端口。
匹配--source-port,--sport/使用 iptables-A INPUT-p tcp--sport 1111/說明當通信協(xié)議為TCP或UDP時,可以指定匹配的源端口,但必須與匹配協(xié)議相結(jié)合使用。
(7)匹配通信源端口。
匹配--destination-port,--dport/使用 iptables-A INPUT-p tcp--dport 80/說明當通信協(xié)議為TCP或UDP時,可以指定匹配的目的端口,但必須與匹配協(xié)議相結(jié)合使用。
五.iptables功能擴展 1.TCP擴展
iptables可以擴展,擴展分為兩種:一種是標準的;另一種是用戶派生的。如果指定了“-p tcp”,那么TCP擴展將自動加載,通過--tcp-flags擴展,我們指定TCP報文的哪些Flags位被設置,在其后跟隨兩個參數(shù):第一個參數(shù)代表Mask,指定想要測驗的標志位;第二個參數(shù)指定哪些位被設置。
例:設置iptables防火墻禁止來自外部的任何tcp主動請求,并對此請求行為進行事件記錄。
其中ULOG指定對匹配的數(shù)據(jù)包進行記錄,由日志生成工具ULOG生成iptables防火日志,--log-prefix選項為記錄前綴。
2.ICMP擴展
例:設置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。
其中--icmp-type為擴展命令選項,其后參數(shù)可以是三種模式:(1)ICMP類型名稱(例如,host-unreachable)。(2)ICMP類型值(例如3)。(3)ICMP類型及代碼值(8/0)。六.狀態(tài)檢測
“狀態(tài)”的意思是指如果一個數(shù)據(jù)包是對先前從防火墻發(fā)出去的包的回復,則防火墻自動不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進入并返回給請求者,這樣就不用設置許多規(guī)則定義就可實現(xiàn)應用的功能。
我們可以把請求端與應答端之間建立的網(wǎng)絡通信連接稱為網(wǎng)絡會話,每個網(wǎng)絡會話都包括以下信息——源IP地址、目標IP地址、源端口、目的端口,稱為套接字對;協(xié)議類型、連接狀態(tài)(TCP協(xié)議)和超時時間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內(nèi)存中維護一個跟蹤狀態(tài)的表,比簡單的包過濾防火墻具有更大的安全性,而iptables就是一種基于狀態(tài)的防火墻。命令格式如下:
iptables-m state--state [!] state [,state,state,state] 其中,state表是一個由逗號分割的列表,用來指定連接狀態(tài),狀態(tài)分為4種:(1)NEW: 該包想要建立一個新的連接(重新連接或連接重定向)
(2)RELATED:該包是屬于某個已經(jīng)建立的連接所建立的新連接。舉例:FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關系。
(3)ESTABLISHED:該包屬于某個已經(jīng)建立的連接。(4)INVALID:該包不匹配于任何連接,通常這些包被DROP。七.NAT操作
前面提到在iptables防火墻中提供了3種策略規(guī)則表:Filter、Mangle和NAT,這3種表功能各不相同,而最為常用的就是filter和nat表。
nat表僅用于NAT,也就是網(wǎng)絡地址轉(zhuǎn)換。做過NAT操作的數(shù)據(jù)包的地址就被改變了,當然這種改變是根據(jù)我們的規(guī)則進行的。屬于流的包只會經(jīng)過這個表一次,經(jīng)一個包被允許做NAT,那么余下的包都會自動地做相同的操作。也就是說,余下的包不會再通過這個表一個一個的被NAT,而是自動完成的。常用操作分為以下幾類。
(1)SNAT(source network address translation,源網(wǎng)絡地址目標轉(zhuǎn)換)。
SNAT是POSTROUTING鏈表的作用,在封包就要離開防火墻之前改變其源地址,這在極大程度上可以隱藏本地網(wǎng)絡或者DMZ等。比如,多個PC機使用路由器共享上網(wǎng),每個PC機都配置了內(nèi)網(wǎng)IP(私有IP),PC機訪問外部網(wǎng)絡的時候,路由器將數(shù)據(jù)包的報頭中的源地址替換成路由器的IP,當外部網(wǎng)絡的服務器比如網(wǎng)站W(wǎng)eb服務器接到訪問請求的時候,它的日志記錄下來的路由器的IP,而不是PC機的內(nèi)網(wǎng)IP,這是因為,這個服務器收到的數(shù)據(jù)包的報頭里邊的“源地址”已經(jīng)被替換了。所以叫做SNAT,基于源地址的地址轉(zhuǎn)換。
例如更改所有來自192.168.0.1/24的數(shù)據(jù)包的源IP地址為10.0.0.1,其iptables實現(xiàn)為:
(2)DNAT(destination network address translation,目標網(wǎng)絡地址轉(zhuǎn)換)。
DNAT是PREROUTING鏈表的作用,在封包剛剛到達防火墻時改變其目的地址,以使包能重路由到某臺主機。典型的應用是,有個Web服務器放在企業(yè)網(wǎng)絡DMZ區(qū),其配置了內(nèi)網(wǎng)IP地址,企業(yè)防火墻的的外網(wǎng)接口配置了企業(yè)唯一的公網(wǎng)IP,互聯(lián)網(wǎng)上的訪問者使用公網(wǎng)IP來訪問這個網(wǎng)站,當訪問的時候,客戶端發(fā)出一個數(shù)據(jù)包,這個數(shù)據(jù)包的報頭里邊,目標地址寫的是防火墻的公網(wǎng)IP,然后再把這個數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務器上,這樣,數(shù)據(jù)包就穿透了防火墻,并從公網(wǎng)IP變成了一個對DMZ區(qū)的訪問了。所以叫做DNAT,基于目標的網(wǎng)絡地址轉(zhuǎn)換。
例如更改所有來自202.98.0.1/24的數(shù)據(jù)包的目的IP地址為192.168.0.1,其iptables實現(xiàn)為:
(3)REDIRECT(重定向)。
REDIRECT是DNAT的特殊情況是重定向,也就是所謂的Redirection,這時候就相當于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進入系統(tǒng)時的網(wǎng)絡接口的IP地址。通常是在與squid配置形成透明代理時使用,假設squid的監(jiān)聽端口是3128,我們可以通過以下語句來將來自192.168.0.1/24,目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽:
(4)MASQUERADE(地址偽裝)。
在iptables中有著和SNAT相近的效果,但也有一些區(qū)別。在使用SNAT的時候,出口IP的地址范圍可以是一個,也可以是多個,例如把所有
192.168.0.0/2
4網(wǎng)段數(shù)據(jù)包
SNAT
成202.98.0.150/202.98.0.151/202.98.0.152等幾個IP然后發(fā)出去,其iptables實現(xiàn)為:
SNAT即可以NAT成一個地址,也可以NAT成多個地址。但是,對于SNAT來說不管是幾個地址,必須明確指定轉(zhuǎn)換的目標地址IP。假如當前系統(tǒng)用的是ADSL動態(tài)撥號方式,那么每次撥號,出口IP都會改變,而且改變的幅度很大,不一定是202.98.0.150到202.98.0.152范圍內(nèi)的地址,這個時候如果使用SNAT的方式來配置iptables就會出現(xiàn)麻煩了,因為每次撥號后出口IP都會變化,而iptables規(guī)則內(nèi)的IP是不會隨著自動變化的,每次地址變化后都必須手工修改一次iptables,把規(guī)則里邊的固定的IP改成新的IP,這樣是非常不好用的。
MASQUERADE就是針對這種場景而設計的,它的作用是從防火墻外網(wǎng)接口上自動獲取當前IP地址來做NAT,比如下邊的命令:
八.防火墻應用代理 1.代理服務器概述
在TCP/IP網(wǎng)絡中,傳統(tǒng)的通信過程是這樣的:客戶端向服務器請求數(shù)據(jù),服務器響應該請求,將數(shù)據(jù)傳送給客戶端,如圖3-2-3所示。
圖3-2-3 直接訪問Internet 在引入了代理服務器以后,這一過程變成了這樣:客戶端向服務器發(fā)起請求,該請求被送到代理服務器;代理服務器分析該請求,先查看自己緩存中是否有請求數(shù)據(jù),如果有就直接傳遞給客戶端,如果沒有就代替客戶端向該服務器發(fā)出請求。服務器響應以后,代理服務將響應的數(shù)據(jù)傳遞給客戶端,同時在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣,再有客戶端請求相同的數(shù)據(jù)時,代理服務器就可以直接將數(shù)據(jù)傳送給客戶端,而不需要再向該服務器發(fā)起請求,如圖3-2-4所示。
圖3-2-4 通過代理服務器訪問Internet
2.代理服務器功能
一般說來,代理服務器具有以下的功能:(1)通過緩存增加訪問速度。
隨著Internet的迅猛發(fā)展,網(wǎng)絡帶寬變得越來越珍貴。所以為了提高訪問速度,好多ISP都提供代理服務器,通過代理服務器的緩存功能來加快網(wǎng)絡的訪問速度。一般說來,大多數(shù)的代理服務器都支持HTTP緩存,但是,有的代理服務器也支持FTP緩存。在選擇代理服務器時,對于大多數(shù)的組織,只需要HTTP緩存功能就足夠了。
通常,緩存有主動緩存被動緩存之分。所謂被動緩存,指的是代理服務器只在客戶端請求數(shù)據(jù)時才將服務器返回的數(shù)據(jù)進行緩存,如果數(shù)據(jù)過期了,又有客戶端請求相同的數(shù)據(jù)時,代理服務器又必須重新發(fā)起新的數(shù)據(jù)請求,在將響應數(shù)據(jù)傳送給客戶端時又進行新的緩存。所謂主動緩存,就是代理服務器不斷地檢查緩存中的數(shù)據(jù),一旦有數(shù)據(jù)過期,則代理服務器主動發(fā)起新的數(shù)據(jù)請求來更新數(shù)據(jù)。這樣,當有客戶端請求該數(shù)據(jù)時就會大大縮短響應時間。對于數(shù)據(jù)中的認證信息,大多數(shù)的代理服務器都不會進行緩存的。
(2)提供用私有IP訪問Internet的方法。
IP地址是不可再生的寶貴資源,假如你只有有限的IP地址,但是需要提供整個組織的Internet訪問能力,那么,你可以通過使用代理服務器來實現(xiàn)這一點。
(3)提高網(wǎng)絡的安全性。
如果內(nèi)部用戶訪問Internet都是通過代理服務器,那么代理服務器就成為進入Internet的唯一通道;反過來說,代理服務器也是Internet訪問內(nèi)部網(wǎng)絡的唯一通道,如果你沒有做反向代理,則對于Internet上的主機來說,你的整個內(nèi)部網(wǎng)只有代理服務器是可見的,從而大大增強了網(wǎng)絡的安全性。
3.傳統(tǒng)、透明和反向代理服務器(1)傳統(tǒng)代理服務器。
傳統(tǒng)代理常被用于緩存靜態(tài)網(wǎng)頁(例如:html文件和圖片文件等)到本地網(wǎng)絡上的一臺主機上(即代理服務器)。不緩存的頁面被第二次訪問的時候,瀏覽器將直接從本地代理服務器那里獲取請求數(shù)據(jù)而不再向原Web站點請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡帶寬,而且提高了訪問速度。但是,要想實現(xiàn)這種方式,必須在每一個內(nèi)部主機的瀏覽器上明確指明代理服務器的IP地址和端口號。客戶端上網(wǎng)時,每次都把請求給代理服務器處理,代理服務器根據(jù)請求確定是否連接到遠程Web服務器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標文件,則直接將文件傳給用戶即可。如果沒有的話則先取回文件,并在本地保存一份緩沖,然后將文件發(fā)給客戶端瀏覽器。
(2)透明代理服務器。
透明代理與傳統(tǒng)代理的功能完全相同。但是,代理操作對客戶端瀏覽器是透明的(即不需指明代理服務器的IP和端口)。透明代理服務器阻斷網(wǎng)絡通信,并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶,如果在本地沒有緩沖則向遠程Web服務器發(fā)出請求,其余操作和傳統(tǒng)代理服務器完全相同。對于Linux操作系統(tǒng)來說,透明代理使用iptables實現(xiàn)。因為不需要對瀏覽器作任何設置,所以,透明代理對于ISP來說特別有用。
(3)反向代理服務器。
反向代理是和前兩種代理完全不同的一種代理服務。使用它可以降低原始Web服務器的負載。反向代理服務器承擔了對原始Web服務器的靜態(tài)頁面的請求,防止原始服務器過載。如圖3-2-5所示,它位于本地Web服務器和Internet之間,處理所有對Web服務器的請求。如果互聯(lián)網(wǎng)用戶請求的頁面在代理器上有緩沖的話,代理服務器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒有緩沖則先向Web服務器發(fā)出請求,取回數(shù)據(jù),本地緩存后再發(fā)送給用戶。這種方式通過降低了向Web服務器的請求數(shù)從而降低了Web服務器的負載。
圖3-2-5 反向代理服務器位于Internet與組織服務器之間
4.代理服務器squid簡介
Squid是一個緩存Internet數(shù)據(jù)的一個開源軟件,它會接收用戶的下載申請,并自動處理所下載的數(shù)據(jù)。也就是說,當一個用戶要下載一個主頁時,他向squid發(fā)出一個申請,要求squid替它下載,squid連接申請網(wǎng)站并請求該主頁,然后把該主頁傳給用戶同時保留一個備份,當別的用戶申請同樣的頁面時,squid把保存的備份立即傳給用戶,使用戶覺得速度相當快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議,暫不能代理POP、NNTP等協(xié)議。但是已經(jīng)有人開始改進squid,相信不久的將來,squid將能夠代理這些協(xié)議。
Squid不是對任何數(shù)據(jù)都進行緩存。像信用卡賬號、可以遠方執(zhí)行的Script、經(jīng)常變換的主頁等是不適合緩存的。Squid可以根據(jù)用戶的需要進行設置,過濾掉不想要的東西。
Squid可用在很多操作系統(tǒng)中,如Digital Unix, FreeBSD, HP-UX, Linux, Solaris,OS/2等,也有不少人在其他操作系統(tǒng)中重新編譯過Squid。
Squid對內(nèi)存有一定的要求,一般不應小于128M,硬盤最好使用服務器專用SCSI硬盤。
Squid是一個高性能的代理緩存服務器,和一般的代理緩存軟件不同,Squid用一個單獨的、非模塊化的、I/O驅(qū)動的進程來處理所有的客戶端請求。
Squid將數(shù)據(jù)元緩存在內(nèi)存中,同時也緩存DNS查詢的結(jié)果。此外,它還支持非模塊化的DNS查詢,對失敗的請求進行消極緩存。Squid支持SSL,支持訪問控制。由于使用了ICP(輕量Internet緩存協(xié)議),Squid能夠?qū)崿F(xiàn)層疊的代理陣列,從而最大限度地節(jié)約帶寬。
Squid由一個主要的服務程序Squid,一個DNS查詢程序dnsserver,幾個重寫請求和執(zhí)行認證的程序,以及幾個管理工具組成。當Squid啟動以后,它可以派生出預先指定數(shù)目的dnsserver進程,而每一個dnsserver進程都可以執(zhí)行單獨的DNS查詢,這樣就減少了服務器等待DNS查詢的時間。
5.Squid常用配置選項
因為缺省的配置文件不能使Squid正常啟動服務,所以我們必須首先修改該配置文件的有關內(nèi)容,才能讓Squid運行起來。
下面是squid.conf文件的結(jié)構(gòu)。squid.conf配置文件的可以分為13個部分,這13個部分如下有所示。
雖然Squid的配置文件很龐大,但是如果你只是為一個中小型網(wǎng)絡提供代理服務,并且只準備使用一臺服務器,則只需要修改配置文件中的幾個選項。
6.Squid常用命令選項(1)端口號。
http_port指令告訴squid在哪個端口偵聽HTTP請求。默認端口是3128:http_port 3128,如果要squid作為加速器運行則應將它設為80。
你能使用附加http_port行來指squid偵聽在多個端口上。例如,來自某個部門的瀏覽器發(fā)送請求3128,然而另一個部門使8080端口。可以將兩個端口號列舉出來:
http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運行時,它有兩個網(wǎng)絡接口:一個內(nèi)部的和一個外部的。你可能不想接受來自外部的http請求。為了使squid僅僅偵聽在內(nèi)部接口上,簡單的將IP地址放在端口號前面:
http_port 192.168.1.1:3128(2)日志文件路徑。
默認的日志目錄是squid安裝位置下的logs目錄,其路徑是/usr/local/squid/var/logs。
你必須確認日志文件所存放的磁盤位置空間足夠。squid想確認你不會丟失任何重要的日志信息,特別是你的系統(tǒng)被濫用或者被攻擊時。
Squid有三個主要的日志文件:cache.log、access.log和store.log。cache.log文件包含狀態(tài)性的和調(diào)試性的消息。access.log文件包含了對squid發(fā)起的每個客戶請求的單一行。每行平均約150個字節(jié)。假如因為某些理由,你不想squid記錄客戶端請求日志,你能指定日志文件的路徑為/dev/null。store.log文件對大多數(shù)cache管理員來說并非很有用。它包含了進入和離開緩存的每個目標的記錄。平均記錄大小典型的是175-200字節(jié)。
如果squid的日志文件增加沒有限制。某些操作系統(tǒng)對單個文件強制執(zhí)行2G的大小限制,即使你有充足的磁盤空間。超過該限制會導致寫錯誤,squid就會退出。(3)訪問控制。
squid默認的配置文件拒絕每一個客戶請求。在任何人能使用代理之前,你必須在squid.conf文件里加入附加的訪問控制規(guī)則。最簡單的方法就是定義一個針對客戶IP地址的ACL和一個訪問規(guī)則,告訴squid允許來自這些地址的HTTP請求。squid有許多不同的ACL類型。src類型匹配客戶IP地址,squid會針對客戶HTTP請求檢查http_access規(guī)則。
acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 請將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯squid.conf文件時,請看如下注釋:
在該注釋之后,以及“http_access deny all”之前插入新規(guī)則。(4)命令選項。
這里的很多選項在實際應用中從不會使用,另外有些僅僅在調(diào)試問題時有用。
? 實驗步驟
? Windows 2003防火墻
一.防火墻基礎操作
操作概述:啟用windows2003系統(tǒng)防火墻,設置規(guī)則阻斷ICMP回顯請求數(shù)據(jù)包,并驗證針對UDP連接工具的例外操作。
(1)在啟用防火墻之前,同組主機通過ping指令互相測試網(wǎng)絡連通性,確保互相是連通的,若測試未通過請排除故障。
(2)本機啟用防火墻,并設置防火墻僅對“本地連接”進行保護。
(3)同組主機再次通過ping指令互相測試網(wǎng)絡連通性,確認是否相互連通_______。(4)設置本機防火墻允許其傳入ICMP回顯請求。(5)第三次測試網(wǎng)絡連通性。二.防火墻例外操作
操作概述:啟用windows2003系統(tǒng)防火墻,在“例外”選項卡中添加程序“UDPtools” 允許UDPtools間通信,并彈出網(wǎng)絡連接提示信息。
(1)關閉防火墻,同組主機間利用UDPtools進行數(shù)據(jù)通信,確保通信成功。
「說明」 UDPtools通信雙方應分別為客戶端和服務端,其默認通過2513/UDP端口進行通信,可以自定義通信端口,運行如圖3-1-1所示。
圖3-1-1 UDP連接工具
(2)本機啟用防火墻(僅對本地連接),將本機作為UDPtools服務器端,同組主機以UDPtools客戶端身份進行通信,確定客戶端通信請求是否被防火墻阻塞_______。
(3)斷開UDPtools通信,單擊“例外”選項卡,在“程序和服務”列表框添加程序“UDPtools.exe”(C:JLCSSTOOLSAnalysertoolsUdpTools.exe)并將其選中。再次啟動UDPtools并以服務器身份運行,同組主機仍以客戶端身份與其通信,確定客戶端通信請求是否被防火墻阻塞_______。
三.NAT操作
操作概述:Windows Server 2003“路由和遠程訪問”服務包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運行“路由和遠程訪問”的服務器上,則使用專用IP地址的內(nèi)部網(wǎng)絡客戶端可以通過NAT服務器的外部接口訪問Internet。
圖3-1-2 實驗網(wǎng)絡連接示意
參看圖3-1-2,當內(nèi)部網(wǎng)絡主機PC1發(fā)送要連接Internet主機PC2的請求時,NAT協(xié)議驅(qū)動程序會截取該請求,并將其轉(zhuǎn)發(fā)到目標Internet主機。所有請求看上去都像是來自NAT器的外部連接IP地址,這樣就隱藏了內(nèi)部網(wǎng)絡主機。
在這里我們將windows Server 2003主機配置成為“路由和遠程訪問”NAT服務器,并模擬搭建Internet網(wǎng)絡環(huán)境對NAT服務器進行測試。
(1)實驗網(wǎng)絡拓撲規(guī)劃。
按圖3-1-2所示,本實驗需3臺主機共同完成,其中一臺主機扮演實驗角色“內(nèi)網(wǎng)主機PC1”,一臺主機扮演實驗角色“外網(wǎng)主機PC2”,最后一臺主機扮演“NAT服務器”。
默認外部網(wǎng)絡地址202.98.0.0/24;內(nèi)部網(wǎng)絡地址172.16.0.0/24,也可根據(jù)實際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。
默認主機“本地連接”為內(nèi)部網(wǎng)絡接口;“外部連接“為外部網(wǎng)絡接口,也可指定“本地連接”為外部網(wǎng)絡接口。
(2)按步驟(1)中規(guī)劃分別為本機的“本地連接”、“外部連接”配置IP地址。
(3)配置NAT路由服務。依次單擊“開始”|“程序”|“管理工具”|“路由和遠程訪問”,在“路由和遠程訪問”MMC中,選擇要安裝NAT路由協(xié)議的服務器(這里為本地主機),右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠程訪問”。
「注」 操作期間若彈出“為主機名啟用了Windows防火墻/Internet連接共享服務……”警告信息,請先禁用“Windows防火墻/Internet連接共享”服務,后重試操作。具體做法:“開始”|“程序”| “管理工具”|“計算機管理”|“服務和應用程序”|“服務”,在右側(cè)服務列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務,先將其停止,然后在啟動類型中將其禁用。
(4)在“路由和遠程訪問服務器安裝向?qū)А敝羞x擇“網(wǎng)絡地址轉(zhuǎn)換(NAT)”服務。
(5)在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡接口,該網(wǎng)絡接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口,則此處應選擇“外部連接”。
(6)本實驗中沒有應用到DHCP、DNS服務,所以在“名稱和地址轉(zhuǎn)換服務”界面中選擇“我將稍后設置名稱和地址服務”。至最后完成路由和遠程訪問配置。
(7)接下來的工作是對各NAT服務器進行測試。下面以主機ABC為例進行測試說明:參照圖3-1-2,設定主機A為內(nèi)網(wǎng)主機PC1,將其內(nèi)部網(wǎng)絡接口(默認為“本地連接”)的默認網(wǎng)關指向主機B的內(nèi)部網(wǎng)絡接口(默認為“本地連接”);設定主機C為外網(wǎng)主機PC2。內(nèi)網(wǎng)主機A通過ping指令對外網(wǎng)主機C做連通性測試。
(8)ICMP會話分析。在主機A做連通性測試的同時,主機B打開“協(xié)議分析器”并定義過濾器,操作如下:依次單擊菜單項“設置”|“過濾器”,在“協(xié)議過濾”選項卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”,在彈出的“適配器選擇”界面中選擇“外部連接”,開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格,當捕獲到數(shù)據(jù)時單擊“停止捕獲數(shù)據(jù)包”按鈕,依次展開“會話分析樹”|“ICMP會話”,如圖3-1-3所示。
圖3-1-3 在NAT服務器外部接口上監(jiān)聽到的ICMP會話
(9)結(jié)合ICMP會話分析結(jié)果說出ICMP數(shù)據(jù)包的傳輸(路由)過程_________。
? linux防火墻-iptable的應用
一.包過濾實驗
操作概述:為了應用iptables的包過濾功能,首先我們將filter鏈表的所有鏈規(guī)則清空,并設置鏈表默認策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則,依次允許同組主機icmp回顯請求、Web請求,最后開放信任接口eth0。iptables操作期間需同組主機進行操作驗證。
(1)清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。
(2)確定同組主機已清空filter鏈表后,利用nmap(/opt/portscan/目錄下)對同組主機進行端口掃描。
nmap端口掃描命令________。
「說明」 nmap具體使用方法可查看實驗6|練習1|TCP端口掃描。查看端口掃描結(jié)果,并填寫下表。
(3)查看INPUT、FORWARD和OUTPUT鏈默認策略。iptables命令_________。
? ?(4)將INPUT、FORWARD和OUTPUT鏈默認策略均設置為DROP。iptables命令_________。
確定同組主機已將默認策略設置為DROP后,本機再次利用nmap其進行端口掃描,查看掃描結(jié)果,并利用ping命令進行連通性測試。
(5)利用功能擴展命令選項(ICMP)設置防火墻僅允許ICMP回顯請求及回顯應答。ICMP回顯請求類型__________;代碼__________。ICMP回顯應答類型__________;代碼__________。iptables命令__________ 利用ping指令測試本機與同組主機的連通性。(6)對外開放Web服務(默認端口80/tcp)。iptables命令__________ 利用nmap對同組主機進行端口掃描,查看掃描結(jié)果。
(7)設置防火墻允許來自eth0(假設eth0為內(nèi)部網(wǎng)絡接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對同組主機進行端口掃描,查看掃描結(jié)果。二.事件審計實驗
操作概述:利用iptables的日志功能檢測、記錄網(wǎng)絡端口掃描事件,日志路徑 /var/log/iptables.log。(1)根據(jù)實驗原理(TCP擴展)設計iptables包過濾規(guī)則,并應用日志生成工具ULOG對iptables捕獲的網(wǎng)絡事件進行響應。
iptables命令__________(2)同組主機應用端口掃描工具對當前主機進行端口掃描,并觀察掃描結(jié)果。(3)在同組主機端口掃描完成后,當前主機查看iptables日志,對端口掃描事件進行審計,日志內(nèi)容如圖3-2-1所示。
圖3-2-1 iptables日志內(nèi)容
三.狀態(tài)檢測實驗
操作概述:分別對新建和已建的網(wǎng)絡會話進行狀態(tài)檢測。1.對新建的網(wǎng)絡會話進行狀態(tài)檢測(1)清空filter規(guī)則鏈全部內(nèi)容。iptables命令__________(2)設置全部鏈表默認規(guī)則為允許。iptables命令__________(3)設置規(guī)則禁止任何新建連接通過。iptables命令__________(4)同組主機對當前主機防火墻規(guī)則進行測試,驗證規(guī)則正確性。2.對已建的網(wǎng)絡會話進行狀態(tài)檢測
(1)清空filter規(guī)則鏈全部內(nèi)容,并設置默認規(guī)則為允許。
(2)同組主機首先telnet遠程登錄當前主機,當出現(xiàn)“l(fā)ogin:”界面時,暫停登錄操作。telnet登錄命令_________(3)iptables添加新規(guī)則(狀態(tài)檢測)——僅禁止新建網(wǎng)絡會話請求。iptables命令___________ 或___________________ 同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作,嘗試輸入登錄用戶名“guest”及口令“guestpass”,登錄是否成功__________。
同組主機啟動Web瀏覽器訪問當前主機Web服務,訪問是否成功__________。解釋上述現(xiàn)象______________________。
(4)刪除步驟(3)中添加的規(guī)則,并插入新規(guī)則(狀態(tài)檢測)——僅禁止已建網(wǎng)絡會話請求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實驗步驟(1)(2)(4)。同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作,嘗試輸入登錄用戶名“guest”及口令 “guestpass”,登錄是否成功__________。
同組主機啟動Web瀏覽器訪問當前主機Web服務,訪問是否成功__________。解釋上述現(xiàn)象_______________。
(5)當前主機再次清空filter鏈表規(guī)則,并設置默認策略為DROP,添加規(guī)則開放FTP服務,并允許遠程用戶上傳文件至FTP服務器。
iptables命令______________________________________ 四.NAT轉(zhuǎn)換實驗
實驗概述:圖3-2-2描述了NAT轉(zhuǎn)換實驗所應用的網(wǎng)絡拓撲結(jié)構(gòu)。內(nèi)網(wǎng)主機與NAT服務器eth0接口位于同一網(wǎng)段(內(nèi)網(wǎng));外網(wǎng)主機與NAT服務器eth1接口位于同一網(wǎng)絡(外網(wǎng));NAT服務器提供NAT轉(zhuǎn)換。通過設置nat服務器的iptables NAT規(guī)則,實現(xiàn)內(nèi)、外網(wǎng)主機間的通信數(shù)據(jù)包的地址轉(zhuǎn)換,達到屏蔽內(nèi)部網(wǎng)絡拓撲結(jié)構(gòu)與轉(zhuǎn)發(fā)外網(wǎng)主機請求端口的目的。
圖3-2-2 實驗網(wǎng)絡拓撲結(jié)
「說明」 本實驗是在Linux系統(tǒng)下完成,Linux系統(tǒng)默認安裝了2塊以太網(wǎng)卡,網(wǎng)絡接口分別為eth0和eth1,在設置NAT服務前請激活eth1網(wǎng)絡接口,命令ifconfig eth1 up。
1.確定各接口IP地址
本實驗由ABC、DEF主機各為一實驗小組。默認實驗角色:主機A為內(nèi)網(wǎng)主機、B為NAT服務器、C為外網(wǎng)主機。也可以自定義實驗角色。
默認內(nèi)網(wǎng)IP地址192.168.0.0/
24、外網(wǎng)IP地址202.98.0.0/24。配置完成內(nèi)網(wǎng)主機eth0接口IP地址及默認網(wǎng)關(指向NAT服務器內(nèi)網(wǎng)接口),NAT服務器eth0和eth1接口IP地址,外網(wǎng)主機eth0接口IP地址,并完成下列問題的填寫:
內(nèi)網(wǎng)主機IP____________________,其默認網(wǎng)關____________________; 外網(wǎng)主機IP____________________;
NAT服務器內(nèi)網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。
內(nèi)網(wǎng)主機對NAT服務器內(nèi)網(wǎng)接口進行連通性測試(ping);外網(wǎng)主機對NAT服務器外網(wǎng)接口進行連通性測試(ping)。
2.設置防火墻規(guī)則允許內(nèi)部網(wǎng)絡訪問外部網(wǎng)絡
操作流程:首先開啟NAT服務器的路由功能(開啟網(wǎng)絡接口間數(shù)據(jù)的轉(zhuǎn)發(fā)),清空filter鏈表全部規(guī)則,并設置其默認策略為DROP;繼續(xù)設置規(guī)則允許來自內(nèi)網(wǎng)的數(shù)據(jù)流進入外網(wǎng),并允許任何返回流量回到內(nèi)網(wǎng);最后規(guī)則實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉(zhuǎn)發(fā)。
(1)NAT服務器開啟路由功能。
基于安全的考慮,默認情況下Linux路由數(shù)據(jù)包的功能是關閉的,通過下述命令開啟系統(tǒng)路由功能:
(2)設置filter表規(guī)則鏈,默認策略為禁止。iptables命令_______________________(3)添加filter表新規(guī)則,允許來自防火墻的流量進入Internet;允許任何相關的返回流量回到防火墻。
iptables命令_______________________(4)添加filter表新規(guī)則,實現(xiàn)NAT服務器內(nèi)部網(wǎng)絡接口eth0與外部網(wǎng)絡接口eth1間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________(5)主機C啟動Snort(/opt/ids/snort)以網(wǎng)絡嗅探方式運行(設置過濾器僅監(jiān)聽icmp數(shù)據(jù)包),主機A ping探測主機C,是否ping通______?
將主機C的默認網(wǎng)關指向NAT服務器的外網(wǎng)接口,主機A再次ping探測主機C,是否ping通__________?結(jié)合snort捕獲數(shù)據(jù),對比實驗現(xiàn)象,說明原因:___________________。
3.設置防火墻規(guī)則通過NAT屏蔽內(nèi)部網(wǎng)絡拓撲結(jié)構(gòu)
操作流程:在實現(xiàn)步驟2的操作基礎上,添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的地址翻譯。(1)NAT服務器重新啟動iptables服務。service iptables restart(2)重新操作步驟2(⑵~⑶)。
(3)添加nat表新規(guī)則,通過網(wǎng)絡地址翻譯實現(xiàn)內(nèi)部網(wǎng)絡地址轉(zhuǎn)換。iptables命令_______________________(4)添加filter表新規(guī)則,實現(xiàn)NAT內(nèi)部網(wǎng)絡接口eth0與外部網(wǎng)絡接口eth1之間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________(5)主機C重新將默認網(wǎng)關指為空,重新啟動Snort捕獲ICMP數(shù)據(jù)。主機A對主機C進行ping探測,是否ping通__________?主機C停止Snort監(jiān)聽,查看已捕獲到ICMP數(shù)據(jù),其源IP地址是__________?解釋實驗象_____________________________________。
4.設置防火墻規(guī)則通過NAT實現(xiàn)外網(wǎng)請求端口轉(zhuǎn)發(fā)
操作流程:在實現(xiàn)步驟3的操作基礎,添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(端口轉(zhuǎn)發(fā))。(1)NAT服務器重新啟動iptables服務。service iptables restart(2)重新操作步驟3(⑵~⑷)。
(3)添加nat表新規(guī)則,實現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(80/tcp端口轉(zhuǎn)發(fā))。iptables命令__________________(4)完成NAT外部接口eth1到內(nèi)部接口eth0之間的數(shù)據(jù)轉(zhuǎn)發(fā) iptables命令__________________(5)確定主機C默認網(wǎng)關指為空,主機A和主機C啟動Snort捕獲80/tcp數(shù)據(jù),主機C啟動Web瀏覽器,在地址欄中輸入:http://202.98.0.150,觀察訪問結(jié)果,回答下列問題:
主機C訪問是否成功__________?若成功,其訪問的是哪臺主機的Web主頁__________(主機A/主機B)?
主機C停止Snort捕獲,觀察80/tcp會話的源、目的IP地址對__________________。主機A停止Snort捕獲,觀察80/tcp會話的源、目的IP地址對__________________。解釋上述實驗現(xiàn)象______________________________________________________。五.應用代理實驗
實驗概述:使用iptables+squid方式來實現(xiàn)傳統(tǒng)代理、透明代理和反向代理。
實驗角色說明如下:
內(nèi)網(wǎng)客戶端僅需啟用“本地連接”,其IP地址形式如下:172.16.X.Y,子網(wǎng)掩碼255.255.255.0,其中X為所屬實驗組編號(1-32),Y為主機編號(1-6),例如第4組主機A的IP地址為172.16.4.4。
代理服務器需要啟動內(nèi)部網(wǎng)絡接口eth0和外部網(wǎng)絡接口eth1。內(nèi)部IP地址形式同內(nèi)網(wǎng)客戶端,外部IP地址形式如下:202.98.X.Y,子網(wǎng)掩碼255.255.255.0,其中X為所屬實驗組號(1-32),Y為主機編號,例如第4組主機B的內(nèi)部IP地址為172.16.4.2,外部IP地址為202.98.4.2。
外網(wǎng)Web服務器僅需啟用“本地連接”,其IP地址形式如下:202.98.X.Y,子網(wǎng)掩碼255.255.255.0,其中X為所屬實驗組號(1-32),Y為主機編號(1-6),例如第4組主機C的IP地址為202.98.4.3。
在進行實驗操作前,首先清空防火墻規(guī)則。1.傳統(tǒng)代理
(1)外網(wǎng)Web服務器手動分配IP地址,并確認本地Web服務已啟動。
(2)代理服務器激活網(wǎng)絡接口eth1,并手動分配IP地址,可通過以下兩種方式激活eth1: 通過“桌面”|“管理”|“網(wǎng)絡”激活eth1,并手動分配IP地址; 在控制臺中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 202.98.X.Y/24為eth1分配IP地址。(3)代理服務器配置squid。
代理服務器進入目錄/usr/local/squid/etc/,使用vim編輯器打開配置文件squid.conf。在squid.conf中配置如下選項:
第936行,使用默認的端口http_port 3128;
第574行,添加行acl mynet src 主機A地址域。例如acl mynet src 172.16.1.0/24; 第610行,添加行http_access allow mynet。(4)運行代理服務器
代理服務器進入目錄/usr/local/squid/sbin/,輸入命令:./squid –NCd1啟動代理服務。(5)通過代理訪問Web服務器
內(nèi)網(wǎng)客戶端打開IE瀏覽器,通過“工具”|“Internet選項”|“連接”|“局域網(wǎng)設置”選中“為LAN使用代理服務器”,在“地址”中輸入代理服務器的內(nèi)網(wǎng)IP,在“端口”中輸入代理服務器的監(jiān)聽端口號,單擊“確定”按鈕,完成瀏覽器設置。
內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄中輸入“http://外網(wǎng)Web服務器IP地址”,即可訪問到Web頁面。(6)驗證代理服務器的作用
內(nèi)網(wǎng)客戶訪問外網(wǎng)Web服務,是否可以訪問到頁面__________。
外網(wǎng)Web服務器關閉Web服務,代理服務器訪問外網(wǎng)Web服務,是否可以訪問到頁面__________。內(nèi)網(wǎng)客戶端再次訪問外網(wǎng)Web服務,是否可以訪問到頁面__________,為什么?____________。2.透明代理
(1)外網(wǎng)Web服務器開啟Web服務。(2)代理服務器配置squid。
代理服務器進入目錄/usr/local/squid/etc/,使用vim編輯器打開配置文件squid.conf,配置如下選項: 第936行,修改為:http_port 主機B內(nèi)網(wǎng)IP:3128 transparent(3)代理服務器添加iptables規(guī)則。
對從代理服務器內(nèi)網(wǎng)接口進入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包,做“端口重定向”。將數(shù)據(jù)包重定向到3128端口,規(guī)則如下:
iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128(4)運行代理服務器。
(5)通過代理訪問Web服務器。
內(nèi)網(wǎng)客戶端將本地連接的“默認網(wǎng)關”設置為代理服務器的內(nèi)網(wǎng)IP,即代理服務器的eth0網(wǎng)絡接口的IP。內(nèi)網(wǎng)客戶端打開IE瀏覽器,通過“工具”|“Internet選項”|“連接”|“局域網(wǎng)設置”,取消“為LAN使用代理服務器”。
內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄輸入“http://外網(wǎng)Web服務器的IP”,即可訪問到外網(wǎng)Web服務器的Web頁面。
3.反向代理
(1)內(nèi)網(wǎng)客戶端開啟Web服務。(2)代理服務器配置squid。
代理服務器進入目錄/usr/local/squid/etc/,使用vim編輯器打開配置文件squid.conf,配置如下選項: 第936行,修改為:http_port 主機B外網(wǎng)地址:80 vhost。
第1499行,添加行:cache_peer 主機A的IP parent 80 0 no-query originserver。第574行,修改為:acl outside src 主機C地址域。例如acl outside src 202.98.1.0/24。第610行,修改為:http_access allow outside。(3)停止代理服務器的Web服務。
在代理服務器的終端輸入命令:service httpd stop。(4)刪除緩存文件。
刪除目錄/usr/local/squid/var/cache/00/00下所有文件。(5)運行代理服務器。
(6)外網(wǎng)通過代理訪問內(nèi)網(wǎng)客戶端Web服務
外網(wǎng)Web服務器在IE瀏覽器地址欄中輸入“http://代理服務器外網(wǎng)IP”即可訪問到內(nèi)網(wǎng)客戶端的Web頁面。
第五篇:實驗8 防火墻透明模式配置
實驗八 防火墻透明模式配置
適用于河南中醫(yī)學院信息技術學院網(wǎng)絡安全實驗室
一、實驗目的
1、了解什么是透明模式;
2、了解如何配置防火墻的透明模式;
二、應用環(huán)境
透明模式相當于防火墻工作于透明網(wǎng)橋模式。防火墻進行防范的各個區(qū)域均位于同 一網(wǎng)段。在實際應用網(wǎng)絡中,這是對網(wǎng)絡變動最少的介入方法,廣泛用于大量原有網(wǎng)絡的 安全升級中。
三、實驗設備
(1)防火墻設備1臺(2)Console線1條(3)網(wǎng)絡線2條(4)PC機3臺
四、實驗拓撲
五、實驗步驟
第一步:搭建WebUI配置環(huán)境
除使用 CLI 進行配置以外,神州數(shù)碼安全網(wǎng)關還提供WebUI 界面,使用戶能夠更簡便與直觀地對設備進行管理與配置。安全網(wǎng)關的 ethernet0/0 接口配有默認IP 地址192.168.1.1/24,并且該接口的各種管理功能均為開啟狀態(tài)。初次使用安全網(wǎng)關時,用戶可以通過該接口訪問安全網(wǎng)關的WebUI 頁面。請按照以下步驟搭建WebUI 配置環(huán)境:
1.將管理 PC 的IP 地址設置為與192.168.1.1/24 同網(wǎng)段的IP 地址,并且用網(wǎng)線將管理PC與安全網(wǎng)關的ethernet0/0 接口進行連接。
2.在管理 PC 的Web 瀏覽器中訪問地址http://192.168.1.1 并按回車鍵。出現(xiàn)登錄頁面如下圖所示:
3.輸入管理員的名稱和密碼。DCFW-1800系列安全網(wǎng)關提供的默認管理員名稱和密碼均為“admin”。
4.從<語言>下拉菜單選擇Web頁面語言環(huán)境,<中文>或
5.點擊『登錄』按鈕進入安全網(wǎng)關的主頁。DCFW-1800系列安全網(wǎng)關的主頁如圖
第二步:接口配置
1.將eth0/1接口加入二層安全域l2-trust。
2.將eth0/2接口設置成二層安全域l2-untrust。如下圖所示
配置好以后如下圖所示
第三步:添加對象
定義地址對象
定義網(wǎng)段A(172.16.2.11 – 172.16.2.12)定義網(wǎng)段B(1172.16.2.13 – 172.16.2.14)如下圖所示
添加第一個網(wǎng)段,如下圖
添加第二個網(wǎng)段,如下圖
自定義規(guī)則,如下圖所示
自定義添加的規(guī)則,點擊確定后即可使用。
要求允許網(wǎng)段A能夠 ping 網(wǎng)段B及訪問網(wǎng)段B的WEB服務,在這里我們將ping和http服務建立一個服務組
第四步:配置安全策略
在“防火墻”->“策略”中選擇“新建”,選擇規(guī)則
選擇規(guī)則如下圖所示,點擊確定按鍵即可
補充1:防火墻的重置,將防火墻恢復到出廠的方法有三種:
1、用戶除使用設備上的CRL按鍵使系統(tǒng)恢復到出廠配置
2、可以使用命令恢復。恢復出廠配置,在執(zhí)行模式下,使用以下命令:unset all
3、WebUI:訪問頁面“系統(tǒng)→維護→配置→管理”。點擊『重置』
思考與問題:
1,防火墻上如果處于透明模式的兩個接口都放到同一個二層安全域中,比如說將上述實驗中的eth0/1口和eth0/2口都設置成l2-trust安全域。那是否還需要設置安全策略,如果需要的話那如何設置?
答:還需要設置安全策略,如果不設置,則兩者都不能ping通。若設置,則需要將eth0/1設置成源地址,eth0/2設置成目標地址,就可以實現(xiàn)eth0/1 ping通 eth0/2,而 eth0/2 ping 不通 eth0/1
2、關于行為,第一次備課做時候,缺省行為竟然對結(jié)果沒有影響,即不管行為時允許還是拒絕,都能實現(xiàn)我們的目標;第二次實驗課,學生練習發(fā)現(xiàn),若是將最后的安全策略中的行為設為拒絕,則兩者將都不能ping通。待解決。
3、第2次實驗課發(fā)現(xiàn),無論是將eth0/1口和eth0/2口都設置成12-trust安全域,還是一個設為12-trust一個設為12-untrust,都能實現(xiàn)源地址能ping通目標地址而目標地址ping不通源地址。待解決。。
點擊咨詢 