第一篇：實驗三 防火墻的配置

實驗三 防火墻的配置

? 實驗目的

1、了解防火墻的含義與作用

2、學習防火墻的基本配置方法

3、理解iptables工作機理

4、熟練掌握iptables包過濾命令及規則

5、學會利用iptables對網絡事件進行審計

6、熟練掌握iptables NAT工作原理及實現流程

7、學會利用iptables+squid實現web應用代理

? 實驗原理

? 防火墻的基本原理

一．什么是防火墻

在古代，人們已經想到在寓所之間砌起一道磚墻，一旦火災發生，它能夠防止火勢蔓延到別的寓所，于是有了“防火墻”的概念。

進入信息時代后，防火墻又被賦予了一個類似但又全新的含義。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

二．防火墻能做什么 1．防火墻是網絡安全的屏障

一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2．防火墻可以強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻一身上。

3．對網絡存取和訪問進行監控審計

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

4．防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN，將企事業單位在地域上分布在全世界各地的LAN或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

三．NAT NAT英文全稱是“Network Address Translation”，中文意思是“網絡地址轉換”，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準，允許一個整體機構以一個公用IP（Internet Protocol）地址出現在Internet上。顧名思義，它是一種把內部私有網絡地址（IP地址）翻譯成合法網絡IP地址的技術。

簡單的說，NAT就是在局域網內部網絡中使用內部地址，而當內部節點要與外部網絡進行通訊時，就在網關（可以理解為出口，打個比方就像院子的門一樣）處，將內部地址替換成公用地址，從而在外部公網（Internet）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網中的計算機接入Internet中。這時，NAT屏蔽了內部網絡，所有內部網計算機對于公共網絡來說是不可見的，而內部網計算機用戶通常不會意識到NAT的存在。這里提到的內部地址，是指在內部網絡中分配給節點的私有IP地址，這個地址只能在內部網絡中使用，不能被路由（一種網絡技術，可以實現不同路徑轉發）。雖然內部地址可以隨機挑選，但是通常使用的是下面的地址：10.0.0.0～10.255.255.255，172.16.0.0～172.16.255.255，192.168.0.0～192.168.255.255。NAT將這些無法在互聯網上使用的保留IP地址翻譯成可以在互聯網上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網絡信息中心）或者ISP(網絡服務提供商)分配的地址，對外代表一個或多個內部局部地址，是全球統一的可尋址的地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經加入這一功能，網絡管理員只需在路由器的IOS中設置NAT功能，就可以實現對內部網絡的屏蔽。再比如防火墻將Web Server的內部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問202.96.23.11地址實際上就是訪問192.168.1.1。另外對資金有限的小型企業來說，現在通過軟件也可以實現這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

NAT有三種類型：靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、網絡地址端口轉換NAPT（Port－Level NAT）。

其中靜態NAT設置起來最為簡單和最容易實現的一種，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而動態地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要，三種NAT方案各有利弊。

動態地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程聯接也可以采用動態NAT。當遠程用戶聯接上之后，動態地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。

網絡地址端口轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方式。NAPT普遍應用于接入設備中，它可以將中小型的網絡隱藏在一個合法的IP地址后面。NAPT與動態地址NAT不同，它將內部連接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。

在Internet中使用NAPT時，所有不同的信息流看起來好像來源于同一個IP地址。這個優點在小型辦公室內非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠程訪問設備支持基于PPP的動態IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內部IP地址共用一個外部IP地址訪問Internet，雖然這樣會導致信道的一定擁塞，但考慮到節省的ISP上網費用和易管理的特點，用NAPT還是很值得的。

? Windows 2003防火墻

Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網絡通信通過防火墻進入網絡，同時拒絕不安全的通信進入，使網絡免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows2003服務器上，對直接連接到Internet的計算機啟用防火墻功能，支持網絡適配器、DSL適配器或者撥號調制解調器連接到Internet。它可以有效地攔截對Windows 2003服務器的非法入侵，防止非法遠程主機對服務器的掃描，從而提高Windows 2003服務器的安全性。同時，它也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能，能夠對整個內部網絡起到很好的保護作用。

1．啟用/關閉防火墻

（1）打開“網絡連接”，右擊要保護的連接，單擊“屬性”，出現“本地連接屬性”對話框。

（2）選擇“高級”選項卡，單擊“設置”按鈕，出現啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請單擊“關閉(F)”按鈕。

2．防火墻服務設置

Windows 2003 Internet連接防火墻能夠管理服務端口，例如HTTP的80端口、FTP的21端口等，只要系統提供了這些服務，Internet連接防火墻就可以監視并管理這些端口。

（1）解除阻止設置。

在“例外”選項卡中，可以通過設定讓防火墻禁止和允許本機中某些應用程序訪問網絡，加上“√”表示允許，不加“√”表示禁止。如果允許本機中某項應用程序訪問網絡，則在對話框中間列表中所列出該項服務前加“√”（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止本機中某項應用程序訪問網絡，則將該項服務前的“√”清除（如果不存在同樣可以添加）。在“Windows防火墻阻止程序時通知我”選項前打“√”則在主機出現列表框中不存在的應用程序欲訪問網絡時，防火墻會彈出提示框詢問用戶是否允許該項網絡連接。

（2）高級設置。

在“高級”選項卡中，可以指定需要防火墻保護的網絡連接，雙擊網絡連接或單擊“設置”按鈕設置允許其他用戶訪問運行于本主機的特定網絡服務。選擇“服務”選項卡，其中列舉出了網絡標準服務，加上“√”表示允許，不加“√”表示禁止。如果允許外部網絡用戶訪問網絡的某一項服務，則在對話框中間列表中所列出該項服務前加“√”（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止外部網絡用戶訪問內部網絡的某一項服務，則將該項服務前的“√”清除（如果不存在同樣可以添加）。選擇“ICMP”選項卡，允許或禁止某些類型的ICMP響應，建議禁止所有的ICMP響應。

3．防火墻安全日志設置

Windows2003防火墻可以記錄所有允許和拒絕進入的數據包，以便進行進一步的分析。在“高級”選項卡的“安全日志記錄”框中單擊“設置”按鈕，進入“日志設置”界面。

如果要記錄被丟棄的包，則選中“記錄被丟棄的數據包”復選按鈕；如果要記錄成功的連接，則選中“記錄成功的連接”復選按鈕。

日志文件默認路徑為C:WINDOWSpfirewall.log，用記事本可以打開，所生成的安全日志使用的格式為W3C擴展日志文件格式，可以用常用的日志分析工具進行查看分析。你也可以重新指定日志文件，而且還可以通過“大小限制”限定文件的最大使用空間。

「說明」 建立安全日志是非常必要的，在服務器安全受到威脅時，日志可以提供可靠的證據。

? linux防火墻-iptable的應用

一．iptables簡介

從1.1內核開始，linux就已經具有包過濾功能了，在2.0的內核中我們采用ipfwadm來操作內核包過濾規則。之后在2.2內核中，采用了大家并不陌生的ipchains來控制內核包過濾規則。在2.4內核中我們不再使用ipchains，而是采用一個全新的內核包過濾管理工具—iptables。這個全新的內核包過濾工具將使用戶更易于理解其工作原理，更容易被使用，當然也將具有更為強大的功能。

實際上iptables只是一個內核包過濾的工具，iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規則。實際上真正來執行這些過濾規則的是netfilter(Linux內核中一個通用架構)及其相關模塊(如iptables模塊和nat模塊)。

netfilter提供了一系列的“表(tables)”，每個表由若干“鏈(chains)”組成，而每條鏈中有一條或數條規則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，鏈又是規則的容器。

netfilter系統缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數條規則，每一條規則都是這樣定義的“如果數據包頭符合這樣的條件，就這樣處理這個數據包”。當一個數據包到達一個鏈時，系統就會從第一條規則開始檢查，看是否符合該規則所定義的條件：如果滿足，系統將根據該條規則所定義的方法處理該數據包；如果不滿足則繼續檢查下一條規則。最后，如果該數據包不符合該鏈中任一條規則的話，系統就會根據預先定義的策略(policy)來處理該數據包。

圖3-2-1 網絡數據包在filter表中的流程

數據包在filter表中的流程如圖3-2-1所示。有數據包進入系統時，系統首先根據路由表決定將數據包發給哪一條鏈，則可能有三種情況：

（1）如果數據包的目的地址是本機，則系統將數據包送往INPUT鏈，如果通過規則檢查，則該包被發給相應的本地進程處理；如果沒有通過規則檢查，系統就會將這個包丟掉。

（2）如果數據包的目的地址不是本機，也就是說，這個包將被轉發，則系統將數據包送往FORWARD鏈，如果通過規則檢查，則該包被發給相應的本地進程處理；如果沒有通過規則檢查，系統就會將這個包丟掉。

（3）如果數據包是由本地系統進程產生的，則系統將其送往OUTPUT鏈，如果通過規則檢查，則該包被發給相應的本地進程處理；如果沒有通過規則檢查，系統就會將這個包丟掉。

當我們在使用iptables NAT功能的時候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“-t nat”選項來顯式地指明這一點。因為系統缺省的表是“filter”，所以在使用filter功能時，我們沒有必要顯式的指明“-t filter”。

同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規則的容器，它們分別是：

（1）PREROUTING: 可以在這里定義進行目的NAT的規則，因為路由器進行路由時只檢查數據包的目的IP地址，為了使數據包得以正確路由，我們必須在路由之前就進行目的NAT。

（2）POSTROUTING: 可以在這里定義進行源NAT的規則，在路由器進行路由之后才進行源NAT。（3）OUTPUT: 定義對本地產生的數據包的目的NAT規則。二．NAT工作原理

NAT的基本思想是為每個企業分配一個IP地址(或者是很少幾個)來進行Internet傳輸。在企業內部，每個電腦取得一唯一的IP地址來為內部傳輸做路由。然而，當封包離開企業，進入ISP之后，就需要進行地址轉換了。為了使這個方案可行，IP地址的范圍被聲明為私有的，企業可以隨意在內部使用他們。僅有的規則是，沒有包含這些地址的封包出現在Internet上。

「說明」 IP私有地址范圍是：10.0.0.0～10.255.255.255/

8、172.16.0.0 ～172.31.255.255/

12、192.168.0.0～192.168.255.255/16。

如圖3-2-2所示。在企業內部，每個機器都有一個唯一的172.16.x.y形式的地址。然而，當封包離開企業時，它要經過NAT轉盒，NAT盒將內部IP源地址，即圖中的172.16.0.50轉換成企業的真實地址(這個地址對于Internet來說是可見的)，此例中為202.198.168.150。NAT盒通常和防火墻一起綁定在一個設備上，這里的防火墻通過小心地控制進出企業的封包提供了安全保障。

圖3-2-2 NAT地址轉換

三．iptables常用操作語法

對于任何協議及協議的擴展，通用匹配都可以直接使用。（1）匹配指定協議。

匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／說明匹配指定的協議，指定協議的形式有以下幾種：①名字不分大小寫，但必須是在/etc/protocols中定義的；②可以使用協議相應的整數值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設置ALL，相應數值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協議；④可以是協議列表，以英文逗號為分隔符，如：udp,tcp；⑤可以在協議前加英文的感嘆號表示取反，注意有空格,如：--protocol!tcp表示非TCP協議，也就是UDP和ICMP。可以看出這個取反的范圍只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

匹配-s,--src,--source／使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT／說明以IP源地址匹配包。地址的形式如下：①單個地址，如192.168.0.1，也可寫成192.168.0.1/255.255.255.255或192.168.0.1/32；②網絡，如192.168.0.0/24,或192.168.0.0/255.255.255.0；③在地址前加英文感嘆號表示取反，注意空格，如—source!192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

匹配-d,--dst,--destination／使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT／說明以IP目的地址匹配包。地址的形式和—source完全一樣。

（4）以包進入本地使用的網絡接口匹配包。

匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／說明以包進入本地所使用的網絡接口來匹配包。要注意這個匹配操作只能用于INPUT,FORWARD和PREROUTING這三個鏈，用在其他任何地方會提示錯誤信息。指定接口有以下方法：①指定接口名稱，如：eth0、ppp0等；②使用通配符，即英文加號，它代表字符數字串。若直接用一個加號，即iptables-A INPUT-i +表示匹配所有的包，而不考慮使用哪個接口。通配符還可以放在某一類接口的后面，如：eth+表示匹配所有從Ethernet接口進入的包；③在接口前加英文感嘆號表示取反，如：-i!eth0意思是匹配來自除eth0外的所有包。

（5）以包離開本地所使用的網絡接口來匹配包。

匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／說明以包離開本地所使用的網絡接口來匹配包。要注意這個匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個鏈，用在其他任何地方會提示錯誤信息。

（6）匹配通信源端口。

匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／說明當通信協議為TCP或UDP時，可以指定匹配的源端口，但必須與匹配協議相結合使用。

（7）匹配通信源端口。

匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／說明當通信協議為TCP或UDP時，可以指定匹配的目的端口，但必須與匹配協議相結合使用。

五．iptables功能擴展 1．TCP擴展

iptables可以擴展，擴展分為兩種：一種是標準的；另一種是用戶派生的。如果指定了“-p tcp”，那么TCP擴展將自動加載，通過--tcp-flags擴展，我們指定TCP報文的哪些Flags位被設置，在其后跟隨兩個參數：第一個參數代表Mask,指定想要測驗的標志位；第二個參數指定哪些位被設置。

例：設置iptables防火墻禁止來自外部的任何tcp主動請求，并對此請求行為進行事件記錄。

其中ULOG指定對匹配的數據包進行記錄,由日志生成工具ULOG生成iptables防火日志，--log-prefix選項為記錄前綴。

2．ICMP擴展

例：設置iptables防火墻允許來自外部的某種類型/代碼的ICMP數據包。

其中--icmp-type為擴展命令選項，其后參數可以是三種模式：（1）ICMP類型名稱（例如，host-unreachable）。（2）ICMP類型值(例如3)。（3）ICMP類型及代碼值（8/0）。六．狀態檢測

“狀態”的意思是指如果一個數據包是對先前從防火墻發出去的包的回復，則防火墻自動不用檢查任何規則就立即允許該數據包進入并返回給請求者，這樣就不用設置許多規則定義就可實現應用的功能。

我們可以把請求端與應答端之間建立的網絡通信連接稱為網絡會話，每個網絡會話都包括以下信息——源IP地址、目標IP地址、源端口、目的端口，稱為套接字對；協議類型、連接狀態（TCP協議）和超時時間等。防火墻把這些信息稱為狀態(stateful)。狀態包過濾防火墻能在內存中維護一個跟蹤狀態的表，比簡單的包過濾防火墻具有更大的安全性，而iptables就是一種基于狀態的防火墻。命令格式如下：

iptables-m state--state [!] state [,state,state,state] 其中，state表是一個由逗號分割的列表，用來指定連接狀態，狀態分為4種：（1）NEW: 該包想要建立一個新的連接（重新連接或連接重定向）

（2）RELATED:該包是屬于某個已經建立的連接所建立的新連接。舉例：FTP的數據傳輸連接和控制連接之間就是RELATED關系。

（3）ESTABLISHED：該包屬于某個已經建立的連接。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。七．NAT操作

前面提到在iptables防火墻中提供了3種策略規則表：Filter、Mangle和NAT，這3種表功能各不相同，而最為常用的就是filter和nat表。

nat表僅用于NAT,也就是網絡地址轉換。做過NAT操作的數據包的地址就被改變了，當然這種改變是根據我們的規則進行的。屬于流的包只會經過這個表一次，經一個包被允許做NAT,那么余下的包都會自動地做相同的操作。也就是說，余下的包不會再通過這個表一個一個的被NAT，而是自動完成的。常用操作分為以下幾類。

（1）SNAT(source network address translation，源網絡地址目標轉換)。

SNAT是POSTROUTING鏈表的作用，在封包就要離開防火墻之前改變其源地址，這在極大程度上可以隱藏本地網絡或者DMZ等。比如，多個PC機使用路由器共享上網，每個PC機都配置了內網IP(私有IP)，PC機訪問外部網絡的時候，路由器將數據包的報頭中的源地址替換成路由器的IP，當外部網絡的服務器比如網站Web服務器接到訪問請求的時候，它的日志記錄下來的路由器的IP，而不是PC機的內網IP，這是因為，這個服務器收到的數據包的報頭里邊的“源地址”已經被替換了。所以叫做SNAT，基于源地址的地址轉換。

例如更改所有來自192.168.0.1/24的數據包的源IP地址為10.0.0.1，其iptables實現為：

（2）DNAT(destination network address translation，目標網絡地址轉換)。

DNAT是PREROUTING鏈表的作用，在封包剛剛到達防火墻時改變其目的地址，以使包能重路由到某臺主機。典型的應用是，有個Web服務器放在企業網絡DMZ區，其配置了內網IP地址，企業防火墻的的外網接口配置了企業唯一的公網IP，互聯網上的訪問者使用公網IP來訪問這個網站，當訪問的時候，客戶端發出一個數據包，這個數據包的報頭里邊，目標地址寫的是防火墻的公網IP，然后再把這個數據包發送到DMZ區的Web服務器上，這樣，數據包就穿透了防火墻，并從公網IP變成了一個對DMZ區的訪問了。所以叫做DNAT，基于目標的網絡地址轉換。

例如更改所有來自202.98.0.1/24的數據包的目的IP地址為192.168.0.1，其iptables實現為：

（3）REDIRECT(重定向)。

REDIRECT是DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當于將符合條件的數據包的目的IP地址改為數據包進入系統時的網絡接口的IP地址。通常是在與squid配置形成透明代理時使用，假設squid的監聽端口是3128,我們可以通過以下語句來將來自192.168.0.1/24，目的端口為80的數據包重定向到squid監聽：

（4）MASQUERADE(地址偽裝)。

在iptables中有著和SNAT相近的效果，但也有一些區別。在使用SNAT的時候，出口IP的地址范圍可以是一個，也可以是多個，例如把所有

192.168.0.0/2

4網段數據包

SNAT

成202.98.0.150/202.98.0.151/202.98.0.152等幾個IP然后發出去,其iptables實現為：

SNAT即可以NAT成一個地址，也可以NAT成多個地址。但是，對于SNAT來說不管是幾個地址，必須明確指定轉換的目標地址IP。假如當前系統用的是ADSL動態撥號方式，那么每次撥號，出口IP都會改變，而且改變的幅度很大，不一定是202.98.0.150到202.98.0.152范圍內的地址，這個時候如果使用SNAT的方式來配置iptables就會出現麻煩了，因為每次撥號后出口IP都會變化，而iptables規則內的IP是不會隨著自動變化的，每次地址變化后都必須手工修改一次iptables，把規則里邊的固定的IP改成新的IP，這樣是非常不好用的。

MASQUERADE就是針對這種場景而設計的，它的作用是從防火墻外網接口上自動獲取當前IP地址來做NAT，比如下邊的命令：

八．防火墻應用代理 1．代理服務器概述

在TCP/IP網絡中，傳統的通信過程是這樣的：客戶端向服務器請求數據，服務器響應該請求，將數據傳送給客戶端，如圖3-2-3所示。

圖3-2-3 直接訪問Internet 在引入了代理服務器以后，這一過程變成了這樣：客戶端向服務器發起請求，該請求被送到代理服務器；代理服務器分析該請求，先查看自己緩存中是否有請求數據，如果有就直接傳遞給客戶端，如果沒有就代替客戶端向該服務器發出請求。服務器響應以后，代理服務將響應的數據傳遞給客戶端，同時在自己的緩存中保留一份該數據的拷貝。這樣，再有客戶端請求相同的數據時，代理服務器就可以直接將數據傳送給客戶端，而不需要再向該服務器發起請求，如圖3-2-4所示。

圖3-2-4 通過代理服務器訪問Internet

2．代理服務器功能

一般說來，代理服務器具有以下的功能：（1）通過緩存增加訪問速度。

隨著Internet的迅猛發展，網絡帶寬變得越來越珍貴。所以為了提高訪問速度，好多ISP都提供代理服務器，通過代理服務器的緩存功能來加快網絡的訪問速度。一般說來，大多數的代理服務器都支持HTTP緩存，但是，有的代理服務器也支持FTP緩存。在選擇代理服務器時，對于大多數的組織，只需要HTTP緩存功能就足夠了。

通常，緩存有主動緩存被動緩存之分。所謂被動緩存，指的是代理服務器只在客戶端請求數據時才將服務器返回的數據進行緩存，如果數據過期了，又有客戶端請求相同的數據時，代理服務器又必須重新發起新的數據請求，在將響應數據傳送給客戶端時又進行新的緩存。所謂主動緩存，就是代理服務器不斷地檢查緩存中的數據，一旦有數據過期，則代理服務器主動發起新的數據請求來更新數據。這樣，當有客戶端請求該數據時就會大大縮短響應時間。對于數據中的認證信息，大多數的代理服務器都不會進行緩存的。

（2）提供用私有IP訪問Internet的方法。

IP地址是不可再生的寶貴資源，假如你只有有限的IP地址，但是需要提供整個組織的Internet訪問能力，那么，你可以通過使用代理服務器來實現這一點。

（3）提高網絡的安全性。

如果內部用戶訪問Internet都是通過代理服務器，那么代理服務器就成為進入Internet的唯一通道；反過來說，代理服務器也是Internet訪問內部網絡的唯一通道，如果你沒有做反向代理，則對于Internet上的主機來說，你的整個內部網只有代理服務器是可見的，從而大大增強了網絡的安全性。

3．傳統、透明和反向代理服務器（1）傳統代理服務器。

傳統代理常被用于緩存靜態網頁(例如：html文件和圖片文件等)到本地網絡上的一臺主機上(即代理服務器)。不緩存的頁面被第二次訪問的時候，瀏覽器將直接從本地代理服務器那里獲取請求數據而不再向原Web站點請求數據。這樣就節省了寶貴的網絡帶寬，而且提高了訪問速度。但是，要想實現這種方式，必須在每一個內部主機的瀏覽器上明確指明代理服務器的IP地址和端口號。客戶端上網時，每次都把請求給代理服務器處理，代理服務器根據請求確定是否連接到遠程Web服務器獲取數據。如果在本地緩沖區有目標文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，并在本地保存一份緩沖，然后將文件發給客戶端瀏覽器。

（2）透明代理服務器。

透明代理與傳統代理的功能完全相同。但是，代理操作對客戶端瀏覽器是透明的(即不需指明代理服務器的IP和端口)。透明代理服務器阻斷網絡通信，并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請求在本地有緩沖則將緩沖的數據直接發給用戶，如果在本地沒有緩沖則向遠程Web服務器發出請求，其余操作和傳統代理服務器完全相同。對于Linux操作系統來說，透明代理使用iptables實現。因為不需要對瀏覽器作任何設置，所以，透明代理對于ISP來說特別有用。

（3）反向代理服務器。

反向代理是和前兩種代理完全不同的一種代理服務。使用它可以降低原始Web服務器的負載。反向代理服務器承擔了對原始Web服務器的靜態頁面的請求，防止原始服務器過載。如圖3-2-5所示，它位于本地Web服務器和Internet之間，處理所有對Web服務器的請求。如果互聯網用戶請求的頁面在代理器上有緩沖的話，代理服務器直接將緩沖內容發送給用戶。如果沒有緩沖則先向Web服務器發出請求，取回數據，本地緩存后再發送給用戶。這種方式通過降低了向Web服務器的請求數從而降低了Web服務器的負載。

圖3-2-5 反向代理服務器位于Internet與組織服務器之間

4．代理服務器squid簡介

Squid是一個緩存Internet數據的一個開源軟件，它會接收用戶的下載申請，并自動處理所下載的數據。也就是說，當一個用戶要下載一個主頁時，他向squid發出一個申請，要求squid替它下載，squid連接申請網站并請求該主頁，然后把該主頁傳給用戶同時保留一個備份，當別的用戶申請同樣的頁面時，squid把保存的備份立即傳給用戶，使用戶覺得速度相當快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協議，暫不能代理POP、NNTP等協議。但是已經有人開始改進squid，相信不久的將來，squid將能夠代理這些協議。

Squid不是對任何數據都進行緩存。像信用卡賬號、可以遠方執行的Script、經常變換的主頁等是不適合緩存的。Squid可以根據用戶的需要進行設置，過濾掉不想要的東西。

Squid可用在很多操作系統中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系統中重新編譯過Squid。

Squid對內存有一定的要求，一般不應小于128M，硬盤最好使用服務器專用SCSI硬盤。

Squid是一個高性能的代理緩存服務器，和一般的代理緩存軟件不同，Squid用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。

Squid將數據元緩存在內存中，同時也緩存DNS查詢的結果。此外，它還支持非模塊化的DNS查詢，對失敗的請求進行消極緩存。Squid支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協議），Squid能夠實現層疊的代理陣列，從而最大限度地節約帶寬。

Squid由一個主要的服務程序Squid,一個DNS查詢程序dnsserver，幾個重寫請求和執行認證的程序，以及幾個管理工具組成。當Squid啟動以后，它可以派生出預先指定數目的dnsserver進程，而每一個dnsserver進程都可以執行單獨的DNS查詢，這樣就減少了服務器等待DNS查詢的時間。

5．Squid常用配置選項

因為缺省的配置文件不能使Squid正常啟動服務，所以我們必須首先修改該配置文件的有關內容,才能讓Squid運行起來。

下面是squid.conf文件的結構。squid.conf配置文件的可以分為13個部分，這13個部分如下有所示。

雖然Squid的配置文件很龐大，但是如果你只是為一個中小型網絡提供代理服務，并且只準備使用一臺服務器，則只需要修改配置文件中的幾個選項。

6．Squid常用命令選項（1）端口號。

http_port指令告訴squid在哪個端口偵聽HTTP請求。默認端口是3128：http_port 3128，如果要squid作為加速器運行則應將它設為80。

你能使用附加http_port行來指squid偵聽在多個端口上。例如，來自某個部門的瀏覽器發送請求3128，然而另一個部門使8080端口。可以將兩個端口號列舉出來：

http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運行時，它有兩個網絡接口：一個內部的和一個外部的。你可能不想接受來自外部的http請求。為了使squid僅僅偵聽在內部接口上，簡單的將IP地址放在端口號前面：

http_port 192.168.1.1:3128（2）日志文件路徑。

默認的日志目錄是squid安裝位置下的logs目錄，其路徑是/usr/local/squid/var/logs。

你必須確認日志文件所存放的磁盤位置空間足夠。squid想確認你不會丟失任何重要的日志信息，特別是你的系統被濫用或者被攻擊時。

Squid有三個主要的日志文件：cache.log、access.log和store.log。cache.log文件包含狀態性的和調試性的消息。access.log文件包含了對squid發起的每個客戶請求的單一行。每行平均約150個字節。假如因為某些理由，你不想squid記錄客戶端請求日志，你能指定日志文件的路徑為/dev/null。store.log文件對大多數cache管理員來說并非很有用。它包含了進入和離開緩存的每個目標的記錄。平均記錄大小典型的是175-200字節。

如果squid的日志文件增加沒有限制。某些操作系統對單個文件強制執行2G的大小限制，即使你有充足的磁盤空間。超過該限制會導致寫錯誤，squid就會退出。（3）訪問控制。

squid默認的配置文件拒絕每一個客戶請求。在任何人能使用代理之前，你必須在squid.conf文件里加入附加的訪問控制規則。最簡單的方法就是定義一個針對客戶IP地址的ACL和一個訪問規則，告訴squid允許來自這些地址的HTTP請求。squid有許多不同的ACL類型。src類型匹配客戶IP地址，squid會針對客戶HTTP請求檢查http_access規則。

acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 請將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯squid.conf文件時，請看如下注釋：

在該注釋之后，以及“http_access deny all”之前插入新規則。（4）命令選項。

這里的很多選項在實際應用中從不會使用，另外有些僅僅在調試問題時有用。

? 實驗步驟

? Windows 2003防火墻

一．防火墻基礎操作

操作概述：啟用windows2003系統防火墻，設置規則阻斷ICMP回顯請求數據包，并驗證針對UDP連接工具的例外操作。

（1）在啟用防火墻之前，同組主機通過ping指令互相測試網絡連通性，確保互相是連通的，若測試未通過請排除故障。

（2）本機啟用防火墻，并設置防火墻僅對“本地連接”進行保護。

（3）同組主機再次通過ping指令互相測試網絡連通性，確認是否相互連通_______。（4）設置本機防火墻允許其傳入ICMP回顯請求。（5）第三次測試網絡連通性。二．防火墻例外操作

操作概述：啟用windows2003系統防火墻，在“例外”選項卡中添加程序“UDPtools” 允許UDPtools間通信，并彈出網絡連接提示信息。

（1）關閉防火墻，同組主機間利用UDPtools進行數據通信，確保通信成功。

「說明」 UDPtools通信雙方應分別為客戶端和服務端，其默認通過2513/UDP端口進行通信，可以自定義通信端口，運行如圖3-1-1所示。

圖3-1-1 UDP連接工具

（2）本機啟用防火墻(僅對本地連接)，將本機作為UDPtools服務器端，同組主機以UDPtools客戶端身份進行通信，確定客戶端通信請求是否被防火墻阻塞_______。

（3）斷開UDPtools通信，單擊“例外”選項卡，在“程序和服務”列表框添加程序“UDPtools.exe”（C:JLCSSTOOLSAnalysertoolsUdpTools.exe）并將其選中。再次啟動UDPtools并以服務器身份運行，同組主機仍以客戶端身份與其通信，確定客戶端通信請求是否被防火墻阻塞_______。

三．NAT操作

操作概述：Windows Server 2003“路由和遠程訪問”服務包括NAT路由協議。如果將NAT路由協議安裝和配置在運行“路由和遠程訪問”的服務器上，則使用專用IP地址的內部網絡客戶端可以通過NAT服務器的外部接口訪問Internet。

圖3-1-2 實驗網絡連接示意

參看圖3-1-2，當內部網絡主機PC1發送要連接Internet主機PC2的請求時，NAT協議驅動程序會截取該請求，并將其轉發到目標Internet主機。所有請求看上去都像是來自NAT器的外部連接IP地址，這樣就隱藏了內部網絡主機。

在這里我們將windows Server 2003主機配置成為“路由和遠程訪問”NAT服務器，并模擬搭建Internet網絡環境對NAT服務器進行測試。

（1）實驗網絡拓撲規劃。

按圖3-1-2所示，本實驗需3臺主機共同完成，其中一臺主機扮演實驗角色“內網主機PC1”,一臺主機扮演實驗角色“外網主機PC2”,最后一臺主機扮演“NAT服務器”。

默認外部網絡地址202.98.0.0／24；內部網絡地址172.16.0.0／24，也可根據實際情況指定內網與外網地址。

默認主機“本地連接”為內部網絡接口；“外部連接“為外部網絡接口，也可指定“本地連接”為外部網絡接口。

（2）按步驟(1)中規劃分別為本機的“本地連接”、“外部連接”配置IP地址。

（3）配置NAT路由服務。依次單擊“開始”|“程序”|“管理工具”|“路由和遠程訪問”，在“路由和遠程訪問”MMC中，選擇要安裝NAT路由協議的服務器(這里為本地主機)，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠程訪問”。

「注」 操作期間若彈出“為主機名啟用了Windows防火墻/Internet連接共享服務……”警告信息，請先禁用“Windows防火墻/Internet連接共享”服務，后重試操作。具體做法：“開始”|“程序”| “管理工具”|“計算機管理”|“服務和應用程序”|“服務”，在右側服務列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務，先將其停止，然后在啟動類型中將其禁用。

（4）在“路由和遠程訪問服務器安裝向導”中選擇“網絡地址轉換(NAT)”服務。

（5）在“NAT Internet連接”界面中指定連接到Internet的網絡接口，該網絡接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應選擇“外部連接”。

（6）本實驗中沒有應用到DHCP、DNS服務，所以在“名稱和地址轉換服務”界面中選擇“我將稍后設置名稱和地址服務”。至最后完成路由和遠程訪問配置。

（7）接下來的工作是對各NAT服務器進行測試。下面以主機ABC為例進行測試說明：參照圖3-1-2，設定主機A為內網主機PC1，將其內部網絡接口(默認為“本地連接”)的默認網關指向主機B的內部網絡接口(默認為“本地連接”)；設定主機C為外網主機PC2。內網主機A通過ping指令對外網主機C做連通性測試。

（8）ICMP會話分析。在主機A做連通性測試的同時，主機B打開“協議分析器”并定義過濾器，操作如下：依次單擊菜單項“設置”|“過濾器”，在“協議過濾”選項卡“協議樹”中選中“ICMP”協議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數據包”，在彈出的“適配器選擇”界面中選擇“外部連接”，開始捕獲。觀察狀態欄“捕獲幀數”窗格，當捕獲到數據時單擊“停止捕獲數據包”按鈕，依次展開“會話分析樹”|“ICMP會話”，如圖3-1-3所示。

圖3-1-3 在NAT服務器外部接口上監聽到的ICMP會話

（9）結合ICMP會話分析結果說出ICMP數據包的傳輸（路由）過程_________。

? linux防火墻-iptable的應用

一．包過濾實驗

操作概述：為了應用iptables的包過濾功能，首先我們將filter鏈表的所有鏈規則清空，并設置鏈表默認策略為DROP(禁止)。通過向INPUT規則鏈插入新規則，依次允許同組主機icmp回顯請求、Web請求，最后開放信任接口eth0。iptables操作期間需同組主機進行操作驗證。

（1）清空filter鏈表所有規則鏈規則。iptables命令________。

（2）確定同組主機已清空filter鏈表后，利用nmap（/opt/portscan/目錄下）對同組主機進行端口掃描。

nmap端口掃描命令________。

「說明」 nmap具體使用方法可查看實驗6｜練習1｜TCP端口掃描。查看端口掃描結果，并填寫下表。

（3）查看INPUT、FORWARD和OUTPUT鏈默認策略。iptables命令_________。

? ?（4）將INPUT、FORWARD和OUTPUT鏈默認策略均設置為DROP。iptables命令_________。

確定同組主機已將默認策略設置為DROP后，本機再次利用nmap其進行端口掃描，查看掃描結果，并利用ping命令進行連通性測試。

（5）利用功能擴展命令選項(ICMP)設置防火墻僅允許ICMP回顯請求及回顯應答。ICMP回顯請求類型__________；代碼__________。ICMP回顯應答類型__________；代碼__________。iptables命令__________ 利用ping指令測試本機與同組主機的連通性。（6）對外開放Web服務(默認端口80/tcp)。iptables命令__________ 利用nmap對同組主機進行端口掃描，查看掃描結果。

（7）設置防火墻允許來自eth0(假設eth0為內部網絡接口)的任何數據通過。iptables命令_______ 利用nmap對同組主機進行端口掃描，查看掃描結果。二．事件審計實驗

操作概述：利用iptables的日志功能檢測、記錄網絡端口掃描事件，日志路徑 /var/log/iptables.log。（1）根據實驗原理(TCP擴展)設計iptables包過濾規則，并應用日志生成工具ULOG對iptables捕獲的網絡事件進行響應。

iptables命令__________（2）同組主機應用端口掃描工具對當前主機進行端口掃描，并觀察掃描結果。（3）在同組主機端口掃描完成后，當前主機查看iptables日志，對端口掃描事件進行審計，日志內容如圖3-2-1所示。

圖3-2-1 iptables日志內容

三．狀態檢測實驗

操作概述：分別對新建和已建的網絡會話進行狀態檢測。1．對新建的網絡會話進行狀態檢測（1）清空filter規則鏈全部內容。iptables命令__________（2）設置全部鏈表默認規則為允許。iptables命令__________（3）設置規則禁止任何新建連接通過。iptables命令__________（4）同組主機對當前主機防火墻規則進行測試，驗證規則正確性。2．對已建的網絡會話進行狀態檢測

（1）清空filter規則鏈全部內容，并設置默認規則為允許。

（2）同組主機首先telnet遠程登錄當前主機，當出現“login:”界面時，暫停登錄操作。telnet登錄命令_________（3）iptables添加新規則(狀態檢測)——僅禁止新建網絡會話請求。iptables命令___________ 或___________________ 同組主機續(1)步驟繼續執行遠程登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功__________。

同組主機啟動Web瀏覽器訪問當前主機Web服務，訪問是否成功__________。解釋上述現象______________________。

（4）刪除步驟（3）中添加的規則，并插入新規則(狀態檢測)——僅禁止已建網絡會話請求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實驗步驟(1)(2)(4)。同組主機續(1)步驟繼續執行遠程登錄操作，嘗試輸入登錄用戶名“guest”及口令 “guestpass”，登錄是否成功__________。

同組主機啟動Web瀏覽器訪問當前主機Web服務，訪問是否成功__________。解釋上述現象_______________。

（5）當前主機再次清空filter鏈表規則，并設置默認策略為DROP,添加規則開放FTP服務，并允許遠程用戶上傳文件至FTP服務器。

iptables命令______________________________________ 四．NAT轉換實驗

實驗概述：圖3-2-2描述了NAT轉換實驗所應用的網絡拓撲結構。內網主機與NAT服務器eth0接口位于同一網段(內網)；外網主機與NAT服務器eth1接口位于同一網絡(外網)；NAT服務器提供NAT轉換。通過設置nat服務器的iptables NAT規則，實現內、外網主機間的通信數據包的地址轉換，達到屏蔽內部網絡拓撲結構與轉發外網主機請求端口的目的。

圖3-2-2 實驗網絡拓撲結

「說明」 本實驗是在Linux系統下完成，Linux系統默認安裝了2塊以太網卡，網絡接口分別為eth0和eth1，在設置NAT服務前請激活eth1網絡接口，命令ifconfig eth1 up。

1．確定各接口IP地址

本實驗由ABC、DEF主機各為一實驗小組。默認實驗角色：主機A為內網主機、B為NAT服務器、C為外網主機。也可以自定義實驗角色。

默認內網IP地址192.168.0.0/

24、外網IP地址202.98.0.0/24。配置完成內網主機eth0接口IP地址及默認網關(指向NAT服務器內網接口)，NAT服務器eth0和eth1接口IP地址，外網主機eth0接口IP地址，并完成下列問題的填寫：

內網主機IP____________________，其默認網關____________________； 外網主機IP____________________；

NAT服務器內網接口IP____________________、外網接口IP____________________。

內網主機對NAT服務器內網接口進行連通性測試（ping）；外網主機對NAT服務器外網接口進行連通性測試（ping）。

2．設置防火墻規則允許內部網絡訪問外部網絡

操作流程：首先開啟NAT服務器的路由功能(開啟網絡接口間數據的轉發)，清空filter鏈表全部規則，并設置其默認策略為DROP；繼續設置規則允許來自內網的數據流進入外網，并允許任何返回流量回到內網；最后規則實現內網、外網接口間的數據轉發。

（1）NAT服務器開啟路由功能。

基于安全的考慮，默認情況下Linux路由數據包的功能是關閉的，通過下述命令開啟系統路由功能：

（2）設置filter表規則鏈，默認策略為禁止。iptables命令_______________________（3）添加filter表新規則，允許來自防火墻的流量進入Internet；允許任何相關的返回流量回到防火墻。

iptables命令_______________________（4）添加filter表新規則，實現NAT服務器內部網絡接口eth0與外部網絡接口eth1間的數據轉發。iptables命令_______________________（5）主機C啟動Snort（/opt/ids/snort）以網絡嗅探方式運行(設置過濾器僅監聽icmp數據包)，主機A ping探測主機C，是否ping通______？

將主機C的默認網關指向NAT服務器的外網接口，主機A再次ping探測主機C，是否ping通__________？結合snort捕獲數據，對比實驗現象，說明原因：___________________。

3．設置防火墻規則通過NAT屏蔽內部網絡拓撲結構

操作流程：在實現步驟2的操作基礎上，添加nat表新規則實現數據從內網到外網的地址翻譯。（1）NAT服務器重新啟動iptables服務。service iptables restart（2）重新操作步驟2(⑵～⑶)。

（3）添加nat表新規則，通過網絡地址翻譯實現內部網絡地址轉換。iptables命令_______________________（4）添加filter表新規則，實現NAT內部網絡接口eth0與外部網絡接口eth1之間的數據轉發。iptables命令_______________________（5）主機C重新將默認網關指為空，重新啟動Snort捕獲ICMP數據。主機A對主機C進行ping探測，是否ping通__________？主機C停止Snort監聽，查看已捕獲到ICMP數據，其源IP地址是__________？解釋實驗象_____________________________________。

4．設置防火墻規則通過NAT實現外網請求端口轉發

操作流程：在實現步驟3的操作基礎，添加nat表新規則實現數據從外網到內網的地址翻譯(端口轉發)。（1）NAT服務器重新啟動iptables服務。service iptables restart（2）重新操作步驟3(⑵～⑷)。

（3）添加nat表新規則，實現數據從外網到內網的地址翻譯（80/tcp端口轉發）。iptables命令__________________(4)完成NAT外部接口eth1到內部接口eth0之間的數據轉發 iptables命令__________________（5）確定主機C默認網關指為空，主機A和主機C啟動Snort捕獲80/tcp數據，主機C啟動Web瀏覽器，在地址欄中輸入：http://202.98.0.150，觀察訪問結果，回答下列問題：

主機C訪問是否成功__________？若成功，其訪問的是哪臺主機的Web主頁__________（主機A/主機B）？

主機C停止Snort捕獲，觀察80/tcp會話的源、目的IP地址對__________________。主機A停止Snort捕獲，觀察80/tcp會話的源、目的IP地址對__________________。解釋上述實驗現象______________________________________________________。五．應用代理實驗

實驗概述：使用iptables+squid方式來實現傳統代理、透明代理和反向代理。

實驗角色說明如下：

內網客戶端僅需啟用“本地連接”，其IP地址形式如下：172.16.X.Y，子網掩碼255.255.255.0,其中X為所屬實驗組編號（1-32）,Y為主機編號（1-6）,例如第4組主機A的IP地址為172.16.4.4。

代理服務器需要啟動內部網絡接口eth0和外部網絡接口eth1。內部IP地址形式同內網客戶端，外部IP地址形式如下：202.98.X.Y，子網掩碼255.255.255.0，其中X為所屬實驗組號（1-32）,Y為主機編號，例如第4組主機B的內部IP地址為172.16.4.2，外部IP地址為202.98.4.2。

外網Web服務器僅需啟用“本地連接”，其IP地址形式如下：202.98.X.Y，子網掩碼255.255.255.0，其中X為所屬實驗組號（1-32），Y為主機編號（1-6），例如第4組主機C的IP地址為202.98.4.3。

在進行實驗操作前，首先清空防火墻規則。1．傳統代理

（1）外網Web服務器手動分配IP地址，并確認本地Web服務已啟動。

（2）代理服務器激活網絡接口eth1，并手動分配IP地址，可通過以下兩種方式激活eth1： 通過“桌面”｜“管理”｜“網絡”激活eth1，并手動分配IP地址； 在控制臺中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 202.98.X.Y/24為eth1分配IP地址。（3）代理服務器配置squid。

代理服務器進入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf。在squid.conf中配置如下選項：

第936行，使用默認的端口http_port 3128；

第574行，添加行acl mynet src 主機A地址域。例如acl mynet src 172.16.1.0/24； 第610行，添加行http_access allow mynet。（4）運行代理服務器

代理服務器進入目錄/usr/local/squid/sbin/，輸入命令：./squid –NCd1啟動代理服務。（5）通過代理訪問Web服務器

內網客戶端打開IE瀏覽器，通過“工具”｜“Internet選項”｜“連接”｜“局域網設置”選中“為LAN使用代理服務器”，在“地址”中輸入代理服務器的內網IP，在“端口”中輸入代理服務器的監聽端口號，單擊“確定”按鈕，完成瀏覽器設置。

內網客戶端在IE瀏覽器地址欄中輸入“http://外網Web服務器IP地址”，即可訪問到Web頁面。（6）驗證代理服務器的作用

內網客戶訪問外網Web服務，是否可以訪問到頁面__________。

外網Web服務器關閉Web服務，代理服務器訪問外網Web服務，是否可以訪問到頁面__________。內網客戶端再次訪問外網Web服務，是否可以訪問到頁面__________，為什么？____________。2．透明代理

（1）外網Web服務器開啟Web服務。（2）代理服務器配置squid。

代理服務器進入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項： 第936行，修改為：http_port 主機B內網IP:3128 transparent（3）代理服務器添加iptables規則。

對從代理服務器內網接口進入的、基于tcp協議的、目的端口是80的數據包，做“端口重定向”。將數據包重定向到3128端口，規則如下：

iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）運行代理服務器。

（5）通過代理訪問Web服務器。

內網客戶端將本地連接的“默認網關”設置為代理服務器的內網IP，即代理服務器的eth0網絡接口的IP。內網客戶端打開IE瀏覽器，通過“工具”｜“Internet選項”｜“連接”｜“局域網設置”，取消“為LAN使用代理服務器”。

內網客戶端在IE瀏覽器地址欄輸入“http://外網Web服務器的IP”，即可訪問到外網Web服務器的Web頁面。

3．反向代理

（1）內網客戶端開啟Web服務。（2）代理服務器配置squid。

代理服務器進入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項： 第936行，修改為：http_port 主機B外網地址:80 vhost。

第1499行，添加行：cache_peer 主機A的IP parent 80 0 no-query originserver。第574行，修改為：acl outside src 主機C地址域。例如acl outside src 202.98.1.0/24。第610行，修改為：http_access allow outside。（3）停止代理服務器的Web服務。

在代理服務器的終端輸入命令：service httpd stop。（4）刪除緩存文件。

刪除目錄/usr/local/squid/var/cache/00/00下所有文件。（5）運行代理服務器。

（6）外網通過代理訪問內網客戶端Web服務

外網Web服務器在IE瀏覽器地址欄中輸入“http://代理服務器外網IP”即可訪問到內網客戶端的Web頁面。

第二篇：實驗8 防火墻透明模式配置

實驗八 防火墻透明模式配置

適用于河南中醫學院信息技術學院網絡安全實驗室

一、實驗目的

1、了解什么是透明模式；

2、了解如何配置防火墻的透明模式；

二、應用環境

透明模式相當于防火墻工作于透明網橋模式。防火墻進行防范的各個區域均位于同 一網段。在實際應用網絡中，這是對網絡變動最少的介入方法，廣泛用于大量原有網絡的 安全升級中。

三、實驗設備

(1)防火墻設備1臺(2)Console線1條(3)網絡線2條(4)PC機3臺

四、實驗拓撲

五、實驗步驟

第一步：搭建WebUI配置環境

除使用 CLI 進行配置以外，神州數碼安全網關還提供WebUI 界面，使用戶能夠更簡便與直觀地對設備進行管理與配置。安全網關的 ethernet0/0 接口配有默認IP 地址192.168.1.1/24，并且該接口的各種管理功能均為開啟狀態。初次使用安全網關時，用戶可以通過該接口訪問安全網關的WebUI 頁面。請按照以下步驟搭建WebUI 配置環境：

1.將管理 PC 的IP 地址設置為與192.168.1.1/24 同網段的IP 地址，并且用網線將管理PC與安全網關的ethernet0/0 接口進行連接。

2.在管理 PC 的Web 瀏覽器中訪問地址http://192.168.1.1 并按回車鍵。出現登錄頁面如下圖所示：

3.輸入管理員的名稱和密碼。DCFW-1800系列安全網關提供的默認管理員名稱和密碼均為“admin”。

4.從<語言>下拉菜單選擇Web頁面語言環境，<中文>或。

5.點擊『登錄』按鈕進入安全網關的主頁。DCFW-1800系列安全網關的主頁如圖

第二步：接口配置

1.將eth0/1接口加入二層安全域l2-trust。

2.將eth0/2接口設置成二層安全域l2-untrust。如下圖所示

配置好以后如下圖所示

第三步：添加對象

定義地址對象

定義網段A(172.16.2.11 – 172.16.2.12)定義網段B(1172.16.2.13 – 172.16.2.14)如下圖所示

添加第一個網段，如下圖

添加第二個網段，如下圖

自定義規則，如下圖所示

自定義添加的規則，點擊確定后即可使用。

要求允許網段A能夠 ping 網段B及訪問網段B的WEB服務，在這里我們將ping和http服務建立一個服務組

第四步：配置安全策略

在“防火墻”->“策略”中選擇“新建”，選擇規則

選擇規則如下圖所示，點擊確定按鍵即可

補充1：防火墻的重置，將防火墻恢復到出廠的方法有三種：

1、用戶除使用設備上的CRL按鍵使系統恢復到出廠配置

2、可以使用命令恢復。恢復出廠配置，在執行模式下，使用以下命令：unset all

3、WebUI：訪問頁面“系統→維護→配置→管理”。點擊『重置』

思考與問題：

1，防火墻上如果處于透明模式的兩個接口都放到同一個二層安全域中，比如說將上述實驗中的eth0/1口和eth0/2口都設置成l2-trust安全域。那是否還需要設置安全策略，如果需要的話那如何設置？

答：還需要設置安全策略，如果不設置，則兩者都不能ping通。若設置，則需要將eth0/1設置成源地址，eth0/2設置成目標地址，就可以實現eth0/1 ping通 eth0/2,而 eth0/2 ping 不通 eth0/1

2、關于行為，第一次備課做時候，缺省行為竟然對結果沒有影響，即不管行為時允許還是拒絕，都能實現我們的目標；第二次實驗課，學生練習發現，若是將最后的安全策略中的行為設為拒絕，則兩者將都不能ping通。待解決。

3、第2次實驗課發現，無論是將eth0/1口和eth0/2口都設置成12-trust安全域，還是一個設為12-trust一個設為12-untrust，都能實現源地址能ping通目標地址而目標地址ping不通源地址。待解決。。

第三篇：防火墻配置試卷D

防火墻配置試卷D

題量：5 滿分：100.0 分

顯示答案

簡答題（共5題,100.0分）

1按照拓撲圖，搭建環境配置服務器并設置接口區域和ip地址。（15分）

提交display ip int bri中接口配置；（5分）

提交display current中接口添加到對應區域的配置；（6分）

2設置源NAT策略和配置安全策略，保證內網vlan10和vlan20用戶通過HFW1能訪問外網；內網vlan30和vlan40用戶通過HFW2能訪問外網。（共計30分）

提交HFW1的安全策略配置和NAT策略截圖（7.5分）；

提交HFW2的安全策略配置和NAT策略截圖（7.5分）；

提交vlan10和vlan20主機訪問外網192.168.20.1后，防火墻HFW1 display firewall session table截圖；（7.5分）；

提交vlan30和vlan40主機訪問外網192.168.10.1后，防火墻HFW2 display firewall session table截圖；（7.5分）；

設置目的NAT策略和配置安全策略，保證外網用戶訪問192.168.20.100的web服務時，訪問的是內部網絡dmz區域的172.16.8.100（共計15分）；

提交HFW1上display nat server截圖（10分）；

提交外部瀏覽器訪問http://192.168.20.100截圖（5分）；

設置在任選一臺防火墻配置DHCP服務器，為內部trust區域中vlan10、vlan20、vlan30和vlan40下面的主機提供iP地址。（共計12分）；

提交選擇防火墻上display current與DHCP有關的截圖（6分），其中地址池配置4分，端口下引用（2分））；

提交vlan10下主機pc1獲得ip地址的截圖（1.5分）；

提交vlan20下主機pc2獲得ip地址的截圖（1.5分）；

提交vlan30下主機pc3獲得ip地址的截圖（1.5分）；

提交vlan40下主機pc4獲得ip地址的截圖（1.5分）；

配置兩臺防火墻的雙機熱備，HFW1防火墻為vlan10和vlan20的active（活動）設備，HFW2防火墻為vlan10和vlan20的standby（備份）設備；HFW1防火墻為vlan40和vlan30的standby（備份）設備，HFW2防火墻為vlan30和vlan40的active（活動）設備；

兩臺防火墻均可以訪問互聯網，當active（活動）設備發生故障時能夠實現切換，虛擬機訪問互聯網不能出現中斷。（共計40分）

1）熱冗余備份配置完成后，提交相關驗證結果（16分）

提交啟動熱冗余備份后防火墻HFW1的display hrp state結果（2分）；

提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果（2分）；

提交啟動熱冗余備份后防火墻HFW2的display hrp state結果（2分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果（2分）；

提交VLAN10的主機用tracert 192.168.20.1訪問外部網絡主機的截圖（2分）；

提交VLAN40的主機用tracert 192.168.10.1訪問外部網絡主機的截圖（2分）；

提交FHW1的display firewall session會話轉化表（2分）；

提交FHW2的display firewall session會話轉化表（2分）；

2）熱冗余備份環境下，在交換機g0/0/24下執行shutdown命令，提交相關驗證結果（8分）

提交啟動熱冗余備份后防火墻HFW1的display hrp state結果（1分）；

提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果（1分）；

提交啟動熱冗余備份后防火墻HFW2的display hrp state結果（1分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果（1分）；

提交VLAN10的主機用tracert 192.168.20.1訪問外部網絡主機的截圖（1分）；

提交VLAN40的主機用tracert 192.168.10.1訪問外部網絡主機的截圖（1分）；

提交FHW1的display firewall session會話轉化表（1分）；

提交FHW2的display firewall session會話轉化表（1分）；

3）熱冗余備份環境下，在交換機的g0/0/24下再執行undo shutdown命令后，等待系統恢復后提交相關驗證結果（8分）

提交啟動熱冗余備份后防火墻HFW1的display hrp state結果（1分）；

提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果（1分）；

提交啟動熱冗余備份后防火墻HFW2的display hrp state結果（1分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果（1分）；

提交VLAN10的主機用tracert 192.168.20.1訪問外部網絡主機的截圖（1分）；

提交VLAN40的主機用tracert 192.168.10.1訪問外部網絡主機的截圖（1分）；

提交FHW1的display firewall session會話轉化表（1分）；

提交FHW2的display firewall session會話轉化表（1分）；

4）熱冗余備份環境下，在防火墻HFW2下的g1/0/4下執行shutdown命令后，等待一段時間，提交相關驗證結果（8分）

提交啟動熱冗余備份后防火墻HFW1的display hrp state結果（1分）；

提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結果（1分）；

提交啟動熱冗余備份后防火墻HFW2的display hrp state結果（1分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結果（1分）；

提交VLAN10的主機用tracert 192.168.20.1訪問外部網絡主機的截圖（1分）；

提交VLAN40的主機用tracert 192.168.10.1訪問外部網絡主機的截圖（1分）；

提交FHW1的display firewall session會話轉化表（1分）；

提交FHW2的display firewall session會話轉化表（1分）；

第四篇：實驗 防火墻技術實驗

實驗九

防火墻技術實驗

1、實驗目的

防火墻是網絡安全的第一道防線，按防火墻的應用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗，使學生了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規則設置方法，掌握根據業務需求制定防火墻策略的方法。

2、題目描述

根據不同的業務需求制定天網防火墻策略，并制定、測試相應的防火墻的規則等。

3、實驗要求

基本要求了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規則設置方法，掌握根據業務需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發防火墻。

4、相關知識

1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀的一種安全防務：在城堡周圍挖掘一道深深的壕溝，進入城堡的人都要經過一個吊橋，吊橋的看守檢查每一個來往的行人。對于網絡，采用了類似的處理方法，它是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網關(securitygateway),也就是一個電子吊橋，從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內部網（通常指局域網或城域網）隔開的屏障。它決定了哪些內部服務可以被外界訪問、可以被哪些人訪問，以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且防火墻本身也必須能夠免于滲透。典型的網絡防火墻如下所示。

防火墻也并不能防止內部人員的蓄意破壞和對內部服務器的攻擊，但是，這種攻擊比較容易發現和察覺，危害性也比較小，這一般是用公司內部的規則或者給用戶不同的權限來控制。

2)防火墻的分類前市場的防火墻產品主要分類如下：

（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。（2）從防火墻技術“包過濾型”和“應用代理型”兩大類。

（3）從防火墻結構單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應用部署位置邊界防火墻、個人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級防火墻和千兆級防火墻兩類。3）防火墻的基本規則

■一切未被允許的就是禁止的(No規則)。■一切未被禁止的就是允許的(Yes規則)。

很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規則相比較,然后是第二條、第三條??當它發現一條匹配規則時，就停止檢查并應用那條規則。

4）防火墻自身的缺陷和不足

■限制有用的網絡服務。防火墻為了提高被保護網絡的安全性，限制或關閉了很多有用但存在安全缺陷的網絡服務。

■無法防護內部網絡用戶的攻擊。目前防火墻只提供對外部網絡用戶攻擊的防護，對來自內部網絡用戶的攻擊只能依靠內部網絡主機系統的安全性。■Internet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個被保護的網絡上有一個沒有限制的撥出存在，內部網絡上的用戶就可以直接通過SLIP或PPP聯接進入Internet。

■對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效。■Internet防火墻也不能完全防止傳送已感染病毒的軟件或文件。

■防火墻無法防范數據驅動型的攻擊。數據驅動型的攻擊從表面上看是無害的數據被郵寄或拷貝到Internet主機上，但一旦執行就開始攻擊。例如，一個數據型攻擊可能導致主機修改與安全相關的文件，使得入侵者很容易獲得對系統的訪問權。

■不能防備新的網絡安全問題。防火墻是一種被動式的防護手段，它只能對現在已知的網絡威脅起作用。

5、實驗設備

主流配置PC，安裝有windows 2000 SP4操作系統，網絡環境，天網防火墻個人版。

6、實驗步驟

1）從指導老師處得到天網防火墻個人版軟件。

2）天網防火墻個人版的安裝。按照安裝提示完成安裝，并重啟后系統。

3）系統設置。在防火墻的控制面板中點擊“系統設置”按鈕，即可展開防火墻系統設置面板。

天網個人版防火墻系統設置界面如下。

防火墻自定義規則重置：占擊該按鈕，防火墻將彈出窗口，如下：

如果確定，天網防火墻將會把防火墻的安全規則全部恢復為初始設置，你對安全規則的修改和加入的規則將會全部被清除掉。

防火墻設置向導：為了便于用戶合理的設置防火墻，天網防火墻個人版專門為用戶設計了防火墻設置向導。用戶可以跟隨它一步一步完成天網防火墻的合理設置。

應用程序權限設置：勾選了該選項之后，所有的應用程序對網絡的訪問都默認為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網絡的應用程序都做審核的時候。（譬如在運行某些游戲程序的時候）

局域網地址：設置在局域網內的地址。防火墻將會以這個地址來區分局域網或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時自動保存日志，當你退出防火墻的保護時，天網防火墻將會把當日的日志記錄自動保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當日的日志記錄。

4）安全級別設置天網個人版防火墻的缺省安全級別分為低、中、高三個等級，默認的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規則的設置等情況，我們選擇自定義安全級別。

然后點擊左邊的將打開自定義的IP規則。

從中可以看出，規則的先后順序為IP規則、ICMP規則、IGMP規則、TCP規則和UDP規則。自定義IP規則的工具條如下，可以使用這些工具完成規則的增加、修改、刪除、保存、調整、導入導出操作。重要：規則增加、修改、刪除等操作后一定要點擊保存圖標進行保存，否則無效。

單擊規則前面的，可使該規則不起作用，且其形狀變為。

5）修改規則雙擊該規則，或者點擊工具條上的修改按鈕可以打開該規則的修改窗體。然后按照需求對各部分進行修改。

（1）首先輸入規則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規則是對進入的數據包還是輸出的數據包有效。

（3）“對方的IP地址”，用于確定選擇數據包從那里來或是去哪里，這里有幾點說明： ■“任何地址”是指數據包從任何地方來，都適合本規則，■“局域網網絡地址”是指數據包來自和發向局域網，■“指定地址”是你可以自己輸入一個地址，“指定的網絡地址”是你可以自己輸入一個網絡和掩碼。

（4）除了錄入選擇上面內容，還要錄入該規則所對應的協議，其中：

■‘IP’協議不用填寫內容，注意，如果你錄入了IP協議的規則，一點要保證IP協議規則的最后一條的內容是：“對方地址：任何地址；動作：繼續下一規則”。

■‘TCP’協議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標志比較復雜，你可以查閱其他資料，如果你不選擇任何標志，那么將不會對標志作檢查。

■‘ICMP’規則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規則。■‘IGMP’不用填寫內容。

（5）當一個數據包滿足上面的條件時，你就可以對該數據包采取行動了： ■‘通行’指讓該數據包暢通無阻的進入或出去。■攔截’指讓該數據包無法進入你的機器

■繼續下一規則’指不對該數據包作任何處理，由該規則的下一條同協議規則來決定對該包的處理。（6）在執行這些規則的同時，還可以定義是否記錄這次規則的處理和這次規則的處理的數據包的主要內容，并用右下腳的“天網防火墻個人版”圖標是否閃爍來“警告”，或發出聲音提示。

6）新增規則點擊工具條的新增規則按鈕可以新增一條規則，并彈出該規則的編輯界面。比如新增一條允許

訪問WWW端口的規則，可以按如下方法設置。設置完成后點擊“確定”，并點擊工具條的保存按鈕。

7）普通應用程序規則設置天網防火墻個人版增加對應用程序數據傳輸封包進行底層分析攔截功能，它可以控制應用程序發送和接收數據傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網防火墻個人版打開的情況下，首次激活的任何應用程序只要有通訊傳輸數據包發送和接收存在，都會被天網防火墻個人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時可以根據需要來決定是否允許應用程序訪問網絡。如果不選中“該程序以后按照這次的操作運行”，那么天網防火墻個人版在以后會繼續截獲該應用程序的數據傳輸數據包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運行”選項，該應用程序將自加入到應用程序列表中，可以通過應用程序設置來設置更為詳盡的數據傳輸封包過濾方式。

8）高級應用程序規則設置單擊

可以打開詳細的應用程序規則設置。單擊應用程序規則面板中對應每一條應用程序規則都有幾個按鈕

點擊“選項”即可激活應用程序規則高級設置頁面。

“該應用程序可以”窗口是設定該應用程序可以做的動作。其中：是指此應用程序進程可以向外發出連接請求，通常是用于各種客戶端軟件。則是指此程序可以在本機打開監聽的端口來提供網絡服務，這通常用于各種服務器端程序中。

9）根據以上功能，分別完成如下不同需求的防火墻規則設置并進行測試。

需求1：ICMP規則允許ping進來，其它禁止，TCP規則允許訪問本機的WWW服務和主動模式的FTP服務，其它禁止，UDP禁止。需求2：ICMP規則允許ping出去，其它禁止，TCP規則禁止所有連接本機，允許IE訪問Internet的80端口，UDP規則允許DNS解析，其它進出UDP報文禁止。

7、實驗思考

1）根據你所了解的網絡安全事件，你認為天網防火墻不具備的功能有哪些？ 2）防火墻是不是絕對的安全？攻擊防火墻系統的手段有哪些？

第五篇：畢業論文 LINUX路由防火墻配置

LINUX路由防火墻配置 加上摘要、關鍵字 LINUX系統應用概述（安全方面應用）防火墻的功能介紹 防火墻規則配置 防火墻路由配置 防火墻NAT配置

RedHat Linux 為增加系統安全性提供了防火墻保護。防火墻存在于你的計算機和網絡之間，用來判定網絡中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統安全性。

其中有以下幾種配置方式：

高級：如只有以下連接是果你選擇了「高級」，你的系統就不會接受那些沒有被你具體指定的連接（除了默認設置外）。默認允許的： DNS回應

DHCP — 任何使用 DHCP 的網絡接口都可以被相應地配置。如果你選擇「高級」，你的防火墻將不允許下列連接

1．活躍狀態FTP（在多數客戶機中默認使用的被動狀態FTP應該能夠正常運行。）2.IRC DCC 文件傳輸

3.RealAudio 4.遠程 X 窗口系統客戶機 如果你要把系統連接到互聯網上，但是并不打算運行服務器，這是最安全的選擇。

如果需要額外的服務，你可以選擇 「定制」 來具體指定允許通過防火墻的服務。注記:如果你在安裝中選擇設置了中級或高級防火墻，網絡驗證方法（NIS 和 LDAP）將行不通。

中級：如果你選擇了「中級」，你的防火墻將不準你的系統訪問某些資源。訪問下列資源是默認不允許的：

1.低于1023 的端口 — 這些是標準要保留的端口，主要被一些系統服務所使用，例如： FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務器端口（2049）— 在遠程服務器和本地客戶機上，NFS 都已被禁用。3.為遠程 X 客戶機設立的本地 X 窗口系統顯示。4.X 字體服務器端口（xfs 不在網絡中監聽；它在字體服務器中被默認禁用）。

如果你想準許到RealAudio之類資源的訪問，但仍要堵塞到普通系統服務的訪問，選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務穿過防火墻。

注記:如果你在安裝中選擇設置了中級或高級防火墻，網絡驗證方法（NIS 和 LDAP）將行不通。

無防火墻：無防火墻給予完全訪問權并不做任何安全檢查。安全檢查是對某些服務的禁用。

建議你只有在一個可信任的網絡（非互聯網）中運行時，或者你想稍后再進行詳細的防火墻配置時才選此項。選擇 「定制」 來添加信任的設備或允許其它的進入接口。

信任的設備：選擇「信任的設備」中的任何一個將會允許你的系統接受來自這一設備的全部交通；它不受防火墻規則的限制。

例如，如果你在運行一個局域網，但是通過PPP撥號連接到了互聯網上，你可以選擇「eth0」，而后所有來自你的局域網的交通將會被允許。

把「eth0」選為“信任的”意味著所有這個以太網內的交通都是被允許的，但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通，不要選擇它。建議你不要將連接到互聯網之類的公共網絡上的設備定為 「信任的設備」。

允許進入：啟用這些選項將允許具體指定的服務穿過防火墻。注意：在工作站類型安裝中，大多數這類服務在系統內沒有被安裝。

DHCP：如果你允許進入的 DHCP 查詢和回應，你將會允許任何使用 DHCP 來判定其IP地址的網絡接口。DHCP通常是啟用的。如果DHCP沒有被啟用，你的計算機就不能夠獲取 IP 地址。

SSH：Secure（安全）SHell（SSH）是用來在遠程機器上登錄及執行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機器，啟用該選項。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠程訪問你的機器。

TELNET：Telnet是用來在遠程機器上登錄的協議。Telnet通信是不加密的，幾乎沒有提供任何防止來自網絡刺探之類的安全措施。建議你不要允許進入的Telnet訪問。如果你想允許進入的 Telnet 訪問，你需要安裝 telnet-server 軟件包。

HTTP：HTTP協議被Apache（以及其它萬維網服務器）用來進行網頁服務。如果你打算向公眾開放你的萬維網服務器，請啟用該選項。你不需要啟用該選項來查看本地網頁或開發網頁。如果你打算提供網頁服務的話，你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會為 HTTPS 打開一個端口。要啟用 HTTPS，在 「其它端口」 字段內注明。

SMTP：如果你需要允許遠程主機直接連接到你的機器來發送郵件，啟用該選項。如果你想從你的ISP服務器中收取POP3或IMAP郵件，或者你使用的是fetchmail之類的工具，不要啟用該選項。請注意，不正確配置的 SMTP 服務器會允許遠程機器使用你的服務器發送垃圾郵件。

FTP：FTP 協議是用于在網絡機器間傳輸文件的協議。如果你打算使你的 FTP 服務器可被公開利用，啟用該選項。你需要安裝 vsftpd 軟件包才能利用該選項。

其他端口：你可以允許到這里沒有列出的其它端口的訪問，方法是在 「其它端口」 字段內把它們列出。格式為： 端口:協議。例如，如果你想允許 IMAP 通過你的防火墻，你可以指定 imap:tcp。你還可以具體指定端口號碼 要允許 UDP 包在端口 1234 通過防火墻，輸入 1234:udp。要指定多個端口，用逗號將它們隔開。

竅門:要在安裝完畢后改變你的安全級別配置，使用 安全級別配置工具。

在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動 安全級別配置工具。如果你不是根用戶，它會提示你輸入根口令后再繼續。

運行防火墻的計算機（以下稱防火墻）既連接外部網，又連接內部網。一般情況下，內部網的用戶不能直接訪問外部網，反之亦然。如果內部網用戶要訪問外部網，必須先登錄到防火墻，由防火墻進行IP地址轉換后，再由防火墻發送給外部網，即當內部網機器通過防火墻時，源IP地址均被設置（或稱偽裝，或稱欺騙）成外部網合法的IP地址。經偽裝以后，在外部網看來，內部網的機器是一個具有合法的IP地址的機器，因而可進行通信。外部網用戶要訪問內部網用戶時，也要先登錄到防火墻，經過濾后，僅通過允許的服務。由此可見，防火墻在內部網與外部網之間起到了兩個作用：(1)IP包過濾——保護作用；(2)路由——網絡互連作用。

硬件安裝：運行Linux防火墻的計算機上必須安裝有兩塊網卡或一塊網卡、一塊Modem卡。本文以兩塊網卡為例。安裝網卡，正確設置中斷號及端口號，并為各網卡分配合適的IP地址。例如：eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創建，刪除或插入鏈，并可以在鏈中創建，刪除或插入過濾規則。Iptables僅僅是一個包過濾管理工具，對過濾規則的執行是通過LINUX的NETWORK PACKET FILTERING內核和相關的支持模塊來實現的。

RED HAT LINUX在安裝時，也安裝了對舊版的IPCHAINS的支持，但是兩者不能同時使用，可以用以下命令卸下： Rmmod ipchains 然后可以檢查下Iptables是否安裝了： Rpm –q Iptables Iptables-1.2.7a-2 說明已經安裝了Iptables Iptables有以下服務： 啟用：service Iptables start 重啟：service Iptables restart 停止：servixe Iptables stop 對鏈的操作：

1． 2． 查看鏈：Iptables –L 創建與刪除鏈：Iptables –N block block為新鏈

Iptables –X 為刪除鏈 3．

對規則的操作：

1． 2． 3． 4． 5． 6． 7． 刪除鏈中規則：Iptables –E 歸零封包記數器：Iptables –Z 設置鏈的默認策略：Iptables –P 新增規則：Iptables –A 替換規則：Iptables –R 刪除規則：Iptables –D 插入規則：Iptables –I 更改鏈的名稱：Iptables-E 要禁止外網PING本機，可以執行規則為：

Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機訪問本機，規則為： Iptables –A INPUT –s 220.174.156.22 –j DROP 規則的處理動作： 1． 2． ACCEPT：允許封包通過或接收該封包

REJECT：攔截該封包，并回傳一個封包通知對方

3． 4． DROP：直接丟棄封包

5． 6． MASQUERADE：用于改寫封包的來源IP為封包流出的外網卡的IP地址，實現IP偽裝

假設外網卡為ETH0，則 ： iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99

構建路由: 增加一條靜態路由：

# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態路由：

# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統增加一條缺省路由，因為缺省的路由是把所有的數據包都發往它的上一級網關

（假設地址是172.16.1.254，這個地址依賴于使用的網絡而定，由網絡管理員分配），因此增加如下的缺省路由記錄： # route add default gw 172.16.77.254 最后一步，要增加系統的IP轉發功能。這個功能由

執行如下命令打開ip轉發功能： echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。