实验四网上安全技术防火墙.docx

实验四网上安全技术防火墙.docx

《实验四网上安全技术防火墙.docx》由会员分享，可在线阅读，更多相关《实验四网上安全技术防火墙.docx（12页珍藏版）》请在冰豆网上搜索。

实验四网上安全技术防火墙

实验四-网上安全技术-防火墙

淮海工学院

计算机工程学院

实验报告书

课程名：

《网络安全技术》

题目：

防火墙

班级：

学号：

姓名：

评语：

成绩：

指导教师：

批阅时间：

年月日

【实验目的】

●理解iptables工作机理

●熟练掌握iptables包过滤命令及规则

●学会利用iptables对网络事件进行审计

●熟练掌握iptablesNAT工作原理及实现流程

●学会利用iptables+squid实现Web应用代理

【实验人数】

每组2人合作方：

韩云霄2012122618

【系统环境】

Linux

【网络环境】

交换网络结构

【实验工具】

iptables

Nmap

Ulogd

【实验步骤】

一、iptables包过滤

本任务主机A、B为一组，C、D为一组，E、F为一组。

首先使用“快照X”恢复Linux系统环境。

操作概述：

为了应用iptables的包过滤功能，首先我们将filter链表的所有链规则清空，并设21

ftp

23

telnet

80

http

111

rpcbind

443

https

（3）查看INPUT、FORWARD和OUTPUT链默认策略。

iptables命令iptables-tfilter-L。

（4）将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。

iptables命令iptables-PINPUTDROP

iptables-PFORWARDDROP

iptables-POUTPUTDROP

同组主机利用nmap对当前主机进行端口扫描，查看扫描结果，并利用ping命令进行连通性测试。

（5）利用功能扩展命令选项（ICMP）设置防火墙仅允许ICMP回显请求及回显应答。

ICMP回显请求类型8；代码0。

ICMP回显应答类型0；代码0。

iptables命令iptables-IINPUT-picmp--icmp-type8/0-jACCEPT

iptables-IOUTPUT-picmp--icmp-type0/0-jACCEPT

利用ping指令测试本机与同组主机的连通性。

（6）对外开放Web服务（默认端口80/tcp）。

iptables命令iptables-IINPUT-ptcp--dport80-jACCEPT

iptables-IOUTPUT-ptcp--sport80-jACCEPT

同组主机利用nmap对当前主机进行端口扫描，查看扫描结果。

（7）设置防火墙允许来自eth0（假设eth0为内部网络接口）的任何数据通过。

iptables命令iptables-AINPUT-ieth0-jACCEPT

iptables-AOUTPUT-oeth0-jACCEPT

同组主机利用nmap对当前主机进行端口扫描，查看扫描结果。

一．事件审计实验

操作概述：

利用iptables的日志功能检测、记录网络端口扫描事件，日志路径/var/log/iptables.log。

（1）清空filter表所有规则链规则。

iptables命令

（2）根据实验原理（TCP扩展）设计iptables包过滤规则，并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。

iptables命令

（3）同组主机应用端口扫描工具对当前主机进行端口扫描，并观察扫描结果。

（4）在同组主机端口扫描完成后，当前主机查看iptables日志，对端口扫描事件进行审计，日志内容如图所示。

二．状态检测实验

操作概述：

分别对新建和已建的网络会话进行状态检测。

1．对新建的网络会话进行状态检测

（1）清空filter规则链全部内容。

iptables命令

（2）设置全部链表默认规则为允许。

iptables命令

（3）设置规则禁止任何新建连接通过。

iptables命令

（4）同组主机对当前主机防火墙规则进行测试，验证规则正确性。

2．对已建的网络会话进行状态检测

（1）清空filter规则链全部内容，并设置默认规则为允许。

（2）同组主机首先telnet远程登录当前主机，当出现“login:

”界面时，暂停登录操作。

telnet登录命令

（3）iptables添加新规则（状态检测）——仅禁止新建网络会话请求。

iptables命令

或

同组主机续步骤

（2）继续执行登录操作，尝试输入登录用户名“guest”及口令“guestpass”，登录是否成功？

。

同组主机启动Web浏览器访问当前主机Web服务，访问是否成功？

。

解释上述现象。

（4）删除步骤（3）中添加的规则。

iptables命令

或

（5）同组主机重新telnet远程登录当前主机，当出现“login:

”界面时，暂停登录操作。

（6）iptables添加新规则（状态检测）——仅禁止已建网络会话请求。

iptables命令

或

同组主机续步骤（5）继续执行登录操作，登录是否成功？

。

同组主机启动Web浏览器访问当前主机Web服务，访问是否成功？

。

解释上述现象。

（7）当前主机再次清空filter链表规则，并设置默认策略为DROP,添加规则开放FTP服务，并允许远程用户上传文件至FTP服务器。

iptables命令iptables-AINPUT-ptcp--dport21-jACCEPT

iptables-AINPUT-mstate--stateESTABLISHED,RELATED–jACCEPT

iptables-AOUTPUT-ptcp--sport21-jACCEPT

iptables-AOUTPUT-mstate--stateESTABLISHED-jACCEPT

同组主机尝试上传文件，是否成功？

成功。

【实验体会】

通过本次试验，大致了解了iptables的使用。