实验四网上安全技术防火墙.docx
- 文档编号:24220368
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:12
- 大小:493.52KB
实验四网上安全技术防火墙.docx
《实验四网上安全技术防火墙.docx》由会员分享,可在线阅读,更多相关《实验四网上安全技术防火墙.docx(12页珍藏版)》请在冰豆网上搜索。
实验四网上安全技术防火墙
实验四-网上安全技术-防火墙
淮海工学院
计算机工程学院
实验报告书
课程名:
《网络安全技术》
题目:
防火墙
班级:
学号:
姓名:
评语:
成绩:
指导教师:
批阅时间:
年月日
【实验目的】
●理解iptables工作机理
●熟练掌握iptables包过滤命令及规则
●学会利用iptables对网络事件进行审计
●熟练掌握iptablesNAT工作原理及实现流程
●学会利用iptables+squid实现Web应用代理
【实验人数】
每组2人合作方:
韩云霄2012122618
【系统环境】
Linux
【网络环境】
交换网络结构
【实验工具】
iptables
Nmap
Ulogd
【实验步骤】
一、iptables包过滤
本任务主机A、B为一组,C、D为一组,E、F为一组。
首先使用“快照X”恢复Linux系统环境。
操作概述:
为了应用iptables的包过滤功能,首先我们将filter链表的所有链规则清空,并设置链表默认策略为DROP(禁止)。
通过向INPUT规则链插入新规则,依次允许同组主机icmp回显请求、Web请求,最后开放信任接口eth0。
iptables操作期间需同组主机进行操作验证。
(2)同组主机点击工具栏中“控制台”按钮,使用nmap工具对当前主机进行端口扫描。
nmap端口扫描命令nmap-sS-T5同组主机IP。
「说明」nmap具体使用方法可查看实验1|练习一|实验原理。
查看端口扫描结果,并填写表9-2-1。
表9-2-1
开放端口(tcp)
提供服务
21
ftp
23
telnet
80
http
111
rpcbind
443
https
(3)查看INPUT、FORWARD和OUTPUT链默认策略。
iptables命令iptables-tfilter-L。
(4)将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。
iptables命令iptables-PINPUTDROP
iptables-PFORWARDDROP
iptables-POUTPUTDROP
同组主机利用nmap对当前主机进行端口扫描,查看扫描结果,并利用ping命令进行连通性测试。
(5)利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。
ICMP回显请求类型8;代码0。
ICMP回显应答类型0;代码0。
iptables命令iptables-IINPUT-picmp--icmp-type8/0-jACCEPT
iptables-IOUTPUT-picmp--icmp-type0/0-jACCEPT
利用ping指令测试本机与同组主机的连通性。
(6)对外开放Web服务(默认端口80/tcp)。
iptables命令iptables-IINPUT-ptcp--dport80-jACCEPT
iptables-IOUTPUT-ptcp--sport80-jACCEPT
同组主机利用nmap对当前主机进行端口扫描,查看扫描结果。
(7)设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。
iptables命令iptables-AINPUT-ieth0-jACCEPT
iptables-AOUTPUT-oeth0-jACCEPT
同组主机利用nmap对当前主机进行端口扫描,查看扫描结果。
一.事件审计实验
操作概述:
利用iptables的日志功能检测、记录网络端口扫描事件,日志路径/var/log/iptables.log。
(1)清空filter表所有规则链规则。
iptables命令
(2)根据实验原理(TCP扩展)设计iptables包过滤规则,并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。
iptables命令
(3)同组主机应用端口扫描工具对当前主机进行端口扫描,并观察扫描结果。
(4)在同组主机端口扫描完成后,当前主机查看iptables日志,对端口扫描事件进行审计,日志内容如图所示。
二.状态检测实验
操作概述:
分别对新建和已建的网络会话进行状态检测。
1.对新建的网络会话进行状态检测
(1)清空filter规则链全部内容。
iptables命令
(2)设置全部链表默认规则为允许。
iptables命令
(3)设置规则禁止任何新建连接通过。
iptables命令
(4)同组主机对当前主机防火墙规则进行测试,验证规则正确性。
2.对已建的网络会话进行状态检测
(1)清空filter规则链全部内容,并设置默认规则为允许。
(2)同组主机首先telnet远程登录当前主机,当出现“login:
”界面时,暂停登录操作。
telnet登录命令
(3)iptables添加新规则(状态检测)——仅禁止新建网络会话请求。
iptables命令
或
同组主机续步骤
(2)继续执行登录操作,尝试输入登录用户名“guest”及口令“guestpass”,登录是否成功?
。
同组主机启动Web浏览器访问当前主机Web服务,访问是否成功?
。
解释上述现象。
(4)删除步骤(3)中添加的规则。
iptables命令
或
(5)同组主机重新telnet远程登录当前主机,当出现“login:
”界面时,暂停登录操作。
(6)iptables添加新规则(状态检测)——仅禁止已建网络会话请求。
iptables命令
或
同组主机续步骤(5)继续执行登录操作,登录是否成功?
。
同组主机启动Web浏览器访问当前主机Web服务,访问是否成功?
。
解释上述现象。
(7)当前主机再次清空filter链表规则,并设置默认策略为DROP,添加规则开放FTP服务,并允许远程用户上传文件至FTP服务器。
iptables命令iptables-AINPUT-ptcp--dport21-jACCEPT
iptables-AINPUT-mstate--stateESTABLISHED,RELATED–jACCEPT
iptables-AOUTPUT-ptcp--sport21-jACCEPT
iptables-AOUTPUT-mstate--stateESTABLISHED-jACCEPT
同组主机尝试上传文件,是否成功?
成功。
【实验体会】
通过本次试验,大致了解了iptables的使用。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 网上 安全技术 防火墙