云南大學(xué)軟件學(xué)院信息安全工程實(shí)驗(yàn)6精講

云南大學(xué)軟件學(xué)院實(shí) 驗(yàn) 報(bào) 告課程： 信息安全工程實(shí)驗(yàn) 任課教師： 林英 姓名： 學(xué)號(hào)： 專(zhuān)業(yè)： 成績(jī)：實(shí)驗(yàn)6.防火墻實(shí)驗(yàn)一、 實(shí)驗(yàn)?zāi)康模和ㄟ^(guò)實(shí)驗(yàn)理解入防火墻的功能和工作原理，學(xué)習(xí)NAT轉(zhuǎn)換原理，熟悉NAT在一般網(wǎng)絡(luò)環(huán)境中的應(yīng)用、Linux系統(tǒng)中iptables防火墻以及Windows防火墻的配置和使用。二、 實(shí)驗(yàn)原理NAT轉(zhuǎn)換實(shí)驗(yàn)：網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)是Internet工程任務(wù)組(IETF，Internet Engineering Task Force)的一個(gè)標(biāo)準(zhǔn)，是把內(nèi)部私有IP地址轉(zhuǎn)換成合法網(wǎng)絡(luò)IP地址的技術(shù)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Internet上。IPtables防火墻配置實(shí)驗(yàn)：IPtables是復(fù)雜的，它集成到linux內(nèi)核中。用戶通過(guò)IPtables，可以對(duì)進(jìn)出你的計(jì)算機(jī)的數(shù)據(jù)包進(jìn)行過(guò)濾。通過(guò)IPtables命令設(shè)置你的規(guī)則，來(lái)把守你的計(jì)算機(jī)網(wǎng)絡(luò)哪些數(shù)據(jù)允許通過(guò)，哪些不能通過(guò)，哪些通過(guò)的數(shù)據(jù)進(jìn)行記錄(log)。Windows防火墻實(shí)驗(yàn)：Windows防火墻是一個(gè)基于主機(jī)的狀態(tài)防火墻，它丟棄所有未請(qǐng)求的傳入流量，即那些既沒(méi)有對(duì)應(yīng)于為響應(yīng)計(jì)算機(jī)的某個(gè)請(qǐng)求而發(fā)送的流量(請(qǐng)求的流量)，也沒(méi)有對(duì)應(yīng)于已指定為允許的未請(qǐng)求的流量(異常流量)。Windows防火墻提供某種程度的保護(hù)，避免那些依賴(lài)未請(qǐng)求的傳入流量來(lái)攻擊網(wǎng)絡(luò)上的計(jì)算機(jī)的惡意用戶和程序。三、 實(shí)驗(yàn)步驟NAT轉(zhuǎn)換實(shí)驗(yàn)一、 連接防火墻服務(wù)器，開(kāi)始實(shí)驗(yàn)啟動(dòng)實(shí)驗(yàn)客戶端，選擇“防火墻”中的“NAT轉(zhuǎn)換實(shí)驗(yàn)”，點(diǎn)擊“連接”。連接成功后，會(huì)提示連接成功，主界面會(huì)顯示連接IP信息及防火墻規(guī)則操作畫(huà)面。二、 添加靜態(tài)路由打開(kāi)本地主機(jī)cmd命令行，輸入route add mask ，添加路由。三、 驗(yàn)證網(wǎng)絡(luò)連通性輸入ping 6，如圖所示。四、 編寫(xiě)目的NAT規(guī)則點(diǎn)擊“添加”，填寫(xiě)如圖所示的規(guī)則。五、 驗(yàn)證目的NAT實(shí)驗(yàn)結(jié)果目的地址為7的數(shù)據(jù)包被NAT為6，Ping該目的地址，成功后如圖所示。六、 編寫(xiě)源NAT規(guī)則首先訪問(wèn) 6/showip.asp，并記錄頁(yè)面中顯示的信息。實(shí)驗(yàn)實(shí)施界面中點(diǎn)擊“添加”，添加如圖所示的防火墻規(guī)則。七、 驗(yàn)證源NAT實(shí)驗(yàn)結(jié)果再次訪問(wèn) 6/showip.asp 。對(duì)比前面訪問(wèn)時(shí)頁(yè)面的顯示，源地址被轉(zhuǎn)換成，結(jié)果如圖所示，從而實(shí)現(xiàn)隱藏源地址的作用。IPtables防火墻配置打開(kāi)Linux實(shí)驗(yàn)臺(tái)，進(jìn)入Linux系統(tǒng)，啟動(dòng)ftp服務(wù)。(1) 通過(guò)IE訪問(wèn)FTP服務(wù)器，服務(wù)器可訪問(wèn)時(shí)如Error! Reference source not found.所示。(2) 設(shè)置防火墻規(guī)則如Error! Reference source not found.所示為防火墻設(shè)置默認(rèn)規(guī)則，即先清空所有規(guī)則，再將OUTPUT鏈設(shè)置為默認(rèn)丟棄。此時(shí)不能訪問(wèn)FTP，如Error! Reference source not found.所示。再針對(duì) FTP服務(wù)進(jìn)行放行，添加防火墻規(guī)則如圖所示。其中，如Error! Reference source not found.所示的命令將FTP控制端口放行；如Error! Reference source not found.所示的命令將FTP的數(shù)據(jù)端口放行。(3) 實(shí)驗(yàn)結(jié)果如Error! Reference source not found.所示。Windows防火墻配置(1) 啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，進(jìn)入Windows 2003系統(tǒng)，開(kāi)啟Windows防火墻。(2) 本地主機(jī)連接Windows實(shí)驗(yàn)臺(tái)系統(tǒng)的FTP服務(wù)器，連接結(jié)果如圖所示。(3) 設(shè)置開(kāi)啟FTP服務(wù)在Windows實(shí)驗(yàn)臺(tái)系統(tǒng)中，點(diǎn)擊防火墻的“高級(jí)”選項(xiàng)。選擇“本地連接”，然后點(diǎn)擊“設(shè)置”。勾選其中的“FTP服務(wù)器”選項(xiàng)，彈出如圖所示的對(duì)話框，輸入Windows實(shí)驗(yàn)臺(tái)自身的IP地址或計(jì)算機(jī)名稱(chēng)，點(diǎn)擊“確定”。(4) 查看添加結(jié)果本地主機(jī)重新訪問(wèn)FTP服務(wù)器，成功。四、 回答問(wèn)題：1) 什么情況可以使用NAT，如何設(shè)計(jì)，有何優(yōu)點(diǎn)NAT常用于下述情形：1.沒(méi)有足夠的公網(wǎng)IP連接到Internet2.當(dāng)更換ISP需要重新編址3.合并兩個(gè)使用重疊地址空間的內(nèi)部網(wǎng)絡(luò)4.使用單個(gè)IP地址支持基本的負(fù)載分擔(dān)優(yōu)點(diǎn)：1.節(jié)省了公網(wǎng)IP地址2.能夠處理編址方案重疊的情況3.網(wǎng)絡(luò)發(fā)生改變時(shí)不需要重新編址4.隱藏了真正的IP地址缺點(diǎn)：1.NAT引起數(shù)據(jù)交互的延遲2.導(dǎo)致無(wú)法進(jìn)行端到端的IP跟蹤3.某些應(yīng)用程序不支持NAT4.需要消耗額外的CPU和內(nèi)存2) 防火墻的局限性防火墻十大局限性:一、防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。沒(méi)有經(jīng)過(guò)防火墻的數(shù)據(jù)，防火墻無(wú)法檢查。二、防火墻不能解決來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題。防火墻可以設(shè)計(jì)為既防外也防內(nèi)，誰(shuí)都不可信，但絕大多數(shù)單位因?yàn)椴环奖?，不要求防火墻防?nèi)。三、防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備，就像門(mén)衛(wèi)一樣，要根據(jù)政策規(guī)定來(lái)執(zhí)行安全，而不能自作主張。四、防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個(gè)安全設(shè)備，但防火墻本身必須存在于一個(gè)安全的地方。五、防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。六、防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。黑客通過(guò)防火墻準(zhǔn)許的訪問(wèn)端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止。七、防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒(méi)有一種軟件可以查殺所有的病毒。八、防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的 主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。 9、 防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻是無(wú)能 為力的。 十、防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無(wú)法保護(hù)自己，目前還 沒(méi)有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。因此對(duì)防火墻也必須提供某種安全保護(hù)。3) 防火墻與入侵檢測(cè)的區(qū)別與聯(lián)系 防火墻和入侵檢測(cè)系統(tǒng)的區(qū)別:1.概念1)防火墻：防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)（本地網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（主要是Internet）之間的一道防御系統(tǒng)，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性的侵入。它可以通過(guò)檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能的對(duì)外部屏蔽內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀態(tài)，以此來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)中的信息、資源等不受外部網(wǎng)絡(luò)中非法用戶的侵犯。2)入侵檢測(cè)系統(tǒng)：IDS是對(duì)入侵行為的發(fā)覺(jué)，通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。3)總結(jié)：從概念上我們可以看出防火墻是針對(duì)黑客攻擊的一種被動(dòng)的防御，IDS則是主動(dòng)出擊尋找潛在的攻擊者；防火墻相當(dāng)于一個(gè)機(jī)構(gòu)的門(mén)衛(wèi)，收到各種限制和區(qū)域的影響，即凡是防火墻允許的行為都是合法的，而IDS則相當(dāng)于巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報(bào)和漏報(bào)的情況出現(xiàn)。2.功能防火墻的主要功能：1)過(guò)濾不安全的服務(wù)和非法用戶：所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息都是必須通過(guò)防火墻，防火墻成為一個(gè)檢查點(diǎn)，禁止未授權(quán)的用戶訪問(wèn)受保護(hù)的網(wǎng)絡(luò)。2)控制對(duì)特殊站點(diǎn)的訪問(wèn)：防火墻可以允許受保護(hù)網(wǎng)絡(luò)中的一部分主機(jī)被外部網(wǎng)訪問(wèn)，而另一部分則被保護(hù)起來(lái)。3)作為網(wǎng)絡(luò)安全的集中監(jiān)視點(diǎn)：防火墻可以記錄所有通過(guò)它的訪問(wèn)，并提供統(tǒng)計(jì)數(shù)據(jù)，提供預(yù)警和審計(jì)功能。入侵檢測(cè)系統(tǒng)的主要任務(wù)：1)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)2)對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析，發(fā)行入侵行為規(guī)律3)檢查系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞4)能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行響應(yīng)5)評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性6)操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為總結(jié)：防火墻只是防御為主，通過(guò)防火墻的數(shù)據(jù)便不再進(jìn)行任何操作，IDS則進(jìn)行實(shí)時(shí)的檢測(cè)，發(fā)現(xiàn)入侵行為即可做出反應(yīng)，是對(duì)防火墻弱點(diǎn)的修補(bǔ)；防火墻可