第一篇：防火墻訪問控制規(guī)則配置--教案

訪問控制規(guī)則配置

訪問規(guī)則描述了網(wǎng)絡(luò)衛(wèi)士防火墻允許或禁止匹配訪問控制規(guī)則的報(bào)文通過。防火墻接收到報(bào)文后，將順序匹配訪問規(guī)則表中所設(shè)定規(guī)則。一旦尋找到匹配的規(guī)則，則按照該策略所規(guī)定的操作（允許或丟棄）處理該報(bào)文，不再進(jìn)行區(qū)域缺省屬性的檢查。如果不存在可匹配的訪問策略，網(wǎng)絡(luò)衛(wèi)士防火墻將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問），處理該報(bào)文。在進(jìn)行訪問控制規(guī)則查詢之前，網(wǎng)絡(luò)衛(wèi)士防火墻將首先查詢數(shù)據(jù)包是否符合目的地址轉(zhuǎn)換規(guī)則。如果符合目的地址轉(zhuǎn)換規(guī)則，網(wǎng)絡(luò)衛(wèi)士防火墻將把接收的報(bào)文的目的IP 地址轉(zhuǎn)換為預(yù)先設(shè)置的IP 地址（一般為真實(shí)IP）。因此在進(jìn)行訪問規(guī)則設(shè)置時(shí)，系統(tǒng)一般采用的是真實(shí)的源和目的地址（轉(zhuǎn)換后目的地址）來設(shè)置訪問規(guī)則；同時(shí)，系統(tǒng)也支持按照轉(zhuǎn)換前的目的地址設(shè)置訪問規(guī)則，此時(shí)，報(bào)文將按照轉(zhuǎn)換前的目的地址匹配訪問控制規(guī)則。

根據(jù)源、目的配置訪問控制規(guī)則

基本需求

系統(tǒng)可以從區(qū)域、VLAN、地址、用戶、連接、時(shí)間等多個(gè)層面對數(shù)據(jù)報(bào)文進(jìn)行判別和匹配，訪問控制規(guī)則的源和目的既可以是已經(jīng)定義好的VLAN 或區(qū)域，也可以細(xì)化到一個(gè)或多個(gè)地址資源以及用戶組資源。與包過濾策略相同，訪問控制規(guī)則也是順序匹配的，系統(tǒng)首先檢查是否與包過濾策略匹配，如果匹配到包過濾策略后將停止訪問控制規(guī)則檢查。但與包過濾策略不同的是訪問控制規(guī)則沒有默認(rèn)規(guī)則。也就是說，如果沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問）處理該報(bào)文。

案例：某企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下圖所示，網(wǎng)絡(luò)衛(wèi)士防火墻工作在混合模式。Eth0 口屬于內(nèi)網(wǎng)區(qū)域（area_eth0），為交換trunk 接口，同時(shí)屬于VLAN.0001 和VLAN.0002，vlan.0001 IP 地址為192.168.1.1，連接研發(fā)部門文檔組所在的內(nèi)網(wǎng)（192.168.1.0/24）；vlan.0002 IP 地址為192.168.2.1，連接研發(fā)部門項(xiàng)目組所在的內(nèi)網(wǎng)（192.168.2.0/24）。

圖 25 根據(jù)源、目的進(jìn)行訪問控制示意圖

Eth1 口IP 地址為192.168.100.140，屬于外網(wǎng)area_eth1 區(qū)域，公司通過與防火墻Eth1口相連的路由器連接外網(wǎng)。Eth2 口屬于area_eth2 區(qū)域，為路由接口，其IP 地址為172.16.1.1，為信息管理部所在區(qū)域，有多臺(tái)服務(wù)器，其中Web 服務(wù)器的IP 地址：172.16.1.3。

用戶要求如下：

內(nèi)網(wǎng)文檔組的機(jī)器可以上網(wǎng)，允許項(xiàng)目組領(lǐng)導(dǎo)上網(wǎng)，禁止項(xiàng)目組普通員工上網(wǎng)。

外網(wǎng)和area_eth2 區(qū)域的機(jī)器不能訪問研發(fā)部門內(nèi)網(wǎng)；

內(nèi)外網(wǎng)用戶均可以訪問area_eth2 區(qū)域的WEB 服務(wù)器。

配置要點(diǎn)

設(shè)置區(qū)域?qū)ο蟮娜笔≡L問權(quán)限：area_eth0、area_eth2 為禁止訪問，area_eth1 為允許訪問。

定義源地址轉(zhuǎn)換規(guī)則，保證內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)；定義目的地址轉(zhuǎn)換規(guī)則，使得外網(wǎng)用戶可以訪問area_eth2 區(qū)域的WEB 服務(wù)器。

定義訪問控制規(guī)則，禁止項(xiàng)目組除領(lǐng)導(dǎo)外的普通員工上網(wǎng)，允許內(nèi)網(wǎng)和外網(wǎng)用戶訪問area_eth2 區(qū)域的WEB 服務(wù)器。

WebUI 配置步驟

1）設(shè)定物理接口eth1 和eth2 的IP 地址。

選擇 網(wǎng)絡(luò)管理 > 接口，激活“物理接口”頁簽，然后點(diǎn)擊Eth1、Eth2 端口后的“設(shè) 置”字段圖標(biāo)，添加接口的IP 地址。如下圖所示。

2）添加VLAN 虛接口，設(shè)定VLAN 的IP 地址，再選擇相應(yīng)的物理接口加入到已添 加的VLAN 中。

a）選擇 網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，激活“VLAN”頁簽，然后點(diǎn)擊“添加/刪除VLAN 范圍”，如下圖所示。

b）設(shè)定VLAN 虛接口的IP 地址。

點(diǎn)擊VLAN 虛接口的“修改”字段圖標(biāo)，在彈出界面中設(shè)置VLAN.0001 的IP 為：

192.168.1.1，掩碼為：255.255.255.0；VLAN.0002 的IP 為：192.168.2.1，掩碼為：255.255.255.0。如下圖所示。

c）設(shè)定VLAN 和物理接口的關(guān)系。

選擇 網(wǎng)絡(luò)管理 > 接口，激活“物理接口”頁簽，然后點(diǎn)擊eth0 接口后的“設(shè)置” 字段圖標(biāo)，設(shè)置接口信息，如下圖所示。3）定義主機(jī)、子網(wǎng)地址對象。

a）選擇 資源管理 > 地址，選擇“主機(jī)”頁簽，定義主機(jī)地址資源。定義WEB 服 務(wù)器主機(jī)名稱設(shè)為172.16.1.3，IP 為172.16.1.3；定義虛擬WEB 服務(wù)器（即WEB 服務(wù)器 的在外網(wǎng)區(qū)域的虛擬IP 地址）主機(jī)名稱設(shè)為192.168.100.143, IP 為192.168.100.143；定義 接口主機(jī)地址資源192.168.100.140（也可以是其他字符串），主機(jī)名稱設(shè)為192.168.100.140, IP 為192.168.100.140；定義文檔服務(wù)器，主機(jī)名稱設(shè)為doc_server, IP 為10.10.10.3。定義 完成后的界面如下圖所示：

b）選擇 資源管理 > 地址，選擇“子網(wǎng)”頁簽，點(diǎn)擊“添加”定義子網(wǎng)地址資源。資源名稱rd_group，以及網(wǎng)絡(luò)地址192.168.2.0、子網(wǎng)掩碼255.255.255.0 以及排除領(lǐng)導(dǎo)地 址:10.10.11.2 和10.10.11.3。

4）定義區(qū)域資源的訪問權(quán)限（整個(gè)區(qū)域是否允許訪問）。

選擇 資源管理 > 區(qū)域，設(shè)定外網(wǎng)區(qū)域area_eth1 的缺省屬性為“允許”訪問，內(nèi)網(wǎng) 區(qū)域area_eth0 和area_eth2 的缺省屬性為“禁止”訪問。以area_eth1 為例，設(shè)置界面如 下圖所示。

設(shè)置完成后的界面如下圖所示。5）選擇 防火墻 > 地址轉(zhuǎn)換，定義地址轉(zhuǎn)換規(guī)則。a）定義源地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng): 選擇“源轉(zhuǎn)換”。

① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。不設(shè)置參數(shù)，表示不對報(bào)文的源進(jìn)行限 制。

② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

轉(zhuǎn)換源地址對象為“192.168.100.140”。設(shè)置完成后的規(guī)則如下圖所示。

b)定義目的地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域 的 WEB 服務(wù)器。選擇“目的轉(zhuǎn)換”

① 選擇“源”頁簽，設(shè)置參數(shù)如下圖所示。不設(shè)置參數(shù)，表示不對報(bào)文的源進(jìn)行限 制。

② 選擇“目的”頁簽，設(shè)置參數(shù)如下圖所示。

③ 選擇“服務(wù)”頁簽，設(shè)置參數(shù)如下圖所示。“目的地址轉(zhuǎn)換”為地址資源“172.16.1.3”。設(shè)置完成后的界面如下圖所示。

6）選擇菜單 防火墻 > 訪問控制，定義訪問控制規(guī)則。a）允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務(wù)器

由于Web 服務(wù)器所在的area_eth2 區(qū)域禁止訪問，所以要允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以 訪問Web 服務(wù)器，需要定義訪問控制規(guī)則如下。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

源VLAN 和源區(qū)域不選擇，表示不對區(qū)域加以限制； ② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

b）允許項(xiàng)目組領(lǐng)導(dǎo)訪問外網(wǎng)，禁止項(xiàng)目組普通員工rd_group 訪問外網(wǎng)。由于外網(wǎng)區(qū)域允許訪問，所以需要添加禁止訪問外網(wǎng)的規(guī)則如下： ① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

② 選擇“目的”頁簽設(shè)置如下圖所示。

③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

CLI 配置步驟

1）設(shè)定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2）添加VLAN 虛接口，設(shè)定VLAN 的IP 地址，再選擇相應(yīng)的物理接口加入到已添 加的VLAN 中。

#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3）定義主機(jī)、子網(wǎng)地址資源。

#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’

4）設(shè)置區(qū)域資源的缺省訪問權(quán)限：area_eth0、area_eth2 為禁止訪問，area_eth1 為允 許訪問（缺省權(quán)限，無需再設(shè)定）。

#define area add name area_eth0 access off attribute eth0（不允許訪問內(nèi)網(wǎng)）#define area add name area_eth2 access off attribute eth2（不允許訪問內(nèi)網(wǎng)）5）定義地址轉(zhuǎn)換規(guī)則。

定義源地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)。

#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定義目的地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域的 WEB 服務(wù)器。

#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6）定義訪問控制規(guī)則。

允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務(wù)器

#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允許項(xiàng)目組領(lǐng)導(dǎo)訪問外網(wǎng)，禁止項(xiàng)目組普通員工訪問外網(wǎng)

#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事項(xiàng)

1）目的地址需要選擇WEB 服務(wù)器的真實(shí)IP 地址，因?yàn)榉阑饓σ葘?shù)據(jù)包進(jìn)行目 的地址轉(zhuǎn)換處理，當(dāng)內(nèi)網(wǎng)用戶利用http://192.168.100.143 訪問SSN 區(qū)域的Web 服務(wù)器時(shí)，由于符合NAT 目的地址轉(zhuǎn)換規(guī)則，所以數(shù)據(jù)包的目的地址將被轉(zhuǎn)換為172.16.1.3。然后才 進(jìn)行訪問規(guī)則查詢，此時(shí)只有設(shè)定為WEB 服務(wù)器的真實(shí)IP 地址才能達(dá)到內(nèi)網(wǎng)用戶訪問 SSN 區(qū)域WEB 服務(wù)器的目的。網(wǎng)絡(luò)衛(wèi)士系列防火墻處理數(shù)據(jù)包的流程請參考用戶手冊相 關(guān)章節(jié)。

2）定義目的地址轉(zhuǎn)換規(guī)則時(shí)，不能選擇目的區(qū)域與目的VLAN。

根據(jù)源端口配置訪問控制規(guī)則

基本需求

案例：某銀行系統(tǒng)應(yīng)用軟件使用特定的端口進(jìn)行業(yè)務(wù)主機(jī)與服務(wù)器間的數(shù)據(jù)通信，為 了保證數(shù)據(jù)及設(shè)備的安全，禁止其他對于業(yè)務(wù)主機(jī)和服務(wù)器的訪問。網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下所示。

圖 26 根據(jù)源端口進(jìn)行訪問控制示意圖

業(yè)務(wù)主機(jī)可以使用特殊端口訪問服務(wù)器，不能使用其他端口。業(yè)務(wù)主機(jī)區(qū)域和服務(wù)器 區(qū)域禁止其他類型的訪問。

配置要點(diǎn)

定義區(qū)域：area_eth1、area_eth2。

定義服務(wù)端口：FS_port

設(shè)置訪問控制規(guī)則

WebUI 配置步驟

1）定義區(qū)域area_eth1 為禁止訪問，并與屬性eth1 綁定。選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”，如下圖所示。

2）定義區(qū)域area_eth2 為禁止訪問，并與屬性eth2 綁定。

具體操作與area_eth1 相似，請參考area_eth1 的定義過程完成。3）定義服務(wù)端口

由于系統(tǒng)使用的通信端口是：4500，不是通常使用的協(xié)議端口，在設(shè)置規(guī)則前需要自 定義端口。

選擇 資源管理 > 服務(wù)，激活“自定義服務(wù)”頁簽，進(jìn)入自定義服務(wù)頁面。點(diǎn)擊右 側(cè)“添加”，如下圖所示。

選擇類型：TCP，設(shè)置名稱：FS_port，服務(wù)器實(shí)際使用的端口：4500。完成后點(diǎn)擊“確 定”按鈕。

4）定義訪問控制規(guī)則

該規(guī)則為來自area_eth1 區(qū)域使用源端口為4500 的數(shù)據(jù)包允許通過防火墻訪問 area_eth2 區(qū)域。

a）選擇“源”頁簽，參數(shù)設(shè)置如下。

b）選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

d）選擇“選項(xiàng)”頁簽設(shè)置參數(shù)如下。由于所使用的軟件系統(tǒng)所建立的連接需要長時(shí)期保持，在“連接選項(xiàng)”中選擇“長連 接”，根據(jù)需要選擇“日志記錄”。點(diǎn)擊“確定”完成ACL 規(guī)則設(shè)置。

CLI 配置步驟

1）定義區(qū)域：area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2）定義服務(wù)端口：FS_port #define service add name FS_port protocol 6 port 4500 3）設(shè)置訪問控制規(guī)則

#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes

注意事項(xiàng)

由于環(huán)境所限此案例未能進(jìn)行實(shí)際測試，僅供參考使用。

根據(jù)特定服務(wù)配置訪問控制規(guī)則

基本需求

在進(jìn)行訪問控制規(guī)則的設(shè)置時(shí)，可以對用戶所能訪問的服務(wù)進(jìn)行控制，系統(tǒng)預(yù)定義了

可控制的常見服務(wù)，可以實(shí)現(xiàn)二到七層的訪問控制，用戶也可以自定義服務(wù)進(jìn)行訪問控制。案例：某企業(yè)網(wǎng)絡(luò)被防火墻化分為三個(gè)區(qū)域area_eth0、area_eth1 和area_eth2，三個(gè)

區(qū)域分別與接口Eth0、Eth1 和Eth2 綁定，area_eth0 連接外網(wǎng)，允許用戶訪問，area_eth1 和area_eth2 區(qū)域禁止用戶訪問。服務(wù)器位于area_eth1，IP 地址為192.168.100.140，內(nèi)網(wǎng) 位于area_eth2，網(wǎng)絡(luò)地址為192.168.101.0。企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。

要求：

允許內(nèi)網(wǎng)用戶訪問服務(wù)器的TELNET、SSH、FTP 和Web_port 服務(wù)，其中Web_port 服務(wù)為自定義服務(wù)，端口號(hào)為8080；但不能訪問Eth1 口的其他服務(wù)器和其他服務(wù)。不允許外網(wǎng)用戶訪問Eth1 口服務(wù)器的TELNET 和SSH 服務(wù)。圖 27 根據(jù)服務(wù)設(shè)置訪問控制規(guī)則示意圖

配置要點(diǎn)

定義區(qū)域和地址資源

定義服務(wù)資源

定義服務(wù)組資源 設(shè)置訪問控制規(guī)則

WebUI 配置步驟

1）定義區(qū)域和地址資源

a）定義區(qū)域資源area_eth0、area_eth1 和area_eth2，分別與Eth0、Eth1 和Eth2 綁定。區(qū)域權(quán)限均為“允許”。

選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”添加區(qū)域資源，界面如下圖。① 添加區(qū)域area_eth0。② 添加區(qū)域area_eth1。③ 添加區(qū)域area_eth2。

服務(wù)熱線：8008105119 183 設(shè)置完成后界面如下圖所示。b）定義IP 地址資源

選擇 資源管理 > 地址，選擇“主機(jī)”頁簽，點(diǎn)擊“添加”，如下圖所示。c)定義子網(wǎng)資源

選擇 資源管理 > 地址，選擇“子網(wǎng)”頁簽，點(diǎn)擊“添加”，如下圖所示。

2）設(shè)置自定義服務(wù)

選擇 資源管理 > 服務(wù)，激活“自定義服務(wù)”頁簽，配置自定義服務(wù)“Web_port” 如下圖所示。

3）設(shè)置服務(wù)組資源

選擇 資源管理 > 服務(wù)，激活“服務(wù)組”頁簽，配置服務(wù)組“內(nèi)網(wǎng)訪問服務(wù)”如下 圖所示。

本例中服務(wù)組名稱為“內(nèi)網(wǎng)訪問服務(wù)”，包括“Web_port、SSH、TELNET、FTP”。4)設(shè)置訪問控制規(guī)則。由于服務(wù)器所在區(qū)域area_eth1 禁止訪問，所以只要定義允許 訪問的規(guī)則即可。

a）設(shè)置允許內(nèi)網(wǎng)area_eth2 的網(wǎng)段為192.168.101.0/24 的用戶訪問area_eth1 的服務(wù)器（192.168.100.140）SSH、TELNET、FTP 以及8080 端口服務(wù)的訪問控制規(guī)則 選擇 防火墻 > 訪問控制，點(diǎn)擊“添加”按鈕，設(shè)置訪問控制規(guī)則。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 187 ③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 188 設(shè)置完成的ACL 規(guī)則如下圖所示。

b）設(shè)置僅允許外網(wǎng)區(qū)域（area_eth0）的用戶訪問服務(wù)器的8080 端口的服務(wù)訪問控制 規(guī)則。

選擇 防火墻 > 訪問控制，點(diǎn)擊“添加”按鈕，設(shè)置訪問控制規(guī)則。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 189 ② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖。

服務(wù)熱線：8008105119 190 ③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖。

服務(wù)熱線：8008105119 191 設(shè)置完成后的ACL 規(guī)則如下圖所示。

CLI 配置步驟

1）定義區(qū)域資源

#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2）定義主機(jī)和子網(wǎng)地址資源

#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 內(nèi)網(wǎng) ipaddr 192.168.101.0 mask 255.255.255.0 3）設(shè)置自定義服務(wù)，服務(wù)名為Web_port，端口號(hào)為8080。#difine service add name Web_port protocol tcp port 8080 4）設(shè)置服務(wù)組資源，組名稱為“內(nèi)網(wǎng)訪問服務(wù)”，包括Web_port、FTP、TELNET 和SSH 服務(wù)。

#difine group_service add name 內(nèi)網(wǎng)訪問服務(wù) member Web_port,FTP,TELNET,SSH 5）設(shè)置訪問控制規(guī)則

a）區(qū)域“area_eth2”的子網(wǎng)對象“內(nèi)網(wǎng)”（192.168.101.0/24）允許訪問區(qū)域“area_eth1” 的服務(wù)器的Web_port、FTP、TELNET 和SSH 服務(wù)(有自定義服務(wù)組“內(nèi)網(wǎng)訪問服務(wù)”綁 定)，服務(wù)器的IP 地址為192.168.100.140。

#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 內(nèi)網(wǎng)dst 192.168.100.140 service 內(nèi)網(wǎng)訪問服務(wù) enable yes

服務(wù)熱線：8008105119 192 b）設(shè)置僅允許外網(wǎng)用戶訪問服務(wù)器192.168.100.140 的8080 端口的服務(wù)訪問控制規(guī) 則。

#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事項(xiàng)

如果只允許開放某些服務(wù)，其他服務(wù)均被禁止，可以設(shè)置目的區(qū)域的默認(rèn)訪問權(quán)限為 “禁止”，系統(tǒng)在匹配完訪問控制規(guī)則后將自動(dòng)匹配區(qū)域的默認(rèn)訪問權(quán)限。

根據(jù)轉(zhuǎn)換前目的地址配置訪問控制規(guī)則

基本需求

背景：某企業(yè)的WEB 服務(wù)器（IP：192.168.83.56）通過防火墻將其IP 地址MAP 為

202.45.56.5 對外提供WEB 服務(wù)。WEB 服務(wù)器連在防火墻的Eth1 口（IP：192.168.83.2），且防火墻通過Eth0 口（IP：202.45.56.3）與Internet 相連，如下圖所示。

圖 28 根據(jù)轉(zhuǎn)換前目的進(jìn)行訪問控制示意圖

需求：為了保護(hù)企業(yè)網(wǎng)絡(luò)的安全，網(wǎng)關(guān)Eth1 接口所屬的區(qū)域area_eth1 設(shè)置為禁止訪 問，要求Internet 用戶只可訪問企業(yè)WEB 服務(wù)器的HTTP 服務(wù)，要求用WEB 服務(wù)器的 MAP 地址202.45.56.5 作訪問控制。

服務(wù)熱線：8008105119 193 配置要點(diǎn)

定義主機(jī)地址資源

定義地址轉(zhuǎn)換策略

定義訪問控制規(guī)則

WebUI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”，如下圖。

2）定義WEB 服務(wù)器主機(jī)地址資源R-WebServer 和虛擬主機(jī)對象V-WebServer。選擇 資源管理 > 地址，激活“主機(jī)”頁簽，定義主機(jī)地址資源R-WebServer 和 V-WebServer。

定義R-WebServer 主機(jī)地址資源圖。

服務(wù)熱線：8008105119 194 定義V-WebServer 主機(jī)地址資源圖。3）定義地址轉(zhuǎn)換規(guī)則。

選擇 防火墻 > 地址轉(zhuǎn)換，并在右側(cè)界面中點(diǎn)擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

服務(wù)熱線：8008105119 195 b）選擇“目的”頁簽，參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 196 c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。設(shè)置完成后的目的NAT 規(guī)則如下圖所示。4）設(shè)置訪問控制規(guī)則。

選擇 防火墻 > 訪問控制，并在右側(cè)界面中點(diǎn)擊“添加”定義訪問控制規(guī)則。

服務(wù)熱線：8008105119 197 a）選擇“源”頁簽，參數(shù)設(shè)置如下。b）選擇“目的”頁簽，設(shè)置根據(jù)轉(zhuǎn)換前的目的地址進(jìn)行訪問控制。參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 198 c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 199 設(shè)置完成后的ACL 規(guī)則如下圖所示。至此，WEBUI 方式的配置完成。

CLI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。#define area add name area_eth1 access off attribute eth1 2）定義WEB 服務(wù)器主機(jī)地址資源R-WebServer 和虛擬主機(jī)地址資源V-WebServer。定義R-WebServer 主機(jī)地址資源

#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定義V-WebServer 主機(jī)地址資源

#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3）定義地址轉(zhuǎn)換規(guī)則。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）設(shè)置訪問控制規(guī)則。

#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes

注意事項(xiàng)

1）因?yàn)樵摪咐骾nternet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務(wù)器的HTTP 服務(wù)，因此需 要事先拒絕internet 用戶的所有訪問，再定義訪問控制規(guī)則允許其訪問HTTP 服務(wù)。2）對轉(zhuǎn)換前的目的地址進(jìn)行匹配時(shí)，只需在“轉(zhuǎn)換前目的地址”中進(jìn)行選擇目的地 址，而無須在“目的地址”中再選擇地址。

3）在配置過程中，請確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。

根據(jù)轉(zhuǎn)換后目的地址配置訪問控制規(guī)則

基本需求

背景：某企業(yè)的WEB 服務(wù)器（IP：192.168.83.56）通過防火墻將其IP 地址MAP 為

202.45.56.5 對外提供WEB 服務(wù)。WEB 服務(wù)器連在防火墻的Eth1 口（IP：192.168.83.2），且防火墻通過Eth2 口（IP：202.45.56.3）與Internet 相連，如下圖所示。

需求：為了保護(hù)企業(yè)網(wǎng)絡(luò)的安全，要求Internet 用戶只可訪問企業(yè)WEB服務(wù)器的HTTP 服務(wù)，要求用WEB 服務(wù)器的IP 地址192.168.83.56 做訪問控制。圖 29 根據(jù)轉(zhuǎn)換后目的進(jìn)行訪問控制示意圖

配置要點(diǎn)

定義主機(jī)地址資源

定義地址轉(zhuǎn)換策略

定義訪問控制規(guī)則

WebUI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。選擇 資源管理 > 區(qū)域，點(diǎn)擊“添加”，如下圖。

2）定義WEB 服務(wù)器主機(jī)地址資源R-WebServer 和虛擬主機(jī)地址資源V-WebServer。選擇 資源管理 > 地址，激活“主機(jī)”頁簽，在右側(cè)界面中點(diǎn)擊“添加”定義主機(jī) 地址資源R-WebServer 和V-WebServer。定義R-WebServer 主機(jī)地址資源。定義V-WebServer 主機(jī)地址資源。3）定義地址轉(zhuǎn)換規(guī)則。

選擇 防火墻 > 地址轉(zhuǎn)換，并在右側(cè)界面中點(diǎn)擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

b）選擇“目的”頁簽，參數(shù)設(shè)置如下。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。設(shè)置完成后的目的NAT 規(guī)則如下圖所示。4）設(shè)置訪問控制規(guī)則。

a）選擇“源”頁簽，參數(shù)設(shè)置如下。

b）選擇“目的”頁簽，設(shè)置根據(jù)NAT 轉(zhuǎn)換后的目的地址（R_WebServer）進(jìn)行訪問 控制。參數(shù)設(shè)置如下。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。

設(shè)置完成后的ACL 規(guī)則如下圖所示。至此，WEBUI 方式的配置完成。

CLI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。#define area add name area_eth1 access off attribute eth1 2）定義WEB 服務(wù)器主機(jī)對象R-WebServer 和虛擬主機(jī)對象V-WebServer。定義R-WebServer 主機(jī)地址資源

#define host add name R-WebServer ipaddr 192.168.83.56 定義V-WebServer 主機(jī)地址資源

#define host add name V-WebServer ipaddr 202.45.56.5 3）定義地址轉(zhuǎn)換規(guī)則。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）設(shè)置訪問控制規(guī)則。

#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事項(xiàng)

1）因?yàn)樵摪咐骾nternet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務(wù)器的HTTP 服務(wù)，因此需 要事先拒絕internet 用戶的所有訪問，再定義訪問控制規(guī)則允許其訪問HTTP 服務(wù)。2）當(dāng)TOS 設(shè)備處理經(jīng)過地址轉(zhuǎn)換的數(shù)據(jù)包時(shí)，匹配的是目的地址轉(zhuǎn)換后的地址，故 一般不需要設(shè)置“轉(zhuǎn)換前目的”中的地址。

3）在配置過程中請確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。

基于認(rèn)證用戶的訪問控制

用戶認(rèn)證的主要目的是為了對用戶進(jìn)行身份鑒別、授權(quán)以及進(jìn)行細(xì)粒度的訪問控制，用戶認(rèn)證的方式主要包括本地認(rèn)證（密碼和證書）和第三方認(rèn)證（Radius、Tacacs、SecurID、LDAP 以及域認(rèn)證等等），通過將認(rèn)證用戶設(shè)置為用戶組，訪問控制規(guī)則的源和目的即可 以是用戶組對象，從而實(shí)現(xiàn)基于本地密碼認(rèn)證、OTP 認(rèn)證以及第三方認(rèn)證用戶的細(xì)粒度 的訪問控制。

基本需求

Area_eth2 區(qū)域?yàn)檠邪l(fā)部門內(nèi)網(wǎng)，禁止外網(wǎng)和其余部門訪問，只允許內(nèi)網(wǎng)area_eth1 區(qū) 域的某些用戶通過TOPSEC 認(rèn)證客戶端訪問內(nèi)網(wǎng)主機(jī)10.10.10.22 的TELNET 服務(wù)。圖 30 基于認(rèn)證用戶的訪問控制示意圖 配置要點(diǎn)

設(shè)置區(qū)域?qū)傩?/p>

設(shè)置NAT 地址轉(zhuǎn)換規(guī)則

設(shè)置認(rèn)證服務(wù)器和用戶組

開放相關(guān)接口的認(rèn)證服務(wù)

設(shè)置基于認(rèn)證用戶的訪問控制規(guī)則。

設(shè)置用戶認(rèn)證客戶端

WebUI 配置步驟

1）設(shè)置區(qū)域?qū)傩?，添加主機(jī)地址資源。

a）選擇 資源管理 > 區(qū)域，定義內(nèi)網(wǎng)區(qū)域area_eth2 的缺省屬性為禁止訪問。外網(wǎng)區(qū)域area_eth1 為允許訪問。

b）選擇 資源管理 > 地址，激活“主機(jī)”頁簽，定義內(nèi)網(wǎng)TELNET 服務(wù)器的真實(shí)IP 地址資源（10.10.10.22）。

定義虛擬IP 地址資源（192.168.83.223）。如下圖所示。

2）選擇 防火墻 > 地址轉(zhuǎn)換，設(shè)置目的NAT 規(guī)則，使得用戶能夠訪問內(nèi)網(wǎng)TELNET 服務(wù)器。

選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

b）選__

第二篇：防火墻配置試卷D

防火墻配置試卷D

題量：5 滿分：100.0 分

顯示答案

簡答題（共5題,100.0分）

1按照拓?fù)鋱D，搭建環(huán)境配置服務(wù)器并設(shè)置接口區(qū)域和ip地址。（15分）

提交display ip int bri中接口配置；（5分）

提交display current中接口添加到對應(yīng)區(qū)域的配置；（6分）

2設(shè)置源NAT策略和配置安全策略，保證內(nèi)網(wǎng)vlan10和vlan20用戶通過HFW1能訪問外網(wǎng)；內(nèi)網(wǎng)vlan30和vlan40用戶通過HFW2能訪問外網(wǎng)。（共計(jì)30分）

提交HFW1的安全策略配置和NAT策略截圖（7.5分）；

提交HFW2的安全策略配置和NAT策略截圖（7.5分）；

提交vlan10和vlan20主機(jī)訪問外網(wǎng)192.168.20.1后，防火墻HFW1 display firewall session table截圖；（7.5分）；

提交vlan30和vlan40主機(jī)訪問外網(wǎng)192.168.10.1后，防火墻HFW2 display firewall session table截圖；（7.5分）；

設(shè)置目的NAT策略和配置安全策略，保證外網(wǎng)用戶訪問192.168.20.100的web服務(wù)時(shí)，訪問的是內(nèi)部網(wǎng)絡(luò)dmz區(qū)域的172.16.8.100（共計(jì)15分）；

提交HFW1上display nat server截圖（10分）；

提交外部瀏覽器訪問http://192.168.20.100截圖（5分）；

設(shè)置在任選一臺(tái)防火墻配置DHCP服務(wù)器，為內(nèi)部trust區(qū)域中vlan10、vlan20、vlan30和vlan40下面的主機(jī)提供iP地址。（共計(jì)12分）；

提交選擇防火墻上display current與DHCP有關(guān)的截圖（6分），其中地址池配置4分，端口下引用（2分））；

提交vlan10下主機(jī)pc1獲得ip地址的截圖（1.5分）；

提交vlan20下主機(jī)pc2獲得ip地址的截圖（1.5分）；

提交vlan30下主機(jī)pc3獲得ip地址的截圖（1.5分）；

提交vlan40下主機(jī)pc4獲得ip地址的截圖（1.5分）；

配置兩臺(tái)防火墻的雙機(jī)熱備，HFW1防火墻為vlan10和vlan20的active（活動(dòng)）設(shè)備，HFW2防火墻為vlan10和vlan20的standby（備份）設(shè)備；HFW1防火墻為vlan40和vlan30的standby（備份）設(shè)備，HFW2防火墻為vlan30和vlan40的active（活動(dòng)）設(shè)備；

兩臺(tái)防火墻均可以訪問互聯(lián)網(wǎng)，當(dāng)active（活動(dòng)）設(shè)備發(fā)生故障時(shí)能夠?qū)崿F(xiàn)切換，虛擬機(jī)訪問互聯(lián)網(wǎng)不能出現(xiàn)中斷。（共計(jì)40分）

1）熱冗余備份配置完成后，提交相關(guān)驗(yàn)證結(jié)果（16分）

提交啟動(dòng)熱冗余備份后防火墻HFW1的display hrp state結(jié)果（2分）；

提交啟動(dòng)熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（2分）；

提交啟動(dòng)熱冗余備份后防火墻HFW2的display hrp state結(jié)果（2分），提交啟動(dòng)熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（2分）；

提交VLAN10的主機(jī)用tracert 192.168.20.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（2分）；

提交VLAN40的主機(jī)用tracert 192.168.10.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（2分）；

提交FHW1的display firewall session會(huì)話轉(zhuǎn)化表（2分）；

提交FHW2的display firewall session會(huì)話轉(zhuǎn)化表（2分）；

2）熱冗余備份環(huán)境下，在交換機(jī)g0/0/24下執(zhí)行shutdown命令，提交相關(guān)驗(yàn)證結(jié)果（8分）

提交啟動(dòng)熱冗余備份后防火墻HFW1的display hrp state結(jié)果（1分）；

提交啟動(dòng)熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（1分）；

提交啟動(dòng)熱冗余備份后防火墻HFW2的display hrp state結(jié)果（1分），提交啟動(dòng)熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（1分）；

提交VLAN10的主機(jī)用tracert 192.168.20.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（1分）；

提交VLAN40的主機(jī)用tracert 192.168.10.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（1分）；

提交FHW1的display firewall session會(huì)話轉(zhuǎn)化表（1分）；

提交FHW2的display firewall session會(huì)話轉(zhuǎn)化表（1分）；

3）熱冗余備份環(huán)境下，在交換機(jī)的g0/0/24下再執(zhí)行undo shutdown命令后，等待系統(tǒng)恢復(fù)后提交相關(guān)驗(yàn)證結(jié)果（8分）

提交啟動(dòng)熱冗余備份后防火墻HFW1的display hrp state結(jié)果（1分）；

提交啟動(dòng)熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（1分）；

提交啟動(dòng)熱冗余備份后防火墻HFW2的display hrp state結(jié)果（1分），提交啟動(dòng)熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（1分）；

提交VLAN10的主機(jī)用tracert 192.168.20.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（1分）；

提交VLAN40的主機(jī)用tracert 192.168.10.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（1分）；

提交FHW1的display firewall session會(huì)話轉(zhuǎn)化表（1分）；

提交FHW2的display firewall session會(huì)話轉(zhuǎn)化表（1分）；

4）熱冗余備份環(huán)境下，在防火墻HFW2下的g1/0/4下執(zhí)行shutdown命令后，等待一段時(shí)間，提交相關(guān)驗(yàn)證結(jié)果（8分）

提交啟動(dòng)熱冗余備份后防火墻HFW1的display hrp state結(jié)果（1分）；

提交啟動(dòng)熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（1分）；

提交啟動(dòng)熱冗余備份后防火墻HFW2的display hrp state結(jié)果（1分），提交啟動(dòng)熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（1分）；

提交VLAN10的主機(jī)用tracert 192.168.20.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（1分）；

提交VLAN40的主機(jī)用tracert 192.168.10.1訪問外部網(wǎng)絡(luò)主機(jī)的截圖（1分）；

提交FHW1的display firewall session會(huì)話轉(zhuǎn)化表（1分）；

提交FHW2的display firewall session會(huì)話轉(zhuǎn)化表（1分）；

第三篇：畢業(yè)論文 LINUX路由防火墻配置

LINUX路由防火墻配置 加上摘要、關(guān)鍵字 LINUX系統(tǒng)應(yīng)用概述（安全方面應(yīng)用）防火墻的功能介紹 防火墻規(guī)則配置 防火墻路由配置 防火墻NAT配置

RedHat Linux 為增加系統(tǒng)安全性提供了防火墻保護(hù)。防火墻存在于你的計(jì)算機(jī)和網(wǎng)絡(luò)之間，用來判定網(wǎng)絡(luò)中的遠(yuǎn)程用戶有權(quán)訪問你的計(jì)算機(jī)上的哪些資源。一個(gè)正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。

其中有以下幾種配置方式：

高級：如只有以下連接是果你選擇了「高級」，你的系統(tǒng)就不會(huì)接受那些沒有被你具體指定的連接（除了默認(rèn)設(shè)置外）。默認(rèn)允許的： DNS回應(yīng)

DHCP — 任何使用 DHCP 的網(wǎng)絡(luò)接口都可以被相應(yīng)地配置。如果你選擇「高級」，你的防火墻將不允許下列連接

1．活躍狀態(tài)FTP（在多數(shù)客戶機(jī)中默認(rèn)使用的被動(dòng)狀態(tài)FTP應(yīng)該能夠正常運(yùn)行。）2.IRC DCC 文件傳輸

3.RealAudio 4.遠(yuǎn)程 X 窗口系統(tǒng)客戶機(jī) 如果你要把系統(tǒng)連接到互聯(lián)網(wǎng)上，但是并不打算運(yùn)行服務(wù)器，這是最安全的選擇。

如果需要額外的服務(wù)，你可以選擇 「定制」 來具體指定允許通過防火墻的服務(wù)。注記:如果你在安裝中選擇設(shè)置了中級或高級防火墻，網(wǎng)絡(luò)驗(yàn)證方法（NIS 和 LDAP）將行不通。

中級：如果你選擇了「中級」，你的防火墻將不準(zhǔn)你的系統(tǒng)訪問某些資源。訪問下列資源是默認(rèn)不允許的：

1.低于1023 的端口 — 這些是標(biāo)準(zhǔn)要保留的端口，主要被一些系統(tǒng)服務(wù)所使用，例如： FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務(wù)器端口（2049）— 在遠(yuǎn)程服務(wù)器和本地客戶機(jī)上，NFS 都已被禁用。3.為遠(yuǎn)程 X 客戶機(jī)設(shè)立的本地 X 窗口系統(tǒng)顯示。4.X 字體服務(wù)器端口（xfs 不在網(wǎng)絡(luò)中監(jiān)聽；它在字體服務(wù)器中被默認(rèn)禁用）。

如果你想準(zhǔn)許到RealAudio之類資源的訪問，但仍要堵塞到普通系統(tǒng)服務(wù)的訪問，選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務(wù)穿過防火墻。

注記:如果你在安裝中選擇設(shè)置了中級或高級防火墻，網(wǎng)絡(luò)驗(yàn)證方法（NIS 和 LDAP）將行不通。

無防火墻：無防火墻給予完全訪問權(quán)并不做任何安全檢查。安全檢查是對某些服務(wù)的禁用。

建議你只有在一個(gè)可信任的網(wǎng)絡(luò)（非互聯(lián)網(wǎng)）中運(yùn)行時(shí)，或者你想稍后再進(jìn)行詳細(xì)的防火墻配置時(shí)才選此項(xiàng)。選擇 「定制」 來添加信任的設(shè)備或允許其它的進(jìn)入接口。

信任的設(shè)備：選擇「信任的設(shè)備」中的任何一個(gè)將會(huì)允許你的系統(tǒng)接受來自這一設(shè)備的全部交通；它不受防火墻規(guī)則的限制。

例如，如果你在運(yùn)行一個(gè)局域網(wǎng)，但是通過PPP撥號(hào)連接到了互聯(lián)網(wǎng)上，你可以選擇「eth0」，而后所有來自你的局域網(wǎng)的交通將會(huì)被允許。

把「eth0」選為“信任的”意味著所有這個(gè)以太網(wǎng)內(nèi)的交通都是被允許的，但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通，不要選擇它。建議你不要將連接到互聯(lián)網(wǎng)之類的公共網(wǎng)絡(luò)上的設(shè)備定為 「信任的設(shè)備」。

允許進(jìn)入：啟用這些選項(xiàng)將允許具體指定的服務(wù)穿過防火墻。注意：在工作站類型安裝中，大多數(shù)這類服務(wù)在系統(tǒng)內(nèi)沒有被安裝。

DHCP：如果你允許進(jìn)入的 DHCP 查詢和回應(yīng)，你將會(huì)允許任何使用 DHCP 來判定其IP地址的網(wǎng)絡(luò)接口。DHCP通常是啟用的。如果DHCP沒有被啟用，你的計(jì)算機(jī)就不能夠獲取 IP 地址。

SSH：Secure（安全）SHell（SSH）是用來在遠(yuǎn)程機(jī)器上登錄及執(zhí)行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機(jī)器，啟用該選項(xiàng)。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠(yuǎn)程訪問你的機(jī)器。

TELNET：Telnet是用來在遠(yuǎn)程機(jī)器上登錄的協(xié)議。Telnet通信是不加密的，幾乎沒有提供任何防止來自網(wǎng)絡(luò)刺探之類的安全措施。建議你不要允許進(jìn)入的Telnet訪問。如果你想允許進(jìn)入的 Telnet 訪問，你需要安裝 telnet-server 軟件包。

HTTP：HTTP協(xié)議被Apache（以及其它萬維網(wǎng)服務(wù)器）用來進(jìn)行網(wǎng)頁服務(wù)。如果你打算向公眾開放你的萬維網(wǎng)服務(wù)器，請啟用該選項(xiàng)。你不需要啟用該選項(xiàng)來查看本地網(wǎng)頁或開發(fā)網(wǎng)頁。如果你打算提供網(wǎng)頁服務(wù)的話，你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會(huì)為 HTTPS 打開一個(gè)端口。要啟用 HTTPS，在 「其它端口」 字段內(nèi)注明。

SMTP：如果你需要允許遠(yuǎn)程主機(jī)直接連接到你的機(jī)器來發(fā)送郵件，啟用該選項(xiàng)。如果你想從你的ISP服務(wù)器中收取POP3或IMAP郵件，或者你使用的是fetchmail之類的工具，不要啟用該選項(xiàng)。請注意，不正確配置的 SMTP 服務(wù)器會(huì)允許遠(yuǎn)程機(jī)器使用你的服務(wù)器發(fā)送垃圾郵件。

FTP：FTP 協(xié)議是用于在網(wǎng)絡(luò)機(jī)器間傳輸文件的協(xié)議。如果你打算使你的 FTP 服務(wù)器可被公開利用，啟用該選項(xiàng)。你需要安裝 vsftpd 軟件包才能利用該選項(xiàng)。

其他端口：你可以允許到這里沒有列出的其它端口的訪問，方法是在 「其它端口」 字段內(nèi)把它們列出。格式為： 端口:協(xié)議。例如，如果你想允許 IMAP 通過你的防火墻，你可以指定 imap:tcp。你還可以具體指定端口號(hào)碼 要允許 UDP 包在端口 1234 通過防火墻，輸入 1234:udp。要指定多個(gè)端口，用逗號(hào)將它們隔開。

竅門:要在安裝完畢后改變你的安全級別配置，使用 安全級別配置工具。

在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動(dòng) 安全級別配置工具。如果你不是根用戶，它會(huì)提示你輸入根口令后再繼續(xù)。

運(yùn)行防火墻的計(jì)算機(jī)（以下稱防火墻）既連接外部網(wǎng)，又連接內(nèi)部網(wǎng)。一般情況下，內(nèi)部網(wǎng)的用戶不能直接訪問外部網(wǎng)，反之亦然。如果內(nèi)部網(wǎng)用戶要訪問外部網(wǎng)，必須先登錄到防火墻，由防火墻進(jìn)行IP地址轉(zhuǎn)換后，再由防火墻發(fā)送給外部網(wǎng)，即當(dāng)內(nèi)部網(wǎng)機(jī)器通過防火墻時(shí)，源IP地址均被設(shè)置（或稱偽裝，或稱欺騙）成外部網(wǎng)合法的IP地址。經(jīng)偽裝以后，在外部網(wǎng)看來，內(nèi)部網(wǎng)的機(jī)器是一個(gè)具有合法的IP地址的機(jī)器，因而可進(jìn)行通信。外部網(wǎng)用戶要訪問內(nèi)部網(wǎng)用戶時(shí)，也要先登錄到防火墻，經(jīng)過濾后，僅通過允許的服務(wù)。由此可見，防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間起到了兩個(gè)作用：(1)IP包過濾——保護(hù)作用；(2)路由——網(wǎng)絡(luò)互連作用。

硬件安裝：運(yùn)行Linux防火墻的計(jì)算機(jī)上必須安裝有兩塊網(wǎng)卡或一塊網(wǎng)卡、一塊Modem卡。本文以兩塊網(wǎng)卡為例。安裝網(wǎng)卡，正確設(shè)置中斷號(hào)及端口號(hào)，并為各網(wǎng)卡分配合適的IP地址。例如：eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創(chuàng)建，刪除或插入鏈，并可以在鏈中創(chuàng)建，刪除或插入過濾規(guī)則。Iptables僅僅是一個(gè)包過濾管理工具，對過濾規(guī)則的執(zhí)行是通過LINUX的NETWORK PACKET FILTERING內(nèi)核和相關(guān)的支持模塊來實(shí)現(xiàn)的。

RED HAT LINUX在安裝時(shí)，也安裝了對舊版的IPCHAINS的支持，但是兩者不能同時(shí)使用，可以用以下命令卸下： Rmmod ipchains 然后可以檢查下Iptables是否安裝了： Rpm –q Iptables Iptables-1.2.7a-2 說明已經(jīng)安裝了Iptables Iptables有以下服務(wù)： 啟用：service Iptables start 重啟：service Iptables restart 停止：servixe Iptables stop 對鏈的操作：

1． 2． 查看鏈：Iptables –L 創(chuàng)建與刪除鏈：Iptables –N block block為新鏈

Iptables –X 為刪除鏈 3．

對規(guī)則的操作：

1． 2． 3． 4． 5． 6． 7． 刪除鏈中規(guī)則：Iptables –E 歸零封包記數(shù)器：Iptables –Z 設(shè)置鏈的默認(rèn)策略：Iptables –P 新增規(guī)則：Iptables –A 替換規(guī)則：Iptables –R 刪除規(guī)則：Iptables –D 插入規(guī)則：Iptables –I 更改鏈的名稱：Iptables-E 要禁止外網(wǎng)PING本機(jī)，可以執(zhí)行規(guī)則為：

Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機(jī)訪問本機(jī)，規(guī)則為： Iptables –A INPUT –s 220.174.156.22 –j DROP 規(guī)則的處理動(dòng)作： 1． 2． ACCEPT：允許封包通過或接收該封包

REJECT：攔截該封包，并回傳一個(gè)封包通知對方

3． 4． DROP：直接丟棄封包

5． 6． MASQUERADE：用于改寫封包的來源IP為封包流出的外網(wǎng)卡的IP地址，實(shí)現(xiàn)IP偽裝

假設(shè)外網(wǎng)卡為ETH0，則 ： iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99

構(gòu)建路由: 增加一條靜態(tài)路由：

# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態(tài)路由：

# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統(tǒng)增加一條缺省路由，因?yàn)槿笔〉穆酚墒前阉械臄?shù)據(jù)包都發(fā)往它的上一級網(wǎng)關(guān)

（假設(shè)地址是172.16.1.254，這個(gè)地址依賴于使用的網(wǎng)絡(luò)而定，由網(wǎng)絡(luò)管理員分配），因此增加如下的缺省路由記錄： # route add default gw 172.16.77.254 最后一步，要增加系統(tǒng)的IP轉(zhuǎn)發(fā)功能。這個(gè)功能由

執(zhí)行如下命令打開ip轉(zhuǎn)發(fā)功能： echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。

第四篇：實(shí)驗(yàn)三 防火墻的配置

實(shí)驗(yàn)三 防火墻的配置

? 實(shí)驗(yàn)?zāi)康?/p>

1、了解防火墻的含義與作用

2、學(xué)習(xí)防火墻的基本配置方法

3、理解iptables工作機(jī)理

4、熟練掌握iptables包過濾命令及規(guī)則

5、學(xué)會(huì)利用iptables對網(wǎng)絡(luò)事件進(jìn)行審計(jì)

6、熟練掌握iptables NAT工作原理及實(shí)現(xiàn)流程

7、學(xué)會(huì)利用iptables+squid實(shí)現(xiàn)web應(yīng)用代理

? 實(shí)驗(yàn)原理

? 防火墻的基本原理

一．什么是防火墻

在古代，人們已經(jīng)想到在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所，于是有了“防火墻”的概念。

進(jìn)入信息時(shí)代后，防火墻又被賦予了一個(gè)類似但又全新的含義。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

二．防火墻能做什么 1．防火墻是網(wǎng)絡(luò)安全的屏障

一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2．防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

3．對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

4．防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

三．NAT NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。

簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（Internet）上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個(gè)合法IP地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。這時(shí)，NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計(jì)算機(jī)對于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點(diǎn)的私有IP地址，這個(gè)地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以實(shí)現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機(jī)挑選，但是通常使用的是下面的地址：10.0.0.0～10.255.255.255，172.16.0.0～172.16.255.255，192.168.0.0～192.168.255.255。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網(wǎng)絡(luò)信息中心）或者ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址，對外代表一個(gè)或多個(gè)內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡(luò)管理員只需在路由器的IOS中設(shè)置NAT功能，就可以實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的屏蔽。再比如防火墻將Web Server的內(nèi)部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問202.96.23.11地址實(shí)際上就是訪問192.168.1.1。另外對資金有限的小型企業(yè)來說，現(xiàn)在通過軟件也可以實(shí)現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

NAT有三種類型：靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）。

其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。

動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址，用戶斷開時(shí)，這個(gè)IP地址就會(huì)被釋放而留待以后使用。

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。

在Internet中使用NAPT時(shí)，所有不同的信息流看起來好像來源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用，通過從ISP處申請的一個(gè)IP地址，將多個(gè)連接通過NAPT接入Internet。實(shí)際上，許多SOHO遠(yuǎn)程訪問設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址訪問Internet，雖然這樣會(huì)導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用NAPT還是很值得的。

? Windows 2003防火墻

Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網(wǎng)絡(luò)通信通過防火墻進(jìn)入網(wǎng)絡(luò)，同時(shí)拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows2003服務(wù)器上，對直接連接到Internet的計(jì)算機(jī)啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL適配器或者撥號(hào)調(diào)制解調(diào)器連接到Internet。它可以有效地?cái)r截對Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對服務(wù)器的掃描，從而提高Windows 2003服務(wù)器的安全性。同時(shí)，它也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。

1．啟用/關(guān)閉防火墻

（1）打開“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。

（2）選擇“高級”選項(xiàng)卡，單擊“設(shè)置”按鈕，出現(xiàn)啟動(dòng)/停止防火墻界面。如果要啟用 Internet 連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請單擊“關(guān)閉(F)”按鈕。

2．防火墻服務(wù)設(shè)置

Windows 2003 Internet連接防火墻能夠管理服務(wù)端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務(wù)，Internet連接防火墻就可以監(jiān)視并管理這些端口。

（1）解除阻止設(shè)置。

在“例外”選項(xiàng)卡中，可以通過設(shè)定讓防火墻禁止和允許本機(jī)中某些應(yīng)用程序訪問網(wǎng)絡(luò)，加上“√”表示允許，不加“√”表示禁止。如果允許本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò)，則在對話框中間列表中所列出該項(xiàng)服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò)，則將該項(xiàng)服務(wù)前的“√”清除（如果不存在同樣可以添加）。在“Windows防火墻阻止程序時(shí)通知我”選項(xiàng)前打“√”則在主機(jī)出現(xiàn)列表框中不存在的應(yīng)用程序欲訪問網(wǎng)絡(luò)時(shí)，防火墻會(huì)彈出提示框詢問用戶是否允許該項(xiàng)網(wǎng)絡(luò)連接。

（2）高級設(shè)置。

在“高級”選項(xiàng)卡中，可以指定需要防火墻保護(hù)的網(wǎng)絡(luò)連接，雙擊網(wǎng)絡(luò)連接或單擊“設(shè)置”按鈕設(shè)置允許其他用戶訪問運(yùn)行于本主機(jī)的特定網(wǎng)絡(luò)服務(wù)。選擇“服務(wù)”選項(xiàng)卡，其中列舉出了網(wǎng)絡(luò)標(biāo)準(zhǔn)服務(wù)，加上“√”表示允許，不加“√”表示禁止。如果允許外部網(wǎng)絡(luò)用戶訪問網(wǎng)絡(luò)的某一項(xiàng)服務(wù)，則在對話框中間列表中所列出該項(xiàng)服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)的某一項(xiàng)服務(wù)，則將該項(xiàng)服務(wù)前的“√”清除（如果不存在同樣可以添加）。選擇“ICMP”選項(xiàng)卡，允許或禁止某些類型的ICMP響應(yīng)，建議禁止所有的ICMP響應(yīng)。

3．防火墻安全日志設(shè)置

Windows2003防火墻可以記錄所有允許和拒絕進(jìn)入的數(shù)據(jù)包，以便進(jìn)行進(jìn)一步的分析。在“高級”選項(xiàng)卡的“安全日志記錄”框中單擊“設(shè)置”按鈕，進(jìn)入“日志設(shè)置”界面。

如果要記錄被丟棄的包，則選中“記錄被丟棄的數(shù)據(jù)包”復(fù)選按鈕；如果要記錄成功的連接，則選中“記錄成功的連接”復(fù)選按鈕。

日志文件默認(rèn)路徑為C:WINDOWSpfirewall.log，用記事本可以打開，所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析。你也可以重新指定日志文件，而且還可以通過“大小限制”限定文件的最大使用空間。

「說明」 建立安全日志是非常必要的，在服務(wù)器安全受到威脅時(shí)，日志可以提供可靠的證據(jù)。

? linux防火墻-iptable的應(yīng)用

一．iptables簡介

從1.1內(nèi)核開始，linux就已經(jīng)具有包過濾功能了，在2.0的內(nèi)核中我們采用ipfwadm來操作內(nèi)核包過濾規(guī)則。之后在2.2內(nèi)核中，采用了大家并不陌生的ipchains來控制內(nèi)核包過濾規(guī)則。在2.4內(nèi)核中我們不再使用ipchains，而是采用一個(gè)全新的內(nèi)核包過濾管理工具—iptables。這個(gè)全新的內(nèi)核包過濾工具將使用戶更易于理解其工作原理，更容易被使用，當(dāng)然也將具有更為強(qiáng)大的功能。

實(shí)際上iptables只是一個(gè)內(nèi)核包過濾的工具，iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實(shí)際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內(nèi)核中一個(gè)通用架構(gòu))及其相關(guān)模塊(如iptables模塊和nat模塊)。

netfilter提供了一系列的“表(tables)”，每個(gè)表由若干“鏈(chains)”組成，而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，鏈又是規(guī)則的容器。

netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個(gè)鏈。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，系統(tǒng)就會(huì)從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會(huì)根據(jù)預(yù)先定義的策略(policy)來處理該數(shù)據(jù)包。

圖3-2-1 網(wǎng)絡(luò)數(shù)據(jù)包在filter表中的流程

數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)，系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈，則可能有三種情況：

（1）如果數(shù)據(jù)包的目的地址是本機(jī)，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

（2）如果數(shù)據(jù)包的目的地址不是本機(jī)，也就是說，這個(gè)包將被轉(zhuǎn)發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

（3）如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的，則系統(tǒng)將其送往OUTPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

當(dāng)我們在使用iptables NAT功能的時(shí)候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“-t nat”選項(xiàng)來顯式地指明這一點(diǎn)。因?yàn)橄到y(tǒng)缺省的表是“filter”，所以在使用filter功能時(shí)，我們沒有必要顯式的指明“-t filter”。

同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規(guī)則的容器，它們分別是：

（1）PREROUTING: 可以在這里定義進(jìn)行目的NAT的規(guī)則，因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的IP地址，為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進(jìn)行目的NAT。

（2）POSTROUTING: 可以在這里定義進(jìn)行源NAT的規(guī)則，在路由器進(jìn)行路由之后才進(jìn)行源NAT。（3）OUTPUT: 定義對本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。二．NAT工作原理

NAT的基本思想是為每個(gè)企業(yè)分配一個(gè)IP地址(或者是很少幾個(gè))來進(jìn)行Internet傳輸。在企業(yè)內(nèi)部，每個(gè)電腦取得一唯一的IP地址來為內(nèi)部傳輸做路由。然而，當(dāng)封包離開企業(yè)，進(jìn)入ISP之后，就需要進(jìn)行地址轉(zhuǎn)換了。為了使這個(gè)方案可行，IP地址的范圍被聲明為私有的，企業(yè)可以隨意在內(nèi)部使用他們。僅有的規(guī)則是，沒有包含這些地址的封包出現(xiàn)在Internet上。

「說明」 IP私有地址范圍是：10.0.0.0～10.255.255.255/

8、172.16.0.0 ～172.31.255.255/

12、192.168.0.0～192.168.255.255/16。

如圖3-2-2所示。在企業(yè)內(nèi)部，每個(gè)機(jī)器都有一個(gè)唯一的172.16.x.y形式的地址。然而，當(dāng)封包離開企業(yè)時(shí)，它要經(jīng)過NAT轉(zhuǎn)盒，NAT盒將內(nèi)部IP源地址，即圖中的172.16.0.50轉(zhuǎn)換成企業(yè)的真實(shí)地址(這個(gè)地址對于Internet來說是可見的)，此例中為202.198.168.150。NAT盒通常和防火墻一起綁定在一個(gè)設(shè)備上，這里的防火墻通過小心地控制進(jìn)出企業(yè)的封包提供了安全保障。

圖3-2-2 NAT地址轉(zhuǎn)換

三．iptables常用操作語法

對于任何協(xié)議及協(xié)議的擴(kuò)展，通用匹配都可以直接使用。（1）匹配指定協(xié)議。

匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／說明匹配指定的協(xié)議，指定協(xié)議的形式有以下幾種：①名字不分大小寫，但必須是在/etc/protocols中定義的；②可以使用協(xié)議相應(yīng)的整數(shù)值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設(shè)置ALL，相應(yīng)數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協(xié)議；④可以是協(xié)議列表，以英文逗號(hào)為分隔符，如：udp,tcp；⑤可以在協(xié)議前加英文的感嘆號(hào)表示取反，注意有空格,如：--protocol!tcp表示非TCP協(xié)議，也就是UDP和ICMP?？梢钥闯鲞@個(gè)取反的范圍只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

匹配-s,--src,--source／使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT／說明以IP源地址匹配包。地址的形式如下：①單個(gè)地址，如192.168.0.1，也可寫成192.168.0.1/255.255.255.255或192.168.0.1/32；②網(wǎng)絡(luò)，如192.168.0.0/24,或192.168.0.0/255.255.255.0；③在地址前加英文感嘆號(hào)表示取反，注意空格，如—source!192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

匹配-d,--dst,--destination／使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT／說明以IP目的地址匹配包。地址的形式和—source完全一樣。

（4）以包進(jìn)入本地使用的網(wǎng)絡(luò)接口匹配包。

匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／說明以包進(jìn)入本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個(gè)匹配操作只能用于INPUT,FORWARD和PREROUTING這三個(gè)鏈，用在其他任何地方會(huì)提示錯(cuò)誤信息。指定接口有以下方法：①指定接口名稱，如：eth0、ppp0等；②使用通配符，即英文加號(hào)，它代表字符數(shù)字串。若直接用一個(gè)加號(hào)，即iptables-A INPUT-i +表示匹配所有的包，而不考慮使用哪個(gè)接口。通配符還可以放在某一類接口的后面，如：eth+表示匹配所有從Ethernet接口進(jìn)入的包；③在接口前加英文感嘆號(hào)表示取反，如：-i!eth0意思是匹配來自除eth0外的所有包。

（5）以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。

匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／說明以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個(gè)匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個(gè)鏈，用在其他任何地方會(huì)提示錯(cuò)誤信息。

（6）匹配通信源端口。

匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／說明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的源端口，但必須與匹配協(xié)議相結(jié)合使用。

（7）匹配通信源端口。

匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／說明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的目的端口，但必須與匹配協(xié)議相結(jié)合使用。

五．iptables功能擴(kuò)展 1．TCP擴(kuò)展

iptables可以擴(kuò)展，擴(kuò)展分為兩種：一種是標(biāo)準(zhǔn)的；另一種是用戶派生的。如果指定了“-p tcp”，那么TCP擴(kuò)展將自動(dòng)加載，通過--tcp-flags擴(kuò)展，我們指定TCP報(bào)文的哪些Flags位被設(shè)置，在其后跟隨兩個(gè)參數(shù)：第一個(gè)參數(shù)代表Mask,指定想要測驗(yàn)的標(biāo)志位；第二個(gè)參數(shù)指定哪些位被設(shè)置。

例：設(shè)置iptables防火墻禁止來自外部的任何tcp主動(dòng)請求，并對此請求行為進(jìn)行事件記錄。

其中ULOG指定對匹配的數(shù)據(jù)包進(jìn)行記錄,由日志生成工具ULOG生成iptables防火日志，--log-prefix選項(xiàng)為記錄前綴。

2．ICMP擴(kuò)展

例：設(shè)置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。

其中--icmp-type為擴(kuò)展命令選項(xiàng)，其后參數(shù)可以是三種模式：（1）ICMP類型名稱（例如，host-unreachable）。（2）ICMP類型值(例如3)。（3）ICMP類型及代碼值（8/0）。六．狀態(tài)檢測

“狀態(tài)”的意思是指如果一個(gè)數(shù)據(jù)包是對先前從防火墻發(fā)出去的包的回復(fù)，則防火墻自動(dòng)不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進(jìn)入并返回給請求者，這樣就不用設(shè)置許多規(guī)則定義就可實(shí)現(xiàn)應(yīng)用的功能。

我們可以把請求端與應(yīng)答端之間建立的網(wǎng)絡(luò)通信連接稱為網(wǎng)絡(luò)會(huì)話，每個(gè)網(wǎng)絡(luò)會(huì)話都包括以下信息——源IP地址、目標(biāo)IP地址、源端口、目的端口，稱為套接字對；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時(shí)時(shí)間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內(nèi)存中維護(hù)一個(gè)跟蹤狀態(tài)的表，比簡單的包過濾防火墻具有更大的安全性，而iptables就是一種基于狀態(tài)的防火墻。命令格式如下：

iptables-m state--state [!] state [,state,state,state] 其中，state表是一個(gè)由逗號(hào)分割的列表，用來指定連接狀態(tài)，狀態(tài)分為4種：（1）NEW: 該包想要建立一個(gè)新的連接（重新連接或連接重定向）

（2）RELATED:該包是屬于某個(gè)已經(jīng)建立的連接所建立的新連接。舉例：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。

（3）ESTABLISHED：該包屬于某個(gè)已經(jīng)建立的連接。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。七．NAT操作

前面提到在iptables防火墻中提供了3種策略規(guī)則表：Filter、Mangle和NAT，這3種表功能各不相同，而最為常用的就是filter和nat表。

nat表僅用于NAT,也就是網(wǎng)絡(luò)地址轉(zhuǎn)換。做過NAT操作的數(shù)據(jù)包的地址就被改變了，當(dāng)然這種改變是根據(jù)我們的規(guī)則進(jìn)行的。屬于流的包只會(huì)經(jīng)過這個(gè)表一次，經(jīng)一個(gè)包被允許做NAT,那么余下的包都會(huì)自動(dòng)地做相同的操作。也就是說，余下的包不會(huì)再通過這個(gè)表一個(gè)一個(gè)的被NAT，而是自動(dòng)完成的。常用操作分為以下幾類。

（1）SNAT(source network address translation，源網(wǎng)絡(luò)地址目標(biāo)轉(zhuǎn)換)。

SNAT是POSTROUTING鏈表的作用，在封包就要離開防火墻之前改變其源地址，這在極大程度上可以隱藏本地網(wǎng)絡(luò)或者DMZ等。比如，多個(gè)PC機(jī)使用路由器共享上網(wǎng)，每個(gè)PC機(jī)都配置了內(nèi)網(wǎng)IP(私有IP)，PC機(jī)訪問外部網(wǎng)絡(luò)的時(shí)候，路由器將數(shù)據(jù)包的報(bào)頭中的源地址替換成路由器的IP，當(dāng)外部網(wǎng)絡(luò)的服務(wù)器比如網(wǎng)站W(wǎng)eb服務(wù)器接到訪問請求的時(shí)候，它的日志記錄下來的路由器的IP，而不是PC機(jī)的內(nèi)網(wǎng)IP，這是因?yàn)?，這個(gè)服務(wù)器收到的數(shù)據(jù)包的報(bào)頭里邊的“源地址”已經(jīng)被替換了。所以叫做SNAT，基于源地址的地址轉(zhuǎn)換。

例如更改所有來自192.168.0.1/24的數(shù)據(jù)包的源IP地址為10.0.0.1，其iptables實(shí)現(xiàn)為：

（2）DNAT(destination network address translation，目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換)。

DNAT是PREROUTING鏈表的作用，在封包剛剛到達(dá)防火墻時(shí)改變其目的地址，以使包能重路由到某臺(tái)主機(jī)。典型的應(yīng)用是，有個(gè)Web服務(wù)器放在企業(yè)網(wǎng)絡(luò)DMZ區(qū)，其配置了內(nèi)網(wǎng)IP地址，企業(yè)防火墻的的外網(wǎng)接口配置了企業(yè)唯一的公網(wǎng)IP，互聯(lián)網(wǎng)上的訪問者使用公網(wǎng)IP來訪問這個(gè)網(wǎng)站，當(dāng)訪問的時(shí)候，客戶端發(fā)出一個(gè)數(shù)據(jù)包，這個(gè)數(shù)據(jù)包的報(bào)頭里邊，目標(biāo)地址寫的是防火墻的公網(wǎng)IP，然后再把這個(gè)數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務(wù)器上，這樣，數(shù)據(jù)包就穿透了防火墻，并從公網(wǎng)IP變成了一個(gè)對DMZ區(qū)的訪問了。所以叫做DNAT，基于目標(biāo)的網(wǎng)絡(luò)地址轉(zhuǎn)換。

例如更改所有來自202.98.0.1/24的數(shù)據(jù)包的目的IP地址為192.168.0.1，其iptables實(shí)現(xiàn)為：

（3）REDIRECT(重定向)。

REDIRECT是DNAT的特殊情況是重定向，也就是所謂的Redirection，這時(shí)候就相當(dāng)于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)的網(wǎng)絡(luò)接口的IP地址。通常是在與squid配置形成透明代理時(shí)使用，假設(shè)squid的監(jiān)聽端口是3128,我們可以通過以下語句來將來自192.168.0.1/24，目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽：

（4）MASQUERADE(地址偽裝)。

在iptables中有著和SNAT相近的效果，但也有一些區(qū)別。在使用SNAT的時(shí)候，出口IP的地址范圍可以是一個(gè)，也可以是多個(gè)，例如把所有

192.168.0.0/2

4網(wǎng)段數(shù)據(jù)包

SNAT

成202.98.0.150/202.98.0.151/202.98.0.152等幾個(gè)IP然后發(fā)出去,其iptables實(shí)現(xiàn)為：

SNAT即可以NAT成一個(gè)地址，也可以NAT成多個(gè)地址。但是，對于SNAT來說不管是幾個(gè)地址，必須明確指定轉(zhuǎn)換的目標(biāo)地址IP。假如當(dāng)前系統(tǒng)用的是ADSL動(dòng)態(tài)撥號(hào)方式，那么每次撥號(hào)，出口IP都會(huì)改變，而且改變的幅度很大，不一定是202.98.0.150到202.98.0.152范圍內(nèi)的地址，這個(gè)時(shí)候如果使用SNAT的方式來配置iptables就會(huì)出現(xiàn)麻煩了，因?yàn)槊看螕芴?hào)后出口IP都會(huì)變化，而iptables規(guī)則內(nèi)的IP是不會(huì)隨著自動(dòng)變化的，每次地址變化后都必須手工修改一次iptables，把規(guī)則里邊的固定的IP改成新的IP，這樣是非常不好用的。

MASQUERADE就是針對這種場景而設(shè)計(jì)的，它的作用是從防火墻外網(wǎng)接口上自動(dòng)獲取當(dāng)前IP地址來做NAT，比如下邊的命令：

八．防火墻應(yīng)用代理 1．代理服務(wù)器概述

在TCP/IP網(wǎng)絡(luò)中，傳統(tǒng)的通信過程是這樣的：客戶端向服務(wù)器請求數(shù)據(jù)，服務(wù)器響應(yīng)該請求，將數(shù)據(jù)傳送給客戶端，如圖3-2-3所示。

圖3-2-3 直接訪問Internet 在引入了代理服務(wù)器以后，這一過程變成了這樣：客戶端向服務(wù)器發(fā)起請求，該請求被送到代理服務(wù)器；代理服務(wù)器分析該請求，先查看自己緩存中是否有請求數(shù)據(jù)，如果有就直接傳遞給客戶端，如果沒有就代替客戶端向該服務(wù)器發(fā)出請求。服務(wù)器響應(yīng)以后，代理服務(wù)將響應(yīng)的數(shù)據(jù)傳遞給客戶端，同時(shí)在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣，再有客戶端請求相同的數(shù)據(jù)時(shí)，代理服務(wù)器就可以直接將數(shù)據(jù)傳送給客戶端，而不需要再向該服務(wù)器發(fā)起請求，如圖3-2-4所示。

圖3-2-4 通過代理服務(wù)器訪問Internet

2．代理服務(wù)器功能

一般說來，代理服務(wù)器具有以下的功能：（1）通過緩存增加訪問速度。

隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)帶寬變得越來越珍貴。所以為了提高訪問速度，好多ISP都提供代理服務(wù)器，通過代理服務(wù)器的緩存功能來加快網(wǎng)絡(luò)的訪問速度。一般說來，大多數(shù)的代理服務(wù)器都支持HTTP緩存，但是，有的代理服務(wù)器也支持FTP緩存。在選擇代理服務(wù)器時(shí)，對于大多數(shù)的組織，只需要HTTP緩存功能就足夠了。

通常，緩存有主動(dòng)緩存被動(dòng)緩存之分。所謂被動(dòng)緩存，指的是代理服務(wù)器只在客戶端請求數(shù)據(jù)時(shí)才將服務(wù)器返回的數(shù)據(jù)進(jìn)行緩存，如果數(shù)據(jù)過期了，又有客戶端請求相同的數(shù)據(jù)時(shí)，代理服務(wù)器又必須重新發(fā)起新的數(shù)據(jù)請求，在將響應(yīng)數(shù)據(jù)傳送給客戶端時(shí)又進(jìn)行新的緩存。所謂主動(dòng)緩存，就是代理服務(wù)器不斷地檢查緩存中的數(shù)據(jù)，一旦有數(shù)據(jù)過期，則代理服務(wù)器主動(dòng)發(fā)起新的數(shù)據(jù)請求來更新數(shù)據(jù)。這樣，當(dāng)有客戶端請求該數(shù)據(jù)時(shí)就會(huì)大大縮短響應(yīng)時(shí)間。對于數(shù)據(jù)中的認(rèn)證信息，大多數(shù)的代理服務(wù)器都不會(huì)進(jìn)行緩存的。

（2）提供用私有IP訪問Internet的方法。

IP地址是不可再生的寶貴資源，假如你只有有限的IP地址，但是需要提供整個(gè)組織的Internet訪問能力，那么，你可以通過使用代理服務(wù)器來實(shí)現(xiàn)這一點(diǎn)。

（3）提高網(wǎng)絡(luò)的安全性。

如果內(nèi)部用戶訪問Internet都是通過代理服務(wù)器，那么代理服務(wù)器就成為進(jìn)入Internet的唯一通道；反過來說，代理服務(wù)器也是Internet訪問內(nèi)部網(wǎng)絡(luò)的唯一通道，如果你沒有做反向代理，則對于Internet上的主機(jī)來說，你的整個(gè)內(nèi)部網(wǎng)只有代理服務(wù)器是可見的，從而大大增強(qiáng)了網(wǎng)絡(luò)的安全性。

3．傳統(tǒng)、透明和反向代理服務(wù)器（1）傳統(tǒng)代理服務(wù)器。

傳統(tǒng)代理常被用于緩存靜態(tài)網(wǎng)頁(例如：html文件和圖片文件等)到本地網(wǎng)絡(luò)上的一臺(tái)主機(jī)上(即代理服務(wù)器)。不緩存的頁面被第二次訪問的時(shí)候，瀏覽器將直接從本地代理服務(wù)器那里獲取請求數(shù)據(jù)而不再向原Web站點(diǎn)請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬，而且提高了訪問速度。但是，要想實(shí)現(xiàn)這種方式，必須在每一個(gè)內(nèi)部主機(jī)的瀏覽器上明確指明代理服務(wù)器的IP地址和端口號(hào)。客戶端上網(wǎng)時(shí)，每次都把請求給代理服務(wù)器處理，代理服務(wù)器根據(jù)請求確定是否連接到遠(yuǎn)程Web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo)文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，并在本地保存一份緩沖，然后將文件發(fā)給客戶端瀏覽器。

（2）透明代理服務(wù)器。

透明代理與傳統(tǒng)代理的功能完全相同。但是，代理操作對客戶端瀏覽器是透明的(即不需指明代理服務(wù)器的IP和端口)。透明代理服務(wù)器阻斷網(wǎng)絡(luò)通信，并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶，如果在本地沒有緩沖則向遠(yuǎn)程Web服務(wù)器發(fā)出請求，其余操作和傳統(tǒng)代理服務(wù)器完全相同。對于Linux操作系統(tǒng)來說，透明代理使用iptables實(shí)現(xiàn)。因?yàn)椴恍枰獙g覽器作任何設(shè)置，所以，透明代理對于ISP來說特別有用。

（3）反向代理服務(wù)器。

反向代理是和前兩種代理完全不同的一種代理服務(wù)。使用它可以降低原始Web服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對原始Web服務(wù)器的靜態(tài)頁面的請求，防止原始服務(wù)器過載。如圖3-2-5所示，它位于本地Web服務(wù)器和Internet之間，處理所有對Web服務(wù)器的請求。如果互聯(lián)網(wǎng)用戶請求的頁面在代理器上有緩沖的話，代理服務(wù)器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒有緩沖則先向Web服務(wù)器發(fā)出請求，取回?cái)?shù)據(jù)，本地緩存后再發(fā)送給用戶。這種方式通過降低了向Web服務(wù)器的請求數(shù)從而降低了Web服務(wù)器的負(fù)載。

圖3-2-5 反向代理服務(wù)器位于Internet與組織服務(wù)器之間

4．代理服務(wù)器squid簡介

Squid是一個(gè)緩存Internet數(shù)據(jù)的一個(gè)開源軟件，它會(huì)接收用戶的下載申請，并自動(dòng)處理所下載的數(shù)據(jù)。也就是說，當(dāng)一個(gè)用戶要下載一個(gè)主頁時(shí)，他向squid發(fā)出一個(gè)申請，要求squid替它下載，squid連接申請網(wǎng)站并請求該主頁，然后把該主頁傳給用戶同時(shí)保留一個(gè)備份，當(dāng)別的用戶申請同樣的頁面時(shí)，squid把保存的備份立即傳給用戶，使用戶覺得速度相當(dāng)快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議，暫不能代理POP、NNTP等協(xié)議。但是已經(jīng)有人開始改進(jìn)squid，相信不久的將來，squid將能夠代理這些協(xié)議。

Squid不是對任何數(shù)據(jù)都進(jìn)行緩存。像信用卡賬號(hào)、可以遠(yuǎn)方執(zhí)行的Script、經(jīng)常變換的主頁等是不適合緩存的。Squid可以根據(jù)用戶的需要進(jìn)行設(shè)置，過濾掉不想要的東西。

Squid可用在很多操作系統(tǒng)中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系統(tǒng)中重新編譯過Squid。

Squid對內(nèi)存有一定的要求，一般不應(yīng)小于128M，硬盤最好使用服務(wù)器專用SCSI硬盤。

Squid是一個(gè)高性能的代理緩存服務(wù)器，和一般的代理緩存軟件不同，Squid用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請求。

Squid將數(shù)據(jù)元緩存在內(nèi)存中，同時(shí)也緩存DNS查詢的結(jié)果。此外，它還支持非模塊化的DNS查詢，對失敗的請求進(jìn)行消極緩存。Squid支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），Squid能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。

Squid由一個(gè)主要的服務(wù)程序Squid,一個(gè)DNS查詢程序dnsserver，幾個(gè)重寫請求和執(zhí)行認(rèn)證的程序，以及幾個(gè)管理工具組成。當(dāng)Squid啟動(dòng)以后，它可以派生出預(yù)先指定數(shù)目的dnsserver進(jìn)程，而每一個(gè)dnsserver進(jìn)程都可以執(zhí)行單獨(dú)的DNS查詢，這樣就減少了服務(wù)器等待DNS查詢的時(shí)間。

5．Squid常用配置選項(xiàng)

因?yàn)槿笔〉呐渲梦募荒苁筍quid正常啟動(dòng)服務(wù)，所以我們必須首先修改該配置文件的有關(guān)內(nèi)容,才能讓Squid運(yùn)行起來。

下面是squid.conf文件的結(jié)構(gòu)。squid.conf配置文件的可以分為13個(gè)部分，這13個(gè)部分如下有所示。

雖然Squid的配置文件很龐大，但是如果你只是為一個(gè)中小型網(wǎng)絡(luò)提供代理服務(wù)，并且只準(zhǔn)備使用一臺(tái)服務(wù)器，則只需要修改配置文件中的幾個(gè)選項(xiàng)。

6．Squid常用命令選項(xiàng)（1）端口號(hào)。

http_port指令告訴squid在哪個(gè)端口偵聽HTTP請求。默認(rèn)端口是3128：http_port 3128，如果要squid作為加速器運(yùn)行則應(yīng)將它設(shè)為80。

你能使用附加http_port行來指squid偵聽在多個(gè)端口上。例如，來自某個(gè)部門的瀏覽器發(fā)送請求3128，然而另一個(gè)部門使8080端口?？梢詫蓚€(gè)端口號(hào)列舉出來：

http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運(yùn)行時(shí)，它有兩個(gè)網(wǎng)絡(luò)接口：一個(gè)內(nèi)部的和一個(gè)外部的。你可能不想接受來自外部的http請求。為了使squid僅僅偵聽在內(nèi)部接口上，簡單的將IP地址放在端口號(hào)前面：

http_port 192.168.1.1:3128（2）日志文件路徑。

默認(rèn)的日志目錄是squid安裝位置下的logs目錄，其路徑是/usr/local/squid/var/logs。

你必須確認(rèn)日志文件所存放的磁盤位置空間足夠。squid想確認(rèn)你不會(huì)丟失任何重要的日志信息，特別是你的系統(tǒng)被濫用或者被攻擊時(shí)。

Squid有三個(gè)主要的日志文件：cache.log、access.log和store.log。cache.log文件包含狀態(tài)性的和調(diào)試性的消息。access.log文件包含了對squid發(fā)起的每個(gè)客戶請求的單一行。每行平均約150個(gè)字節(jié)。假如因?yàn)槟承├碛?，你不想squid記錄客戶端請求日志，你能指定日志文件的路徑為/dev/null。store.log文件對大多數(shù)cache管理員來說并非很有用。它包含了進(jìn)入和離開緩存的每個(gè)目標(biāo)的記錄。平均記錄大小典型的是175-200字節(jié)。

如果squid的日志文件增加沒有限制。某些操作系統(tǒng)對單個(gè)文件強(qiáng)制執(zhí)行2G的大小限制，即使你有充足的磁盤空間。超過該限制會(huì)導(dǎo)致寫錯(cuò)誤，squid就會(huì)退出。（3）訪問控制。

squid默認(rèn)的配置文件拒絕每一個(gè)客戶請求。在任何人能使用代理之前，你必須在squid.conf文件里加入附加的訪問控制規(guī)則。最簡單的方法就是定義一個(gè)針對客戶IP地址的ACL和一個(gè)訪問規(guī)則，告訴squid允許來自這些地址的HTTP請求。squid有許多不同的ACL類型。src類型匹配客戶IP地址，squid會(huì)針對客戶HTTP請求檢查http_access規(guī)則。

acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 請將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯squid.conf文件時(shí)，請看如下注釋：

在該注釋之后，以及“http_access deny all”之前插入新規(guī)則。（4）命令選項(xiàng)。

這里的很多選項(xiàng)在實(shí)際應(yīng)用中從不會(huì)使用，另外有些僅僅在調(diào)試問題時(shí)有用。

? 實(shí)驗(yàn)步驟

? Windows 2003防火墻

一．防火墻基礎(chǔ)操作

操作概述：啟用windows2003系統(tǒng)防火墻，設(shè)置規(guī)則阻斷ICMP回顯請求數(shù)據(jù)包，并驗(yàn)證針對UDP連接工具的例外操作。

（1）在啟用防火墻之前，同組主機(jī)通過ping指令互相測試網(wǎng)絡(luò)連通性，確保互相是連通的，若測試未通過請排除故障。

（2）本機(jī)啟用防火墻，并設(shè)置防火墻僅對“本地連接”進(jìn)行保護(hù)。

（3）同組主機(jī)再次通過ping指令互相測試網(wǎng)絡(luò)連通性，確認(rèn)是否相互連通_______。（4）設(shè)置本機(jī)防火墻允許其傳入ICMP回顯請求。（5）第三次測試網(wǎng)絡(luò)連通性。二．防火墻例外操作

操作概述：啟用windows2003系統(tǒng)防火墻，在“例外”選項(xiàng)卡中添加程序“UDPtools” 允許UDPtools間通信，并彈出網(wǎng)絡(luò)連接提示信息。

（1）關(guān)閉防火墻，同組主機(jī)間利用UDPtools進(jìn)行數(shù)據(jù)通信，確保通信成功。

「說明」 UDPtools通信雙方應(yīng)分別為客戶端和服務(wù)端，其默認(rèn)通過2513/UDP端口進(jìn)行通信，可以自定義通信端口，運(yùn)行如圖3-1-1所示。

圖3-1-1 UDP連接工具

（2）本機(jī)啟用防火墻(僅對本地連接)，將本機(jī)作為UDPtools服務(wù)器端，同組主機(jī)以UDPtools客戶端身份進(jìn)行通信，確定客戶端通信請求是否被防火墻阻塞_______。

（3）斷開UDPtools通信，單擊“例外”選項(xiàng)卡，在“程序和服務(wù)”列表框添加程序“UDPtools.exe”（C:JLCSSTOOLSAnalysertoolsUdpTools.exe）并將其選中。再次啟動(dòng)UDPtools并以服務(wù)器身份運(yùn)行，同組主機(jī)仍以客戶端身份與其通信，確定客戶端通信請求是否被防火墻阻塞_______。

三．NAT操作

操作概述：Windows Server 2003“路由和遠(yuǎn)程訪問”服務(wù)包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器上，則使用專用IP地址的內(nèi)部網(wǎng)絡(luò)客戶端可以通過NAT服務(wù)器的外部接口訪問Internet。

圖3-1-2 實(shí)驗(yàn)網(wǎng)絡(luò)連接示意

參看圖3-1-2，當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)PC1發(fā)送要連接Internet主機(jī)PC2的請求時(shí)，NAT協(xié)議驅(qū)動(dòng)程序會(huì)截取該請求，并將其轉(zhuǎn)發(fā)到目標(biāo)Internet主機(jī)。所有請求看上去都像是來自NAT器的外部連接IP地址，這樣就隱藏了內(nèi)部網(wǎng)絡(luò)主機(jī)。

在這里我們將windows Server 2003主機(jī)配置成為“路由和遠(yuǎn)程訪問”NAT服務(wù)器，并模擬搭建Internet網(wǎng)絡(luò)環(huán)境對NAT服務(wù)器進(jìn)行測試。

（1）實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)湟?guī)劃。

按圖3-1-2所示，本實(shí)驗(yàn)需3臺(tái)主機(jī)共同完成，其中一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“內(nèi)網(wǎng)主機(jī)PC1”,一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“外網(wǎng)主機(jī)PC2”,最后一臺(tái)主機(jī)扮演“NAT服務(wù)器”。

默認(rèn)外部網(wǎng)絡(luò)地址202.98.0.0／24；內(nèi)部網(wǎng)絡(luò)地址172.16.0.0／24，也可根據(jù)實(shí)際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。

默認(rèn)主機(jī)“本地連接”為內(nèi)部網(wǎng)絡(luò)接口；“外部連接“為外部網(wǎng)絡(luò)接口，也可指定“本地連接”為外部網(wǎng)絡(luò)接口。

（2）按步驟(1)中規(guī)劃分別為本機(jī)的“本地連接”、“外部連接”配置IP地址。

（3）配置NAT路由服務(wù)。依次單擊“開始”|“程序”|“管理工具”|“路由和遠(yuǎn)程訪問”，在“路由和遠(yuǎn)程訪問”MMC中，選擇要安裝NAT路由協(xié)議的服務(wù)器(這里為本地主機(jī))，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”。

「注」 操作期間若彈出“為主機(jī)名啟用了Windows防火墻/Internet連接共享服務(wù)……”警告信息，請先禁用“Windows防火墻/Internet連接共享”服務(wù)，后重試操作。具體做法：“開始”|“程序”| “管理工具”|“計(jì)算機(jī)管理”|“服務(wù)和應(yīng)用程序”|“服務(wù)”，在右側(cè)服務(wù)列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務(wù)，先將其停止，然后在啟動(dòng)類型中將其禁用。

（4）在“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А敝羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”服務(wù)。

（5）在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡(luò)接口，該網(wǎng)絡(luò)接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應(yīng)選擇“外部連接”。

（6）本實(shí)驗(yàn)中沒有應(yīng)用到DHCP、DNS服務(wù)，所以在“名稱和地址轉(zhuǎn)換服務(wù)”界面中選擇“我將稍后設(shè)置名稱和地址服務(wù)”。至最后完成路由和遠(yuǎn)程訪問配置。

（7）接下來的工作是對各NAT服務(wù)器進(jìn)行測試。下面以主機(jī)ABC為例進(jìn)行測試說明：參照圖3-1-2，設(shè)定主機(jī)A為內(nèi)網(wǎng)主機(jī)PC1，將其內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)的默認(rèn)網(wǎng)關(guān)指向主機(jī)B的內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)；設(shè)定主機(jī)C為外網(wǎng)主機(jī)PC2。內(nèi)網(wǎng)主機(jī)A通過ping指令對外網(wǎng)主機(jī)C做連通性測試。

（8）ICMP會(huì)話分析。在主機(jī)A做連通性測試的同時(shí)，主機(jī)B打開“協(xié)議分析器”并定義過濾器，操作如下：依次單擊菜單項(xiàng)“設(shè)置”|“過濾器”，在“協(xié)議過濾”選項(xiàng)卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”，在彈出的“適配器選擇”界面中選擇“外部連接”，開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格，當(dāng)捕獲到數(shù)據(jù)時(shí)單擊“停止捕獲數(shù)據(jù)包”按鈕，依次展開“會(huì)話分析樹”|“ICMP會(huì)話”，如圖3-1-3所示。

圖3-1-3 在NAT服務(wù)器外部接口上監(jiān)聽到的ICMP會(huì)話

（9）結(jié)合ICMP會(huì)話分析結(jié)果說出ICMP數(shù)據(jù)包的傳輸（路由）過程_________。

? linux防火墻-iptable的應(yīng)用

一．包過濾實(shí)驗(yàn)

操作概述：為了應(yīng)用iptables的包過濾功能，首先我們將filter鏈表的所有鏈規(guī)則清空，并設(shè)置鏈表默認(rèn)策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則，依次允許同組主機(jī)icmp回顯請求、Web請求，最后開放信任接口eth0。iptables操作期間需同組主機(jī)進(jìn)行操作驗(yàn)證。

（1）清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。

（2）確定同組主機(jī)已清空filter鏈表后，利用nmap（/opt/portscan/目錄下）對同組主機(jī)進(jìn)行端口掃描。

nmap端口掃描命令________。

「說明」 nmap具體使用方法可查看實(shí)驗(yàn)6｜練習(xí)1｜TCP端口掃描。查看端口掃描結(jié)果，并填寫下表。

（3）查看INPUT、FORWARD和OUTPUT鏈默認(rèn)策略。iptables命令_________。

? ?（4）將INPUT、FORWARD和OUTPUT鏈默認(rèn)策略均設(shè)置為DROP。iptables命令_________。

確定同組主機(jī)已將默認(rèn)策略設(shè)置為DROP后，本機(jī)再次利用nmap其進(jìn)行端口掃描，查看掃描結(jié)果，并利用ping命令進(jìn)行連通性測試。

（5）利用功能擴(kuò)展命令選項(xiàng)(ICMP)設(shè)置防火墻僅允許ICMP回顯請求及回顯應(yīng)答。ICMP回顯請求類型__________；代碼__________。ICMP回顯應(yīng)答類型__________；代碼__________。iptables命令__________ 利用ping指令測試本機(jī)與同組主機(jī)的連通性。（6）對外開放Web服務(wù)(默認(rèn)端口80/tcp)。iptables命令__________ 利用nmap對同組主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。

（7）設(shè)置防火墻允許來自eth0(假設(shè)eth0為內(nèi)部網(wǎng)絡(luò)接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對同組主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。二．事件審計(jì)實(shí)驗(yàn)

操作概述：利用iptables的日志功能檢測、記錄網(wǎng)絡(luò)端口掃描事件，日志路徑 /var/log/iptables.log。（1）根據(jù)實(shí)驗(yàn)原理(TCP擴(kuò)展)設(shè)計(jì)iptables包過濾規(guī)則，并應(yīng)用日志生成工具ULOG對iptables捕獲的網(wǎng)絡(luò)事件進(jìn)行響應(yīng)。

iptables命令__________（2）同組主機(jī)應(yīng)用端口掃描工具對當(dāng)前主機(jī)進(jìn)行端口掃描，并觀察掃描結(jié)果。（3）在同組主機(jī)端口掃描完成后，當(dāng)前主機(jī)查看iptables日志，對端口掃描事件進(jìn)行審計(jì)，日志內(nèi)容如圖3-2-1所示。

圖3-2-1 iptables日志內(nèi)容

三．狀態(tài)檢測實(shí)驗(yàn)

操作概述：分別對新建和已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測。1．對新建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測（1）清空filter規(guī)則鏈全部內(nèi)容。iptables命令__________（2）設(shè)置全部鏈表默認(rèn)規(guī)則為允許。iptables命令__________（3）設(shè)置規(guī)則禁止任何新建連接通過。iptables命令__________（4）同組主機(jī)對當(dāng)前主機(jī)防火墻規(guī)則進(jìn)行測試，驗(yàn)證規(guī)則正確性。2．對已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測

（1）清空filter規(guī)則鏈全部內(nèi)容，并設(shè)置默認(rèn)規(guī)則為允許。

（2）同組主機(jī)首先telnet遠(yuǎn)程登錄當(dāng)前主機(jī)，當(dāng)出現(xiàn)“l(fā)ogin:”界面時(shí)，暫停登錄操作。telnet登錄命令_________（3）iptables添加新規(guī)則(狀態(tài)檢測)——僅禁止新建網(wǎng)絡(luò)會(huì)話請求。iptables命令___________ 或___________________ 同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功__________。

同組主機(jī)啟動(dòng)Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù)，訪問是否成功__________。解釋上述現(xiàn)象______________________。

（4）刪除步驟（3）中添加的規(guī)則，并插入新規(guī)則(狀態(tài)檢測)——僅禁止已建網(wǎng)絡(luò)會(huì)話請求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實(shí)驗(yàn)步驟(1)(2)(4)。同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令 “guestpass”，登錄是否成功__________。

同組主機(jī)啟動(dòng)Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù)，訪問是否成功__________。解釋上述現(xiàn)象_______________。

（5）當(dāng)前主機(jī)再次清空filter鏈表規(guī)則，并設(shè)置默認(rèn)策略為DROP,添加規(guī)則開放FTP服務(wù)，并允許遠(yuǎn)程用戶上傳文件至FTP服務(wù)器。

iptables命令______________________________________ 四．NAT轉(zhuǎn)換實(shí)驗(yàn)

實(shí)驗(yàn)概述：圖3-2-2描述了NAT轉(zhuǎn)換實(shí)驗(yàn)所應(yīng)用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。內(nèi)網(wǎng)主機(jī)與NAT服務(wù)器eth0接口位于同一網(wǎng)段(內(nèi)網(wǎng))；外網(wǎng)主機(jī)與NAT服務(wù)器eth1接口位于同一網(wǎng)絡(luò)(外網(wǎng))；NAT服務(wù)器提供NAT轉(zhuǎn)換。通過設(shè)置nat服務(wù)器的iptables NAT規(guī)則，實(shí)現(xiàn)內(nèi)、外網(wǎng)主機(jī)間的通信數(shù)據(jù)包的地址轉(zhuǎn)換，達(dá)到屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與轉(zhuǎn)發(fā)外網(wǎng)主機(jī)請求端口的目的。

圖3-2-2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)

「說明」 本實(shí)驗(yàn)是在Linux系統(tǒng)下完成，Linux系統(tǒng)默認(rèn)安裝了2塊以太網(wǎng)卡，網(wǎng)絡(luò)接口分別為eth0和eth1，在設(shè)置NAT服務(wù)前請激活eth1網(wǎng)絡(luò)接口，命令ifconfig eth1 up。

1．確定各接口IP地址

本實(shí)驗(yàn)由ABC、DEF主機(jī)各為一實(shí)驗(yàn)小組。默認(rèn)實(shí)驗(yàn)角色：主機(jī)A為內(nèi)網(wǎng)主機(jī)、B為NAT服務(wù)器、C為外網(wǎng)主機(jī)。也可以自定義實(shí)驗(yàn)角色。

默認(rèn)內(nèi)網(wǎng)IP地址192.168.0.0/

24、外網(wǎng)IP地址202.98.0.0/24。配置完成內(nèi)網(wǎng)主機(jī)eth0接口IP地址及默認(rèn)網(wǎng)關(guān)(指向NAT服務(wù)器內(nèi)網(wǎng)接口)，NAT服務(wù)器eth0和eth1接口IP地址，外網(wǎng)主機(jī)eth0接口IP地址，并完成下列問題的填寫：

內(nèi)網(wǎng)主機(jī)IP____________________，其默認(rèn)網(wǎng)關(guān)____________________； 外網(wǎng)主機(jī)IP____________________；

NAT服務(wù)器內(nèi)網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。

內(nèi)網(wǎng)主機(jī)對NAT服務(wù)器內(nèi)網(wǎng)接口進(jìn)行連通性測試（ping）；外網(wǎng)主機(jī)對NAT服務(wù)器外網(wǎng)接口進(jìn)行連通性測試（ping）。

2．設(shè)置防火墻規(guī)則允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)

操作流程：首先開啟NAT服務(wù)器的路由功能(開啟網(wǎng)絡(luò)接口間數(shù)據(jù)的轉(zhuǎn)發(fā))，清空filter鏈表全部規(guī)則，并設(shè)置其默認(rèn)策略為DROP；繼續(xù)設(shè)置規(guī)則允許來自內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)入外網(wǎng)，并允許任何返回流量回到內(nèi)網(wǎng)；最后規(guī)則實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉(zhuǎn)發(fā)。

（1）NAT服務(wù)器開啟路由功能。

基于安全的考慮，默認(rèn)情況下Linux路由數(shù)據(jù)包的功能是關(guān)閉的，通過下述命令開啟系統(tǒng)路由功能：

（2）設(shè)置filter表規(guī)則鏈，默認(rèn)策略為禁止。iptables命令_______________________（3）添加filter表新規(guī)則，允許來自防火墻的流量進(jìn)入Internet；允許任何相關(guān)的返回流量回到防火墻。

iptables命令_______________________（4）添加filter表新規(guī)則，實(shí)現(xiàn)NAT服務(wù)器內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機(jī)C啟動(dòng)Snort（/opt/ids/snort）以網(wǎng)絡(luò)嗅探方式運(yùn)行(設(shè)置過濾器僅監(jiān)聽icmp數(shù)據(jù)包)，主機(jī)A ping探測主機(jī)C，是否ping通______？

將主機(jī)C的默認(rèn)網(wǎng)關(guān)指向NAT服務(wù)器的外網(wǎng)接口，主機(jī)A再次ping探測主機(jī)C，是否ping通__________？結(jié)合snort捕獲數(shù)據(jù)，對比實(shí)驗(yàn)現(xiàn)象，說明原因：___________________。

3．設(shè)置防火墻規(guī)則通過NAT屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

操作流程：在實(shí)現(xiàn)步驟2的操作基礎(chǔ)上，添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的地址翻譯。（1）NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart（2）重新操作步驟2(⑵～⑶)。

（3）添加nat表新規(guī)則，通過網(wǎng)絡(luò)地址翻譯實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換。iptables命令_______________________（4）添加filter表新規(guī)則，實(shí)現(xiàn)NAT內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1之間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機(jī)C重新將默認(rèn)網(wǎng)關(guān)指為空，重新啟動(dòng)Snort捕獲ICMP數(shù)據(jù)。主機(jī)A對主機(jī)C進(jìn)行ping探測，是否ping通__________？主機(jī)C停止Snort監(jiān)聽，查看已捕獲到ICMP數(shù)據(jù)，其源IP地址是__________？解釋實(shí)驗(yàn)象_____________________________________。

4．設(shè)置防火墻規(guī)則通過NAT實(shí)現(xiàn)外網(wǎng)請求端口轉(zhuǎn)發(fā)

操作流程：在實(shí)現(xiàn)步驟3的操作基礎(chǔ)，添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(端口轉(zhuǎn)發(fā))。（1）NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart（2）重新操作步驟3(⑵～⑷)。

（3）添加nat表新規(guī)則，實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯（80/tcp端口轉(zhuǎn)發(fā)）。iptables命令__________________(4)完成NAT外部接口eth1到內(nèi)部接口eth0之間的數(shù)據(jù)轉(zhuǎn)發(fā) iptables命令__________________（5）確定主機(jī)C默認(rèn)網(wǎng)關(guān)指為空，主機(jī)A和主機(jī)C啟動(dòng)Snort捕獲80/tcp數(shù)據(jù)，主機(jī)C啟動(dòng)Web瀏覽器，在地址欄中輸入：http://202.98.0.150，觀察訪問結(jié)果，回答下列問題：

主機(jī)C訪問是否成功__________？若成功，其訪問的是哪臺(tái)主機(jī)的Web主頁__________（主機(jī)A/主機(jī)B）？

主機(jī)C停止Snort捕獲，觀察80/tcp會(huì)話的源、目的IP地址對__________________。主機(jī)A停止Snort捕獲，觀察80/tcp會(huì)話的源、目的IP地址對__________________。解釋上述實(shí)驗(yàn)現(xiàn)象______________________________________________________。五．應(yīng)用代理實(shí)驗(yàn)

實(shí)驗(yàn)概述：使用iptables+squid方式來實(shí)現(xiàn)傳統(tǒng)代理、透明代理和反向代理。

實(shí)驗(yàn)角色說明如下：

內(nèi)網(wǎng)客戶端僅需啟用“本地連接”，其IP地址形式如下：172.16.X.Y，子網(wǎng)掩碼255.255.255.0,其中X為所屬實(shí)驗(yàn)組編號(hào)（1-32）,Y為主機(jī)編號(hào)（1-6）,例如第4組主機(jī)A的IP地址為172.16.4.4。

代理服務(wù)器需要啟動(dòng)內(nèi)部網(wǎng)絡(luò)接口eth0和外部網(wǎng)絡(luò)接口eth1。內(nèi)部IP地址形式同內(nèi)網(wǎng)客戶端，外部IP地址形式如下：202.98.X.Y，子網(wǎng)掩碼255.255.255.0，其中X為所屬實(shí)驗(yàn)組號(hào)（1-32）,Y為主機(jī)編號(hào)，例如第4組主機(jī)B的內(nèi)部IP地址為172.16.4.2，外部IP地址為202.98.4.2。

外網(wǎng)Web服務(wù)器僅需啟用“本地連接”，其IP地址形式如下：202.98.X.Y，子網(wǎng)掩碼255.255.255.0，其中X為所屬實(shí)驗(yàn)組號(hào)（1-32），Y為主機(jī)編號(hào)（1-6），例如第4組主機(jī)C的IP地址為202.98.4.3。

在進(jìn)行實(shí)驗(yàn)操作前，首先清空防火墻規(guī)則。1．傳統(tǒng)代理

（1）外網(wǎng)Web服務(wù)器手動(dòng)分配IP地址，并確認(rèn)本地Web服務(wù)已啟動(dòng)。

（2）代理服務(wù)器激活網(wǎng)絡(luò)接口eth1，并手動(dòng)分配IP地址，可通過以下兩種方式激活eth1： 通過“桌面”｜“管理”｜“網(wǎng)絡(luò)”激活eth1，并手動(dòng)分配IP地址； 在控制臺(tái)中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 202.98.X.Y/24為eth1分配IP地址。（3）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf。在squid.conf中配置如下選項(xiàng)：

第936行，使用默認(rèn)的端口http_port 3128；

第574行，添加行acl mynet src 主機(jī)A地址域。例如acl mynet src 172.16.1.0/24； 第610行，添加行http_access allow mynet。（4）運(yùn)行代理服務(wù)器

代理服務(wù)器進(jìn)入目錄/usr/local/squid/sbin/，輸入命令：./squid –NCd1啟動(dòng)代理服務(wù)。（5）通過代理訪問Web服務(wù)器

內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過“工具”｜“Internet選項(xiàng)”｜“連接”｜“局域網(wǎng)設(shè)置”選中“為LAN使用代理服務(wù)器”，在“地址”中輸入代理服務(wù)器的內(nèi)網(wǎng)IP，在“端口”中輸入代理服務(wù)器的監(jiān)聽端口號(hào)，單擊“確定”按鈕，完成瀏覽器設(shè)置。

內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄中輸入“http://外網(wǎng)Web服務(wù)器IP地址”，即可訪問到Web頁面。（6）驗(yàn)證代理服務(wù)器的作用

內(nèi)網(wǎng)客戶訪問外網(wǎng)Web服務(wù)，是否可以訪問到頁面__________。

外網(wǎng)Web服務(wù)器關(guān)閉Web服務(wù)，代理服務(wù)器訪問外網(wǎng)Web服務(wù)，是否可以訪問到頁面__________。內(nèi)網(wǎng)客戶端再次訪問外網(wǎng)Web服務(wù)，是否可以訪問到頁面__________，為什么？____________。2．透明代理

（1）外網(wǎng)Web服務(wù)器開啟Web服務(wù)。（2）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項(xiàng)： 第936行，修改為：http_port 主機(jī)B內(nèi)網(wǎng)IP:3128 transparent（3）代理服務(wù)器添加iptables規(guī)則。

對從代理服務(wù)器內(nèi)網(wǎng)接口進(jìn)入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包，做“端口重定向”。將數(shù)據(jù)包重定向到3128端口，規(guī)則如下：

iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）運(yùn)行代理服務(wù)器。

（5）通過代理訪問Web服務(wù)器。

內(nèi)網(wǎng)客戶端將本地連接的“默認(rèn)網(wǎng)關(guān)”設(shè)置為代理服務(wù)器的內(nèi)網(wǎng)IP，即代理服務(wù)器的eth0網(wǎng)絡(luò)接口的IP。內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過“工具”｜“Internet選項(xiàng)”｜“連接”｜“局域網(wǎng)設(shè)置”，取消“為LAN使用代理服務(wù)器”。

內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄輸入“http://外網(wǎng)Web服務(wù)器的IP”，即可訪問到外網(wǎng)Web服務(wù)器的Web頁面。

3．反向代理

（1）內(nèi)網(wǎng)客戶端開啟Web服務(wù)。（2）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項(xiàng)： 第936行，修改為：http_port 主機(jī)B外網(wǎng)地址:80 vhost。

第1499行，添加行：cache_peer 主機(jī)A的IP parent 80 0 no-query originserver。第574行，修改為：acl outside src 主機(jī)C地址域。例如acl outside src 202.98.1.0/24。第610行，修改為：http_access allow outside。（3）停止代理服務(wù)器的Web服務(wù)。

在代理服務(wù)器的終端輸入命令：service httpd stop。（4）刪除緩存文件。

刪除目錄/usr/local/squid/var/cache/00/00下所有文件。（5）運(yùn)行代理服務(wù)器。

（6）外網(wǎng)通過代理訪問內(nèi)網(wǎng)客戶端Web服務(wù)

外網(wǎng)Web服務(wù)器在IE瀏覽器地址欄中輸入“http://代理服務(wù)器外網(wǎng)IP”即可訪問到內(nèi)網(wǎng)客戶端的Web頁面。

第五篇：實(shí)驗(yàn)8 防火墻透明模式配置

實(shí)驗(yàn)八 防火墻透明模式配置

適用于河南中醫(yī)學(xué)院信息技術(shù)學(xué)院網(wǎng)絡(luò)安全實(shí)驗(yàn)室

一、實(shí)驗(yàn)?zāi)康?/p>

1、了解什么是透明模式；

2、了解如何配置防火墻的透明模式；

二、應(yīng)用環(huán)境

透明模式相當(dāng)于防火墻工作于透明網(wǎng)橋模式。防火墻進(jìn)行防范的各個(gè)區(qū)域均位于同 一網(wǎng)段。在實(shí)際應(yīng)用網(wǎng)絡(luò)中，這是對網(wǎng)絡(luò)變動(dòng)最少的介入方法，廣泛用于大量原有網(wǎng)絡(luò)的 安全升級中。

三、實(shí)驗(yàn)設(shè)備

(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)3臺(tái)

四、實(shí)驗(yàn)拓?fù)?/p>

五、實(shí)驗(yàn)步驟

第一步：搭建WebUI配置環(huán)境

除使用 CLI 進(jìn)行配置以外，神州數(shù)碼安全網(wǎng)關(guān)還提供WebUI 界面，使用戶能夠更簡便與直觀地對設(shè)備進(jìn)行管理與配置。安全網(wǎng)關(guān)的 ethernet0/0 接口配有默認(rèn)IP 地址192.168.1.1/24，并且該接口的各種管理功能均為開啟狀態(tài)。初次使用安全網(wǎng)關(guān)時(shí)，用戶可以通過該接口訪問安全網(wǎng)關(guān)的WebUI 頁面。請按照以下步驟搭建WebUI 配置環(huán)境：

1.將管理 PC 的IP 地址設(shè)置為與192.168.1.1/24 同網(wǎng)段的IP 地址，并且用網(wǎng)線將管理PC與安全網(wǎng)關(guān)的ethernet0/0 接口進(jìn)行連接。

2.在管理 PC 的Web 瀏覽器中訪問地址http://192.168.1.1 并按回車鍵。出現(xiàn)登錄頁面如下圖所示：

3.輸入管理員的名稱和密碼。DCFW-1800系列安全網(wǎng)關(guān)提供的默認(rèn)管理員名稱和密碼均為“admin”。

4.從<語言>下拉菜單選擇Web頁面語言環(huán)境，<中文>或。

5.點(diǎn)擊『登錄』按鈕進(jìn)入安全網(wǎng)關(guān)的主頁。DCFW-1800系列安全網(wǎng)關(guān)的主頁如圖

第二步：接口配置

1.將eth0/1接口加入二層安全域l2-trust。

2.將eth0/2接口設(shè)置成二層安全域l2-untrust。如下圖所示

配置好以后如下圖所示

第三步：添加對象

定義地址對象

定義網(wǎng)段A(172.16.2.11 – 172.16.2.12)定義網(wǎng)段B(1172.16.2.13 – 172.16.2.14)如下圖所示

添加第一個(gè)網(wǎng)段，如下圖

添加第二個(gè)網(wǎng)段，如下圖

自定義規(guī)則，如下圖所示

自定義添加的規(guī)則，點(diǎn)擊確定后即可使用。

要求允許網(wǎng)段A能夠 ping 網(wǎng)段B及訪問網(wǎng)段B的WEB服務(wù)，在這里我們將ping和http服務(wù)建立一個(gè)服務(wù)組

第四步：配置安全策略

在“防火墻”->“策略”中選擇“新建”，選擇規(guī)則

選擇規(guī)則如下圖所示，點(diǎn)擊確定按鍵即可

補(bǔ)充1：防火墻的重置，將防火墻恢復(fù)到出廠的方法有三種：

1、用戶除使用設(shè)備上的CRL按鍵使系統(tǒng)恢復(fù)到出廠配置

2、可以使用命令恢復(fù)?；謴?fù)出廠配置，在執(zhí)行模式下，使用以下命令：unset all

3、WebUI：訪問頁面“系統(tǒng)→維護(hù)→配置→管理”。點(diǎn)擊『重置』

思考與問題：

1，防火墻上如果處于透明模式的兩個(gè)接口都放到同一個(gè)二層安全域中，比如說將上述實(shí)驗(yàn)中的eth0/1口和eth0/2口都設(shè)置成l2-trust安全域。那是否還需要設(shè)置安全策略，如果需要的話那如何設(shè)置？

答：還需要設(shè)置安全策略，如果不設(shè)置，則兩者都不能ping通。若設(shè)置，則需要將eth0/1設(shè)置成源地址，eth0/2設(shè)置成目標(biāo)地址，就可以實(shí)現(xiàn)eth0/1 ping通 eth0/2,而 eth0/2 ping 不通 eth0/1

2、關(guān)于行為，第一次備課做時(shí)候，缺省行為竟然對結(jié)果沒有影響，即不管行為時(shí)允許還是拒絕，都能實(shí)現(xiàn)我們的目標(biāo)；第二次實(shí)驗(yàn)課，學(xué)生練習(xí)發(fā)現(xiàn)，若是將最后的安全策略中的行為設(shè)為拒絕，則兩者將都不能ping通。待解決。

3、第2次實(shí)驗(yàn)課發(fā)現(xiàn)，無論是將eth0/1口和eth0/2口都設(shè)置成12-trust安全域，還是一個(gè)設(shè)為12-trust一個(gè)設(shè)為12-untrust，都能實(shí)現(xiàn)源地址能ping通目標(biāo)地址而目標(biāo)地址ping不通源地址。待解決。。