实验四-网上安全技术-防火墙.doc

淮海工学院计算机工程学院实验报告书课程名:《网络安全技术》题目:防火墙班级:学号:姓名:评语:成绩:指导教师:批阅时间:年月日【实验目的】●理解iptables工作机理●熟练掌握iptables包过滤命令及规则●学会利用iptables对网络事件进行审计●熟练掌握iptablesNAT工作原理及实现流程●学会利用iptables+squid实现Web应用代理【实验人数】每组2人合作方:韩云霄2012122618【系统环境】Linux【网络环境】交换网络结构【实验工具】iptablesNmapUlogd【实验步骤】一、iptables包过滤本任务主机A、B为一组,C、D为一组,E、F为一组。首先使用“快照X”恢复Linux系统环境。操作概述:为了应用iptables的包过滤功能,首先我们将filter链表的所有链规则清空,并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则,依次允许同组主机icmp回显请求、Web请求,最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。(2)同组主机点击工具栏中“控制台”按钮,使用nmap工具对当前主机进行端口扫描。nmap端口扫描命令nmap-sS-T5同组主机IP。「说明」nmap具体使用方法可查看实验1|练****一|实验原理。查看端口扫描结果,并填写表9-2-1。表9-2-1开放端口(tcp)80http111rpcbind443https(3)查看INPUT、FORWARD和OUTPUT链默认策略。iptables命令iptables-tfilter-L。(4)将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。iptables命令iptables-PINPUTDROP iptables-PFORWARDDROPiptables-POUTPUTDROP同组主机利用nmap对当前主机进行端口扫描,查看扫描结果,并利用ping命令进行连通性测试。(5)利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。ICMP回显请求类型8;代码0。ICMP回显应答类型0;代码0。iptables命令 iptables-IINPUT-picmp--icmp-type8/0-EPT iptables-IOUTPUT-picmp--icmp-type0/0-EPT利用ping指令测试本机与同组主机的连通性。(6)对外开放Web服务(默认端口80/tcp)。iptables命令 iptables-IINPUT-ptcp--dport80-EPTiptables-IOUTPUT-ptcp--sport80-EPT同组主机利用nmap对当前主机进行端口扫描,查看扫描结果。(7)设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。iptables命令 iptables-AINPUT-ieth0-EPTiptables-AOUTPUT-oeth0-EPT同组主机利用nmap对当前主机进行端口扫描,查看扫描结果。:利用iptables的日志功能检测、记录网络端口扫描事件,日志路径/var/log/。(1)清空filter表所有规则链规则。iptables命令(2)根据实验原理(TCP扩展)设计iptables包过滤规则,并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。iptables命令(3)同组主机应用端口扫描工具对当前主机进行端口扫描,并观察扫描结果。(4)在同组主机端口扫描完成后,当前主机查看iptables日志,对端口扫描事件进行审计,日志内容如图所示。:分别对新建和已建的网络会话进行状态检测。(1)清空filter规则链全部内容。iptables命令(2)设置全部链表默认规则为允许。iptables命令(3)设置规则禁止任何新建连接通过。iptables命令(4)同组主机对当前主机防火墙规则进行测试,验证规则正确性。(1)清空filter规则链全部内容,并设置默认规则为允许。(2)远程登录当前主机,当出现“login:”界面时,暂停登录操作。登录命令(3)iptables添加新规则(状态检测)——仅禁止新建网络会话请求。iptables命令或 同组主机续步骤(2)继续执行登录操作,尝试输入登录用户名“guest”及口令“guestpass”,登录是否成功?。同组主机启动Web浏览器访问当前主机Web服务,访问是否成功?。解释上述现象。(4)删除步骤(3)中添加的规则。iptables命令或(5)远程登录当前主机,当出现“login:”界面时,暂停登录操作。(6)