状态检测实验

1、For pers onal use on ly in study and research; notforcommercial use 羆实验题目肄状态检测实验艿小组合作蕿否肇一、实验目的膂定制基于状态检测规则羃验证规则配置前后通信状态芀二.实验环境袅图3.1.2-1实验环境拓扑图薅实验环境拓扑图如图3.1.2-1所示，其中：莂防火墙IP地址：内网IP地址：172.20.2.X/16连接防火墙实验显示的内网IP肀外部IP地址：172.21.2.X/16 连接防火墙实验显示的外网IP羆客户端IP地址：172.20通过察看本地网络属性获得蚃Windows实验台的IP地址：172.21.3.Y，确保

2、相互之间不会冲突。螂网关为防火墙外网IP地址：1172.21.2.X薇本实验的防火墙的默认规则都是允许。羈三、实验内容与步骤二、羅连接防火墙芁进入状态检测实验实验实施的界面，点击“连接”，连接防火墙。三、四、芇添加静态路由螅启动 Windows实验台。膄打开本地主机 cmd 命令行，输入 ，添加 路由。五、六、蚀验证网络连通性羇本地cmd窗口中输入（实验台第二块网卡IP），进行网络连通性测试， 如图。袇FTP访问（通过IE访问）结果如图所示，可正常访问。七、八、节规则添加肀可选择状态包括： NEW（新建连接卜ESTABLISHED（已建立的连接）、RELATED（与某已 建立连接相关的连接 卜

3、INVALID（非法连接）。选择规则类型包括：REJECT和ACCEPT，决 定是否允许数据包通过。螈针对FTP服务，添加如图所示的规则。袈本次实验主要以 FTP的被动（Passive）连接模式为例，因为IE来访问FTP选择为被动, 如若对主动模式进行测试，或选用其它客户端，如CuteFTP，留为课后自行完成实验。九、十、薄实验结果测试葿使用FTP服务，连接失败。蒈尝试当已经连接 FTP服务器后，再添加如图所示的规则，ftp服务是否会中断。蚅四、实验过程与分析十二、蚃连接防火墙膃进入状态检测实验实验实施的界面，点击“连接”，连接防火墙。十三、十四、芈添加静态路由螇启动 Windows实验台。肅

4、打开本地主机 cmd 命令行，输入 ，添加 路由，如图所示。蚂图添加静态路由十五、十六、罿验证网络连通性薄本地cmd窗口中输入（实验台第二块网卡IP），进行网络连通性测试,如图所示。膄图连通性测试肁FTP访问（通过IE访问）结果如图所示，可正常访问。蝿图 十七、十八、薅规则添加节可选择状态包括：NEW（新建连接卜ESTABLISHED（已建立的连接）、RELATED（与某已建立连接相关的连接 卜INVALID（非法连接）。选择规则类型包括：REJECT和ACCEPT，决 定是否允许数据包通过。蒁针对FTP服务，添加如图所示的规则。蒀图防火墙规则蚇本次实验主要以 FTP的被动（Passive）连

5、接模式为例，因为IE来访问FTP选择为被动， 如若对主动模式进行测试，或选用其它客户端，如CuteFTP，留为课后自行完成实验。十九、二十、蚄实验结果测试使用FTP服务，连接失败。尝试当已经连接FTP服务器后，再添加如图所示的规则，ftp服务是否会中断。五、实验总结状态检测技术是包过滤技术的延伸，被称为动态包过滤。 传统的包过滤防火墙只是通过检测IP包包头的相关信息来决定数据通过还是拒绝。而状态检测技术采用的是一种基于连 接的状态检测机制，将属于同一连接的所有包做为一个整体的数据流看待，构成连接状态表（State Table），通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。例

6、如，对于一个外发的HTTP请求，当数据包到达防火墙时， 防火墙会检测到这是一个 发起连接的初始数据包（有SYN位），它就会把这个数据包中的信息与防火墙规则作比较， 即采用包过滤技术。 如果没有相应规则允许，防火墙就会拒绝这次连接；如果有对应规则允许访问外部 WEB服务，就接受数据包外出并且在状态表中新建一条会话，通常这条会话会 包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息。对于TCP连接，它还应该会包含序列号和标志位等信息。当后续数据包到达时，如果这个数据包不含SYN标志，也就是说这个数据包不是发起一个新的连接时，状态检测引擎就会直接把它的信息与状态表中的会话条目进行比较，如

7、果信息匹配，就直接允许数据包通过，这样不再去接受规则的检查，提高了效率，如果信息不匹配，数据包就会被丢弃或连接被拒绝，并且每个会话 还有一个超时值，过了这个时间，相应会话条目就会被从状态表中删除掉。对UDP同样有效，虽然UDP不是像TCP那样有连接的协议，但状态检测防火墙会为它创建虚拟的连接。对己经建立连接的数据包不再进行规则检查，因而过滤速度非常快。另一方面，信息包并从中截取信息包。由于数据链路层是网卡所以状态检测防火墙保证了对所有通过网络IP地址、端口号和数据内容等，安全性在低层处理，并对非法包进行拦截， 因而协议的任何上层不用再进行处理， 从而提高了执行 效率。状态检测工作在数据链路层和

8、网络层之间， 工作的真正位置，网络层也是协议栈的第一层， 的原始信息包截取和检查，从中提取有用信息，如 得到了很大提高。状态检测技术支持对多种协议的分析和检测。不仅支持基于TCP的应用，而且支持基于无连接协议的应用，例如远程过程调用RPC、基于UDP的应用（如 DNS、WAIS、Archie）等。系统管理员配置访问规则时需要考虑的内容相对简单，出错率降低。状态检测实验中，一共有四种状态，分别被称为NEW、ESTABLISHED 'INVALID、RELATED，这四种状态对于 TCP、UDP、ICMP三种协议均有效。下面，我们来分别阐述 四种状态的特性。NEW : NEW说明这个包是我

9、们看到的第一个包。意思就是，这是看到的某个连接的第 一个包，它即将被匹配了。比如，我们看到一个SYN包，是我们所留意的连接的第一个包， 就要匹配它。ESTABLISHED : ESTABLISHED已经注意到两个方向上的数据传输，而且会继续匹配这个连接的包。处于 ESTABLISHED状态的连接是非常容易理解的。只要发送并接到应答， 连接就是ESTABLISHED 的了。一个连接要从 NEW变为ESTABLISHED ,只需要接到应答 包即可，不管这个包是发往防火墙的，还是要由防火墙转发的。ICMP的错误和重定向等信息包也被看作是 ESTABLISHED，只要它们是我们所发出的信息的应答。RE

10、LATED : RELATED是个比较复杂的状态。当一个连接和某个已处于 ESTABLISHED 状态的连接有关系时，就被认为是RELATED的了。换句话说，一个连接要想是RELATED的，首先要有一个 ESTABLISHED 的连接。这个 ESTABLISHED 连接再产生一个主连接之 外的连接，这个新的连接就是RELATED的了。有了这个状态，ICMP应答、FTP传输、DCC等才能穿过防火墙正常工作。比如FTP协议，用户命令是通过对 21端口的连接传输，而数据则通过另一个临时建立的连接（缺省的源端口是20，在PASSIVE模式下则是临时分配 的端口）传输。对于这样的应用，包过滤防火墙很难简

11、单设定一条安全规则，往往不得不开 放所有源端口为20的访问。INVALID : INVALID 说明数据包不能被识别属于哪个连接或没有任何状态。有几个原 因可以产生这种情况，比如，内存溢出，收到不知属于哪个连接的ICMP错误信息。一般地,我们拒绝这个状态的任何东西。仅供个人用于学习、研究；不得用于商业用途For personal use only in study and research; not for commercial use.Nur f u r den pers?nlichen fu r Studien, Forschung, zu kommerziellen Zwecken verwendet werden.Pour l ' e tude et recherche uniquement a des fins personnelles; pasa des fins commerc