实训指导3.2-1软件防火墙配置保护主机与内部网络RouterOS讲解

网络安全学习情境3：实训任务3.2软件防火墙配置保护主机与内部网络RouterOS内容介绍

任务场景1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景任务相关工具软件介绍防火墙系统软硬件实现的三种方式：（1）基于通用操作系统和通用硬件的防火墙通用操作系统如Windows、linux；通用硬件如X86计算机等。这类防火墙优点是配置操作易于理解，实现起来不需要新的硬件投入，如ISA、IPTables、瑞星和天网等防火墙；缺点是由于通用操作系统所开启服务的复杂性，使其容易存在更多的安全漏洞，整体实现安全策略需要更为专业化的配置，这类防火墙的功能与千差万别。（2）基于专用操作系统和通用硬件的防火墙专用操作系统是专门用于防火墙功能而设计的操作系统，或经过对通用操作系统进行剪裁之后的服务最小化系统，如RouterOS、SmoothWall等；通用硬件如X86计算机等。这类防火墙优点操作系统是专用的，开放的服务是最小化的，实现起来不需要新的硬件投入；缺点是配置与管理相对复杂，系统性能适合于中小企业网络应用。（3）基于专用操作系统和专用硬件的防火墙专用操作系统是专门用于防火墙功能而设计的操作系统，或经过对通用操作系统进行剪裁之后的服务最小化系统，如很多硬件防火墙的系统是专用的操作系统；专用硬件是指不同厂商的防火墙硬件是不同的，彼此间操作系统也是不能通用的。这类防火墙优点操作系统与硬件者是专用的，互相配合能发挥更高的性能，是目前国内大中企业网络中所普遍应用的方式；缺点是配置与管理相对复杂，经济投入比较大。但目前硬件防火墙多采用WEB配置方式，使用配置与管理相对简单了很多。任务相关工具软件介绍MikroTikRouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件RouterOS软路由图的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。RouterOS在具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备的接入，Mikrotik厂家提供带有RouterOS的硬件路由器，同时支持标准的x86构架PC。一台586PC机就可以实现路由功能，提高硬件性能同样也能提高网络的访问速度和吞吐量。完全是一套低成本，高性能的路由器系统。任务设计、规划任务实施及方法技巧MikrotikRouterOS安装刻录好相应版本的RouterOS安装光碟;机器硬盘设置为IDE0,即第一个IDE通道的主盘;BIOS中设置光盘引导系统,自动进入到如下安装界面:RouterOS常见安装包说明System:主要是包的基本服务和驱动程序;Ppp:提供PPP,PPTP,L2TP,PPPoE和ISDNPPPDhcp:DHCP客户端和服务器advanced-tools:邮件客户端,pingers,netwatch和其他的工具Gps:支持GPS装置Hotspot:允许给无线客户或非安全客户提供公共网络访问Routerboard:支持路由主板的一些函数和工具Routing:支持RIP,OSPF和BGP4协议Security:支持IPSEC,SSH和安全的WinBox连接user-manager:用户管理服务web-proxy:HTTPweb代理支持Wireless:提供支持Cisco的Aironet卡，prismii和Atheros的无线站和接入点安装步骤:使用方向键和空格键选择需要的模组功能,按空格键进行选定,按“a”键全部选择,“m”键选择最小选择.按“i”键确定安装；接着询问：Doyouwanttokeepoldconfiguraton?（你需要保留旧的结构）选择“n”，Coutinue？选择“y”；然后开始自动的格式化磁盘、安装核心、安装模组，最后提示：PressENTERtoReboot，按回车重新启动机器。

MikrotikRouterOS安装RouterOS基本设置重新启动后开始登陆。初始用户名admin，初始密码为空。

一个基本的单线路由配置过程如下：第一步：查看网卡信息第二步：配置IP地址；第三步：配置网关地址，检查是否到外网默认网关正常；第四步：配置当地DNS地址；第五步：配置NAT伪装，实现共享上网。第一步：查看网卡信息

进入菜单：interface

[admin@MikroTik]/interface>print

Flags:D-dynamic,X-disabled,R-running,S-slave

#

NAME

TYPE

MTU

L2MTU

0

R

ether1

ether

1500

1

R

ether2

ether

1500

从print命令显示的信息来看，两张网卡都已被ROS正常识别出来，如果显示的“X”，则表明网卡是禁用状态,如网卡ether1前面显示“X”，则可以使用enableether1命令启用.如:RouterOS基本设置[admin@MikroTik]/interface>print

Flags:D-dynamic,X-disabled,R-running,S-slave

#

NAME

TYPE

MTU

L2MTU

0

X

ether1

ether

1500

1

R

ether2

ether

1500

网卡“ether1”处于禁用状态,可通过enableether1命令启用

[admin@MikroTik]/interface>enableether1

RouterOS基本设置设定“ether1”为外网网卡命名为wan，“ether2”为内网网卡命名lan

[admin@MikroTik]/interface>setether1name=wan

[admin@MikroTik]/interface>setether2name=lan

[admin@MikroTik]/interface>print

Flags:D-dynamic,X-disabled,R-running,S-slave

#

NAME

TYPE

MTU

L2MTU

0

R

wan

ether

1500

1

R

lan

ether

1500

RouterOS基本设置第二步：配置IP地址

如果是具备固定外网IP地址时：

假定外网IP地址为/28，网关是，内网为/24

接上面：

[admin@MikroTik]/interface>/ipaddress[admin@MikroTik]/ipaddress>addaddress=/28interface=wan

[admin@MikroTik]/ipaddress>addaddress=/24interface=lan

[admin@MikroTik]/ipaddress>print

Flags:X-disabled,I-invalid,D-dynamic

#

ADDRESS

NETWORK

BROADCAST

INTERFACE

0

/28

5

wan

1

/24

55

lan

RouterOS基本设置第三步：配置网关1）固定IP：

[admin@MikroTik]/ipaddress>/iproute

[admin@MikroTik]/iproute>addgateway=

[admin@MikroTik]/iproute>print

Flags:X-disabled,A-active,D-dynamic,

C-connect,S-static,r-rip,b-bgp,o-ospf,m-mme,

B-blackhole,U-unreachable,P–prohibit

#

DST-ADDRESS

PREF-SRC

GGATEWAY

DISTANCEIN..

0AS

/0

r

1

wan

1ADC

/28

0

wan

2ADC

/24

0

lan2）如果是ADSL，不需要配置，因为在上面配置IP地址是，选择参数：add-default-route=yesRouterOS基本设置第四步：配置DNS[admin@MikroTik]/iproute>/ipdns[admin@MikroTik]/ipdns>setprimary-dns=secondary-dns=allow-remote-requests=yes[admin@MikroTik]/ipdns>print

primary-dns:

secondary-dns:

allow-remote-requests:yes

max-udp-packet-size:512

cache-size:2048KiB

cache-max-ttl:1w

cache-used:5KiB参数allow-remote-requests=yes，意思是本地路由启用DNS功能，即：在内网机器上，配置DNS时可以直接使用网关地址作DNS服务器

RouterOS基本设置第五步：IP伪装，共享上网（NAT）[admin@MikroTik]/ipdns>/ipfirewallnat[admin@MikroTik]/ipfirewallnat>addchain=srcnataction=masquerade[admin@MikroTik]/ipfirewallnat>print

Flags:X-disabled,I-invalid,D-dynamic

0

chain=srcnataction=masquerade以上五步即可完成利用ROS实现内网多台机器共享上网的功能。上面的全部操作都可以通过winbox中的“newterminal”直接进行粘贴操作使用，也可以完全通过winbox中的相关功能模块操作来实现。RouterOS基本设置Winbox基本操作Winbox中一些基本名词解释：src-address：源地址（发送数据的ip地址）dst-address：目标地址（接收数据的ip地址）Input：进入路由器，是指发往routeros自己的数据（也就是目的ip是routeros接口中的一个ip地址）output:从路由器出发，是指从routeros发出去的数据（也就是数据包源ip是routeros接口中的一个ip地址）forward:经路由转发中是指通过routeros转发的（比如你内部计算机访问外部网络，数据需要通过你的routeros，进行转发出去

Srcnat与dstnat：srcnat（源地址转换）用的最多就是共享上网功能；dstnat（目标地址转换）意思就是针对内网有对外公布的服务器，就是常用的端口地址映射。in-interface:进入的网卡;out-interface:出去的网卡Rx与Tx:RX(receive)接收,TX(transmit)传送,在RouterOS中,我们查看WAN网卡的流量时RX为下行流量、TX为上行流量、查看LAN网卡的流量时，RX为上行流量、TX为下行流量；以ROS为中心，WAN网卡接收的流量，即从ISP进来的流量，则为下行以ROS为中心，LAN网卡接收的流量，即从工作站进来的流量，则为上行。TX同理。Winbox控制台使用TCP/8291端口，在登陆到路由器后可以通过Winbox控制台操作MikroTik路由器的配置并执行与本地控制台同样的任务。Winbox基本操作Winbox常用管理:Winbox基本操作单线配置实例:例如下面的拓扑结构，你需要通过RouterOS完成以下的网络配置：Winbox基本操作在当前的事例中我们使用到两个网络（外网和内网）：•内网使用地址为：

子网淹码24-bit（）。路由器的地址在这个网络中为54•ISP的网络为

子网淹码24-bit（）。路由器的地址是在网络中为17•外网DNS为9，6我们的步骤一共分为五步:首先：启动设备后，检查接口状态，并定义网口名称（命令界面）第二：将LAN口IP地址配置好（命令界面）第三：启动WinBOX，连接ROS（以下操作均在图形界面完成）第三：进入QuickSet界面配置Wan口IP地址、网关、DNS等出口信息第四：配置DHCP、PAT等参数，确保内网主机可访问Internet第五：配置端口映射、防火墙等参数Winbox基本操作QuickSet快速向导配置界面Winbox基本操作

端口映射

这里我们需要将内网的http服务器发布到外网，内网的http服务器IP地8这里需要做端口映射规则，进入ipfirewallnat里，选择chain=dstnat，我们的外网IP地址是17配置到dst-address，dst-port为tcp协议80端口，如下图:Winbox基本操作在action选择dst-nat操作，to-address设置内网http服务器IP地址，和端口