实验四-网上安全技术-防火墙

淮海工学院计算机工程学院实验报告书课程名：《网络安全技术》题目：防火墙班级：学号：姓名：评语：评语：成绩：指导教师：批阅时间：年月日【实验目的】●理解iptables工作机理●熟练掌握iptables包过滤命令及规则●学会利用iptables对网络事件进行审计●熟练掌握iptablesNAT工作原理及实现流程●学会利用iptables+squid实现Web应用代理【实验人数】每组2人合作方：韩云霄2012122618【系统环境】Linux【网络环境】交换网络结构【实验工具】iptablesNmapUlogd【实验步骤】一、iptables包过滤本任务主机A、B为一组，C、D为一组，E、F为一组。首先使用“快照X”恢复Linux系统环境。操作概述：为了应用iptables的包过滤功能，首先我们将filter链表的所有链规则清空，并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则，依次允许同组主机icmp回显请求、Web请求，最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。（2）同组主机点击工具栏中“控制台”按钮，使用nmap工具对当前主机进行端口扫描。nmap端口扫描命令nmap-sS-T5同组主机IP。「说明」nmap具体使用方法可查看实验1｜练习一｜实验原理。查看端口扫描结果，并填写表9-2-1。（7）设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。iptables命令 iptables-AINPUT-ieth0-jACCEPTiptables-AOUTPUT-oeth0-jACCEPT同组主机利用nmap对当前主机进行端口扫描，查看扫描结果。一．事件审计实验操作概述：利用iptables的日志功能检测、记录网络端口扫描事件，日志路径/var/log/iptables.log。（1）清空filter表所有规则链规则。iptables命令（2）根据实验原理(TCP扩展)设计iptables包过滤规则，并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。iptables命令（3）同组主机应用端口扫描工具对当前主机进行端口扫描，并观察扫描结果。（4）在同组主机端口扫描完成后，当前主机查看iptables日志，对端口扫描事件进行审计，日志内容如图所示。二．状态检测实验操作概述：分别对新建和已建的网络会话进行状态检测。1．对新建的网络会话进行状态检测（1）清空filter规则链全部内容。iptables命令（2）设置全部链表默认规则为允许。iptables命令（3）设置规则禁止任何新建连接通过。iptables命令（4）同组主机对当前主机防火墙规则进行测试，验证规则正确性。2．对已建的网络会话进行状态检测（1）清空filter规则链全部内容，并设置默认规则为允许。（2）同组主机首先telnet远程登录当前主机，当出现“login:”界面时，暂停登录操作。telnet登录命令（3）iptables添加新规则（状态检测）——仅禁止新建网络会话请求。iptables命令或 同组主机续步骤（2）继续执行登录操作，尝试输入登录用户名“guest”及口令“guestpass”，登录是否成功？。同组主机启动Web浏览器访问当前主机Web服务，访问是否成功？。解释上述现象。（4）删除步骤（3）中添加的规则。iptables命令或（5）同组主机重新telnet远程登录当前主机，当出现“login:”界面时，暂停登录操作。（6）iptables添加新规则（状态检测）——仅禁止已建网络会话请求。iptables命令或同组主机续步骤（5）继续执行登录操作，登录是否成功？。同组主机启动Web浏览器访问当前主机Web服务，访问是否成功？。解释上述现象。（7）当前主机再次清空filter链表规则，并设置默认策略为DROP,添加规则开放FTP服务，并允许远程用户上传文件至FTP服务器。iptables命令iptables-AINPUT-ptcp--dport21-jACCEPTiptables-AINPUT-mstate--stateESTABLISHED,RELATED–jACCEPT iptables-AOUTPUT-ptcp--sport21-jACCEP