实验四网上安全技术防火墙.docVIP

淮海工学院 计算机工程学院 实验报告书 课程名：《 网络安全技术 》 题 目： 防火墙 班 级： 学 号： 姓 名： 【实验目的】 ● 理解iptables工作机理 ● 熟练掌握iptables包过滤命令及规则 ● 学会利用iptables对网络事件进行审计 ● 熟练掌握iptables NAT工作原理及实现流程 ● 学会利用iptables+squid实现Web应用代理 【实验人数】 每组2人 合作方：韩云霄 2012122618 【系统环境】 Linux 【网络环境】 交换网络结构 【实验工具】 iptables Nmap Ulogd 【实验步骤】 一、 iptables包过滤 本任务主机A、B为一组，C、D为一组，E、F为一组。 首先使用“快照X”恢复Linux系统环境。 操作概述：为了应用iptables的包过滤功能，首先我们将filter链表的所有链规则清空，并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则，依次允许同组主机icmp回显请求、Web请求，最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。 （2）同组主机点击工具栏中“控制台”按钮，使用nmap工具对当前主机进行端口扫描。 nmap端口扫描命令 nmap -sS -T5 同组主机IP。 「说明」 nmap具体使用方法可查看实验1｜练习一｜实验原理。 查看端口扫描结果，并填写表9-2-1。 表9-2-1 开放端口（tcp） （4）将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。 iptables命令 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 同组主机利用nmap对当前主机进行端口扫描，查看扫描结果，并利用ping命令进行连通性测试。 （5）利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。 ICMP回显请求类型 8 ；代码 0 。 ICMP回显应答类型 0 ；代码 0 。 iptables命令 iptables -I INPUT -p icmp --icmp-type 8/0 -j ACCEPT iptables -I OUTPUT -p icmp --icmp-type 0/0 -j ACCEPT 利用ping指令测试本机与同组主机的连通性。 （6）对外开放Web服务(默认端口80/tcp)。 iptables命令 iptables -I INPUT -p tcp --dport 80 -j ACCEPT iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT 同组主机利用nmap对当前主机进行端口扫描，查看扫描结果。 （7）设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。 iptables命令 iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT 同组主机利用nmap对当前主机进行端口扫描，查看扫描结果。 一．事件审计实验 操作概述：利用iptables的日志功能检测、记录网络端口扫描事件，日志路径 /var/log/iptables.log。 （1）清空filter表所有规则链规则。 iptables命令 （2）根据实验原理(TCP扩展)设计iptables包过滤规则，并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。 iptables命令