返回
信息安全综合实验

信息安全综合实验

ID:26996194

大小:329.82 KB

页数:22页

时间:2018-11-30

信息安全综合实验_第1页
信息安全综合实验_第2页
信息安全综合实验_第3页
信息安全综合实验_第4页
信息安全综合实验_第5页
资源描述:

《信息安全综合实验》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全综合实验张焕杰中国科学技术大学网络信息中心james@ustc.edu.cnhttp://202.38.64.40/~james/nmsTel:3601897(O)1第一章防火墙原理及其基本配置课程目的学习包过滤防火墙基本原理简单理解Linuxkernel2.4.*中的netfilter/iptables框架熟悉iptables配置21.1包过滤防火墙原理包过滤型根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。外在表现:路由型、透明网桥型、混合型

2、优点:性能高,对应用透明,使用方便缺点:安全控制粒度不够细3包过滤防火墙规则条件动作序列条件源地址、目的地址、协议、端口、协议内部数据、时间、物理接口动作ACCEPT允许DROP直接丢弃REJECTtcp-reset/icmp-port-unreachableLOG日志4包过滤防火墙有先后关系数据包的处理接收到数据包逐条对比规则如果满足条件,则进行相应的动作,如果动作不是ACCEPT/DROP/REJECT,继续处理后面的规则51.2LinuxKernel中的包过滤防火墙Ipfw/ipfwadm2.0

3、.*中使用移植于BSD的ipfw缺点:包过滤、NAT等代码混杂在整个网络相关代码中Ipchains2.2.*中使用Netfilter/iptables2.4.*http://www.netfilter.org/模块化6Netfilter/iptablesNetfilter是Linuxkernel中对数据包进行处理的框架定义了5个HOOK位置NF_IP_PRE_ROUTINGNF_IP_LOCAL_INNF_IP_FORWARDNF_IP_POST_ROUTINGNF_IP_LOCAL_OUT75个HO

4、OK位置8netfilter结果NF_ACCEPT:continuetraversalasnormal.NF_DROP:dropthepacket;don'tcontinuetraversal.NF_STOLEN:I'vetakenoverthepacket;don'tcontinuetraversal.NF_QUEUE:queuethepacket(usuallyforuserspacehandling).NF_REPEAT:callthishookagain.9NetfilterIptables是

5、netfilter上的应用程序natmanglefilter10Netfilter/iptables可以实现完整的基于连接跟踪的包过滤防火墙支持包过滤,双向地址转换一般是路由型的使用ebtables中的bridge+nfpatch可以表现为网桥型的http://ebtables.sourceforge.net/111.3iptables配置包过滤INPUT/OUTPUT/FORWARD三个规则链可以增加自定义规则链iptables–Nxxx命令格式iptables–L–nv显示iptables–F规则

6、链名清空规则链iptables–A规则链名规则增加规则iptables–I规则链名规则插入规则iptables–D规则链名规则删除规则iptables–D规则链名规则编号12包过滤规则-j动作….条件动作为:ACCEPT接受数据包DROP丢弃数据包RETURN从当前规则链返回LOG日志,用dmesg可以看到REJECTSNAT/DNAT等13包过滤条件-sIP地址源地址-dIP地址目的地址-i接口名接收的接口-o接口名发送的接口-mstate--state状态状态包过滤ESTABLISHEDRELAT

7、EDNEWINVALID-ptcp/udp/icmp/47协议--dport目的端口--sport源端口14实验建议编辑如下文件,命名为ipt,并用chmoda+xipt每次试验时用命令./ipt执行,文件内容为#!/bin/shIPT=iptables$IPT–F$IPT….$IPT–L–nv15实验一Iptables–FPing127.0.0.1执行如下命令$IPT–AINPUT–jLOG–s127.0.0.1$IPT–AINPUT–jDROP–s127.0.0.1ping127.0.0.1看是否

8、通?用dmesg能看到什么?Iptables–L–nv能看到什么?为什么?16实验二让你的机器只能telnet202.38.64.3(BBS)$IPT–AOUTPUT–jACCEPT–d202.38.64.3–ptcp–dport23$IPT–AOUTPUT–jLOG$IPT–AOUTPUT–jDROP$IPT–AINPUT–jACCEPT–s202.38.64.3–ptcp–mtcp--sport23--dport1024:65535!--syn$IP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。