第5次作业 实践五 网络安全防范技术

实践内容

防火墙设置

一、iptables 是什么？

iptables 是 Linux 内核中的用户态防火墙管理工具，它通过操作内核的 Netfilter 框架，实现对网络数据包的过滤、修改、转发和丢弃。

iptables基本语法

iptables -t 表名 操作命令 链名 条件 -j 动作
iptables基本匹配规则：按顺序逐条匹配规则，一旦匹配成功就执行动作，不再继续向下匹配。

实验过程

• 首先利用攻击机kali来启动http 80端口
  使用python即可默认启动指令如下：
  sudo python3 -m http.server 80
  在本机使用浏览器访问127.0.0.1:80 得到结果如下：
  注意该方式会将所有路径暴露在网络中，只在实验情况下进行操作。切勿放置于真实环境
  
  我们在另一台seedubuntu中也可以访问到kali的80端口，这里kali的ip为192.168.5.2：
  

接下来我们在seed使用ping命令来请求kali结果如下：

• 接下来我们来进行实验
  以下为我们所需的操作命令

#!/bin/bash# 1. 清空所有现有规则
iptables -F
iptables -X
iptables -Z# 2. 作业要求1：阻止所有ICMP ping请求
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP# 3. 作业要求2：只允许 192.168.5.3 访问 HTTP（80端口） 本机为seedubuntu
iptables -A INPUT -s 192.168.5.3 -p tcp --dport 80 -j ACCEPT# 4. 明确拒绝其他IP访问HTTP（注释掉，因为默认DROP已实现）
iptables -A INPUT -p tcp --dport 80 -j DROP# 5. 查看结果
iptables -L -n -v --line-numbers

我们的结果如下所示：

此时我们再次使用seedubuntu对kali进行ping操作
很明显此时kali已经不对ICMP报文进行回复

我们再次在浏览器访问kali的80端口，也就是192.168.5.2:80
可见仍是可以访问的：

那么我们的另一台攻击机winxpattacker呢，我们打开他以同样的方式进行测试
ping命令无回显

那么我们再来看看浏览器的状态，访问192.168.5.2:80

可见无法进入目录界面，也就说我们的iptables 成功进行了过滤

二、动手实践：Snort

安装snort

sudo apt update && sudo apt install snort
然后等待即可
安装完成后即可使用
我已经把listen.pcap包放在了桌面，终端进入桌面路径后即可使用指令，读取pacap文件

接下来进行配置（我的是snort3 如果是2配置文件名字则是snort.conf）

• sudo vim /etc/snort/snort.lua
  在设置中第7部分找到output部分设置如下：
  

运行以下命令：
sudo snort -r /home/kali/Desktop/listen.pcap -c /etc/snort/snort.lua -A full -l /var/log/snort


可以在/var/log/snort 中看到告警文件，但是目前因为没有设置规则，所以报警文件为空

分析配置规则

一、蜜网网关的三大核心功能

功能	作用	实现技术
数据捕获	记录攻击者的所有行为	防火墙日志 + Snort（IDS）
数据控制	限制被攻陷蜜罐的危害	iptables规则 + Snort_inline（IPS）
数据记录	保存攻击证据供分析	远程日志服务器

二、防火墙（iptables）配置规则

蜜网网关的防火墙定义了三类关键规则链：

规则链	作用
黑名单	来自这些IP的流量全部丢弃
白名单	来自这些IP的流量放行且不记录日志
防护名单	限制访问某些敏感服务

核心策略：
入站：默认允许所有连接（不阻碍攻击者进入蜜罐）
出站：限制向外连接数量（防止蜜罐成为攻击跳板）

三、入侵检测系统（Snort）配置

Snort作为蜜网的NIDS组件，负责：

功能	说明
监听网卡	默认eth0，捕获所有流量
规则文件	/etc/snort/snort.conf
日志路径	/var/log/snort/alert

四、整体流程

攻击流量进入
↓
防火墙初筛（黑白名单匹配）
↓
NIDS旁路检测（记录攻击行为，不阻断）
↓
NIPS主动防御（检测到恶意流量时阻断）
↓
蜜罐接收流量（记录完整攻击行为）
↓
日志发送到远程服务器备份