一. 实验内容概述
1.1 防火墙配置
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址,访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址无法访问。
1.2 Snort 入侵检测
使用 Snort 对给定的 pcap 文件进行离线入侵检测,识别网络扫描、ARP 欺骗等攻击行为,分析报警日志并说明检测到的攻击类型。
1.3 分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
二. 实验过程
2.1 实验环境准备
| 虚拟机名称 | IP地址 |
|---|---|
| kali | 192.168.111.4 |
| seed | 192.168.111.2 |
| WinXP Metasploitable | 192.168.111.3 |
| Honey Wall | 192.168.111.88 |
kali的ip地址:
seed的IP地址:
kali与seed可以互通:
2.2 防火墙配置
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
2.2.1过滤ICMP数据包
查看默认规则:
sudo iptables -L
添加规则:
sudo iptables -A INPUT -p icmp -j DROP
命令解释:
-A INPUT //添加input规则
-p icmp //指定icmp协议
-j DROP //指定对应数据包进行丢弃
再次尝试ICMP,无法ping通:
还原默认配置:
sudo iptables -F
2.2.2只允许特定IP地址访问主机的某一网络服务
为seed虚拟机下载与开启FTP服务:
sudo apt-get install vsftpd
sudo /etc/init.d/vsftpd start //开启FTP
sudo /etc/init.d/vsftpd status //查看FTP服务运行状态
kali可以连接FTP:
winxP也可以连接FTP:
添加连接规则:
sudo iptables -P INPUT DROP //拒绝一切数据流入;
sudo iptables -A INPUT -p tcp -s 192.168.111.4 -j ACCEPT
Linux依旧可以连接:
windows发现无法连接:
恢复默认环境:
2.3 Snort 入侵检测实践
首先检查kali虚拟机可以连接互联网:
实验三已安装好snort:
使用Snort对文件进行分析(参考实验三):
sudo snort -c /etc/snort/snort.lua -r /home/ye-jiu/桌面/listen.pcap
共分析 135580 个数据包,其中以太网帧 135580 个,IPv4 数据包 135560 个,TCP 数据包 135512 个(占比 99.95%),UDP 数据包 3 个,ARP 数据包 20 个,整体流量以 TCP 协议为主。
2.4 蜜网网关防火墙与 IDS/IPS 配置规则分析
切换到root用户,打开蜜网网关的防火墙核心配置文件:
vim /etc/init.d/rc.firewall
default_policy() 函数:设置防火墙默认策略,将 FORWARD、INPUT、OUTPUT 三条链的默认策略均设置为 DROP,遵循最小权限原则,仅放行明确配置的流量。
localhost_policy() 函数:放行本地环回接口 lo 的流量,保障网关本地服务的正常运行。
management_policy() 函数:定义蜜网网关的管理口访问规则,仅允许指定管理网段通过 SSH、HTTPS 协议访问网关管理界面,限制非法管理访问,保障网关自身安全。
create_chains() 函数:创建了三大核心规则链,分别是 BlackList(黑名单,禁止特定 IP 通信)、WhiteList(白名单,放行可信 IP 流量)、FenceList(防护名单,限制蜜罐对外访问的高危 IP)。同时创建了 tcpHandler、udpHandler、icmpHandler 等协议专属处理链,实现对不同协议流量的精细化管控。
load_modules() 函数:加载 iptable_filter、iptable_nat、ipt_LOG 等内核模块,为防火墙提供包过滤、地址转换、日志记录等核心功能支持。
查看防火墙生效的规则表,验证默认策略与规则配置:
sudo iptables -t filter -L | less
查看Snort入侵检测系统的启动脚本,获取实际运行参数:
vim /etc/rc.d/init.d/snortd
查看Snort_inline入侵防御系统的启动脚本,分析防御机制:
vim /etc/init.d/hw-snort_inline
查看防火墙与IDS/IPS服务的开机自启配置:
chkconfig --list | grep iptables
chkconfig --list | grep snort
查看蜜网网关的全局配置文件,确认Snort规则更新策略:
vim /etc/honeywall.conf
网页端查看防火墙规则:
三、实验总结
通过本次防火墙与入侵检测综合实验,我深刻理解了纵深防御体系的实际构建过程。配置iptables时,每条规则都需精确权衡安全与可用性,如特定IP的白名单机制在阻挡攻击的同时保障了业务连续;Snort对pcap文件的离线分析,让我亲眼见到抽象的攻击特征如何转化为具体告警,体会到规则库维护对检测精度的重要性。而蜜网网关通过防火墙的精细控制,既能放攻击者"入门"收集数据,又能用连接限制、延迟机制等"软防御"防止危害外溢;配合IDS的多层检测,形成从网络层到应用级的完整监控链条。