1.实验内容
本次实践围绕防火墙配置、入侵检测工具 Snort 使用、蜜网网关防护规则分析三个核心任务展开,具体内容如下:
1.防火墙配置:在 Linux 系统(Kali)上配置iptables防火墙,实现两个安全功能:
(1)过滤 ICMP 数据包,让主机不接收 Ping 包;
(2)仅允许指定 IP(如局域网 Linux 攻击机 192.168.200.3)访问主机的特定服务(如 SSH/FTP/HTTP),其他 IP(如 Windows 攻击机 192.168.200.4)无法访问。
2.Snort 入侵检测实践:使用 Snort 工具对给定的pcap网络扫描文件进行离线入侵检测,生成报警日志并分析其中的攻击行为。
3.蜜网网关规则分析:分析虚拟攻防环境中蜜网网关的防火墙和 IDS/IPS 配置规则,说明其如何实现攻击数据捕获与风险控制。
2.实验过程
2.1 iptables 防火墙配置
2.1.1过滤 ICMP 数据包,禁止接收 Ping 包
先查看当前防火墙规则(初始状态为空),执行iptables -L -n
添加规则,丢弃所有入站的 ICMP Ping 请求,执行iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
在SEED上 Ping kali,发现无法 Ping 通,说明规则生效
如需取消该规则,执行iptables -D INPUT -p icmp --icmp-type echo-request -j DROP,再用SEED ping kali,发现可以ping通
2.1.2仅允许特定 IP 访问指定服务,其他 IP 禁止访问
分别用kali和seed两台虚拟机执行命令telnet 192.168.77.132,访问metasploitable
image
在metasploitable中执行iptables -P INPUT DROP,禁止所有输入数据包
再次用kali和seed两台虚拟机访问metasploitable,发现无法访问
执行iptables -A INPUT -p tcp -s 192.168.77.128 -j ACCEPT来允许kali虚拟机的数据包输入
用kali连接metasploitable,kali成功访问,而seed依旧访问失败
2.2 Snort入侵检测实践
执行sudo snort -c /etc/snort/snort.lua -r ~/scan.pcap -l /var/log/snort/ -A alert_full,分析 pcap
可以发现报警日志文件
2.3 蜜网网关防火墙与 IDS/IPS 规则分析
登录蜜网网关,执行vim /etc/init.d/rc.firewall,查看蜜网网关中防火墙核心配置文件的规则定义逻辑
执行iptables -t filter -L | less,查看防火墙 filter 表规则
执行vim /etc/rc.d/init.d/snortd,可以查看蜜网网关(Honeywall)的 Snort 入侵检测服务,通过/etc/rc.d/init.d/snortd启动脚本实现服务管理与参数配置,结合加载的/etc/sysconfig/snort本地配置文件,完成对蜜网流量的入侵检测与攻击日志捕获
执行vim /etc/init.d/hw-snort_inline,可知-D参数使 Snort_inline 以守护进程模式在后台运行,-Q参数指定 Snort 工作在NFQUEUE 模式,-t $DIR参数将 Snort_inline 进程限制在指定的chroot目录中运行
执行chkconfig --list | grep iptables 和 chkconfig --list | grep snort,输出显示iptables在运行级别 2、3、4、5 下均为on(开机自启),仅在关机、重启等特殊级别为off,说明 iptables 防火墙已作为蜜网网关的基础组件随系统启动自动加载
执行vim /etc/honeywall.conf,查看蜜罐 IP、网络访问限制、运行模式等核心配置
3.学习中遇到的问题及解决
- 问题1:执行 iptables 命令提示command not found,无法配置防火墙规则。
- 问题1解决方案:切换 root 权限后,通过apt install iptables安装工具包,命令恢复正常使用。
- 问题2:Snort 执行时提示 pcap 文件不存在,无法读取流量。
- 问题2解决方案:将 pcap 文件复制到 Kali 主目录,修正命令中的文件路径,Snort 可正常读取流量。
- 问题3:Snort 完成流量解析,但无报警日志文件生成。
- 问题3解决方案:修正 Snort3 的适配参数,加载系统攻击规则与自定义扫描检测规则,成功生成报警日志,完成入侵检测分析。
4.学习感悟、思考等)
通过iptables防火墙的配置,我真正理解了 Linux 下访问控制的核心逻辑。之前只是在课本上学习防火墙的概念,这次亲手配置规则、测试效果,才明白规则顺序、协议过滤、端口控制的细节,也体会到防火墙作为网络边界防护的第一道防线,是如何通过精准的访问控制保护主机安全的。
其次,Snort 入侵检测的实践让我掌握了开源 IDS 工具的使用方法。从安装配置到分析报警日志,我了解了入侵检测系统的完整工作流程,也能识别端口扫描、Ping 探测等常见攻击,这对我后续分析网络攻击、排查安全事件有非常大的帮助,也让我明白 “流量分析” 是网络安全攻防的核心能力。
最后,蜜网网关的规则分析让我理解了蜜网技术的底层逻辑:蜜网不是简单的 “陷阱”,而是通过 “防火墙隔离 + IDS/IPS 检测” 的组合,既保证攻击者能 “进来”(诱捕),又防止蜜罐被滥用(控风险),同时完整记录所有攻击行为(存数据),为威胁研究提供支撑,这让我对网络安全防御体系有了更系统的认知。
这次实践也暴露了我在细节上的不足,比如iptables规则顺序的 “坑”、Snort 配置的细节问题,通过排查解决这些问题,我的动手能力和问题排查能力也得到了很大提升。网络安全是 “实践出真知” 的领域,只有亲手操作、踩坑、解决问题,才能真正掌握技术。后续我会继续加强实践,深入学习防火墙、IDS/IPS 的高级配置,不断提升自己的网络安全防护能力。
参考资料
- 《Java程序设计与数据结构教程(第二版)》
- 《Java程序设计与数据结构教程(第二版)》学习指导
- ...