【正文】 deny ip source destination Rule has been added to normal packetfiltering rules [routerAacl3001] [routerA]dis cur Now create configuration...Current configuration version sysname routerA firewall enable aaaenable aaa accountingscheme optional acl 3001 matchorder auto rule normal permit ip source destination rule normal deny ip source destination interface Aux0 async mode flow linkprotocol ppp interface Ethernet0 ip address interface Serial0 linkprotocol ppp ip address interface Serial1 linkprotocol ppp interface Serial2 linkprotocol ppp quit rip network all quit return [routerA] [routerA]int s0 [routerASerial0]firewall packetfilter 101 outbound [routerASerial0] [routerA]dis cur Now create configuration...Current configuration version sysname routerA firewall enable aaaenable aaa accountingscheme optional acl 3001 matchorder autorule normal permit ip source destination rule normal deny ip source destination interface Aux0 async mode flow linkprotocol ppp interface Ethernet0 ip address interface Serial0 linkprotocol ppp ip address firewall packetfilter 3001 outbound interface Serial1 linkprotocol ppp interface Serial2 linkprotocol ppp quit rip network all quit return三、實(shí)驗(yàn)總結(jié)在使用標(biāo)準(zhǔn)的訪問控制列表的實(shí)驗(yàn)1中，我們只允許IP地址為：，而禁止其它PC機(jī)訪問外網(wǎng)。在訪問控制列表命令中還有normal字段，這是區(qū)別于special的，即我們可以分時(shí)間段進(jìn)行不同的訪問控制策略。同時(shí)在同一列表中若有多條規(guī)則，多條規(guī)則之間采用深度優(yōu)先的原則，即描述的地址范圍越小，優(yōu)先級越高，越先考慮。等等一系列的配置在此不再詳細(xì)闡述，大家可以自行完成。 實(shí)驗(yàn)?zāi)康牧私夥阑饓Φ暮x與作用學(xué)習(xí)防火墻的基本配置方法理解iptables工作機(jī)理熟練掌握iptables包過濾命令及規(guī)則學(xué)會利用iptables對網(wǎng)絡(luò)事件進(jìn)行審計(jì)熟練掌握iptables NAT工作原理及實(shí)現(xiàn)流程學(xué)會利用iptables+squid實(shí)現(xiàn)web應(yīng)用代理178。 防火墻的基本原理一．什么是防火墻在古代，人們已經(jīng)想到在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所，于是有了“防火墻”的概念。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。二．防火墻能做什么 1．防火墻是網(wǎng)絡(luò)安全的屏障一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。3．對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。Finger顯示了主機(jī)的所有用戶的注冊名、真名，最后登錄時(shí)間和使用shell類型等。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。通過這種方法，您可以只申請一個(gè)合法IP地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點(diǎn)的私有IP地址，這個(gè)地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以實(shí)現(xiàn)不同路徑轉(zhuǎn)發(fā)）。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。再比如防火墻將Web 。Windows 98 SE、Windows 2000 都包含了這一功能。其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。動態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號，對于頻繁的遠(yuǎn)程聯(lián)接也可以采用動態(tài)NAT。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用，通過從ISP處申請的一個(gè)IP地址，將多個(gè)連接通過NAPT接入Internet。這樣，ISP甚至不需要支持NAPT，就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址訪問Internet，雖然這樣會導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用NAPT還是很值得的。 Windows 2003防火墻Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網(wǎng)絡(luò)通信通過防火墻進(jìn)入網(wǎng)絡(luò)，同時(shí)拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來威脅。在Windows2003服務(wù)器上，對直接連接到Internet的計(jì)算機(jī)啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL適配器或者撥號調(diào)制解調(diào)器連接到Internet。同時(shí)，它也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。1．啟用/關(guān)閉防火墻（1）打開“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。如果要啟用 Internet 連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請單擊“關(guān)閉(F)”按鈕。（1）解除阻止設(shè)置。如果允許本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò)，則在對話框中間列表中所列出該項(xiàng)服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò)，則將該項(xiàng)服務(wù)前的“√”清除（如果不存在同樣可以添加）。（2）高級設(shè)置。選擇“服務(wù)”選項(xiàng)卡，其中列舉出了網(wǎng)絡(luò)標(biāo)準(zhǔn)服務(wù)，加上“√”表示允許，不加“√”表示禁止。選擇“ICMP”選項(xiàng)卡，允許或禁止某些類型的ICMP響應(yīng)，建議禁止所有的ICMP響應(yīng)。在“高級”選項(xiàng)卡的“安全日志記錄”框中單擊“設(shè)置”按鈕，進(jìn)入“日志設(shè)置”界面。日志文件默認(rèn)路徑為C:，用記事本可以打開，所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析?！刚f明」 建立安全日志是非常必要的，在服務(wù)器安全受到威脅時(shí)，日志可以提供可靠的證據(jù)。 linux防火墻iptable的應(yīng)用一．iptables簡介，linux就已經(jīng)具有包過濾功能了。而是采用一個(gè)全新的內(nèi)核包過濾管理工具—iptables。實(shí)際上iptables只是一個(gè)內(nèi)核包過濾的工具，iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。netfilter提供了一系列的“表(tables)”，每個(gè)表由若干“鏈(chains)”組成，而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個(gè)鏈。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，系統(tǒng)就會從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。圖321 網(wǎng)絡(luò)數(shù)據(jù)包在filter表中的流程數(shù)據(jù)包在filter表中的流程如圖321所示。（2）如果數(shù)據(jù)包的目的地址不是本機(jī)，也就是說，這個(gè)包將被轉(zhuǎn)發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個(gè)包丟掉。當(dāng)我們在使用iptables NAT功能的時(shí)候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“t nat”選項(xiàng)來顯式地指明這一點(diǎn)。同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規(guī)則的容器，它們分別是：（1）PREROUTING: 可以在這里定義進(jìn)行目的NAT的規(guī)則，因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的IP地址，為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進(jìn)行目的NAT。（3）OUTPUT: 定義對本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。在企業(yè)內(nèi)部，每個(gè)電腦取得一唯一的IP地址來為內(nèi)部傳輸做路由。為了使這個(gè)方案可行，IP地址的范圍被聲明為私有的，企業(yè)可以隨意在內(nèi)部使用他們。「說明」 IP私有地址范圍是：～ ～1～。在企業(yè)內(nèi)部。NAT盒通常和防火墻一起綁定在一個(gè)設(shè)備上，這里的防火墻通過小心地控制進(jìn)出企業(yè)的封包提供了安全保障。（1）匹配指定協(xié)議。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設(shè)置ALL，相應(yīng)數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協(xié)議；④可以是協(xié)議列表，以英文逗號為分隔符，如：udp,tcp；⑤可以在協(xié)議前加英文的感嘆號表示取反，注意有空格,如：protocol!tcp表示非TCP協(xié)議，也就是UDP和ICMP。（2）以IP源地址匹配包。地址的形式如下：①單個(gè)地址，；②網(wǎng)絡(luò)，,；③在地址前加英文感嘆號表示取反，注意空格，如—source!；④缺省是所有地址。匹配d,dst,destination／使用 iptablesA INPUTd ACCEPT／說明以IP目的地址匹配包。（4）以包進(jìn)入本地使用的網(wǎng)絡(luò)接口匹配包。要注意這個(gè)匹配操作只能用于INPUT,FORWARD和PREROUTING這三個(gè)鏈，用在其他任何地方會提示錯(cuò)誤信息。若直接用一個(gè)加號，即iptablesA INPUTi +表示匹配所有的包，而不考慮使用哪個(gè)接口。（5）以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個(gè)匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個(gè)鏈，用在其他任何地方會提示錯(cuò)誤信息。匹配sourceport,sport／使用 iptablesA INPUTp tcpsport 1111／說明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的源端口，但必須與匹配協(xié)議相結(jié)合使用。匹配destinationport,dport／使用 iptablesA INPUTp tcpdport 80／說明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的目的端口，但必須與匹配協(xié)議相結(jié)合使用。如果指定了“p tcp”，那么TCP擴(kuò)展將自動加載，通過tcpflags擴(kuò)展，我們指定TCP報(bào)文的哪些Flags位被設(shè)置，在其后跟隨兩個(gè)參數(shù)：第一個(gè)參數(shù)代表Mask,指定想要測驗(yàn)的標(biāo)志位；第二個(gè)參數(shù)指定哪些位被設(shè)置。其中ULOG指定對匹配的數(shù)據(jù)包進(jìn)行記錄,由日志生成工具ULOG生成iptables防火日志，logprefix選項(xiàng)為記錄前綴。其中icmptype為擴(kuò)展命令選項(xiàng)，其后參數(shù)可以是三種模式：（1）ICMP類型名稱（例如，hostunreachable）。（3）ICMP類型及代碼值（8/0）。我們可以把請求端與應(yīng)答端之間建立的網(wǎng)絡(luò)通信連接稱為網(wǎng)絡(luò)會話，每個(gè)網(wǎng)絡(luò)會話都包括以下信息——源IP地址、目標(biāo)IP地址、源端口、目的端口，稱為套接字對；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時(shí)時(shí)間等。狀態(tài)包過濾防火墻能在內(nèi)存中維護(hù)一個(gè)跟蹤狀態(tài)的表，比簡單的包過濾防火墻具有更大的安全性，而iptables就是一種基于狀態(tài)的防火墻。舉例：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。nat表僅用于NAT,也就是網(wǎng)絡(luò)地址轉(zhuǎn)換。屬于流的包只會經(jīng)過這個(gè)表一次，經(jīng)一個(gè)包被允許做NAT,那么余下的包都會自動地做相同的操作。常用操作分為