下面是范文網(wǎng)小編整理的實驗8防火墻透明模式配置3篇 防火墻透明模式部署，歡迎參閱。

實驗8防火墻透明模式配置1

　　第五章 防火墻的具體應(yīng)用

　　遠(yuǎn)鍵實業(yè)公司是一個典型的中小企業(yè)。大概100 人左右。是一家科技企業(yè)，主要從事計算機 系統(tǒng)集成服務(wù)，大約有100 人左右，分為市場部、財務(wù)部、銷售部、人力資源部、辦公室、網(wǎng)絡(luò)管理部、工程部，網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)。內(nèi)網(wǎng)經(jīng)常感染病毒，蠕蟲，而且某些員工使用 工具進(jìn)行大數(shù)據(jù)量下載也影響網(wǎng)絡(luò)正常工作，有時也發(fā)現(xiàn)來自外網(wǎng)黑客攻擊現(xiàn)象，同時公司 隨著業(yè)務(wù)的發(fā)展也將擴大宣傳，考慮建立一個Web 服務(wù)器用來對外發(fā)布信息。公司領(lǐng)導(dǎo)和 網(wǎng)絡(luò)部經(jīng)過仔細(xì)討論，決定在公司現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上部署一臺防火墻。防火墻有很多種，國外 和國內(nèi)有很多防火墻。經(jīng)過選型后公司選擇一款Cisco PIX 515 防火墻。公司拓?fù)浣Y(jié)構(gòu)如下：

　　公司網(wǎng)絡(luò)要求

　　一、配置公司PIX劃分內(nèi)網(wǎng)、外網(wǎng)及DMZ區(qū)域：

　　遠(yuǎn)鍵實業(yè)公司的規(guī)模并不是很大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如上圖，分為內(nèi)網(wǎng)、外網(wǎng)。在滿足 內(nèi)網(wǎng)用戶快速訪問INTERNET 的同時有效防止來自外網(wǎng)黑客攻擊；此外，公司隨著業(yè)務(wù)的 發(fā)展也需要擴大宣傳，市場部考慮建立電子營銷，所以希望建立一個Web 服務(wù)器用來對外 發(fā)布業(yè)務(wù)信息。公司網(wǎng)絡(luò)管理部門決定在公司的防火墻上部署在內(nèi)網(wǎng)和外網(wǎng)之 間配置PIX劃分內(nèi)網(wǎng)、外網(wǎng)及DMZ區(qū)域。pixfirewall>ena pixfirewall# #進(jìn)入全局配置模式 pixfirewall# conf t #配置防火墻接口的名字，并指定安全級別（nameif）。pixfirewall(config)#int e0 pixfirewall(config-if)# nameif inside pixfirewall(config-if)# security-level 100 pixfirewall(config)#int e1 pixfirewall(config-if)# nameif dmz pixfirewall(config-if)# security-level 50 pixfirewall(config)#int e2 pixfirewall(config-if)# nameif outside pixfirewall(config-if)# security-level 0 security-leve 0 是外部端口outside 的安全級別（0 安全級別最高）

　　security-leve 100 是內(nèi)部端口inside 的安全級別,如果中間還有以太口，則security-leve 10，security-leve 20 等等命名，多個網(wǎng)卡組成多個網(wǎng)絡(luò)，一般情況下增加一個以太口作為dmz security-leve 50 是?；饏^(qū)dmz 的安全級別。#配置內(nèi)外網(wǎng)卡的IP 地址 pixfirewall(config)#int e0 pixfirewall(config-if)# ip address pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip address pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip address pixfirewall(config-if)# no shut 在配置內(nèi)外網(wǎng)卡的IP 地址時注意別忘了用no shutdown 命令來激活端口。（no shut 是no shutdown 的簡寫）。

#允許內(nèi)部網(wǎng)絡(luò)服務(wù)器telnet pix（允許遠(yuǎn)程登錄到防火墻）pixfirewall(config)# telnet inside #同時你也可以允許外部網(wǎng)絡(luò)服務(wù)器遠(yuǎn)程登錄到防火墻命令如下 pix515(config)# telnet outside 但為了安全最好是只允許內(nèi)部網(wǎng)絡(luò)服務(wù)器遠(yuǎn)程登錄到防火墻，保證防火墻的安全。#配置遠(yuǎn)程登錄密碼

　　Pix515(config)# password 以上表明遠(yuǎn)程登錄密碼為 #保存配置 write memory 在配置完成后，要記住保存配置，以便以后進(jìn)一步的配置及管理。、配置DMZ #設(shè)置DMZ 接口IP 地址，設(shè)置好后可以按拓?fù)浣Y(jié)構(gòu)圖測試從PIX 上ping 檢查連通性。

　　Pixfirewall(config)#int e1 pixfirewall(config-if)# ip address #允許DMZ 主機訪問外部網(wǎng)絡(luò)icmp 協(xié)議

　　Pixfirewall(config-if)# access-list acl_dmz permit icmp any any #應(yīng)用策略到DMZ 接口 把acl_dmz 規(guī)則邦定到dmz 端口上使之生效 pixfirewall(config-if)# access-group acl_dmz in interface dmz #發(fā)布DMZ 服務(wù)器到因特網(wǎng) 設(shè)置靜態(tài)的因特網(wǎng)、局域網(wǎng)、dmz 區(qū)的訪問關(guān)系 static(dmz,outside) netmask #設(shè)置策略允許因特網(wǎng)訪問DMZ 服務(wù)器80 端口

　　Pixfirewall(config)# access-list 100 permit tcp any host eq 80 #將 上的www..complete Loading from (via Ethernet0/0):?。。。。。。∥募螺d成功后操作終端顯示器會提示： Do you wish to erase the passwords? [y/n] y Passwords have been erased.因為設(shè)備眾多，口令也就多了，非常容易混淆和忘記口令。忘記口令后，恢復(fù)口令就相 當(dāng)重要了。掌握了恢復(fù)口令，會對工作有很大的幫助。

　　十、PIX防火墻VPN的實現(xiàn)

　　公司員工經(jīng)常需要通過Internet 與客戶進(jìn)行通信，由于Internet 是一個不安全的網(wǎng) 絡(luò)，其中公司有一些商業(yè)文檔需要機密，公司網(wǎng)絡(luò)部希望公司員工防火墻能夠保障通過 Internet 與公司重要客戶進(jìn)行通信時實現(xiàn)信息傳輸保密。對PIX 防火墻進(jìn)行配置，實現(xiàn)VPN。

　　一、基礎(chǔ)知識： PPTP：點對點隧道協(xié)議

　　點對點隧道協(xié)議（PPTP： Point to Point Tunneling Protocol）是一種支持多協(xié)議虛 擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù)。通過該協(xié)議，遠(yuǎn)程用戶能夠通過 Microsoft Windows NT 工作站、Windows XP 操作系統(tǒng)以及其它裝有點對點協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡(luò)，并能撥號連入本 地 ISP，通過 Internet 安全鏈接到公司網(wǎng)絡(luò)。

　　PPTP 可以用于在 IP 網(wǎng)絡(luò)上建立 PPP 會話隧道。在這種配置下，PPTP 隧道和

　　PPP 會話運行在兩個相同的機器上，呼叫方充當(dāng) 使用客戶機－服務(wù)器結(jié)構(gòu)來分 離當(dāng)前網(wǎng)絡(luò)訪問服務(wù)器具備的一些功能并支持虛擬專用網(wǎng)絡(luò)。PPTP 作為一個呼叫控制和管 理協(xié)議，它允許服務(wù)器控制來自 PSTN 或 ISDN 的撥入電路交換呼叫訪問并初始化外部電路交換連 接。

　　PPTP 只能通過 PAC 和 PNS 來實施，其它系統(tǒng)沒有必要知道 PPTP.撥號網(wǎng)絡(luò)可與 PAC 相連接而無需知道 PPTP.標(biāo)準(zhǔn)的 PPP 客戶機軟件可繼續(xù)在隧道 PPP 鏈接上操作。PPTP 使用 GRE 的擴展版本來傳輸用戶 PPP 包。這些增強允許為在 PAC 和 PNS 之間 傳輸用戶數(shù)據(jù)的隧道提供低層擁塞控制和流控制。這種機制允許高效使用隧道可用帶寬并且 避免了不必要的重發(fā)和緩沖區(qū)溢出。PPTP 沒有規(guī)定特定的算法用于低層控制，但它確實定 義了一些通信參數(shù)來支持這樣的算法工作。

　　二、配置

　　1、命令行方式直接在PIX上配置PPTP的VPN，即PIX作為PPTP方式VPDN的服務(wù)器 ip local pool pptp //定義一個pptp 方式的vpdn撥入后獲得的IP地址池，名字叫做pptp。此處地址段的定義 范圍不要和撥入后內(nèi)網(wǎng)其他計算機的IP沖突，并且要根據(jù)撥入用戶的數(shù)量來定義地址池的 大小

　　Pixfirewall(config)# crypto ipsec transform-set xp esp-des esp-md5-hmac 創(chuàng)建與加密相關(guān)的全局值

　　Pixfirewall(config)# crypto dynamic-map dymap 10 set transform-set xp 創(chuàng)建一個動態(tài)加密映射項

　　Pixfirewall(config)# crypto map mymap 10 ipsec-isakmp dynamic dymap 定義名字為mymap編號為10靜態(tài)加密map, 將名字為dymap的動態(tài)加密map 映射到靜 態(tài)加密map mymap 上.pixfirewall(config)# crypto map mymap interface outside 將靜態(tài)加密map應(yīng)用在外部接口上 pixfirewall(config)# pixfirewall(config)# isakmp enable outside 在外部接口上啟用ISAKMP策略。

　　Pixfirewall(config)# isakmp key address netmask 針對分支機構(gòu)的動態(tài)公有IP，配置ISAKMP預(yù)共享密鑰，如，表示適合 于所有的公有IP地址。

　　Pixfirewall(config)# isakmp policy 9 authentication pre-share 定義編號為9的ISAKMP策略，認(rèn)證方式使用預(yù)共享密鑰:Pre-Share Key pixfirewall(config)# isakmp policy 9 encryption des 對于編號為9的ISAKMP策略的加密算法使用des pixfirewall(config)# isakmp policy 9 hash sha 對于編號為9的ISAKMP策略的hash完整性算法使用sha pixfirewall(config)# isakmp policy 9 group 2 對于編號為9的ISAKMP策略，密鑰交換組DH（Diffie-Hellman）長度為group 2 pixfirewall(config)# isakmp policy 9 lifetime 對于編號為9的ISAKMP策略生存時期為秒。pptp使用1723端口，而通常pix里面的服務(wù)器對外都是做的靜態(tài)NAT轉(zhuǎn)換，但是光雙 向開放1723端口仍舊無法建立pptp的vpn連接，那么對于pix 以上版本的pptp穿透 可以用一條命令fixup protocol pptp 1723 來解決這個問題。

　　通過對PIX 防火墻的設(shè)置，實現(xiàn)了VPN。公司內(nèi)的一些商業(yè)機密能有了保障。通過 Internet 與公司重要客戶進(jìn)行通信時實現(xiàn)信息傳輸保密。

　　十一、建立Pix 防火墻日志重定向

　　黑客攻擊進(jìn)來后，有時間會把防火墻的日志進(jìn)行擦除以逃避責(zé)任，公司網(wǎng)絡(luò)部希望網(wǎng)絡(luò)管理員能夠有效地保存防火墻日志。建立Pix 防火墻日志重定向。linux 配置：

　　1、vi/etc/sysconfig/syslog(按i 進(jìn)入vi 的編輯狀態(tài)。)： SYSLOGD_OPTIONS=“-m 0”修改為

　　sYSLOGD_OPTIONS=“-r-m 0”//-r 允許從遠(yuǎn)端主機寫入messages（編輯完成后按ESC 回到命令行狀態(tài)，然后輸入:wq,存盤退出，如果不存盤輸入:q）

　　2、vi/etc/ 加入下列內(nèi)容

　　把設(shè)備號為local4(pix的默認(rèn)設(shè)備號，對應(yīng)pix端的facility為20)的所有的日志記錄到 /var/log/中

# local4.* /var/log/

　　3、為了避免日志過大,配置日志輪循(manlogrotate查看詳細(xì)的幫助信息)vi/etc/ 增加下列內(nèi)容: #system-specific logs may be also be configured here./var/log/{ weekly rotate4&

　　4、重起syslog 服務(wù)：

[root@localhost&etc]# service syslog restart pix 配置：

　　Pix#logging on Pix#logging host //記錄日志的主機IP Pix#logging trap 7 //指定日志消息的級別(0:緊急(Emergencies)1:告警(Alerts)2:嚴(yán)重的(Critical)3:錯誤(Errors)4:警告(Warnings)5:通知(Notifications)6: 信息(Informational)7:調(diào)試(Debugging))Pix#logging facility 20//更改設(shè)備號,Pix默認(rèn)為local20 Pix#exit Pix#sh logging//可以看到當(dāng)前日志記錄是否啟動 Pix#wr mem //保存配置

　　完成以上配置后就可以在linux 下運用cat /var/log/ 查看 Pix的日志文件：

　　黑客攻擊進(jìn)來后，有時間會把防火墻的日志進(jìn)行擦除以逃避責(zé)任，通過把linux配置成PIX 的 日志主機，能夠有效地保存防火墻日志，進(jìn)一步提高安全性。

實驗8防火墻透明模式配置2

　　實驗九

　　防火墻技術(shù)實驗

　　1、實驗?zāi)康?/p>

　　防火墻是網(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗，使學(xué)生了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。

　　2、題目描述

　　根據(jù)不同的業(yè)務(wù)需求制定天網(wǎng)防火墻策略，并制定、測試相應(yīng)的防火墻的規(guī)則等。

　　3、實驗要求

　　基本要求了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。

　　4、相關(guān)知識

　　1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀(jì)的一種安全防務(wù)：在城堡周圍挖掘一道深深的壕溝，進(jìn)入城堡的人都要經(jīng)過一個吊橋，吊橋的看守檢查每一個來往的行人。對于網(wǎng)絡(luò)，采用了類似的處理方法，它是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)(securitygateway),也就是一個電子吊橋，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡(luò)防火墻如下所示。

　　防火墻也并不能防止內(nèi)部人員的蓄意破壞和對內(nèi)部服務(wù)器的攻擊，但是，這種攻擊比較容易發(fā)現(xiàn)和察覺，危害性也比較小，這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來控制。

　　2)防火墻的分類前市場的防火墻產(chǎn)品主要分類如下：

（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。（2）從防火墻技術(shù)“包過濾型”和“應(yīng)用代理型”兩大類。

（3）從防火墻結(jié)構(gòu)單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應(yīng)用部署位置邊界防火墻、個人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級防火墻和千兆級防火墻兩類。3）防火墻的基本規(guī)則

■一切未被允許的就是禁止的(No規(guī)則)。■一切未被禁止的就是允許的(Yes規(guī)則)。

　　很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包，當(dāng)防火墻接收到一個信息包時，它先與第一條規(guī)則相比較,然后是第二條、第三條??當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應(yīng)用那條規(guī)則。

　　4）防火墻自身的缺陷和不足

■限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。

■無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。目前防火墻只提供對外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠內(nèi)部網(wǎng)絡(luò)主機系統(tǒng)的安全性?！鯥nternet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個被保護(hù)的網(wǎng)絡(luò)上有一個沒有限制的撥出存在，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP或PPP聯(lián)接進(jìn)入Internet。

■對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效。■Internet防火墻也不能完全防止傳送已感染病毒的軟件或文件。

■防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。數(shù)據(jù)驅(qū)動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機上，但一旦執(zhí)行就開始攻擊。例如，一個數(shù)據(jù)型攻擊可能導(dǎo)致主機修改與安全相關(guān)的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)。

■不能防備新的網(wǎng)絡(luò)安全問題。防火墻是一種被動式的防護(hù)手段，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。

　　5、實驗設(shè)備

　　主流配置PC，安裝有windows 2000 SP4操作系統(tǒng)，網(wǎng)絡(luò)環(huán)境，天網(wǎng)防火墻個人版。

　　6、實驗步驟

　　1）從指導(dǎo)老師處得到天網(wǎng)防火墻個人版軟件。

　　2）天網(wǎng)防火墻個人版的安裝。按照安裝提示完成安裝，并重啟后系統(tǒng)。

　　3）系統(tǒng)設(shè)置。在防火墻的控制面板中點擊“系統(tǒng)設(shè)置”按鈕，即可展開防火墻系統(tǒng)設(shè)置面板。

　　天網(wǎng)個人版防火墻系統(tǒng)設(shè)置界面如下。

　　防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：

　　如果確定，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，你對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。

　　防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻，天網(wǎng)防火墻個人版專門為用戶設(shè)計了防火墻設(shè)置向?qū)АＳ脩艨梢愿S它一步一步完成天網(wǎng)防火墻的合理設(shè)置。

　　應(yīng)用程序權(quán)限設(shè)置：勾選了該選項之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認(rèn)為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時候。（譬如在運行某些游戲程序的時候）

　　局域網(wǎng)地址：設(shè)置在局域網(wǎng)內(nèi)的地址。防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時自動保存日志，當(dāng)你退出防火墻的保護(hù)時，天網(wǎng)防火墻將會把當(dāng)日的日志記錄自動保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當(dāng)日的日志記錄。

　　4）安全級別設(shè)置天網(wǎng)個人版防火墻的缺省安全級別分為低、中、高三個等級，默認(rèn)的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級別。

　　然后點擊左邊的將打開自定義的IP規(guī)則。

　　從中可以看出，規(guī)則的先后順序為IP規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導(dǎo)入導(dǎo)出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點擊保存圖標(biāo)進(jìn)行保存，否則無效。

　　單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?/p>

　　5）修改規(guī)則雙擊該規(guī)則，或者點擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對各部分進(jìn)行修改。

（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。

（3）“對方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點說明： ■“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個網(wǎng)絡(luò)和掩碼。

（4）除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對應(yīng)的協(xié)議，其中：

■‘IP’協(xié)議不用填寫內(nèi)容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”。

■‘TCP’協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標(biāo)志比較復(fù)雜，你可以查閱其他資料，如果你不選擇任何標(biāo)志，那么將不會對標(biāo)志作檢查。

■‘ICMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。■‘IGMP’不用填寫內(nèi)容。

（5）當(dāng)一個數(shù)據(jù)包滿足上面的條件時，你就可以對該數(shù)據(jù)包采取行動了： ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進(jìn)入或出去?！鰯r截’指讓該數(shù)據(jù)包無法進(jìn)入你的機器

■繼續(xù)下一規(guī)則’指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來決定對該包的處理。（6）在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個人版”圖標(biāo)是否閃爍來“警告”，或發(fā)出聲音提示。

　　6）新增規(guī)則點擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許

　　訪問WWW端口的規(guī)則，可以按如下方法設(shè)置。設(shè)置完成后點擊“確定”，并點擊工具條的保存按鈕。

　　7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個人版增加對應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)防火墻個人版打開的情況下，首次激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會被天網(wǎng)防火墻個人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。如果不選中“該程序以后按照這次的操作運行”，那么天網(wǎng)防火墻個人版在以后會繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運行”選項，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。

　　8）高級應(yīng)用程序規(guī)則設(shè)置單擊

　　可以打開詳細(xì)的應(yīng)用程序規(guī)則設(shè)置。單擊應(yīng)用程序規(guī)則面板中對應(yīng)每一條應(yīng)用程序規(guī)則都有幾個按鈕

　　點擊“選項”即可激活應(yīng)用程序規(guī)則高級設(shè)置頁面。

“該應(yīng)用程序可以”窗口是設(shè)定該應(yīng)用程序可以做的動作。其中：是指此應(yīng)用程序進(jìn)程可以向外發(fā)出連接請求，通常是用于各種客戶端軟件。則是指此程序可以在本機打開監(jiān)聽的端口來提供網(wǎng)絡(luò)服務(wù)，這通常用于各種服務(wù)器端程序中。

　　9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進(jìn)行測試。

　　需求1：ICMP規(guī)則允許ping進(jìn)來，其它禁止，TCP規(guī)則允許訪問本機的WWW服務(wù)和主動模式的FTP服務(wù)，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進(jìn)出UDP報文禁止。

　　7、實驗思考

　　1）根據(jù)你所了解的網(wǎng)絡(luò)安全事件，你認(rèn)為天網(wǎng)防火墻不具備的功能有哪些？ 2）防火墻是不是絕對的安全？攻擊防火墻系統(tǒng)的手段有哪些？

實驗8防火墻透明模式配置3

　　實驗三 防火墻的配置

? 實驗?zāi)康?/p>

　　1、了解防火墻的含義與作用

　　2、學(xué)習(xí)防火墻的基本配置方法

　　3、理解iptables工作機理

　　4、熟練掌握iptables包過濾命令及規(guī)則

　　5、學(xué)會利用iptables對網(wǎng)絡(luò)事件進(jìn)行審計

　　6、熟練掌握iptables NAT工作原理及實現(xiàn)流程

　　7、學(xué)會利用iptables+squid實現(xiàn)web應(yīng)用代理

? 實驗原理

? 防火墻的基本原理

　　一．什么是防火墻

　　在古代，人們已經(jīng)想到在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所，于是有了“防火墻”的概念。

　　進(jìn)入信息時代后，防火墻又被賦予了一個類似但又全新的含義。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

　　二．防火墻能做什么 1．防火墻是網(wǎng)絡(luò)安全的屏障

　　一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

　　2．防火墻可以強化網(wǎng)絡(luò)安全策略

　　通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

　　3．對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計

　　如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

　　4．防止內(nèi)部信息的外泄

　　通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

　　除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

　　三．NAT NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個整體機構(gòu)以一個公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。

　　簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點要與外部網(wǎng)絡(luò)進(jìn)行通訊時，就在網(wǎng)關(guān)（可以理解為出口，打個比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（Internet）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網(wǎng)中的計算機接入Internet中。這時，NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計算機對于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計算機用戶通常不會意識到NAT的存在。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點的私有IP地址，這個地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以實現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機挑選，但是通常使用的是下面的地址：～，～，～。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網(wǎng)絡(luò)信息中心）或者ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址，對外代表一個或多個內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。

　　NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡(luò)管理員只需在路由器的IOS中設(shè)置NAT功能，就可以實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的屏蔽。再比如防火墻將Web Server的內(nèi)部地址映射為外部地址，外部訪問地址實際上就是訪問。另外對資金有限的小型企業(yè)來說，現(xiàn)在通過軟件也可以實現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

　　NAT有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）。

　　其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。

　　動態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址，主要應(yīng)用于撥號，對于頻繁的遠(yuǎn)程聯(lián)接也可以采用動態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動態(tài)地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。

　　網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。

　　在Internet中使用NAPT時，所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠(yuǎn)程訪問設(shè)備支持基于PPP的動態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內(nèi)部IP地址共用一個外部IP地址訪問Internet，雖然這樣會導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點，用NAPT還是很值得的。

? Windows 2003防火墻

　　Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網(wǎng)絡(luò)通信通過防火墻進(jìn)入網(wǎng)絡(luò)，同時拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

　　在Windows2003服務(wù)器上，對直接連接到Internet的計算機啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL適配器或者撥號調(diào)制解調(diào)器連接到Internet。它可以有效地攔截對Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機對服務(wù)器的掃描，從而提高Windows 2003服務(wù)器的安全性。同時，它也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。

　　1．啟用/關(guān)閉防火墻

（1）打開“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。

（2）選擇“高級”選項卡，單擊“設(shè)置”按鈕，出現(xiàn)啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請單擊“關(guān)閉(F)”按鈕。

　　2．防火墻服務(wù)設(shè)置

　　Windows 2003 Internet連接防火墻能夠管理服務(wù)端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務(wù)，Internet連接防火墻就可以監(jiān)視并管理這些端口。

（1）解除阻止設(shè)置。

　　在“例外”選項卡中，可以通過設(shè)定讓防火墻禁止和允許本機中某些應(yīng)用程序訪問網(wǎng)絡(luò)，加上“√”表示允許，不加“√”表示禁止。如果允許本機中某項應(yīng)用程序訪問網(wǎng)絡(luò)，則在對話框中間列表中所列出該項服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止本機中某項應(yīng)用程序訪問網(wǎng)絡(luò)，則將該項服務(wù)前的“√”清除（如果不存在同樣可以添加）。在“Windows防火墻阻止程序時通知我”選項前打“√”則在主機出現(xiàn)列表框中不存在的應(yīng)用程序欲訪問網(wǎng)絡(luò)時，防火墻會彈出提示框詢問用戶是否允許該項網(wǎng)絡(luò)連接。

（2）高級設(shè)置。

　　在“高級”選項卡中，可以指定需要防火墻保護(hù)的網(wǎng)絡(luò)連接，雙擊網(wǎng)絡(luò)連接或單擊“設(shè)置”按鈕設(shè)置允許其他用戶訪問運行于本主機的特定網(wǎng)絡(luò)服務(wù)。選擇“服務(wù)”選項卡，其中列舉出了網(wǎng)絡(luò)標(biāo)準(zhǔn)服務(wù)，加上“√”表示允許，不加“√”表示禁止。如果允許外部網(wǎng)絡(luò)用戶訪問網(wǎng)絡(luò)的某一項服務(wù)，則在對話框中間列表中所列出該項服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)的某一項服務(wù)，則將該項服務(wù)前的“√”清除（如果不存在同樣可以添加）。選擇“ICMP”選項卡，允許或禁止某些類型的ICMP響應(yīng)，建議禁止所有的ICMP響應(yīng)。

　　3．防火墻安全日志設(shè)置

　　Windows2003防火墻可以記錄所有允許和拒絕進(jìn)入的數(shù)據(jù)包，以便進(jìn)行進(jìn)一步的分析。在“高級”選項卡的“安全日志記錄”框中單擊“設(shè)置”按鈕，進(jìn)入“日志設(shè)置”界面。

　　如果要記錄被丟棄的包，則選中“記錄被丟棄的數(shù)據(jù)包”復(fù)選按鈕；如果要記錄成功的連接，則選中“記錄成功的連接”復(fù)選按鈕。

　　日志文件默認(rèn)路徑為C:，用記事本可以打開，所生成的安全日志使用的格式為W3C擴展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析。你也可以重新指定日志文件，而且還可以通過“大小限制”限定文件的最大使用空間。

「說明」 建立安全日志是非常必要的，在服務(wù)器安全受到威脅時，日志可以提供可靠的證據(jù)。

? linux防火墻-iptable的應(yīng)用

　　一．iptables簡介

　　從內(nèi)核開始，linux就已經(jīng)具有包過濾功能了，在的內(nèi)核中我們采用ipfwadm來操作內(nèi)核包過濾規(guī)則。之后在內(nèi)核中，采用了大家并不陌生的ipchains來控制內(nèi)核包過濾規(guī)則。在內(nèi)核中我們不再使用ipchains，而是采用一個全新的內(nèi)核包過濾管理工具—iptables。這個全新的內(nèi)核包過濾工具將使用戶更易于理解其工作原理，更容易被使用，當(dāng)然也將具有更為強大的功能。

　　實際上iptables只是一個內(nèi)核包過濾的工具，iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內(nèi)核中一個通用架構(gòu))及其相關(guān)模塊(如iptables模塊和nat模塊)。

　　Netfilter提供了一系列的“表(tables)”，每個表由若干“鏈(chains)”組成，而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，鏈又是規(guī)則的容器。

　　Netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個數(shù)據(jù)包”。當(dāng)一個數(shù)據(jù)包到達(dá)一個鏈時，系統(tǒng)就會從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會根據(jù)預(yù)先定義的策略(policy)來處理該數(shù)據(jù)包。

　　圖3-2-1 網(wǎng)絡(luò)數(shù)據(jù)包在filter表中的流程

　　數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進(jìn)入系統(tǒng)時，系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈，則可能有三種情況：

（1）如果數(shù)據(jù)包的目的地址是本機，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。

（2）如果數(shù)據(jù)包的目的地址不是本機，也就是說，這個包將被轉(zhuǎn)發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。

（3）如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的，則系統(tǒng)將其送往OUTPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。

　　當(dāng)我們在使用iptables NAT功能的時候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“-t nat”選項來顯式地指明這一點。因為系統(tǒng)缺省的表是“filter”，所以在使用filter功能時，我們沒有必要顯式的指明“-t filter”。

　　同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規(guī)則的容器，它們分別是：

（1）PREROUTING: 可以在這里定義進(jìn)行目的NAT的規(guī)則，因為路由器進(jìn)行路由時只檢查數(shù)據(jù)包的目的IP地址，為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進(jìn)行目的NAT。

（2）POSTROUTING: 可以在這里定義進(jìn)行源NAT的規(guī)則，在路由器進(jìn)行路由之后才進(jìn)行源NAT。（3）OUTPUT: 定義對本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。二．NAT工作原理

　　NAT的基本思想是為每個企業(yè)分配一個IP地址(或者是很少幾個)來進(jìn)行Internet傳輸。在企業(yè)內(nèi)部，每個電腦取得一唯一的IP地址來為內(nèi)部傳輸做路由。然而，當(dāng)封包離開企業(yè)，進(jìn)入ISP之后，就需要進(jìn)行地址轉(zhuǎn)換了。為了使這個方案可行，IP地址的范圍被聲明為私有的，企業(yè)可以隨意在內(nèi)部使用他們。僅有的規(guī)則是，沒有包含這些地址的封包出現(xiàn)在Internet上。

「說明」 IP私有地址范圍是：～/

　　8、 ～/

　　12、～/16。

　　如圖3-2-2所示。在企業(yè)內(nèi)部，每個機器都有一個唯一的形式的地址。然而，當(dāng)封包離開企業(yè)時，它要經(jīng)過NAT轉(zhuǎn)盒，NAT盒將內(nèi)部IP源地址，即圖中的轉(zhuǎn)換成企業(yè)的真實地址(這個地址對于Internet來說是可見的)，此例中為。NAT盒通常和防火墻一起綁定在一個設(shè)備上，這里的防火墻通過小心地控制進(jìn)出企業(yè)的封包提供了安全保障。

　　圖3-2-2 NAT地址轉(zhuǎn)換

　　三．iptables常用操作語法

　　對于任何協(xié)議及協(xié)議的擴展，通用匹配都可以直接使用。（1）匹配指定協(xié)議。

　　匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／說明匹配指定的協(xié)議，指定協(xié)議的形式有以下幾種：①名字不分大小寫，但必須是在/etc/protocols中定義的；②可以使用協(xié)議相應(yīng)的整數(shù)值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設(shè)置ALL，相應(yīng)數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協(xié)議；④可以是協(xié)議列表，以英文逗號為分隔符，如：udp,tcp；⑤可以在協(xié)議前加英文的感嘆號表示取反，注意有空格,如：--protocol!tcp表示非TCP協(xié)議，也就是UDP和ICMP。可以看出這個取反的范圍只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

　　匹配-s,--src,--source／使用 iptables-A INPUT-s ACCEPT／說明以IP源地址匹配包。地址的形式如下：①單個地址，如，也可寫成/或/32；②網(wǎng)絡(luò)，如/24,或/；③在地址前加英文感嘆號表示取反，注意空格，如—source!/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

　　匹配-d,--dst,--destination／使用 iptables-A INPUT-d ACCEPT／說明以IP目的地址匹配包。地址的形式和—source完全一樣。

（4）以包進(jìn)入本地使用的網(wǎng)絡(luò)接口匹配包。

　　匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／說明以包進(jìn)入本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個匹配操作只能用于INPUT,FORWARD和PREROUTING這三個鏈，用在其他任何地方會提示錯誤信息。指定接口有以下方法：①指定接口名稱，如：eth0、ppp0等；②使用通配符，即英文加號，它代表字符數(shù)字串。若直接用一個加號，即iptables-A INPUT-i +表示匹配所有的包，而不考慮使用哪個接口。通配符還可以放在某一類接口的后面，如：eth+表示匹配所有從Ethernet接口進(jìn)入的包；③在接口前加英文感嘆號表示取反，如：-i!eth0意思是匹配來自除eth0外的所有包。

（5）以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。

　　匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／說明以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個鏈，用在其他任何地方會提示錯誤信息。

（6）匹配通信源端口。

　　匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／說明當(dāng)通信協(xié)議為TCP或UDP時，可以指定匹配的源端口，但必須與匹配協(xié)議相結(jié)合使用。

（7）匹配通信源端口。

　　匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／說明當(dāng)通信協(xié)議為TCP或UDP時，可以指定匹配的目的端口，但必須與匹配協(xié)議相結(jié)合使用。

　　五．iptables功能擴展 1．TCP擴展

　　iptables可以擴展，擴展分為兩種：一種是標(biāo)準(zhǔn)的；另一種是用戶派生的。如果指定了“-p tcp”，那么TCP擴展將自動加載，通過--tcp-flags擴展，我們指定TCP報文的哪些Flags位被設(shè)置，在其后跟隨兩個參數(shù)：第一個參數(shù)代表Mask,指定想要測驗的標(biāo)志位；第二個參數(shù)指定哪些位被設(shè)置。

　　例：設(shè)置iptables防火墻禁止來自外部的任何tcp主動請求，并對此請求行為進(jìn)行事件記錄。

　　其中ULOG指定對匹配的數(shù)據(jù)包進(jìn)行記錄,由日志生成工具ULOG生成iptables防火日志，--log-prefix選項為記錄前綴。

　　2．ICMP擴展

　　例：設(shè)置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。

　　其中--icmp-type為擴展命令選項，其后參數(shù)可以是三種模式：（1）ICMP類型名稱（例如，host-unreachable）。（2）ICMP類型值(例如3)。（3）ICMP類型及代碼值（8/0）。六．狀態(tài)檢測

“狀態(tài)”的意思是指如果一個數(shù)據(jù)包是對先前從防火墻發(fā)出去的包的回復(fù)，則防火墻自動不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進(jìn)入并返回給請求者，這樣就不用設(shè)置許多規(guī)則定義就可實現(xiàn)應(yīng)用的功能。

　　我們可以把請求端與應(yīng)答端之間建立的網(wǎng)絡(luò)通信連接稱為網(wǎng)絡(luò)會話，每個網(wǎng)絡(luò)會話都包括以下信息——源IP地址、目標(biāo)IP地址、源端口、目的端口，稱為套接字對；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時時間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內(nèi)存中維護(hù)一個跟蹤狀態(tài)的表，比簡單的包過濾防火墻具有更大的安全性，而iptables就是一種基于狀態(tài)的防火墻。命令格式如下：

　　iptables-m state--state [!] state [,state,state,state] 其中，state表是一個由逗號分割的列表，用來指定連接狀態(tài)，狀態(tài)分為4種：（1）NEW: 該包想要建立一個新的連接（重新連接或連接重定向）

（2）RELATED:該包是屬于某個已經(jīng)建立的連接所建立的新連接。舉例：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。

（3）ESTABLISHED：該包屬于某個已經(jīng)建立的連接。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。七．NAT操作

　　前面提到在iptables防火墻中提供了3種策略規(guī)則表：Filter、Mangle和NAT，這3種表功能各不相同，而最為常用的就是filter和nat表。

　　Nat表僅用于NAT,也就是網(wǎng)絡(luò)地址轉(zhuǎn)換。做過NAT操作的數(shù)據(jù)包的地址就被改變了，當(dāng)然這種改變是根據(jù)我們的規(guī)則進(jìn)行的。屬于流的包只會經(jīng)過這個表一次，經(jīng)一個包被允許做NAT,那么余下的包都會自動地做相同的操作。也就是說，余下的包不會再通過這個表一個一個的被NAT，而是自動完成的。常用操作分為以下幾類。

（1）SNAT(source network address translation，源網(wǎng)絡(luò)地址目標(biāo)轉(zhuǎn)換)。

　　sNAT是POSTROUTING鏈表的作用，在封包就要離開防火墻之前改變其源地址，這在極大程度上可以隱藏本地網(wǎng)絡(luò)或者DMZ等。比如，多個PC機使用路由器共享上網(wǎng)，每個PC機都配置了內(nèi)網(wǎng)IP(私有IP)，PC機訪問外部網(wǎng)絡(luò)的時候，路由器將數(shù)據(jù)包的報頭中的源地址替換成路由器的IP，當(dāng)外部網(wǎng)絡(luò)的服務(wù)器比如網(wǎng)站W(wǎng)eb服務(wù)器接到訪問請求的時候，它的日志記錄下來的路由器的IP，而不是PC機的內(nèi)網(wǎng)IP，這是因為，這個服務(wù)器收到的數(shù)據(jù)包的報頭里邊的“源地址”已經(jīng)被替換了。所以叫做SNAT，基于源地址的地址轉(zhuǎn)換。

　　例如更改所有來自/24的數(shù)據(jù)包的源IP地址為，其iptables實現(xiàn)為：

（2）DNAT(destination network address translation，目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換)。

　　DNAT是PREROUTING鏈表的作用，在封包剛剛到達(dá)防火墻時改變其目的地址，以使包能重路由到某臺主機。典型的應(yīng)用是，有個Web服務(wù)器放在企業(yè)網(wǎng)絡(luò)DMZ區(qū)，其配置了內(nèi)網(wǎng)IP地址，企業(yè)防火墻的的外網(wǎng)接口配置了企業(yè)唯一的公網(wǎng)IP，互聯(lián)網(wǎng)上的訪問者使用公網(wǎng)IP來訪問這個網(wǎng)站，當(dāng)訪問的時候，客戶端發(fā)出一個數(shù)據(jù)包，這個數(shù)據(jù)包的報頭里邊，目標(biāo)地址寫的是防火墻的公網(wǎng)IP，然后再把這個數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務(wù)器上，這樣，數(shù)據(jù)包就穿透了防火墻，并從公網(wǎng)IP變成了一個對DMZ區(qū)的訪問了。所以叫做DNAT，基于目標(biāo)的網(wǎng)絡(luò)地址轉(zhuǎn)換。

　　例如更改所有來自/24的數(shù)據(jù)包的目的IP地址為，其iptables實現(xiàn)為：

（3）REDIRECT(重定向)。

　　REDIRECT是DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當(dāng)于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進(jìn)入系統(tǒng)時的網(wǎng)絡(luò)接口的IP地址。通常是在與squid配置形成透明代理時使用，假設(shè)squid的監(jiān)聽端口是3128,我們可以通過以下語句來將來自/24，目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽：

（4）MASQUERADE(地址偽裝)。

　　在iptables中有著和SNAT相近的效果，但也有一些區(qū)別。在使用SNAT的時候，出口IP的地址范圍可以是一個，也可以是多個，例如把所有

/2

　　4網(wǎng)段數(shù)據(jù)包

　　sNAT

　　成//等幾個IP然后發(fā)出去,其iptables實現(xiàn)為：

　　sNAT即可以NAT成一個地址，也可以NAT成多個地址。但是，對于SNAT來說不管是幾個地址，必須明確指定轉(zhuǎn)換的目標(biāo)地址IP。假如當(dāng)前系統(tǒng)用的是ADSL動態(tài)撥號方式，那么每次撥號，出口IP都會改變，而且改變的幅度很大，不一定是到范圍內(nèi)的地址，這個時候如果使用SNAT的方式來配置iptables就會出現(xiàn)麻煩了，因為每次撥號后出口IP都會變化，而iptables規(guī)則內(nèi)的IP是不會隨著自動變化的，每次地址變化后都必須手工修改一次iptables，把規(guī)則里邊的固定的IP改成新的IP，這樣是非常不好用的。

　　MASQUERADE就是針對這種場景而設(shè)計的，它的作用是從防火墻外網(wǎng)接口上自動獲取當(dāng)前IP地址來做NAT，比如下邊的命令：

　　八．防火墻應(yīng)用代理 1．代理服務(wù)器概述

　　在TCP/IP網(wǎng)絡(luò)中，傳統(tǒng)的通信過程是這樣的：客戶端向服務(wù)器請求數(shù)據(jù)，服務(wù)器響應(yīng)該請求，將數(shù)據(jù)傳送給客戶端，如圖3-2-3所示。

　　圖3-2-3 直接訪問Internet 在引入了代理服務(wù)器以后，這一過程變成了這樣：客戶端向服務(wù)器發(fā)起請求，該請求被送到代理服務(wù)器；代理服務(wù)器分析該請求，先查看自己緩存中是否有請求數(shù)據(jù)，如果有就直接傳遞給客戶端，如果沒有就代替客戶端向該服務(wù)器發(fā)出請求。服務(wù)器響應(yīng)以后，代理服務(wù)將響應(yīng)的數(shù)據(jù)傳遞給客戶端，同時在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣，再有客戶端請求相同的數(shù)據(jù)時，代理服務(wù)器就可以直接將數(shù)據(jù)傳送給客戶端，而不需要再向該服務(wù)器發(fā)起請求，如圖3-2-4所示。

　　圖3-2-4 通過代理服務(wù)器訪問Internet

　　2．代理服務(wù)器功能

　　一般說來，代理服務(wù)器具有以下的功能：（1）通過緩存增加訪問速度。

　　隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)帶寬變得越來越珍貴。所以為了提高訪問速度，好多ISP都提供代理服務(wù)器，通過代理服務(wù)器的緩存功能來加快網(wǎng)絡(luò)的訪問速度。一般說來，大多數(shù)的代理服務(wù)器都支持HTTP緩存，但是，有的代理服務(wù)器也支持FTP緩存。在選擇代理服務(wù)器時，對于大多數(shù)的組織，只需要HTTP緩存功能就足夠了。

　　通常，緩存有主動緩存被動緩存之分。所謂被動緩存，指的是代理服務(wù)器只在客戶端請求數(shù)據(jù)時才將服務(wù)器返回的數(shù)據(jù)進(jìn)行緩存，如果數(shù)據(jù)過期了，又有客戶端請求相同的數(shù)據(jù)時，代理服務(wù)器又必須重新發(fā)起新的數(shù)據(jù)請求，在將響應(yīng)數(shù)據(jù)傳送給客戶端時又進(jìn)行新的緩存。所謂主動緩存，就是代理服務(wù)器不斷地檢查緩存中的數(shù)據(jù)，一旦有數(shù)據(jù)過期，則代理服務(wù)器主動發(fā)起新的數(shù)據(jù)請求來更新數(shù)據(jù)。這樣，當(dāng)有客戶端請求該數(shù)據(jù)時就會大大縮短響應(yīng)時間。對于數(shù)據(jù)中的認(rèn)證信息，大多數(shù)的代理服務(wù)器都不會進(jìn)行緩存的。

（2）提供用私有IP訪問Internet的方法。

　　iP地址是不可再生的寶貴資源，假如你只有有限的IP地址，但是需要提供整個組織的Internet訪問能力，那么，你可以通過使用代理服務(wù)器來實現(xiàn)這一點。

（3）提高網(wǎng)絡(luò)的安全性。

　　如果內(nèi)部用戶訪問Internet都是通過代理服務(wù)器，那么代理服務(wù)器就成為進(jìn)入Internet的唯一通道；反過來說，代理服務(wù)器也是Internet訪問內(nèi)部網(wǎng)絡(luò)的唯一通道，如果你沒有做反向代理，則對于Internet上的主機來說，你的整個內(nèi)部網(wǎng)只有代理服務(wù)器是可見的，從而大大增強了網(wǎng)絡(luò)的安全性。

　　3．傳統(tǒng)、透明和反向代理服務(wù)器（1）傳統(tǒng)代理服務(wù)器。

　　傳統(tǒng)代理常被用于緩存靜態(tài)網(wǎng)頁(例如：html文件和圖片文件等)到本地網(wǎng)絡(luò)上的一臺主機上(即代理服務(wù)器)。不緩存的頁面被第二次訪問的時候，瀏覽器將直接從本地代理服務(wù)器那里獲取請求數(shù)據(jù)而不再向原Web站點請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬，而且提高了訪問速度。但是，要想實現(xiàn)這種方式，必須在每一個內(nèi)部主機的瀏覽器上明確指明代理服務(wù)器的IP地址和端口號?？蛻舳松暇W(wǎng)時，每次都把請求給代理服務(wù)器處理，代理服務(wù)器根據(jù)請求確定是否連接到遠(yuǎn)程Web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo)文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，并在本地保存一份緩沖，然后將文件發(fā)給客戶端瀏覽器。

（2）透明代理服務(wù)器。

　　透明代理與傳統(tǒng)代理的功能完全相同。但是，代理操作對客戶端瀏覽器是透明的(即不需指明代理服務(wù)器的IP和端口)。透明代理服務(wù)器阻斷網(wǎng)絡(luò)通信，并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶，如果在本地沒有緩沖則向遠(yuǎn)程Web服務(wù)器發(fā)出請求，其余操作和傳統(tǒng)代理服務(wù)器完全相同。對于Linux操作系統(tǒng)來說，透明代理使用iptables實現(xiàn)。因為不需要對瀏覽器作任何設(shè)置，所以，透明代理對于ISP來說特別有用。

（3）反向代理服務(wù)器。

　　反向代理是和前兩種代理完全不同的一種代理服務(wù)。使用它可以降低原始Web服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對原始Web服務(wù)器的靜態(tài)頁面的請求，防止原始服務(wù)器過載。如圖3-2-5所示，它位于本地Web服務(wù)器和Internet之間，處理所有對Web服務(wù)器的請求。如果互聯(lián)網(wǎng)用戶請求的頁面在代理器上有緩沖的話，代理服務(wù)器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒有緩沖則先向Web服務(wù)器發(fā)出請求，取回數(shù)據(jù)，本地緩存后再發(fā)送給用戶。這種方式通過降低了向Web服務(wù)器的請求數(shù)從而降低了Web服務(wù)器的負(fù)載。

　　圖3-2-5 反向代理服務(wù)器位于Internet與組織服務(wù)器之間

　　4．代理服務(wù)器squid簡介

　　squid是一個緩存Internet數(shù)據(jù)的一個開源軟件，它會接收用戶的下載申請，并自動處理所下載的數(shù)據(jù)。也就是說，當(dāng)一個用戶要下載一個主頁時，他向squid發(fā)出一個申請，要求squid替它下載，squid連接申請網(wǎng)站并請求該主頁，然后把該主頁傳給用戶同時保留一個備份，當(dāng)別的用戶申請同樣的頁面時，squid把保存的備份立即傳給用戶，使用戶覺得速度相當(dāng)快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議，暫不能代理POP、NNTP等協(xié)議。但是已經(jīng)有人開始改進(jìn)squid，相信不久的將來，squid將能夠代理這些協(xié)議。

　　squid不是對任何數(shù)據(jù)都進(jìn)行緩存。像信用卡賬號、可以遠(yuǎn)方執(zhí)行的Script、經(jīng)常變換的主頁等是不適合緩存的。Squid可以根據(jù)用戶的需要進(jìn)行設(shè)置，過濾掉不想要的東西。

　　squid可用在很多操作系統(tǒng)中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系統(tǒng)中重新編譯過Squid。

　　squid對內(nèi)存有一定的要求，一般不應(yīng)小于128M，硬盤最好使用服務(wù)器專用SCSI硬盤。

　　squid是一個高性能的代理緩存服務(wù)器，和一般的代理緩存軟件不同，Squid用一個單獨的、非模塊化的、I/O驅(qū)動的進(jìn)程來處理所有的客戶端請求。

　　squid將數(shù)據(jù)元緩存在內(nèi)存中，同時也緩存DNS查詢的結(jié)果。此外，它還支持非模塊化的DNS查詢，對失敗的請求進(jìn)行消極緩存。Squid支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），Squid能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。

　　squid由一個主要的服務(wù)程序Squid,一個DNS查詢程序dnsserver，幾個重寫請求和執(zhí)行認(rèn)證的程序，以及幾個管理工具組成。當(dāng)Squid啟動以后，它可以派生出預(yù)先指定數(shù)目的dnsserver進(jìn)程，而每一個dnsserver進(jìn)程都可以執(zhí)行單獨的DNS查詢，這樣就減少了服務(wù)器等待DNS查詢的時間。

　　5．Squid常用配置選項

　　因為缺省的配置文件不能使Squid正常啟動服務(wù)，所以我們必須首先修改該配置文件的有關(guān)內(nèi)容,才能讓Squid運行起來。

　　下面是文件的結(jié)構(gòu)。配置文件的可以分為13個部分，這13個部分如下有所示。

　　雖然Squid的配置文件很龐大，但是如果你只是為一個中小型網(wǎng)絡(luò)提供代理服務(wù)，并且只準(zhǔn)備使用一臺服務(wù)器，則只需要修改配置文件中的幾個選項。

　　6．Squid常用命令選項（1）端口號。

　　http_port指令告訴squid在哪個端口偵聽HTTP請求。默認(rèn)端口是3128：http_port 3128，如果要squid作為加速器運行則應(yīng)將它設(shè)為80。

　　你能使用附加http_port行來指squid偵聽在多個端口上。例如，來自某個部門的瀏覽器發(fā)送請求3128，然而另一個部門使8080端口?？梢詫蓚€端口號列舉出來：

　　http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運行時，它有兩個網(wǎng)絡(luò)接口：一個內(nèi)部的和一個外部的。你可能不想接受來自外部的http請求。為了使squid僅僅偵聽在內(nèi)部接口上，簡單的將IP地址放在端口號前面：

　　http_port :3128（2）日志文件路徑。

　　默認(rèn)的日志目錄是squid安裝位置下的logs目錄，其路徑是/usr/local/squid/var/logs。

　　你必須確認(rèn)日志文件所存放的磁盤位置空間足夠。squid想確認(rèn)你不會丟失任何重要的日志信息，特別是你的系統(tǒng)被濫用或者被攻擊時。

　　squid有三個主要的日志文件：、和。文件包含狀態(tài)性的和調(diào)試性的消息。文件包含了對squid發(fā)起的每個客戶請求的單一行。每行平均約150個字節(jié)。假如因為某些理由，你不想squid記錄客戶端請求日志，你能指定日志文件的路徑為/dev/null。文件對大多數(shù)cache管理員來說并非很有用。它包含了進(jìn)入和離開緩存的每個目標(biāo)的記錄。平均記錄大小典型的是175-200字節(jié)。

　　如果squid的日志文件增加沒有限制。某些操作系統(tǒng)對單個文件強制執(zhí)行2G的大小限制，即使你有充足的磁盤空間。超過該限制會導(dǎo)致寫錯誤，squid就會退出。（3）訪問控制。

　　squid默認(rèn)的配置文件拒絕每一個客戶請求。在任何人能使用代理之前，你必須在文件里加入附加的訪問控制規(guī)則。最簡單的方法就是定義一個針對客戶IP地址的ACL和一個訪問規(guī)則，告訴squid允許來自這些地址的HTTP請求。squid有許多不同的ACL類型。src類型匹配客戶IP地址，squid會針對客戶HTTP請求檢查http_access規(guī)則。

　　acl MyNetwork src /16 http_access allow MyNetwork 請將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯文件時，請看如下注釋：

　　在該注釋之后，以及“http_access deny all”之前插入新規(guī)則。（4）命令選項。

　　這里的很多選項在實際應(yīng)用中從不會使用，另外有些僅僅在調(diào)試問題時有用。

? 實驗步驟

? Windows 2003防火墻

　　一．防火墻基礎(chǔ)操作

　　操作概述：啟用windows2003系統(tǒng)防火墻，設(shè)置規(guī)則阻斷ICMP回顯請求數(shù)據(jù)包，并驗證針對UDP連接工具的例外操作。

（1）在啟用防火墻之前，同組主機通過ping指令互相測試網(wǎng)絡(luò)連通性，確?；ハ嗍沁B通的，若測試未通過請排除故障。

（2）本機啟用防火墻，并設(shè)置防火墻僅對“本地連接”進(jìn)行保護(hù)。

（3）同組主機再次通過ping指令互相測試網(wǎng)絡(luò)連通性，確認(rèn)是否相互連通_______。（4）設(shè)置本機防火墻允許其傳入ICMP回顯請求。（5）第三次測試網(wǎng)絡(luò)連通性。二．防火墻例外操作

　　操作概述：啟用windows2003系統(tǒng)防火墻，在“例外”選項卡中添加程序“UDPtools” 允許UDPtools間通信，并彈出網(wǎng)絡(luò)連接提示信息。

（1）關(guān)閉防火墻，同組主機間利用UDPtools進(jìn)行數(shù)據(jù)通信，確保通信成功。

「說明」 UDPtools通信雙方應(yīng)分別為客戶端和服務(wù)端，其默認(rèn)通過2513/UDP端口進(jìn)行通信，可以自定義通信端口，運行如圖3-1-1所示。

　　圖3-1-1 UDP連接工具

（2）本機啟用防火墻(僅對本地連接)，將本機作為UDPtools服務(wù)器端，同組主機以UDPtools客戶端身份進(jìn)行通信，確定客戶端通信請求是否被防火墻阻塞_______。

（3）斷開UDPtools通信，單擊“例外”選項卡，在“程序和服務(wù)”列表框添加程序“”（C:）并將其選中。再次啟動UDPtools并以服務(wù)器身份運行，同組主機仍以客戶端身份與其通信，確定客戶端通信請求是否被防火墻阻塞_______。

　　三．NAT操作

　　操作概述：Windows Server 2003“路由和遠(yuǎn)程訪問”服務(wù)包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運行“路由和遠(yuǎn)程訪問”的服務(wù)器上，則使用專用IP地址的內(nèi)部網(wǎng)絡(luò)客戶端可以通過NAT服務(wù)器的外部接口訪問Internet。

　　圖3-1-2 實驗網(wǎng)絡(luò)連接示意

　　參看圖3-1-2，當(dāng)內(nèi)部網(wǎng)絡(luò)主機PC1發(fā)送要連接Internet主機PC2的請求時，NAT協(xié)議驅(qū)動程序會截取該請求，并將其轉(zhuǎn)發(fā)到目標(biāo)Internet主機。所有請求看上去都像是來自NAT器的外部連接IP地址，這樣就隱藏了內(nèi)部網(wǎng)絡(luò)主機。

　　在這里我們將windows Server 2003主機配置成為“路由和遠(yuǎn)程訪問”NAT服務(wù)器，并模擬搭建Internet網(wǎng)絡(luò)環(huán)境對NAT服務(wù)器進(jìn)行測試。

（1）實驗網(wǎng)絡(luò)拓?fù)湟?guī)劃。

　　按圖3-1-2所示，本實驗需3臺主機共同完成，其中一臺主機扮演實驗角色“內(nèi)網(wǎng)主機PC1”,一臺主機扮演實驗角色“外網(wǎng)主機PC2”,最后一臺主機扮演“NAT服務(wù)器”。

　　默認(rèn)外部網(wǎng)絡(luò)地址／24；內(nèi)部網(wǎng)絡(luò)地址／24，也可根據(jù)實際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。

　　默認(rèn)主機“本地連接”為內(nèi)部網(wǎng)絡(luò)接口；“外部連接“為外部網(wǎng)絡(luò)接口，也可指定“本地連接”為外部網(wǎng)絡(luò)接口。

（2）按步驟(1)中規(guī)劃分別為本機的“本地連接”、“外部連接”配置IP地址。

（3）配置NAT路由服務(wù)。依次單擊“開始”|“程序”|“管理工具”|“路由和遠(yuǎn)程訪問”，在“路由和遠(yuǎn)程訪問”MMC中，選擇要安裝NAT路由協(xié)議的服務(wù)器(這里為本地主機)，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”。

「注」 操作期間若彈出“為主機名啟用了Windows防火墻/Internet連接共享服務(wù)……”警告信息，請先禁用“Windows防火墻/Internet連接共享”服務(wù)，后重試操作。具體做法：“開始”|“程序”| “管理工具”|“計算機管理”|“服務(wù)和應(yīng)用程序”|“服務(wù)”，在右側(cè)服務(wù)列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務(wù)，先將其停止，然后在啟動類型中將其禁用。

（4）在“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А敝羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”服務(wù)。

（5）在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡(luò)接口，該網(wǎng)絡(luò)接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應(yīng)選擇“外部連接”。

（6）本實驗中沒有應(yīng)用到DHCP、DNS服務(wù)，所以在“名稱和地址轉(zhuǎn)換服務(wù)”界面中選擇“我將稍后設(shè)置名稱和地址服務(wù)”。至最后完成路由和遠(yuǎn)程訪問配置。

（7）接下來的工作是對各NAT服務(wù)器進(jìn)行測試。下面以主機ABC為例進(jìn)行測試說明：參照圖3-1-2，設(shè)定主機A為內(nèi)網(wǎng)主機PC1，將其內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)的默認(rèn)網(wǎng)關(guān)指向主機B的內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)；設(shè)定主機C為外網(wǎng)主機PC2。內(nèi)網(wǎng)主機A通過ping指令對外網(wǎng)主機C做連通性測試。

（8）ICMP會話分析。在主機A做連通性測試的同時，主機B打開“協(xié)議分析器”并定義過濾器，操作如下：依次單擊菜單項“設(shè)置”|“過濾器”，在“協(xié)議過濾”選項卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”，在彈出的“適配器選擇”界面中選擇“外部連接”，開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格，當(dāng)捕獲到數(shù)據(jù)時單擊“停止捕獲數(shù)據(jù)包”按鈕，依次展開“會話分析樹”|“ICMP會話”，如圖3-1-3所示。

　　圖3-1-3 在NAT服務(wù)器外部接口上監(jiān)聽到的ICMP會話

（9）結(jié)合ICMP會話分析結(jié)果說出ICMP數(shù)據(jù)包的傳輸（路由）過程_________。

? linux防火墻-iptable的應(yīng)用

　　一．包過濾實驗

　　操作概述：為了應(yīng)用iptables的包過濾功能，首先我們將filter鏈表的所有鏈規(guī)則清空，并設(shè)置鏈表默認(rèn)策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則，依次允許同組主機icmp回顯請求、Web請求，最后開放信任接口eth0。iptables操作期間需同組主機進(jìn)行操作驗證。

（1）清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。

（2）確定同組主機已清空filter鏈表后，利用nmap（/opt/portscan/目錄下）對同組主機進(jìn)行端口掃描。

　　Nmap端口掃描命令________。

「說明」 nmap具體使用方法可查看實驗6｜練習(xí)1｜TCP端口掃描。查看端口掃描結(jié)果，并填寫下表。

（3）查看INPUT、FORWARD和OUTPUT鏈默認(rèn)策略。iptables命令_________。

? ?（4）將INPUT、FORWARD和OUTPUT鏈默認(rèn)策略均設(shè)置為DROP。iptables命令_________。

　　確定同組主機已將默認(rèn)策略設(shè)置為DROP后，本機再次利用nmap其進(jìn)行端口掃描，查看掃描結(jié)果，并利用ping命令進(jìn)行連通性測試。

（5）利用功能擴展命令選項(ICMP)設(shè)置防火墻僅允許ICMP回顯請求及回顯應(yīng)答。ICMP回顯請求類型__________；代碼__________。ICMP回顯應(yīng)答類型__________；代碼__________。iptables命令__________ 利用ping指令測試本機與同組主機的連通性。（6）對外開放Web服務(wù)(默認(rèn)端口80/tcp)。iptables命令__________ 利用nmap對同組主機進(jìn)行端口掃描，查看掃描結(jié)果。

（7）設(shè)置防火墻允許來自eth0(假設(shè)eth0為內(nèi)部網(wǎng)絡(luò)接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對同組主機進(jìn)行端口掃描，查看掃描結(jié)果。二．事件審計實驗

　　操作概述：利用iptables的日志功能檢測、記錄網(wǎng)絡(luò)端口掃描事件，日志路徑 /var/log/。（1）根據(jù)實驗原理(TCP擴展)設(shè)計iptables包過濾規(guī)則，并應(yīng)用日志生成工具ULOG對iptables捕獲的網(wǎng)絡(luò)事件進(jìn)行響應(yīng)。

　　iptables命令__________（2）同組主機應(yīng)用端口掃描工具對當(dāng)前主機進(jìn)行端口掃描，并觀察掃描結(jié)果。（3）在同組主機端口掃描完成后，當(dāng)前主機查看iptables日志，對端口掃描事件進(jìn)行審計，日志內(nèi)容如圖3-2-1所示。

　　圖3-2-1 iptables日志內(nèi)容

　　三．狀態(tài)檢測實驗

　　操作概述：分別對新建和已建的網(wǎng)絡(luò)會話進(jìn)行狀態(tài)檢測。1．對新建的網(wǎng)絡(luò)會話進(jìn)行狀態(tài)檢測（1）清空filter規(guī)則鏈全部內(nèi)容。iptables命令__________（2）設(shè)置全部鏈表默認(rèn)規(guī)則為允許。iptables命令__________（3）設(shè)置規(guī)則禁止任何新建連接通過。iptables命令__________（4）同組主機對當(dāng)前主機防火墻規(guī)則進(jìn)行測試，驗證規(guī)則正確性。2．對已建的網(wǎng)絡(luò)會話進(jìn)行狀態(tài)檢測

（1）清空filter規(guī)則鏈全部內(nèi)容，并設(shè)置默認(rèn)規(guī)則為允許。

（2）同組主機首先telnet遠(yuǎn)程登錄當(dāng)前主機，當(dāng)出現(xiàn)“l(fā)ogin:”界面時，暫停登錄操作。telnet登錄命令_________（3）iptables添加新規(guī)則(狀態(tài)檢測)——僅禁止新建網(wǎng)絡(luò)會話請求。iptables命令___________ 或___________________ 同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功__________。

　　同組主機啟動Web瀏覽器訪問當(dāng)前主機Web服務(wù)，訪問是否成功__________。解釋上述現(xiàn)象______________________。

（4）刪除步驟（3）中添加的規(guī)則，并插入新規(guī)則(狀態(tài)檢測)——僅禁止已建網(wǎng)絡(luò)會話請求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實驗步驟(1)(2)(4)。同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令 “guestpass”，登錄是否成功__________。

　　同組主機啟動Web瀏覽器訪問當(dāng)前主機Web服務(wù)，訪問是否成功__________。解釋上述現(xiàn)象_______________。

（5）當(dāng)前主機再次清空filter鏈表規(guī)則，并設(shè)置默認(rèn)策略為DROP,添加規(guī)則開放FTP服務(wù)，并允許遠(yuǎn)程用戶上傳文件至FTP服務(wù)器。

　　iptables命令______________________________________ 四．NAT轉(zhuǎn)換實驗

　　實驗概述：圖3-2-2描述了NAT轉(zhuǎn)換實驗所應(yīng)用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。內(nèi)網(wǎng)主機與NAT服務(wù)器eth0接口位于同一網(wǎng)段(內(nèi)網(wǎng))；外網(wǎng)主機與NAT服務(wù)器eth1接口位于同一網(wǎng)絡(luò)(外網(wǎng))；NAT服務(wù)器提供NAT轉(zhuǎn)換。通過設(shè)置nat服務(wù)器的iptables NAT規(guī)則，實現(xiàn)內(nèi)、外網(wǎng)主機間的通信數(shù)據(jù)包的地址轉(zhuǎn)換，達(dá)到屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與轉(zhuǎn)發(fā)外網(wǎng)主機請求端口的目的。

　　圖3-2-2 實驗網(wǎng)絡(luò)拓?fù)浣Y(jié)

「說明」 本實驗是在Linux系統(tǒng)下完成，Linux系統(tǒng)默認(rèn)安裝了2塊以太網(wǎng)卡，網(wǎng)絡(luò)接口分別為eth0和eth1，在設(shè)置NAT服務(wù)前請激活eth1網(wǎng)絡(luò)接口，命令ifconfig eth1 up。

　　1．確定各接口IP地址

　　本實驗由ABC、DEF主機各為一實驗小組。默認(rèn)實驗角色：主機A為內(nèi)網(wǎng)主機、B為NAT服務(wù)器、C為外網(wǎng)主機。也可以自定義實驗角色。

　　默認(rèn)內(nèi)網(wǎng)IP地址/

　　24、外網(wǎng)IP地址/24。配置完成內(nèi)網(wǎng)主機eth0接口IP地址及默認(rèn)網(wǎng)關(guān)(指向NAT服務(wù)器內(nèi)網(wǎng)接口)，NAT服務(wù)器eth0和eth1接口IP地址，外網(wǎng)主機eth0接口IP地址，并完成下列問題的填寫：

　　內(nèi)網(wǎng)主機IP____________________，其默認(rèn)網(wǎng)關(guān)____________________； 外網(wǎng)主機IP____________________；

　　NAT服務(wù)器內(nèi)網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。

　　內(nèi)網(wǎng)主機對NAT服務(wù)器內(nèi)網(wǎng)接口進(jìn)行連通性測試（ping）；外網(wǎng)主機對NAT服務(wù)器外網(wǎng)接口進(jìn)行連通性測試（ping）。

　　2．設(shè)置防火墻規(guī)則允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)

　　操作流程：首先開啟NAT服務(wù)器的路由功能(開啟網(wǎng)絡(luò)接口間數(shù)據(jù)的轉(zhuǎn)發(fā))，清空filter鏈表全部規(guī)則，并設(shè)置其默認(rèn)策略為DROP；繼續(xù)設(shè)置規(guī)則允許來自內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)入外網(wǎng)，并允許任何返回流量回到內(nèi)網(wǎng)；最后規(guī)則實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉(zhuǎn)發(fā)。

（1）NAT服務(wù)器開啟路由功能。

　　基于安全的考慮，默認(rèn)情況下Linux路由數(shù)據(jù)包的功能是關(guān)閉的，通過下述命令開啟系統(tǒng)路由功能：

（2）設(shè)置filter表規(guī)則鏈，默認(rèn)策略為禁止。iptables命令_______________________（3）添加filter表新規(guī)則，允許來自防火墻的流量進(jìn)入Internet；允許任何相關(guān)的返回流量回到防火墻。

　　iptables命令_______________________（4）添加filter表新規(guī)則，實現(xiàn)NAT服務(wù)器內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機C啟動Snort（/opt/ids/snort）以網(wǎng)絡(luò)嗅探方式運行(設(shè)置過濾器僅監(jiān)聽icmp數(shù)據(jù)包)，主機A ping探測主機C，是否ping通______？

　　將主機C的默認(rèn)網(wǎng)關(guān)指向NAT服務(wù)器的外網(wǎng)接口，主機A再次ping探測主機C，是否ping通__________？結(jié)合snort捕獲數(shù)據(jù)，對比實驗現(xiàn)象，說明原因：___________________。

　　3．設(shè)置防火墻規(guī)則通過NAT屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

　　操作流程：在實現(xiàn)步驟2的操作基礎(chǔ)上，添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的地址翻譯。（1）NAT服務(wù)器重新啟動iptables服務(wù)。service iptables restart（2）重新操作步驟2(⑵～⑶)。

（3）添加nat表新規(guī)則，通過網(wǎng)絡(luò)地址翻譯實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換。iptables命令_______________________（4）添加filter表新規(guī)則，實現(xiàn)NAT內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1之間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機C重新將默認(rèn)網(wǎng)關(guān)指為空，重新啟動Snort捕獲ICMP數(shù)據(jù)。主機A對主機C進(jìn)行ping探測，是否ping通__________？主機C停止Snort監(jiān)聽，查看已捕獲到ICMP數(shù)據(jù)，其源IP地址是__________？解釋實驗象_____________________________________。

　　4．設(shè)置防火墻規(guī)則通過NAT實現(xiàn)外網(wǎng)請求端口轉(zhuǎn)發(fā)

　　操作流程：在實現(xiàn)步驟3的操作基礎(chǔ)，添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(端口轉(zhuǎn)發(fā))。（1）NAT服務(wù)器重新啟動iptables服務(wù)。service iptables restart（2）重新操作步驟3(⑵～⑷)。

（3）添加nat表新規(guī)則，實現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯（80/tcp端口轉(zhuǎn)發(fā)）。iptables命令__________________(4)完成NAT外部接口eth1到內(nèi)部接口eth0之間的數(shù)據(jù)轉(zhuǎn)發(fā) iptables命令__________________（5）確定主機C默認(rèn)網(wǎng)關(guān)指為空，主機A和主機C啟動Snort捕獲80/tcp數(shù)據(jù)，主機C啟動Web瀏覽器，在地址欄中輸入： 通過“桌面”｜“管理”｜“網(wǎng)絡(luò)”激活eth1，并手動分配IP地址； 在控制臺中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 /24為eth1分配IP地址。（3）代理服務(wù)器配置squid。

　　代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件。在中配置如下選項：

　　第936行，使用默認(rèn)的端口http_port 3128；

　　第574行，添加行acl mynet src 主機A地址域。例如acl mynet src /24； 第610行，添加行http_access allow mynet。（4）運行代理服務(wù)器

　　代理服務(wù)器進(jìn)入目錄/usr/local/squid/sbin/，輸入命令：./squid –NCd1啟動代理服務(wù)。（5）通過代理訪問Web服務(wù)器

　　內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過“工具”｜“Internet選項”｜“連接”｜“局域網(wǎng)設(shè)置”選中“為LAN使用代理服務(wù)器”，在“地址”中輸入代理服務(wù)器的內(nèi)網(wǎng)IP，在“端口”中輸入代理服務(wù)器的監(jiān)聽端口號，單擊“確定”按鈕，完成瀏覽器設(shè)置。

　　內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄中輸入“ 第936行，修改為：http_port 主機B內(nèi)網(wǎng)IP:3128 transparent（3）代理服務(wù)器添加iptables規(guī)則。

　　對從代理服務(wù)器內(nèi)網(wǎng)接口進(jìn)入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包，做“端口重定向”。將數(shù)據(jù)包重定向到3128端口，規(guī)則如下：

　　iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）運行代理服務(wù)器。

（5）通過代理訪問Web服務(wù)器。

　　內(nèi)網(wǎng)客戶端將本地連接的“默認(rèn)網(wǎng)關(guān)”設(shè)置為代理服務(wù)器的內(nèi)網(wǎng)IP，即代理服務(wù)器的eth0網(wǎng)絡(luò)接口的IP。內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過“工具”｜“Internet選項”｜“連接”｜“局域網(wǎng)設(shè)置”，取消“為LAN使用代理服務(wù)器”。

　　內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄輸入“ 第936行，修改為：http_port 主機B外網(wǎng)地址:80 vhost。

　　第1499行，添加行：cache_peer 主機A的IP parent 80 0 no-query originserver。第574行，修改為：acl outside src 主機C地址域。例如acl outside src /24。第610行，修改為：http_access allow outside。（3）停止代理服務(wù)器的Web服務(wù)。

　　在代理服務(wù)器的終端輸入命令：service httpd stop。（4）刪除緩存文件。

　　刪除目錄/usr/local/squid/var/cache/00/00下所有文件。（5）運行代理服務(wù)器。

（6）外網(wǎng)通過代理訪問內(nèi)網(wǎng)客戶端Web服務(wù)

　　外網(wǎng)Web服務(wù)器在IE瀏覽器地址欄中輸入“ 滿分： 分

　　顯示答案

　　簡答題（共5題,分）

　　1按照拓?fù)鋱D，搭建環(huán)境配置服務(wù)器并設(shè)置接口區(qū)域和ip地址。（15分）

　　提交display ip int bri中接口配置；（5分）

　　提交display current中接口添加到對應(yīng)區(qū)域的配置；（6分）

　　2設(shè)置源NAT策略和配置安全策略，保證內(nèi)網(wǎng)vlan10和vlan20用戶通過HFW1能訪問外網(wǎng)；內(nèi)網(wǎng)vlan30和vlan40用戶通過HFW2能訪問外網(wǎng)。（共計30分）

　　提交HFW1的安全策略配置和NAT策略截圖（分）；

　　提交HFW2的安全策略配置和NAT策略截圖（分）；

　　提交vlan10和vlan20主機訪問外網(wǎng)后，防火墻HFW1 display firewall session table截圖；（分）；

　　提交vlan30和vlan40主機訪問外網(wǎng)后，防火墻HFW2 display firewall session table截圖；（分）；

　　設(shè)置目的NAT策略和配置安全策略，保證外網(wǎng)用戶訪問的web服務(wù)時，訪問的是內(nèi)部網(wǎng)絡(luò)dmz區(qū)域的（共計15分）；

　　提交HFW1上display nat server截圖（10分）；

　　提交外部瀏覽器訪問 current與DHCP有關(guān)的截圖（6分），其中地址池配置4分，端口下引用（2分））；

　　提交vlan10下主機pc1獲得ip地址的截圖（分）；

　　提交vlan20下主機pc2獲得ip地址的截圖（分）；

　　提交vlan30下主機pc3獲得ip地址的截圖（分）；

　　提交vlan40下主機pc4獲得ip地址的截圖（分）；

　　配置兩臺防火墻的雙機熱備，HFW1防火墻為vlan10和vlan20的active（活動）設(shè)備，HFW2防火墻為vlan10和vlan20的standby（備份）設(shè)備；HFW1防火墻為vlan40和vlan30的standby（備份）設(shè)備，HFW2防火墻為vlan30和vlan40的active（活動）設(shè)備；

　　兩臺防火墻均可以訪問互聯(lián)網(wǎng)，當(dāng)active（活動）設(shè)備發(fā)生故障時能夠?qū)崿F(xiàn)切換，虛擬機訪問互聯(lián)網(wǎng)不能出現(xiàn)中斷。（共計40分）

　　1）熱冗余備份配置完成后，提交相關(guān)驗證結(jié)果（16分）

　　提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果（2分）；

　　提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（2分）；

　　提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果（2分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（2分）；

　　提交VLAN10的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（2分）；

　　提交VLAN40的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（2分）；

　　提交FHW1的display firewall session會話轉(zhuǎn)化表（2分）；

　　提交FHW2的display firewall session會話轉(zhuǎn)化表（2分）；

　　2）熱冗余備份環(huán)境下，在交換機g0/0/24下執(zhí)行shutdown命令，提交相關(guān)驗證結(jié)果（8分）

　　提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果（1分）；

　　提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（1分）；

　　提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果（1分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（1分）；

　　提交VLAN10的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（1分）；

　　提交VLAN40的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（1分）；

　　提交FHW1的display firewall session會話轉(zhuǎn)化表（1分）；

　　提交FHW2的display firewall session會話轉(zhuǎn)化表（1分）；

　　3）熱冗余備份環(huán)境下，在交換機的g0/0/24下再執(zhí)行undo shutdown命令后，等待系統(tǒng)恢復(fù)后提交相關(guān)驗證結(jié)果（8分）

　　提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果（1分）；

　　提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（1分）；

　　提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果（1分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（1分）；

　　提交VLAN10的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（1分）；

　　提交VLAN40的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（1分）；

　　提交FHW1的display firewall session會話轉(zhuǎn)化表（1分）；

　　提交FHW2的display firewall session會話轉(zhuǎn)化表（1分）；

　　4）熱冗余備份環(huán)境下，在防火墻HFW2下的g1/0/4下執(zhí)行shutdown命令后，等待一段時間，提交相關(guān)驗證結(jié)果（8分）

　　提交啟動熱冗余備份后防火墻HFW1的display hrp state結(jié)果（1分）；

　　提交啟動熱冗余備份后防火墻HFW1的display vrrp brief結(jié)果（1分）；

　　提交啟動熱冗余備份后防火墻HFW2的display hrp state結(jié)果（1分），提交啟動熱冗余備份后防火墻HFW2的display vrrp brief結(jié)果（1分）；

　　提交VLAN10的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（1分）；

　　提交VLAN40的主機用tracert 訪問外部網(wǎng)絡(luò)主機的截圖（1分）；

　　提交FHW1的display firewall session會話轉(zhuǎn)化表（1分）；

　　提交FHW2的display firewall session會話轉(zhuǎn)化表（1分）；

實驗8防火墻透明模式配置3篇 防火墻透明模式部署相關(guān)文章：