一、实验目的
防火墙与入侵防护实验与理论教学第八章防火墙与入侵防护系统相对应。本实验在学生完成终端和服务器防火墙配置实验、无状态分组过滤器配置实验、及有状态分组过滤器配置实验的基础上,使学生能够解释防火墙的作用,能够列举防火墙的各种类型和特征,并能够实现防火墙的部署和配置。具体如下:
1 **、终端和服务器防火墙配置实验:**验证终端和服务器防火墙配置过程、验证终端和服务器防火墙实施访问控制策略的过程、验证终端和服务器防火墙入规则配置过程。
2 、无状态分组过滤器配置实验 **:**验证无状态分组过滤器配置过程、验证无状态分组过滤器实施访问控制策略的过程、验证过滤规则设置原则和方法、验证过滤规则作用过程。
3 、有状态分组过滤器配置实验 **:**验证有状态分组过滤器配置过程、验证有状态分组过滤器实施访问控制策略的过程、验证过滤规则设置原则和方法、验证过滤规则作用过程、验证基于会话的信息交换控制机制。
二、实验简要原理
1 、终端和服务器防火墙配置实验
配置规则的关键因素是指定IP地址范围,一般通过CIDR地址块或网络地址指定IP地址范围,如CIDR地址块192.1.1.0/28指定的IP地址范围为 192.1.1.0~192.1.1.15,但CIDR地址块192.1.1.0/28中的IP地址192.1.1.0是网络地址,192.1.1.15是直接广播地址,这两个!P地址都不是可分配的IP地址。如果用CIDR地址块表示网络地址,子网掩码的位数一般不能大于31位。为了用CIDR地址块表示唯一的IP地址,如IP地址192.1.1.1,可以用该IP地址和32位子网掩码的组合来表示唯一的该IP地址,如192.1.1.1/32。
为了方便表示IP地址范围,防火墙引进反掩码,如IP地址范围192.1.1.0~192.1.115,可以用IP地址192.1.1.0和反掩码0.0.0.15表示。反掩码表示方式下,先将IP地址192.1.1.0 和反掩码 0.0.0.15进行"或"运算,得到运算结果192.1.1.15。给定某个IP地址,将该IP地址与反掩码 0.0.0.15 进行"或"运算,如果运算结果等于 192.1.1.15,表示该IP地址属于用IP地址192.1.1.0和反掩码0.0.0.15表示的IP地址范围。如IP地址 192. 1.1.7与反掩码 0.0.0.15 进行"或"运算后得到的运算结果是192.1.1.15,因此,IP地址192.1.1.7属于用IP地址 192.1.1.0和反掩码 0.0.0.15 表示的IP地址范围。
引入反掩码后,可以用IP地址192.1.1.1和反掩码0.0.0.0唯一指定IP地址192.1.1.1。也可以用IP地址192.1.2.2和反掩码0.0.0.1指定IP地址192.1.2.2和192.1.2.3,同样,可以用IP地址192.1.1.4和反掩码0.0.0.1指定IP地址 192.1.1.4和 192.1.1.5。
2 、无状态分组过滤器配置实验
路由器R1接口1输入方向的过滤规则集如下。
① 协议类型=TCP,源IP地址=192,1.1.1/32,源端口号=*,目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。
②协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=21,目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。
③协议类型=TCP,源IP地址=192.1.1.7/32,源端口号>1024,目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。
④协议类型=x,源P地址=any,目的P地址=any;丢弃。
路由器R2接口2输入方向的过滤规则集如下。
①协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*,目的IP地址=192.1.1.7/32,目的端口号=21;正常转发。
②协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*,目的IP地址=192.1.1.7/32,目的端口号>1024;正常转发。
③协议类型=TCP,源IP地址=192.1.2.7/32,源端口号=80,目的IP地址=192.1.1.1/32,目的端口号=*;正常转发。
④协议类型=*,源IP地址=any,目的IP地址=any;丢弃。
条件"协议类型=*"是指IP分组首部中的协议字段值可以是任意值。"源端口号=*"是指源端口号可以是任意值。
路由器R1接口1输入方向过滤规则①表明只允许与终端A以HTTP访问Web服务器有关的TCP报文继续正常转发。过滤规则表明只允许属于FTP服务器和终端B之间控制连接的TCP报文继续正常转发。过滤规则③表明只允许属于FTP服务器和终端B之间数据连接的TCP报文继续正常转发。由于FTP服务器是被动打开的,因此,数据连接FTP服务器端的端口号是不确定的,FTP服务器在大于1024的端口号中随机选择一个端口号作为数据连接的端口号。过滤规则④表明丢弃所有不符合上述过滤规则的IP分组。路由器R2接口2输入方向过滤规则集的作用与此相似。
3 、有状态分组过滤器配置实验
路由器R1接口1输入方向的过滤规则集如下。
① 协议类型-TCP,源 IP地址=192.1.1.1/32,源端口号=*,目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。
②协议类型=x,源P地址=any,目的IP地址=any;丢弃。
路由器R1接口1输出方向的过滤规则集如下。
① 协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*,目的IP地址=192.1.1.7/32,目的端口号=21;正常转发。
② 协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*,目的IP地址=192.1.1.7/32,目的端口号>1024;正常转发。
③协议类型=*,源P地址=any,目的P地址=any;丢弃。
与7.7节无状态分组过滤器配置实验不同,路由器R1接口1输入方向过滤器只允许与终端A发起访问Web服务器有关的TCP报文输入,禁止FTP服务器发送给终端B的响应报文输入。同样,路由器R1接口1输出方向过滤器只允许与终端B发起访问FTP服务器有关的TCP报文输出,禁止Web服务器发送给终端A的响应报文输出。
这是有状态分组过滤器不同于无状态分组过滤器的地方,对于终端A发起访问Web服务器的过程,只有在路由器R1接口1输入方向输入了终端A发送给Web服务器的请求消息后,路由器R1才自动在接口1输出方向设置允许该请求消息对应的响应消息输出的过滤规则。即输出方向允许Web服务器发送给终端A的TCP报文输出的前提有两个,一是输入方向输入了封装终端A发送给Web服务器的请求消息的TCP报文,且该TCP报文与规则①匹配。二是输出的TCP报文是封装Web服务器发送给终端A的响应消息的 TCP 报文。
对于终端B发起访问FTP服务器过程,只有在路由器R1接口1输出方向输出了终端B发送给FTP服务器的请求消息后,路由器R1才自动在接口1输入方向设置允许该请求消息对应的响应消息输入的过滤规则。
路由器R2接口2输入方向的过滤规则集如下。
① 协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*,目的IP地址=192.1.1.7/32,目的端口号=21;正常转发。
②协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*,目的IP地址=192.1.1.7/32,目的端口号>1024;正常转发。
③协议类型=*,源P地址=any,目的IP地址=any;丢弃。
路由器R2接口2输出方向的过滤规则集如下。
① 协议类型=TCP,源IP地址=192.1.1.1/32,源端口号=*,目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。
②协议类型=*,源IP地址=any,目的IP地址=any;丢弃。
路由器R2接口2输入输出方向过滤规则集的配置原则与路由器R1接口1输入输出方向过滤规则集的配置原则相同。
除了在路由器接口输入输出方向配置分组过滤器,为了在一个方向通过请求消息后在另一个方向自动添加允许该请求消息对应的响应消息通过的过滤规则,需要同步配置监测器,监测器用于监测某个方向通过的请求消息,并在监测到请求消息后,自动在相反方向添加允许该请求消息对应的响应消息通过的过滤器规则。
三、实验环境
本实验基于Cisco Packet Tracer 8.1软件完成,通过Packet Tracker可以运用Cisco网络设备设计、配置和调试网络,可以模拟分组端到端传输过程中的每一个步骤;可以直观了解IP分组端到端传输过程中交换机、路由器等网络设备具有的各种安全功能对IP分组的作用过程。
四、实验内容
1 、终端和服务器防火墙配置实验
终端和服务器带有防火墙,通过配置某个终端或服务器中防火墙的入规则,可以有效控制其他终端和服务器对该终端或服务器的访问过程。一般情况下,通过制定访问控制策略来限制其他终端和服务器对某个终端或服务器的访问过程,因此,需要将访问控制策略转换成入规则,通过对该终端或服务器配置入规则来实施访问控制策略。
图7.1 终端服务器防火墙配置的互连网络结构
假定对于如图7.1所示的互连网络,制定以下访问控制策略。
(1)终端访问控制策略
终端访问控制策略如下。不允许不属于同一网络的终端之间相互进行ping操作。因此,对于终端A,实施访问控制策略的入规则如表7.1所示。终端C的入规则与终端A相似。
表7.1 终端A的入规则
|--------|---------------------|--------|--------|
| 序号 | 源 IP 地址 | 协议 | 动作 |
| 1 | 192.1.2.2或192.1.2.3 | ICMP | 丢弃 |
| 2 | any | IP | 允许 |
规则1禁止源IP地址为终端C或终端D的IP地址,且净荷是ICMP报文的IP分组进入终端A。规则2允许除规则1禁止的IP分组以外的所有其他IP分组进入终端A。
(2)Web 服务器访问控制策略
Web服务器访问控制策略如下。对于和Web服务器不属于同一网络的终端,只允许这些终端用浏览器访问 Web主页。因此对于Web服务器1,实施访问控制策略的入规则如表7.2所示。Web服务器2的入规则与Web服务器1相似。
表7.2 Web服务器1的入规则
|--------|---------------------|--------|----------|-----------|--------|
| 序号 | 源 IP 地址 | 协议 | 源端口号 | 目的端口号 | 动作 |
| 1 | 192.1.2.2或192.1.2.3 | TCP | any | 80 | 允许 |
| 2 | 192.1.1.4或192.1.1.5 | IP | | | 允许 |
| 3 | any | IP | | | 丢弃 |
规则1允许源IP地址为终端C或终端D的IP地址,且净荷是目的端口号等于80的TCP报文的IP分组进入Web服务器1。规则2允许源IP地址为终端A或终端B的IP地址的IP分组进入Web服务器1。规则3禁止除规则1和规则2允许的IP分组以外的所有其他IP分组进入Web服务器1。
2 、无状态分组过滤器配置实验
互连的网络结构如图7.2所示,分别在路由器R1接口1输入方向和路由器R2接口2输入方向设置无状态分组过滤器,实现只允许终端A访问Web服务器,终端B访问FTP服务器,禁止其他一切网络间通信过程的访问控制策略。
图7.2 无状态分组过滤器配置的互联网络结构
3 、有状态分组过滤器配置实验
互连的网络结构如图7.2所示,分别在路由器R1接口1和路由器R2接口2设置有状态分组过滤器,实现只允许终端A访问Web服务器,终端B访问FTP服务器,禁止其他一切网络间通信过程的访问控制策略。
五、网络拓扑图
1 、终端和服务器防火墙配置实验 网络拓扑图
2 、无状态分组过滤器配置实验 网络拓扑图
3 、有状态分组过滤器配置实验 网络拓扑图
六、实验过程说明及截图
1 、终端和服务器防火墙配置实验 过程
(1)根据实验拓扑图放置并连接设备,连接完成后情况以及端口选择如下:
(2)完成路由器接口配置,配置过程如下:
完成各终端以及服务器网络信息配置,过程如下:
(3)启动PC0 Desktop下的IPv4防火墙实用程序,在防火墙入规则配置界面进行配置:
配置"规则1禁止源IP地址为PC2或PC3的IP地址,且净荷是ICMP报文的IP分组进入PC0":
配置"规则2允许除规则1禁止的IP分组之外的所有其他IP分组进入PC0",配置过程如下:
添加完成后结果如图所示:
(4)对Web Server1进行IPv4防火墙入规则配置:
配置"规则1允许源IP地址为PC0或PC1的IP地址的IP分组进入Web服务器1",配置过程如下:
配置"规则2允许源IP地址为PC2或PC3的IP地址,且净荷是目的端口号等于80的TCP报文的IP分组进入Web服务器1",配置过程如下:
配置"规则3禁止除规则1和规则2允许的IP分组以外的所有其他IP分组进入Web服务器1",配置过程如下:
配置完所有规则之后,如下所示:
(5)对PC2 IPv4 以及Web Server2 IPv4 防火墙入规则进行配置,配置结果如图所示:
PC2:
Web Server2:
(6)对实验结果进行验证:
首先使用PC1向PC3发送一个ICMP报文:
证明成功连通。
PC2向PC0发送一个ICMP报文:
结果显示失败,符合实验预期。
PC3向PC0发送一个ICMP报文:
结果显示失败,符合预期。
使用Web Server2向PC0发送ICMP报文:
成功,符合实验预期。
2 、无状态分组过滤器配置实验 过程
(1)按照网络拓扑图连接并防止实验设备,结果如下:
完成路由器接口配置过程及RIP配置过程:
完成各个终端和服务器网络配置过程(仅以PC0为例):
连通性测试:
两个路由器的路由表:
(2)在路由器Router0上配置编号为101的无状态分组过滤器,并将其作用到路由器接口f0/0输入方向:
在路由器Router1上配置编号为101的无状态分组过滤器,并将其作用到路由器f0/1输入方向:
(3)验证不同网络终端之间,服务器之间能不能ping通
不能ping通
只允许PC0通过浏览器访问Web服务器:
进行FTP服务器配置,创建两个用户名分别为aaa和cisco的授权用户,授权用户的访问权限是全部操作功能:
PC2访问FTP服务器:
(4)要求实施只允许PC2发起访问FTP服务器的访问控制策略,必须在PC2向FTP服务器发生了FTP请求消息后,才能由FTP服务器向PC2发送对应FTP响应消息。无状态过滤器中的规则2、3并不能实现这一控制功能,如下图所示的TCP报文,该报文并不是FTP服务器发送给PC2的FTP响应消息,但允许进入路由器接口f0/0。
用无状态分组过滤器实施精确控制是有困难的。
3 、有状态分组过滤器配置实验 过程
(1)按照实验拓扑图放置和连接设备:
完成路由器接口配置以及RIP配置:
路由器转发表:
对终端和服务器进行网络配置。
(2)对路由器进行安全功能配置:
(3)部分结果:
PC0只能通过浏览器访问Web服务器,PC2只能通过FTP访问FTP服务器
七、实验思考
1 、实验内容思考
(1)对终端和服务器防火墙配置实验的实验结果进行分析,说明该实验涉及的过滤器规则设置是否存在弊端?
本实验只配置了基础的入站访问规则,这类规则的防护能力有限,难以适配复杂网络环境下多样化的安全防护需求。防火墙的规则匹配遵循顺序执行的原则,一旦规则编排的先后次序不合理,就极易形成安全防护的漏洞,给恶意流量的入侵留下可乘之机。此外,实验中所采用的防火墙规则属于静态配置模式,无法根据网络环境的实时变化自动调整防护策略,因此在面对动态演变的网络攻击手段时,其防护效果会大打折扣。
(2)对无状态分组过滤器配置实验的实验结果进行分析,说明该实验涉及的过滤器规则设置是否存在弊端?
无状态分组过滤器的匹配依据仅局限于 IP 分组的首部信息,无法对应用层协议进行识别,因此难以实现更精细化的访问管控。同时,这类过滤器的匹配逻辑以 IP 地址为核心,这就使得攻击者可通过伪造源 IP 地址的方式,轻易绕过已部署的访问控制策略。
若要借助无状态分组过滤器实现复杂的访问控制需求,往往需要配置数量庞大的规则,且必须严格规划规则的执行顺序 ------ 这不仅大幅提升了配置操作的复杂度,也增加了规则冲突或配置失误的风险。此外,无状态分组过滤器不具备会话状态跟踪能力,因此无法构建基于会话的信息交互管控机制,这也进一步导致其难以达成精准的访问控制效果。
(3)对有状态分组过滤器配置实验的实验结果进行分析,说明该实验涉及的过滤器规则设置是否存在弊端?
要落地复杂的访问控制策略,就得部署大量规则,同时还得精细规划规则的执行顺序------这既让配置工作的复杂度显著上升,也更容易出现配置疏漏或错误。而有状态分组过滤器需要持续跟踪会话状态,这会额外加重防火墙的运算负荷,进而拖慢整体的网络传输效率。另外,网络环境是动态变化的,防火墙规则需要定期迭代更新,这无疑会抬高长期的运维成本。同时,有状态分组过滤器的管控逻辑完全依赖预设规则,对于未被纳入规则库的新型攻击手段,它往往难以实现有效防御。
2 、实验过程思考
要求:对照第八章防火墙与入侵防护系统理论课相关知识点,分析本实验阐述的原理。
本实验共设定两类访问控制策略,分别为终端访问控制策略与Web服务器访问控制策略,两类策略均通过配置防火墙入站规则的方式落地实施。这些访问控制策略直观体现出防火墙的核心作用,即对网络流量进行精准管控,同时保护网络资源免遭未授权访问的侵扰;而防火墙的配置流程则需遵循"定义规则---指定匹配条件---设置响应动作"的核心逻辑,以此保障策略的有效执行。
无状态分组过滤器的工作机制为依据预先配置的规则,对每一个IP分组开展独立检测,再根据规则的匹配结果决定是否放行该分组。这类过滤器不具备连接状态跟踪能力,仅能对单个分组的头部信息进行识别与判断。本实验中,研究人员在两台路由器上均配置了入站规则以验证该过滤器的效果,但实际应用中其局限性也随之显现:由于仅依靠IP地址等头部信息进行匹配,攻击者可通过伪造源IP地址的方式绕过防护,既无法对基于连接的协议实现精细化管控,同时大量规则的配置与排序也会显著提升操作复杂度。
与之相对的有状态分组过滤器,则能够对每一个TCP或UDP连接的状态进行全程跟踪,并结合连接状态与预设规则综合判定是否允许分组通过。在本实验里,两台路由器均被配置了入站与出站双向规则,这一配置也充分验证了有状态分组过滤器的优势:不仅能够有效抵御IP欺骗类攻击,还可对基于连接的协议实施更为精细的管控,同时其规则配置逻辑更为清晰,整体操作难度相对更低。