20253919 2025-2026-2 《网络攻防实践》第5次作业

一、实践内容

（一）防火墙

定义：防火墙是一种位于内部网络与外部网络（如互联网）之间的网络安全防护系统，通过预先设定的安全规则，对网络间的数据包进行监测、过滤、拦截与转发，从而控制网络访问行为，是网络边界安全的核心设备。
重要性

• 隔离内外网：构建安全边界，防止外部网络直接访问内部敏感资源。
• 访问控制：允许合法流量通行，阻断恶意、可疑或未授权的连接请求。
• 抵御攻击：防范端口扫描、暴力破解、恶意入侵等常见网络攻击。
• 日志审计：记录网络访问行为，便于安全追溯、异常检测与问题排查。
• 保护内网安全：减少病毒、木马、蠕虫等恶意程序通过网络入侵内部主机的风险。
• 规范网络使用：可限制非法网站、不良应用的访问，提升网络管理效率。

（二）snort

定义：Snort 是一款开源、轻量级、跨平台的网络入侵检测与防御系统（NIDS/IPS），由 Martin Roesch 于 1998 年开发，现由 Cisco 维护。它基于 libpcap 抓包，通过规则匹配、协议分析、内容检索，实时监控流量、识别攻击并告警 / 阻断。
核心功能运行模式
嗅探器模式：实时显示数据包（类似 tcpdump）
数据包记录模式：将流量存盘，用于事后分析与取证
NIDS/IPS 模式（核心）：按规则检测攻击、触发告警 / 阻断

（三）IDS/IPS

IDS 是入侵检测系统，通过监听网络流量或主机行为，识别可疑攻击、违规操作并发出告警，只检测、不主动阻断，属于被动防护。
IPS 是入侵防御系统，在 IDS 基础上增加实时阻断能力，可直接丢弃恶意数据包、断开攻击连接，属于主动防护，通常串联部署在网络链路中。

二、实践过程

(一)配置防火墙

在配置防火墙之前，kali能够ping通seed

配置防火墙，过滤icmp包：sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
发现已经无法ping通

打开seed的21端口号，允许kali访问，并禁止其他人访问

kali能正常访问21端口

其他主机不行

（二）snort

将下载好的listen.pcap文件保存到桌面
通过指令输出报警日志 sudo sh -c 'snort -r listen.pcap -l /var/log/snort -A fast >> /var/log/snort/alert.log'，可以看到已是明文状态

执行snort -A fast -c /etc/snort/snort.lua -R <(echo 'alert tcp any any -> any any (msg:"Nmap Scan Detected"; sid:1000001; rev:1;)') -r listen.pcap -l /var/log/snort
发现10条的入侵检测信息，可以判定本次攻击是使用nmap发起的。

（三）分析配置规则

在honeywall输入vim /etc/init.d/rc.firewall查看防火墙配置文件，可以看到create_chains创建了黑名单和白名单的规则链

还可以看到其他管理规则

输入以下指令iptables -t filter -L | less，能够看到默认的规则的INPUT、FORWARD、OUTPUT

通过分析其规则，可以得出蜜网网关部署于外网与蜜罐之间，通过防火墙实现流量定向转发、开放高危端口诱引攻击，并严格限制蜜罐外联、隔离生产网络、限速限流以防范攻击扩散；同时利用入侵检测系统对进出流量进行全面捕获与深度检测，识别扫描、入侵等攻击行为并完整记录攻击过程与数据。二者协同，既满足攻击数据的有效捕获，又实现对攻击行为的安全管控，确保蜜网在诱捕攻击的同时自身安全可控。

三、学习中遇到的问题及解决

• 问题1：无法利用snort生成报警文件
• 问题1解决方案：修改命令行解决

四、学习总结

通过系统学习防火墙、Snort工具以及IDS/IPS相关知识，我对网络安全的边界防护、入侵检测与防御体系有了全面且深入的认知，不仅掌握了核心技术的基础概念与功能，更深刻体会到网络安全在当下数字化时代的重要性，也收获了理论与实践层面的双重启发。