第5次作业 实践五 网络安全防范技术

实践内容

防火墙设置

一、iptables 是什么?

iptables 是 Linux 内核中的用户态防火墙管理工具,它通过操作内核的 Netfilter 框架,实现对网络数据包的过滤、修改、转发和丢弃。

iptables基本语法

iptables -t 表名 操作命令 链名 条件 -j 动作
iptables基本匹配规则:按顺序逐条匹配规则,一旦匹配成功就执行动作,不再继续向下匹配。

实验过程

  • 首先利用攻击机kali来启动http 80端口
    使用python即可默认启动指令如下:
    sudo python3 -m http.server 80
    在本机使用浏览器访问127.0.0.1:80 得到结果如下:
    注意该方式会将所有路径暴露在网络中,只在实验情况下进行操作。切勿放置于真实环境
    image
    我们在另一台seedubuntu中也可以访问到kali的80端口,这里kali的ip为192.168.5.2:
    image

接下来我们在seed使用ping命令来请求kali结果如下:
image

  • 接下来我们来进行实验
    以下为我们所需的操作命令
#!/bin/bash

# 1. 清空所有现有规则
iptables -F
iptables -X
iptables -Z

# 2. 作业要求1:阻止所有ICMP ping请求
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# 3. 作业要求2:只允许 192.168.5.3 访问 HTTP(80端口) 本机为seedubuntu
iptables -A INPUT -s 192.168.5.3 -p tcp --dport 80 -j ACCEPT

# 4. 明确拒绝其他IP访问HTTP(注释掉,因为默认DROP已实现)
iptables -A INPUT -p tcp --dport 80 -j DROP

# 5. 查看结果
iptables -L -n -v --line-numbers

我们的结果如下所示:
image
此时我们再次使用seedubuntu对kali进行ping操作
很明显此时kali已经不对ICMP报文进行回复
image
我们再次在浏览器访问kali的80端口,也就是192.168.5.2:80
可见仍是可以访问的:
image
那么我们的另一台攻击机winxpattacker呢,我们打开他以同样的方式进行测试
ping命令无回显
image
那么我们再来看看浏览器的状态,访问192.168.5.2:80
image
可见无法进入目录界面,也就说我们的iptables 成功进行了过滤

二、动手实践:Snort

安装snort

sudo apt update && sudo apt install snort
然后等待即可
安装完成后即可使用
我已经把listen.pcap包放在了桌面,终端进入桌面路径后即可使用指令,读取pacap文件
image
接下来进行配置(我的是snort3 如果是2配置文件名字则是snort.conf)

  • sudo vim /etc/snort/snort.lua
    在设置中第7部分找到output部分设置如下:
    image

运行以下命令:
sudo snort -r /home/kali/Desktop/listen.pcap -c /etc/snort/snort.lua -A full -l /var/log/snort
image
image
可以在/var/log/snort 中看到告警文件,但是目前因为没有设置规则,所以报警文件为空

分析配置规则

一、蜜网网关的三大核心功能

功能 作用 实现技术
数据捕获 记录攻击者的所有行为 防火墙日志 + Snort(IDS)
数据控制 限制被攻陷蜜罐的危害 iptables规则 + Snort_inline(IPS)
数据记录 保存攻击证据供分析 远程日志服务器

二、防火墙(iptables)配置规则

蜜网网关的防火墙定义了三类关键规则链:

规则链 作用
黑名单 来自这些IP的流量全部丢弃
白名单 来自这些IP的流量放行且不记录日志
防护名单 限制访问某些敏感服务

核心策略:
入站:默认允许所有连接(不阻碍攻击者进入蜜罐)
出站:限制向外连接数量(防止蜜罐成为攻击跳板)

三、入侵检测系统(Snort)配置

Snort作为蜜网的NIDS组件,负责:

功能 说明
监听网卡 默认eth0,捕获所有流量
规则文件 /etc/snort/snort.conf
日志路径 /var/log/snort/alert

四、整体流程

攻击流量进入

防火墙初筛(黑白名单匹配)

NIDS旁路检测(记录攻击行为,不阻断)

NIPS主动防御(检测到恶意流量时阻断)

蜜罐接收流量(记录完整攻击行为)

日志发送到远程服务器备份

posted @ 2026-04-10 17:42  Maxn_Rain  阅读(0)  评论(0)    收藏  举报