20253914 2025-2026-2 《网络攻防实践》第5次作业

一、实践内容

  1. 学习配置防火墙
    防火墙是一种网络安全设备或软件,用于在内部网络与外部网络(如互联网)之间建立安全屏障,根据预设规则允许、拒绝或过滤网络数据流量,从而防范非法访问、攻击与恶意入侵,保护网络和设备安全。
  2. 学习并实践snort
    Snort 是一款开源、轻量级的网络入侵检测与防御系统(NIDS/NIPS),工作模式支持嗅探器(实时显示包)、数据包记录器(存包取证)、入侵检测 / 防御(规则匹配告警 / 阻断)三种模式。
    原理:基于规则(签名)与协议分析,对网络流量做深度包检测,识别端口扫描、蠕虫、CGI 攻击等恶意行为
  3. 分析蜜网网关的防火墙和IDS/IPS配置规则
    IDS/IPS 配置主要是对入侵检测 / 防御系统进行规则、策略与工作模式设置,使其能识别并处理网络攻击。
    IDS:监听模式,只检测、告警,不阻断流量。
    IPS:在线模式,可直接阻断恶意流量。

二、实践过程

(一) 配置防火墙

  1. 实验选择配置seed的防火墙
  2. 分别使用以下命令进行配置
    (1)查看现有规则 iptables -L -n
    (2)清空所有默认规则 iptables -F
    (3)清空自定义链 iptables -X
    image
  3. kali ping seed 能通
    image
  4. 过滤ICMP数据包,使得主机不接收Ping包 sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    image
  5. 返回查看kali中ping连接长时间无反应,证明配置成功
    image
  6. 允许 kali 访问 21 端口
    sudo iptables -A INPUT -p tcp --dport 21 -s 192.168.200.9 -j ACCEPT
    image
  7. 拒绝其他访问ip访问21端口 sudo iptables -A INPUT -p tcp --dport 21 -j DROP
    image
  8. 测试kali能够正常访问,winx不能正常访问
    image
    image

(二)Snort

说明:在第1周中已经解释选择kali代替老旧的BT4 Linux攻击机

  1. 读取网络日志数据源,输出明文报警日志,并指定目录 sudo sh -c 'snort -r listen.pcap -l /var/log/snort -A fast >> /var/log/snort/alert.log'
    可以看到已经在指定位置输出了输出报警日志文件
    image
  2. 使用sudo cat /var/log/snort/alert查看日志,并且是明文状态
    image
  3. 执行snort -A fast -c /etc/snort/snort.lua -R <(echo 'alert tcp any any -> any any (msg:"Nmap Scan Detected"; sid:1000001; rev:1;)') -r listen.pcap -l /var/log/snort
    通过分析其入侵信息可以知道,这次攻击是nmap发起的。
    c30094e0923b4519af2d6a90e5145226

(三)分析蜜网网关的防火墙和IDS/IPS配置规则

查看filter表 iptables -t filter -L,在其中可以找到INPUT、FORWARD、OUTPUT等规则
image
查看核心防火墙配置 vim /etc/init.d/rc.firewall
image
查看Snort规则目录 ls -l /etc/snort/rules/
image
蜜网网关是蜜网体系的核心控制节点,通常以桥接模式部署在蜜罐集群与外部网络之间,不占用 IP、透明转发流量。它通过防火墙实现流量控制与路由转发,IDS/IPS 实现攻击检测与告警,二者协同完成蜜网功能。其防火墙主要采用iptables,规则分为入站、出站、日志、转发四大类。蜜网网关通过防火墙完成流量转发、访问控制、流量限速、全流量日志与数据包捕获,实现 “数据控制”;同时,IDS/IPS完成攻击特征匹配、会话还原、行为分析、攻击告警,实现 “数据捕获与攻击识别”。二者结合,既完整记录攻击全过程,又严格控制蜜罐不被滥用,在虚拟攻防环境中实现安全、有效、可控的攻击诱捕与分析。

三、学习中遇到的问题及解决

  • 问题1:在测试FTP限制时,发现kali也无法连接,原因是seed没有开放FTP端口
  • 问题1解决方案:要在测试之前,在seed上使用sudo service vsftpd start打开端口

四、实践总结

学习防火墙与 Snort 后,我明晰二者是网络安全防御体系的核心组合:防火墙作为网络边界静态防御屏障,通过包过滤、NAT 等技术管控网段访问,是第一道安全防线,但存在无法防护内部威胁、策略不够精细的局限;Snort 作为开源入侵检测系统,通过抓包解析、规则匹配实现动态威胁检测,可精准识别攻击行为,弥补防火墙防御短板。实践中深刻体会到,网络安全并非单一技术可实现,需二者协同 —— 防火墙拦截非法访问,Snort 监控异常流量、追溯攻击源头,契合纵深防御理念。同时认识到,安全防护需兼顾技术实操与策略优化,既要熟练掌握 iptables 配置、Snort 规则编写,也要定期更新规则库、审计策略,才能应对不断变化的网络威胁,真正筑牢网络安全防线。

posted @ 2026-04-11 14:14  你泽哥  阅读(33)  评论(0)    收藏  举报