- Internet Technology Lab
Download
Report
Transcript - Internet Technology Lab
Module 7:防火牆實習
網路安全
學習目的
1.
2.
近年來網路世界常遭受駭客的入侵,因此網路安全為現
在相當重要的課題,假如要依據自己的環境來訂定防護
的機制,那一定得先認識『防火牆』
本模組共有四個小節包括
(1)防火牆簡介
(2)防火牆工具介紹
(3)防火牆的實務
(4)防火牆的專案實作
共需三個鐘點
網路安全
7-2
Module 7:防火牆實習
•
•
•
•
Module 7-1:防火牆簡介(*)
Module 7-2:防火牆工具介紹(**)
Module 7-3:防火牆的實務(**)
Module 7-4:防火牆的專案實作(**)
* 初級(basic):基礎性教材內容
**中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容
***高級(advanced):適用於深入研究的內容
網路安全
7-3
Module 7-1:防火牆簡介(*)
網路安全
7-4
防火牆的定義
• 在電腦網路中,防火牆透過對資料封包的篩選和
屏蔽,防止非法的存取進入內部或外部電腦網路
• 防火牆隔開內部網路與外部網路,從外部網路要
使用內部網路的機器,必須經過防火牆,為一種
保護作用
網路安全
7-5
軟體防火牆 V.S. 硬體防火牆
• 軟體防火牆
– 安裝在隔離內外部的主機上
– 例:PC Tool 、Checkpoint firewall及Firestarter
• 硬體防火牆
– 採用純硬體設計與固化電腦
– 例:Cisco ASA 與Juniper Firewall
網路安全
7-6
防火牆的優點
• 服務控制
– 哪些網路服務可以進或出防火牆
• 方向控制
– 某個特定服務的進出方向
• 使用者控制
– 哪些使用者可以取用
• 協定控制
– 控制如何使用某項服務
• 審計
– 流入流出量的控管
網路安全
7-7
防火牆的缺點
•
•
•
•
•
•
無法防止防火牆自己內部的不法行為
無法管理不經過防火牆的連線
無法防範全新的威脅
無法防範病毒
自身可以被攻破
無法阻擋合法服務的連結
網路安全
7-8
防火牆的功能
• 防火牆主要有三種功能
– 封包過濾(Packet Filtering)
– 狀態檢視(Stateful Inspection)
– 應用程式閘道(Application Layer Gateway)與代理伺
服器(Proxy Server)
網路安全
7-9
封包過濾(Packet Filtering)
• 為最簡單與最常被使用的一種防火牆
• 利用過濾封包的方式來判定封包是否可以進入內
部網路
• 判定準則為依據制定的安全策略,逐一檢查網路
封包標頭資訊內容,被獲准者才可進入內部網路
Telnet
個人PC
HTTP
HTTP
FTP
Firewall
Internet
內部網路
網路安全
7-10
狀態檢視(Stateful Inspection)
• 又稱動態封包檢視防火牆(Dynamic Packet Filter)
• 檢查封包的標頭資訊內容與檢查封包傳送前後關
連性
• 防止駭客將一個攻擊行為分散到好幾個不同封包
來傳送,以躲過防火牆偵測
個人PC
Firewall
內部網路
外部網路
紀錄封包之標頭內容(例:來源及目標之
IP與port)及關聯狀態(例:established)
網路安全
7-11
應用程式閘道(Application Layer Gateway)與代
理伺服器(Proxy Server)
• 應用通訊服務
– HTTP、Telnet、SMTP及FTP
– 提供網路上彼此溝通的協定,但亦成為駭客攻擊的
管道
• 主要目的用於防止此類駭客攻擊
– 針對不同的網路協定均利用代理程式(Proxy)來模擬
網路連結的來源和目的兩端
– 實際的交換是透過代理程式完成
網路安全
7-12
應用程式閘道與代理伺服器 (續)
• 應用程式閘道示意圖
個人PC
Telnet
Telnet
HTTP
HTTP
FTP
FTP
應用程式閘道
Internet
內部網路
網路安全
7-13
應用程式閘道與代理伺服器 (續)
• 代理伺服器之應用:網路位址轉譯(Network
Address Translation, NAT)
• 根據RFC-1631定義,NAT是在router中進行更換IP
header 的動作,使多台電腦能共用一個IP 連接
Internet 的技術
• 每個進出的封包NAT防火牆會根據轉譯表,修改
其目的位址或來源位址
網路安全
7-14
應用程式閘道與代理伺服器 (續)
• 優點
– 少數public address就能讓內部所有電腦都連上
Internet
– 只使用public address的電腦會被外部網路直接存取
,使用private address的電腦則無法直接被存取,較
安全
– 隱藏內部網路之主機IP及網路架構
網路安全
7-15
應用程式閘道與代理伺服器 (續)
• 網路位址轉譯示意圖
內部網路
網路位址轉譯
/代理伺服器
內部使用Private
Address
外部網路
對外可使用較少量之
Public Address,節省IP
網路安全
7-16
防火牆的架構
• 基本防火牆架構
– 單屏蔽路由器/單防火牆架構
• Screening Router/Basic Border Firewall Structure
– 單介面屏蔽主機架構
• Screened Host Firewall, Single-Homed Bastion Host
Structure
– 雙介面屏蔽主機架構
• Screened Host Firewall, Dual-Homed Bastion Host
Structure
– 屏蔽子網路架構
• Screened Subnet Structure
網路安全
7-17
單屏蔽路由器/單防火牆架構
• 架構最簡單,也最單調薄弱
個人PC
內部網路
封包過濾
/路由器
網路安全
外部網路
7-18
單介面屏蔽主機架構
(連接內外網路之IP位址相同)
屏蔽主機 (單網卡)
個人PC
封包過濾 外部網路
/路由器
內部網路
網路安全
7-19
雙介面屏蔽主機架構
(連接內外網路之IP位址不同)
屏蔽主機 (雙網卡)
個人PC
封包過濾 外部網路
/路由器
內部網路
網路安全
7-20
屏蔽子網路架構
屏蔽主機 (雙網卡)
個人PC
封包過濾
/路由器
封包過濾
內部網路 /路由器
網路安全
外部網路
7-21
防火牆的安全策略
• 不論進入或是外出的封包都必須經防火牆的檢驗
– Inbound
• 從外部網路進入到受保護的內部網路的封包
– Outbound
• 從內部網路送到外部網路的封包
• 防火牆的安全策略需考慮之因素
– What:是否針對特定服務與特定行為
– Why:為何需要開啟特定服務或行為
– Who:允許哪些使用者或封包通過
網路安全
7-22
防火牆的規則
• 防火牆安全規則
– 匹配條件
• 對於通信流量是否合法作出判斷的一些邏輯表達式
• 過程中符合某條規則,處理動作
– 接受(Accept):允許訊息通過
– 拒絕(Reject):拒絕訊息,通知發送訊息的來源地
– 丟棄(Drop):直接丟掉,不通知
網路安全
7-23
防火牆的規則實例
規 則編號
來 源IP
目 標IP
服務
動作
1
任 何位址
Web伺服器
HTTP
允許
2
任 何位址
任 何位址
任 何服務
摒棄
網路安全
7-24
Unified Threat Management (UTM) Firewalls
• 解決防火牆無法直接過濾病毒或木馬程式
• 提供的功能有
–
–
–
–
–
SPI(Stateful Packet Inspection)
Antivirus Filtering
VPNs
DoS Protection
NAT
網路安全
7-25
Module 7-2:防火牆工具介紹(**)
網路安全
7-26
防火牆工具 - Windows Firewall
• Windows Firewall是一道提供保護的邊界線,它監
控和限制在電腦和網路之間傳輸的資料
• 抵禦試圖未經許可從Windows Firewall 外部訪問您
的電腦的連線
• 若運行中之作業系統為Windows XP Service Pack
2(SP2) 以上之版本 ,其預設Windows Firewall為
啟用
網路安全
7-27
Windows Firewall啟用
• 1. 「Start」→「Control Panel」
• 2. 「Security」→「Windows Security Center」
• 3. 「Firewall」
網路安全
7-28
Windows Firewall功能
• 幫助阻止電腦病毒和蠕蟲進入
– 會檢測每個進入的封包,能阻止非法的封包進入(
前提示已設定好規則)
– 如果病毒或蠕蟲已存在電腦上,它並沒辨法檢測出
來
• 確認連線的正當性
– 當有新的連結請求時,它會跳出核准視窗請您同意
(Accept)或拒絕(Reject)
• 安全日誌:可作為故障診斷工具
網路安全
7-29
Windows Firewall工作方式
• 若Internet上某台主機試圖連線到您的電腦時,
Windows Firewall將詢問您是否要阻止或允許連線
,並以此建立規則
網路安全
7-30
防火牆工具 - Firestarter
• 基於iptables核心架構,提供GUI圖形化操作介面
• 主要特色為使用簡單但功能強大
• 安裝十分容易,有支援精靈的設定
– 即使是Linux軟體不熟悉的使用者也能輕鬆完成防
火牆的安裝與設置
• Firestarter的README檔內註釋非常詳盡,方便用
戶的修改與重新定義某些參數
• Firestarter網站:http://www.fs-security.com/
網路安全
7-31
防火牆工具 - PC Tools Firewall
• PC Tools Firewall 是一套免費的Windows個人版防
火牆軟體,可保護電腦避免未經授權使用者透過
網路存取您的電腦
• 可自行創建高級過濾規則,包括支援IPv6
• 具一般的智慧型更新、即時防護及完整的網路隔
離功能
• PC Tools Firewall Plus網站:
http://www.pctools.com
網路安全
7-32
防火牆工具 - iptables
• Linux的封包過濾機制
– 封包過濾防火牆或稱為網路過濾器(NetFilter)
– 分析封包的表頭資料,根據表頭資料與定義的『規
則』來決定該封包是否可以進入主機或者是被丟棄
• iptables為Linux預設的防火牆軟體
– 資料進行分析
• 網路封包的IP、port及MAC
• 連線狀態,例:SYN與ACK等
– 過濾不受歡迎的網路封包
網路安全
7-33
iptables的封包進入流程
• 根據封包的分析資料比對預先定義的規則內容,
若封包資料與規則內容相同則進行動作,否則就
繼續下一條規則的比對
封
包
Rule 1
Rule 6
Rule 2
Rule 7
…
…
Rule 5
Rule 10
網路安全
Policy
7-34
iptables的表格與鏈(Chain)
• iptables有多個表格(table),每個表格都各自定義
其預設政策與規則,且用途皆不相同
• 封包的來源決定它應該由那一個table來處理
• 主要要素:
– Table:不同的封包處理
– Chain:決定封包是否可以穿越
– Rule:決定是否送往下一條Chain或其它動作
網路安全
7-35
iptables的表格與鏈(Chain) (續)
• 預設iptables的表格
– Filter:管理本機進出
– Nat:管理後端主機(防火牆內部的其他電腦)
– Mangle:管理特殊旗標使用(較少使用)
• 可自行定義表格
Filter (Table)
Chain: INPUT
Policy
Rule 1
…
Chain: OUTPUT
Policy
Rule 1
…
網路安全
7-36
iptables的表格與鏈(Chain) (續)
• iptables經常用到的內建表格(build-in table)
tables
Filter
NAT
Chains
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
OUTPUT
介紹
與封包進入linux本機有關
與封包從linux本機送出
與封包轉地到後端電腦有關
進行路由判斷之前要進行的規則
進行路由判斷之後要進行的規則
與發送出去的封包有關
Filter:主要和Linux主機有關,為預設的table
NAT:主要和NAT主機設定有關
網路安全
7-37
iptables的表格與鏈(Chain) (續)
filter
INPUT
封包進入
Linux
本機的資源
封包傳出
nat
OUTPUT
filter
A
Forward
封包傳遞
OUTPUT
B
filter
nat
FORWARD
POSTROUTINH
nat
封包傳出
PREROUTING
鳥哥的linux私房菜
資料來源: http://linux.vbird.org/
封包進入
網路安全
7-38
iptables的處理模式
• 過程中符合某條規則時,主要會有以下動作
–
–
–
–
–
接受(Accept):接受該封包,並進行相對的處理
拒絕(Reject):攔阻該封包,並通知對方
丟棄(Drop):直接丟棄封包,不做任何處理
重定向(Redirect):將封包導向其它端口
偽裝(Masquerade):改寫封包來源IP
網路安全
7-39
iptables語法
• 語法架構
– iptables [-t table] command [match] [-j target/jump]
• 參數說明
–
–
–
–
t:table ,例 :nat 、 filter ,若省略則預設為 filter
command:命令列,例:-A、-D、-R…等
match:封包比對參數,例:-p、-s、-d…等
j:處理動作,例:ACCEPT、REJECT、DROP…
等
網路安全
7-40
iptables語法 - 觀察規則
• 語法架構
– iptables [-t table] [-L] [-nv]
• 參數說明
– t: table ,例 :nat 、 filter ,若省略則預設為 filter
– L:列出目前的 table 的規則
– n:不進行 IP 與 HOSTNAME 的反查,可增加顯示
速度
– v:列出更多的資訊,包括通過該規則的封包總位
元數、相關的網路介面等
網路安全
7-41
iptables語法 - 觀察規則 (續)
• #iptables -L 範例
網路安全
7-42
iptables語法 - 清除規則
• 語法架構
– iptables [-FXZ]
語法範例
說明
清除所有已訂定之規則
#iptables –F
清除所有使用者建立的tables
#iptables –X
將所有chain的計數與流量統計歸零
#iptables –Z
※若為使用遠端連線操作,須將三個指令用scripts的方式來連
續執行,否則會被主機檔在外
網路安全
7-43
iptables語法 - 定義預設政策
• 語法架構
– iptables [-t ] -P [INPUT,OUTPUT,FORWARD]
[ACCEPT,DROP]
• 參數說明
– t: table ,例 :nat 、 filter ,若省略則預設為 filter
– P:定義政策( Policy )
– ACCEPT :該封包可接受
DROP :該封包直接丟棄
網路安全
7-44
iptables語法 - 定義預設政策 (續)
• 當封包不在設定的規則之內,則該封包的通過與
否以policy的設定為準
語法範例
#iptables INPUT DROP
#iptables –P OUTPUT ACCEPT
#iptables –P FORWARD ACCEPT
#iptables –t nat –P PREROUTING ACCEPT
#iptables –t nat –P OUTPUT ACCEPT
說明
根據INPUT、
OUTPUT及
FORWARD鏈
等的行為做
DROP與
ACCEPT等處
#iptables –t nat –P POSTROUTING ACCEPT 理動作
網路安全
7-45
iptables語法 - 增加與插入規則
• 語法架構
– iptables [-AI 鏈] [-io 網路介面] [-p 協定] \ > [-s 來源
IP/網域] [-d 目標IP/網域] -j [ACCEPT|DROP]
• 參數說明
–
–
–
–
AI 鏈:針對某的鏈進行規則的 "插入" 或 "累加"
io 網路介面:設定封包進出的介面規範
p 協定:設定此規則適用於哪種封包格式
s 來源 IP/網域:設定此規則之封包的來源項目,可
指定單純的 IP 或包括網域
– d:目標 IP/網域
網路安全
7-46
iptables語法 - 增加與插入規則 (續)
語法範例
說明
所有來自 lo 這個介面的
#iptables –A INPUT -I lo –j ACCEPT
封包,都予以接受
#iptables -A INPUT -i eth0 -p TCP -s 來自 192.168.0.1 這個 IP
的封包都予以接受
192.168.0.1 -j ACCEPT
來自 192.168.1.0 這個 C
#iptables -A INPUT -i eth0 -p TCP -s
Class 的網域的任何一部
192.168.1.0/24 -j ACCEPT
電腦,就予以接受
#iptables -A INPUT -i eth0 -p TCP -s 來自 192.168.1.25 的 IP
的封包,就直接丟棄
192.168.1.25 -j DROP
#iptables -A INPUT -i eth0 -p TCP -- 只要想進來 21 port 的封
包,就予以丟棄
dport 21 -j DROP
網路安全
7-47
iptables語法 - 增加與插入規則 (續)
用來比對封包的來源IP
用來比對封包由哪張網卡進入
用來比對封包的來源埠號
攔阻該封包,並傳送封包通知對方,可以傳送的封包tcp-reset(要求對方關
閉連線),處理此動作後,將不在比對其他規則,直接中斷過濾程序
網路安全
7-48
iptables的紀錄儲存與回復
• 儲存防火牆機制
– #iptables-save > filename
• 回復防火牆機制
– #iptables-restore < filename
網路安全
7-49
結論
• 防外不防內
– 一般防火牆設定的通則,限制外部的連線,而不阻
擋由內部向外部的連線請求
• 為了確保本身的安全性
– 當要設定網路規則前,必須先確認被限制或允許的
目標,如此才能夠制定出符合需求的規則
網路安全
7-50
Module 7-3:防火牆的實務(*)
網路安全
7-51
說明 - 防火牆架設
• 架設實作(一), Firestarter架設實作實習
– 使用FW主機,利用Firestarter防火牆軟體模擬架設一基
本屏蔽子網路架構之環境拓樸
– 使用Alice主機,利用FileZilla Client軟體作FTP 客戶端
– 使用Bob主機,測試流量經防火牆設定至外界電腦連線
– 使用Internet主機,利用FileZilla Server軟體作FTP伺服
器
– 設 定 規 則 讓 NAT 內 之 Alice 主 機 與 Bob 主 機 可 以 透 過
firewall連線至Internet與使用FTP服務,另外設定規則限
制NAT內之Alice主機與Bob主機無法使用BT軟體
網路安全
7-52
說明 - 防火牆阻擋實測
• 架設實作(二),模擬架設一具有網頁伺服器與FTP伺
服器之屏蔽子網路架構環境拓樸。
– 使用WWWServe主機,利用Apache軟體作網頁伺服器
– 使用FTPServer主機,利用FileZilla Server軟體作FTP伺服
器
– 使用User主機,利用FileZilla Client軟體作FTP用戶端
– 使用FW主機,利用PC Tools Firewall作為對內NAT環境且
對外Internet之單一代理伺服器的防火牆
• 設定規則讓內部之WWWServer可以存取同在防火牆內
部 之 FTPServer , 另 設 定 規 則 阻 止 外 部 之 User 使 用
FTPServer的FTP服務
網路安全
7-53
架設實作(一)
Firestarter架設實作實習
網路安全
7-54
實驗環境介紹
• 以Testbed建立一實驗,相關拓樸及設定如下圖
Internet
OS:WinXP- SP3-pc3000
IP:10.1.2.3
安裝軟體:FileZilla Server
IP1
Alice
OS:WinXP- SP3-pc3000
IP:10.1.3.3
安裝軟體:FileZilla Client
IP2
IP3
FW
OS:FC6-VNC
IP1:10.1.2.2
IP2:10.1.3.2
IP3:10.1.1.2
安裝軟體:Firestarter
網路安全
Bob
OS:WinXP- SP3-pc3000
IP:10.1.1.3
7-55
實驗拓樸on Testbed@TWISC
- 建立完成的實驗拓樸
網路安全
7-56
FTP伺服器端工具 - FileZilla Server
• 版本
– FileZilla Server 0.9.40
• 支援作業平台
– Windows XP、Vista及7
• 下載位址
– http://filezilla-project.org/download.php?type=server
網路安全
7-57
安裝步驟
• 於Internet主機安裝
• 請依照安裝精靈的指引做安裝
• 連線至ftp server
網路安全
7-58
安裝步驟(續)
• 設定使用者帳號
網路安全
7-59
安裝步驟(續)
• 設定使用者的路徑
• 連線至ftp server
網路安全
7-60
FTP用戶端工具 - FileZilla Client
• 版本
– FileZilla3.5.3
• 支援作業平台
– Windows、Linux及Mac
• 下載位址
– http://filezilla-project.org/download.php
網路安全
7-61
安裝步驟
• 於Alice主機安裝
• 請依照安裝精靈的指引做安裝
• 啟動FileZilla Client
– 輸入伺服器IP (192.168.36.72)
• Internet主機為pc62,以eth0網路作為連線IP, 其規則
為192.168.36.72 (pc數加10)
– 輸入使用者名稱
– 輸入使用者密碼
– 點選快速連線
網路安全
7-62
防火牆工具 - Firestarter
• 版本
– Firestarter 1.0.3(stable)
• 支援作業平台
– Ubuntu、Fedora、Centos 及Debian
• 下載位址
– http://prdownloads.sourceforge.net/firestarter/firestarte
r-1.0.3.tar.gz?download
網路安全
7-63
FC6遠端登入安裝步驟
• 安裝usermode-gtk
– # sudo yum install usermode-gtk
– Is this ok [y/N]:y
• 安裝GNOME Desktop
– # sudo yum groupinstall "GNOME Desktop
Environment"
– Is this ok [y/N]:y
網路安全
7-64
• 設定與啟動vncserver
– # sudo cp /share/vncsop.sh .
– # sudo sh vncsop.sh
•
•
•
•
Input login name for VNC username: (請輸入Testbed的帳號)
Enter a password
Password:
(請輸入一組VNC登入的密碼)
Verify:
(請再次輸入VNC登入的密碼)
網路安全
7-65
Firestarter安裝步驟
• 安裝Firestarter
– # sudo yum install firestarter
– Is this ok [y/N]:y
• 於使用者電腦之本機端安裝VNC Viewer
– http://www.realvnc.com/products/free/4.1/download.ht
ml
– 請填寫個 人資料後方能下載
網路安全
7-66
Firestarter安裝步驟 (續)
• 使用VNC連線至Node
– 輸入Node的IP
– 輸入VNC登入的密碼
• 於VNC內,開啟Firestarter
– Applications ->
Accessories->Terminal
– # sudo firestarter start
網路安全
7-67
初始啟動Firestarter
網路安全
7-68
初始啟動Firestarter (續)
• 依照安裝精靈做初始設定
使用撥接網路時啟動
由DHCP分配IP Address
網路安全
7-69
初始啟動Firestarter (續)
主要用來決定NAT功能,若要啟用則勾選
儲存,啟動Firestarter
網路安全
7-70
Firestarter主畫面
• Status
– 顯示目前狀態
• Events
– 呈現即時事件的畫面
• Policy
– 規則設定
網路安全
7-71
Firestarter設定
• 主要的設定
–
–
–
–
–
Preferences
Status
Events
Policy
Run wizard
網路安全
7-72
Firestarter設定 (續)
• Outbound traffic policy
– 預設是所有對外連線
均允許(Permissive by
default,blacklist
traffic),僅針對黑名單
設限
– 若是對安全性要求較
高者,可選 Restrictive
by default, whitelist
traffic ,再根據需求設
定允許的連線
網路安全
7-73
Firestarter設定 (續)
• Inbound traffic policy
• 由外部到本機的連線,可
針對所開啟的伺服器來設
定,主要分成兩個
– Allow connections from host
- 允許哪些外部電腦連線到
你的主機。
– Allow service -允許哪些服
務開啟
網路安全
設定完,記得
Apply Policy
7-74
Firestarter Inbound Traffic Policy 實例
來 源IP
目 標IP
服務
動作
任 何位址
郵 件伺服器
SMTP
允許
網路安全
7-75
Firestarter Outbound Traffic Policy 實例(續)
來 源IP
目 標IP
服務
動作
內部網路
任何位址
HTTP、HTTPS、
FTP、telnet
允許
網路安全
7-76
Firestarter設定 (續)
• Events
• 當設定好防火牆後,開
啟到“Events”的頁面即
可發現,在短時間內防
火牆就擋掉一個來自外
部來的未知連線
網路安全
7-77
Firestarter設定 (續)
• Edit->Preferences
網路安全
7-78
實驗操作步驟 - 查看防火牆網卡資訊
• 另開一個Terminal視窗
• 在FW主機上查看防火牆網卡
– ifconfig
eth3為連接到Bob主機的網卡
eth4為連接到Alice主機的網卡
網路安全
7-79
實驗操作步驟 - Firestarter規則設定
• 設定允許內部NAT可連上Internet與使用FTP服務
輸入允許進入的服務
允許DNS、FTP和
HTTPS服務進入
網路安全
7-80
實驗操作步驟 - Firestarter規則設定 (續)
• 設定限制內部NAT使用BT(P2P)軟體
設定禁止使用BT的服務
網路安全
7-81
實驗操作步驟 - 防火牆之網卡設定
• 於Bob主機測試
• 設定前,NAT內主機無法透過FW主機與Internet
主機建立連線
允許設定前,無法ping到流經FW主機的
Internet主機(10.1.2.3)
網路安全
7-82
實驗操作步驟 - 防火牆之網卡設定 (續)
• Edit -> Preferences -> Network Settings
• 防火牆之網卡設定
– 對外之Internet連線使用eth0網卡
– 對內之NAT連線使用eth3網卡
設定允許connect sharing
網路安全
7-83
實驗操作步驟 - 防火牆之網卡設定 (續)
• 設定後,NAT內主機(Bob主機)順利與FW主機外
的Internet主機建立連線
允許設定後,即可ping到流經FW主機的Internet主機(10.1.2.3)
網路安全
7-84
實驗操作步驟 - 防火牆之網卡設定 (續)
• 設定後,NAT內主機(Alice主機)順利與FW主機外
的Internet主機建立連線
允許設定後,FTP可經FW主機連線至Internet主機(192.168.36.72)
網路安全
7-85
測試結果
黑色表示正常的連接
紅色表示未經過允許試
圖要進行存取
如有灰色,表示無害的
,可能是廣播的訊息
網路安全
7-86
架設實作(二)
PC Tools Firewall 環境架設實習
網路安全
7-87
實驗環境介紹
• 以Testbed建立一實驗,相關拓樸及設定如下圖
FW
OS:WinXP- SP3-pc3000
IP1:10.0.1.254/24
IP2:10.1.0.1/24
安裝軟體:PC Tools Firewall Plus
IP2
WWWServer
OS:WinXP-SP3-pc3000
IP:10.0.1.80/24
安裝軟體:Apache
IP1
User
OS:WinXP-SP3-pc3000
IP:10.1.0.2/24
安裝軟體: FileZilla Client
FTPServer
OS:WinXP-SP3-pc3000
IP:10.0.1.21/24
安裝軟體:FileZilla Server
網路安全
7-88
實驗拓樸on Testbed@TWISC
- 建立完成的實驗拓樸
網路安全
7-89
防火牆工具 - PC Tools Firewall Plus
• 版本
– PC Tools Firewall 7.0.0.123
• 支援作業平台
– Windows XP與Windows 7
• 下載位址
– http://www.pctools.com/mirror/fwinstall.exe
網路安全
7-90
PC Tools Firewall Plus安裝前準備
• 請記得在安裝前要移除電腦中已有的其它防火牆
– 為避免系統衝突,最好不要同時安裝兩種相同類型
的常駐安全軟體
網路安全
7-91
PC Tools Firewall Plus安裝步驟
• 照安裝精靈的指引做安裝
• 安裝完成後,請先完成101與102頁的設定
網路安全
7-92
PC Tools Firewall Plus安裝步驟 (續)
• 開機後進行firewall initializing
• 選則是否信任workgroup 工作群組
網路安全
7-93
PC Tools Firewall Plus - 主介面介紹
• 執行後,會在右下角系統列看到小圖示
• 雙擊滑鼠左鍵可開啟主程式
網路安全
7-94
PC Tools Firewall Plus - 預設設定狀態
• 初次安裝後使用的防禦等級:
– 防火牆安全層級:詢問模式
• 預設的設定下,可獲得足夠的防禦,又不會出現
過多的操作視窗
網路安全
7-95
功能介紹 - 應用程式管理
網路安全
7-96
功能介紹 - 應用程式管理 (續)
• 進階設定
– 可針對每一個應用程式的活動權限加以設定
網路安全
7-97
PC Tools Inbound 設定檔實例
來 源IP
目 標IP
服務
動作
任 何位址
郵 件伺服器
SMTP
允許
網路安全
7-98
PC Tools Outbound 設定檔實例(續)
來 源IP
目 標IP
服務
動作
內部網路
任何位址
HTTP、HTTPS、
FTP、telnet
允許
網路安全
7-99
功能介紹 - 設定檔
網路安全
7-100
功能介紹 - 進階設定檔設定
網路安全
7-101
功能介紹 - 進階設定檔設定 (續)
網路安全
7-102
功能介紹 - 歷程紀錄
• 想更清楚地知道某個應用程式存取網路的情形可
以對它建立一個歷程記錄
• 只要符合先前制定好的規則,該應用程式的連線
情形就會被記錄下來
• 可以清楚知道某個應用程式在某段時間做了些什
麼事情
網路安全
7-103
功能介紹 - 活動管理
網路安全
7-104
功能介紹 - 防火牆常規設定
網路安全
7-105
實驗操作步驟 - 限制外部網路存取FTP Server
網路安全
7-106
實驗操作步驟 - 限制外部網路存取FTP Server
(續)
進階設定
選擇要過濾的方向
選擇要過濾的協定
選擇要過濾的PORT
設定的訊息顯示
網路安全
7-107
實驗操作步驟 - 限制外部網路存取FTP Server
(續)
• 設定動作
選取禁用與寫入日誌
使規則生效
網路安全
7-108
實驗操作步驟 - 限制外部網路存取FTP Server
(續)
• 為規則命名
• 啟用規則
網路安全
7-109
實驗操作步驟 - 允許內部網路存取FTP Server
開啟內部網路
存取服務
網路安全
7-110
• 192應屬外部網路
網路安全
7-111
結論
• Firestarter
– 使用Firestarter下,不需要輸入iptables的語法
– 只需要將允許的服務和拒絕的服務設定好
– 在Linux下,Firestarter是一套操作簡單的防火牆
• PC Tools
– 透過GUI介面直接建立iptables的語法
– 在規則介面即可完成所有規則制定
– 在Windows下,PC Tools是一套易於使用的防火牆
網路安全
7-112
習題
網路安全
7-113
習題
1. 假設你發現目前有一個IP位址為10.2.0.44的使 用
者對你的主機嘗試使用遠端桌面連線,你該如何
禁止該IP位址的連線
2. 請列出iptables預設的兩個主要的table,以及各個
table裡面的chains與各個chains所代表的意義
3. 請說明為何這個指令是錯誤的?
「iptables -A INPUT -p udp --syn -s 192.168.0.20 -j
DROP」?
網路安全
7-114
習題 (續)
4. 假設區網當中有個使用者連上Internet影響其他使
用者 ,你想要將他的IP鎖住,但他總是有辦法修
改成其他IP來連外, 那你該怎麼辦讓他無法繼續
連外
5. 要將來自192.168.1.50這個IP來源的封包,只要是
要求21~23埠口的封包,就將他抵擋,應該如何
下達iptables指令
6. 要如何於Linux系統上,設定每次開機時,都自
動建立iptables規則
網路安全
7-115
Module 7-4:防火牆的專案實作(**)
網路安全
7-116
專案目的
•
•
•
•
學習Firewall的建置
切割信任網段與不信任網段(子網路與外部網路)
進行對防火牆規則的深入了解
以預設環境進行實際操作訓練
網路安全
7-117
專案(一)描述
• Judy身為一個公司資訊部門的主管,在進行網路
傳輸封包的監控後,發現公司員工於上班時間使
用即時通訊軟體與朋友聊天的情況嚴重,上呈予
高階主管後,決議進行對即時通訊軟體(MSN、
Yahoo!Messager及QQ等)進行禁止的動作,身為資
訊部門主管的您,該如何制定完整的規則以扼止
員工利用上班時間行聊天之實的行為呢?
網路安全
7-118
專案(一)描述
•
•
A公司已有完整的網路環境架構,其內部為私有網路,
透過Firewall與外部進行連結的動作。如果要扼止員
工於上班時間使用即時通訊軟體的行為,身為資訊
部門主管的您,該如何去進行對Firewall的規則制定,
使其可阻止員工使用即時通訊軟體
參考環境配置圖,模擬下列情況
對MSN所使用的通訊埠進行控管
對Yahoo!Messager所使用的通訊埠進行控管
對QQ所使用的通訊埠進行控管
對常用的即時通訊軟體進行控管的動作
使公司內部電腦無法使用即時通訊軟體與外部通訊
網路安全
7-119
環境配置圖 (僅供參考請自行修改或簡
化)
ExternUser
OS : OS:WINXP-SP3-pc3000
IP : 10.1.0.2/24
安裝軟體:
-MSN
-Yahoo!Messager
-QQ
IP2
User A
OS:WINXP-SP3-pc3000
IP:10.0.1.10
安裝軟體:MSN
User B
OS:WINXP-SP3-pc3000
IP: 10.0.1.11
安裝軟體:
Yahoo!Messager
IP1
Firewall
OS:WINXP-SP3-pc3000
IP1 : 10.0.1.254/24
IP2 : 10.1.0.1/24
安裝軟體:PC Tools Firewall
User C
OS:WINXP-SP3-pc3000
IP: 10.0.1.12
安裝軟體:QQ
網路安全
7-120
專案(二)描述
• 小孫是個很喜歡看動漫的研究生,做研究之餘,
不忘隨時連 FTP 去下載動漫來看。某天小孫去上
廁所的時候,老師進來實驗室剛好看到小孫的電
腦桌面上正播放「科學超電磁砲」的片頭曲,於
是老師把坐在小孫對面的你叫了過來。
• 老師:「小孫都快要畢業了,不趕快弄碩論還在
看動畫,他是打算多陪陪老師嗎?你幫老師想個
辦法,拯救一下小孫。」
網路安全
7-121
專案(二)描述
• 應老師要求,你需要幫忙在實驗室網路上的防火
牆做一些設定,使得小孫無法透過 FTP 下載動漫
來看
• 參考環境配置圖,完成下列基本要求
外部網路需要有一台網頁伺服器及 FTP 伺服器
外部網路和內部網路透過防火牆連接
小孫的電腦位於內部網路
小孫無法存取 FTP 服務
小孫仍可以存取網頁服務
網路安全
7-122
環境配置圖 (設定值僅供參考)
• 以Testbed建立一實驗,相關拓樸及設定如下圖
FW
OS: WINXP-SP3-CH-pc3000
IP1:10.1.1.4/24
IP2:10.1.2.3/24
安裝軟體:PC Tools Firewall Plus
web
IP2
IP1
Web
OS:WINXP-SP3-CH-pc3000
IP:10.1.1.80/24
Gateway:10.1.1.4
安裝軟體:Apache
FTP
OS:WINXP-SP3-CH-pc3000
IP:10.1.1.21/24
Gateway:10.1.1.4
安裝軟體:FileZilla Server
inUser
OS:WINXP-SP3-CH-pc3000
IP:10.1.2.2/24
Gateway:10.1.2.3
安裝軟體:FileZilla Client
網路安全
7-123
作業繳交說明
• 請參考情境完成作業,並將過程擷圖列於報告中
• 基於基本情境再多實作一些擴充情境可額外加分
• 請於 2012/05/02 23:59 前將報告上傳FTP
• 若在實作方面有問題,請寄信給助教,謝謝。
網路安全
7-124
參考資料
•
•
•
Firestarter, http://www.fs-security.com/
烏哥(民96年)。鳥哥的LINUX私房菜-伺服器架設篇(2)。台北市:上奇科
技。
Linux Firewal技術手札 (王宏薇、施清華譯)。台北市:上奇科技。
•
•
李蔚澤(民95年)。iptables與Linux安全防護。台北市:碁峰資訊。
鄧吉、柳靖(民96年)。駭客攻防實戰詳解。台北市:松崗科技。
•
•
•
洛林(民92年)。Linux防火牆iptables。台北市:碁峰資訊。
鄷士昌(民94年)。Linux系統安全與防火牆。台北市:文魁資訊。
黃明祥、林詠章(民96)。資訊與網路安全概論 - 建構安全的電子商務系統
(2)。台北市:美商麥格羅‧希爾。
• 林詠章著,使用 iptables 建置 Linux 防火牆
•
http://www.spps.tp.edu.tw/documents/memo/iptables/iptables.htm
網路管理技術文件 http://news.ols3.net/techdoc/old/kernel2.html
網路安全
7-125