20199103 2019-2020-2 《网络攻防实践》第六周作业

1.实践内容

防火墙指的是在不同网络之间，对流量和访问进行控制的安全组件和设备。

检查控制进出网络的网络流量：这是防火墙的一个最基本的功能。检查数据包的包头、协议，然后根据管理员设定的要求，来放行流量或者直接拒绝。
防止脆弱或不安全的协议和服务：防火墙可以通过禁止一些不安全的协议通过，来保护内部网络。管理员也可以在服务器上关闭不安全的服务和禁止不安全的协议的报文来达到相同的目的。
防止内部信息泄露：防火墙可以屏蔽某些内部细节，来防止有关安全的线索被攻击者获取。
对网络存取和访问进行监控审计:防火墙可以记录下所有通过它的访问，并形成日志以供查阅。如果有可以的访问，防火墙也可以报警。
强化网络安全策略并集成其他安全防御机制：可以将很多安全机制配置在防火墙上。

包过滤：通过对每个数据包的包头信息检查来确定是否应该接受数据包。
动态包过滤：通过防火墙的网络连接的记录，了确定某个数据包是属于一个新建连接，还是一个某个已经连里的连接的一部分。不仅会检查数据包，还会检查数据包再网络连接中的上下文。
代理技术：让主机和另一个网络进行间接的连接。首先先和一个代理服务器建立连接，然后向代理服务器发出一个其他服务器的连接请求，代理服务器就会和该服务器建立连接、去的资源，然后发送给主机。具体有：应用层代理技术，针对某一个具体的网络服务而提供的代理技术；电路级代理技术，同时对多个不同的网络服务提供服务的代理技术；NET代理技术，允许多个用户共同使用一个IP地址。

工作原理iptables中有三个基本规则表：处理包过滤的filter、网络地址转换nat、特殊目的包修改的mangle。filter包含INPUT、OUTPUT、FORWARD三条规则链。分别是发往本地、本地发出、经过本主机的转发的数据包处理的规则。nat表有PREROUTING、POSTROUTING、OUTPUT三条规则链。分别是：对未经路由选择的数据包转换IP地址和目标端口、对已经经过陆幽轩的数据包进行转换IP地址和目标端口，OUTPUT规则链的本地数据包的IP地址和端口转换。
iptables的命令的语法为：iptables -t [table] command [match] [target]。-t指定规则所在的表，缺省表包括gilter、nat、mangle、raw（在我网上找的例子之中都没有填，直接使用缺省）。cammand就是告诉iptables要做什么，比如-A就是在链表之后插入规则。match则是规则，满足规则的数据包才会被采取措施。target是满足规则之后要做什么，比如放行数据包ACCEPT。具体详细命令用法就不赘述了，有点多。

IP伪装：在内部网络使用私有IP，而通过防火墙可以绑定一个外部IP，对数据包进行源IP伪装。
SNAT机制：SNAT记住可以按照用户制定的规则，将源IP灵活的变成各种IP，IP伪装是一种SNAT机制。值得注意，SNAT机制需要在POSTOUTING链中完成，这样才能让路由、包过滤在源IP改变之前做完。
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.254.2的意思是将发出的源IP改为192.168.254.2。
DNAT机制：DNAT在PREROUTING链中完成，需要用到-i.iptables -t nat -A PEROUTING -i eth1 -j DNAT --to 192.168.254.128将目的地址转换为192.168.254.128.

首先先测试一下最初能不能使用telnet
一开始是可以的。
然后在被访问的机器运行命令iptables -P INPUT DROP意思是满足指定规则的数据报全部丢掉
这时telnet已经连接不上了
然后添加一条规则iptables -A INPUT -p tcp -s 192.168.254.128 -j ACCEPT.接受来自192.168.254.128（kali）的数据包。
然后再次telnet连接
现在kali是可以的
然后再切换winxp试一试
xp是不行的。
依旧保险起见，先iptables -D INPUT -p tcp -s 192.168.254.128 -j ACCEPT删除命令，然后iptables -P INPUT ACCEPT 把没有规定的数据包都接收（这一条不是新加命令无法删除，我也不知道最初是不是所有的没规定的都接受）