網路安全防範

2022-08-23 19:54:12 字數 3429 閱讀 1721

所屬課程

網路攻防實踐

作業要求

第六次作業

實踐內容

學習總結

其中的五個規則鏈對應者netfilter在tcp/ip協議中的五個hook檢查點(上下兩部分分別對應外內資料通道)。

prerouting 對應檢查點 1,檢查進入主機的資料報,用於源位址nat轉換;input對應檢查點2,檢查發往本地網路協議棧的資料報,用於過濾本地網路服務的連線;forward對應檢查點3,用於經由本地路由**的資料報檢查,過濾網路連線;rostrouting對應檢查點4,用於目的位址nat轉換;output對應檢查點5,對本地發出的資料報進行檢查,可用於本地對外的訪問控制。

iptables:基本命令為

iptables [-t table] command [match][target]


-t 指定表, command 指定規則鏈,match 指定匹配條件,target指定目標操作


eg: iptables -t filter -a forward -s 192.168.0.0/24 -d 192.168.1.0/24 -j accept


即指定filter表,對路由**的資料進行網段流量的篩選,-a 追加命令規則至規則鏈尾,-s,-t 源目的位址 -j accept 指定accept操作(常用預設為accept或drop)
動態包過濾命令(狀態跟蹤命令)

eg: iptables -t filter -a forward -d [web_server] -m state --state new -j accept


即允許連線目標為web_server的ip, 當前狀態為new(新建連線)的網路連線可通過防火牆**
ip偽裝(利用nat規則鏈)

通過乙個在防火牆繫結乙個外網ip共享進行外部訪問


eg: iptables -t nat -a postrouting -i eth1 -o eth0 -j masquerade 


-masquerade(ip偽裝)


eg: iptables -t -nat -a postrouting -p tcp -o eth0 -j snat --to 1.2.3.4:1-1023


將通過路由發出的tcp網路連線的源ip改為1.2.3.4,埠為前1023個埠(除0埠外的保留埠)
轉化目的ip

eg: iptables -t nat -a prerouting -i eth1 -j dnat --to 5.6.7.8


將目的位址轉換為5.6.7.8
實踐內容

實踐過程

實驗機器

ipa(kali)

192.168.200.7

b(seed)

192.168.200.2

c(metas..linux)

192.168.200.125

命令詳情查詢

iptables -h, snort -h及上述內容

檢視 chain rules list確認阻塞ping包規則:

檢視/etc/init.d/rc.firewall分析資料的捕獲和控制:

基本上就是利用一些基本模組(),flush模組(用於清除all tables),create_chains模組(建立規則鏈),default_policy和localhost_policy模組(用於控制本地主機訪問和預設訪問資料的策略),management_policy模組(管理的訪問許可權設定)進行資料報捕獲和控制:

捕獲到資料報後,檢查其變數(ip啥的),如果在blacklist(creat_chains)裡,就丟棄且不log:

如果在whitelist裡,接受且不log:

如果在fencelist裡,接受且log:

然後就是根據網絡卡模式進行一些防火牆的設定,並且進行一些更細緻的命令設定和協議handle以用來控制匹配命令。

iptables規則列表

命令iptables --list|less觀察規則列表:

snort和snort_inline執行引數

snort:

檢視/etc/snort/snort.conf(沒有檔案/etc/init.d/hflow-snort,只有.../hflow,難頂 ),variable設定包括 home_net, server lists, service ports for attacks,以及一些其他的variables:

檢視/etc/init.d/hw-snort_inline(同樣沒找到檔案.../hflow-snort_inline,配置檔案中也只有一些預設網路變數設定,不需人為設定)檢視執行引數:

閘道器開機後,防火牆、nids、nips是如何啟動的,snort規則是如何自動公升級的:

命令 chkconfig --list|grep [服務]查詢服務狀態(這裡操作沒看原始碼,也不知道配置檔案寫沒寫這些,參考的同學部落格),發現snort_inline的開啟與防火牆(系統)同步,snortd需手動設定:

snort規則的手動公升級可通過編輯local.rules檔案,自動公升級則需通過oinkmaster(社群預設工具)或者pullpork等工具。

學習問題及解決

找不到書上指定的檔案

實踐總結

安全防護通過防火牆,入侵檢測等方式進行,需系統掌握工具的命令及一些安全防護的思想。

參考

PHP安全防範

php 安全和xss,sql注入等對於各類 的安全非常中用,尤其是ugc user generated content 論壇和電子商務 常常是xss和sql注入的重災區。這裡簡單介紹一些基本程式設計要點,相對系統安全來說,php 安全防範更多要求程式設計人員對使用者輸入的各種引數能更細心.建議安裝s...

甲方安全防範

好了,言歸正傳了,沒錢還想搞安全,怎麼辦?用免費的代替唄。下面給大家說我的一下替代方案。為啥放首位了,因為這款漏掃沒什麼好介紹的,強烈推薦 直接部署在網路當中,路由可達即可。與收費漏掃相比較,掃瞄結果略有不同,都能掃到對方掃不到的。所以,還是一款值得推薦的免費漏掃。直接部署在網路當中,對客戶端路由可...

企業網路安全防範體系及設計原則分析

企業網管看過來 一 引 言 隨著資訊化程序的深入和網際網路的快速發展,網路化已經成為企業資訊化的發展大趨勢,資訊資源也得到最大程度的共享。但是,緊隨資訊化發展而來的網路安全問題日漸凸出,網路安全問題已成為資訊時代人類共同面臨的挑戰,網路資訊保安問題成為當務之急,如果不很好地解決這個問題,必將阻礙資訊...