1、实验题目 状态检测实验 小组合作 否一、实验目的定制基于状态检测规则验证规则配置前后通信状态二实验环境防 火 墙 服 务 器S E Dw i n d o w s 实 验 平 台1 7 2 . 2 0 . 2 . X1 7 2 . 2 0 . 1 . Y1 7 2 . 2 1 . 2 . X1 7 2 . 2 1 . 3 . Y实验环境拓扑图本 地 客 户 端图 3.1.2-1 实验环境拓扑图实验环境拓扑图如图 3.1.2-1 所示,其中:防火墙 IP 地址:内网 IP 地址:172.20.2.X/16 连接防火墙实验显示的内网 IP外部 IP 地址:172.21.2.X/16 连接防火墙实验显
2、示的外网 IP客户端 IP 地址:172.20.1.Y/255.255.0.0 通过察看本地网络属性获得Windows 实验台的 IP 地址: 172.21.3.Y,确保相互之间不会冲突。网关为防火墙外网 IP 地址:1172.21.2.X本实验的防火墙的默认规则都是允许。三、实验内容与步骤一、 连接防火墙进入状态检测实验实验实施的界面,点击“连接” ,连接防火墙。二、 添加静态路由启动 Windows 实验台。打开本地主机 cmd 命令行,输入 route add 172.21.0.0 mask 255.255.0.0 172.20.2.1,添加路由。三、 验证网络连通性本地 cmd 窗口中
3、输入 ping 172.21.3.76(实验台第二块网卡 IP) ,进行网络连通性测试,如图。FTP 访问(通过 IE 访问)结果如图 3.1.2-4 所示,可正常访问。四、 规则添加可选择状态包括:NEW(新建连接 )、ESTABLISHED( 已建立的连接 )、RELATED( 与某已建立连接相关的连接)、INVALID(非法连接) 。选择规则类型包括:REJECT 和ACCEPT,决定是否允许数据包通过。针对 FTP 服务,添加如图所示的规则。本次实验主要以 FTP 的被动(Passive)连接模式为例,因为 IE 来访问 FTP 选择为被动,如若对主动模式进行测试,或选用其它客户端,如
4、 CuteFTP,留为课后自行完成实验。五、 实验结果测试使用 FTP 服务,连接失败。尝试当已经连接 FTP 服务器后,再添加如图 3.1.2-5 所示的规则,ftp 服务是否会中断。四、实验过程与分析六、 连接防火墙进入状态检测实验实验实施的界面,点击“连接” ,连接防火墙。七、 添加静态路由启动 Windows 实验台。打开本地主机 cmd 命令行,输入 route add 172.21.0.0 mask 255.255.0.0 172.20.2.1,添加路由,如图 3.1.2-2 所示。图 3.1.2-2 添加静态路由八、 验证网络连通性本地 cmd 窗口中输入 ping 172.21
5、.3.76(实验台第二块网卡 IP) ,进行网络连通性测试,如图 3.1.2-3 所示。图 3.1.2-3 连通性测试FTP 访问(通过 IE 访问)结果如图 3.1.2-4 所示,可正常访问。图 3.1.2-4九、 规则添加可选择状态包括:NEW(新建连接 )、ESTABLISHED( 已建立的连接 )、RELATED( 与某已建立连接相关的连接)、INVALID(非法连接) 。选择规则类型包括:REJECT 和ACCEPT,决定是否允许数据包通过。针对 FTP 服务,添加如图 3.1.2-5 所示的规则。图 3.1.2-5 防火墙规则本次实验主要以 FTP 的被动(Passive)连接模式
6、为例,因为 IE 来访问 FTP 选择为被动,如若对主动模式进行测试,或选用其它客户端,如 CuteFTP,留为课后自行完成实验。十、 实验结果测试使用 FTP 服务,连接失败。尝试当已经连接 FTP 服务器后,再添加如图 3.1.2-5 所示的规则,ftp 服务是否会中断。五、实验总结状态检测技术是包过滤技术的延伸,被称为动态包过滤。传统的包过滤防火墙只是通过检测 IP 包包头的相关信息来决定数据通过还是拒绝。而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包做为一个整体的数据流看待,构成连接状态表(State Table),通过规则表与状态表的共同配合,对表中的各个连
7、接状态因素加以识别。例如,对于一个外发的 HTTP 请求,当数据包到达防火墙时,防火墙会检测到这是一个发起连接的初始数据包(有 SYN 位),它就会把这个数据包中的信息与防火墙规则作比较,即采用包过滤技术。如果没有相应规则允许,防火墙就会拒绝这次连接;如果有对应规则允许访问外部 WEB 服务,就接受数据包外出并且在状态表中新建一条会话,通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息。对于 TCP 连接,它还应该会包含序列号和标志位等信息。当后续数据包到达时,如果这个数据包不含SYN 标志,也就是说这个数据包不是发起一个新的连接时,状态检测引擎就会直接把它的信息与状
8、态表中的会话条目进行比较,如果信息匹配,就直接允许数据包通过,这样不再去接受规则的检查,提高了效率,如果信息不匹配,数据包就会被丢弃或连接被拒绝,并且每个会话还有一个超时值,过了这个时间,相应会话条目就会被从状态表中删除掉。对UDP 同样有效,虽然 UDP 不是像 TCP 那样有连接的协议,但状态检测防火墙会为它创建虚拟的连接。对己经建立连接的数据包不再进行规则检查,因而过滤速度非常快。另一方面,信息包在低层处理,并对非法包进行拦截,因而协议的任何上层不用再进行处理,从而提高了执行效率。状态检测工作在数据链路层和网络层之间,并从中截取信息包。由于数据链路层是网卡工作的真正位置,网络层也是协议栈
9、的第一层,所以状态检测防火墙保证了对所有通过网络的原始信息包截取和检查,从中提取有用信息,如 IP 地址、端口号和数据内容等,安全性得到了很大提高。状态检测技术支持对多种协议的分析和检测。不仅支持基于 TCP 的应用,而且支持基于无连接协议的应用,例如远程过程调用 RPC、基于 UDP 的应用( 如DNS、WAIS、Archie) 等。系统管理员配置访问规则时需要考虑的内容相对简单,出错率降低。状态检测实验中,一共有四种状态,分别被称为NEW、 ESTABLISHED、INVALID、RELATED,这四种状态对于 TCP、UDP、ICMP 三种协议均有效。下面,我们来分别阐述四种状态的特性。
10、NEW: NEW 说明这个包是我们看到的第一个包。意思就是,这是看到的某个连接的第一个包,它即将被匹配了。比如,我们看到一个 SYN 包,是我们所留意的连接的第一个包,就要匹配它。ESTABLISHED: ESTABLISHED 已经注意到两个方向上的数据传输,而且会继续匹配这个连接的包。处于 ESTABLISHED 状态的连接是非常容易理解的。只要发送并接到应答,连接就是 ESTABLISHED 的了。一个连接要从 NEW 变为 ESTABLISHED,只需要接到应答包即可,不管这个包是发往防火墙的,还是要由防火墙转发的。ICMP 的错误和重定向等信息包也被看作是 ESTABLISHED,只
11、要它们是我们所发出的信息的应答。RELATED: RELATED 是个比较复杂的状态。当一个连接和某个已处于ESTABLISHED 状态的连接有关系时,就被认为是 RELATED 的了。换句话说,一个连接要想是 RELATED 的,首先要有一个 ESTABLISHED 的连接。这个 ESTABLISHED 连接再产生一个主连接之外的连接,这个新的连接就是 RELATED 的了。有了这个状态,ICMP应答、FTP 传输、 DCC 等才能穿过防火墙正常工作。比如 FTP 协议,用户命令是通过对21 端口的连接传输,而数据则通过另一个临时建立的连接( 缺省的源端口是 20,在PASSIVE 模式下则是临时分配的端口)传输。对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为 20 的访问。INVALID:INVALID 说明数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况,比如,内存溢出,收到不知属于哪个连接的 ICMP 错误信息。一般地,我们拒绝这个状态的任何东西。
