企业官网建设流程全解析

想学做网站 应该学,wordpress没有首页,一般使用的分辨率是多少dpi,网站建设是那个行业一、实验目的防火墙与入侵防护实验与理论教学第八章防火墙与入侵防护系统相对应。本实验在学生完成终端和服务器防火墙配置实验、无状态分组过滤器配置实验、及有状态分组过滤器配置实验的基础上#xff0c;使学生能够解释防火墙的作用#xff0c;能够列举防火墙的各种类型和…一、实验目的防火墙与入侵防护实验与理论教学第八章防火墙与入侵防护系统相对应。本实验在学生完成终端和服务器防火墙配置实验、无状态分组过滤器配置实验、及有状态分组过滤器配置实验的基础上使学生能够解释防火墙的作用能够列举防火墙的各种类型和特征并能够实现防火墙的部署和配置。具体如下1、终端和服务器防火墙配置实验验证终端和服务器防火墙配置过程、验证终端和服务器防火墙实施访问控制策略的过程、验证终端和服务器防火墙入规则配置过程。2、无状态分组过滤器配置实验验证无状态分组过滤器配置过程、验证无状态分组过滤器实施访问控制策略的过程、验证过滤规则设置原则和方法、验证过滤规则作用过程。3、有状态分组过滤器配置实验验证有状态分组过滤器配置过程、验证有状态分组过滤器实施访问控制策略的过程、验证过滤规则设置原则和方法、验证过滤规则作用过程、验证基于会话的信息交换控制机制。二、实验简要原理1、终端和服务器防火墙配置实验配置规则的关键因素是指定IP地址范围,一般通过CIDR地址块或网络地址指定IP地址范围,如CIDR地址块192.1.1.0/28指定的IP地址范围为 192.1.1.0~192.1.1.15,但CIDR地址块192.1.1.0/28中的IP地址192.1.1.0是网络地址,192.1.1.15是直接广播地址,这两个!P地址都不是可分配的IP地址。如果用CIDR地址块表示网络地址,子网掩码的位数一般不能大于31位。为了用CIDR地址块表示唯一的IP地址,如IP地址192.1.1.1,可以用该IP地址和32位子网掩码的组合来表示唯一的该IP地址,如192.1.1.1/32。为了方便表示IP地址范围,防火墙引进反掩码,如IP地址范围192.1.1.0~192.1.115,可以用IP地址192.1.1.0和反掩码0.0.0.15表示。反掩码表示方式下,先将IP地址192.1.1.0 和反掩码 0.0.0.15进行“或”运算,得到运算结果192.1.1.15。给定某个IP地址,将该IP地址与反掩码 0.0.0.15 进行“或”运算,如果运算结果等于 192.1.1.15,表示该IP地址属于用IP地址192.1.1.0和反掩码0.0.0.15表示的IP地址范围。如IP地址 192.1.1.7与反掩码 0.0.0.15 进行“或”运算后得到的运算结果是192.1.1.15,因此,IP地址192.1.1.7属于用IP地址 192.1.1.0和反掩码 0.0.0.15 表示的IP地址范围。引入反掩码后,可以用IP地址192.1.1.1和反掩码0.0.0.0唯一指定IP地址192.1.1.1。也可以用IP地址192.1.2.2和反掩码0.0.0.1指定IP地址192.1.2.2和192.1.2.3,同样,可以用IP地址192.1.1.4和反掩码0.0.0.1指定IP地址 192.1.1.4和 192.1.1.5。2、无状态分组过滤器配置实验路由器R1接口1输入方向的过滤规则集如下。① 协议类型TCP,源IP地址192,1.1.1/32,源端口号*,目的IP地址192.1.2.7/32,目的端口号80;正常转发。②协议类型TCP,源IP地址192.1.1.7/32,源端口号21,目的IP地址192.1.2.1/32,目的端口号*;正常转发。③协议类型TCP,源IP地址192.1.1.7/32,源端口号1024,目的IP地址192.1.2.1/32,目的端口号*;正常转发。④协议类型x,源P地址any,目的P地址any;丢弃。路由器R2接口2输入方向的过滤规则集如下。①协议类型TCP,源IP地址192.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号21;正常转发。②协议类型TCP,源IP地址192.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号1024;正常转发。③协议类型TCP,源IP地址192.1.2.7/32,源端口号80,目的IP地址192.1.1.1/32,目的端口号*;正常转发。④协议类型*,源IP地址any,目的IP地址any;丢弃。条件“协议类型*”是指IP分组首部中的协议字段值可以是任意值。“源端口号*”是指源端口号可以是任意值。路由器R1接口1输入方向过滤规则①表明只允许与终端A以HTTP访问Web服务器有关的TCP报文继续正常转发。过滤规则表明只允许属于FTP服务器和终端B之间控制连接的TCP报文继续正常转发。过滤规则③表明只允许属于FTP服务器和终端B之间数据连接的TCP报文继续正常转发。由于FTP服务器是被动打开的,因此,数据连接FTP服务器端的端口号是不确定的,FTP服务器在大于1024的端口号中随机选择一个端口号作为数据连接的端口号。过滤规则④表明丢弃所有不符合上述过滤规则的IP分组。路由器R2接口2输入方向过滤规则集的作用与此相似。3、有状态分组过滤器配置实验路由器R1接口1输入方向的过滤规则集如下。① 协议类型-TCP,源 IP地址192.1.1.1/32,源端口号*,目的IP地址192.1.2.7/32,目的端口号80;正常转发。②协议类型x,源P地址any,目的IP地址any;丢弃。路由器R1接口1输出方向的过滤规则集如下。① 协议类型TCP,源IP地址192.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号21;正常转发。② 协议类型TCP,源IP地址192.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号1024;正常转发。③协议类型*,源P地址any,目的P地址any;丢弃。与7.7节无状态分组过滤器配置实验不同,路由器R1接口1输入方向过滤器只允许与终端A发起访问Web服务器有关的TCP报文输入,禁止FTP服务器发送给终端B的响应报文输入。同样,路由器R1接口1输出方向过滤器只允许与终端B发起访问FTP服务器有关的TCP报文输出,禁止Web服务器发送给终端A的响应报文输出。这是有状态分组过滤器不同于无状态分组过滤器的地方,对于终端A发起访问Web服务器的过程,只有在路由器R1接口1输入方向输入了终端A发送给Web服务器的请求消息后,路由器R1才自动在接口1输出方向设置允许该请求消息对应的响应消息输出的过滤规则。即输出方向允许Web服务器发送给终端A的TCP报文输出的前提有两个,一是输入方向输入了封装终端A发送给Web服务器的请求消息的TCP报文,且该TCP报文与规则①匹配。二是输出的TCP报文是封装Web服务器发送给终端A的响应消息的 TCP 报文。对于终端B发起访问FTP服务器过程,只有在路由器R1接口1输出方向输出了终端B发送给FTP服务器的请求消息后,路由器R1才自动在接口1输入方向设置允许该请求消息对应的响应消息输入的过滤规则。路由器R2接口2输入方向的过滤规则集如下。① 协议类型TCP,源IP地址192.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号21;正常转发。②协议类型TCP,源IP地址192.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号1024;正常转发。③协议类型*,源P地址any,目的IP地址any;丢弃。路由器R2接口2输出方向的过滤规则集如下。① 协议类型TCP,源IP地址192.1.1.1/32,源端口号*,目的IP地址192.1.2.7/32,目的端口号80;正常转发。②协议类型*,源IP地址any,目的IP地址any;丢弃。路由器R2接口2输入输出方向过滤规则集的配置原则与路由器R1接口1输入输出方向过滤规则集的配置原则相同。除了在路由器接口输入输出方向配置分组过滤器,为了在一个方向通过请求消息后在另一个方向自动添加允许该请求消息对应的响应消息通过的过滤规则,需要同步配置监测器,监测器用于监测某个方向通过的请求消息,并在监测到请求消息后,自动在相反方向添加允许该请求消息对应的响应消息通过的过滤器规则。三、实验环境本实验基于Cisco Packet Tracer 8.1软件完成通过Packet Tracker可以运用Cisco网络设备设计、配置和调试网络可以模拟分组端到端传输过程中的每一个步骤可以直观了解IP分组端到端传输过程中交换机、路由器等网络设备具有的各种安全功能对IP分组的作用过程。四、实验内容1、终端和服务器防火墙配置实验终端和服务器带有防火墙,通过配置某个终端或服务器中防火墙的入规则,可以有效控制其他终端和服务器对该终端或服务器的访问过程。一般情况下,通过制定访问控制策略来限制其他终端和服务器对某个终端或服务器的访问过程,因此,需要将访问控制策略转换成入规则,通过对该终端或服务器配置入规则来实施访问控制策略。图7.1 终端服务器防火墙配置的互连网络结构假定对于如图7.1所示的互连网络,制定以下访问控制策略。1终端访问控制策略终端访问控制策略如下。不允许不属于同一网络的终端之间相互进行ping操作。因此,对于终端A,实施访问控制策略的入规则如表7.1所示。终端C的入规则与终端A相似。表7.1 终端A的入规则序号源IP地址协议动作1192.1.2.2或192.1.2.3ICMP丢弃2anyIP允许规则1禁止源IP地址为终端C或终端D的IP地址,且净荷是ICMP报文的IP分组进入终端A。规则2允许除规则1禁止的IP分组以外的所有其他IP分组进入终端A。2Web 服务器访问控制策略Web服务器访问控制策略如下。对于和Web服务器不属于同一网络的终端,只允许这些终端用浏览器访问 Web主页。因此对于Web服务器1,实施访问控制策略的入规则如表7.2所示。Web服务器2的入规则与Web服务器1相似。表7.2 Web服务器1的入规则序号源IP地址协议源端口号目的端口号动作1192.1.2.2或192.1.2.3TCPany80允许2192.1.1.4或192.1.1.5IP允许3anyIP丢弃规则1允许源IP地址为终端C或终端D的IP地址,且净荷是目的端口号等于80的TCP报文的IP分组进入Web服务器1。规则2允许源IP地址为终端A或终端B的IP地址的IP分组进入Web服务器1。规则3禁止除规则1和规则2允许的IP分组以外的所有其他IP分组进入Web服务器1。2、无状态分组过滤器配置实验互连的网络结构如图7.2所示,分别在路由器R1接口1输入方向和路由器R2接口2输入方向设置无状态分组过滤器,实现只允许终端A访问Web服务器,终端B访问FTP服务器,禁止其他一切网络间通信过程的访问控制策略。图7.2 无状态分组过滤器配置的互联网络结构3、有状态分组过滤器配置实验互连的网络结构如图7.2所示,分别在路由器R1接口1和路由器R2接口2设置有状态分组过滤器,实现只允许终端A访问Web服务器,终端B访问FTP服务器,禁止其他一切网络间通信过程的访问控制策略。五、网络拓扑图1、终端和服务器防火墙配置实验网络拓扑图2、无状态分组过滤器配置实验网络拓扑图3、有状态分组过滤器配置实验网络拓扑图六、实验过程说明及截图1、终端和服务器防火墙配置实验过程1根据实验拓扑图放置并连接设备连接完成后情况以及端口选择如下2完成路由器接口配置配置过程如下完成各终端以及服务器网络信息配置过程如下3启动PC0 Desktop下的IPv4防火墙实用程序在防火墙入规则配置界面进行配置配置“规则1禁止源IP地址为PC2或PC3的IP地址且净荷是ICMP报文的IP分组进入PC0”配置“规则2允许除规则1禁止的IP分组之外的所有其他IP分组进入PC0”配置过程如下添加完成后结果如图所示4对Web Server1进行IPv4防火墙入规则配置配置“规则1允许源IP地址为PC0或PC1的IP地址的IP分组进入Web服务器1”配置过程如下配置“规则2允许源IP地址为PC2或PC3的IP地址且净荷是目的端口号等于80的TCP报文的IP分组进入Web服务器1”配置过程如下配置“规则3禁止除规则1和规则2允许的IP分组以外的所有其他IP分组进入Web服务器1”配置过程如下配置完所有规则之后如下所示5对PC2 IPv4 以及Web Server2 IPv4 防火墙入规则进行配置配置结果如图所示PC2Web Server26对实验结果进行验证首先使用PC1向PC3发送一个ICMP报文证明成功连通。PC2向PC0发送一个ICMP报文结果显示失败符合实验预期。PC3向PC0发送一个ICMP报文结果显示失败符合预期。使用Web Server2向PC0发送ICMP报文成功符合实验预期。2、无状态分组过滤器配置实验过程1按照网络拓扑图连接并防止实验设备结果如下完成路由器接口配置过程及RIP配置过程完成各个终端和服务器网络配置过程仅以PC0为例连通性测试两个路由器的路由表2在路由器Router0上配置编号为101的无状态分组过滤器并将其作用到路由器接口f0/0输入方向在路由器Router1上配置编号为101的无状态分组过滤器并将其作用到路由器f0/1输入方向3验证不同网络终端之间服务器之间能不能ping通不能ping通只允许PC0通过浏览器访问Web服务器进行FTP服务器配置创建两个用户名分别为aaa和cisco的授权用户授权用户的访问权限是全部操作功能PC2访问FTP服务器4要求实施只允许PC2发起访问FTP服务器的访问控制策略必须在PC2向FTP服务器发生了FTP请求消息后才能由FTP服务器向PC2发送对应FTP响应消息。无状态过滤器中的规则2、3并不能实现这一控制功能如下图所示的TCP报文该报文并不是FTP服务器发送给PC2的FTP响应消息但允许进入路由器接口f0/0。用无状态分组过滤器实施精确控制是有困难的。3、有状态分组过滤器配置实验过程1按照实验拓扑图放置和连接设备完成路由器接口配置以及RIP配置路由器转发表对终端和服务器进行网络配置。2对路由器进行安全功能配置3部分结果PC0只能通过浏览器访问Web服务器PC2只能通过FTP访问FTP服务器七、实验思考1、实验内容思考1对终端和服务器防火墙配置实验的实验结果进行分析说明该实验涉及的过滤器规则设置是否存在弊端本实验只配置了基础的入站访问规则这类规则的防护能力有限难以适配复杂网络环境下多样化的安全防护需求。防火墙的规则匹配遵循顺序执行的原则一旦规则编排的先后次序不合理就极易形成安全防护的漏洞给恶意流量的入侵留下可乘之机。此外实验中所采用的防火墙规则属于静态配置模式无法根据网络环境的实时变化自动调整防护策略因此在面对动态演变的网络攻击手段时其防护效果会大打折扣。2对无状态分组过滤器配置实验的实验结果进行分析说明该实验涉及的过滤器规则设置是否存在弊端无状态分组过滤器的匹配依据仅局限于 IP 分组的首部信息无法对应用层协议进行识别因此难以实现更精细化的访问管控。同时这类过滤器的匹配逻辑以 IP 地址为核心这就使得攻击者可通过伪造源 IP 地址的方式轻易绕过已部署的访问控制策略。若要借助无状态分组过滤器实现复杂的访问控制需求往往需要配置数量庞大的规则且必须严格规划规则的执行顺序 —— 这不仅大幅提升了配置操作的复杂度也增加了规则冲突或配置失误的风险。此外无状态分组过滤器不具备会话状态跟踪能力因此无法构建基于会话的信息交互管控机制这也进一步导致其难以达成精准的访问控制效果。3对有状态分组过滤器配置实验的实验结果进行分析说明该实验涉及的过滤器规则设置是否存在弊端要落地复杂的访问控制策略就得部署大量规则同时还得精细规划规则的执行顺序——这既让配置工作的复杂度显著上升也更容易出现配置疏漏或错误。而有状态分组过滤器需要持续跟踪会话状态这会额外加重防火墙的运算负荷进而拖慢整体的网络传输效率。另外网络环境是动态变化的防火墙规则需要定期迭代更新这无疑会抬高长期的运维成本。同时有状态分组过滤器的管控逻辑完全依赖预设规则对于未被纳入规则库的新型攻击手段它往往难以实现有效防御。2、实验过程思考要求对照第八章防火墙与入侵防护系统理论课相关知识点分析本实验阐述的原理。本实验共设定两类访问控制策略分别为终端访问控制策略与Web服务器访问控制策略两类策略均通过配置防火墙入站规则的方式落地实施。这些访问控制策略直观体现出防火墙的核心作用即对网络流量进行精准管控同时保护网络资源免遭未授权访问的侵扰而防火墙的配置流程则需遵循“定义规则—指定匹配条件—设置响应动作”的核心逻辑以此保障策略的有效执行。无状态分组过滤器的工作机制为依据预先配置的规则对每一个IP分组开展独立检测再根据规则的匹配结果决定是否放行该分组。这类过滤器不具备连接状态跟踪能力仅能对单个分组的头部信息进行识别与判断。本实验中研究人员在两台路由器上均配置了入站规则以验证该过滤器的效果但实际应用中其局限性也随之显现由于仅依靠IP地址等头部信息进行匹配攻击者可通过伪造源IP地址的方式绕过防护既无法对基于连接的协议实现精细化管控同时大量规则的配置与排序也会显著提升操作复杂度。与之相对的有状态分组过滤器则能够对每一个TCP或UDP连接的状态进行全程跟踪并结合连接状态与预设规则综合判定是否允许分组通过。在本实验里两台路由器均被配置了入站与出站双向规则这一配置也充分验证了有状态分组过滤器的优势不仅能够有效抵御IP欺骗类攻击还可对基于连接的协议实施更为精细的管控同时其规则配置逻辑更为清晰整体操作难度相对更低。