module 7 : 防火牆實習

125
網網網網 Module 7 防防防防防

Upload: hammett-bentley

Post on 31-Dec-2015

104 views

Category:

Documents


3 download

DESCRIPTION

Module 7 : 防火牆實習. 學習目的. 近年來網路世界常遭受駭客的入侵,因此網路安全為現在相當重要的課題,假如要依據自己的環境來訂定防護的機制,那一定得先認識 『 防火牆 』 本模組共有四個小節包括 (1) 防火牆簡介 (2) 防火牆 工具介紹 (3) 防火牆 的實務 (4) 防火牆的 專案實作 共需三個鐘點. Module 7 :防火牆實習. Module 7-1 : 防火牆簡介 (*) Module 7-2 :防火牆工具介紹 (**) Module 7-3 : 防火牆的 實務 (**) - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Module 7 : 防火牆實習

網路安全

Module 7 防火牆實習

網路安全 7-2

學習目的1 近年來網路世界常遭受駭客的入侵因此網路安全為現

在相當重要的課題假如要依據自己的環境來訂定防護的機制那一定得先認識『防火牆』

2 本模組共有四個小節包括 (1) 防火牆簡介 (2) 防火牆工具介紹 (3) 防火牆的實務 (4) 防火牆的專案實作 共需三個鐘點

網路安全 7-3

Module 7 防火牆實習bull Module 7-1 防火牆簡介 ()bull Module 7-2 防火牆工具介紹 ()bull Module 7-3 防火牆的實務 ()bull Module 7-4 防火牆的專案實作 ()

初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容

網路安全 7-4

Module 7-1 防火牆簡介 ()

網路安全 7-5

防火牆的定義bull 在電腦網路中防火牆透過對資料封包的篩選和屏蔽防止非法的存取進入內部或外部電腦網路

bull 防火牆隔開內部網路與外部網路從外部網路要使用內部網路的機器必須經過防火牆為一種保護作用

網路安全 7-6

軟體防火牆 VS 硬體防火牆bull 軟體防火牆

ndash 安裝在隔離內外部的主機上ndash 例 PC Tool Checkpoint firewall及 Firestarter

bull 硬體防火牆ndash 採用純硬體設計與固化電腦ndash 例 Cisco ASA 與 Juniper Firewall

網路安全

防火牆的優點bull 服務控制

ndash 哪些網路服務可以進或出防火牆bull 方向控制

ndash 某個特定服務的進出方向bull 使用者控制

ndash 哪些使用者可以取用bull 協定控制

ndash 控制如何使用某項服務bull 審計

ndash 流入流出量的控管7-7

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 2: Module 7 : 防火牆實習

網路安全 7-2

學習目的1 近年來網路世界常遭受駭客的入侵因此網路安全為現

在相當重要的課題假如要依據自己的環境來訂定防護的機制那一定得先認識『防火牆』

2 本模組共有四個小節包括 (1) 防火牆簡介 (2) 防火牆工具介紹 (3) 防火牆的實務 (4) 防火牆的專案實作 共需三個鐘點

網路安全 7-3

Module 7 防火牆實習bull Module 7-1 防火牆簡介 ()bull Module 7-2 防火牆工具介紹 ()bull Module 7-3 防火牆的實務 ()bull Module 7-4 防火牆的專案實作 ()

初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容

網路安全 7-4

Module 7-1 防火牆簡介 ()

網路安全 7-5

防火牆的定義bull 在電腦網路中防火牆透過對資料封包的篩選和屏蔽防止非法的存取進入內部或外部電腦網路

bull 防火牆隔開內部網路與外部網路從外部網路要使用內部網路的機器必須經過防火牆為一種保護作用

網路安全 7-6

軟體防火牆 VS 硬體防火牆bull 軟體防火牆

ndash 安裝在隔離內外部的主機上ndash 例 PC Tool Checkpoint firewall及 Firestarter

bull 硬體防火牆ndash 採用純硬體設計與固化電腦ndash 例 Cisco ASA 與 Juniper Firewall

網路安全

防火牆的優點bull 服務控制

ndash 哪些網路服務可以進或出防火牆bull 方向控制

ndash 某個特定服務的進出方向bull 使用者控制

ndash 哪些使用者可以取用bull 協定控制

ndash 控制如何使用某項服務bull 審計

ndash 流入流出量的控管7-7

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 3: Module 7 : 防火牆實習

網路安全 7-3

Module 7 防火牆實習bull Module 7-1 防火牆簡介 ()bull Module 7-2 防火牆工具介紹 ()bull Module 7-3 防火牆的實務 ()bull Module 7-4 防火牆的專案實作 ()

初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容

網路安全 7-4

Module 7-1 防火牆簡介 ()

網路安全 7-5

防火牆的定義bull 在電腦網路中防火牆透過對資料封包的篩選和屏蔽防止非法的存取進入內部或外部電腦網路

bull 防火牆隔開內部網路與外部網路從外部網路要使用內部網路的機器必須經過防火牆為一種保護作用

網路安全 7-6

軟體防火牆 VS 硬體防火牆bull 軟體防火牆

ndash 安裝在隔離內外部的主機上ndash 例 PC Tool Checkpoint firewall及 Firestarter

bull 硬體防火牆ndash 採用純硬體設計與固化電腦ndash 例 Cisco ASA 與 Juniper Firewall

網路安全

防火牆的優點bull 服務控制

ndash 哪些網路服務可以進或出防火牆bull 方向控制

ndash 某個特定服務的進出方向bull 使用者控制

ndash 哪些使用者可以取用bull 協定控制

ndash 控制如何使用某項服務bull 審計

ndash 流入流出量的控管7-7

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 4: Module 7 : 防火牆實習

網路安全 7-4

Module 7-1 防火牆簡介 ()

網路安全 7-5

防火牆的定義bull 在電腦網路中防火牆透過對資料封包的篩選和屏蔽防止非法的存取進入內部或外部電腦網路

bull 防火牆隔開內部網路與外部網路從外部網路要使用內部網路的機器必須經過防火牆為一種保護作用

網路安全 7-6

軟體防火牆 VS 硬體防火牆bull 軟體防火牆

ndash 安裝在隔離內外部的主機上ndash 例 PC Tool Checkpoint firewall及 Firestarter

bull 硬體防火牆ndash 採用純硬體設計與固化電腦ndash 例 Cisco ASA 與 Juniper Firewall

網路安全

防火牆的優點bull 服務控制

ndash 哪些網路服務可以進或出防火牆bull 方向控制

ndash 某個特定服務的進出方向bull 使用者控制

ndash 哪些使用者可以取用bull 協定控制

ndash 控制如何使用某項服務bull 審計

ndash 流入流出量的控管7-7

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 5: Module 7 : 防火牆實習

網路安全 7-5

防火牆的定義bull 在電腦網路中防火牆透過對資料封包的篩選和屏蔽防止非法的存取進入內部或外部電腦網路

bull 防火牆隔開內部網路與外部網路從外部網路要使用內部網路的機器必須經過防火牆為一種保護作用

網路安全 7-6

軟體防火牆 VS 硬體防火牆bull 軟體防火牆

ndash 安裝在隔離內外部的主機上ndash 例 PC Tool Checkpoint firewall及 Firestarter

bull 硬體防火牆ndash 採用純硬體設計與固化電腦ndash 例 Cisco ASA 與 Juniper Firewall

網路安全

防火牆的優點bull 服務控制

ndash 哪些網路服務可以進或出防火牆bull 方向控制

ndash 某個特定服務的進出方向bull 使用者控制

ndash 哪些使用者可以取用bull 協定控制

ndash 控制如何使用某項服務bull 審計

ndash 流入流出量的控管7-7

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 6: Module 7 : 防火牆實習

網路安全 7-6

軟體防火牆 VS 硬體防火牆bull 軟體防火牆

ndash 安裝在隔離內外部的主機上ndash 例 PC Tool Checkpoint firewall及 Firestarter

bull 硬體防火牆ndash 採用純硬體設計與固化電腦ndash 例 Cisco ASA 與 Juniper Firewall

網路安全

防火牆的優點bull 服務控制

ndash 哪些網路服務可以進或出防火牆bull 方向控制

ndash 某個特定服務的進出方向bull 使用者控制

ndash 哪些使用者可以取用bull 協定控制

ndash 控制如何使用某項服務bull 審計

ndash 流入流出量的控管7-7

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 7: Module 7 : 防火牆實習

網路安全

防火牆的優點bull 服務控制

ndash 哪些網路服務可以進或出防火牆bull 方向控制

ndash 某個特定服務的進出方向bull 使用者控制

ndash 哪些使用者可以取用bull 協定控制

ndash 控制如何使用某項服務bull 審計

ndash 流入流出量的控管7-7

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 8: Module 7 : 防火牆實習

網路安全

防火牆的缺點bull 無法防止防火牆自己內部的不法行為bull 無法管理不經過防火牆的連線bull 無法防範全新的威脅bull 無法防範病毒bull 自身可以被攻破 bull 無法阻擋合法服務的連結

7-8

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 9: Module 7 : 防火牆實習

網路安全 7-9

防火牆的功能bull 防火牆主要有三種功能

ndash 封包過濾 (Packet Filtering)

ndash 狀態檢視 (Stateful Inspection)

ndash 應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 10: Module 7 : 防火牆實習

網路安全 7-10

封包過濾 (Packet Filtering)

bull 為最簡單與最常被使用的一種防火牆bull 利用過濾封包的方式來判定封包是否可以進入內部網路

bull 判定準則為依據制定的安全策略逐一檢查網路封包標頭資訊內容被獲准者才可進入內部網路

Internet

Telnet

FTP

HTTP

內部網路

HTTP個人PC

Firewall

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 11: Module 7 : 防火牆實習

網路安全 7-11

狀態檢視 (Stateful Inspection)

bull 又稱動態封包檢視防火牆 (Dynamic Packet Filter)bull 檢查封包的標頭資訊內容與檢查封包傳送前後關連性

bull 防止駭客將一個攻擊行為分散到好幾個不同封包來傳送以躲過防火牆偵測

外部網路

內部網路

個人PC

Firewall

紀錄封包之標頭內容 ( 例來源及目標之IP與 port) 及關聯狀態 (例 established)

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 12: Module 7 : 防火牆實習

網路安全 7-12

應用程式閘道 (Application Layer Gateway) 與代理伺服器 (Proxy Server)bull 應用通訊服務

ndash HTTP Telnet SMTP及 FTP

ndash 提供網路上彼此溝通的協定但亦成為駭客攻擊的管道

bull 主要目的用於防止此類駭客攻擊ndash 針對不同的網路協定均利用代理程式 (Proxy) 來模擬網路連結的來源和目的兩端

ndash 實際的交換是透過代理程式完成

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 13: Module 7 : 防火牆實習

網路安全 7-13

應用程式閘道與代理伺服器 (續 )

bull 應用程式閘道示意圖

內部網路

個人PC

應用程式閘道Internet

Telnet

FTP

HTTP

Telnet

FTP

HTTP

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 14: Module 7 : 防火牆實習

網路安全 7-14

應用程式閘道與代理伺服器 (續 )

bull 代理伺服器之應用網路位址轉譯 (Network Address Translation NAT)

bull 根據 RFC-1631定義 NAT是在 router中進行更換 IP header 的動作使多台電腦能共用一個 IP 連接 Internet 的技術

bull 每個進出的封包 NAT防火牆會根據轉譯表修改其目的位址或來源位址

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 15: Module 7 : 防火牆實習

網路安全 7-15

應用程式閘道與代理伺服器 (續 )

bull 優點ndash 少數 public address就能讓內部所有電腦都連上

Internet

ndash 只使用 public address 的電腦會被外部網路直接存取使用 private address的電腦則無法直接被存取較安全

ndash 隱藏內部網路之主機 IP及網路架構

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 16: Module 7 : 防火牆實習

網路安全 7-16

應用程式閘道與代理伺服器 (續 )

bull 網路位址轉譯示意圖

網路位址轉譯代理伺服器

外部網路內部網路

內部使用 Private Address

對外可使用較少量之Public Address 節省 IP

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 17: Module 7 : 防火牆實習

網路安全 7-17

防火牆的架構bull 基本防火牆架構

ndash 單屏蔽路由器 單防火牆架構bull Screening RouterBasic Border Firewall Structure

ndash 單介面屏蔽主機架構bull Screened Host Firewall Single-Homed Bastion Host

Structure

ndash 雙介面屏蔽主機架構bull Screened Host Firewall Dual-Homed Bastion Host

Structure

ndash 屏蔽子網路架構bull Screened Subnet Structure

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 18: Module 7 : 防火牆實習

網路安全 7-18

單屏蔽路由器 單防火牆架構bull 架構最簡單也最單調薄弱

外部網路

內部網路

個人PC

封包過濾路由器

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 19: Module 7 : 防火牆實習

網路安全 7-19

單介面屏蔽主機架構( 連接內外網路之 IP位址相同 )

外部網路

內部網路

屏蔽主機 (單網卡)

個人PC

封包過濾路由器

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 20: Module 7 : 防火牆實習

網路安全 7-20

雙介面屏蔽主機架構( 連接內外網路之 IP位址不同 )

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 21: Module 7 : 防火牆實習

網路安全 7-21

屏蔽子網路架構

外部網路

內部網路

屏蔽主機 (雙網卡)

個人PC

封包過濾路由器

封包過濾路由器

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 22: Module 7 : 防火牆實習

網路安全 7-22

bull 不論進入或是外出的封包都必須經防火牆的檢驗ndash Inbound

bull 從外部網路進入到受保護的內部網路的封包ndash Outbound

bull 從內部網路送到外部網路的封包bull 防火牆的安全策略需考慮之因素

ndash What 是否針對特定服務與特定行為ndash Why 為何需要開啟特定服務或行為ndash Who 允許哪些使用者或封包通過

防火牆的安全策略

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 23: Module 7 : 防火牆實習

網路安全 7-23

防火牆的規則bull 防火牆安全規則

ndash 匹配條件bull 對於通信流量是否合法作出判斷的一些邏輯表達式

bull 過程中符合某條規則處理動作ndash 接受 (Accept) 允許訊息通過ndash 拒絕 (Reject) 拒絕訊息通知發送訊息的來源地ndash 丟棄 (Drop) 直接丟掉不通知

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 24: Module 7 : 防火牆實習

網路安全 7-24

防火牆的規則實例規 則編號 來 源 IP 目 標 IP 服 務 動 作1 任 何位址 Web 伺服器 HTTP 允 許2 任 何位址 任 何位址 任 何服務 摒 棄

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 25: Module 7 : 防火牆實習

網路安全

Unified Threat Management (UTM) Firewalls

bull 解決防火牆無法直接過濾病毒或木馬程式bull 提供的功能有

ndash SPI(Stateful Packet Inspection)

ndash Antivirus Filtering

ndash VPNs

ndash DoS Protection

ndash NAT

7-25

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 26: Module 7 : 防火牆實習

網路安全 7-26

Module 7-2 防火牆工具介紹 ()

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 27: Module 7 : 防火牆實習

網路安全 7-27

防火牆工具 - Windows Firewall

bull Windows Firewall 是一道提供保護的邊界線它監控和限制在電腦和網路之間傳輸的資料

bull 抵禦試圖未經許可從 Windows Firewall 外部訪問您的電腦的連線

bull 若運行中之作業系統為 Windows XP Service Pack 2(SP2) 以上之版本 其預設 Windows Firewall為啟用

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 28: Module 7 : 防火牆實習

網路安全 7-28

Windows Firewall啟用bull 1 「 Start」rarr「 Control Panel」bull 2 「 Security」rarr「Windows Security Center」bull 3 「 Firewall」

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 29: Module 7 : 防火牆實習

網路安全 7-29

Windows Firewall功能

bull 幫助阻止電腦病毒和蠕蟲進入ndash 會檢測每個進入的封包能阻止非法的封包進入

(前提示已設定好規則 )

ndash 如果病毒或蠕蟲已存在電腦上它並沒辨法檢測出來

bull 確認連線的正當性ndash 當有新的連結請求時它會跳出核准視窗請您同意

(Accept)或拒絕 (Reject)

bull 安全日誌可作為故障診斷工具

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 30: Module 7 : 防火牆實習

網路安全 7-30

Windows Firewall 工作方式bull 若 Internet 上某台主機試圖連線到您的電腦時 Windows Firewall 將詢問您是否要阻止或允許連線並以此建立規則

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 31: Module 7 : 防火牆實習

網路安全 7-31

防火牆工具 - Firestarter

bull 基於 iptables核心架構提供 GUI圖形化操作介面

bull 主要特色為使用簡單但功能強大bull 安裝十分容易有支援精靈的設定

ndash 即使是 Linux軟體不熟悉的使用者也能輕鬆完成防火牆的安裝與設置

bull Firestarter的 README檔內註釋非常詳盡方便用戶的修改與重新定義某些參數

bull Firestarter網站 httpwwwfs-securitycom

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 32: Module 7 : 防火牆實習

網路安全 7-32

防火牆工具 - PC Tools Firewall

bull PC Tools Firewall 是一套免費的 Windows 個人版防火牆軟體可保護電腦避免未經授權使用者透過網路存取您的電腦

bull 可自行創建高級過濾規則包括支援 IPv6bull 具一般的智慧型更新即時防護及完整的網路隔離功能

bull PC Tools Firewall Plus 網站 httpwwwpctoolscom

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 33: Module 7 : 防火牆實習

網路安全 7-33

bull Linux的封包過濾機制ndash 封包過濾防火牆或稱為網路過濾器 (NetFilter)

ndash 分析封包的表頭資料根據表頭資料與定義的『規則』來決定該封包是否可以進入主機或者是被丟棄

bull iptables為 Linux預設的防火牆軟體ndash 資料進行分析

bull 網路封包的 IP port及MAC

bull 連線狀態例 SYN與 ACK等ndash 過濾不受歡迎的網路封包

防火牆工具 - iptables

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 34: Module 7 : 防火牆實習

網路安全 7-34

封包

Rule 1

Rule 2

Rule 5

Rule 6

Rule 7

Rule 10hellip hellip

Policy

bull 根據封包的分析資料比對預先定義的規則內容若封包資料與規則內容相同則進行動作否則就繼續下一條規則的比對

iptables的封包進入流程

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 35: Module 7 : 防火牆實習

網路安全 7-35

bull iptables有多個表格 (table) 每個表格都各自定義其預設政策與規則且用途皆不相同

bull 封包的來源決定它應該由那一個 table來處理bull 主要要素

ndash Table不同的封包處理ndash Chain決定封包是否可以穿越ndash Rule決定是否送往下一條 Chain或其它動作

iptables的表格與鏈 (Chain)

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 36: Module 7 : 防火牆實習

網路安全 7-36

Filter (Table)Chain INPUT

PolicyRule 1

Chain OUTPUTPolicyRule 1

helliphellip

iptables的表格與鏈 (Chain) (續 )

bull 預設 iptables的表格ndash Filter管理本機進出ndash Nat管理後端主機 (防火牆內部的其他電腦 )

ndash Mangle管理特殊旗標使用 (較少使用 )

bull 可自行定義表格

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 37: Module 7 : 防火牆實習

網路安全 7-37

bull iptables 經常用到的內建表格 (build-in table)

Filter 主要和 Linux 主機有關為預設的 table

NAT 主要和 NAT 主機設定有關

tables Chains 介紹

FilterINPUT 與封包進入 linux 本機有關OUTPUT 與封包從 linux 本機送出FORWARD 與封包轉地到後端電腦有關

NATPREROUTING 進行路由判斷之前要進行的規則POSTROUTING 進行路由判斷之後要進行的規則OUTPUT 與發送出去的封包有關

iptables的表格與鏈 (Chain) (續 )

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 38: Module 7 : 防火牆實習

網路安全 7-38

filter

INPUT

nat

OUTPUT

filter

OUTPUT

nat

POSTROUTINH

filter

FORWARD

nat

PREROUTING

封包進入

Forward封包傳遞

Linux本機的資源

封包傳出

封包進入 封包傳出

A

B

鳥哥的 linux私房菜資料來源 httplinuxvbirdorg

iptables的表格與鏈 (Chain) (續 )

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 39: Module 7 : 防火牆實習

網路安全 7-39

iptables 的處理模式bull 過程中符合某條規則時主要會有以下動作

ndash 接受 (Accept) 接受該封包並進行相對的處理ndash 拒絕 (Reject) 攔阻該封包並通知對方ndash 丟棄 (Drop) 直接丟棄封包不做任何處理ndash 重定向 (Redirect) 將封包導向其它端口ndash 偽裝 (Masquerade) 改寫封包來源 IP

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 40: Module 7 : 防火牆實習

網路安全 7-40

iptables語法bull 語法架構

ndash iptables [-t table] command [match] [-j targetjump]

bull 參數說明ndash t table 例 nat filter 若省略則預設為

filter

ndash command 命令列例 -A -D -Rhellip等ndash match 封包比對參數例 -p -s -dhellip等ndash j 處 理 動 作 例

ACCEPT REJECT DROPhellip等

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 41: Module 7 : 防火牆實習

網路安全 7-41

iptables語法 - 觀察規則bull 語法架構

ndash iptables [-t table] [-L] [-nv]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash L 列出目前的 table 的規則 ndash n 不進行 IP 與 HOSTNAME 的反查可增加顯示速度

ndash v 列出更多的資訊包括通過該規則的封包總位元數相關的網路介面等

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 42: Module 7 : 防火牆實習

網路安全 7-42

iptables語法 - 觀察規則 (續 )

bull iptables -L 範例

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 43: Module 7 : 防火牆實習

網路安全

iptables語法 - 清除規則

語法範例 說明iptables ndashF 清除所有已訂定之規則iptables ndashX 清除所有使用者建立的 tablesiptables ndashZ 將所有 chain 的計數與流量統計歸零若為使用遠端連線操作須將三個指令用 scripts 的方式來連續執行否則會被主機檔在外

7-43

bull 語法架構ndash iptables [-FXZ]

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 44: Module 7 : 防火牆實習

網路安全

iptables語法 - 定義預設政策bull 語法架構

ndash iptables [-t ] -P [INPUTOUTPUTFORWARD] [ACCEPTDROP]

bull 參數說明ndash t table 例 nat filter 若省略則預設為 filter

ndash P 定義政策 ( Policy )

ndash ACCEPT 該封包可接受DROP 該封包直接丟棄

7-44

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 45: Module 7 : 防火牆實習

網路安全

iptables語法 - 定義預設政策 (續 )

bull 當封包不在設定的規則之內則該封包的通過與否以 policy 的設定為準

語法範例 說明iptables INPUT DROP 根據 INPUT

OUTPUT及FORWARD鏈等的行為做DROP與ACCEPT等處理動作

iptables ndashP OUTPUT ACCEPTiptables ndashP FORWARD ACCEPTiptables ndasht nat ndashP PREROUTING ACCEPTiptables ndasht nat ndashP OUTPUT ACCEPT

iptables ndasht nat ndashP POSTROUTING ACCEPT

7-45

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 46: Module 7 : 防火牆實習

網路安全

iptables語法 - 增加與插入規則bull 語法架構

ndash iptables [-AI 鏈 ] [-io 網路介面 ] [-p 協定 ] gt [-s 來源 IP 網域 ] [-d 目標 IP 網域 ] -j [ACCEPT|DROP]

bull 參數說明ndash AI 鏈針對某的鏈進行規則的 插入 或 累加 ndash io 網路介面設定封包進出的介面規範ndash p 協定設定此規則適用於哪種封包格式ndash s 來源 IP 網域設定此規則之封包的來源項目可指定單純的 IP 或包括網域

ndash d 目標 IP 網域

7-46

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 47: Module 7 : 防火牆實習

網路安全

iptables語法 - 增加與插入規則 (續 )

語法範例 說明

iptables ndashA INPUT -I lo ndashj ACCEPT所有來自 lo 這個介面的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 19216801 -j ACCEPT

來自 19216801 這個 IP 的封包都予以接受

iptables -A INPUT -i eth0 -p TCP -s 1921681024 -j ACCEPT

來自 19216810 這個 C Class 的網域的任何一部電腦就予以接受

iptables -A INPUT -i eth0 -p TCP -s 192168125 -j DROP

來自 192168125 的 IP 的封包就直接丟棄

iptables -A INPUT -i eth0 -p TCP --dport 21 -j DROP

只要想進來 21 port 的封包就予以丟棄

7-47

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 48: Module 7 : 防火牆實習

網路安全 7-48

iptables語法 - 增加與插入規則 (續 )

用來比對封包的來源 IP用來比對封包由哪張網卡進入

用來比對封包的來源埠號

攔阻該封包並傳送封包通知對方可以傳送的封包 tcp-reset( 要求對方關閉連線 ) 處理此動作後將不在比對其他規則直接中斷過濾程序

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 49: Module 7 : 防火牆實習

網路安全

iptables 的紀錄儲存與回復bull 儲存防火牆機制

ndash iptables-save gt filename

bull 回復防火牆機制ndash iptables-restore lt filename

7-49

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 50: Module 7 : 防火牆實習

網路安全 7-50

結論bull 防外不防內

ndash 一般防火牆設定的通則限制外部的連線而不阻擋由內部向外部的連線請求

bull 為了確保本身的安全性ndash 當要設定網路規則前必須先確認被限制或允許的目標如此才能夠制定出符合需求的規則

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 51: Module 7 : 防火牆實習

網路安全 7-51

Module 7-3 防火牆的實務 ()

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 52: Module 7 : 防火牆實習

網路安全 7-52

說明 - 防火牆架設bull 架設實作 (一 ) Firestarter架設實作實習

ndash 使用 FW 主機利用 Firestarter 防火牆軟體模擬架設一基本屏蔽子網路架構之環境拓樸

ndash 使用 Alice 主機利用 FileZilla Client 軟體作 FTP 客戶端ndash 使用 Bob 主機測試流量經防火牆設定至外界電腦連線ndash 使用 Internet 主機利用 FileZilla Server 軟體作 FTP 伺服

器ndash 設定規則讓 NAT 內之 Alice 主機與 Bob 主機可以透過

firewall 連線至 Internet 與使用 FTP 服務另外設定規則限制 NAT 內之 Alice 主機與 Bob 主機無法使用 BT 軟體

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 53: Module 7 : 防火牆實習

網路安全 7-53

說明 - 防火牆阻擋實測bull 架設實作 (二 ) 模擬架設一具有網頁伺服器與 FTP

伺服器之屏蔽子網路架構環境拓樸ndash 使用 WWWServe 主機利用 Apache 軟體作網頁伺服器ndash 使用 FTPServer 主機利用 FileZilla Server 軟體作 FTP 伺

服器ndash 使用 User 主機利用 FileZilla Client 軟體作 FTP 用戶端ndash 使用 FW 主機利用 PC Tools Firewall 作為對內 NAT 環

境且對外 Internet之單一代理伺服器的防火牆bull 設定規則讓內部之WWWServer 可以存取同在防火牆內

部之 FTPServer 另設定規則阻止外部之 User 使用FTPServer的 FTP 服務

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 54: Module 7 : 防火牆實習

網路安全

架設實作 (一 )

Firestarter架設實作實習

7-54

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 55: Module 7 : 防火牆實習

網路安全

bull 以 Testbed建立一實驗相關拓樸及設定如下圖

7-55

實驗環境介紹

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

FWOS FC6-VNCIP1 10122IP2 10132IP3 10112安裝軟體 Firestarter

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

AliceOSWinXP- SP3-pc3000IP 10133安裝軟體 FileZilla Client

BobOSWinXP- SP3-pc3000IP 10113

BobOSWinXP- SP3-pc3000IP 10113

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

Internet OSWinXP- SP3-pc3000 IP 10123安裝軟體 FileZilla Server

IP3

IP1IP2

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 56: Module 7 : 防火牆實習

網路安全 7-56

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 57: Module 7 : 防火牆實習

網路安全 7-57

FTP 伺服器端工具 - FileZilla Server

bull 版本ndash FileZilla Server 0940

bull 支援作業平台ndash Windows XP Vista及 7

bull 下載位址ndash httpfilezilla-projectorgdownloadphptype=server

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 58: Module 7 : 防火牆實習

網路安全 7-58

安裝步驟bull 於 Internet 主機安裝bull 請依照安裝精靈的指引做安裝

bull 連線至 ftp server

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 59: Module 7 : 防火牆實習

網路安全 7-59

安裝步驟 (續 )

bull 設定使用者帳號

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 60: Module 7 : 防火牆實習

網路安全 7-60

安裝步驟 (續 )

bull 設定使用者的路徑

bull 連線至 ftp server

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 61: Module 7 : 防火牆實習

網路安全 7-61

FTP 用戶端工具 - FileZilla Client

bull 版本ndash FileZilla353

bull 支援作業平台ndash Windows Linux及Mac

bull 下載位址ndash httpfilezilla-projectorgdownloadphp

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 62: Module 7 : 防火牆實習

網路安全 7-62

安裝步驟bull 於 Alice 主機安裝bull 請依照安裝精靈的指引做安裝bull 啟動 FileZilla Client

ndash 輸入伺服器 IP (1921683672)bull Internet 主機為 pc62 以 eth0 網路作為連線 IP 其規則為 1921683672 (pc數加 10)

ndash 輸入使用者名稱ndash 輸入使用者密碼ndash 點選快速連線

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 63: Module 7 : 防火牆實習

網路安全 7-63

bull 版本ndash Firestarter 103(stable)

bull 支援作業平台ndash Ubuntu Fedora Centos 及 Debian

bull 下載位址ndash httpprdownloadssourceforgenetfirestarter

firestarter-103targzdownload

防火牆工具 - Firestarter

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 64: Module 7 : 防火牆實習

網路安全 7-64

bull 安裝 usermode-gtkndash sudo yum install usermode-gtk

ndash Is this ok [yN] y

bull 安裝 GNOME Desktopndash sudo yum groupinstall GNOME Desktop

Environment

ndash Is this ok [yN] y

FC6遠端登入安裝步驟

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 65: Module 7 : 防火牆實習

網路安全

bull 設定與啟動 vncserverndash sudo cp sharevncsopsh

ndash sudo sh vncsopshbull Input login name for VNC username (請輸入 Testbed 的帳號 )

bull Enter a password

bull Password (請輸入一組 VNC登入的密碼 )

bull Verify (請再次輸入 VNC登入的密碼 )

7-65

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 66: Module 7 : 防火牆實習

網路安全

bull 安裝 Firestarterndash sudo yum install firestarter

ndash Is this ok [yN] y

bull 於使用者電腦之本機端安裝 VNC Viewerndash httpwwwrealvnccomproductsfree41

downloadhtml

ndash 請填寫個 人資料後方能下載

7-66

Firestarter安裝步驟

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 67: Module 7 : 防火牆實習

網路安全

Firestarter 安裝步驟 (續 )

bull 使用 VNC 連線至 Nodendash 輸入 Node的 IP

ndash 輸入 VNC登入的密碼bull 於 VNC 內開啟

Firestarterndash Applications -gt

Accessories-gtTerminal

ndash sudo firestarter start

7-67

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 68: Module 7 : 防火牆實習

網路安全 7-68

初始啟動 Firestarter

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 69: Module 7 : 防火牆實習

網路安全 7-69

使用撥接網路時啟動

由 DHCP分配 IP Address

bull 依照安裝精靈做初始設定

初始啟動 Firestarter (續 )

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 70: Module 7 : 防火牆實習

網路安全 7-70

主要用來決定 NAT功能若要啟用則勾選

儲存啟動Firestarter

初始啟動 Firestarter (續 )

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 71: Module 7 : 防火牆實習

網路安全 7-71

bull Statusndash 顯示目前狀態

bull Events ndash 呈現即時事件的畫面

bull Policyndash 規則設定

Firestarter主畫面

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 72: Module 7 : 防火牆實習

網路安全 7-72

bull 主要的設定ndash Preferences

ndash Status

ndash Events

ndash Policy

ndash Run wizard

Firestarter設定

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 73: Module 7 : 防火牆實習

網路安全 7-73

bull Outbound traffic policyndash 預設是所有對外連線均允許 (Permissive by default blacklist traffic)僅針對黑名單設限

ndash 若是對安全性要求較高 者可選 Restrictive

by default whitelist traffic 再根據需求設定允許的連線

Firestarter 設定 (續 )

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 74: Module 7 : 防火牆實習

網路安全 7-74

bull Inbound traffic policybull 由外部到本機的連線可針對所開啟的伺服器來設定主要分成兩個ndash Allow connections from host

- 允許哪些外部電腦連線到你的主機

ndash Allow service -允許哪些服務開啟

設定完記得Apply Policy

Firestarter 設定 (續 )

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 75: Module 7 : 防火牆實習

網路安全 7-75

Firestarter Inbound Traffic Policy 實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 76: Module 7 : 防火牆實習

網路安全 7-76

Firestarter Outbound Traffic Policy 實例(續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 77: Module 7 : 防火牆實習

網路安全 7-77

bull Eventsbull 當設定好防火牆後開

ldquo啟到 Eventsrdquo的頁面即可發現在短時間內防火牆就擋掉一個來自外部來的未知連線

Firestarter 設定 (續 )

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 78: Module 7 : 防火牆實習

網路安全 7-78

Firestarter 設定 (續 )

bull Edit-gtPreferences

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 79: Module 7 : 防火牆實習

網路安全

bull 另開一個 Terminal 視窗bull 在 FW 主機上查看防火牆網卡

ndash ifconfig

7-79

eth4 為連接到 Alice 主機的網卡

eth4 為連接到 Alice 主機的網卡

eth3 為連接到 Bob 主機的網卡

eth3 為連接到 Bob 主機的網卡

實驗操作步驟 - 查看防火牆網卡資訊

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 80: Module 7 : 防火牆實習

網路安全 7-80

實驗操作步驟 - Firestarter規則設定

bull 設定允許內部 NAT 可連上 Internet 與使用 FTP 服務

輸入允許進入的服務

允許 DNS FTP和HTTPS服務進入允許 DNS FTP和

HTTPS服務進入

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 81: Module 7 : 防火牆實習

網路安全

bull 設定限制內部 NAT 使用 BT(P2P) 軟體

7-81

實驗操作步驟 - Firestarter 規則設定(續 )

設定禁止使用 BT的服務

設定禁止使用 BT的服務

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 82: Module 7 : 防火牆實習

網路安全

bull 於 Bob 主機測試bull 設定前 NAT 內主機無法透過 FW 主機與

Internet 主機建立連線

7-82

實驗操作步驟 - 防火牆之網卡設定

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

允許設定前無法 ping 到流經 FW 主機的Internet主機 (10123)

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 83: Module 7 : 防火牆實習

網路安全 7-83

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull Edit -gt Preferences -gt Network Settingsbull 防火牆之網卡設定

ndash 對外之 Internet 連線使用 eth0 網卡ndash 對內之 NAT 連線使用 eth3 網卡

設定允許 connect sharing設定允許 connect sharing

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 84: Module 7 : 防火牆實習

網路安全 7-84

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Bob 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

允許設定後即可 ping 到流經 FW 主機的 Internet主機(10123)

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 85: Module 7 : 防火牆實習

網路安全 7-85

實驗操作步驟 - 防火牆之網卡設定 (續 )

bull 設定後 NAT 內主機 (Alice 主機 )順利與 FW 主機外的 Internet 主機建立連線

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

允許設定後 FTP 可經 FW 主機連線至 Internet主機(1921683672)

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 86: Module 7 : 防火牆實習

網路安全 7-86

測試結果

紅色表示未經過允許試圖要進行存取

紅色表示未經過允許試圖要進行存取

黑色表示正常的連接黑色表示正常的連接

如有灰色表示無害的可能是廣播的訊息如有灰色表示無害的可能是廣播的訊息

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 87: Module 7 : 防火牆實習

網路安全 7-87

架設實作 (二 )

PC Tools Firewall 環境架設實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 88: Module 7 : 防火牆實習

網路安全 7-88

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

FWOSWinXP- SP3-pc3000IP1 100125424IP2 1010124安裝軟體 PC Tools Firewall Plus

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

WWWServerOSWinXP-SP3-pc3000IP 10018024安裝軟體 Apache

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

FTPServerOSWinXP-SP3-pc3000IP 10012124安裝軟體 FileZilla Server

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

UserOSWinXP-SP3-pc3000IP 1010224安裝軟體 FileZilla Client

實驗環境介紹

IP2IP1

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 89: Module 7 : 防火牆實習

網路安全 7-89

實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 90: Module 7 : 防火牆實習

網路安全 7-90

防火牆工具 - PC Tools Firewall Plus

bull 版本ndash PC Tools Firewall 700123

bull 支援作業平台ndash Windows XP與Windows 7

bull 下載位址ndash httpwwwpctoolscommirrorfwinstallexe

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 91: Module 7 : 防火牆實習

網路安全 7-91

PC Tools Firewall Plus 安裝前準備bull 請記得在安裝前要移除電腦中已有的其它防火牆

ndash 為避免系統衝突最好不要同時安裝兩種相同類型的常駐安全軟體

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 92: Module 7 : 防火牆實習

網路安全 7-92

PC Tools Firewall Plus 安裝步驟bull 照安裝精靈的指引做安裝bull 安裝完成後請先完成 101與 102頁的設定

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 93: Module 7 : 防火牆實習

網路安全 7-93

PC Tools Firewall Plus 安裝步驟 (續 )

bull 開機後進行 firewall initializingbull 選則是否信任 workgroup 工作群組

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 94: Module 7 : 防火牆實習

網路安全 7-94

PC Tools Firewall Plus - 主介面介紹bull 執行後會在右下角系統列看到小圖示bull 雙擊滑鼠左鍵可開啟主程式

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 95: Module 7 : 防火牆實習

網路安全 7-95

PC Tools Firewall Plus - 預設設定狀態bull 初次安裝後使用的防禦等級

ndash 防火牆安全層級詢問模式bull 預設的設定下可獲得足夠的防禦又不會出現過多的操作視窗

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 96: Module 7 : 防火牆實習

網路安全 7-96

功能介紹 - 應用程式管理

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 97: Module 7 : 防火牆實習

網路安全

bull 進階設定ndash 可針對每一個應用程式的活動權限加以設定

7-97

功能介紹 - 應用程式管理 (續 )

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 98: Module 7 : 防火牆實習

網路安全 7-98

PC Tools Inbound 設定檔實例來 源 IP 目 標 IP 服 務 動 作任 何位址 郵 件伺服器 SMTP 允 許

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 99: Module 7 : 防火牆實習

網路安全 7-99

PC Tools Outbound 設定檔實例 (續 )

來 源 IP 目 標 IP 服 務 動 作內部網路 任何位址 HTTP HTTPS

FTP telnet允 許

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 100: Module 7 : 防火牆實習

網路安全 7-100

功能介紹 - 設定檔

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 101: Module 7 : 防火牆實習

網路安全 7-101

功能介紹 - 進階設定檔設定

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 102: Module 7 : 防火牆實習

網路安全 7-102

功能介紹 - 進階設定檔設定 (續 )

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 103: Module 7 : 防火牆實習

網路安全 7-103

功能介紹 - 歷程紀錄bull 想更清楚地知道某個應用程式存取網路的情形可以對它建立一個歷程記錄

bull 只要符合先前制定好的規則該應用程式的連線情形就會被記錄下來

bull 可以清楚知道某個應用程式在某段時間做了些什麼事情

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 104: Module 7 : 防火牆實習

網路安全 7-104

功能介紹 - 活動管理

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 105: Module 7 : 防火牆實習

網路安全 7-105

功能介紹 - 防火牆常規設定

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 106: Module 7 : 防火牆實習

網路安全 7-106

實驗操作步驟 - 限制外部網路存取 FTP Server

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 107: Module 7 : 防火牆實習

網路安全 7-107

選擇要過濾的方向

選擇要過濾的協定

選擇要過濾的 PORT

設定的訊息顯示

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

進階設定

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 108: Module 7 : 防火牆實習

網路安全

bull 設定動作

7-108

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

選取禁用與寫入日誌使規則生效

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 109: Module 7 : 防火牆實習

網路安全 7-109

bull 為規則命名bull 啟用規則

實驗操作步驟 - 限制外部網路存取 FTP Server (續 )

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 110: Module 7 : 防火牆實習

網路安全 7-110

開啟內部網路存取服務

實驗操作步驟 - 允許內部網路存取 FTP Server

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 111: Module 7 : 防火牆實習

網路安全

bull 192 應屬外部網路

7-111

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 112: Module 7 : 防火牆實習

網路安全 7-112

結論bull Firestarter

ndash 使用 Firestarter下不需要輸入 iptables 的語法ndash 只需要將允許的服務和拒絕的服務設定好ndash 在 Linux下 Firestarter 是一套操作簡單的防火牆

bull PC Toolsndash 透過 GUI 介面直接建立 iptables 的語法ndash 在規則介面即可完成所有規則制定ndash 在Windows下 PC Tools 是一套易於使用的防火牆

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 113: Module 7 : 防火牆實習

網路安全 7-113

習題

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 114: Module 7 : 防火牆實習

網路安全 7-114

習題1 假設你發現目前有一個 IP位址為 102044 的使

用者對你的主機嘗試使用遠端桌面連線你該如何禁止該 IP位址的連線

2 請列出 iptables預設的兩個主要的 table 以及各個 table裡面的 chains 與各個 chains所代表的意義

3 請說明為何這個指令是錯誤的 「 iptables -A INPUT -p udp --syn -s 192168020 -j

DROP」

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 115: Module 7 : 防火牆實習

網路安全 7-115

習題 (續 )

4 假設區網當中有個使用者連上 Internet影響其他使用者 你想要將他的 IP鎖住但他總是有辦法修改成其他 IP 來連外 那你該怎麼辦讓他無法繼續連外

5 要將來自 192168150這個 IP 來源的封包只要是要求 21~23埠口的封包就將他抵擋應該如何下達 iptables指令

6 要如何於 Linux系統上設定每次開機時都自動建立 iptables規則

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 116: Module 7 : 防火牆實習

網路安全 7-116

Module 7-4 防火牆的專案實作 ()

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 117: Module 7 : 防火牆實習

網路安全 7-117

專案目的bull 學習 Firewall 的建置bull 切割信任網段與不信任網段 (子網路與外部網路 )bull 進行對防火牆規則的深入了解bull 以預設環境進行實際操作訓練

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 118: Module 7 : 防火牆實習

網路安全 7-118

專案 (一 )描述bull Judy身為一個公司資訊部門的主管在進行網路傳輸封包的監控後發現公司員工於上班時間使用即時通訊軟體與朋友聊天的情況嚴重上呈予高階主管後決議進行對即時通訊軟體 (MSN YahooMessager 及 QQ 等 ) 進行禁止的動作身為資訊部門主管的您該如何制定完整的規則以扼止員工利用上班時間行聊天之實的行為呢

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 119: Module 7 : 防火牆實習

網路安全 7-119

專案 (一 )描述bull A公司已有完整的網路環境架構其內部為私有網路透過 Firewall與外部進行連結的動作如果要扼止員工於上班時間使用即時通訊軟體的行為身為資訊部門主管的您該如何去進行對 Firewall的規則制定使其可阻止員工使用即時通訊軟體

bull 參考環境配置圖模擬下列情況① 對MSN所使用的通訊埠進行控管② 對 YahooMessager所使用的通訊埠進行控管③ 對 QQ所使用的通訊埠進行控管④ 對常用的即時通訊軟體進行控管的動作⑤ 使公司內部電腦無法使用即時通訊軟體與外部通訊

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 120: Module 7 : 防火牆實習

網路安全 7-120

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

User AOSWINXP-SP3-pc3000IP 100110安裝軟體 MSN

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

FirewallOSWINXP-SP3-pc3000 IP1 100125424 IP2 1010124安裝軟體 PC Tools Firewall

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User BOSWINXP-SP3-pc3000 IP 100111安裝軟體 YahooMessager

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

User COSWINXP-SP3-pc3000IP 100112安裝軟體 QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ

ExternUserOS OSWINXP-SP3-pc3000 IP 1010224安裝軟體-MSN-YahooMessager-QQ IP2 IP1

環境配置圖 (僅供參考請自行修改或簡化 )

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 121: Module 7 : 防火牆實習

網路安全 7-121

專案 (二 )描述bull 小孫是個很喜歡看動漫的研究生做研究之餘

不忘隨時連 FTP 去下載動漫來看某天小孫去上廁所的時候老師進來實驗室剛好看到小孫的電腦桌面上正播放「科學超電磁砲」的片頭曲於是老師把坐在小孫對面的你叫了過來

bull 老師「小孫都快要畢業了不趕快弄碩論還在看動畫他是打算多陪陪老師嗎你幫老師想個辦法拯救一下小孫」

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 122: Module 7 : 防火牆實習

網路安全 7-122

專案 (二 )描述bull 應老師要求你需要幫忙在實驗室網路上的防火

牆做一些設定使得小孫無法透過 FTP 下載動漫來看

bull 參考環境配置圖完成下列基本要求①外部網路需要有一台網頁伺服器及 FTP 伺服器②外部網路和內部網路透過防火牆連接③小孫的電腦位於內部網路④小孫無法存取 FTP 服務⑤小孫仍可以存取網頁服務

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 123: Module 7 : 防火牆實習

網路安全

環境配置圖 ( 設定值僅供參考 )

bull 以 Testbed建立一實驗相關拓樸及設定如下圖FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

FWOS WINXP-SP3-CH-pc3000IP1 1011424IP2 1012324安裝軟體 PC Tools Firewall Plus

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

WebOSWINXP-SP3-CH-pc3000IP 10118024Gateway10114安裝軟體 Apache

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

FTPOSWINXP-SP3-CH-pc3000IP 10112124Gateway10114安裝軟體 FileZilla Server

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

inUserOSWINXP-SP3-CH-pc3000IP 1012224Gateway10123安裝軟體 FileZilla Client

IP2 IP1 web

7-123

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 124: Module 7 : 防火牆實習

網路安全

作業繳交說明bull 請參考情境完成作業並將過程擷圖列於報告中

bull 基於基本情境再多實作一些擴充情境可額外加分

bull 請於 20130507 2359 前將報告上傳 FTP

bull 若在實作方面有問題請寄信給助教謝謝

7-124

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125

Page 125: Module 7 : 防火牆實習

網路安全

參考資料bull Firestarter httpwwwfs-securitycom bull 烏哥 (民 96年 )鳥哥的 LINUX 私房菜 - 伺服器架設篇 (2)台北市

上奇科技bull Linux Firewal 技術手札 (王宏薇施清華譯 )台北市上奇科技bull 李蔚澤 (民 95年 ) iptables與 Linux 安全防護台北市碁峰資訊 bull 鄧吉柳靖 (民 96年 )駭客攻防實戰詳解台北市松崗科技bull 洛林 (民 92年 ) Linux 防火牆 iptables台北市碁峰資訊 bull 鄷士昌 (民 94年 ) Linux 系統安全與防火牆台北市文魁資訊bull 黃明祥林詠章 (民 96)資訊與網路安全概論 - 建構安全的電子商務

系統 (2)台北市美商麥格羅希爾bull 林詠章著使用 iptables 建置 Linux

防火牆 httpwwwsppstpedutwdocumentsmemoiptablesiptableshtm bull 網路管理技術文件 httpnewsols3nettechdocoldkernel2html

7-125