主动防御安全网关的架设

实验题目

主动防御安全网关的架设

实验任务

实验目的

本实验的出发点源于对一个实际的网络安全问题的思考：如何在没有主流网络安全设备（或设备缺乏相应功能）的情况下，利用Internet中提供的开放资源，实现在不同的网络间搭建一个安全的网关。

本实验注重锻炼实验者的问题分析能力，网络安全信息检索能力以及对资源的整合运用能力。实验强调应用创新，但并不强调实验者的程序开发能力。

实验需求

图2-1

如图2-1所示，网段I、II为两个拥有不同网络地址的独立网段，网段中主机通过网关G实现跨网段访问。同时，管理主机M可实现对网关G进行远程管理。 基于上述网络环境，设计和部署网关G及配套设施，满足如下需求：

（1）网关G可直接或间接探测网段I、II中网络行为，并能够发现异常的网络行为； （2）对发生异常网络行为的主机，网关G能够阻止其进行跨网段访问；

（3）除管理主机M外，网段I、II中任何主机不可对网关G进行本地（进程）访问； （4）网关G禁止主动转发网段I、II到管理主机M的数据流； （5）管理主机M能够通过远程管理手段对网关G进行管理。

实验学时

4×5学时

实验要求

（1）网关G是一台安装有Linux kernel 2.4/6操作系统的主机，并配有三块100/1000M网卡，分别定义为eth0，eth1和eth2。网络连接如下： 网关接口 eth0 eth1 eth2 连接网段/主机 管理主机M 网段I 网段II

除上表描述网段/主机外，网关各接口不再连接其它网络/主机。 （2）管理主机M访问网关G不受限。

（3）填写实验报告，提交实验报告及相关实验设计文档。

实验指导

设计思想

图2-2

核心思想：通过Snort、SnortSam与iptables联动，实现安全网关的架设。

如图2-2所示，架设方案如下： （1）开启网关G的网络接口转发功能。

（2）在网络段I、II中部署Snort入侵检测器，用于检测所在网段中的异常网络事件，在产生报警的同时，能够向网关G发送阻塞请求。阻塞请求的主要内容为产生异常网络事件的源，即威胁源。

（3）在网关G上部署SnortSam代理，允许其接受来自多个入侵检测器发出的阻塞请求。由SnortSam实时控制本地防火墙iptables，禁止来自威胁源的任何数据通过防火墙。

（4）在网关G上安装Webmin系统管理工具，管理主机M以http方式远程访问。同样，在入侵检测器上安装Webmin和snort-webmin插件，能够实现对Snort进行远程管理，如入侵规则管理等。

（5）设置网关G防火墙规则，仅允许阻塞请求和eth0数据访问本地SnortSam、Webmin等进程，其它禁止。

（6）管理主机通过Web方式查看入侵检测器的报警日志。

技术分析

Snort是一款开源的、基于网络的入侵检测系统（NIDS，Network Based Intrusion Detection System）。NIDS的名称来自于它的工作模式——监视整个网络。更精确地说，它监视整个网络的一部分。正常情况下，计算机的网卡（NIC）工作在非混杂模式，在这种模式中，只有数据包的目的地址是网卡的MAC地址时网卡才会接收这个数据包并处理。NIDS在混杂模式下监视不流向自己的MAC地址的网络流量。在混杂模式中，NIDS可以得

到所有网络中的数据包。

SnortSam是Snort的入侵防范插件，可以说是基于Snort和iptables的主动防御手段。它由插件和代理两部分组成，支持SnortSam插件的Snort，会将报警信息输出给插件，然后由插件向代理发送阻塞请求。SnortSam代理根据报警信息控制防火墙的过滤规则。

Webmin是一款开源的、基于Web的Unix/Linux系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。通过Webmin能够在远程使用HTTPS（SSL上的HTTP）协议的Web浏览器通过Web界面管理主机，在保证了安全性的前提下提供了简单深入的远程管理。另外，Webmin的模块化架构允许编写第三方配置模块。 snort-1.0.wbm是基于Webmin模块化架构的用于管理Snort系统的配置模块，可以对Snort进行远程管理。

SnortSnarf是一款用于对Snort日志文件进行分析的工具，通过分析生成一套静态结果页面。它可以根据签名、IP地址对日志进行分组，也提供了Web链接以便获得已探测到的攻击的相关信息资源。SnortSnarf可以作为一个cron任务定期地执行，也可以随时手工执行。

参考资源

知识 资源 iptables及其应用 知识体系|实验27|练习二 iptables应用 Snort及其应用 知识体系|实验28|练习一 基于网络入侵检测系统 snortsam及其应用 知识体系|实验28|练习二 NIDS与防火墙联动

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库主动防御安全网关的架设在线全文阅读。