狀態(tài)檢測實(shí)驗

1、For pers onal use on ly in study and research; notforcommercial use 羆實(shí)驗題目肄狀態(tài)檢測實(shí)驗艿小組合作蕿否肇一、實(shí)驗?zāi)康碾龆ㄖ苹跔顟B(tài)檢測規(guī)則羃驗證規(guī)則配置前后通信狀態(tài)芀二.實(shí)驗環(huán)境裊圖實(shí)驗環(huán)境拓?fù)鋱D薅實(shí)驗環(huán)境拓?fù)鋱D如圖所示，其中：莂防火墻IP地址：內(nèi)網(wǎng)IP地址：172.20.2.X/16連接防火墻實(shí)驗顯示的內(nèi)網(wǎng)IP肀外部IP地址：172.21.2.X/16 連接防火墻實(shí)驗顯示的外網(wǎng)IP羆客戶端IP地址：172.20.1.Y/ 通過察看本地網(wǎng)絡(luò)屬性獲得蚃Windows實(shí)驗臺的IP地址：172.21.3.Y

2、，確保相互之間不會沖突。螂網(wǎng)關(guān)為防火墻外網(wǎng)IP地址：1172.21.2.X薇本實(shí)驗的防火墻的默認(rèn)規(guī)則都是允許。羈三、實(shí)驗內(nèi)容與步驟二、羅連接防火墻芁進(jìn)入狀態(tài)檢測實(shí)驗實(shí)驗實(shí)施的界面，點(diǎn)擊“連接”，連接防火墻。三、四、芇添加靜態(tài)路由螅啟動 Windows實(shí)驗臺。膄打開本地主機(jī) cmd 命令行，輸入 route add mask 172.2021，添加 路由。五、六、蝕驗證網(wǎng)絡(luò)連通性羇本地cmd窗口中輸入ping 6 （實(shí)驗臺第二塊網(wǎng)卡IP），進(jìn)行網(wǎng)絡(luò)連通性測試， 如圖。袇FTP訪問（通過IE訪問）結(jié)果如圖所示，可正常訪問。七、八、節(jié)

3、規(guī)則添加肀可選擇狀態(tài)包括： NEW（新建連接卜ESTABLISHED（已建立的連接）、RELATED（與某已 建立連接相關(guān)的連接 卜INVALID（非法連接）。選擇規(guī)則類型包括：REJECT和ACCEPT，決 定是否允許數(shù)據(jù)包通過。螈針對FTP服務(wù)，添加如圖所示的規(guī)則。袈本次實(shí)驗主要以 FTP的被動（Passive）連接模式為例，因為IE來訪問FTP選擇為被動, 如若對主動模式進(jìn)行測試，或選用其它客戶端，如CuteFTP，留為課后自行完成實(shí)驗。九、十、薄實(shí)驗結(jié)果測試葿使用FTP服務(wù)，連接失敗。蒈嘗試當(dāng)已經(jīng)連接 FTP服務(wù)器后，再添加如圖所示的規(guī)則，ftp服務(wù)是否會中斷。蚅四、實(shí)驗過程與分析十二

4、、蚃連接防火墻膃進(jìn)入狀態(tài)檢測實(shí)驗實(shí)驗實(shí)施的界面，點(diǎn)擊“連接”，連接防火墻。十三、十四、羋添加靜態(tài)路由螇啟動 Windows實(shí)驗臺。肅打開本地主機(jī) cmd 命令行，輸入 route add mask 172.2021，添加 路由，如圖所示。螞圖添加靜態(tài)路由十五、十六、罿驗證網(wǎng)絡(luò)連通性薄本地cmd窗口中輸入ping 6 （實(shí)驗臺第二塊網(wǎng)卡IP），進(jìn)行網(wǎng)絡(luò)連通性測試,如圖所示。膄圖連通性測試肁FTP訪問（通過IE訪問）結(jié)果如圖所示，可正常訪問。蝿圖 十七、十八、薅規(guī)則添加節(jié)可選擇狀態(tài)包括：NEW（新建連接卜ESTABLISHED（已建

5、立的連接）、RELATED（與某已建立連接相關(guān)的連接 卜INVALID（非法連接）。選擇規(guī)則類型包括：REJECT和ACCEPT，決 定是否允許數(shù)據(jù)包通過。蒁針對FTP服務(wù)，添加如圖所示的規(guī)則。蒀圖防火墻規(guī)則蚇本次實(shí)驗主要以 FTP的被動（Passive）連接模式為例，因為IE來訪問FTP選擇為被動， 如若對主動模式進(jìn)行測試，或選用其它客戶端，如CuteFTP，留為課后自行完成實(shí)驗。十九、二十、蚄實(shí)驗結(jié)果測試使用FTP服務(wù)，連接失敗。嘗試當(dāng)已經(jīng)連接FTP服務(wù)器后，再添加如圖所示的規(guī)則，ftp服務(wù)是否會中斷。五、實(shí)驗總結(jié)狀態(tài)檢測技術(shù)是包過濾技術(shù)的延伸，被稱為動態(tài)包過濾。 傳統(tǒng)的包過濾防火墻只是通

6、過檢測IP包包頭的相關(guān)信息來決定數(shù)據(jù)通過還是拒絕。而狀態(tài)檢測技術(shù)采用的是一種基于連 接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包做為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表（State Table），通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。例如，對于一個外發(fā)的HTTP請求，當(dāng)數(shù)據(jù)包到達(dá)防火墻時， 防火墻會檢測到這是一個 發(fā)起連接的初始數(shù)據(jù)包（有SYN位），它就會把這個數(shù)據(jù)包中的信息與防火墻規(guī)則作比較， 即采用包過濾技術(shù)。 如果沒有相應(yīng)規(guī)則允許，防火墻就會拒絕這次連接；如果有對應(yīng)規(guī)則允許訪問外部 WEB服務(wù)，就接受數(shù)據(jù)包外出并且在狀態(tài)表中新建一條會話，通常這條會話會 包括此連接的

7、源地址、源端口、目標(biāo)地址、目標(biāo)端口、連接時間等信息。對于TCP連接，它還應(yīng)該會包含序列號和標(biāo)志位等信息。當(dāng)后續(xù)數(shù)據(jù)包到達(dá)時，如果這個數(shù)據(jù)包不含SYN標(biāo)志，也就是說這個數(shù)據(jù)包不是發(fā)起一個新的連接時，狀態(tài)檢測引擎就會直接把它的信息與狀態(tài)表中的會話條目進(jìn)行比較，如果信息匹配，就直接允許數(shù)據(jù)包通過，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會被丟棄或連接被拒絕，并且每個會話 還有一個超時值，過了這個時間，相應(yīng)會話條目就會被從狀態(tài)表中刪除掉。對UDP同樣有效，雖然UDP不是像TCP那樣有連接的協(xié)議，但狀態(tài)檢測防火墻會為它創(chuàng)建虛擬的連接。對己經(jīng)建立連接的數(shù)據(jù)包不再進(jìn)行規(guī)則檢查，因而過濾

8、速度非?？?。另一方面，信息包并從中截取信息包。由于數(shù)據(jù)鏈路層是網(wǎng)卡所以狀態(tài)檢測防火墻保證了對所有通過網(wǎng)絡(luò)IP地址、端口號和數(shù)據(jù)內(nèi)容等，安全性在低層處理，并對非法包進(jìn)行攔截， 因而協(xié)議的任何上層不用再進(jìn)行處理， 從而提高了執(zhí)行 效率。狀態(tài)檢測工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間， 工作的真正位置，網(wǎng)絡(luò)層也是協(xié)議棧的第一層， 的原始信息包截取和檢查，從中提取有用信息，如 得到了很大提高。狀態(tài)檢測技術(shù)支持對多種協(xié)議的分析和檢測。不僅支持基于TCP的應(yīng)用，而且支持基于無連接協(xié)議的應(yīng)用，例如遠(yuǎn)程過程調(diào)用RPC、基于UDP的應(yīng)用（如 DNS、WAIS、Archie）等。系統(tǒng)管理員配置訪問規(guī)則時需要考慮的內(nèi)容相對簡

9、單，出錯率降低。狀態(tài)檢測實(shí)驗中，一共有四種狀態(tài)，分別被稱為NEW、ESTABLISHED INVALID、RELATED，這四種狀態(tài)對于 TCP、UDP、ICMP三種協(xié)議均有效。下面，我們來分別闡述 四種狀態(tài)的特性。NEW : NEW說明這個包是我們看到的第一個包。意思就是，這是看到的某個連接的第 一個包，它即將被匹配了。比如，我們看到一個SYN包，是我們所留意的連接的第一個包， 就要匹配它。ESTABLISHED : ESTABLISHED已經(jīng)注意到兩個方向上的數(shù)據(jù)傳輸，而且會繼續(xù)匹配這個連接的包。處于 ESTABLISHED狀態(tài)的連接是非常容易理解的。只要發(fā)送并接到應(yīng)答， 連接就是ESTA

10、BLISHED 的了。一個連接要從 NEW變?yōu)镋STABLISHED ,只需要接到應(yīng)答 包即可，不管這個包是發(fā)往防火墻的，還是要由防火墻轉(zhuǎn)發(fā)的。ICMP的錯誤和重定向等信息包也被看作是 ESTABLISHED，只要它們是我們所發(fā)出的信息的應(yīng)答。RELATED : RELATED是個比較復(fù)雜的狀態(tài)。當(dāng)一個連接和某個已處于 ESTABLISHED 狀態(tài)的連接有關(guān)系時，就被認(rèn)為是RELATED的了。換句話說，一個連接要想是RELATED的，首先要有一個 ESTABLISHED 的連接。這個 ESTABLISHED 連接再產(chǎn)生一個主連接之 外的連接，這個新的連接就是RELATED的了。有了這個狀態(tài)，I

11、CMP應(yīng)答、FTP傳輸、DCC等才能穿過防火墻正常工作。比如FTP協(xié)議，用戶命令是通過對 21端口的連接傳輸，而數(shù)據(jù)則通過另一個臨時建立的連接（缺省的源端口是20，在PASSIVE模式下則是臨時分配 的端口）傳輸。對于這樣的應(yīng)用，包過濾防火墻很難簡單設(shè)定一條安全規(guī)則，往往不得不開 放所有源端口為20的訪問。INVALID : INVALID 說明數(shù)據(jù)包不能被識別屬于哪個連接或沒有任何狀態(tài)。有幾個原 因可以產(chǎn)生這種情況，比如，內(nèi)存溢出，收到不知屬于哪個連接的ICMP錯誤信息。一般地,我們拒絕這個狀態(tài)的任何東西。僅供個人用于學(xué)習(xí)、研究；不得用于商業(yè)用途For personal use only in study and research; not for commercial use.Nur f u r den pers?nlichen fu r Studien, Forschung, zu kommerziellen Zwecken verwendet werden.Pour l e tude et recherche uniquement a des fins personnelles; pasa des fins c