状态检测实验VIP专享VIP免费

实验题目状态检测实验小组合作否一、实验目的定制基于状态检测规则验证规则配置前后通信状态二．实验环境防火墙服务器SEDwindows实验平台172.20.2.X172.20.1.Y172.21.2.X172.21.3.Y实验环境拓扑图本地客户端图3.1.2-1实验环境拓扑图实验环境拓扑图如图3.1.2-1所示，其中：防火墙IP地址：内网IP地址：172.20.2.X/16连接防火墙实验显示的内网IP外部IP地址：172.21.2.X/16连接防火墙实验显示的外网IP客户端IP地址：172.20.1.Y/255.255.0.0通过察看本地网络属性获得Windows实验台的IP地址：172.21.3.Y，确保相互之间不会冲突。网关为防火墙外网IP地址：1172.21.2.X本实验的防火墙的默认规则都是允许。三、实验内容与步骤一、连接防火墙进入状态检测实验实验实施的界面，点击“连接”，连接防火墙。二、添加静态路由启动Windows实验台。打开本地主机cmd命令行，输入routeadd172.21.0.0mask255.255.0.0172.20.2.1，添加路由。三、验证网络连通性本地cmd窗口中输入ping172.21.3.76（实验台第二块网卡IP），进行网络连通性测试，如图。FTP访问（通过IE访问）结果如图3.1.2-4所示，可正常访问。四、规则添加可选择状态包括：NEW(新建连接)、ESTABLISHED(已建立的连接)、RELATED(与某已建立连接相关的连接)、INVALID(非法连接)。选择规则类型包括：REJECT和ACCEPT，决定是否允许数据包通过。针对FTP服务，添加如图所示的规则。本次实验主要以FTP的被动(Passive)连接模式为例，因为IE来访问FTP选择为被动，如若对主动模式进行测试，或选用其它客户端，如CuteFTP，留为课后自行完成实验。五、实验结果测试使用FTP服务，连接失败。尝试当已经连接FTP服务器后，再添加如图3.1.2-5所示的规则，ftp服务是否会中断。四、实验过程与分析六、连接防火墙进入状态检测实验实验实施的界面，点击“连接”，连接防火墙。七、添加静态路由启动Windows实验台。打开本地主机cmd命令行，输入routeadd172.21.0.0mask255.255.0.0172.20.2.1，添加路由，如图3.1.2-2所示。图3.1.2-2添加静态路由八、验证网络连通性本地cmd窗口中输入ping172.21.3.76（实验台第二块网卡IP），进行网络连通性测试，如图3.1.2-3所示。图3.1.2-3连通性测试FTP访问（通过IE访问）结果如图3.1.2-4所示，可正常访问。图3.1.2-4九、规则添加可选择状态包括：NEW(新建连接)、ESTABLISHED(已建立的连接)、RELATED(与某已建立连接相关的连接)、INVALID(非法连接)。选择规则类型包括：REJECT和ACCEPT，决定是否允许数据包通过。针对FTP服务，添加如图3.1.2-5所示的规则。图3.1.2-5防火墙规则本次实验主要以FTP的被动(Passive)连接模式为例，因为IE来访问FTP选择为被动，如若对主动模式进行测试，或选用其它客户端，如CuteFTP，留为课后自行完成实验。十、实验结果测试使用FTP服务，连接失败。尝试当已经连接FTP服务器后，再添加如图3.1.2-5所示的规则，ftp服务是否会中断。五、实验总结状态检测技术是包过滤技术的延伸，被称为动态包过滤。传统的包过滤防火墙只是通过检测IP包包头的相关信息来决定数据通过还是拒绝。而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包做为一个整体的数据流看待，构成连接状态表(StateTable)，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。例如，对于一个外发的HTTP请求，当数据包到达防火墙时，防火墙会检测到这是一个发起连接的初始数据包(有SYN位)，它就会把这个数据包中的信息与防火墙规则作比较，即采用包过滤技术。如果没有相应规则允许，防火墙就会拒绝这次连接；如果有对应规则允许访问外部WEB服务，就接受数据包外出并且在状态表中新建一条会话，通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息。对于TCP连接，它还应该会包含序列号和标志位等信息。当后续数据包到达时，如果这个数据包不含SYN标志，也就是说这个数据包不是发起一个新的连接时，状态检测引擎就会直接把它的信息与状态表中的会话条目进行比较，如果信息匹配，就直接允许数据包通过，这样不再去接受规则的检查，提高了效率，如果信息不匹配，数据包就会被...