再談基于Ｏｐｅｎ Ｓｏｕｒｃｅ技術的網絡安全實驗專題設計

文章編號：1672-5913(2008)18-0006-02

摘要：本文介紹了筆者基于Open Source技術所設計的一些網絡安全實驗，并詳細介紹了每個實驗的平臺構建和實驗項目。

關鍵詞：Open Source；網絡安全；實驗

中圖分類號：G642 文獻標識碼：B

1引言

2007年11月在武漢大學召開的“第一屆中國信息安全學科建設與人才培養研討會”上，教育部信息安全專業指導委員會初步提交了“信息安全類專業指導性專業規范”，在該規范中，不僅制定了信息安全專業畢業生規格和信息安全專業知識體系，而且創造性地提出了信息安全專業實踐能力體系，強調了信息安全專業畢業生應具備的實踐能力。信息安全決不是書本上空洞的理論和抽象的安全策略，要使學生真正掌握好信息安全技術，需要大量的實踐環節加以理解、掌握和應用。

文獻[1]中提出了利用Open Source技術實現網絡安全課程中的實驗教學，設計了8個實驗專題FTP協議分析、HTTP協議分析、IPsec VPN實驗、PKI及SSL實驗、SMTP和POP3協議分析實驗、TCP協議分析實驗、端口掃描實驗、網絡安全掃描實驗，用來加強教學過程中的技術專題實驗，增強教學效果。

但筆者認為文獻[1]中設計的實驗專題遠不能滿足“網絡安全”課程的教學需要，而且很多是利用嗅探工具進行協議分析的實驗。筆者在文獻[1]的基礎上又設計了幾個“網絡安全技術”實驗專題，介紹了實驗內容，并詳細描述了每個實驗的平臺構建、設計了實驗項目。

2實驗內容

本文所設計的網絡安全實驗由三個實驗專題組成，實驗的內容以及需要的開放源代碼軟件、所需要的硬件由表1所示。

3實驗設計

下面按照信息安全專業的培養計劃，結合“網絡安全技術”課程對以上實驗項目的原理、實驗平臺搭建、設計的實驗項目進行討論。

3.1網絡層及傳輸層firewall實驗

開放源代碼組織在創建防火墻軟件方面已經做得很優秀，而且這些軟件對任何規模的網絡都很理想[2]。本文中將以IPtables軟件為例來說明防火墻實驗的設計。IPtables能在網絡層和傳輸層進行包過濾，并能進行網絡地址翻譯（NAT）和端口重定向。

為了使firewall實現包過濾、NAT以及端口重定向等功能，搭建如圖1所示的網絡實驗環境。在該環境中只需要1臺用于運行IPtables防火墻的Linux主機，三臺Windows主機分別連接到防火墻主機的三塊網卡（NIC）上，用來表示Internet區域、DMZ和私有網絡。為了滿足實驗的要求，在這三臺Windows主機上必須安裝的一些軟件如各種服務器軟件并加以配置使其正確運行。

在以上的實驗環境中，設計滿足如下網絡安全要求的防火墻實驗：

a) 允許網絡接口eth1、eth2相連接的LAN1和LAN2之間相互通信。

b) 從LAN1、LAN2發往internet的數據包被偽裝成IP地址210.45.157.254。

d) 來自internet的主機不能訪問1023以下的LAN1和LAN2中的內部端口。

c) LAN1和LAN2的任何主機可以使用internet中的任何服務（Web，E-mail，Ftp等）。

e) 拒絕從防火墻的internet接口（eth0）進行的欺騙攻擊（即黑客把防火墻作為默認網關，偽裝成內部網IP，進入內部網絡），并進行日志記錄。

f) 拒絕全部從eth0進入的ICMP通信。

g) 允許internet中的主機訪問LAN1中的DNS服務、WEB服務、FTP服務，其它服務如telnet等禁止。

通過該實驗可以讓學生掌握通過防火墻實現包過濾、網絡地址翻譯（NAT）和端口轉發等網絡安全技術的原理。另外也可使學生掌握IPtables的防火墻規則編寫方法、IPtables中的表和鏈的概念，防火墻在網絡系統中的部署、安裝、配置和測試方法等，為以后真正使用防火墻來保護網絡奠定堅實的基礎。

3.2應用層firewall實驗

代理服務器防火墻的原理是所有內部主機的請求都發送到代理服務器，由代理服務器發送Internet請求，當響應的包達到時，代理服務器將其發送到發出初始請求的內部主機上。

使用應用層防火墻即代理服務器是另一種創建網絡邊界的方法，并能用更具體的方式過濾通信，通過增加規則過濾網頁內容，可以過濾掉地址中包含某些單詞的Web頁請求。另外還有降低帶寬成本，提高網絡性能，實現負載平衡的優點[2]。

本實驗項目利用Squid Web代理緩存服務器來實現。圖2是實現該實驗項目的平臺。

在以上的實驗環境中，設計滿足如下要求的實驗：

a)Windows Client通過Squid代理服務器訪問www服務器或ftp服務器。

b) 設置規則（如關鍵詞）進行URL的內容過濾。

c) 在squid.conf中定義ACL（訪問控制列表）用于源IP地址、IP地址范圍，目標IP地址、IP地址范圍進行訪問時的允許或拒絕。

d) 實現代理認證，即對使用代理服務器的客戶端進行Username/Password身份認證。

通過該實驗還可以讓學生真正了解包過濾防火墻與代理服務器的區別，包過濾防火墻工作在網絡層和傳輸層，而代理服務器工作在應用層。教師可指導學生通過嗅探工具（如sniffer）或查看www服務器的訪問日志來驗證它們之間的區別。

3.3入侵檢測實驗

Snort是用C語言編寫的開源的、跨平臺、輕量級的網絡入侵檢測軟件。從入侵檢測分類上來看，Snort是一個基于網絡和誤用（misuse detection）的入侵檢測系統。Snort采用基于規則的網絡信息搜索機制，對數據包進行內容模式匹配，從中發現入侵和探測行為。它與基于異常檢測(anomaly detection)的IDS比較缺點是不能檢測到新的攻擊行為。通過Snort入侵檢測系統的安裝，配置和管理，可加強學生對入侵檢測系統原理的理解。實驗平臺架構如圖3所示。

在圖3中的Linux+snort是作為入侵檢測系統部署的，目的是在廣播式的網絡中捕獲數據包并進行入侵檢測，也可將圖3中的HUB換成switch，但該交換機要具有端口流量鏡像功能。Windows client作為攻擊者主機，www/ftp/mail server作為被攻擊主機。

設計如下入侵檢測實驗：

a) 以守護進程運行snort IDS。

b) 深入了解snort IDS規則庫，并測試一種新的攻擊snort IDS能否檢測到，然后將新的攻擊特征增加到規則庫中再進行測試。

c) 安裝配置用于保存入侵警報信息的數據庫管理系統，可選擇MySQL或postgreSQL。

d) 配置snort.conf文件，使Snort真正成為一個網絡入侵檢測系統來運行。

e) 安裝配置入侵檢測控制臺ACID，用于對snort IDS的行為進行管理與監控。

4總結及展望

本文在文獻[1]的基礎上設計了有關網絡安全技術的實驗，由于這些實驗都是基于Open Source軟件的，通過源代碼學生可以更加清楚地了解這些安全技術的原理、核心和實現細節，同時也可以在開源代碼的基礎上進行二次開發和修改。

未來的工作有兩點：一是設計更多的基于Open Source的信息安全實驗，例如Linux系統安全強化實驗、一次性密碼（OTP）實驗OPIE、網絡認證Kerberos等。二是如何將所有這些信息安全實驗集成在一起，建成一個所謂的“基于Open source的信息安全綜合實驗系統”。

參 考 文 獻

[1] 馬建峰，楊超. 基于Open Source技術的網絡安全實驗專題設計[J]. 計算機教育，2007，(10):15.

[2]James Stanger， Patrick T. Lane著. 鐘日紅，宋建才等譯. Linux黑客防范開放源代碼安全指南[M]. 北京:機械工業出版社，2002.