《操作系统安全》第十一章安全操作系统应用课件.ppt

1、第11章 安全操作系统应用 第一部分 教学组织o一、目的要求一、目的要求o1.了解目前安全操作系统以及WWW安全服务。o2.掌握防火墙系统的安全技术及保护机制。o二、工具器材二、工具器材o1.具有WWW服务的服务器。o2.防火墙系统。第二部分 教学内容o迄今为止，整个国际上安全操作系统的实际应用并不成功。在实际应用中发挥作用的操作系统绝大部分不是安全操作系统。有专家认为，安全操作系统在商业和民用领域的不成功，主要是因为安全操作系统缺少灵活性和兼容性，降低了系统性能和效率，应发展专用安全操作系统。o当前安全操作系统不成功的本质原因是安全操作系统存在诸多不完善的地方，如对多安全政策的支持；对动态多

2、安全政策的支持，包括政策切换、权限撤销等方面；对环境适应性的支持等。本章主要介绍安全操作系统的两个应用,即WWW安全和防火墙系统安全。11.1 操作系统安全与www安全11.1.1 WWW概述概述o WWW(World Wide Web)是建立在Internet上的一种网络服务。它遵循HTTP协议，缺省端口是80。WWW所依存的超文本（Hyper-text）数据结构，采用超文本和多媒体技术，将不同的文件通过关键字进行链接。o HTTP是一个属于应用层面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。一个完整的HTTP协议会话过程包括四个步骤：连接；请求；应答；关闭连接。11.

3、1.1 WWW概述概述o1HTTP协议的命令n（1）GET命令n请求获取Request-URI所标识的资源，使用GET命令检索服务器上的资源时需要指定URL，协议版本号等信息。此命令相对简单。n 例如:GET/form.html HTTP/1.1o（2）POST 命令 o在Request-URI所标识的资源后附加新的数据。POST方法要求被请求服务器接受附在请求后面的数据，常用于提交表单。oeg：POST/reg.jsp HTTP/oAccept:image/gif,image/x-xbit,.o.oHOST: oContent-Length:22 oConnection:Keep-Alive

4、 oCache-Control:no-cache o(CRLF)/该CRLF表示消息报头已经结束，在此之前为消息报头ouser=jeffrey&pwd=1234 /此行以下为提交的数据o（3）HEAD命令o如果我们只对关于网页或资源的信息感兴趣，而不想检索资源本身的全部内容，可以使用HEAD命令。HEAD的使用方法与GET正好相同，只是它不返回Web页的正文内容。当一个Web页的内容被更新时，可以使用这个命令通知你。它也可以使浏览器作出有关是否根据其大小下载网页的决定。oHEAD方法与GET方法几乎是一样的，对于HEAD请求的回应部分来说，它的HTTP头部中包含的信息与通过GET请求所得到的信

5、息是相同的。利用这个方法，不必传输整个资源内容，就可以得到Request-URI所标识的资源的信息。该方法常用于测试超链接的有效性，是否可以访问，以及最近是否更新。o（4）PUT命令oPUT是另一个常用的HTTP命令，HTTP协议文件上传的标准方法是使用PUT命令。它允许从客户端到服务器的简单文件传输，常用于HTML编译器，如Netscape的Composer和HotDog实用程序。PUT命令和POST命令的区别在于两个命令的使用方式不同，PUT命令带有一个参数，这个参数作为目的URI，类似于POST命令的参数。但是，PUT命令请求服务器将数据放在URI，而POST命令请求服务器将数据发给UR

6、I。o（5）DELETE命令oDelete方法就是通过http请求删除指定的URL上的资源，Delete请求一般会返回3种状态码：200(OK)-删除成功，同时返回已经删除的资源；202(Accepted)-删除请求已经接受，但没有被立即执行（资源也许已经被转移到了待删除区域）；204(No Content)-删除请求已经被执行，但是没有返回资源（也许是请求删除不存在的资源造成的）。Web站点管理应用程序常常使用DELETE命令和PUT命令管理服务器上的文件。o（6）OPTIONS命令oOPTIONS命令请求服务器描述“命令-URI”指定资源的特点。OPTIONS命令格式类似于其他HTTP命令

7、。eg:OPTIONS/HTTP/1.1(CRLF)o（7）TRACE命令oTRACE命令类似于PING命令，提供路由器到目的地址的每一跳的信息。它通过控制IP报文的生存期(TTL)字段来实现。TTL等于1的ICMP回应请求报文将被首先发送。路径上的第一个路由器将会丢弃该报文并且发送回标识错误消息的报文。错误消息通常是ICMP超时消息，表明报文顺利到达路径的下一跳，或者端口不可达消息，表明报文已经被目的地址接收但是不能向上传送到IP协议栈。o2.目前流行的WWW服务器o目前流行WWW服务器的三大主流为Apache Group公司的Apache Web Server服务器（阿帕奇），简称为Apa

8、che；基于Windows NT系统的微软公司的Internet Information Server服务器，简称为IIS；Netscape公司的Netscape Enterprise Server服务器，简称Netscape。o（1）Apache服务器oApache服务器，是一个开放源码的Web服务器平台，该服务器的目的是服务于一个广为流行的现代网络平台/操作系统，兼容HTTP/1.1协议，可扩展性，支持大多数操作系统。如Unix，Windows，Linux，Solaris，还有Novell公司的NetWare，FreeBSD上的Mac OS X，微软Windows，OS/2，NetBSD，

9、BSDI,AIX，SCO，HPUX等系统。o（2）IIS服务器oIIS可以赋予一部主机电脑一组以上的IP地址，而且还可以有一个以上的域名作为Web网站，您可以利用TCP/IP内容设置两组以上的IP地址给它，除了为网卡再加进一组IP地址之外，必须在负责这个点的DNS上为这组IP地址指定另一个域名，完成这些步骤以后，在Internet Service Manage中就会出现一个虚拟Web服务器，虚拟服务器（Virtual Server）必须有它自己的主目录（home directory），对于IIS来说，所有服务器都是它的虚拟服务器。o（3）Netscape服务器 oNetscape服务器支持Ja

10、va run-time（JDK1.1），能将PDF格式转化成HTMl格式，并且支持LDAP服务和Oracle，Informix数据库。oNetscape服务器支持Digital UNIX，AIX，HPUX，Windows NT，IRIX。11.1.2 安全安全WebServer概念的提概念的提出及相应的解决方案出及相应的解决方案o1Apache WEB Server的安全问题及相应的的安全问题及相应的解决方案解决方案 oApache服务器是应用最为广泛的Web服务器软件之一，服务器快速、可靠，如果经过用户精心配置之后，就完全能够令其适应高负荷的互联网工作。但是，Apache服务器的Perl/P

11、ython解释器可被编译到服务器中,且完全免费,源代码也完全开放,并且基于Web的通信建立在HTTP协议之上，因此，存在以下几个安全问题：o（1)使用HTTP协议进行的拒绝服务攻击(denial of service):攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求巨增,造成Apache系统变慢甚至完全瘫痪。o（2）缓冲区溢出:由于源代码完全开放,攻击者就可以利用程序编写的一些缺陷,使程序偏离正常流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。o（3）被攻击者获得root权限:由于Apache服务器一般

12、以root权限运行,攻击者通过它获得root权限,进而控制整个Apache系统。o（4）恶意攻击者进行“拒绝服务”(DoS)攻击:它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。利用黑客程序可以对于运行在FreeBSD 4.5,OpenBSD 3.0/3.1,NetBSD 1.5.2平台上的Apache服务器进行攻击。o为了解决以上问题，结合Apache服务器的设置，正确维护和配置Apache服务器时应注意以下几点:o（1）认真设置Apache服务器的配置文件。配置文件主要有三个:httpd.con主配置文件;srm.c

13、onf填加资源文件;access.conf设置文件的访问权限。o（2）Apache服务器的日志文件。我们可以使用日志格式指令来控制日志文件的信息。使用LogFormar“%a%1”指令,可以把发出HTTP请求浏览器的IP地址和主机名记录到日志文件。出于安全的考虑,在日志中我们应知道有多少被验证失败的WEB用户,在http.conf文件中加入LogFormat“%401u”指令可以实现这个目的。Apache的错误日志文件对于系统管理员来说是非常重要的,错误日志文件中包括服务器的启动、停止以及CGI执行失败等信息。o（3）加强对Apache服务器目录的安全认证:在Apache Server中是允许

14、使用。htaccess是做目录安全保护的,欲读取这保护的目录需要先键入正确用户账号与密码。这样可做为专门管理网页存放的目录或做为会员区等。o（4）加强Apache服务器访问控制o 配置文件中的accessconf文件,包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。o（5）Apache服务器的密码保护问题o使用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打开目录的访问控制。2安全WebServ

15、er概念的提出及相应的解决方案o基于Web的通信系统采用客户/服务器结构:客户端利用浏览器连接至Web服务器获取相应的信息,在客户端从Web服务器取得相应的应答后两者就不再存在网络的连接,而要等到下次传送数据时,连接才会再次建立.这种客户端与服务器端之间的交互作用方式称之为查询-应答(Query-Response)模式。只有在双方建立起连接之后才可以查询,而在查询结束之后,这种连接也要释放.在基于Web的通信中,浏览器和Web服务器之间采用HTTP协议进行通信.正是由于基于Web通信的这两点特征,导致了基于Web的通信中存在以下几个重要的弱点:o（1）由于Web服务器基于操作系统之上,因此操作

16、系统的安全性直接关系到WWW系统的安全性,如果没有操作系统的良好的安全性作为支撑,一切基于它的应用服务的安全性都将大打折扣；o（2）由于HTTP协议没有提供方法来认证正在进行的会话，因此不能判断是否有不信任的第三方劫持了该会话；o（3）由于HTTP协议没有提供加密机制,因此不信任的第三方可以在客户和服务器之间窃听用户之间的通信；o（4）由于HTTP是一个无状态协议,不保存有关用户的信息，因此不能证实用户的身份,访问控制也就无法建立；o（5）目前大多数Web服务器只提供公共服务,不能够针对企业内部用户进行粒度更为精细的访问控制；o（6）大多数的Web服务器只提供非常弱的基于用户ID/口令字的认证

17、,并且一旦用户通过认证,则所有的用户权限相等,均能够拥有Web提供的所有服务。o正是由于基于Web的通信存在着以上弱点,因此要建立一个安全的Web站点,必须要考虑到两点因素：o（1）Web服务器系统所处的操作系统平台的安全性；o（2）Web服务器系统本身和网路传输的安全性。o为此，我们提出一种我们所理解的安全Web服务器概念：o（1）Web服务器所基于的操作系统平台的安全性良好；o（2）网络上传输的数据经过加密；o（3）对正在进行的会话应提供方法来进行认证；o（4）主/客体也应按安全级进行分类,即主体应拥有与其身份相符的许可证,而客体亦应赋以与其敏感性相称的安全级标签；o（5）不同的主体只能访

18、问获得相应授权的客体；o（6）攻击者不能够通过Web服务器的漏洞来攻击操作系统本身。o为达到以上几点,相应的解决方案可以通过以下机制来实现：o（1）选用最新的操作系统版本,并随着最新公布的系统Patch随时更新操作系统；o（2）保证网路上传输的数据加密及对正在进行的会话进行认证,例如将SSL与Web服务器源代码无缝连接；o（3）将多级安全机制(即BLP模型)应用于Web服务器中,从而实现主/客体间的访问控制机制,保证不同的主体只能访问获得相应授权的客体；o（4）为保证攻击者不能够通过Web服务器的漏洞来攻击操作系统平台,要保证Web服务器源代码中尽可能少地存在漏洞,特别应该指出的是,针对目前对

19、Web服务器和操作系统最典型的攻击方法堆栈溢出攻击应提供良好的解决方案。11.1.3 基于基于BLP模型的模型的SecWeb系统系统描述描述o1SecWeb系统的操作系统平台SecLinux操作系统,SecLinux 安全操作系统体系结构如下图所示 11.1.3 基于基于BLP模型的模型的SecWeb系统系统描述描述o2.SecWeb系统中的自主访问控制o在网络服务自主访问控制(NDAC)机制中,其控制结构如下图所示.NACENACEUser/Group NameNACEMAC RangeRemote Host3SecWeb系统中的强制访问控制获取URI的第一个 目录分量获取当前目录分量的RA

20、CL基于此RACL对资源实施自主访问控制访问许可？下一个目录分量存在？访问许可取下一个目录分量否否是是o4SecWeb系统中对缓冲区溢出的处理o为解决缓冲区溢出的问题,SecWeb系统对Web服务器源代码中可能造成缓冲区溢出的库函数进行了替换，首先截获这些库函数调用，对之进行缓冲区边界检查,对可能造成缓冲区溢出的调用进行强制退出，防止不适当的或恶意的应用程序编程所造成的缓冲区溢出漏洞被恶意地加以利用。11.2 操作系统安全与防火墙安全o11.2.1 防火墙介绍防火墙介绍o1.防火墙技术防火墙技术o防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合

21、。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。尽管防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的,但总的来说业界的分类有三种：包过滤防火墙，应用级网关和状态监视器。o（1）包过滤防火墙 o在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，

22、信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的IP地址，并按照系统管理员所给定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。o（2）应用级网关 o应用级网关也就是通常我们提到的代理服务器。它适用于特定的互联网服务，如超文本传输(HTTP)，远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间，它对于客户来说象是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规则允许用户

23、访问该站点的话，代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。o代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。o代理服务器会象一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。o应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的互联网服务安装

24、相应的代理服务软件，用户不能使用未被务器支持的服务，对每一类服务要使用特殊的客户端软件，更不幸的是，并不是所有的互联网应用软件都可以使用代理服务器。o（3）状态监测防火墙 o这种防火墙具有非常好的安全特性，它使用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。o与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出

25、接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。o2.防火墙的类型防火墙的类型o（1）堡垒主机或双穴主机网关（Dual Homed Gateway）o堡垒主机是一种被强化的能防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其他主机的安全的目的。从堡垒主机的定义我们能看到，堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。o（2）被屏蔽主机网关o屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上，

26、通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。11.2.2 防火墙涉及的安全技术防火墙涉及的安全技术o防火墙涉及到的技术有：o1.通信过程加密o2.强化操作系统o3.认 证o4.日志和警报o另外，包分类、存取控制、入侵检测和动态技术等都是

27、提高防火墙性能的关键技术。11.2.3 防火墙利用安全操作系统的防火墙利用安全操作系统的保护机制保护机制o利用域间隔离来保护防火墙中的安全数据o利用安全操作系统的特权管理机制o利用安全操作系统的审计机制进行入侵检测与预警o利用操作系统的网络安全机制1利用域间隔离来保护防火墙中的安全利用域间隔离来保护防火墙中的安全数据数据o根据TCSEC（Trusted Computer System Evaluation Criteria）的规定，B1以上级安全操作系统将系统信息划分三个区，即系统管理区，用户空间区，病毒保护区。如图11.9所示，该图可看作一组系统安全级和用户安全级，它们通过MAC机制的控制被

28、分隔，从而保持了系统的安全性。其中，“箭头”表示安全级支配关系。2利用安全操作系统的特权管理机制利用安全操作系统的特权管理机制o最小特权管理的思想是将超级用户的特权划分为一组细粒度的特权，分别授给不同的系统操作员/管理员，使各种系统管理员/操作员只具有完成其任务所需的特权，从而满足最小特权原理。o我们知道，攻击防火墙的技术之一便是修改防火墙的规则使得防火墙的规则对其攻击无效，而要修改规则，则修改者须有一定的特权即可。在实际的安全操作系统设计中，普通用户和特权用户的操作在特权判断之前是一样的，但是到了特权判断时普通用户的操作请求被拒绝。一般情况下，入侵者至少使用不获得特权的进程来完成特权操作的尝

29、试。o在防火墙中，一般处理特权违反操作有:报警，审计，送入侵检测中心。表11-1就特权违反处理做详细描述。其中，&表示送到入侵检测中心，*表示报警。o同时，根据防火墙操作系统的特点，将系统的对防火墙的本机管理的特权赋予安全管理员。这样，经过权限分割，系统的安全性大大的提高。我们给该管理员一定的安全级别，同时该防火墙的相关关键数据目录文件也具有该安全级。3利用安全操作系统的审计机制进行入利用安全操作系统的审计机制进行入侵检测与预警侵检测与预警o（1）利用审计进行入侵检测o入侵检测技术的关键是能够得到足够多的连接的上下文的内容，所以其基础是连接跟踪，通过积累足够多的信息来进行专家支持与决策。现在关

30、于入侵检测，一般的模式是主机分布式采样过滤，中心机来专家决策和报警。工程上一般采用的技术异常探测和模式匹配技术。在这里，足够多的数据的一部分便是通过操作系统的审计子系统获得的。o（2）防火墙操作系统中的审计数据o系统中特权相关事件审计。通常，一个特权命令需要使用多个系统调用，逐个审计所用到的系统调用，会使审计数据复杂而难于理解，审计员很难判断出命令的使用情况，因此，虽然系统调用的审计已经是十分充分的，然而特权命令的审计仍然必要。在被审计的特权命令的每个可能的出口处增加一个新的系统调用专门用于该命令的审计。当发生可审计事件时，要在审计点调用审计函数并向审计进程发消息。由审计进程完成审计信息的缓冲

31、、存贮、归档工作。o（3）利用审计进行入侵检测的过程o综合本地审计数据与防火墙对安全服务的审计信息。根据审计数据的类型，判断是否交送入侵检测中心。4利用操作系统的网络安全机制利用操作系统的网络安全机制o（1）利用安全操作系统来防御碎片攻击oIP碎片指IP FRAGMENT，经常被用来作DOS攻击，典型的例子便是teardrop和jolt2，其原理都是利用发送异常的分片，如果操作系统的内核在处理分片重组时没有考虑到所有的异常情况，将可能引向异常的流程，造成拒绝服务(DOS)。o碎片攻击不光会攻击操作系统，由于许多网络工具，如防火墙，入侵检测系统(功S)也在内部作了分片组装，如果处理不当，也同样会

32、遭受攻击，如著名的checkpoint的防火墙FW-1某些版本(最新的已经改正了)便同样会受到碎片DOS攻击。碎片也可以用来逃避IDS检测，许多网络入侵检测系统的机理是单IP包检测，没有处理分片，即使是象ISS这样的公司也是在最新的5.0版本中才实现了组装功能，更不用说snort了，其IP组装插件经常造成系统错误，因此大多数人都将此功能关闭了。o（2）对碎片攻击的防御o这里主要介绍安全操作系统网络的碎片组装程序，首先对关键数据结构描述。o在我们的安全防火墙操作系统中，用四元组(数据包的功号，源IP地址，目的IP地址，协议号)，表示一个IP碎片，四个值都相同的碎片在一个IPQ链中按到达操作系统的

33、先后次序连接，所有的IP碎片通过哈稀表组织起来。哈稀表的大小为64，哈稀计算表达式为：o o(id)1)(saddr)(daddr)(prot)&(IPQ_HASHSZ-1)o其中id为数据包的ID号，saddr为源IP地址，daddr为目的IP地址，proto为协议号，IPQ_HASHSZ为哈稀表的最大值，在此为64。表示逻辑异或算法。具体的数据结构可以表示为如图11.10。本章小结 o在本章中在本章中,我们针对安全操作系统的两种应用我们针对安全操作系统的两种应用,即即WWW安全与防安全与防火墙系统安全。首先介绍了火墙系统安全。首先介绍了WWW服务系统中服务系统中HTTP协议中的常协议中的常

34、用命令，并且对目前流行的用命令，并且对目前流行的WWW服务器的特性和支持的操作系服务器的特性和支持的操作系统作了比较。然后介绍了基于统作了比较。然后介绍了基于Web通信中存在的弱点，提出了安通信中存在的弱点，提出了安全全Web服务器的概念，同时为了将多级安全机制整合到服务器的概念，同时为了将多级安全机制整合到Web服服务器中，介绍了一种基于务器中，介绍了一种基于BLP形式化模型的安全形式化模型的安全Web服务器系服务器系统统SecWeb。最后，介绍了防火墙为核心技术：包过滤防火墙、。最后，介绍了防火墙为核心技术：包过滤防火墙、代理防火墙、状态监控防火墙；论述了最常用的防火墙的类型即代理防火墙、

35、状态监控防火墙；论述了最常用的防火墙的类型即堡垒主机网关、双穴主机网关、被屏蔽主机网关。重点介绍了防堡垒主机网关、双穴主机网关、被屏蔽主机网关。重点介绍了防火墙涉及的安全技术和防火墙利用安全操作系统的保护机制。火墙涉及的安全技术和防火墙利用安全操作系统的保护机制。实验：配置Linux下的防火墙【实验目的实验目的】通过本实验，掌握在Linux系统平台下用ipchains配置防火墙的方法。【实验准备实验准备】1.网络中包括两个子网A和B。子网A的网络地址为192.168.1.0/24，网关为host A。Host A有两个接口，eth0和eth1。Eth0连接子网A，IP地址为192.168.1.

36、1。eth1连接外部网络，Ip地址为10.0.0.11。子网B的网络地址为192.168.10.0/24，网关为host B。Host B有两个网络接口，eth0和eth1。Eth0连接子网B，IP地址为192.168.10.1。eth1连接外部网络，Ip地址为10.0.0.101。Host A和Host B构成子网C，网络地址是10.0.0.0/24，通过交换机连接到Host C，然后通过host C连接Internet。Host C的内部网络接口为eth0，IP地址为10.0.0.1。实验：配置Linux下的防火墙2.在host A、host B、host C上都已经装好Linux系统，并

37、且在hostC上已经设置好了Squid代理服务器。【实验要求实验要求】在host A上用ipchains配置防火墙，实现如下规则：1.允许转发数据包，保证host A的路由功能；2.允许所有来自子网A内的数据包通过；3.允许子网A内的主机对外发出请求后返回的TCP数据包进入子网A；4.只允许子网A外的客户机连接子网A内的客户机的22号TCP端口，也就是只允许子网A外的主机对子网A内的主机进行SSH连接；实验：配置Linux下的防火墙5.禁止子网A外的主机ping子网A内的主机，也就是禁止子网A外的ICMP包进入子网A。【实验步骤实验步骤】1.配置防火墙（1）登录到host A，清空所有链中的规

38、则：ipchains F（2）添加默认策略，允许所有数据包通过：ipchains P input accept ipchains P output accept ipchains P forward accept（3）允许来自子网A内的数据包通过：ipchains A input I ethl s 192.168.1.0/24 j accept ipchains A input I eth0 s 192.168.1.0/24 j deny（4）允许子网A外的主机对A内的主机进行SSH连接，而禁止所有其他的初始连接：ipchains A input I eth0 d 192.168.1.0/24

39、!22 p tcp y j deny实验：配置Linux下的防火墙（5）禁止子网A外的主机ping子网A内的主机：ipchains A input I eth0 d 192.168.1.0/24 p icmp y j deny（6）查看配置：ipchains L input2.检测配置（1）登录到子网A内的一台主机，连接B中的主机和host C，检测是否能够连通（不要用ping）。（2）登录到子网B内的一台主机，用SSH命令连接子网A内的一台开有SSH服务的主机，看是否能连通：ssh u root 192.168.1.10（3）尝试连接子网A内的主机的其他服务端口，检测是否能连通。（4）用ping命令检测A内的主机。【实验总结实验总结】o通过Linux系统平台下进行防火墙配置，了解并掌握了网络操作系统安全应用的实践，对加深理解防火墙利用安全操作系统的保护机制有很大用处。课后习题o1.安全操作系统主要有哪些方面应用？o2.联系实际，如何理解安全操作系统解决方案？o3.防火墙系统是如何保护操作系统？防火墙利用安全操作系统的保护机制有哪些？