跳转至

实验四:防火墙等无线网络安全实验

一、实验整体背景

无线网络因传输介质为开放大气,相比有线网络更易遭黑客攻击。本实验通过无线路由器的安全配置,实现两个核心目标:

  1. 仅允许通过身份验证的用户接入无线网络;

  2. 仅让掌握加密密钥的用户进行正常数据传输,防止非法接入和数据窃听。无线路由器的 LAN 口负责连接内部局域网,WAN 口负责连接外部广域网,实验基于 TP-LINK 路由器展开。

二、第一部分:虚拟服务器实验

  1. 实验目的

    • 理解虚拟服务器的原理与应用场景;
    • 掌握 TP-LINK 无线路由器虚拟服务器功能的具体设置方法。

  2. 实验原理

    无线路由器内置防火墙,默认会阻断外网对内网的访问,以此保护内网安全,但这也限制了外网对内部合法服务器的访问,而虚拟服务器功能可解决这一矛盾:

    • 虚拟服务器会定义一个外部服务端口,当外网向路由器 WAN 口的该端口发送服务请求时,请求会被自动重定向到指定内网 IP 的服务器对应端口;
    • 仅开放指定端口的流量,内网其他主机及服务器的其他端口仍受防火墙保护,且外网主机仅能 ping 通路由器 WAN 口,无法直接 ping 通内网私有 IP。

  3. 实验拓扑与设备参数

    设备 网络类型 连接方式 IP 地址 网关 提供服务
    PC1 内部网络 无线连接路由器 LAN 口 192.168.2.6 192.168.2.1 Web 服务(默认 80 端口)
    PC2 内部网络 无线连接路由器 LAN 口 192.168.2.3 192.168.2.1 FTP 服务(默认 21 端口)
    PC3 外部网络 有线连接路由器 WAN 口 192.168.12.3 192.168.12.1 作为外网访问客户机
    无线路由器 - - LAN 口:192.168.2.1;WAN 口:192.168.12.1 - 虚拟服务器转发

    注:内外网为不同网段(内网 2.*、外网 12.*),子网掩码均为 255.255.255.0;无线采用 5GHz 频段,需关闭 Wi-Fi 多频合一和 2.4GHz 频段。

  4. 详细实验步骤

    • (1)路由器初始化与基础配置

      1. 复位路由器:先将路由器恢复出厂设置,再用一台电脑(内网 PC3)有线连接路由器任意网口(暂作 LAN 口),进入路由器 Web 配置页面。
      2. 无线参数配置:进入 “路由设置→无线设置”,设置 SSID(需含 5G 字样,如 left456-5G),认证类型选 WPA-PSK/WPA2-PSK,信道设为分配的通道号,无线模式为 11a/n/ac/ax mixed,频段带宽按需选择,保存配置。
      3. LAN 口配置:进入 “路由设置→LAN 口设置”,将 LAN 口 IP 设为 192.168.2.1,子网掩码 255.255.255.0,保存后重启路由器;重启后需将电脑网卡 IP 改为 192.168.2.* 网段才能再次进入配置页面。
      4. WAN 口配置:进入 “路由设置→上网设置→基本设置”,将 WAN 口设为固定 IP(192.168.12.1),子网掩码 255.255.255.0,网关 192.168.12.1,DNS 服务器设为 10.10.0.21(首选)和 10.10.2.21(备用);再进入 “WAN 口设置”,将 WAN 口固定为靠近电源的最左侧网口,此时需将电脑网线改插右侧 3 个 LAN 口之一。
      5. DHCP 服务器:保持默认开启状态,无需修改。

    • (2)虚拟服务器功能配置

      1. 进入路由器 “应用管理→已安装应用→虚拟服务器”;
      2. 添加 Web 服务虚拟服务器:选择 “常用服务器” 中的 HTTP,设置外部端口 80、内部端口 80,对应内网 IP 为 192.168.2.6(PC1),协议类型为 TCP,保存;
      3. 添加 FTP 服务虚拟服务器:选择 “常用服务器” 中的 FTP,设置外部端口 21、内部端口 21,对应内网 IP 为 192.168.2.3(PC2),协议类型为 TCP,保存。

    • (3)内网服务器与外网客户机配置

      1. 内网 PC1:设置 IP 为 192.168.2.6,开启 Web 服务(80 端口),并配置匿名访问权限;
      2. 内网 PC2:设置 IP 为 192.168.2.3,开启 FTP 服务(21 端口),并配置匿名访问权限;
      3. 外网 PC3:将网卡 IP 设为 192.168.12.3,有线连接路由器固定 WAN 口,网关设为 192.168.12.1。

  5. 实验结果验证

    1. Web 服务验证:在外网 PC3 的浏览器地址栏输入 http://192.168.12.1,若能访问到 PC1(192.168.2.6)的 Web 站点(需在站点首页标注 “PC1~192.168.2.6” 标识),则 Web 服务转发成功;若未配置 80 端口虚拟服务器则无法访问。
    2. FTP 服务验证:在外网 PC3 的 “此电脑” 地址栏输入 ftp://192.168.12.1,若能访问到 PC2(192.168.2.3)的 FTP 站点(需标注 “PC2~192.168.2.3” 标识),则 FTP 服务转发成功;注意不可用 Web 浏览器访问 FTP,未配置 21 端口虚拟服务器则无法访问。

三、第二部分:DMZ 及过滤实验

  1. 实验目的

    • 理解防火墙过滤的原理与应用;
    • 掌握 TP-LINK 路由器 DMZ 主机功能的设置方法;
    • 熟悉路由器 WPA-PSK 安全模式和设备过滤的配置流程。

  2. 实验原理

    • (1)DMZ(非军事区)原理

      • DMZ 可将内网某台主机 “完全暴露” 给外网,实现双向无限制通信,外网对路由器 WAN 口所有端口(1~65535)的访问都会转发到 DMZ 主机对应端口;
      • 优先级规则:虚拟服务器优先于 DMZ,若未配置虚拟服务器,外网请求会转发至 DMZ 主机;若 DMZ 也未启用,请求会被丢弃;
      • 注意:DMZ 主机相关的防火墙过滤规则会失效,且可能带来内网安全隐患,需谨慎使用。

    • (2)WPA-PSK 安全模式原理

      • TP-LINK 路由器支持 WPA3/WPA2/WPA 加密协议、AES 加密算法、PSK/SAE 身份验证协议;
      • WPA 加密密钥长度为 64-256 位,每次连接会生成新动态密钥,加密强度远高于 WEP,几乎无法被破解,可实现身份验证和数据加密双重防护。

    • (3)防火墙过滤原理

      通过设备管理或无线设备接入控制功能,可限制特定内网设备的网络访问权限,实现内网设备的通信管控,且不影响其他合法设备的正常通信。

  3. 实验拓扑与设备参数

    设备 网络类型 连接方式 IP 地址 网关 角色 / 服务
    PC1 内部网络 无线连接路由器 LAN 口 192.168.2.6 192.168.2.1 DMZ 主机,提供 Web 服务(80 端口)
    PC2 内部网络 无线连接路由器 LAN 口 192.168.2.3 192.168.2.1 提供 FTP 服务(21 端口),被过滤设备
    PC3 外部网络 有线连接路由器 WAN 口 192.168.1.5 192.168.1.10 外网访问客户机
    无线路由器 - - LAN 口:192.168.2.1;WAN 口:192.168.1.10 - DMZ 转发、设备过滤、WPA-PSK 安全认证

    注:内外网网段为 2.* 和 1.*,子网掩码 255.255.255.0;无线为 5GHz 频段,启用 WPA-PSK/WPA2-PSK 或 WPA2-PSK/WPA3-SAE 安全模式。

  4. 详细实验步骤

    • (1)路由器基础配置(基于第一部分,仅修改部分参数)

      1. 配置主体切换:由内网 PC1 完成路由器配置,PC1 有线 / 无线连接路由器 LAN 口(已固定 WAN 口为最左侧网口,PC1 需连右侧 LAN 口),进入 192.168.2.1 配置页面。
      2. 无线安全配置:进入 “路由设置→无线设置”,保持 5GHz 频段、SSID(right123-5G)、信道等参数,开启 WPA-PSK/WPA2-PSK 或 WPA2-PSK/WPA3-SAE 认证,设置 8-63 位的无线密码(建议数字 + 字母 + 符号组合,如 12345678),保存后 PC1、PC2 需重新输入密码连接无线网络。
      3. WAN 口重新配置:进入 “路由设置→上网设置→基本设置”,将 WAN 口固定 IP 改为 192.168.1.10,子网掩码 255.255.255.0,网关 192.168.1.10,DNS 不变;WAN 口仍为固定最左侧网口。
      4. 清理旧配置:删除第一部分实验中设置的虚拟服务器,避免影响 DMZ 功能验证。

    • (2)DMZ 主机配置

      进入 “应用管理→已安装应用→DMZ 主机”,开启 DMZ 功能,输入 PC1 的 IP(192.168.2.6)作为 DMZ 主机 IP,保存配置。

    • (3)防火墙过滤配置(两种方法)

      • 方法 1:设备管理直接禁用

        1. 进入路由器 “设备管理” 页面,查看已连设备列表;
        2. 根据计算机名称或 MAC/IP 地址定位 PC2,点击 “禁用” 并确认,禁用后 PC2 无法访问网络和路由器(本机配置设备无法禁用);
        3. 可在 “已禁设备” 列表中对 PC2 进行解禁操作。

      • 方法 2:无线设备接入控制

        1. 进入 “应用管理→已安装应用→无线设备接入控制”,开启接入控制功能,选择 “只允许列表内的设备连接”;
        2. 可通过 “选择设备添加”(直接选 PC1)或 “输入 MAC 地址添加”(先查 PC1 无线网卡 MAC)将 PC1 加入允许列表,以此过滤 PC2。

    • (4)内网设备与外网客户机配置

      1. PC1:保持 IP 192.168.2.6,重启 Web 服务并确认权限;
      2. PC2:保持 IP 192.168.2.3,重启 FTP 服务并确认权限;
      3. PC3:设置 IP 为 192.168.1.5,有线连接 WAN 口,网关设为 192.168.1.10。

  5. 实验结果验证

    • (1)DMZ 功能验证

      • 内网 PC1、PC2 均可 ping 通外网 PC3;
      • 外网 PC3 可通过 http://192.168.1.10 访问 PC1 的 Web 服务,还能通过 telnet 192.168.1.10 xxx 访问 PC1 的任意 xxx 端口;
      • 外网 PC3 无法访问 PC2 的任何端口(包括 FTP 21 端口,因 PC2 未设为虚拟服务器或 DMZ 主机)。

    • (2)过滤功能验证

      被禁用的 PC2 无法 ping 通外网 PC3,而 PC1 与 PC3 的通信不受任何影响。

    • (3)思考题解答

      若 PC3 访问 ftp://192.168.1.10,会尝试访问 PC1 的 FTP 服务,但无法访问成功。原因:此时无虚拟服务器配置,请求会转发至 DMZ 主机 PC1,而 PC1 未开启 FTP 服务,仅开启了 Web 服务,因此访问失败。

四、补充选做实验:无线网络密码查找实验

  1. 实验目的

    掌握在不进入路由器配置页面的前提下,查询已连接无线热点密码的方法,解决 “自动连接热点后忘记密码” 的问题。

  2. 实验要求

    1. 先在一台电脑上进入路由器配置页面,设置好无线热点密码(若认证类型为 WPA2-PSK/WPA3-SAE 无法成功,可改为 WPA-PSK/WPA2-PSK);
    2. 用大组内任意电脑成功连接该热点后,采用至少两种方法查询存储在本机的热点密码。

  3. 方法提示

    • 通过 Windows 无线网络属性查询;
    • 执行 netsh 命令查询;
    • 使用 WirelessKeyView 等专用小工具查询(工具路径:桌面→无线网络应用→实用网络小工具软件)。

  4. 实验说明

    该实验为较高要求,完成后需交由老师检查,可不在当次实验课完成,可延后操作。