網(wǎng)絡攻防技術(shù).doc

初步探究網(wǎng)絡攻防技術(shù)設(shè)計方案書組員:XXX,XXX,XXX摘要隨著計算機互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡安全已經(jīng)成為其重要組成部分之一，也是當今信息化時代的一個重要話題。針對硬件系統(tǒng)、網(wǎng)絡協(xié)議及數(shù)據(jù)庫等，不論是其本身的設(shè)計缺陷，還是人為的因素而產(chǎn)生的各種安全漏洞，都有可能被一些另有所圖的黑客利用而發(fā)起一系列的攻擊，因此建立一個有效的網(wǎng)絡安全防范體系迫在眉睫。本文分析了網(wǎng)絡攻擊的一些步驟、方法及常用攻擊工具等，并著重從這些方面來詳細的介紹一些網(wǎng)絡攻擊與防御的方法，讓讀者了解黑客攻擊的過程，在對待網(wǎng)絡威脅時做好充足的準備，從而確保網(wǎng)絡運行的安全和可靠。關(guān)鍵詞： 網(wǎng)絡安全 網(wǎng)絡攻防 加密技術(shù) 釣魚網(wǎng)站 DNS欺騙 cookies攻擊 SQL注入式攻擊 端口漏洞掃描AbstractWith the development of the Computer Internet technology, Network Security not only has become one of the important part of it, but also is an important topic in todays information age. Aiming at the hardware system, network protocol and database and so on, whether the design of its defects, or numbers of Network security vulnerability caused by human factor, they may be some other graph used by the hacker and launched a series of attacks. So establishing an effective network security system is imminent. In this paper, an analysis of network attack steps, ways and normal attack tools and so on, and focusing on these aspects to introduce some methods of the network attack and defense, to let the readers understand the process of hacker attack, to adequate preparation to do a good job in dealing with network threats to ensure safe and reliable network operation. Keywords: Networksecurity Network attack and defense Fishing Encrpytion tachniques Phishingsite Dns spoof Cookies attack SQLinjectionattack Port scanning loopholes目錄一、需求分析5（一）網(wǎng)絡安全風險分析51物理安全風險分析52網(wǎng)絡平臺安全風險分析53系統(tǒng)安全風險分析64應用安全風險分析65管理安全風險分析66黑客攻擊77通用網(wǎng)關(guān)接口（CGI）漏洞78惡意代碼79病毒攻擊710不滿的內(nèi)部員工811網(wǎng)絡的攻擊手段8（二）風險分析與攻防實驗81攻防實驗與信息安全風險分析82攻防實驗的目標和任務8（三）網(wǎng)絡攻防數(shù)據(jù)流圖(DFD)91.明文密碼獲?。?2.釣魚網(wǎng)站：93.DNS欺騙10二、總體設(shè)計10三、詳細設(shè)計111.網(wǎng)絡初級攻擊111.1 對于明文密碼的攻擊111.2 對于密文密碼的攻擊122.網(wǎng)絡中級攻擊152.1 釣魚網(wǎng)站152.2 DNS欺騙183.網(wǎng)絡高級攻擊193.1 攻擊cookies，監(jiān)控用戶193.2 web網(wǎng)站注入式攻擊224.網(wǎng)絡防御244.1端口漏洞掃描244.2 局域網(wǎng)網(wǎng)絡防御244.3 pc機防御28參考文獻30一、需求分析（一）網(wǎng)絡安全風險分析隨著Internet網(wǎng)絡急劇擴大和上網(wǎng)用戶迅速增加，風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對Internet安全政策的認識不足，這些風險正日益嚴重。針對局域網(wǎng)中存在的安全隱患，在進行安全方案設(shè)計時，下述安全風險我們必須要認真考慮，并且要針對面臨的風險，采取相應的安全措施。下述風險由多種因素引起，與局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應用、局域網(wǎng)內(nèi)網(wǎng)絡服務器的可靠性等因素密切相關(guān)。下面列出部分這類風險因素：1.網(wǎng)絡物理是否安全；2.網(wǎng)絡平臺是否安全；3.系統(tǒng)是否安全；4.應用是否安全；5.管理是否安全。針對每一類安全風險，結(jié)合實際情況，我們將具體的分析網(wǎng)絡的實際安全風險。1物理安全風險分析網(wǎng)絡的物理安全的風險是多種多樣的。網(wǎng)絡的物理安全主要是指地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機房環(huán)境及報警系統(tǒng)、安全意識等。它是整個網(wǎng)絡系統(tǒng)安全的前提，在該公司區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡設(shè)備和機房的管理，這些風險是可以避免的。2網(wǎng)絡平臺安全風險分析公開服務器面臨的威脅：局域網(wǎng)內(nèi)公開服務器區(qū)（WWW、EMAIL等服務器）作為信息發(fā)布平臺，一旦不能運行后者受到攻擊，影響巨大。同時公開服務器本身要為外界服務，必須開放相應的服務；每天，黑客都在試圖闖入Internet節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他站點的跳板。因此，規(guī)模比較大網(wǎng)絡的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開服務器、內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔離，避免網(wǎng)絡結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。整個網(wǎng)絡結(jié)構(gòu)和路由狀況：安全的應用往往是建立在網(wǎng)絡系統(tǒng)之上的。網(wǎng)絡系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。對于只使用了一臺路由器，用作與Internet連結(jié)的邊界路由器，網(wǎng)絡結(jié)構(gòu)相對簡單的網(wǎng)絡，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡路由造成的安全風險。3系統(tǒng)安全風險分析所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡操作系統(tǒng)、網(wǎng)絡硬件平臺是否可靠且值得信任。網(wǎng)絡操作系統(tǒng)、網(wǎng)絡硬件平臺的可靠性：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的WindowsNT或者其他任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。我們可以這樣講：沒有完全安全的操作系統(tǒng)。但是，我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。4應用安全風險分析應用系統(tǒng)的安全跟具體的應用有關(guān)，它涉及很多方面。應用系統(tǒng)的安全動態(tài)的、不斷變化的：應用的安全涉及面很廣，以目前Internet上應用最為廣泛的E-mail系統(tǒng)來說，其解決方案有幾十種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導致的BUG是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測試軟件是相當必須的。但是應用系統(tǒng)是不斷發(fā)展且應用類型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應用系統(tǒng)的安全也是一個隨網(wǎng)絡發(fā)展不斷完善的過程。應用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于該公司局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進行保密的（比如領(lǐng)導子網(wǎng)、財務系統(tǒng)傳遞的重要信息）可以考慮在應用級進行加密，針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。5管理安全風險分析管理是網(wǎng)絡安全中最重要的部分：管理是網(wǎng)絡中安全最最重要的部分。責權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡安全機制，必須深刻理解網(wǎng)絡并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。6黑客攻擊黑客們的攻擊行動是無時無刻不在進行的，而且會利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服務器存在漏洞的一個典型例證，是黑客可以輕易地騙過公開服務器軟件，得到Unix的口令文件并將之送回。黑客侵入UNIX服務器后，有可能修改特權(quán)，從普通用戶變?yōu)楦呒売脩?，一旦成功，黑客可以直接進入口令文件。黑客還能開發(fā)欺騙程序，將其裝入UNIX服務器中，用以監(jiān)聽登錄會話。當它發(fā)現(xiàn)有用戶登錄時，便開始存儲一個文件，這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客，需要設(shè)置公開服務器，使得它不離開自己的空間而進入另外的目錄。另外，還應設(shè)置組特權(quán)，不允許任何使用公開服務器的人訪問WWW頁面文件以外的東西。在局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁面保護技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來保護網(wǎng)絡內(nèi)的信息資源，防止黑客攻擊。7通用網(wǎng)關(guān)接口（CGI）漏洞有一類風險涉及通用網(wǎng)關(guān)接口（CGI）腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的。黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務。通常，這些CGI腳本只能在這些所指WWW服務器中尋找，但如果進行一些修改，他們就可以在WWW服務器之外進行尋找。要防止這類問題發(fā)生，應將這些CGI腳本設(shè)置為較低級用戶特權(quán)。提高系統(tǒng)的抗破壞能力，提高服務器備份與恢復能力，提高站點內(nèi)容的防篡改與自動修復能力。8惡意代碼惡意代碼不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經(jīng)同意的軟件。應該加強對惡意代碼的檢測。9病毒攻擊計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數(shù)已達上萬甚至更多。當然，查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執(zhí)行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統(tǒng)導致嚴重的破壞。典型的“CIH” 病毒(一種能夠破壞計算機系統(tǒng)硬件的惡性病毒)就是個可怕的例子。10不滿的內(nèi)部員工不滿的內(nèi)部員工可能在WWW站點上開些小玩笑，甚至破壞。不論如何，他們最熟悉服務器、小程序、腳本和系統(tǒng)的弱點。對于已經(jīng)離職的不滿員工，可以通過定期改變口令和刪除系統(tǒng)記錄以減少這類風險。但還有心懷不滿的在職員工，這些員工比已經(jīng)離開的員工能造成更大的損失，例如他們可以傳出至關(guān)重要的信息、泄露安全重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。11網(wǎng)絡的攻擊手段一般認為，目前對網(wǎng)絡的攻擊手段主要表現(xiàn)在：非授權(quán)訪問：沒有預先經(jīng)過同意，就使用網(wǎng)絡或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏：如黑客們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、賬號等重要信息。信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。（二）風險分析與攻防實驗1攻防實驗與信息安全風險分析根據(jù)國標(GBT209842007信息安全技術(shù)信息安全風險評估規(guī)范，信息安全風險評估被解釋為“依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的西悉尼的保密性、完整性和可用性等安全屙陸進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響”。風險分析是對信息系統(tǒng)的安全屬性進行分析，風險級別和評估范圍決定評估的方式和方法，而評估方式和方法決定評估的手段。攻防實驗技術(shù)是對風險分析工作的有效技術(shù)補充，是對系統(tǒng)保密性、完整性和可用性的系統(tǒng)評估分析手段，可降低安全事件發(fā)生的可能性，對修訂安全策略、加強調(diào)整預防、監(jiān)控和應急有著不可忽視的作用。2攻防實驗的目標和任務 在攻擊和防御的對抗中，攻擊方通常掌握著主動性，而防御方必須具備能夠和攻擊方相抗衡的智能。因此，攻防實驗通常需要達到的目標是發(fā)現(xiàn)系統(tǒng)的脆弱性，提高系統(tǒng)的防御能力和系統(tǒng)的入侵響應能力，盡可能有效排除系統(tǒng)的威脅。 攻防實驗的第一任務是掌握先進的入侵方法和手段，發(fā)現(xiàn)系統(tǒng)的潛在脆弱性，分析攻擊的規(guī)律及軌跡，為反向工程提供實踐依據(jù)。很多情況下，系統(tǒng)的入侵是由于管理員不知道黑客攻擊的入侵手段和系統(tǒng)的潛在脆弱性，不能夠快速反應。攻防實驗的第二任務是收集積累準確的數(shù)據(jù)資料，為安全策略分析和系統(tǒng)改進提供依據(jù)。在攻防實驗的過程中，要注意記錄和保留相關(guān)的原始資料，為下一階段的分析和總結(jié)提供良好的基礎(chǔ)。 （三）網(wǎng)絡攻防數(shù)據(jù)流圖(DFD)1.明文密碼獲?。?.釣魚網(wǎng)站：3.DNS欺騙二、總體設(shè)計通過對需求分析的滿足，我們最終選擇了最合適的總體設(shè)計方案。方案如圖：三、詳細設(shè)計1.網(wǎng)絡初級攻擊1.1 對于明文密碼的攻擊明文密碼的意思，就是保存密碼或網(wǎng)絡傳送密碼的時候，用的是可以看到的明文字符，而不是經(jīng)過加密后的密文。比如123456，abcd等等。相對的就是暗碼，比如abc代表123，如果告訴你abc而不告訴你解碼規(guī)則，你就不能翻譯出真正的密碼123實驗目的：掌握明文密碼算法的原理及用法。實驗原理：使用wireshark、sniffer等抓包軟件通過抓包破解操作步驟如下：1.打開wireshark，改好網(wǎng)卡信息，開始抓包。2.打開郵箱登錄器，并輸入登陸郵箱3. 登陸上郵箱，停止抓包4.對抓的包進行分析，結(jié)果如下：成功獲取到用戶的賬號和密碼(此方法適用于明文密碼)1.2 對于密文密碼的攻擊密文是指明文經(jīng)過轉(zhuǎn)換（加密）后的數(shù)據(jù)信息。實驗原理：暴力破解1.2.1 對于wep加密當在無線“基本設(shè)置”里面“安全認證類型”選擇“自動選擇”、“開放系統(tǒng)”、“共享密鑰”這三項的時，使用的就是WEP加密技術(shù)，“自動選擇”是無線路由器可以和客戶端自動協(xié)商成“開放系統(tǒng)”或者“共享密鑰”。使用的工具(CD linux),使用的網(wǎng)卡(3070系列)實驗目的：掌握wep密碼算法的原理及用法。實驗步驟如下：1.打開 CD linux單擊這個圖標,并選擇自己需要的網(wǎng)卡,單擊下一步2.選擇加密方式WEP,搜索信道選擇ALL,搜索時間根據(jù)實際情況自己選擇,如下圖我們選擇的是搜索時間為15S,在搜索到的使用wep的加密方式的無線網(wǎng),然后在客戶端信息中選擇一個有包的數(shù)據(jù),單擊下一步3.單擊start按鈕,就開始破解密碼了,(如果密碼過于復雜,就要下載一本好的字典,然后破解就只是時間上的問題了)4.這就是在本地計算機上的wep加密的密碼,單擊顯示字符,就可以看到開始我們在本地計算機上配置的WEP加密方式的密碼(如下圖所示)5.最后破解的密碼與本地計算機上的密碼一樣,說明WEP加密破解成功1.2.2 對于wap/wap2加密1、進入minidwep-gtk界面，選擇無線網(wǎng)卡、信道（一般用ALL）、加密方式，點擊掃描進入無線信號的搜索2、掃描結(jié)果，選擇一個無線網(wǎng)絡，單擊啟動抓包3、用自帶的字典進入破解（當不能用自帶的字典進入破解時則要將抓到的包拷貝的文件拷到windows下用一個暴力破解工具進行破解，在這將用EWPS進行破解）4、在windows狀態(tài)下打開ewsa并導入字典5、點擊“開始攻擊”，等待密碼破解直到密碼破解成功。2.網(wǎng)絡中級攻擊2.1 釣魚網(wǎng)站操作步驟如下：通過制作的一個網(wǎng)站,然后用iis發(fā)布在局域網(wǎng)內(nèi),用戶輸入的賬號和密碼就會保存在我們的數(shù)據(jù)庫中(我們用的是A來制作網(wǎng)站)(使用的軟件Microsoft Visual Studio 2012)(使用的數(shù)據(jù)庫SQL Server 2008)采用表格嵌套1.首頁效果圖2.后臺代碼數(shù)據(jù)庫部分代碼命令：2.2 DNS欺騙DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為。如果可以冒充域名服務器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙其實并不是真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。操作步驟如下：1.在KaliLinux下打開編輯器2.添加dns（ 03）3.進行dns欺騙4.如圖，欺騙成功5.如圖所示開啟apache服務6.進去apache 網(wǎng)頁根目錄，把主頁改成你想要的網(wǎng)站重啟服務7. 完成DNS欺騙,網(wǎng)頁效果如圖(以mail.qq為例)3.網(wǎng)絡高級攻擊3.1 攻擊cookies，監(jiān)控用戶Cookie是從客戶端的硬盤讀取數(shù)據(jù)的一種技術(shù)，用于為用戶提供更加精準和有針對性的廣告以及其他服務。盡管廣告商以及互聯(lián)網(wǎng)公司一直強調(diào)cookie安全無害，僅是NSA正利用cookie監(jiān)視用戶的消息無疑使人們對cookie的安全性倍感擔憂。實驗步驟如下：1.在KaliLinux中輸入命令vi/etc/ettercap/etter.conf進入etter的vi編輯器2.首先第一步是將把ec-uid和ec-gid的值改為0。3.然后把iptables前的#號去掉 開啟端口轉(zhuǎn)發(fā)4.打開ettercap圖形化界面：Applications Kali Linux Sniffing/Spoofing network Sniffers ettercap-graphical5.進入ettercap圖形化界面6.然后圖所示選擇Snff Unified Snffing 打開網(wǎng)卡選擇窗口7.根據(jù)自己的網(wǎng)卡設(shè)置進行選擇8.點擊菜單Hosts Scan for hosts開始嗅探局域網(wǎng)的主機9.點擊Hosts Hosts list列出主機列表。然后把你要攻擊的主機添加到 target1 、網(wǎng)關(guān)添加到target210.選擇Mitm Arp poisoning, 點擊OK進行arp投毒11.如圖所示點擊Start Start Sniffing開始嗅探，并查看要被攻擊主機的連接狀態(tài)12.打開一個主機我們可以看到它的會話狀態(tài)并且可以查看主機的cookie信息13.打開終端，用圖中命令監(jiān)聽網(wǎng)卡可以查看被攻擊主機真在瀏覽的圖片3.2 web網(wǎng)站注入式攻擊所謂web注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務器執(zhí)行惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造（或者影響）動態(tài)SQL命令，或作為存儲過程的輸入?yún)?shù)，這類表單特別容易受到SQL注入式攻擊。實驗目的：演示通過在登錄界面輸入精心構(gòu)造的提交內(nèi)容，從而繞過有缺陷的數(shù)據(jù)庫權(quán)限檢查，以管理員身份登錄系統(tǒng)實驗步驟如下：1.用翻墻瀏覽器（暢游無線瀏覽器）在谷歌搜索有注入點的網(wǎng)站2.輸入如圖所示的命令查詢網(wǎng)站用的數(shù)據(jù)庫 -u url-current-db 常用數(shù)據(jù)庫3.返回服務器信息4.查看表5.返回結(jié)果6.查看表的字段7.返回字段8.查看數(shù)據(jù)9.返回數(shù)據(jù)（管理員密碼是32位加密的）4.網(wǎng)絡防御4.1端口漏洞掃描端口漏洞掃描，出分析報告4.2 局域網(wǎng)網(wǎng)絡防御局域網(wǎng)防護，主要是針對arp攻擊！防護來自局域網(wǎng)的攻擊并通過防火墻技術(shù)來控制訪問進出流量等等。4.2.1 綁定ip、mac地址Switch#config terminal 進入配置模式 Switch(config)# Interface fastethernet 0/1 進入具體端口配置模式 Switch(config-if)#Switchport port-secruity 配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主機的MAC地址) 配置該端口要綁定的主機的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主機的MAC地址) 刪除綁定主機的MAC地址 4.2.2 vpn技術(shù)VPN 即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng) 實驗目的： 1. 通過實驗加深對VPN的了解與認識 2. 學習搭建VPN連接實驗步驟如下：R1配置：R2配置：R3配置：測試：從 ping 4.2.3 防火墻技術(shù)“防火墻”是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( scurity gateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。所謂防火墻就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。實驗目的：在被保護網(wǎng)絡和外部網(wǎng)絡之間建立一道屏障，通過相應的控制訪問策略控制進出網(wǎng)絡的訪問行為。實驗步驟如下：1.Vlan劃分： 開啟vlan并設(shè)置安全級別： ciscoasa(config)#int vlan 1 ciscoasa(config)#nameif inside ciscoasa(config-if)#security-level 100 ciscoasa(config)#int vlan 2 ciscoasa(config)#nameif outside ciscoasa(config-if)#security-level 0 ciscoasa(config)#int vlan 3 ciscoasa(config)#no forward int vlan 2 ciscoasa(config)#nameif DMZ ciscoasa(config-if)#security-level 502.Show switch vlan：3.配置Http.telnet和ssh管理： ciscoasa#username cisco password ciscoasa encrypted privilege 15 ciscoasa#aaa authentication enable console LOCAL ciscoasa#aaa authentication telnet console LOCAL ciscoasa#aaa authentication http console LOCAL ciscoasa#aaa authentication ssh console LOCAL ciscoasa#aaa autoentication command LOCAL ciscoasa#http server enable ciscoasa#http inside ciscoasa#telnet inside ciscoasa#ssh inside ciscoasa#crypto key generate rsa(打開SSH服務)4.FTP設(shè)置： ciscoasa(config)#ftp mode passive FTP被動模式 域名 ciscoasa(config)#domain-name C http服務 ciscoasa(config)#http server enable ciscoasa(config)#ht