網(wǎng)絡(luò)安全實驗教程（第2版）課件 電子 第10、11章 防火墻、網(wǎng)絡(luò)安全監(jiān)控

第十章防火墻建議學(xué)時：4假消息攻擊目錄content網(wǎng)絡(luò)防火墻配置實驗2個人防火墻配置實驗131個人防火墻配置實驗實驗原理個人防火墻位于計算機與其所連接的網(wǎng)絡(luò)之間，主要用于攔截或阻斷所有對主機構(gòu)成威脅的操作。是運行于主機操作系統(tǒng)內(nèi)核的軟件，根據(jù)安全策略制定的規(guī)則對主機所有的網(wǎng)絡(luò)信息進行監(jiān)控和審查，包括攔截不安全的上網(wǎng)程序，封堵不安全的共享資源及端口，防范常見的網(wǎng)絡(luò)攻擊等，以保護主機不受外界的非法訪問和攻擊，其主要采用的是包過濾技術(shù)。實驗?zāi)康膫€人防火墻配置實驗通過配置Windows10系統(tǒng)提供的系統(tǒng)防火墻，實現(xiàn)多種安全策略，對主機所有的網(wǎng)絡(luò)信息進行監(jiān)控和審查，可以使讀者深入了解個人防火墻的主要功能和配置方法。41.1實驗設(shè)計實驗環(huán)境為一臺與互聯(lián)網(wǎng)相連的Windows10虛擬機實驗方法實驗環(huán)境利用個人防火墻防范不安全程序及端口；利用個人防火墻配置連接安全規(guī)則；利用命令行工具netsh配置防火墻。Windows防火墻netsh：netsh（networkshell）是Windows系統(tǒng)提供的功能強大的網(wǎng)絡(luò)配置命令行工具，可以實現(xiàn)對Windows防火墻的配置實驗工具51.2實驗步驟查看個人防火墻的默認規(guī)則添加出入站規(guī)則防范不安全的程序使用netsh配置防火墻查看防火墻防火墻的開啟與關(guān)閉端口的開啟與關(guān)閉出入站規(guī)則配置0102030461.3問題討論1、在10.4節(jié)的實驗中，若對常見的網(wǎng)絡(luò)功能進行限制該如何設(shè)置，如對FTP、遠程控制、QQ服務(wù)等網(wǎng)絡(luò)功能進行限制。72網(wǎng)絡(luò)防火墻配置實驗實驗原理網(wǎng)絡(luò)防火墻位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，主要用于攔截或阻斷所有對內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的操作。網(wǎng)絡(luò)防火墻的硬件和軟件都單獨進行設(shè)計，由專用網(wǎng)絡(luò)芯片處理數(shù)據(jù)包，并且采用專用操作系統(tǒng)平臺，具有很高的效率，技術(shù)上集包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)于一身。實驗?zāi)康恼莆站W(wǎng)絡(luò)防火墻的主要功能和配置方法，理解包過濾技術(shù)和代理技術(shù)原理的目的。82.1實驗設(shè)計Iptables：Linux平臺下的包過濾防火墻實驗方法實驗工具通過iptables對防火墻進行配置，實現(xiàn)如下功能：允許外網(wǎng)訪問內(nèi)部網(wǎng)站，不允許外網(wǎng)訪問內(nèi)網(wǎng)其它主機；禁止外網(wǎng)對內(nèi)部網(wǎng)絡(luò)的掃描；將防火墻配置為內(nèi)部網(wǎng)站的NAT代理，以實現(xiàn)NAT轉(zhuǎn)換實驗環(huán)境利用Ubuntu系統(tǒng)虛擬主機模擬網(wǎng)絡(luò)防火墻利用iptables對防火墻進行配置利用四臺虛擬主機構(gòu)建內(nèi)、外網(wǎng)絡(luò)，分別為內(nèi)網(wǎng)Web服務(wù)器，內(nèi)網(wǎng)FTP服務(wù)器，內(nèi)網(wǎng)主機和外網(wǎng)主機2.1實驗設(shè)計102.2實驗步驟Ubuntu系統(tǒng)配置路由轉(zhuǎn)發(fā)功能開啟iptables服務(wù)，進行規(guī)則配置包過濾規(guī)則配置驗證，外網(wǎng)主機只能訪問內(nèi)部Web站點提供的HTTP服務(wù)，而不能訪問內(nèi)網(wǎng)主機及其他服務(wù)配置防火墻NAT轉(zhuǎn)換功能NAT轉(zhuǎn)換功能實驗驗證0102030405112.3問題討論1、在10.5節(jié)實驗中，常見的情形是允許外部主機對Web服務(wù)器進行網(wǎng)絡(luò)診斷（ping）和HTTP服務(wù)訪問，而禁止外部主機對內(nèi)網(wǎng)的其他訪問，請進行規(guī)則設(shè)置并檢驗效果。2、如果在規(guī)則設(shè)置中有兩條規(guī)則是相互矛盾的，比如前一條是禁止通過某個端口，后一條是打開這個端口，請問這會出現(xiàn)什么情況？請給出實驗證明。附錄工具資源netsh：Windows自帶iptables：Linux自帶第十一章網(wǎng)絡(luò)安全監(jiān)控建議學(xué)時：4假消息攻擊目錄contentSnort入侵檢測系統(tǒng)配置與使用實驗2網(wǎng)絡(luò)流量捕獲與分析實驗1Honeyd蜜罐配置與使用實驗3151網(wǎng)絡(luò)流量捕獲與分析實驗實驗原理網(wǎng)絡(luò)安全監(jiān)控的可靠性和準(zhǔn)確性很大程度上依賴于所收集數(shù)據(jù)的可靠性和完備性。攻擊者的行為與正常用戶的行為之間總是存在著某種差異，高效、全面地收集能夠準(zhǔn)確反映這種差異的數(shù)據(jù)是區(qū)分攻擊行為與正常行為的重要前提。實驗?zāi)康睦斫獠煌N類掃描報文格式及SYN洪泛攻擊原理，掌握根據(jù)數(shù)據(jù)包內(nèi)容判斷網(wǎng)絡(luò)攻擊類型的方法。161.1實驗設(shè)計Wireshark：本實驗使用Windows平臺下的版本W(wǎng)ireshark3.4.9。WinPcap：在Windows10系統(tǒng)中和Wireshark3.4.9配合使用WinPcap_4_1_3版本Nmap：本實驗使用Kali2021.2系統(tǒng)中默認安裝的Nmap7.91版本Hping3：命令行下的TCP/IP數(shù)據(jù)包生成和解析工具。除了掃描的功能，它還可以進行ICMP洪泛、UDP洪泛、TCPSYN洪泛等一系列DoS攻擊。Kali2021.2系統(tǒng)中默認安裝hping3版本實驗方法實驗工具使用Wireshark數(shù)據(jù)包捕獲與分析工具對Nmap掃描報文以及TCPSYN洪泛攻擊報文進行捕獲與分析。實驗環(huán)境虛擬機1為被靶機，其操作系統(tǒng)為Windows10，64位。虛擬機2為攻擊主機，其操作系統(tǒng)為Kali2021.2，64位。1.1實驗設(shè)計181.2實驗步驟環(huán)境準(zhǔn)備，安裝Wireshark并進行設(shè)置Nmap掃描報文的捕獲與解析NmapARP掃描報文NmapICMP掃描報文NmapTCPConnect/SYN端口掃描報文NmapXMAS掃描報文TCPSYN洪泛攻擊報文捕獲與解析010203192Snort入侵檢測系統(tǒng)配置與使用實驗實驗原理Snort是一個開放源碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以對網(wǎng)絡(luò)流量進行實時分析，并能夠檢測出多種類型的入侵和探測行為，如隱秘掃描、操作系統(tǒng)指紋探測、SMB掃描等。Snort規(guī)則是入侵檢測系統(tǒng)的重要組成部分，其規(guī)則集是Snort的攻擊特征庫，每條規(guī)則都對應(yīng)一條攻擊特征，Snort通過它來識別攻擊行為。每一條Snort規(guī)則包括規(guī)則頭部和規(guī)則選項兩個部分。規(guī)則頭包含規(guī)則的動作，協(xié)議，源和目標(biāo)IP地址與網(wǎng)絡(luò)掩碼，以及源和目標(biāo)端口信息；規(guī)則選項部分包含報警消息內(nèi)容和要檢查的包的具體部分。實驗?zāi)康耐ㄟ^Snort入侵檢測系統(tǒng)實現(xiàn)主機的入侵檢測，掌握Snort入侵檢測系統(tǒng)的工作原理和規(guī)則設(shè)置方法。202.1實驗設(shè)計Snort：Snort是一個開放源碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以對網(wǎng)絡(luò)流量進行實時分析，并能夠檢測出多種類型的入侵和探測行為Npcap1.55：WinPcap優(yōu)化版Nmap7.91實驗方法實驗工具同11.3節(jié)網(wǎng)絡(luò)流量捕獲與分析實驗環(huán)境實驗環(huán)境搭建基于Snort入侵檢測系統(tǒng)的入侵檢測環(huán)境，針對性配置規(guī)則，進而發(fā)現(xiàn)攻擊行為212.2實驗步驟環(huán)境準(zhǔn)備，安裝Npcap軟件安裝與配置Snort入侵檢測系統(tǒng)Snort網(wǎng)絡(luò)嗅探模式Snort日志記錄模式Snort入侵檢測模式查看Snort報警信息010203040506222.3問題討論1、分析Nmap工具進行操作系統(tǒng)指紋識別時所發(fā)探測數(shù)據(jù)包的特征，如何設(shè)置Snort入侵檢測系統(tǒng)的相應(yīng)規(guī)則進行識別？2、怎樣使用Snort入侵檢測系統(tǒng)對SQL注入數(shù)據(jù)包進行監(jiān)測和報警？3、怎樣結(jié)合數(shù)據(jù)庫，通過入侵檢測數(shù)據(jù)庫分析控制臺（ACID或BASE）進行網(wǎng)絡(luò)報文的統(tǒng)計？233Honeyd蜜罐配置與使用實驗實驗原理Honeyd是一款針對類UNIX系統(tǒng)設(shè)計的低交互開源蜜罐，用于對可疑活動進行檢測、捕獲和預(yù)警。Honeyd能在網(wǎng)絡(luò)層次上模擬大量蜜罐，可用于模擬多個IP地址的情況。當(dāng)攻擊者企圖訪問時，Honeyd就會接收到連接請求，并以目標(biāo)系統(tǒng)的身份，對攻擊者進行回復(fù)。實驗?zāi)康陌惭b配置Honeyd蜜罐，深入了解Honeyd蜜罐的安全配置方法和主要功能。243.1實驗設(shè)計Honeyd：本實驗使用免安裝的壓縮包Honeyd_kit-1.0c-a進行配置，其中包括ARPd工具實驗方法實驗工具使用Honeyd蜜罐實現(xiàn)對WindowsXP操作系統(tǒng)的模擬和對Web服務(wù)的模擬實驗環(huán)境虛擬機1為測試機，其操作系統(tǒng)為Windows10，64位。虛擬機2為宿主機，其操作系統(tǒng)為Kali2021.2，64位。3.1實驗設(shè)計263.2實驗步驟安裝、配置Honeyd蜜罐，虛擬出Windows單個主機配置ARPd和Honeyd的啟動模式啟動ARPd和Honeyd驗證Honeyd主機的連通性在測試機Windows10中ping蜜罐虛擬出的主機，測試Honeyd主機是否可達在測試機Windows10中打開瀏覽器，訪問Honeyd模擬的Web服務(wù)01020304273.3問題討論1、利用Honeyd模擬多網(wǎng)段的虛擬路由拓撲結(jié)構(gòu)，請寫出你的設(shè)計方案、腳本，并給出實驗結(jié)果。2、利用Honeyd研究Nmap操作系統(tǒng)指紋探測產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包及特征，并提供分析報告。3、分析Honeyd源碼結(jié)構(gòu)，并編譯生成Windows系統(tǒng)下可運行的程序。附錄工具資源Wireshark3.4.9：/download.htmlWinPcap_4_1_3：/pcsoft/wangluo/4313.htmlNmap