网络安全实验教程（第2版）课件 电子 第10、11章 防火墙、网络安全监控

第十章防火墙建议学时：4假消息攻击目录content网络防火墙配置实验2个人防火墙配置实验131个人防火墙配置实验实验原理个人防火墙位于计算机与其所连接的网络之间，主要用于拦截或阻断所有对主机构成威胁的操作。是运行于主机操作系统内核的软件，根据安全策略制定的规则对主机所有的网络信息进行监控和审查，包括拦截不安全的上网程序，封堵不安全的共享资源及端口，防范常见的网络攻击等，以保护主机不受外界的非法访问和攻击，其主要采用的是包过滤技术。实验目的个人防火墙配置实验通过配置Windows10系统提供的系统防火墙，实现多种安全策略，对主机所有的网络信息进行监控和审查，可以使读者深入了解个人防火墙的主要功能和配置方法。41.1实验设计实验环境为一台与互联网相连的Windows10虚拟机实验方法实验环境利用个人防火墙防范不安全程序及端口；利用个人防火墙配置连接安全规则；利用命令行工具netsh配置防火墙。Windows防火墙netsh：netsh（networkshell）是Windows系统提供的功能强大的网络配置命令行工具，可以实现对Windows防火墙的配置实验工具51.2实验步骤查看个人防火墙的默认规则添加出入站规则防范不安全的程序使用netsh配置防火墙查看防火墙防火墙的开启与关闭端口的开启与关闭出入站规则配置0102030461.3问题讨论1、在10.4节的实验中，若对常见的网络功能进行限制该如何设置，如对FTP、远程控制、QQ服务等网络功能进行限制。72网络防火墙配置实验实验原理网络防火墙位于内部网络与外部网络之间，主要用于拦截或阻断所有对内部网络构成威胁的操作。网络防火墙的硬件和软件都单独进行设计，由专用网络芯片处理数据包，并且采用专用操作系统平台，具有很高的效率，技术上集包过滤技术和应用网关技术于一身。实验目的掌握网络防火墙的主要功能和配置方法，理解包过滤技术和代理技术原理的目的。82.1实验设计Iptables：Linux平台下的包过滤防火墙实验方法实验工具通过iptables对防火墙进行配置，实现如下功能：允许外网访问内部网站，不允许外网访问内网其它主机；禁止外网对内部网络的扫描；将防火墙配置为内部网站的NAT代理，以实现NAT转换实验环境利用Ubuntu系统虚拟主机模拟网络防火墙利用iptables对防火墙进行配置利用四台虚拟主机构建内、外网络，分别为内网Web服务器，内网FTP服务器，内网主机和外网主机2.1实验设计102.2实验步骤Ubuntu系统配置路由转发功能开启iptables服务，进行规则配置包过滤规则配置验证，外网主机只能访问内部Web站点提供的HTTP服务，而不能访问内网主机及其他服务配置防火墙NAT转换功能NAT转换功能实验验证0102030405112.3问题讨论1、在10.5节实验中，常见的情形是允许外部主机对Web服务器进行网络诊断（ping）和HTTP服务访问，而禁止外部主机对内网的其他访问，请进行规则设置并检验效果。2、如果在规则设置中有两条规则是相互矛盾的，比如前一条是禁止通过某个端口，后一条是打开这个端口，请问这会出现什么情况？请给出实验证明。附录工具资源netsh：Windows自带iptables：Linux自带第十一章网络安全监控建议学时：4假消息攻击目录contentSnort入侵检测系统配置与使用实验2网络流量捕获与分析实验1Honeyd蜜罐配置与使用实验3151网络流量捕获与分析实验实验原理网络安全监控的可靠性和准确性很大程度上依赖于所收集数据的可靠性和完备性。攻击者的行为与正常用户的行为之间总是存在着某种差异，高效、全面地收集能够准确反映这种差异的数据是区分攻击行为与正常行为的重要前提。实验目的理解不同种类扫描报文格式及SYN洪泛攻击原理，掌握根据数据包内容判断网络攻击类型的方法。161.1实验设计Wireshark：本实验使用Windows平台下的版本Wireshark3.4.9。WinPcap：在Windows10系统中和Wireshark3.4.9配合使用WinPcap_4_1_3版本Nmap：本实验使用Kali2021.2系统中默认安装的Nmap7.91版本Hping3：命令行下的TCP/IP数据包生成和解析工具。除了扫描的功能，它还可以进行ICMP洪泛、UDP洪泛、TCPSYN洪泛等一系列DoS攻击。Kali2021.2系统中默认安装hping3版本实验方法实验工具使用Wireshark数据包捕获与分析工具对Nmap扫描报文以及TCPSYN洪泛攻击报文进行捕获与分析。实验环境虚拟机1为被靶机，其操作系统为Windows10，64位。虚拟机2为攻击主机，其操作系统为Kali2021.2，64位。1.1实验设计181.2实验步骤环境准备，安装Wireshark并进行设置Nmap扫描报文的捕获与解析NmapARP扫描报文NmapICMP扫描报文NmapTCPConnect/SYN端口扫描报文NmapXMAS扫描报文TCPSYN洪泛攻击报文捕获与解析010203192Snort入侵检测系统配置与使用实验实验原理Snort是一个开放源码的网络入侵检测系统，可以对网络流量进行实时分析，并能够检测出多种类型的入侵和探测行为，如隐秘扫描、操作系统指纹探测、SMB扫描等。Snort规则是入侵检测系统的重要组成部分，其规则集是Snort的攻击特征库，每条规则都对应一条攻击特征，Snort通过它来识别攻击行为。每一条Snort规则包括规则头部和规则选项两个部分。规则头包含规则的动作，协议，源和目标IP地址与网络掩码，以及源和目标端口信息；规则选项部分包含报警消息内容和要检查的包的具体部分。实验目的通过Snort入侵检测系统实现主机的入侵检测，掌握Snort入侵检测系统的工作原理和规则设置方法。202.1实验设计Snort：Snort是一个开放源码的网络入侵检测系统，可以对网络流量进行实时分析，并能够检测出多种类型的入侵和探测行为Npcap1.55：WinPcap优化版Nmap7.91实验方法实验工具同11.3节网络流量捕获与分析实验环境实验环境搭建基于Snort入侵检测系统的入侵检测环境，针对性配置规则，进而发现攻击行为212.2实验步骤环境准备，安装Npcap软件安装与配置Snort入侵检测系统Snort网络嗅探模式Snort日志记录模式Snort入侵检测模式查看Snort报警信息010203040506222.3问题讨论1、分析Nmap工具进行操作系统指纹识别时所发探测数据包的特征，如何设置Snort入侵检测系统的相应规则进行识别？2、怎样使用Snort入侵检测系统对SQL注入数据包进行监测和报警？3、怎样结合数据库，通过入侵检测数据库分析控制台（ACID或BASE）进行网络报文的统计？233Honeyd蜜罐配置与使用实验实验原理Honeyd是一款针对类UNIX系统设计的低交互开源蜜罐，用于对可疑活动进行检测、捕获和预警。Honeyd能在网络层次上模拟大量蜜罐，可用于模拟多个IP地址的情况。当攻击者企图访问时，Honeyd就会接收到连接请求，并以目标系统的身份，对攻击者进行回复。实验目的安装配置Honeyd蜜罐，深入了解Honeyd蜜罐的安全配置方法和主要功能。243.1实验设计Honeyd：本实验使用免安装的压缩包Honeyd_kit-1.0c-a进行配置，其中包括ARPd工具实验方法实验工具使用Honeyd蜜罐实现对WindowsXP操作系统的模拟和对Web服务的模拟实验环境虚拟机1为测试机，其操作系统为Windows10，64位。虚拟机2为宿主机，其操作系统为Kali2021.2，64位。3.1实验设计263.2实验步骤安装、配置Honeyd蜜罐，虚拟出Windows单个主机配置ARPd和Honeyd的启动模式启动ARPd和Honeyd验证Honeyd主机的连通性在测试机Windows10中ping蜜罐虚拟出的主机，测试Honeyd主机是否可达在测试机Windows10中打开浏览器，访问Honeyd模拟的Web服务01020304273.3问题讨论1、利用Honeyd模拟多网段的虚拟路由拓扑结构，请写出你的设计方案、脚本，并给出实验结果。2、利用Honeyd研究Nmap操作系统指纹探测产生的网络数据包及特征，并提供分析报告。3、分析Honeyd源码结构，并编译生成Windows系统下可运行的程序。附录工具资源Wireshark3.4.9：/download.htmlWinPcap_4_1_3：/pcsoft/wangluo/4313.htmlNmap