计算机信息安全.docx

上传人:小飞机 文档编号:1960512 上传时间:2022-12-28 格式:DOCX 页数:17 大小:1.08MB
返回 下载 相关 举报
计算机信息安全.docx_第1页
第1页 / 共17页
计算机信息安全.docx_第2页
第2页 / 共17页
计算机信息安全.docx_第3页
第3页 / 共17页
计算机信息安全.docx_第4页
第4页 / 共17页
计算机信息安全.docx_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《计算机信息安全.docx》由会员分享,可在线阅读,更多相关《计算机信息安全.docx(17页珍藏版)》请在三一办公上搜索。

1、题 目:计算机信息安全专 业:计算机科学与技术班 级:063学 号:060501310姓 名:林茜(xi)指导老师:张红武2010年 1月 11日二、使用MAC ACL进行访问控制 【实验名称】使用MAC ACL进行访问控制【实验目的】使用基于MAC的ACL实现高级的访问控制【背景描述】某公司的一个简单的局域网中,通过使用一台交换机提供主机及服务器的接入,并且所有主机和服务器均属于同一个VLAN(VLAN 2)中。网络中有三台主机和一台财务服务器(Accounting Server)。现在需要实现访问控制,只允许财务部主机(172.16.1.1)访问财务服务器。【需求分析】基于MAC的ACL可

2、以根据配置的规则对网络中的数据进行过滤。【实验拓扑】 【实验设备】 交换机 1台PC机 4台【实验原理】 基于MAC的ACL可以对数据包的源MAC地址、目的MAC地址和以太网类型进行检查,可以说基于MAC的ACL是二层的ACL,而标准IP ACL和扩展IP ACL是三层和四层的ACL。由于标准IP ACL和扩展IP ACL是对数据包的IP地址信息进行检查,并且IP地址是逻辑地址,用户可以对其进行修改,所以很容易逃避ACL的检查。但基于MAC的ACL是对数据包的物理地址(MAC)进行检查,所有用户很难通过修改MAC地址逃避ACL的过滤。当应用了MAC ACL的接口接收或发送报文时,将根据接口配置

3、的ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。【实验步骤】第一步:交换机基本配置Switch#configure terminalSwitch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#interface range fastEthernet 0/1-3Switch(config-if-range)#switchport access vlan 2Switch(config-if-range)#exitSwitch(config)#interface fastEthern

4、et 0/12Switch(config-if)#switchport access vlan 2Switch(config-if)#exit第二步:配置MAC ACL由于本例中使用的交换机不支持出方向(out)的MAC ACL,因此需要将MAC ACL配置在接入主机的端口的入方向(in)。由于只允许财务部主机访问财务服务器,所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。Switch(config)#mac access-list extended deny_to_accsrvSwitch(config-mac-nacl)#deny any host 000d.000d.000d!

5、拒绝到达财务服务器的所有流量Switch(config-mac-nacl)#permit any any!允许其他所有流量Switch(config-mac-nacl)#exit第三步:应用ACL将MAC ACL应用到F0/2接口和F0/3接口的入方向,以限制非财务部主机访问财务服务器。Switch(config)#interface fastEthernet 0/2Switch(config-if)#mac access-group deny_to_accsrv inSwitch(config-if)#exitSwitch(config)#interface fastEthernet 0/3

6、Switch(config-if)#mac access-group deny_to_accsrv inSwitch(config-if)#end第四步:验证测试在财务部主机上ping财务服务器,可以ping通,但是在其他两台非财务部主机上ping财务服务器,无法ping通,说明其他两台主机到达财务服务器的流量被MAC ACL拒绝。【实验总结】通过实验学会使用基于MAC的ACL实现高级的访问并可以根据配置的规则对网络中的数据进行过滤。学会对MAC ACL的接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性

7、。十六、IIS服务漏洞攻击检测【实验名称】IIS服务漏洞攻击检测【实验目的】使用RG-IDS对IIS服务漏洞攻击进行检测【背景描述】某网络中使用Windows的IIS服务组件搭建了一个Web服务器。但是最近网络中发现经常有针对IIS的攻击发生。于是网络工程师部署了IDS系统以对各种攻击进行检测,以及对恶意扫描和探测行为进行审计。【需求分析】需求:IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行

8、某些Web根目录以外的文件。分析:RG-IDS能够实时地检测网络中针对IIS服的务攻击,并及时告警。【实验拓扑】 【实验设备】 PC 3台RG-IDS 1台直连线4条交换机 1台(支持多对一的端口镜像)攻击软件 IIS Cracker.exe(IIS攻击工具)【实验原理】 IIS(Internet Information Service)可以让有条件的用户轻易地建立一个本地化的网站服务器,同时提供HTTP访问、文件传输(FTP)服务以及邮件服务等。但是IIS服务漏洞或缺口层出不穷,黑客不仅仅可以利用其漏洞停滞计算机的对外网络服务,更可修改其中的主页内容,甚至利用其漏洞进入到计算机内部,删改主机

9、上的文件。以“扩展UNICODE目录遍历漏洞”为例,黑客就可以利用工具软件(如:IIS Cracker)进入到计算机内部。通过“IIS Cracker”入侵成功后,可以查看对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。本实验通过“IIS Cracker”工具攻击开放IIS服务的Web服务器,并获得权限。RG-IDS能及时准确地检测出该类攻击,并将警告上报控制台。【实验步骤】第一步:使用Windows的IIS组件搭建Web服务器第二步:策略编辑点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。新的策略中选择“www

10、2:iis:nimda_scan_alert”签名,并将策略下发到引擎。第二步:实施攻击双击文件,启动IIS攻击程序,如下图所示:配置攻击参数,将“当前连接”地址设置为172.16.5.125,其他项不需要修改,如下图所示:点击按钮,开始攻击。攻击完成后,可以在“远程目录资源管理器”中找到被攻击机的文件目录,如下图所示:点击,即可进入被攻击机器的系统目录,如下图所示:第四步:查看警报进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息,如下图:RG-IDS准确检测出“www2:iis:nimda_scan_alert”事件,事件详细信息如下图: 【实验总结】通过实验使用R

11、G-IDS对IIS服务漏洞攻击进行检测。学会通过“IIS Cracker”工具攻击开放IIS服务的Web服务器,并获得权限。RG-IDS能及时准确地检测出该类攻击,并将警告上报控制台。了解通过“IIS Cracker”入侵成功后,可以查看对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。二十二、配置客户端认证【实验名称】配置客户端认证【实验目的】使用防火墙的客户端认证功能增强访问控制的安全性【背景描述】某企业使用使用防火墙作为网络出口设备。公司内部使用私有编址方案,因此在防火墙上配置了NAT规则以使内部用户可以访问Internet。但是为了避免非授权的

12、用户使用公司带宽资源访问Internet,需要对客户端进行身份验证,只有通过身份验证的用户才能访问Internet。此外,管理员不需要进行身份验证。【需求分析】为了使非授权用户无法通过防火墙访问Internet,可以利用防火墙对客户端进行认证,只有通过身份验证的用户才能访问Internet。【实验拓扑】 【实验设备】 防火墙 1台PC 3台(其中一台模拟Internet的FTP服务器)Web服务器软件程序防火墙客户端认证程序【实验原理】 RG-WALL防火墙的访问控制功能可以对客户端的身份进行验证,只有客户端通过验证后,才允许通过安全策略访问网络资源。【实验步骤】第一步:配置防火墙接口的IP地

13、址进入防火墙的配置页面:网络配置接口IP,单击按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。为防火墙的WAN接口配置IP地址及子网掩码。第二步:配置管理员的NAT规则进入防火墙配置页面:安全策略安全规则,单击页面上方的按钮添加NAT规则。第三步:配置内部用户的NAT规则进入防火墙配置页面:安全策略安全规则,单击页面上方的按钮添加NAT规则。在内部用户的NAT规则中,需要选中“用户认证”选项,这样防火墙将对内部用户进行身份验证。配置完NAT规则后的规则列表。第四步:验证测试在管理员PC上访问外部的FTP服务器1.1.1.100,可以成功访问,因为管理员的NAT规则中没有要求

14、进行用户认证。在内部用户PC上访问外部的FTP服务器1.1.1.100,访问不成功!因为内部用户的NAT规则中要求进行用户认证。第五步:配置用户组进入防火墙配置页面:用户认证用户组,单击按钮添加用户组。用户组的认证协议使用“PAP”方式,并确认已选中“启用本组帐号”选项。在“安全策略表”中点击按钮,设置允许该组用户从哪些地址和什么时间进行登录,这里我们选择所有地址(any)和任何时间(无)。在“可使用服务列表”中点击按钮,设置允许该组用户访问哪些地址、服务和什么时间可以访问,这里我们选择所有地址(any)、所有服务(any)和任何时间(无)。第六步:配置用户进入防火墙配置页面:用户认证用户列表

15、,单击按钮添加用户。输入用户名和密码,将用户加入到之前创建的用户组中,并确认已选中“启用本帐号”选项。第七步:配置安全规则为了使客户端能够认证成功,需要添加一条安全规则,即允许内部用户到达防火墙的认证流量。进入防火墙配置页面:安全策略安全规则,单击按钮添加包过滤规则。规则中的源地址为192.168.1.0/24;目的地址为防火墙LAN接口的地址;服务选择“firewall_auth”,这是客户端认证流量使用的端口号;检查流入网口选择“LAN”接口。最后,需要将该规则的序号设置为1,否则客户端的流量将匹配第二条NAT规则后进行转换,导致客户端认证失败。配置完成后的规则列表。第八步:配置客户端认证

16、程序客户端认证程序在防火墙随机光盘的User Auth文件夹中,双击auth_client.exe文件启动该程序。在“设置”菜单中选择“服务器”选项配置认证服务器。服务器地址即为防火墙的地址,端口号使用默认的9998。在“功能”菜单中选择“连接”选项,输入在防火墙中创建的用户名和密码,点击按钮进行认证。软件提示认证成功。第九步:验证测试在内部用户PC上访问外部的FTP服务器1.1.1.100,此时可以成功访问,因为已经通过了身份认证。【实验总结】通过实验使用防火墙的客户端认证功能增强访问控制的安全性。为了使非授权用户无法通过防火墙访问Internet,可以利用防火墙对客户端进行认证,只有通过身

17、份验证的用户才能访问Internet。通过实验了解防火墙的NAT规则是按照顺序进行匹配的,如果数据流匹配到某条规则后,将不再进行后续规则的匹配。所以需要将管理员的NAT规则放置在内部用户的NAT规则前面,并且将用户认证的包过滤规则放置在内部用户的NAT规则前面。二十五、使用防火墙限制P2P流量【实验名称】使用防火墙限制P2P流量【实验目的】利用防火墙控制P2P流量,保护带宽资源【背景描述】某企业使用1M的广域网链路实现与Internet的互联。但是企业的网络管理员发现,最近从公司内部访问Internet的速度很慢,有时需要很长时间才能打开一个网页。网络管理员经过对问题的分析和定位,发现此问题是

18、由于一些员工使用BT等P2P软件进行大量的资源下载速导致。公司要求能够尽快解决该问题,防止过多的P2P流量占用宝贵的带宽资源,影响公司的正常业务。【需求分析】P2P软件不仅可以抢占带宽,而且可以以最大带宽进行数据的传输。用防火墙的P2P限制功能可以对P2P流量进行检测和控制,限制P2P流量所占用的带宽。【实验拓扑】 【实验设备】 防火墙连接Internet的链路防火墙 1台PC(安装BT客户端软件) 1台【实验原理】 P2P技术是一种具备客户端和服务器双重特性,可以同时作为服务使用者和服务提供者。由于P2P技术的飞速发展,现在Internet上70的流量都是P2P的流量。由于P2P技术在下载的

19、同时,也需要上传,导致个人用户的下行流量和上行流量都很大。P2P流量造成了网络的极度拥塞。RG-WALL防火墙对P2P软件采用深度检测的方法,可以精确的识别P2P流量,以达到对P2P流量进行控制的目的。【实验步骤】第一步:配置防火墙接口的地址配置FE1接口的地址。配置FE2接口的地址。第二步:配置NAT转换规则配置NAT规则,使内部用户可以访问Internet。第三步:验证测试验证客户端可以访问Internet,并且可以用BT下载Internet上的资源,记录下载带宽,例如400Kbps。第四步:配置带宽列表进入防火墙配置页面:对象定义带宽列表,可以看到系统已经预定义了一个名为p2p_band

20、的带宽列表。单击后面的编辑图标,可以看到预先定义的保证带宽为60Kbps,最大带宽为160Kbps。在本实验中我们设置保证带宽为60Kbps,最大带宽为80Kbps。第五步:配置P2P限制进入防火墙配置页面:安全策略P2P限制,在BT协议的下拉框中选择“允许使用且进行流量控制”,并在“流量控制”下拉框中选择之前定义的带宽列表p2p_band:第六步:配置规则应用P2P限制在之前配置的NAT规则中,在高级选项的深度行为检测中选中P2P限制复选框,以启用该规则的P2P检测和控制。第七步:验证测试在客户端上使用BT进行文件下载,可以看到下载速率在6080Kbps之间。【实验总结】通过实验利用防火墙控制P2P流量,保护带宽资源。通过实验了解P2P和带宽限制具有一定的偏移量,无法做到完全精确的速率限制。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号