计算机信息安全.docx

《计算机信息安全.docx》由会员分享，可在线阅读，更多相关《计算机信息安全.docx（18页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第18页 共18页题 目：计算机信息安全专 业：计算机科学与技术班 级：063学 号：060501310姓 名：林茜（xi）指导老师：张红武2010年 1月 11日二、使用MAC ACL进行访问控制 【实验名称】使用MAC ACL进行访问控制【实验目的】使用基于MAC的ACL实现高级的访问控制【背景描述】某公司的一个简单的局域网中，通过使用一台交换机提供主机及服务器的接入，并且所有主机和服务器均属于同一个VLAN（VLAN 2）中。网络中有三台主机和一台财务服务器（Accounting Server）。现在需要实现访问控制，只允

2、许财务部主机（172.16.1.1）访问财务服务器。【需求分析】基于MAC的ACL可以根据配置的规则对网络中的数据进行过滤。【实验拓扑】 【实验设备】 交换机 1台PC机 4台【实验原理】 基于MAC的ACL可以对数据包的源MAC地址、目的MAC地址和以太网类型进行检查，可以说基于MAC的ACL是二层的ACL，而标准IP ACL和扩展IP ACL是三层和四层的ACL。由于标准IP ACL和扩展IP ACL是对数据包的IP地址信息进行检查，并且IP地址是逻辑地址，用户可以对其进行修改，所以很容易逃避ACL的检查。但基于MAC的ACL是对数据包的物理地址（MAC）进行检查，所有用户很难通过修改MA

3、C地址逃避ACL的过滤。当应用了MAC ACL的接口接收或发送报文时，将根据接口配置的ACL规则对数据进行检查，并采取相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。【实验步骤】第一步：交换机基本配置Switch#configure terminalSwitch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#interface range fastEthernet 0/1-3Switch(config-if-range)#switchport access vlan 2Switch(config-if-rang

4、e)#exitSwitch(config)#interface fastEthernet 0/12Switch(config-if)#switchport access vlan 2Switch(config-if)#exit第二步：配置MAC ACL由于本例中使用的交换机不支持出方向（out）的MAC ACL，因此需要将MAC ACL配置在接入主机的端口的入方向（in）。由于只允许财务部主机访问财务服务器，所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。Switch(config)#mac access-list extended deny_to_accsrvSwitch(conf

5、ig-mac-nacl)#deny any host 000d.000d.000d！拒绝到达财务服务器的所有流量Switch(config-mac-nacl)#permit any any！允许其他所有流量Switch(config-mac-nacl)#exit第三步：应用ACL将MAC ACL应用到F0/2接口和F0/3接口的入方向，以限制非财务部主机访问财务服务器。Switch(config)#interface fastEthernet 0/2Switch(config-if)#mac access-group deny_to_accsrv inSwitch(config-if)#exi

6、tSwitch(config)#interface fastEthernet 0/3Switch(config-if)#mac access-group deny_to_accsrv inSwitch(config-if)#end第四步：验证测试在财务部主机上ping财务服务器，可以ping通，但是在其他两台非财务部主机上ping财务服务器，无法ping通，说明其他两台主机到达财务服务器的流量被MAC ACL拒绝。【实验总结】通过实验学会使用基于MAC的ACL实现高级的访问并可以根据配置的规则对网络中的数据进行过滤。学会对MAC ACL的接口接收或发送报文时，将根据接口配置的ACL规则对数据进

7、行检查，并采取相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。十六、IIS服务漏洞攻击检测【实验名称】IIS服务漏洞攻击检测【实验目的】使用RG-IDS对IIS服务漏洞攻击进行检测【背景描述】某网络中使用Windows的IIS服务组件搭建了一个Web服务器。但是最近网络中发现经常有针对IIS的攻击发生。于是网络工程师部署了IDS系统以对各种攻击进行检测，以及对恶意扫描和探测行为进行审计。【需求分析】需求：IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicod

8、e字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些Web根目录以外的文件。分析：RG-IDS能够实时地检测网络中针对IIS服的务攻击，并及时告警。【实验拓扑】 【实验设备】 PC 3台RG-IDS 1台直连线4条交换机 1台（支持多对一的端口镜像）攻击软件 IIS Cracker.exe（IIS攻击工具）【实验原理】 IIS（Internet Information Service）可以让有条件的用户轻易地建立一个本地化的网站服务器，同时提供HTTP访问、文件传输（FTP）服务以及邮件服务等。但是IIS服务漏洞或缺口层出不穷，黑客不仅仅可以利用其漏洞停滞计

9、算机的对外网络服务，更可修改其中的主页内容，甚至利用其漏洞进入到计算机内部，删改主机上的文件。以“扩展UNICODE目录遍历漏洞”为例，黑客就可以利用工具软件（如：IIS Cracker）进入到计算机内部。通过“IIS Cracker”入侵成功后，可以查看对方主机上的文件，通过远程控制入侵，黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。本实验通过“IIS Cracker”工具攻击开放IIS服务的Web服务器，并获得权限。RG-IDS能及时准确地检测出该类攻击，并将警告上报控制台。【实验步骤】第一步：使用Windows的IIS组件搭建Web服务器第二步：策略编辑点击主界面上的“策略”按

10、钮，切换到策略编辑器界面，从现有的策略模板中生成一个新的策略。新的策略中选择“www2:iis:nimda_scan_alert”签名，并将策略下发到引擎。第二步：实施攻击双击文件，启动IIS攻击程序，如下图所示：配置攻击参数，将“当前连接”地址设置为172.16.5.125，其他项不需要修改，如下图所示：点击按钮，开始攻击。攻击完成后，可以在“远程目录资源管理器”中找到被攻击机的文件目录，如下图所示：点击，即可进入被攻击机器的系统目录，如下图所示：第四步：查看警报进入RG-IDS控制台，通过“安全事件”组件，查看IDS检测的安全事件信息，如下图：RG-IDS准确检测出“www2:iis:ni

11、mda_scan_alert”事件，事件详细信息如下图： 【实验总结】通过实验使用RG-IDS对IIS服务漏洞攻击进行检测。学会通过“IIS Cracker”工具攻击开放IIS服务的Web服务器，并获得权限。RG-IDS能及时准确地检测出该类攻击，并将警告上报控制台。了解通过“IIS Cracker”入侵成功后，可以查看对方主机上的文件，通过远程控制入侵，黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。二十二、配置客户端认证【实验名称】配置客户端认证【实验目的】使用防火墙的客户端认证功能增强访问控制的安全性【背景描述】某企业使用使用防火墙作为网络出口设备。公司内部使用私有编址方案，因此

12、在防火墙上配置了NAT规则以使内部用户可以访问Internet。但是为了避免非授权的用户使用公司带宽资源访问Internet，需要对客户端进行身份验证，只有通过身份验证的用户才能访问Internet。此外，管理员不需要进行身份验证。【需求分析】为了使非授权用户无法通过防火墙访问Internet，可以利用防火墙对客户端进行认证，只有通过身份验证的用户才能访问Internet。【实验拓扑】 【实验设备】 防火墙 1台PC 3台（其中一台模拟Internet的FTP服务器）Web服务器软件程序防火墙客户端认证程序【实验原理】 RG-WALL防火墙的访问控制功能可以对客户端的身份进行验证，只有客户端通

13、过验证后，才允许通过安全策略访问网络资源。【实验步骤】第一步：配置防火墙接口的IP地址进入防火墙的配置页面：网络配置接口IP，单击按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。为防火墙的WAN接口配置IP地址及子网掩码。第二步：配置管理员的NAT规则进入防火墙配置页面：安全策略安全规则，单击页面上方的按钮添加NAT规则。第三步：配置内部用户的NAT规则进入防火墙配置页面：安全策略安全规则，单击页面上方的按钮添加NAT规则。在内部用户的NAT规则中，需要选中“用户认证”选项，这样防火墙将对内部用户进行身份验证。配置完NAT规则后的规则列表。第四步：验证测试在管理员PC上访问

14、外部的FTP服务器1.1.1.100，可以成功访问，因为管理员的NAT规则中没有要求进行用户认证。在内部用户PC上访问外部的FTP服务器1.1.1.100，访问不成功！因为内部用户的NAT规则中要求进行用户认证。第五步：配置用户组进入防火墙配置页面：用户认证用户组，单击按钮添加用户组。用户组的认证协议使用“PAP”方式，并确认已选中“启用本组帐号”选项。在“安全策略表”中点击按钮，设置允许该组用户从哪些地址和什么时间进行登录，这里我们选择所有地址（any）和任何时间（无）。在“可使用服务列表”中点击按钮，设置允许该组用户访问哪些地址、服务和什么时间可以访问，这里我们选择所有地址（any）、所有

15、服务（any）和任何时间（无）。第六步：配置用户进入防火墙配置页面：用户认证用户列表，单击按钮添加用户。输入用户名和密码，将用户加入到之前创建的用户组中，并确认已选中“启用本帐号”选项。第七步：配置安全规则为了使客户端能够认证成功，需要添加一条安全规则，即允许内部用户到达防火墙的认证流量。进入防火墙配置页面：安全策略安全规则，单击按钮添加包过滤规则。规则中的源地址为192.168.1.0/24；目的地址为防火墙LAN接口的地址；服务选择“firewall_auth”，这是客户端认证流量使用的端口号；检查流入网口选择“LAN”接口。最后，需要将该规则的序号设置为1，否则客户端的流量将匹配第二条N

16、AT规则后进行转换，导致客户端认证失败。配置完成后的规则列表。第八步：配置客户端认证程序客户端认证程序在防火墙随机光盘的User Auth文件夹中，双击auth_client.exe文件启动该程序。在“设置”菜单中选择“服务器”选项配置认证服务器。服务器地址即为防火墙的地址，端口号使用默认的9998。在“功能”菜单中选择“连接”选项，输入在防火墙中创建的用户名和密码，点击按钮进行认证。软件提示认证成功。第九步：验证测试在内部用户PC上访问外部的FTP服务器1.1.1.100，此时可以成功访问，因为已经通过了身份认证。【实验总结】通过实验使用防火墙的客户端认证功能增强访问控制的安全性。为了使非授

17、权用户无法通过防火墙访问Internet，可以利用防火墙对客户端进行认证，只有通过身份验证的用户才能访问Internet。通过实验了解防火墙的NAT规则是按照顺序进行匹配的，如果数据流匹配到某条规则后，将不再进行后续规则的匹配。所以需要将管理员的NAT规则放置在内部用户的NAT规则前面，并且将用户认证的包过滤规则放置在内部用户的NAT规则前面。二十五、使用防火墙限制P2P流量【实验名称】使用防火墙限制P2P流量【实验目的】利用防火墙控制P2P流量，保护带宽资源【背景描述】某企业使用1M的广域网链路实现与Internet的互联。但是企业的网络管理员发现，最近从公司内部访问Internet的速度很

18、慢，有时需要很长时间才能打开一个网页。网络管理员经过对问题的分析和定位，发现此问题是由于一些员工使用BT等P2P软件进行大量的资源下载速导致。公司要求能够尽快解决该问题，防止过多的P2P流量占用宝贵的带宽资源，影响公司的正常业务。【需求分析】P2P软件不仅可以抢占带宽，而且可以以最大带宽进行数据的传输。用防火墙的P2P限制功能可以对P2P流量进行检测和控制，限制P2P流量所占用的带宽。【实验拓扑】 【实验设备】 防火墙连接Internet的链路防火墙 1台PC（安装BT客户端软件） 1台【实验原理】 P2P技术是一种具备客户端和服务器双重特性，可以同时作为服务使用者和服务提供者。由于P2P技术

19、的飞速发展，现在Internet上70的流量都是P2P的流量。由于P2P技术在下载的同时，也需要上传，导致个人用户的下行流量和上行流量都很大。P2P流量造成了网络的极度拥塞。RG-WALL防火墙对P2P软件采用深度检测的方法，可以精确的识别P2P流量，以达到对P2P流量进行控制的目的。【实验步骤】第一步：配置防火墙接口的地址配置FE1接口的地址。配置FE2接口的地址。第二步：配置NAT转换规则配置NAT规则，使内部用户可以访问Internet。第三步：验证测试验证客户端可以访问Internet，并且可以用BT下载Internet上的资源，记录下载带宽，例如400Kbps。第四步：配置带宽列表进

20、入防火墙配置页面：对象定义带宽列表，可以看到系统已经预定义了一个名为p2p_band的带宽列表。单击后面的编辑图标，可以看到预先定义的保证带宽为60Kbps，最大带宽为160Kbps。在本实验中我们设置保证带宽为60Kbps，最大带宽为80Kbps。第五步：配置P2P限制进入防火墙配置页面：安全策略P2P限制，在BT协议的下拉框中选择“允许使用且进行流量控制”，并在“流量控制”下拉框中选择之前定义的带宽列表p2p_band：第六步：配置规则应用P2P限制在之前配置的NAT规则中，在高级选项的深度行为检测中选中P2P限制复选框，以启用该规则的P2P检测和控制。第七步：验证测试在客户端上使用BT进行文件下载，可以看到下载速率在6080Kbps之间。【实验总结】通过实验利用防火墙控制P2P流量，保护带宽资源。通过实验了解P2P和带宽限制具有一定的偏移量，无法做到完全精确的速率限制。第 18 页 共 18 页