信息安全 实验四 防火墙技术.docx

信息安全 实验四 防火墙技术.docx

《信息安全 实验四 防火墙技术.docx》由会员分享，可在线阅读，更多相关《信息安全 实验四 防火墙技术.docx（28页珍藏版）》请在冰点文库上搜索。

信息安全实验四防火墙技术

实验四防火墙技术

实验4-1防火墙实验

一实验目的

通过实验深入理解防火墙的功能和工作原理，熟悉天网防火墙个人版的配置和使用。

二实验环境

实验室所有机器安装了WindowsXP操作系统，组成了局域网，并安装了天网防火墙。

三实验原理

防火墙的工作原理：

防火墙能增强机构内部网络的安全性。

防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。

防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

两种防火墙技术的对比

包过滤防火墙：

将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快；定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。

应用级网关：

内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用。

防火墙体系结构

屏蔽主机防火墙体系结构：

在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

双重宿主主机体系结构：

围绕双重宿主主机构筑。

双重宿主主机至少有两个网络接口。

这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。

但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

被屏蔽子网体系结构：

添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。

被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。

一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。

四实验内容和步骤

任务一天网防火墙的配置

步骤：

（1）、运行天网防火墙设置向导，根据向导进行基本设置：

（2）、启动天网防火墙，运用它拦截一些程序的网络连接请求，如启动谷歌浏览器（自己在网上下载并安装），则天网防火墙会弹出报警窗口。

此时选中“该程序以后都按照这次的操作运行”，允许对网络的访问。

（也可以运行其他网络程序！

）

（3）、打开应用程序规则窗口，设置谷歌浏览器的安全规则，如使其只可以通过TCP协议发送信息，并制定协议只可使用端口21和8080等。

了解应用程序规则设置方法。

（4）、使用IP规则配置，对主机中每一个发送和传输的数据包进行控制；ping局域网内机器，观察能否收到reply；修改IP规则配置，将“允许自己用ping命令探测其他机器”改为禁止并保存，再次ping局域网内同一台机器，观察能否收到reply。

（5）、将“允许自己用ping命令探测其他机器”改回为允许，但将此规则下移到“防御ICMP攻击”规则之后，再次ping局域网内的同一台机器，观察能否收到reply。

（6）、添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规则；邻居同学发起FTP请求连接，观察结果。

（7）、观察应用程序使用网络的状态，有无特殊进程在访问网络，若有，可用“结束进程”按钮来禁止它们。

（8）、察看防火墙日志，了解记录的格式和含义。

实验4-2ARP攻击实验

一实验目的

1、了解基本的网络攻击原理和攻击的主要步骤；

2、了解ARP攻击的主要原理和过程；

二实验设备及环境

三台装有Windows2000/XP电脑操作系统的计算机，并且这三台要在同一个局域网内，WinArpAttackerV3.5，聚生网管软件，sniffer或Wireshark。

三实验内容及步骤（截图并对图示进行必要的文字说明）

1、打开两台计算机，记录下其IP地址，例如分别为"192.168.1.16"和"192.168.1.17"。

A电脑IP:

192.168.1.74

B电脑IP:

192.168.1.59

2、在1.16计算机上ping1.17。

（注：

此处IP为192.168.1.17的缩写，实际运行时需要输入完整的IP，后同）

Ping192.168.1.59

3、在1.16计算机上查看arp缓存，验证缓存的1.17MAC地址是否正确?

Arp–a

4、在1.16计算机上为1.17添加一条静态的MAC地址记录，然后再在1.16计算机上ping1.17，验证能否ping通?

Arp–s192.168.1.59AA-BB-CC-11-22-33

Ping192.168.1.59

5、在1.16计算机上，清除所有缓存，然后再在1.16计算机上ping1.17，验证能否ping通?

Arp–d

Ping192.168.1.59

6、在1.16计算机上，安装"Arp攻击器v3.5"

（1）运行"WinPcap_3_1.exe"。

（2）运行"WinArpAttacker.exe"，屏幕右下角出现一个小图标，双击该图标。

7、在1.16计算机上，为"Arp攻击器"指定网卡。

Arp攻击器->Options菜单->Adapter菜单->Adapter选项->选择物理网卡

8、在1.16计算机上，扫描出本网段所有主机。

Arp攻击器->Scan->Advanced->Scanarange->设置为1.0-1.254

9、在1.16计算机上，勾中需要攻击的计算机1.17，利用"Attack->Flood"进行不间断的IP冲突攻击。

在1.17计算机查看是否出现了"IP地址冲突提示"?

。

10、在1.16计算机上，设置IP冲突攻击的次数，使得进行长时间的IP冲突。

Arp攻击器->Options菜单->Attack菜单->Attack选项->Arpfloodtimes设置为"1000000"

11、勾中需要攻击的计算机1.17，利用"Attack->Flood"进行不间断的IP冲突攻击。

在1.17计算机查看是否连续不断地出现了"IP地址冲突提示"?

是。

注意:

"Flood"攻击是指不间断的IP冲突攻击，而"IPConflict"攻击则是指定时的IP冲突攻击。

12、在1.16计算机停止Flood攻击，在1.17计算机查看是否还有"IP地址冲突提示"?

无。

Arp攻击器->工具条->点击"Arp/Stop"按钮

13、设置各种网络参数，使得1.17计算机可以上网，并连续ping新浪。

14、在1.16计算机上，勾中需要攻击的计算机1.17，利用"Attack->BanGateway"使对方计算机不能上网。

在1.17计算机查看是否可以ping通新浪?

不能。

如果还能访问新浪，请修改"Options菜单->Attack->Attack->修改bantogateway为0"，然后再试。

思考:

为什么1.17不能上网?

15、在1.17计算机上，查看arp缓存，验证缓存中网关的MAC地址是否正确?

错误。

16、在1.16计算机上，勾中需要攻击的计算机1.17，利用"Attack->SniffGateway"监听1.17的上网数据包。

17、在1.17计算机上，ping新浪。

在1.16计算机上，利用网络监视器能否监听到1.17的ICMP数据包?

18、在1.17计算机上，查看arp缓存，验证缓存中网关的MAC地址是否正确?

19、在1.16计算机上，利用"工具条->Send按钮"手工发送伪造的ARP包，对1.17发动连续的IP冲突攻击。

Arp攻击器->工具条->点击"Send"按钮->DstIP和SrcIP都设置为"1.17"，DstHardwareMac设置为"1.17的正确MAC地址"，勾中"Continuously"选项，其余不用设置。

思考:

HardwareMac地址和ProtocolMac地址有何区别?

20、在1.16计算机上，利用"工具条->Send按钮"手工发送伪造的ARP包，对1.17发动"BanGateway"攻击。

在1.17计算机查看是否可以ping通新浪?

21、Arp攻击器->工具条->点击"Send"按钮->DstIP设置为"1.17"，SrcIP设置为"1.1"，DstHardwareMac设置为"1.17的正确MAC地址"，勾中"Continuously"选项，其余不用设置。

21、在1.16计算机上，利用"工具条->Send按钮"手工发送伪造的ARP包，对1.17发动"SniffGateway"攻击。

在1.16计算机上，利用网络监视器能否监听到1.17的ICMP数据包?

Arp攻击器->工具条->点击"Send"按钮->DstIP设置为"1.17"，SrcIP设置为"1.1"，DstHardwareMac设置为"1.17的正确MAC地址"，SrcHardwareMac和SrcProtocolMac设置为"1.16的正确MAC地址"，勾中"Continuously"选项，其余不用设置。

22、在1.17计算机上，安装"AntiArp6.0.2"。

在1.16计算机上，利用"Arp攻击器"对1.17发动各种攻击，验证能否奏效?

23、在1.16计算机上，安装聚生网管软件。

24、打开另外一台真机（必须真机），IP为1.18，充当被管理的计算机。

25、在1.16计算机上，运行并配置聚生网管软件。

开始菜单->程序->聚生网管->新建监控网段->VLan1->选择对应网卡:

选择物理网卡->本网段公网出口接入带宽:

自动检测->开始监控->网络控制台->启动网络控制服务

26、在1.16计算机上，通过聚生网管软件控制1.18计算机上网。

聚生网管->网络主机扫描->扫描网络主机->钩中1.18->应用控制设置

27、在1.18计算机上，通过"arp-a"查看网关MAC是否正确?

思考:

为什么?

28、在1.16计算机上，通过聚生网管软件禁止1.18计算机访问所有网站。

聚生网管->网络主机扫描->钩中1.18->双击该行->新建一个策略->策略名称:

a->网络限制->构中"启用www访问控制"和"禁止访问www"->应用控制设置

29、在1.18计算机上，验证是否可以访问网站?

30、在1.16计算机上，通过聚生网管软件允许1.18计算机访问新浪网站。

聚生网管->网络主机扫描->钩中1.18->双击该行->新建一个策略->策略名称:

a->网络限制->构中"启用www访问控制"、"应用限制规则访问www"和"激活自定义网址列表控制规则:

白名单方式"->编辑按钮->添加网址:

*->应用控制设置

30、在1.18计算机上，验证是否可以访问新浪网站?