第十章防火墻建議學時：4假消息攻擊目錄content網絡防火墻配置實驗2個人防火墻配置實驗131個人防火墻配置實驗實驗原理個人防火墻位于計算機與其所連接的網絡之間，主要用于攔截或阻斷所有對主機構成威脅的操作。是運行于主機操作系統內核的軟件，根據安全策略制定的規則對主機所有的網絡信息進行監控和審查，包括攔截不安全的上網程序，封堵不安全的共享資源及端口，防范常見的網絡攻擊等，以保護主機不受外界的非法訪問和攻擊，其主要采用的是包過濾技術。實驗目的個人防火墻配置實驗通過配置Windows10系統提供的系統防火墻，實現多種安全策略，對主機所有的網絡信息進行監控和審查，可以使讀者深入了解個人防火墻的主要功能和配置方法。41.1實驗設計實驗環境為一臺與互聯網相連的Windows10虛擬機實驗方法實驗環境利用個人防火墻防范不安全程序及端口；利用個人防火墻配置連接安全規則；利用命令行工具netsh配置防火墻。Windows防火墻netsh：netsh（networkshell）是Windows系統提供的功能強大的網絡配置命令行工具，可以實現對Windows防火墻的配置實驗工具51.2實驗步驟查看個人防火墻的默認規則添加出入站規則防范不安全的程序使用netsh配置防火墻查看防火墻防火墻的開啟與關閉端口的開啟與關閉出入站規則配置0102030461.3問題討論1、在10.4節的實驗中，若對常見的網絡功能進行限制該如何設置，如對FTP、遠程控制、QQ服務等網絡功能進行限制。72網絡防火墻配置實驗實驗原理網絡防火墻位于內部網絡與外部網絡之間，主要用于攔截或阻斷所有對內部網絡構成威脅的操作。網絡防火墻的硬件和軟件都單獨進行設計，由專用網絡芯片處理數據包，并且采用專用操作系統平臺，具有很高的效率，技術上集包過濾技術和應用網關技術于一身。實驗目的掌握網絡防火墻的主要功能和配置方法，理解包過濾技術和代理技術原理的目的。82.1實驗設計Iptables：Linux平臺下的包過濾防火墻實驗方法實驗工具通過iptables對防火墻進行配置，實現如下功能：允許外網訪問內部網站，不允許外網訪問內網其它主機；禁止外網對內部網絡的掃描；將防火墻配置為內部網站的NAT代理，以實現NAT轉換實驗環境利用Ubuntu系統虛擬主機模擬網絡防火墻利用iptables對防火墻進行配置利用四臺虛擬主機構建內、外網絡，分別為內網Web服務器，內網FTP服務器，內網主機和外網主機2.1實驗設計102.2實驗步驟Ubuntu系統配置路由轉發功能開啟iptables服務，進行規則配置包過濾規則配置驗證，外網主機只能訪問內部Web站點提供的HTTP服務，而不能訪問內網主機及其他服務配置防火墻NAT轉換功能NAT轉換功能實驗驗證0102030405112.3問題討論1、在10.5節實驗中，常見的情形是允許外部主機對Web服務器進行網絡診斷（ping）和HTTP服務訪問，而禁止外部主機對內網的其他訪問，請進行規則設置并檢驗效果。2、如果在規則設置中有兩條規則是相互矛盾的，比如前一條是禁止通過某個端口，后一條是打開這個端口，請問這會出現什么情況？請給出實驗證明。附錄工具資源netsh：Windows自帶iptables：Linux自帶第十一章網絡安全監控建議學時：4假消息攻擊目錄contentSnort入侵檢測系統配置與使用實驗2網絡流量捕獲與分析實驗1Honeyd蜜罐配置與使用實驗3151網絡流量捕獲與分析實驗實驗原理網絡安全監控的可靠性和準確性很大程度上依賴于所收集數據的可靠性和完備性。攻擊者的行為與正常用戶的行為之間總是存在著某種差異，高效、全面地收集能夠準確反映這種差異的數據是區分攻擊行為與正常行為的重要前提。實驗目的理解不同種類掃描報文格式及SYN洪泛攻擊原理，掌握根據數據包內容判斷網絡攻擊類型的方法。161.1實驗設計Wireshark：本實驗使用Windows平臺下的版本Wireshark3.4.9。WinPcap：在Windows10系統中和Wireshark3.4.9配合使用WinPcap_4_1_3版本Nmap：本實驗使用Kali2021.2系統中默認安裝的Nmap7.91版本Hping3：命令行下的TCP/IP數據包生成和解析工具。除了掃描的功能，它還可以進行ICMP洪泛、UDP洪泛、TCPSYN洪泛等一系列DoS攻擊。Kali2021.2系統中默認安裝hping3版本實驗方法實驗工具使用Wireshark數據包捕獲與分析工具對Nmap掃描報文以及TCPSYN洪泛攻擊報文進行捕獲與分析。實驗環境虛擬機1為被靶機，其操作系統為Windows10，64位。虛擬機2為攻擊主機，其操作系統為Kali2021.2，64位。1.1實驗設計181.2實驗步驟環境準備，安裝Wireshark并進行設置Nmap掃描報文的捕獲與解析NmapARP掃描報文NmapICMP掃描報文NmapTCPConnect/SYN端口掃描報文NmapXMAS掃描報文TCPSYN洪泛攻擊報文捕獲與解析010203192Snort入侵檢測系統配置與使用實驗實驗原理Snort是一個開放源碼的網絡入侵檢測系統，可以對網絡流量進行實時分析，并能夠檢測出多種類型的入侵和探測行為，如隱秘掃描、操作系統指紋探測、SMB掃描等。Snort規則是入侵檢測系統的重要組成部分，其規則集是Snort的攻擊特征庫，每條規則都對應一條攻擊特征，Snort通過它來識別攻擊行為。每一條Snort規則包括規則頭部和規則選項兩個部分。規則頭包含規則的動作，協議，源和目標IP地址與網絡掩碼，以及源和目標端口信息；規則選項部分包含報警消息內容和要檢查的包的具體部分。實驗目的通過Snort入侵檢測系統實現主機的入侵檢測，掌握Snort入侵檢測系統的工作原理和規則設置方法。202.1實驗設計Snort：Snort是一個開放源碼的網絡入侵檢測系統，可以對網絡流量進行實時分析，并能夠檢測出多種類型的入侵和探測行為Npcap1.55：WinPcap優化版Nmap7.91實驗方法實驗工具同11.3節網絡流量捕獲與分析實驗環境實驗環境搭建基于Snort入侵檢測系統的入侵檢測環境，針對性配置規則，進而發現攻擊行為212.2實驗步驟環境準備，安裝Npcap軟件安裝與配置Snort入侵檢測系統Snort網絡嗅探模式Snort日志記錄模式Snort入侵檢測模式查看Snort報警信息010203040506222.3問題討論1、分析Nmap工具進行操作系統指紋識別時所發探測數據包的特征，如何設置Snort入侵檢測系統的相應規則進行識別？2、怎樣使用Snort入侵檢測系統對SQL注入數據包進行監測和報警？3、怎樣結合數據庫，通過入侵檢測數據庫分析控制臺（ACID或BASE）進行網絡報文的統計？233Honeyd蜜罐配置與使用實驗實驗原理Honeyd是一款針對類UNIX系統設計的低交互開源蜜罐，用于對可疑活動進行檢測、捕獲和預警。Honeyd能在網絡層次上模擬大量蜜罐，可用于模擬多個IP地址的情況。當攻擊者企圖訪問時，Honeyd就會接收到連接請求，并以目標系統的身份，對攻擊者進行回復。實驗目的安裝配置Honeyd蜜罐，深入了解Honeyd蜜罐的安全配置方法和主要功能。243.1實驗設計Honeyd：本實驗使用免安裝的壓縮包Honeyd_kit-1.0c-a進行配置，其中包括ARPd工具實驗方法實驗工具使用Honeyd蜜罐實現對WindowsXP操作系統的模擬和對Web服務的模擬實驗環境虛擬機1為測試機，其操作系統為Windows10，64位。虛擬機2為宿主機，其操作系統為Kali2021.2，64位。3.1實驗設計263.2實驗步驟安裝、配置Honeyd蜜罐，虛擬出Windows單個主機配置ARPd和Honeyd的啟動模式啟動ARPd和Honeyd驗證Honeyd主機的連通性在測試機Windows10中ping蜜罐虛擬出的主機，測試Honeyd主機是否可達在測試機Windows10中打開瀏覽器，訪問Honeyd模擬的Web服務01020304273.3問題討論1、利用Honeyd模擬多網段的虛擬路由拓撲結構，請寫出你的設計方案、腳本，并給出實驗結果。2、利用Honeyd研究Nmap操作系統指紋探測產生的網絡數據包及特征，并提供分析報告。3、分析Honeyd源碼結構，并編譯生成Windows系統下可運行的程序。附錄工具資源Wireshark3.4.9：/download.htmlWinPcap_4_1_3：/pcsoft/wangluo/4313.htmlNmap