实验四 防火墙技术
实验4-1 防火墙实验
一 实验目的
通过实验深入理解防火墙的功能和工作原理,熟悉天网防火墙个人版的配置和使用。
二 实验环境
实验室所有机器安装了Windows X P 操作系统,组成了 局域网,并安装了天网防火墙。
三 实验原理
防火墙的工作原理:防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内 部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
两种防火墙技术的对比
包过滤防火墙:将防火墙放置于内外网络的边界;价格较低,性能开销小,处理速度较快;定义复杂,容易出现因配置不当带来问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险。
应用级网关:内置了专门为了提高安全性而编制的Proxy应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理,速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用 。
防火墙体系结构
屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与 Internet相连,同时一个堡垒机安装在内部网络,通过在分组 过滤路由器或防火墙上过滤规则的设置,使堡垒机成为 Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外 部用户的攻击。
双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网 络之间的路由器;它能够从一个网络到另外一个
网络发送IP数据包。但是外部网络与内部网络不能直接通信,它们之间的通信必须经 过双重宿主主机的过滤和控制。
被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通 常是Internet)隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。
四 实验内容和步骤
任务一 天网防火墙的配置
步骤:
(1)、运行天网防火墙设置向导,根据向导进行基本设置:
(2)、启动天网防火墙,运用它拦截一些程序的网络连接请求,如启动谷歌浏览器(自己
在网上下载并安装),则天网防火墙会弹出报警窗口。此时选中“该程序以后都按照这次的操作运行”,允许对网络的访问。(也可以运行其他网络程序!)
(3)、打开应用程序规则窗口,设置谷歌浏览器的安全规则,如使其只可以通过TCP协议发送信息,并制定协议只可使用端口21和8080等。了解应用程序规则设置方法。
(4)、使用IP规则配置,对主机中每一个发送和传输的数据包进行控 制;ping局域网内机器,观察能否收到reply;修改IP规则配置,将“允许自己用ping命令探测其他机器”改为禁止并保存,再次ping局域网内同一台机器,观察能否收到reply。
(5)、将“允许自己用ping命令探测其他机器”改回为允许,但将此规则下移到“防御ICMP攻击”规则之后,再次ping 局域网内的同一台机器,观察能否收到reply。
(7)、观察应用程序使用网络的状态,有无特殊进程在访问网络,若有,可用“结束进程”按钮来禁止它们。
(8)、察看防火墙日志,了解记录的格式和含义。
实验4-2 ARP攻击实验
一 实验目的
1、了解基本的网络攻击原理和攻击的主要步骤;
2、了解ARP攻击的主要原理和过程;
二 实验设备及环境
三台装有Windows2000/XP电脑操作系统的计算机,并且这三台要在同一个局域网内,WinArpAttackerV3.5, 聚生网管软件,sniffer或Wireshark。
三 实验内容及步骤(截图并对图示进行必要的文字说明)
1、打开两台计算机,记录下其IP地址,例如分别为"192.168.1.16"和"192.168.1.17"。
A电脑IP:192.168.1.74
B电脑IP: 192.168.1.59
2、在1.16计算机上ping 1.17。(注:此处IP为192.168.1.17的缩写,实际运行时需要输入完整的IP,后同)
Ping 192.168.1.59
3、在1.16计算机上查看arp缓存,验证缓存的1.17MAC地址是否正确?
Arp –a
4、在1.16计算机上为1.17添加一条静态的MAC地址记录,然后再在1.16计算机上ping 1.17,验证能否ping通?
Arp –s 192.168.1.59 AA-BB-CC-11-22-33
许凯的女朋友Ping 192.168.1.59
5、在1.16计算机上,清除所有缓存,然后再在1.16计算机上ping 1.17,验证能否ping通?
Arp –d
Ping 192.168.1.59
6、在1.16计算机上,安装"Arp攻击器 v3.5"
(1)运行"WinPcap_"。
(2)运行"",屏幕右下角出现一个小图标,双击该图标。
7、在1.16计算机上,为"Arp攻击器"指定网卡。
Arp攻击器->Options菜单->Adapter菜单->Adapter选项->选择物理网卡
8、在1.16计算机上,扫描出本网段所有主机。
Arp攻击器->Scan->Advanced->Scan a range->设置为1.0-1.254
9、漂亮男人女主角在1.16计算机上,勾中需要攻击的计算机1.17,利用"Attack->Flood"进行不间断的IP冲突攻击。在1.17计算机查看是否出现了"IP地址冲突提示"?。
10、在1.16计算机上,设置IP冲突攻击的次数,使得进行长时间的IP冲突。
Arp攻击器->Options菜单->Attack菜单->Attack选项->Arp flood times设置为"1000000"
小包总杨烁11、勾中需要攻击的计算机1.17,利用"Attack->Flood"进行不间断的IP冲突攻击。在1.17计算机查看是否连续不断地出现了"IP地址冲突提示"?是。
注意:"Flood"攻击是指不间断的IP冲突攻击,而"IP Conflict"攻击则是指定时的IP冲突攻击。
12、在1.16计算机停止Flood攻击,在1.17计算机查看是否还有"IP地址冲突提示"?无。
Arp攻击器->工具条->点击"Arp/Stop"按钮
13、设置各种网络参数,使得1.17计算机可以上网,并连续ping新浪。
14、在1.16计算机上,勾中需要攻击的计算机1.17,利用"Attack->BanGateway"使对方计算机不能上网。在1.17计算机查看是否可以ping通新浪?不能。如果还能访问新浪,请修改"Options菜单->Attack->Attack->修改ban to gateway 为0",然后再试。
思考:为什么1.17不能上网?
15、在1.17计算机上,查看arp缓存,验证缓存中网关的MAC地址是否正确?错误。
16、在1.16计算机上,勾中需要攻击的计算机1.17,利用"Attack->SniffGateway"监听1.17的上网数据包。
17、在1.17计算机上,ping新浪。在1.16计算机上,利用网络监视器能否监听到1.17的ICMP数据包?
18、在1.17计算机上,查看arp缓存,验证缓存中网关的MAC地址是否正确?
19、在1.16计算机上,利用"工具条->Send按钮"手工发送伪造的ARP包,对1.17发动连续的IP冲突攻击。
Arp攻击器->工具条->点击"Send"按钮->DstIP和SrcIP都设置为"1.17",DstHardwareMac设置为"1.17的正确MAC地址",勾中"Continuously"选项,其余不用设置。
思考:HardwareMac地址和ProtocolMac地址有何区别?
亲爱的小妹妹请你不要不要哭泣是什么歌
20、在1.16计算机上,利用"工具条->Send按钮"手工发送伪造的ARP包,对1.17发动"BanGateway"攻击。在1.17计算机查看是否可以ping通新浪?
21、 Arp攻击器->工具条->点击"Send"按钮->DstIP设置为"1.17",SrcIP设置为"1.1",DstHardwareMac设置为"1.17的正确MAC地址",勾中"Continuously"选项,其余不用设置。
21、在1.16计算机上,利用"工具条->Send按钮"手工发送伪造的ARP包,对1.17发动"SniffGateway"攻击。在1.16计算机上,利用网络监视器能否监听到1.17的ICMP数据包?
Arp攻击器->工具条->点击"Send"按钮->DstIP设置为"1.17",SrcIP设置为"1.1",DstHardwareMac设置为"1.17的正确MAC地址",SrcHardwareMac和SrcProtocolMac设置为"1.16的正确MAC地址",勾中"Continuously"选项,其余不用设置。
22、在1.17计算机上,安装"AntiArp6.0.2"。在1.16计算机上,利用"Arp攻击器"对1.17发动各种攻击,验证能否奏效?
23、在1.16计算机上,安装聚生网管软件。
24、打开另外一台真机(必须真机),IP为1.18,充当被管理的计算机。
25、在1.16计算机上,运行并配置聚生网管软件。
开始菜单->程序->聚生网管->新建监控网段->VLan1->选择对应网卡:选择物理网卡->本网段公网出口接入带宽:自动检测->开始监控->网络控制台->启动网络控制服务
电脑ip26、在1.16计算机上,通过聚生网管软件控制1.18计算机上网。
聚生网管->网络主机扫描->扫描网络主机->钩中1.18->应用控制设置
发布评论