【正文】 計(jì)算機(jī)專業(yè)適用網(wǎng)絡(luò)安全技術(shù)實(shí) 驗(yàn) 指 導(dǎo) 書(shū)信息科學(xué)與工程學(xué)院( 2008年修訂版 )817 目 錄實(shí)驗(yàn)一 協(xié)議分析和網(wǎng)絡(luò)嗅探 2實(shí)驗(yàn)二 防火墻 6實(shí)驗(yàn)三 虛擬專用網(wǎng) 11實(shí)驗(yàn)一 協(xié)議分析和網(wǎng)絡(luò)嗅探1. 實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)使用Sniffer Pro 軟件掌握Sniffer(嗅探)工具的使用方法，實(shí)現(xiàn)捕捉FTP、HTTP等協(xié)議的數(shù)據(jù)包；理解TCP/IP協(xié)議中多種協(xié)議的數(shù)據(jù)結(jié)構(gòu)、會(huì)話連接建立和終止的過(guò)程；了解FTP、HTTP等協(xié)議明文傳輸特性，增強(qiáng)安全意識(shí)。2. 實(shí)驗(yàn)原理 網(wǎng)絡(luò)嗅探的原理(1) Sniffer即網(wǎng)絡(luò)嗅探器，是一種威脅性極大的被動(dòng)檢測(cè)攻擊工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?2) 當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)的方式來(lái)進(jìn)行嗅探攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，便可以將網(wǎng)上傳輸?shù)男畔⒔孬@。a) 黑客常常用它來(lái)截獲用戶的口令；b) 管理員則可以使用Sniffer分析網(wǎng)絡(luò)性能和故障； 網(wǎng)絡(luò)嗅探的防范(1) 如何有效發(fā)現(xiàn)并防范Sniffer工具的監(jiān)控和嗅探呢。首先，檢查網(wǎng)絡(luò)中是否存在下述情況，其原因可能就是網(wǎng)絡(luò)中有Sniffer工具正在運(yùn)行。a) 一是網(wǎng)絡(luò)丟包率非常高；b) 二是網(wǎng)絡(luò)帶寬出現(xiàn)反?，F(xiàn)象； (2) Sniffer嗅探的防范a) 通過(guò)使用加密軟硬件設(shè)備，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的加密，從而保護(hù)傳輸數(shù)據(jù)的安全性；VPN、SSL、SSH等加密手段可有效防范sniffer的嗅探。b) 利用網(wǎng)絡(luò)設(shè)備的物理或者邏輯隔離的手段，可以避免信息的泄密；利用交換機(jī)的VLAN功能，實(shí)現(xiàn)VLAN間的邏輯隔離。 3. 實(shí)驗(yàn)內(nèi)容(1) Sniffer的使用Sniffer Pro是NAI公司推出的功能強(qiáng)大的協(xié)議分析及嗅探工具。啟動(dòng)Sniffer Pro后，首先要選擇設(shè)置為混雜模式并用來(lái)捕捉數(shù)據(jù)的網(wǎng)卡。： Sniffer 主界面使用Host Table菜單按照IP或者M(jìn)AC地址查看其相關(guān)網(wǎng)絡(luò)流量。： Host Table 中按照IP顯示流量信息可以實(shí)時(shí)查看網(wǎng)絡(luò)中正在或者曾經(jīng)傳輸數(shù)據(jù)包的源主機(jī)和目標(biāo)主機(jī)，及其在兩個(gè)主機(jī)間網(wǎng)絡(luò)流量的大小。： Traffic Map視圖(2) Ftp口令的嗅探過(guò)程利用Sniffer捕獲FTP數(shù)據(jù)包并作相應(yīng)的分析，步驟：a) 定義過(guò)濾器設(shè)置為只抓取FTP數(shù)據(jù)；b) 定義希望捕獲的特定IP地址；c) 開(kāi)始抓包；d) 使用FTP軟件登陸目標(biāo)地址；e) 進(jìn)入嗅探結(jié)果面板，單擊左下角Decode標(biāo)簽頁(yè)面，可以將捕獲的數(shù)據(jù)包全面解碼并顯示。： Decode頁(yè)面通過(guò)對(duì)數(shù)據(jù)的分析表明，F(xiàn)TP協(xié)議通信使用的數(shù)據(jù)全是明文傳輸。(3) Http口令的嗅探過(guò)程利用Sniffer捕獲Http數(shù)據(jù)包并作相應(yīng)的分析，步驟同F(xiàn)tp口令的探測(cè)過(guò)程，過(guò)濾器設(shè)置為只抓取Http數(shù)據(jù)。 以上實(shí)驗(yàn)表明，如果一個(gè)重要信息使用明文直接傳輸，那么用戶的有關(guān)敏感信息就可以被竊取。實(shí)驗(yàn)二 防火墻1. 實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn)深入理解防火墻的功能和工作原理。初步掌握天網(wǎng)防火墻的基本配置及操作。2. 實(shí)驗(yàn)原理防火墻位于可信和不可信網(wǎng)絡(luò)之間，通過(guò)設(shè)置一系列安全規(guī)則對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信數(shù)據(jù)包進(jìn)行訪問(wèn)控制，檢測(cè)交換信息，防止對(duì)重要信息資源的非法存取和訪問(wèn)，達(dá)到保護(hù)內(nèi)部可信網(wǎng)絡(luò)的目的。 防火墻的實(shí)現(xiàn)技術(shù) (1) 包過(guò)濾技術(shù)防火墻最基本的過(guò)濾技術(shù)。它對(duì)內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)包按照某些特征事先設(shè)置一系列的安全規(guī)則進(jìn)行過(guò)濾。(2) 地址翻譯NAT技術(shù)將單位內(nèi)網(wǎng)使用的IP地址翻譯為合法的公網(wǎng)IP，使內(nèi)網(wǎng)使用內(nèi)部IP的計(jì)算機(jī)無(wú)需改變IP也能夠與外網(wǎng)連接。(3) 應(yīng)用級(jí)網(wǎng)關(guān)，即為代理服務(wù)器代理服務(wù)時(shí)運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)程序。這些程序接收用戶對(duì)外網(wǎng)的請(qǐng)求，并按照安全策略轉(zhuǎn)發(fā)他們到實(shí)際的服務(wù)。(4) 狀態(tài)檢測(cè)技術(shù)在防火墻的核心部分建立數(shù)據(jù)的連接狀態(tài)表，將在內(nèi)外網(wǎng)間傳輸?shù)臄?shù)據(jù)包以會(huì)話角度進(jìn)行檢測(cè)，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)，記錄有用的信息以幫助識(shí)別不同的會(huì)話。 防火墻的體系結(jié)構(gòu) 防火墻的體系結(jié)構(gòu)主要有：(1) 屏蔽路由器結(jié)構(gòu)僅用一個(gè)路由器隔離內(nèi)外網(wǎng)，這是最簡(jiǎn)單的防火墻。(2) 雙重宿主主機(jī)結(jié)構(gòu)用一臺(tái)裝有兩塊網(wǎng)卡的計(jì)算機(jī)作為堡壘主機(jī)，兩塊網(wǎng)卡分別與內(nèi)部網(wǎng)和外部網(wǎng)（或屏蔽路由器）相連，每塊網(wǎng)卡有各自的IP地址。堡壘主機(jī)上運(yùn)行防火墻軟件——代理服務(wù)（應(yīng)用層網(wǎng)關(guān)）。： 雙重宿主主機(jī)結(jié)構(gòu)(3) 屏蔽主機(jī)體系結(jié)構(gòu)由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成。： 屏蔽主機(jī)體系結(jié)構(gòu)(4) 屏蔽子網(wǎng)體系結(jié)構(gòu)由一個(gè)包含堡壘主機(jī)的周邊子網(wǎng)和兩臺(tái)屏蔽路由器組成。： 屏蔽子網(wǎng)體系結(jié)構(gòu)3. 實(shí)驗(yàn)內(nèi)容(1) 對(duì)應(yīng)用程序的安全設(shè)置。在界面中添加的應(yīng)用程序，防火墻允許其和外網(wǎng)的連接，未添加的應(yīng)用程序，則不允許和外網(wǎng)傳輸數(shù)據(jù)。 “應(yīng)用程序訪問(wèn)權(quán)限設(shè)置”界面“添加規(guī)則”按鈕，可設(shè)置網(wǎng)絡(luò)連接的類型和相應(yīng)類型的連接可以訪問(wèn)的端口，以及不符合設(shè)置條件時(shí)的處理方式。 “增加應(yīng)用程序規(guī)則”對(duì)話框(2) 包過(guò)濾規(guī)則的配置包過(guò)濾規(guī)則從網(wǎng)絡(luò)層和傳輸層對(duì)進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)包進(jìn)行全面的限制和過(guò)濾。單擊“IP規(guī)則管理”按鈕，將出現(xiàn)“自定義IP規(guī)則”?？梢孕薷?、增加IP規(guī)則。 “自定義IP規(guī)則”界面 “修改IP規(guī)則”對(duì)話框 “增加IP規(guī)則”對(duì)話框?qū)嶒?yàn)三 虛擬專用網(wǎng)1. 實(shí)驗(yàn)?zāi)康恼莆仗摂M專用網(wǎng)的實(shí)現(xiàn)原理、協(xié)議和配置，理解并掌握在Windows操作系統(tǒng)中利用IPSec配置VPN的方法。2. 實(shí)驗(yàn)原理VPN是在公共網(wǎng)絡(luò)中建立的安全網(wǎng)絡(luò)連接。它在現(xiàn)有的網(wǎng)絡(luò)物理鏈路基礎(chǔ)上，采用了專有的隧道協(xié)議，實(shí)現(xiàn)了數(shù)據(jù)的加密和完整性檢驗(yàn)、用戶身份的認(rèn)證，從而在公共網(wǎng)絡(luò)建立了一條數(shù)據(jù)安全傳輸?shù)耐ǖ馈＃?VPN系統(tǒng)的構(gòu)成(1) VPN的網(wǎng)絡(luò)連接類型按照網(wǎng)絡(luò)連接類型，VPN可分為ClientLAN和LANLAN兩種類型。a) ClientLAN類型也稱Access VPN，即遠(yuǎn)程訪問(wèn)型VPN。它提供了一種安全的遠(yuǎn)程訪問(wèn)手段。遠(yuǎn)程訪問(wèn)的客戶端首先通過(guò)撥號(hào)網(wǎng)絡(luò)連接到當(dāng)?shù)氐腎SP，利用ISP提供的服務(wù)通過(guò)因特網(wǎng)連接到企業(yè)的遠(yuǎn)程訪問(wèn)服務(wù)器，在采用VPN隧道協(xié)議的情況下，企業(yè)的遠(yuǎn)程訪問(wèn)服務(wù)器會(huì)和遠(yuǎn)程訪問(wèn)客戶端建立一個(gè)安全的VPN連接。b) LANLAN類型也稱網(wǎng)關(guān)到網(wǎng)關(guān)類型?？梢栽诓煌钟蚓W(wǎng)絡(luò)之間建立安全的數(shù)據(jù)傳輸通道。這種類型的VPN通常采用IPSec協(xié)議建立加密傳輸數(shù)據(jù)隧道。(2) IPSEC協(xié)議基于IP協(xié)議安全的IPSec是一組開(kāi)放協(xié)議的總稱，IPSec協(xié)議包括安全協(xié)議和密鑰協(xié)商協(xié)議兩部分。網(wǎng)絡(luò)安全協(xié)議包括認(rèn)證協(xié)議頭協(xié)議和安全載荷封裝協(xié)議；密鑰協(xié)商協(xié)議包括互聯(lián)網(wǎng)密鑰交換協(xié)議等。3. 實(shí)驗(yàn)內(nèi)容任務(wù)：在WindowsXP中配置端到端的IPSec VPN（1）選擇“開(kāi)始”進(jìn)入“控制面板”中的“管理工具”，進(jìn)入“本地安全設(shè)置”。在右側(cè)界面中，Windows默認(rèn)情況下，內(nèi)置了“安全服務(wù)器”、“客戶端”、“服務(wù)器”三個(gè)IPSec安全策略。 IP安全策略界面（2）雙擊“安全服務(wù)器”。菜單中顯示了三條IP安全規(guī)則，學(xué)生可以自己增加或者刪除IP安全規(guī)則。 安全服務(wù)器屬性菜單（3）雙擊任一條安全規(guī)則，就可以對(duì)這條安全規(guī)則進(jìn)行修改。例如雙擊“所有ICMP通信量”，從圖中可見(jiàn)每一條IP安全規(guī)則包含：“IP篩選器列表”、“篩選器操作”、“身份驗(yàn)證方法”、“隧道設(shè)置”和“連接類型”5項(xiàng)安全屬性。 IP規(guī)則包含的5項(xiàng)屬性，再單擊“編輯”。其中，源地址和目的地址欄可以設(shè)定啟用VPN通道的具體IP地址。打開(kāi)協(xié)議菜單，可以設(shè)定傳輸什么協(xié)議和端口時(shí)啟用VPN安全協(xié)議。 IP篩選器列表的屬性“篩選器操作”菜單，此菜單規(guī)定了對(duì)于滿足“IP篩選器列表”中的規(guī)則需要執(zhí)行什么VPN操作。包括3個(gè)安全操作，“需要安全”、“請(qǐng)求安全”、“許可”。在本實(shí)驗(yàn)中選中“需要安全”，其功能就是將符合“所有ICMP通信量”這個(gè)IP安全規(guī)則的連接，設(shè)置為必須通過(guò)IPSec建立安全的VPN連接。 編輯篩選器操作“身份認(rèn)證方法”菜單，此菜單規(guī)定了在啟用VPN進(jìn)行連接的兩端用戶，使用什么方法進(jìn)行身份認(rèn)證。在本實(shí)驗(yàn)中，選擇“預(yù)共享密鑰”的方法，在配置VPN的兩臺(tái)計(jì)算機(jī)中，都設(shè)置共享密鑰111