网络安全技术实验指导书(08版).docVIP

计算机专业适用 网络安全技术 实 验 指 导 书 信息科学与工程学院 ( 2008年修订版 ) 录 实验一 协议分析和网络嗅探 2 实验二 防火墙 6 实验三 虚拟专用网 11 实验一 协议分析和网络嗅探 实验目的 通过使用Sniffer Pro 软件掌握Sniffer(嗅探)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包；理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程；了解FTP、HTTP等协议明文传输特性，增强安全意识。 实验原理 2.1 网络嗅探的原理 Sniffer即网络嗅探器，是一种威胁性极大的被动检测攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。 当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行嗅探攻击。将网络接口设置在监听模式，便可以将网上传输的信息截获。 黑客常常用它来截获用户的口令； 管理员则可以使用Sniffer分析网络性能和故障； 2.2 网络嗅探的防范 如何有效发现并防范Sniffer工具的监控和嗅探呢。首先，检查网络中是否存在下述情况，其原因可能就是网络中有Sniffer工具正在运行。 一是网络丢包率非常高； 二是网络带宽出现反常现象； Sniffer嗅探的防范 通过使用加密软硬件设备，实现对传输数据的加密，从而保护传输数据的安全性； VPN、SSL、SSH等加密手段可有效防范sniffer的嗅探。 利用网络设备的物理或者逻辑隔离的手段，可以避免信息的泄密； 利用交换机的VLAN功能，实现VLAN间的逻辑隔离。 实验内容 Sniffer的使用 Sniffer Pro是NAI公司推出的功能强大的协议分析及嗅探工具。 启动Sniffer Pro后，首先要选择设置为混杂模式并用来捕捉数据的网卡。主界面如图1.1所示： 图1.1 Sniffer 主界面 使用Host Table菜单按照IP或者MAC地址查看其相关网络流量。如图1.2所示： 图1.2 Host Table 中按照IP显示流量信息 可以实时查看网络中正在或者曾经传输数据包的源主机和目标主机，及其在两个主机间网络流量的大小。如图1.3所示： 图1.3 Traffic Map视图 Ftp口令的嗅探过程 利用Sniffer捕获FTP数据包并作相应的分析，步骤： 定义过滤器设置为只抓取FTP数据； 定义希望捕获的特定IP地址； 开始抓包； 使用FTP软件登陆目标地址； 进入嗅探结果面板，单击左下角Decode标签页面，可以将捕获的数据包全面解码并显示。如图1.4所示： 图1.4 Decode页面 通过对数据的分析表明，FTP协议通信使用的数据全是明文传输。 Http口令的嗅探过程 利用Sniffer捕获Http数据包并作相应的分析，步骤同Ftp口令的探测过程，过滤器设置为只抓取Http数据。 以上实验表明，如果一个重要信息使用明文直接传输，那么用户的有关敏感信息就可以被窃取。 实验二 防火墙 实验目的 通过实验深入理解防火墙的功能和工作原理。初步掌握天网防火墙的基本配置及操作。 实验原理 防火墙位于可信和不可信网络之间，通过设置一系列安全规则对两个网络之间的通信数据包进行访问控制，检测交换信息，防止对重要信息资源的非法存取和访问，达到保护内部可信网络的目的。 2.1 防火墙的实现技术 包过滤技术 防火墙最基本的过滤技术。它对内外网之间传输的数据包按照某些特征事先设置一系列的安全规则进行过滤。 地址翻译NAT技术 将单位内网使用的IP地址翻译为合法的公网IP，使内网使用内部IP的计算机无需改变IP也能够与外网连接。 应用级网关，即为代理服务器 代理服务时运行在防火墙主机上的一些特定的应用程序或者服务程序。这些程序接收用户对外网的请求，并按照安全策略转发他们到实际的服务。 状态检测技术 在防火墙的核心部分建立数据的连接状态表，将在内外网间传输的数据包以会话角度进行检测，利用状态表跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。 2.2 防火墙的体系结构 防火墙的体系结构主要有： 屏蔽路由器结构 仅用一个路由器隔离内外网，这是最简单的防火墙。 双重宿主主机结构 用一台装有两块网卡的计算机作为堡垒主机，两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理服务（应用层网关）。如图2.1所示： 图2.1 双重宿主主机结构 屏蔽主机体系结构 由屏蔽路由器和应用网关组成。如图2.2所示： 图2.2 屏蔽主机体系结构 屏蔽子网体系结构 由一个包含堡垒主机的周边子网和两台屏蔽路由器组成。如图2.3所示： 图2.3 屏蔽子网体系结构 实验内容 对应用程序的安全设置 应用程序访问网络的权限