实验报告九防火墙与入侵检测(安徽农业大学)讲解.docVIP

实验九 防火墙与入侵检测 姓 名： 学号： 班级： 2班 实验组别： 同组实验者姓名： 指导教师： 章恒 日期： 成绩： 【实验报告要求】 分别使用Winroute和天网防火墙实现以下防火墙规则：禁止除管理员计算机（IP自定）外任何一台计算机访问自己的服务器（IP自定）的终端服务（TCP端口为3389），并加以验证。写出主要步骤。 Winroute： 用WinRoute禁用HTTP访问? HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“5”，首先创建规则如表?组序号?动作?源IP?目的IP? 源端口? 目的端口?协议类型?1? 禁止? *? 5?*? 80? TCP? ? 利用WinRoute建立访问规则，如图所示 打开本地的IE连接远程主机的HTTP服务，将遭到拒绝 编写防火墙规则：禁止除管理员主机（IP为）外任何一台计算机访问某主机（IP为0）的终端服务（TCP端口为3389），并用WinRoute实现上述规则。 以cisco?pix?firewall为例子，在配置模式下写入? access-list?10?permit?ip?0?host?0?eq?3389?? access-list?10?deny?ip?any?0（这里设置的访问控制列表号是10） 天网防火墙 天网防火墙主页面，选中“开机后自动启动防火墙”和“报警声音”复选框 单击主页面中的“internet explorer程序|“ 已填入”应用程序规则列表中“ 单击右边的“选项框”，选中“通过TCP协议发送信息”和“通过UDP协议发送信息 规则集如下： 组 序 号 动????作 源??IP 目 的?IP 源 端 口 目 的 端 口 协 议 类 型 1 允许 10 09 * 3389 TCP 2 禁止 * 09 * 3389 TCP 第1条规则：主机10可以以任何端口访问任何主机09的3389端口，基于TCP协议的数据包都允许通过。第2条规则：任何主机的端口访问主机09的任何端口，基于TCP协议的数据包都禁止通过。 2．利用工具软件Fport和Active Ports查看本机与每一个端口关联的应用程序（截图）。 3、对某一台装有入侵检测工具（BlackICE/冰之眼/Snort）的计算机进行扫描、攻击等实验，查看入侵检测系统的反应，并写出检测报告。 BlackICE： 可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。 使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为，主界面如图所示。 将snort用作嗅探器 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 在虚拟机上（IP：50）： 单击[开始]-[运行]并输入cmd进入命令行。 在命令行中键入cd c:\snort\bin，回车确认。 3．键入snort –h，回车确认，这将显示可以与snort一起使用的命令行选项的帮助文件 键入snort –vde，并回车确认。 在宿主机上（IP：51）： 单击[开始]-[运行]并输入cmd进入命令行。 键入ping 50 -t 在虚拟机上： 注意snort转储ping的内容到屏幕上。 （三）使用预处理器的Snort配置 在虚拟机上： 使用记事本为snort创建一个配置文件，将文件命名为snort_preprocessor.conf。 在命令行上，键入notepad c:\snort\etc\snort_preprocessor.conf。 单击yes创建文件。 在记事本中键入下列行： var HOME_NET /24 (根据具体环境进行设置) var EXTERNAL_NET any var RULE_PATH c:\snort\rules preprocessor stream4: detect_scans 前三行是变量设定值，当需要知道内部或本地网络是什么，什么被认为是不可信赖的或外部的通信，以及在哪里发现规则文件时，预处理器和规则文件将会使用这些值。最后一行是将要调用来处理通信和检测扫描的预处理器。 完成并保存。 在命令行中键入： snort –l c:\snort\log –c c:\sn