第5章 网络安全技术(的2).pptVIP

5.6 ARP欺骗 网络窃听是指截获和复制系统、服务器、路由器、防火墙等设备中所有的网络通信信息，不仅可以用于安全监控，也是攻击者用来截获网络信息的重要方式。 ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 5.6 ARP欺骗 对路由器ARP表的欺骗 截获网关数据。即通过路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发给错误的MAC地址，造成正常PC无法收到信息。 对内网PC的网关欺骗 伪造网关。建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了。 5.6 ARP欺骗 例：本网络内，所有向外发送的数据包，都会被转发到攻击者的主机（A）上，从而获得敏感信息。 实验五 arp欺骗 【实验目的】 加深对ARP高速缓存的理解 掌握ARP欺骗在网络攻击中的应用 【实验内容】 被欺骗者可以ping通欺骗者。 进行arp欺骗。 被欺骗者不可以ping通欺骗者。 什么是防火墙 什么是防火墙 定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。 核心思想：在不安全的网际网环境中构造一个相对安全的子网环境。 目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。 从网络防御体系上看，防火墙是一种被动防御的保护装置。 防火墙的功能 网络安全的屏障（隔离内外网络）； 过滤不安全的服务（两层含义） ； 内部提供的不安全服务和内部访问外部的不安全服务（双向） 阻断特定的网络攻击（联动技术的产生） ； 部署NAT机制； 是提供了监视局域网安全和预警的方便端点。 提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。 防火墙的局限性 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力。 不能解决来自内部网络的攻击和安全问题。 不能防止受病毒感染的文件的传输。 不能防止策略配置不当或错误配置引起的安全威胁。 不能防止自然或人为的故意破坏，不能防止本身安全漏洞的威胁。 分组过滤路由器 分组过滤路由器 作为内外网连接的唯一通道，要求所有的数据包都必须在此通过检查。 通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。 在单机上实现，是网络中的“单失效点”。 不支持有效的用户认证、不提供有用的日志，安全性低。 双宿主机 双宿主机 在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。 通常采用代理服务方式。 堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等。 堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计。 防火墙仍是网络的“单失效点”。 隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合。 屏蔽主机 屏蔽主机 一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。 提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 过滤路由器是否正确配置是这种防火墙安全与否的关键。 屏蔽子网 屏蔽子网 是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ，专门提供服务的场所） 在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信 通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中 堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话 数据包过滤 数据包过滤 数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。 工作原理： 系统在网络层检查数据包，与应用层无关，因此它不能控制传输数据的内容。 依据在系统内设置的过滤规则（通常称为访问控制表——Access Control List）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。 数据包过滤 包过滤一般要检查（网络层的IP头和传输层的头）： IP源地址 IP目的地址 协议类型（TCP包/UDP包/ICMP包） TCP或UDP的源端口 TCP或UDP的目的端口 ICMP消息类型 TCP报头中的ACK位 数据包过滤