网络安全技术及应用实践教程课件实验3-4.ppt

1、目目 录录任务一任务一 WEB服务器安全设置服务器安全设置1任务二任务二 统一威胁管理统一威胁管理UTM实验实验 2注意事项注意事项3 1.实验目的实验目的 WEB服务器的安全设置与管理是网络安全管理的重要服务器的安全设置与管理是网络安全管理的重要工作，通过实验使学生可以较好地掌握工作，通过实验使学生可以较好地掌握WEB服务器的安全服务器的安全设置与管理的内容、方法和过程，为理论联系实际，提高对设置与管理的内容、方法和过程，为理论联系实际，提高对服务器安全管理、分析问题和解决问题的实际能力，有助于服务器安全管理、分析问题和解决问题的实际能力，有助于以后更好地从事网管员或信息安全员工作奠定基础。

2、以后更好地从事网管员或信息安全员工作奠定基础。2.实验要求及方法实验要求及方法 在在WEB服务器的安全设置与管理实验过程中，应当先服务器的安全设置与管理实验过程中，应当先做好实验的准备工作，实验时注意掌握具体的操作界面、实做好实验的准备工作，实验时注意掌握具体的操作界面、实验内容、实验方法和实验步骤，重点是服务器的安全设置验内容、实验方法和实验步骤，重点是服务器的安全设置（网络安全设置、安全模板设置、（网络安全设置、安全模板设置、WEB服务器的安全设置服务器的安全设置等）与服务器日常管理实验过程中的具体操作要领、顺序和等）与服务器日常管理实验过程中的具体操作要领、顺序和细节。细节。3.实验内容

3、及步骤实验内容及步骤 在以往出现过服务器被黑的事件中，由于对服务器安全设置或管在以往出现过服务器被黑的事件中，由于对服务器安全设置或管理不当的原因造成的较多。一旦服务器被恶意破坏，就会造成重大损理不当的原因造成的较多。一旦服务器被恶意破坏，就会造成重大损失，需要花费更多的时间进行恢复。失，需要花费更多的时间进行恢复。(1)服务器准备工作服务器准备工作 (2)网络安全配置网络安全配置网络安全最基本的设置是端口。在网络安全最基本的设置是端口。在“本地连接属性本地连接属性”，选择，选择“Internet协议（协议（TCP/IP）”，再先后单击，再先后单击“高级高级”、“选项选项”及及“TCP/IP筛

4、选筛选”。只打开网站服务所需要使用的端口，配置界面如。只打开网站服务所需要使用的端口，配置界面如图图3-15所示。所示。图3-15 配置打开网站服务所需端口 (3)安全模板设置安全模板设置运行运行MMC，添加独立管理单元，添加独立管理单元“安全配置与分析安全配置与分析”，导入模，导入模板板basicsv.inf或或securedc.inf，然后选，然后选“立刻配置计算机立刻配置计算机”，系统，系统就会自动配置就会自动配置“帐户策略帐户策略”、“本地策略本地策略”、“系统服务系统服务”等信等信息，但这些配置可能会导致某些息，但这些配置可能会导致某些“被限制被限制”软件无法运行或运行软件无法运行或

5、运行出错。如查看设置的出错。如查看设置的IE禁用网站，则可将该网站添加到禁用网站，则可将该网站添加到“本地本地Intranet”或或“受信任的站点受信任的站点”区域包含列表中。如图区域包含列表中。如图3-16所示。所示。图图3-16 安全配置和分析界面安全配置和分析界面 (4)WEB服务器的设置服务器的设置以以IIS为例，一定不要使用为例，一定不要使用IIS默认安装的默认安装的WEB目录，而需要目录，而需要在在E盘新建立一个目录。然后在盘新建立一个目录。然后在IIS管理器中右击管理器中右击“主机主机”，选择，选择“属性属性”和和“WWW服务服务”，在，在“编辑编辑”中选择中选择“主目录配置主目

6、录配置”及及“应用程序映射应用程序映射”，只保留，只保留asp和和asa，其余全部删除。，其余全部删除。(5)ASP的安全由于大部分木马都是由于大部分木马都是ASP编写的，因此，在编写的，因此，在IIS系统上的系统上的ASP组件的安全非常重要。组件的安全非常重要。ASP木马实际上大部分通过调用木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件组件实现其功能，除了文件系统对象（实现其功能，除了文件系统对象（File System Object，FSO）之外，其他的大部分可以直接禁用。之外，其

7、他的大部分可以直接禁用。使用微软提供的使用微软提供的URLScan Tool过滤非法过滤非法URL访问的工具，访问的工具，可以起到一定防范作用。可以起到一定防范作用。(6)服务器日常管理服务器日常管理 1.实验目的实验目的 统一威胁管理统一威胁管理UTM（Unified Threat Management）平台，实际上类似一种多功能安全网关，与路由器和三层交平台，实际上类似一种多功能安全网关，与路由器和三层交换机不同的是，换机不同的是，UTM不仅可以连接不同的网段，在数据通不仅可以连接不同的网段，在数据通信过程中还提供了丰富的网络安全管理功能。信过程中还提供了丰富的网络安全管理功能。掌握掌握U

8、TM功能、设置与管理方法和过程，增强利用功能、设置与管理方法和过程，增强利用UTM进行网络安全管理、分析问题和解决问题的实际能力，进行网络安全管理、分析问题和解决问题的实际能力，有助于更好地从事网络安全管理员或信息安全员工作奠定基有助于更好地从事网络安全管理员或信息安全员工作奠定基础。础。2.实验要求及方法实验要求及方法 通过对通过对UTM平台的功能、设置与管理方法和过程的实平台的功能、设置与管理方法和过程的实验，应当先做好实验的准备工作，实验时注意掌握具体的操验，应当先做好实验的准备工作，实验时注意掌握具体的操作界面、实验内容、实验方法和实验步骤，重点是作界面、实验内容、实验方法和实验步骤，

9、重点是UTM功功能、设置与管理方法和实验过程中的具体操作要领、顺序和能、设置与管理方法和实验过程中的具体操作要领、顺序和细节。细节。3.实验内容及步骤实验内容及步骤1）UTM集成的主要功能集成的主要功能 不同的不同的UTM平台对平台对“多功能多功能”定义有所不同。定义有所不同。H3C的的UTM产产品在功能上最全面，特别是具备应用层识别用户的网络应用，控品在功能上最全面，特别是具备应用层识别用户的网络应用，控制网络中各种应用的流量，并记录用户上网行为的上网行为审计制网络中各种应用的流量，并记录用户上网行为的上网行为审计功能，相当于更高集成度的多功能安全网关。不同的功能，相当于更高集成度的多功能安

10、全网关。不同的UTM平台比平台比较，如表较，如表3-7所示。所示。表表3-7 不同的不同的UTM平台比较平台比较 品 牌功 能 列 表H3CCiscoJuniperFortinet防防 火火 墙墙 功功 能能（H3C）（Cisco）（Juniper）（Fortinet）V VP PN N功功 能能（H3C）（Cisco）（Juniper）（Fortinet）防防 病病 毒毒 功功 能能（卡 巴 斯 基）（趋 势 科 技）（卡 巴 斯 基）（Fortinet）防防 垃垃 圾圾 邮邮 件件 功功 能能（Commtouch）（趋 势 科 技）（赛 门 铁 克）（Fortinet）网网 站站 过过 滤

11、滤 功功 能能（Secure Computing）（WebSense）（WebSense；SurControl）（无 升 级 服 务）防防 入入 侵侵 功功 能能（H3C）（Cisco）（Juniper）（未 知）应应 用用 层层 流流 量量 识识 别别 和和 控控 制制（H3C）用用 户户 上上 网网 行行 为为 审审 计计（H3C）2）操作步骤及方法）操作步骤及方法经过经过登录并简单配置登录并简单配置，即可，即可直接管理直接管理UTM平台。平台。通过命令行设置管理员帐号登录设备方法：通过命令行设置管理员帐号登录设备方法：console登陆登陆XX设备，命令行设备，命令行设置管理员帐号设置管

12、理员帐号设置接口设置接口IP 启动启动WEB管理功能管理功能设置设置WEB管理路径管理路径使用使用WEB登陆访问，如图登陆访问，如图13-11所示。所示。通过命令行接口通过命令行接口IP登录设备方法：登录设备方法：console登陆登陆XX设备，命令行接口设备，命令行接口IP 启动启动WEB管理功能管理功能设置设置WEB管理路管理路径径使用使用WEB登陆访问，如图登陆访问，如图13-11所示。所示。利用默认用户名密码登录：利用默认用户名密码登录：H3C设置管理设置管理PC的的IP为为192.168.0.X 默认用户名密码直接登录，如图默认用户名密码直接登录，如图13-12所示。所示。图图13-

13、11通过命令行登录设备界面通过命令行登录设备界面 图图13-12利用默认用户名密码登录利用默认用户名密码登录 常用配置防火墙的方法常用配置防火墙的方法：只要设置管理只要设置管理PC的网卡地址，连接的网卡地址，连接g0/0端口，就可进入端口，就可进入Web管理界面。管理界面。配置外网端口地址，将外网端口加入安全域，如图配置外网端口地址，将外网端口加入安全域，如图13-13所示。所示。配置内网到外网的静态路由，如图配置内网到外网的静态路由，如图13-14所示。所示。防火墙设置完成后，就可以直接进行上网。防火墙设置完成后，就可以直接进行上网。图图13-13配置外网端口地址并加入安全域配置外网端口地址

14、并加入安全域 图图13-14配置内网到外网的静态路由配置内网到外网的静态路由 流量定义和策略设定流量定义和策略设定。激活高级功能，然后。激活高级功能，然后“设置自动升级设置自动升级”，并依此完成：定义全部流量、设定全部策略、应用全部策略，并依此完成：定义全部流量、设定全部策略、应用全部策略，如图如图13-15所示。可以设置防范病毒等所示。可以设置防范病毒等5大功能，还可管控网络大功能，还可管控网络的各种流量，用户应用流量及统计情况，如图的各种流量，用户应用流量及统计情况，如图13-16所示。所示。图图13-15流量定义和策略设定流量定义和策略设定 图图13-16管控及统计网络流量管控及统计网络

15、流量 目 录任务一任务一 黑客入侵攻击模拟演练黑客入侵攻击模拟演练1补充实验补充实验(选做选做)Sniffer网络漏洞检测网络漏洞检测2任务二任务二 入侵防御系统入侵防御系统IPS配置配置3n 1.实验目的实验目的n(1)掌握常用黑客入侵的工具及其使用方法。掌握常用黑客入侵的工具及其使用方法。n(2)理解黑客入侵的基本过程，以便于进行防范。理解黑客入侵的基本过程，以便于进行防范。n(3)了解黑客入侵攻击的各种危害性。了解黑客入侵攻击的各种危害性。n 2.实验内容实验内容n(1)模拟黑客在实施攻击前的准备工作。模拟黑客在实施攻击前的准备工作。n(2)利用利用X-Scan扫描器得到远程主机扫描器得

16、到远程主机B的弱口令。的弱口令。n(3)利用利用Recton工具远程入侵主机工具远程入侵主机B。n(4)利用利用DameWare软件远程监控主机软件远程监控主机B。n 3.实验准备及环境实验准备及环境 n(1)装有装有Windows 操作系统的操作系统的PC机机1台，作为主机台，作为主机A(攻击机攻击机)。n(2)装有装有Windows Server 2012的的PC机机1台，作为主机台，作为主机B(被攻击机被攻击机)。n(3)X-Scan、Recton、DameWare工具软件各工具软件各1套。套。n 4.实验步骤实验步骤n(1)模拟攻击前的准备工作模拟攻击前的准备工作n 步骤步骤1：由于本

17、次模拟攻击所用到的工具软件均可被较新的杀毒软件和：由于本次模拟攻击所用到的工具软件均可被较新的杀毒软件和防火墙检测出来并自动进行隔离或删除，因此，在模拟攻击前要先将两防火墙检测出来并自动进行隔离或删除，因此，在模拟攻击前要先将两台主机安装的杀毒软件和台主机安装的杀毒软件和Windows防火墙等全部关闭。防火墙等全部关闭。n 步骤步骤2：在默认的情况下，两台主机的：在默认的情况下，两台主机的IPC$共享、默认共享、共享、默认共享、135端口端口和和WMI服务均处于开启状态，在主机服务均处于开启状态，在主机B上禁用上禁用Terminal Services服务服务(主要用于远程桌面连接主要用于远程桌

18、面连接)后重新启动计算机。后重新启动计算机。n 步骤步骤3：设置主机：设置主机A(攻击机攻击机)的的IP地址为地址为192.168.1.101，主机，主机B(被攻击机被攻击机)的的IP地址为地址为192.168.1.102(IP地址可以根据实际情况自行设定地址可以根据实际情况自行设定)，两台主，两台主机的子网掩码均为机的子网掩码均为255.255.255.0。设置后用。设置后用ping测试两台主机连接成功测试两台主机连接成功步骤步骤4：为主机：为主机B添加管理员用户添加管理员用户“abc”，密码为，密码为“123”。n 步骤步骤5：打开主机：打开主机B的的“控制面板控制面板”中的中的“管理工具

19、管理工具”，执行，执行“本地安本地安全策略全策略”命令，在命令，在“本地策略本地策略”的的“安全选项安全选项”中找到中找到“网络访问：本网络访问：本地账户的共享和安全模式地账户的共享和安全模式”策略，并将其修改为策略，并将其修改为“经典经典-本地用户以自本地用户以自己的身份验证己的身份验证”，如图，如图4-68所示。所示。图图4-68本地安全设置界面本地安全设置界面 图图4-69“扫描参数扫描参数”对话框对话框n4.实验步骤实验步骤 n(2)利用利用X-Scan扫描器得到远程主机扫描器得到远程主机B的弱口令的弱口令n 步骤步骤1：在主机：在主机A上安装上安装X-Scan扫描器。在用户名字典文件

20、扫描器。在用户名字典文件nt_user.dic中添加由中添加由a、b、c三个字母随机组合的用户名，如三个字母随机组合的用户名，如abc、cab、bca等，每个用户名占一行，中间不要有空行。等，每个用户名占一行，中间不要有空行。n 步骤步骤2：在弱口令字典文件：在弱口令字典文件weak_pass.dic中添加由中添加由1、2、3三个数三个数字随机组合的密码，如字随机组合的密码，如123、321、213等，每个密码占一行，中等，每个密码占一行，中间不要有空行。间不要有空行。n 步骤步骤3：运行：运行X-Scan扫描器扫描器,选择选择“设置设置”“扫描参数扫描参数”命令命令,打打开开“扫描参数扫描参

21、数”对话框对话框,指定指定IP范围为范围为192.168.1.102,如图如图4-69所示所示。n 步骤步骤4：在图：在图4-69中，选择左侧窗格中的中，选择左侧窗格中的“全局设置全局设置”“扫描扫描模块模块”选项，在右侧窗格中，为了加快扫描速度，这里仅选中选项，在右侧窗格中，为了加快扫描速度，这里仅选中“NT-Server弱口令弱口令”复选框，如图复选框，如图4-70所示，单击所示，单击“确定确定”按按钮。钮。n 步骤步骤5：在：在X-Scan主窗口界面中，单击上面工具栏中的主窗口界面中，单击上面工具栏中的“开始扫开始扫描描”按钮后，便开始进行扫描，如图按钮后，便开始进行扫描，如图4-71所

22、示。所示。图图4-70 确定确定“扫描参数扫描参数”图图4-71单击工具栏中开始扫描按钮单击工具栏中开始扫描按钮n4.实验步骤实验步骤 n 步骤步骤6：经过一段时间后，扫描结束，弹出一个扫描结果报告，：经过一段时间后，扫描结束，弹出一个扫描结果报告，如图如图4-72所示，可见已经扫描出用户所示，可见已经扫描出用户abc的密码为的密码为123。图图4-72 报告扫描结果报告扫描结果 图图4-73设置允许远程桌面连接设置允许远程桌面连接 n(3)利用利用Recton工具远程入侵主机工具远程入侵主机Bn 远程启动远程启动Terminal Services服务。服务。n 步骤步骤1：在主机：在主机B上

23、，设置允许远程桌面连接，如图上，设置允许远程桌面连接，如图4-73所示。在所示。在主机主机A中运行中运行mstsc.exe命令，设置远程计算机的命令，设置远程计算机的IP地址地址(192.168.1.102)和用户名和用户名(abc)后，再单击后，再单击“连接连接”按钮，弹出无按钮，弹出无法连接到远程桌面的提示信息，如图法连接到远程桌面的提示信息，如图4-74所示，这是因为主机所示，这是因为主机B上没有开启上没有开启Terminal Services服务。服务。n 步骤步骤2：在主机：在主机A中运行入侵工具中运行入侵工具Recton v2.5，在，在“Terminal”选选项卡中，输入远程主机

24、项卡中，输入远程主机(主机主机B)的的IP地址地址(192.168.1.102)、用户名、用户名(abc)、密码、密码(123)，端口，端口(3389)保持不变，并选中保持不变，并选中“自动重启自动重启”复复选框，如图选框，如图4-75所示。所示。图图4-74 无法连接到远程桌面的信息无法连接到远程桌面的信息 图图4-75远程启动远程启动Terminal服务服务 图图4-76 设置远程登录界面设置远程登录界面 图图4-77远程启动主机上的远程启动主机上的Telnet服务服务远程启动和停止远程启动和停止Telnet服务。服务。n 在远程主机上执行在远程主机上执行CMD命令。命令。图图4-82在主

25、机在主机B上验证新增用户上验证新增用户 图图4-83 远程执行远程执行CMD命令命令n(3)导入密钥导入密钥 图图4-84 输入浏览器地址输入浏览器地址 图图4-85“关闭进程关闭进程”界面界面n 清除远程主机上的日志。清除远程主机上的日志。n 重新启动远程主机。重新启动远程主机。n 控制远程主机中的进程。控制远程主机中的进程。控制远程主机中的服务。控制远程主机中的服务。n 控制远程主机中的共享。控制远程主机中的共享。图图4-86选择选择“获取服务信息获取服务信息”图图4-87查看远程主机当前所有的共享信息查看远程主机当前所有的共享信息n 向远程主机种植木马向远程主机种植木马 图图4-88 设

26、置木马启动时所需参数设置木马启动时所需参数 图图4-89 设置远程连接主机设置远程连接主机n(4)利用利用DameWare软件远程监控主机软件远程监控主机Bn 步骤步骤1：在主机：在主机A中安装并运行中安装并运行DameWare(迷你中文版迷你中文版4.5)软件，如图软件，如图4-89所示，输入远程主机所示，输入远程主机BIP地址、用户名和口令地址、用户名和口令(密码密码)。n 步骤步骤2：单击：单击“设置设置”按钮，在打开的对话框中选择按钮，在打开的对话框中选择“服务安装选项服务安装选项”选项卡选项卡,选中选中“设置服务启动类型为设置服务启动类型为手动手动默认为默认为自动自动”和和“复制配置

27、文件复制配置文件DWRCS.INI”复选框复选框,如图如图4-90所示所示.n 步骤步骤3：单击：单击“编辑编辑”按钮，在打开的对话框中选择按钮，在打开的对话框中选择“通知对话框通知对话框”选选项卡项卡,取消选中取消选中“连接时通知连接时通知”复选框复选框,如图如图4-91所示所示.图图4-90 设置设置“服务安装选项服务安装选项”图图4-91“通知对话框通知对话框”选项卡选项卡n 步骤步骤4：在：在“附加设置附加设置”选项卡中，取消选中所有的复选框，如图选项卡中，取消选中所有的复选框，如图4-92所示，这所示，这样设置的目的是在连接并监控远程主机时不易被其发现。样设置的目的是在连接并监控远程

28、主机时不易被其发现。n 步骤步骤5：单击：单击“确定确定”按钮，返回到按钮，返回到“远程连接远程连接”对话框，然后，单击对话框，然后，单击“连接连接”按钮进行远程连接。按钮进行远程连接。n 步骤步骤6：在第一次连接远程主机：在第一次连接远程主机B时，会弹出时，会弹出“错误错误”对话框，提示远程控制服对话框，提示远程控制服务没有安装在远程主机上，如图务没有安装在远程主机上，如图4-93所示，单击所示，单击“确定确定”按钮，开始安装远程按钮，开始安装远程控制服务。控制服务。n 服务安装完成后，会显示远程主机服务安装完成后，会显示远程主机B的当前桌面，并且同步显示主机的当前桌面，并且同步显示主机B的

29、所有操的所有操作，实现远程监视主机作，实现远程监视主机B的目的。的目的。图图4-92“附加设置附加设置”选项卡选项卡 图图4-93连接连接“错误错误”提示对话框提示对话框 Sniffer软件是软件是NAI公司研发的功能强大的协议分析软件。公司研发的功能强大的协议分析软件。利用这个工具，可以监视网络的状态、数据流动变动情况和利用这个工具，可以监视网络的状态、数据流动变动情况和网络上传输的信息等。网络上传输的信息等。1.实验目的实验目的（1）利用）利用Sniffer软件捕获网络数据包，然后通过解码进行检测分析。软件捕获网络数据包，然后通过解码进行检测分析。（2）会用网络安全检测工具的操作方法，具体

30、进行检测并写出结论。）会用网络安全检测工具的操作方法，具体进行检测并写出结论。2.实验要求及方法实验要求及方法（1）实验环境要求）实验环境要求 硬件：三台硬件：三台PC计算机。单机基本配置见表计算机。单机基本配置见表13-1。软件：操作系统软件：操作系统Windows 2003 Server SP4以上，以上，Sniffer 软件。软件。【注意注意】本实验是在虚拟实验环境下完成本实验是在虚拟实验环境下完成,若在真实的环境下完成若在真实的环境下完成,则则网络设备应该选择集线器或交换机网络设备应该选择集线器或交换机,交换机则在交换机则在C机上要做端口镜像。机上要做端口镜像。Sniffer软件是软件

31、是NAI公司研发的功能强大的协议分析软件。利用这个公司研发的功能强大的协议分析软件。利用这个工具，可以监视网络的状态、数据流动变动情况和网络上传输的信工具，可以监视网络的状态、数据流动变动情况和网络上传输的信息等。息等。1.实验目的实验目的（1）利用）利用Sniffer软件捕获网络数据包，然后通过解码进行检测分析。软件捕获网络数据包，然后通过解码进行检测分析。（2）会用网络安全检测工具的操作方法，具体进行检测并写出结论。）会用网络安全检测工具的操作方法，具体进行检测并写出结论。2.实验要求及方法实验要求及方法（1）实验环境要求）实验环境要求 硬件：三台硬件：三台PC计算机。单机基本配置见表计算

32、机。单机基本配置见表13-1。软件：操作系统软件：操作系统Windows 2003 Server SP4以上，以上，Sniffer 软件。软件。【注意注意】本实验是在虚拟实验环境下完成本实验是在虚拟实验环境下完成,若在真实的环境下完成若在真实的环境下完成,则则网络设备应选择集线器或交换机网络设备应选择集线器或交换机,若是交换机若是交换机,则在则在C机上要做端口镜机上要做端口镜像像.（2）实验方法）实验方法三台三台PC机的机的IP地址及任务分配见表地址及任务分配见表13-2所示。所示。实验用时：实验用时：2学时（学时（90-100分钟）分钟）表表13-1 设备基本配置设备基本配置 表表13-2

33、三台三台PC机的机的IP地址及任务分配地址及任务分配设备设备名名 称称设备设备IP 地址地址任务分配任务分配内存内存1G以上以上A机机10.0.0.3用户用户Zhao利用此机登陆到利用此机登陆到FTP服务器服务器CPU2G以上以上B机机10.0.0.4已经搭建好的已经搭建好的FTP服务器服务器硬盘硬盘40G以以上上C机机10.0.0.2用户用户Tom在此机利用在此机利用Sniffer软件软件捕获捕获 Zhao的账号和密码的账号和密码3.实验内容及步骤实验内容及步骤（1）实验内容）实验内容三台三台PC机，其中用户机，其中用户Zhao利用已建好的账号在利用已建好的账号在A机上登录到机上登录到B机已

34、经搭建好的机已经搭建好的FTP服务器，用户服务器，用户Tom在此机利用在此机利用Sniffer软件捕获软件捕获 Zhao的账号和密码。的账号和密码。（2）实验步骤）实验步骤在在C机上安装机上安装Sniffer软件。启动软件。启动Sniffer进入主窗口，如图进入主窗口，如图4-43所示。所示。在进行流量捕捉之前，首先选择网卡，确定从计算机的哪在进行流量捕捉之前，首先选择网卡，确定从计算机的哪个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，就是将所有数据包接收下来放入内存进行分析。设置方法：就是将所有数据包接收下来放入内存进行分析。设置方法

35、：单击单击“File”“Select Settings”命令，在弹出的对话框命令，在弹出的对话框中设置，如图中设置，如图4-44所示。所示。图图4-43 启动启动Sniffer主窗口主窗口 图图4-44 设置计算机的网卡设置计算机的网卡 在进行流量捕捉之前，首先选择网卡，确定从计算机的哪在进行流量捕捉之前，首先选择网卡，确定从计算机的哪个网卡接收数据，并将网卡设成混杂模式。网卡混杂模个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，就是将所有数据包接收下来放入内存进行分析。设式，就是将所有数据包接收下来放入内存进行分析。设置方法：单击置方法：单击“File”“Select Settings”

36、命令，在弹出命令，在弹出的对话框中设置，如图的对话框中设置，如图4-44所示。所示。新建一个过滤器。新建一个过滤器。设置具体方法设置具体方法为：为：单击单击“Capture”“Define Filter”命令，进入命令，进入Define Filter Capture窗口界面。窗口界面。单击单击命令，打开命令，打开Capture Profiles对话框，单对话框，单击击按钮。在弹出的对话框的按钮。在弹出的对话框的New Profiles Name 文本框中输入文本框中输入ftp_test，单击，单击按钮。在按钮。在Capture Profiles对话框中单击对话框中单击按钮，如图按钮，如图4-4

37、5所示。所示。图图4-43 启动启动Sniffer主窗口主窗口 图图4-44 设置计算机的网卡设置计算机的网卡在在“Define Filter”对话框的对话框的Address选项卡中，设置地址选项卡中，设置地址的类型为的类型为IP，并在，并在Station1和和Station2中分别制定要捕获的中分别制定要捕获的地址对，如图地址对，如图4-46所示。所示。在在“Define Filter”对话框的对话框的Advanced选项卡中，指定要选项卡中，指定要捕获的协议为捕获的协议为FTP。主窗口中，选择过滤器为主窗口中，选择过滤器为ftp_test，然后单击，然后单击“Capture”“Start”

38、，开始进行捕获。，开始进行捕获。用户用户Zhao在在A机上登录到机上登录到FTP服务器。服务器。当用户用名字当用户用名字Zhao及密码登录成功时，及密码登录成功时，Sniffer的工具栏的工具栏会显示捕获成功的标志。会显示捕获成功的标志。利用专家分析系统解码分析，可得到基本信息，如用户名、利用专家分析系统解码分析，可得到基本信息，如用户名、客户端客户端IP等。等。n 1实验目的实验目的n(1)理解入侵防御系统理解入侵防御系统IPS的特性和对应用环境的要求。的特性和对应用环境的要求。n(2)掌握入侵防御系统掌握入侵防御系统IPS的配置步骤和具体方法。的配置步骤和具体方法。n(3)明确在对入侵防御

39、系统配置攻击防护特性时，首先配置链路明确在对入侵防御系统配置攻击防护特性时，首先配置链路上的上的IPS策略，然后配置规则来检测、阻断相应的攻击。策略，然后配置规则来检测、阻断相应的攻击。n(4)理解在将配置激活后，链路中若有攻击流量经过，就能被理解在将配置激活后，链路中若有攻击流量经过，就能被IPS阻断，并且在攻击日志中查看相应的信息，在攻击报表中查看一阻断，并且在攻击日志中查看相应的信息，在攻击报表中查看一段时间内的攻击趋势。段时间内的攻击趋势。n 2预备知识及要求预备知识及要求n（1）系统特性）系统特性n（2）应用环境要求）应用环境要求n（3）注意事项）注意事项 图图4-41 IPS攻击防

40、护典型配置组网图攻击防护典型配置组网图 n 3实验内容及步骤实验内容及步骤n（1）登录）登录Webn 搭建配置环境。用交叉以太网线将搭建配置环境。用交叉以太网线将PC网口和网口和IPS管理口相连。管理口相连。n 为为PC的网口配置的网口配置IP地址，保证能与地址，保证能与IPS的管理口互通。配置的管理口互通。配置PC的的IP地址为地址为192.168.1.0/24（除（除192.168.1.1）如）如192.168.1.2。n 启动浏览器，输入登录信息。启动浏览器，输入登录信息。图图4-95 WEB网管登录界面网管登录界面 n 3实验内容及步骤实验内容及步骤n（2）创建安全区域）创建安全区域n

41、 在导航栏中选择在导航栏中选择“系统管理系统管理网络管理网络管理安全区域安全区域”，进入，进入“安安全区域显示全区域显示”页面，如图页面，如图4-96所示。所示。n 单击单击按钮，进入按钮，进入“创建安全区域创建安全区域”的配置页面，的配置页面，如图如图4-97所示。所示。图图4-96 安全区域显示页面安全区域显示页面图图413-97创建安全区域创建安全区域 n 3实验内容及步骤实验内容及步骤n 分别将分别将g-ethernet 0/0/0加入内部域加入内部域in，将，将g-ethernet 0/0/1加入外部加入外部域域out，具体如图，具体如图4-98至如图至如图4-100所示。所示。图图

42、4-98 将接口加入内部域将接口加入内部域图图4-99 将接口加入外部域将接口加入外部域图图4-100 安全区域创建情况安全区域创建情况 n（3）配置）配置“新建段新建段”n 在导航栏中选择在导航栏中选择“系统管理系统管理网络管理网络管理段配置段配置”，进入，进入“段的显段的显示示”页面，如图页面，如图4-101所示。所示。图图4-101段的显示页面段的显示页面单击单击按钮按钮,进入进入“新建段新建段”的配置页面的配置页面,创建一创建一0段段,将内网和外网链路将内网和外网链路连通连通,文章后面再在此链路上配置文章后面再在此链路上配置IPS段策略段策略,如图如图4-102和图和图4-103所示。

43、所示。图图4-102“新建段新建段”的配置页面的配置页面图图4-103 新建段成功新建段成功 n（4）配置）配置IPS段策略段策略n 在导航栏中选择在导航栏中选择“IPS快捷应用快捷应用”，进入，进入“IPS策略快捷应用策略快捷应用”页面页面，输入，输入IPS策略名、描述、选择相应的段编号、方向，点击策略名、描述、选择相应的段编号、方向，点击按钮，如图按钮，如图4-104所示。所示。n 在在“IPS段策略管理段策略管理”页面可以看到段页面可以看到段0上应用了上述的上应用了上述的ips策略策略，如图，如图4-105所示。所示。图图4-104 创建创建IPS段策略段策略图图4-105 IPS段策略

44、创建成功段策略创建成功 n（5）修改）修改IPS策略相应规则策略相应规则n 点击如图点击如图4-105所示的策略名称链接，进入到所示的策略名称链接，进入到IPS策略的策略的“规则管理规则管理”页页面，可以看到几千条规则。若需要对面，可以看到几千条规则。若需要对Backdoor类型的攻击进行检测和类型的攻击进行检测和阻断，在分类中选择阻断，在分类中选择“Backdoor”,点击点击“搜索搜索”.可看到搜索出系统能可看到搜索出系统能够识别的所有够识别的所有Backdoor类型的攻击，如图类型的攻击，如图4-106所示。所示。图图4-106 修改修改IPS规则规则 n（6）激活系统配置）激活系统配置

45、n 点击点击按钮将上述配置激活，如图按钮将上述配置激活，如图4-107。n（7）保存系统配置）保存系统配置,如图如图4-108所示。所示。n（8）验证结果）验证结果图图4-107 配置激活配置激活图图4-108 保存配置保存配置图图4-109 攻击被阻断攻击被阻断 n 查看查看“报表报表攻击报表攻击报表攻击事件报表攻击事件报表”中可以看到一段时间内的中可以看到一段时间内的攻击信息。选择查询的报表类型、攻击攻击信息。选择查询的报表类型、攻击ID、级别、动作类型、指、级别、动作类型、指定时间和段，点击定时间和段，点击按钮，如图按钮，如图4-110所示。所示。n 可以查看到某一时间段内的攻击信息，如图可以查看到某一时间段内的攻击信息，如图4-111所示。所示。图图173-110查看攻击报表查看攻击报表图图4-111 攻击报表查看结果攻击报表查看结果