入侵检测与防火墙试卷复习题

防火墙局部1、防火墙的配置中的三个根本原则〔1〕的根本原则。越简洁的实现方式，越简洁理解和使用。而且是设计越简洁，越不简洁出错，防火墙的安全功能越简洁得到保证，治理也越牢靠和简便。全面深入：单一的防范措施是难以保障系统的安全的，只有承受全面的、多层次的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，层安全体系。〔3〕.内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%传统观念。对内部威逼可以实行其它安全措施，比方入侵检测、主机防护、漏洞扫描、病毒护手段一起联动的机制。目前来说，要做到这一点比较困难。2、防火墙的具体配置步骤将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。翻开PIX运行笔记本电脑Windows系统中的超级终端〔HyperTerminal〕〔通常在“附件“程序组中。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。当PIX防火墙进入系统后即显示“pixfirewall>“的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进展进一步的配置了。输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。输入命令：configureterminal,进入全局配置模式，对系统进展初始化设置。〔1〕.首先配置防火墙的网卡参数〔以只有1LAN1WAN例〕Interfaceethernet0auto#0WAN“auto“选项为系统自适应网卡类型Interfaceethernet1auto〔2〕.配置防火墙内、外部网卡的IPIPaddressinsideip_addressnetmask#Inside代表内部网卡IPaddressoutsideip_addressnetmask#outside代表外部网卡〔3〕.指定外部网卡的IPglobal1ip_address-ip_address〔4〕.指定要进展转换的内部地址nat1ip_addressnetmask〔5〕.配置某些掌握选项：conduitglobal_ipport[-port]protocolforeign_ip[netmask]其中，global_ip：指的是要掌握的地址；port：指的是所作用的端口，0代表全部UDP等；：表示可访问的IPnetmask：为可选项，代表要掌握的子网掩码。配置保存：wrmem退出当前模式查看当前用户模式下的全部可用命令：show，在相应用户模式下键入这个命令后，即显示出当前全部可用的命令及简洁功能描述。查看端口状态：showinterface，这个命令需在特权用户模式下执行，执行后即显示出防火墙全部接口配置状况。查看静态地址映射:showstatic，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射状况。3、配置访问列表所用配置命令为：access-list，合格格式比较简单。它是防火墙的主要配置局部上述格式中“[]局部是可选项listnumber参数是规章号标准规章号〔listnumber1〕是1~99之间的整数，而扩展规章号〔listnumber2〕是100~199之间的整数。它主要是通过访问权限“permit“和“deny“来指定的，网络协议一般有IP TCPUDP ICMP等等。如只允许访问通过防火墙对主机:54进展www访问。其中的100表示访问规章号，依据当前已配置的规章条数来确定，不能与原来规章的重复，也必需是正整数。4、地址转换〔NAT〕NAT配置与路由器的NAT配置根本一样，首先也必需定义供NAT转换的内IP地址组，接着定义内部网段。定义供NAT转换的内部地址组的命令是nat，它的格式为：nat[(if_name)]nat_idlocal_ip[netmask[max_conns[em_limit]]]if_name为接口名；nat_id参数代表内部地址组号；local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大TCP连接数，默认为“0“，表示不限制连接；em_limit为允许从今端口发出的连接数，默认也为“0“，即不限制。1NAT地址组。随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,根本命令格式为：global[(if_name)]nat_idglobal_ip[netmask[max_conns[em_limit]]]，各参数解释同上。如：global(outside)1-4netmasknatIP~4的外部地址池中的外部IP地址，其子网掩耳盗铃码为。入侵检测局部1、RG-IDS帐户治理〔1〕原理 用户治理担当着系统认证中心的角色用户登录时认证中心对用户名密码做认证，假设有绑定设置则依据其绑定方式〔静态绑定、动态绑定〕对用户做绑定处理。此外，在认证登录用户时，假设某个用户从一样的IP〔隐含的动态绑定〕重复屡次登录尝试则将该用户视为可疑用户认证中心会将该用户锁定同时发送审计大事通知用户治理员〔触发锁定的登录尝试次数可以用户治理员在创立时指定。同角色的用户具有不同的权限，每一种用户都不能越权操作。试验步骤第一步：用户治理员登录Admi〔Admi猛烈建议用户治理员第一次登录后修改该密码。其次步：用户查看查看用户列表里各用户的状态。第三步：建一个用户在“用户属性配置“窗口添加该用户的根本信息以及给该用户安排权限。第四步：验证该用户用建的用户登录系统。第五步：验证治理权限用户可以查看本系统的策略。2、RG-IDS策略治理〔1〕用户的需要。在策略治理中，用户需要配置安全大事的响应方式。这些响应方式包括Console显示、WriteDB、SNMPTrap、E-mail、OPSECConsole显示和WriteDB不需要配置，其他响应方式均需要做相应的配置工作试验步骤第一步：策略编辑界面扫瞄域。通过“策略编辑器”窗口，可以建、派生、修改、删除、查看、导入和导出策略。其次步：派生策略在策略模板区域选中一个预定义策略AttackDetector，右键单击该策略，在消灭的菜单第三步：策略编辑策略中可以选择用户所关注的大事签名进展检测，编辑策略的步骤如下：点击一个自定义策略。点击“编辑锁定”以确保其他人不能同时更改策略。在攻击签名窗口开放攻击签名。“选中”或“取消选中”攻击签名。为攻击签名选择响应方式。第四步：策略锁定和解除策略锁定锁定策略时，在策略治理窗口点击快捷按钮“编辑锁定用户同时登录掌握台时，当前用户可以编辑策略，其他用户不能修改。接触策略锁定时，在策略治理窗口点击快捷按钮“解除锁定，用户同时登录掌握台时，允许其他某个用户编辑策略。第五步：导出策略右键点击一个策略，选择“导出策略第六步：导入策略右键点击某个策略，选择“导入策略第七步：策略应用E——引擎上点击右键，选择“应用策略3、配置交换机端口镜像原理 交换机的端口镜像特性可以允许治理员对网络中的特定流量进展镜像分析。即在交换机上，对特定流量进展复制并发送到指定端口。试验步骤第一步：定义需要镜像的特定流量其次步：配置镜像流量的流出端口第三步：验证测试4、端口扫描攻击检测〔1〕原理 端口扫描向目标主机的TCP/IP效劳端口发送探测数据包并记录目标主机的响应通过分析响应来推断效劳端口是翻开还是关闭就可以得知端口供给的效劳或信息。端口扫描也可以通过捕获本地主机或效劳器的流入流出IP数据包来监视本地主机的运行状况，它仅能对接收到的数据进展分析，帮助我们觉察目标主机的某些内在的弱点，而不会供给进入一个系统的具体步骤。端口扫描技术行为作为恶意攻击的前奏，严峻威逼用户的网络，RG-IDS通过扫描的行为特征准确的识别出恶意的扫描行为，并准时通知治理员。本试验通过攻击者常用的portscan12RG-IDS对端口扫描攻击的检测力量。〔2〕试验步骤第一步：策略编辑的策略。的策略中选择“tcp:portscan”签名，并将策略下发到引擎。其次步：实施攻击启动端口扫描攻击程序。第三步：查看警报进入RG-IDS掌握台，通过“安全大事”组件，查看IDS检测的安全大事信息5、DoS攻击检测〔1〕原理WebDoS主要是用来攻击Web页面。攻击者向目标主机上开销比较大的CGI页面发起恳求，造成目标主机拒绝效劳。攻击者模拟多个用户〔多少线程就是多少用户〕不停地进展访问，访问那些需要大量数据操作，即需要消耗大量CPU资源的页面。这种攻击和正常的Web访问很类似，因此攻击者可以很好地隐蔽自己，也可以绕开防火墙。WebCC攻击方法较为简洁，易被黑客所把握。因此此类攻击严峻威逼用户的正常的Web资源，RG-IDS通过行为特征准确地识别出恶意的行为，并准时产生告警。〔2〕试验步骤WebWebserverv12.exe25中，并运行该软件，使被攻击机不用做任何配置即可当做一台简易的Web效劳器。其次步：策略编辑的策略。的策略中选择“www2”下的“Webcc”签名，设置该签名的参数：WebHOST2第三步：实施攻击在MS-DoS下运行Webcc.exe文件，启动WebCC攻击程序。命令格式为“WebccWebWebWeb第四步：查看警报进入RG-IDS掌握台，通过“安全大事”组件，查看IDS检测的安全大事信息，6、密码策略审计〔1〕原理 密码攻击是骇客攻击时最常用到的方式之一，利用密码的猜测、暴力破解等方法来把握关键帐号的密码，已到达掌握远程机器的目的。防范此种攻击最常用的方法是保障密码的强度〔使用大小写、字母、数字、非标准字符等进展组合〕进展强制性要求。本试验通过模拟某FTP效劳器登录帐号密码使用简洁密码，IDS将准时产生告警。〔2〕试验步骤第一步：策略编辑的策略。其次步：使用弱密码进展登录在FTPtest0test012345test0FTPtest0test0第三步：查看警报进入RG-IDS掌握台，通过“安全大事”组件，查看IDS检测的安全大事信息，如以下图第四步：修改策略在RG-IDSALERTPASSWORD用策略到IDSFTP效劳器重复其次、三步骤，观看报警具体信息的差异，告警信息中将显示出担忧全的密码。7、IIS效劳漏洞攻击检测〔1〕原理 IIS〔InternetInformationService〕可以让有条件的用户轻易地建立一个本地化的网站效劳器，同时供给访问、文件传输〔FTP〕效劳以及邮件效劳等。IIS，更可修改其中的主页内容，甚至利用其漏洞进入到计算机内部，删改主机上的文件。以“扩展UNICODE名目遍历漏洞”为例，黑客就可以利用工具软件〔如：IISCracker〕进入到计算机内部。通过“IISCracker”入侵成功后，可以查看对方主机上的文件，通过远程掌握入侵，黑客拥有对主机上的主页和文件进展窃取、修改和删除等权限。本试验通过“IISCrackerIIS效劳的WebRG-IDS能准时准确地检测出该类攻击，并将警告上报掌握台。〔2〕试验步骤Windows的IISWeb其次步：策略编辑点击主界面上的“策略”按钮，切换到策略编辑器界面，从现有的策略模板中生成一个的策略。其次步：实施攻击IIS第四步：查看警报进入RG-IDS掌握台，通过“安全大事”组件，查看IDS检测的安全大事信息7、缓冲区溢出攻击检测〔1〕原理Win32.Sasser.A是一个通过Windows2023WindowsXP和WindowsServer2023的系统漏洞〔MS04-011〕传播的蠕虫病毒，病毒文件长度为15872字节。远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令，利用这个漏洞最知名的攻击就是“震荡波”病毒。微软的Server效劳中的漏洞可能允许远程执行代码，这是一个比较严峻的漏洞，从Windows2023SP4WindowsXPSP2再到Windows2023SP164位操作系统，无