您的位置:360文档中心› (安全生产)计算机信息安全

(安全生产)计算机信息安全

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

(安全生产)计算机信息安

题目:计算机信息安全

专业:计算机科学与技术班级:063

学号:060501310

姓名:林茜(xi)

指导老师:张红武

2010年1月11日

二、使用MACACL进行访问控制

【实验名称】

使用MACACL进行访问控制

【实验目的】

使用基于MAC的ACL实现高级的访问控制

【背景描述】

某公司的一个简单的局域网中,通过使用一台交换机提供主机及服务器的接入,并且所有主机和服务器均属于同一个VLAN(VLAN2)中。网络中有三台主机和一台财务服务器(AccountingServer)。现在需要实现访问控制,只允许财务部主机(172.16.1.1)访问财务服务器。

【需求分析】

基于MAC的ACL可以根据配置的规则对网络中的数据进行过滤。

【实验拓扑】

【实验设备】

交换机1台

PC机4台

【实验原理】

基于MAC的ACL可以对数据包的源MAC地址、目的MAC地址和以太网类型进行检查,可以说基于MAC的ACL是二层的ACL,而标准IPACL和扩展IPACL是三层和四层的ACL。由于标准IPACL和扩展IPACL是对数据包的IP地址信息进行检查,并且IP地址是逻辑地址,用户可以对其进行修改,所以很容易逃避ACL的检查。但基于MAC的ACL是对数据包的物理地址(MAC)进行检查,所有用户很难通过修改MAC地址逃避ACL的过滤。

当应用了MACACL的接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。【实验步骤】

第一步:交换机基本配置

Switch#configureterminal

Switch(config)#vlan2

Switch(config-vlan)#exit

Switch(config)#interfacerangefastEthernet0/1-3

Switch(config-if-range)#switchportaccessvlan2

Switch(config-if-range)#exit

Switch(config)#interfacefastEthernet0/12

Switch(config-if)#switchportaccessvlan2

Switch(config-if)#exit

第二步:配置MACACL

由于本例中使用的交换机不支持出方向(out)的MACACL,因此需要将MACACL配置在接入主机的端口的入方向(in)。由于只允许财务部主机访问财务服务器,所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。

Switch(config)#macaccess-listextendeddeny_to_accsrv

Switch(config-mac-nacl)#denyanyhost000d.000d.000d

!拒绝到达财务服务器的所有流量

Switch(config-mac-nacl)#permitanyany

!允许其他所有流量

Switch(config-mac-nacl)#exit

第三步:应用ACL

将MACACL应用到F0/2接口和F0/3接口的入方向,以限制非财务部主机访问财务服务器。

Switch(config)#interfacefastEthernet0/2

Switch(config-if)#macaccess-groupdeny_to_accsrvin

Switch(config-if)#exit

Switch(config)#interfacefastEthernet0/3

Switch(config-if)#macaccess-groupdeny_to_accsrvin

Switch(config-if)#end

第四步:验证测试

在财务部主机上ping财务服务器,可以ping通,但是在其他两台非财务部主机上ping 财务服务器,无法ping通,说明其他两台主机到达财务服务器的流量被MACACL拒绝。【实验总结】

通过实验学会使用基于MAC的ACL实现高级的访问并可以根据配置的规则对网络中的数据进行过滤。学会对MACACL的接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络

安全性。

十六、IIS服务漏洞攻击检测

【实验名称】

IIS服务漏洞攻击检测

【实验目的】

使用RG-IDS对IIS服务漏洞攻击进行检测

【背景描述】

某网络中使用Windows的IIS服务组件搭建了一个Web服务器。但是最近网络中发现经常有针对IIS的攻击发生。于是网络工程师部署了IDS系统以对各种攻击进行检测,以及对恶意扫描和探测行为进行审计。

【需求分析】

需求:IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些Web根目录以外的文件。

分析:RG-IDS能够实时地检测网络中针对IIS服的务攻击,并及时告警。

【实验拓扑】

【实验设备】

PC3台

RG-IDS1台

直连线4条

相关文档
最新文档