资源简介

课题 任务3 网络安全 课时
教学内容 掌握计算机网络安全的常用设置
教学目标 学习网络安全防御的相关知识
教学重点 路由设置
教学难点 IP地址过滤
教学活动及主要语言 学生活动
情景引入 通过前两个任务学习了病毒和木马的由来及杀毒方法，但要保证计算机的安全，就要防患于未然，即对病毒和木马加以预防。随着计算机网络越来越发达，可以通过平时的一些上网习惯以及对路由器的设置进行网络安全防御。本任务即学习网络安全防御的相关知识。 基础知识 1.VT技术 VT技术，即英特尔的硬件辅助虚拟化技术(Virtualization Technology)， 它可以让一个CPU工作起来像多个CPU并行运行，使得在一部电脑中可以同时运行多个操作系统。 2.DMZ DMZ是为了解决安装防火墙后外部网络的访部用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。 3.DOS攻击 DOS攻击是指故意的攻击网络协议的缺陷，或直接耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应，甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。 4.DDOS攻击 DDOS攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDOS攻击，从而成倍地提高拒绝服务攻击的威力。 5.ICMP-FLOOD 这是一种DDOS攻击，通过对目标发送超过65535字节的数据包，就可以令目标主机瘫痪。当出现icmp flood攻击的时候，只要禁止ping即可，icmp flood只对没有禁用ping的计算机有效，不管黑客有多少机器，只要禁用ping，此种攻击方法就无效了。 6.UDP-FLOOD UDP-FLOOD是一种流量型DOS攻击，其原理非常简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDP Flood经常将线路上的骨干设备（例如防火墙）打瘫，造成整个网段的瘫痪。 7.TCP-SYN-FLOOD 这是一种广为人知的DOS（拒绝服务攻击）与DDOS（分布式拒绝服务攻击）之一，是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 8.DNS攻击 DNS攻击的结果最常见的现象就是QQ等通信软件可以正常使用，网页却打不开，下面是常见的几种DNS攻击方式： （1）域名劫持 （2）缓存投毒 （3）DDOS攻击 （4）DNS欺骗 任务实施 1．利用MAC地址筛选连接设备 操作过程与步骤如下： 2．IP地址过滤 IP地址过滤用于通过IP地址设置内网主机对外网的访问权限，适用于：在某个时间段，禁止（允许）内网某个IP（段）所有或部分端口和外网IP的所有或部分端口的通信。 开启IP地址过滤功能时，必须要开启防火墙总开关，并明确IP地址过滤的缺省过滤规则。下面将通过一个例子说明IP地址过滤的使用。 例：预期目的是IP网段为192.168.1.100-192.168.1.103的局域网内，不允许内网192.168.1.100—192.168.1.102的IP地址访问外网所有IP地址；允许192.168.1.103完全不受限制的访问外网的所有IP地址。 操作过程与步骤如下： 3．域名过滤 域名过滤用于限制局域网内的计算机对某些网站的访问，适用于：在某个时间段，限制对外网某些网站的访问或限制某些需要域名解析成功后才能和外网通信的应用程序的使用。 预期目的：任何时间都禁止访问网站www.，只在上午8点到下午4点禁止访问域名中带有字符串“.cn”的网站，其余时间允许访问。 操作过程与步骤如下： 4．确认关掉DMZ 路由器的DMZ功能默认是关闭的。DMZ是将一个IP（或IP范围）公开到时互联网，任何无意设置此功能的系统完全暴露在互联网中，并且处于危险之中。 5．避免使用远程管理 多数路由器具有远程管理功能，即允许从网络之外登录与管理设备。这个功能很少有必须要用的场合，所以应避免使用。如果确实需要使用远程通道，最好改变默认的端口（通常是8080或8888）。 6．预防DOS攻击 无线路由器可以防止局域网的设备参与DOS攻击，一旦发现，发送信息的计算机将被禁止连接到网络。 （1）数据包统计时间间隔 就是间隔一段时间对通过无线路由器的数据流进行一次采样分析，需要依次选择“【系统工具】\【流量统计】”选项，进行设置。 （2）DOS攻击防范 只有开启了这项功能，下面的几种具体防范措施才能激活状态。 （3）开启ICMP-FLOOD攻击过滤 Ping命令发出的数据包是ICM信息流的一种，旧版本的系统在收到大量ICMP数据包时会导致系统瘫痪。当ICMP数据包的发送速率大于ICMP-FLOOD数据包阈值设置的值时，将被认为是ICMP-FLOOD攻击。 （4）开启UDP-FLOOD攻击过滤 在OSI参考模型中，TCP和UDP是传输层的两种协议，UDP协议的特点在于数据包的发送和接收不需要事先建立连接，例如DNS服务就使用的UDP53端口对外提供服务。 （5）开启TCP-SYN-FLOOD攻击过滤 TCP-SYN是进行TCP通讯时建立连接时的一种状态，也就是同步状态，攻击主机可以向受害主机发送大量的SYN请求，然而攻击者并不完成同步。 （6）忽略来自WAN口的PING 一旦开启此功能，则任何广域网主机都无法PING通无线路由器的WAN口。 （7）禁止来自LAN口的PING包通过路由器 这项功能是禁止局域网的主机发起对广域网主机的PING操作。 思考与练习 1. 熟悉杀毒软件的使用，对本地计算机进行快速杀毒和全盘杀毒； 2. 对本地计算机进行木马查杀并且制作一个简易木马； 3.路由设置：在局域网内，限制IP地址为192.168.1.102的计算机在8：00到18：00能访问外网，其余IP地址的计算机任意时刻都访问不了外网； 4.路由设置：禁止局域网内的计算机访问域名含的网站； 5. 对路由器进行必要设置并尝试DOS攻击局域网的主机来验证路由器的安全设置。 学生根据教师的提问进行思考问题 此部分主要由老师来讲解，同时学生也配合着老师回答一些常见问题 学生按照教师的要示完成任务实施

展开更多......

收起↑