信息安全保护设计与实现

方案需求与目标

本方案包含病毒保护、VPN连接、防火墙搭建、身份验证系统实现和漏洞验证五个模块。其中病毒保护模块可以为系统提供实时保护，以防止计算机被安装上安装恶意软件。 该方案主要工作流程是首先扫描系统可能存在的安全风险，再通过黑白名单校验、病毒库特征码校验、云安全校验三种方式杀毒。VPN连接的建立可以让出差在外的员工可以安全畅通的连接到公司内部网络。防火墙搭建保护公司的网络安全，只有在防火墙同意的情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外。身份验证模块通过类似于时间同步的方式进行身份验证，阻止非授权人员登录公司系统 。漏洞检测模块希望系统能够防患于未然，发现系统漏洞，在漏洞被利用之前可以实施修补。

 方案总体框架图

 

 

实现部分：

（1）病毒保护实现

本方案的操作流程是首先扫描系统可能存在的安全风险，再通过黑白名单校验、病毒库特征码校验、云安全校验三种方式杀毒。其中扫描方式分为三种模式：快速扫描、全盘扫描、自定义扫描。这三种扫描方式，展现在用户面前时是3种不同的操作，而在程序中的编码是非常相近的，不同在于扫描的目标文件对像不同。快速扫描对加载在内存中的文件进行扫描；全盘扫描对整个硬盘中的文件扫描；自定义扫描对选中的目标文件进行扫描。

如下图所示：

 

 

快速扫描要扫描内存中的文件，这里我通过遍历系统活动进程及进程模块文件的方式来实现。此该模块代码中，传入待扫描文件名，然后检测两处文件标识对文件类型进行检测，确定是PE文件(也就是可执行文件）后，再调用下级函数对文件进行扫描，因为病毒木马都是可执行文件，而不可能是文本文件，所以只有扫描可执行文件才有意义。

首先判断一个文件是否是PE文件、获取PE文件的节内容，如大小、哈希值。PE文件结构简图如下：

 

 

要操作PE文件，就要在程序中定义与之相同的文件格式，首先在程序中需要定义的是DOS头。DOS头内含PE头结构在文件中的偏移。例如这个文件该值为0x40,那么0x40开始就是PE头的开始,标志为"PE"两个字符。判断文件是否是PE文件，就是依靠这个。

  在本方案，为了起到保密作用，防止特征码被他人非法使用，需要将特征码字符串进行加密，加密后存储在本地病毒库中。例如某文件Test.exe中，.Text节的大小为1024，节内容的Hash值为1234567890abcdef，则其特征码为：“1024:1234567890abcdef”，再将此特征码字符串加密，得到加密的特征码：abcdef1234567890，再附加上病毒名称，就得到了最终特征码组合：abcdef1234567890Trojan.a.b，这时便可以进行存储了。

  防毒功能实现需要拦截进程启动行为，在一个进程启动前，先对其进行扫描，判断是否是病毒，如果是病毒立刻进行阻止。这也就是许多杀毒软件宣传的主动防御功能。

 

为了实现拦截功能，我们这里要使用API Hook技术。拦截到进程时，获取到它的文件特征码，并在本地病毒库、黑名单、云病毒库中进行匹配校验，如果检测到是病毒，直接阻止。其程序流程如下图所示：

 

 

黑白名单模块是一个简化的特征码库，辅助病毒库工作。病毒库中存放的是病毒木马的特征码，有某些情况下，除了病毒木马还有一些边缘软件，不属于病毒木马范畴，不会对系统造成危害，但它会对系统产生一些不好的影响，比如某些P2P在线影音软件的后台程序，会将机器做为一台种子机器，不停的上传下载电影，占用大量宝贵的带宽和流量、比如某些聊天软件登录时弹出的广告等等。这些软件是正常电脑使用不需要的，但它却是某些正常软件附加软件，出于多种原因的考虑，不能将其列入到病毒库，那么就能使用黑名单功能阻止其运行。于白名单，与此恰恰相反。比如一些调试工具，往往被归为恶意工具的一种而被列入病毒库，如果出于工作或其它需要需要使用这些工具，则需要使用白名单功能使期能够运行而不被杀毒软件阻止。归结起来，黑白名单的存在，是为了扩充病毒库的使用范围，和减少杀毒软件的误报率。

病毒库模块是病毒特征码的汇总，特征码是一段特殊的程序，从病毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。

该步骤性能的强弱在很大程度上依赖于病毒库，需要将病毒库放置在网络中的服务器端。该模块也可以记录一些病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用 户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

云安全校验模块使用ASP编写，数据库可以用MS-SQL或Access。后台程序实现两个功能。其一，接收用户端杀毒软件传送的数据，数据为用户执行程序时获取的文件特征码，这个行为将用户端视为云的客户端，实现了采集数据的功能；其二，根据客户端请求进行查询并反馈结果。请求中附带的依然是特征码。根据云数据库中的数据，后台程序接收特征码进行校验查询，并反馈查询结果给客户端，这个操作用于防毒功能。

 

云安全检验的实现方式

 

 

 

 

云安全检验在公司的实现方式

 

 

VPN连接实现

1.用apt命令安装PPTP服务

 

2.查客户机和虚拟机IP地址

 

3.安装完成之后打开pptpd.conf配置文件进行编辑

 

 

4.编辑PPP选项配置文件

 5.编辑用户配置文件来添加用户

 

6.配置网络和路由规则 设置ipv4转发

 

7.设置iptables NAT转发，把VPN客户端的数据流通过iptables的NAT转发出去。配置内核参数，允许IP转发，然后执行sysctl -p激活。

8.检查VPN服务器的连接情况

9.保存iptables更改

 

防火墙实现

查看iptables的配置信息，清楚原有防火墙预设表filter中的所有规则链的规则和filter中使用者自定链中的规则，保存防火墙设置。

 开启SSH服务端口、Web服务端口、邮件服务的25、110端口、FTP服务的21端口、DNS服务的53端口；设置icmp服务，因为OUTPUT设置成了DROP，所以用iptables -A OUTPUT -p icmp -j ACCEPT命令；允许lookback，不然会导致DNS无法正常关闭等问题。

 

 查看本机关于NAT的设置情况

 清除NAT规则

 

 减少不安全的端口连接，有些特洛伊木马会扫描端口31337到31340上的服务，阻塞这些端口能够有效地减少网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会。

 

 在做NAT网络配置时,FORWARD默认规则是DROP时,所以必须开启数据包转发功能。丢弃坏的tcp包，处理IP碎片数量，防止DDOS攻击，允许每秒100个。设置ICMP包过滤, 允许每秒1个包, 限制触发条件是10个包

 

 DROP非法连接

 允许所有已经建立的和相关的连接

配置web服务器防火墙：放行环回口所有数据和22、80端口；允许已经建立tcp连接的包以及该连接相关的包通过。状态防火墙能识别TCP或者UDP会话。非状态防火墙只能根据端口识别，不能识别会话；修改INPUT链的默认动作为丢弃，也就是只接受前面设置的22、80端口数据进来。最后保存修改，重启服务。

 

 设置凡是已经建立的链接都允许通过防火墙，凡是符合源地址为192.168.2的网段 ，目的地址为172.18网段的icmp数据包都允许通过防火墙，其余的协议都拒绝

 

规则编写：

1.拒绝进入防火墙的所有ICMP协议数据包

iptables -I INPUT -p icmp -j REJECT

1. 允许防火墙转发除ICMP协议以外的所有数据包

iptables -A FORWARD -p icmp -j ACCEPT

说明：使用“！”可以将条件取反。

3.拒绝转发来自192.168.1.10主机的数据，允许转发来自192.168.0.0/24网段的数据

iptables -A FORWARD -s 192.168.1.11 -j REJECT

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

4.丢弃从外网接口（eth1）进入防火墙本机的源地址为私网地址的数据包

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

5.封堵网段（192.168.1.0/24），两小时后解封。

 iptables -I INPUT -s 10.20.30.0/24 -j DROP

iptables -I FORWARD -s 10.20.30.0/24 -j DROP

 at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

6.只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机。

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

说明：这个用法比较适合对设备进行远程管理时使用，比如位于分公司中的SQL服务器需要被总公司的管理员管理时。

7.允许本机开放从TCP端口20-1024提供的应用服务。

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

8.允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

9.禁止其他主机ping防火墙主机，但是允许从防火墙上ping其他主机

iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP

iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT

iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j

ACCEPT

10.禁止转发来自MAC地址为00：0C：29：27：55：3F的和主机的数据包

iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP

说明：iptables中使用“-m 模块关键字”的形式调用显示匹配。这里用“-m mac –mac-source”来表示数据包的源MAC地址。

11.允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

说明：这里用“-m multiport –dport”来指定目的端口及范围

12.禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包。

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP

说明：此处用“-m –iprange –src-range”指定IP范围。

13.禁止转发与正常TCP连接无关的非—syn请求数据包。

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

说明：“-m state”表示数据包的连接状态，“NEW”表示与任何连接无关的。

14.拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包

iptables -A INPUT -p tcp -m state --state NEW -j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

说明：“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包，“RELATED”表示与已建立的连接有相关性的，比如FTP数据连接等。

15.只开放本机的web服务（80）、FTP(20、21、20450-20480)，放行外部主机发住服务器其它端口的应答数据包，将其他入站数据包均予以丢弃处理。

iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT

iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT

iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

身份验证机制实现

本身份验证机制基于动态口令实现，是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证方式。它的主要原理是: 用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中，当进行登录时，用户系统产生一个类似于时间戳的东西，把这个时间戳使用口令和固定的密码算法进行加密，连同用户名一同发送给业务平台，业务平台根据用户名查找用户口令进行解密，如果平台能恢复或接收到那个被加密的时间戳，则对解密结果进行比对，从而判断认证是否通过；以此来保证用户登录系统时的安全性。

  该算法的原理是动态令牌和动态口令验证服务器的时间比对，基于时间同步的令牌， 由于网络延迟和不同步时钟可能导致密码接收者必须尝试一系列可能的时间来进行身份验证，因此时间戳通常以30秒的间隔增加，从而减少了潜在的搜索空间。这就要求服务器能够十分精确的保持正确的时钟，同时对其令牌的晶振频率有严格的要求。其中令牌实际相当于一个密码本，输进去AAA得到BBB，BBB是正确答案，验证通过。实际用的时候还会令牌会有一个时间有效性的问题，在不同的时间里输入AAA得到的答案是不同的，服务器端认为的正确答案是在随时间变动的，前一分钟有可能是DDD，后一分钟可能是MMM，一般在一个有效时间段才会得到的答案BBB，

  每个令牌都有不同ID，帐号先与令牌ID绑定，令牌会根据自身的特定ID与当前时间来计算出6位的随机码。服务器端程序因为 有了令牌ID，所以也可以根据这个令牌的特征和当前时间来生成同样的随机码，然后你提交令牌生成的验证码，服务器会验证与它自己生成的是否一致，一致就通过，不一致就提示错误

 

 

上图是基于时间同步的动态口令实现大致流程，是通过客户端和服务器持有相同的密钥并基于时间基数，服务端和客户端采用相同的Hash算法，计算出长度为六位的校验码。当客户端和服务端计算出的校验码相同是，那么验证通过。

 

方案实现流程：

 

①　用户和密码先登陆

 

②　session里存储了用户名等信息

 

③　产生二维码及密钥，密钥存储到服务器的k/v介质里，k使用session里的用户名，v使用刚才的密钥

 

④　客户使用app扫二维码，产生新的6位数字

 

⑤　客户在用户名和密码登陆后，进行验证码页面，输入刚才的6位数字

 

⑥　提交到服务端，服务端根据用户名取出对应的密钥，然后使用该算法生成6位数字

 

⑦　如果服务端与客户端数字相同，表示登陆成功

 

 

 

该方案在公司内部实施范围有：

 

l 服务器登录动态密码验证

 

l 公司VPN登录双因素验证；

 

l 网络接入radius动态密码；

 

l 网银、银行转账动态密码；

 

代码实现：

# -*- codeing = utf-8 -*-
import hmac
import datetime
import time
while 1:
    # 获取当前时间(时间戳)
    now_time = time.time()
    # 时间戳转时钟格式
    local_time = datetime.datetime.fromtimestamp(now_time)
    print(local_time)
    # 校验一下输出时间的字符串位数
    print(len(str(local_time)))
    # 截取前16位，截取到分
    time_min = str(local_time)[0:16]
    print(time_min)
    # K 共享密钥（令牌种子）
    k = "3132333435363738393031323334353637383930" \
        "3132333435363738393031323334353637383930" \
        "3132333435363738393031323334353637383930" \
        "31323334"
    # string->bytes
    b_k = bytes(k, encoding='utf-8')
    b_m = bytes(str(time_min), encoding='utf-8')
    # 调HMAC生成随机口令
    # 加密算法
    digestmod = "MD5"
    h = hmac.new(b_k, b_m, digestmod)
    print(h.hexdigest())
    # 将返回的16进制摘要截取6位
    hex_final = str(h.hexdigest())[0:6]
    print(hex_final)
    # 转为10进制
    final = str(int(hex_final.upper(), 16))[0:6]
    print(final)
    time.sleep(15)

漏洞扫描实现

工具：Metasploit

过程：

本漏洞验证在kali-Linux-2022.3系统中运行 ,原理基于SMB，SMB是一种应用层网络传输协议，主要功能是使网络上的终端能够共享文件、打印机和串行端口等资源，又称网络文件共享协议。SMB v1存在远程执行代码漏洞，利用该漏洞可以在目标系统上远程执行任意代码。

SMB的漏洞通过 TCP 的445和139端口，来利用 SMBv1 和 NBT 中的远程代码执行漏洞，通过恶意代码扫描并攻击开放445文件共享端口的主机。只要用户主机开机联网，即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。

试验在Metasploit控制终端msfconsole下进行，首先通过辅助模块对目标进行MS17_010漏洞扫描，接着使用攻击模块对目标进行漏洞攻击，进而获取目标主机的远程shell。具体实验步骤如下：

 在终端输入msfconsole打开kali—漏洞利用工具集—metasploit framework，等工具自己跑完后，进入msf。使用auxiliary/scanner/smb/smb_ms17_010模块，在扫描模块里设置win7靶机的IP：192.168.209.131，运行后会自动返回rhost→192.168.209.131。设置完成后，模块对目标靶机进行扫描，发现可能存在的漏洞

 

 搜索有关模块，发现exploit/windows/smb/ms17_010_eternablblue模块可以使用（图一）；通过字典爆破模块查看有哪些漏洞（图二）；

 

 

 应用exploit/windows/smb/ms17_010_eternablblue模块，show optionS查看配置信息。

 

 show payloads显示所有可能的攻击载荷

 

 检测SambaMS-RPC 命令注入漏洞，该漏洞是Samba中负责在SAM数据库更新用户口令的代码未经过滤便将用户输入传输给了/bin/sh。如果在调用smb.conf中定义的外部脚本时，通过对/bin/sh的MS-RPC调用提交了恶意输入的话，就可能允许攻击者以nobody用户的权限执行任意命令。

利用exploit/multi/samba/usermap_script，选择漏洞，setRHOST 192.168.209.184设置可能存在漏洞机器的IP

 

 检测Vsftpd源码包后门漏洞，该漏洞是在特定版本的vsftpd服务器程序中，被人恶意植入代码，当用户名以“:)”为结尾，服务器就会在6200端口监听，并且能够执行任意代码。

利用exploit/unix/ftp/vsftpd_234_backdoor，选择漏洞，setRHOST 192.168.209.184设置可能存在漏洞机器的IP

 

 应用auxiliary/scanner/ssh/ssh_login模块扫描ROOT用户弱口令漏洞，该漏洞的原理是系统中root用户可能存在弱口令漏洞，在使用指南里并没有指出。

利用nmap –sV –O 192.168.5.136,查看SSH端口是否开启：

 

 检测并未发现该漏洞

 

 

 验证和总结

（1）设计验证或测试方案

病毒检测模块的验证方式可以通过安全软件进行测试，在安全软件中配置安全策略里的反病毒配置文件，配置完后对比结果。防火墙的验证方式是通过命令行查看配置后防火墙的状态，运行编写的命令添加到防火墙中，再通过命令查看更改后的防火墙策略。还可以使用网络监测仪等硬件设备对防火墙进行检测，查看检测的数据。VPN搭建的验证方式是在虚拟机搭建VPN后通过主机连接，配置Windows客户端，模拟远程登录VPN服务，若能连接上证明搭建成功；身份验证的测试方案是编写方案的Python脚本进行测试；漏洞扫描的测试方案是利用查询出来的漏洞，该方法限于检测个别漏洞。要想检测所有漏洞的扫描结果的准确性还可以通过其他软件进行扫描检测，然后对扫描出的漏洞结果进行比对。

 

（2）实施验证或测试

病毒保护：

在公司网络边界处部署了EW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。公司利用EW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。

1.新建防病毒配置文件

两个配置文件，一个满足内网用户需要通过Web服务器和POP3服务器下载文件和邮件，一个满足内网FTP服务器接收外网用户上传的文件。（由于模拟器自身的问题，该病毒签名ID不存在，做不了）

 

 

 

 在安全策略里使用反病毒配置文件

 

 

配置成功

防火墙：

编写完后查看当前防火墙策略：

 

 

规则编写：

1.拒绝进入防火墙的所有ICMP协议数据包

iptables -I INPUT -p icmp -j REJECT

 

2.允许防火墙转发除ICMP协议以外的所有数据包

 

iptables -A FORWARD -p icmp -j ACCEPT

 

说明：使用“！”可以将条件取反。

3.拒绝转发来自192.168.1.10主机的数据，允许转发来自192.168.0.0/24网段的数据

iptables -A FORWARD -s 192.168.1.11 -j REJECT

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

 

4.丢弃从外网接口（eth1）进入防火墙本机的源地址为私网地址的数据包

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

 

5.封堵网段（192.168.1.0/24），两小时后解封。

 iptables -I INPUT -s 10.20.30.0/24 -j DROP

iptables -I FORWARD -s 10.20.30.0/24 -j DROP

 at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

 

6.只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机。

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

 

说明：这个用法比较适合对设备进行远程管理时使用，比如位于分公司中的SQL服务器需要被总公司的管理员管理时。

 

7.允许本机开放从TCP端口20-1024提供的应用服务。

 

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT

 

iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

 

8.允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

 

9.禁止其他主机ping防火墙主机，但是允许从防火墙上ping其他主机

iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP

iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT

iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j

ACCEPT

 

10.禁止转发来自MAC地址为00：0C：29：27：55：3F的和主机的数据包

iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP

 

说明：iptables中使用“-m 模块关键字”的形式调用显示匹配。这里用“-m mac –mac-source”来表示数据包的源MAC地址。

11.允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

 

说明：这里用“-m multiport –dport”来指定目的端口及范围

12.禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包。

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP

 

说明：此处用“-m –iprange –src-range”指定IP范围。

13.禁止转发与正常TCP连接无关的非—syn请求数据包。

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

 

 

说明：“-m state”表示数据包的连接状态，“NEW”表示与任何连接无关的。

14.拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包

iptables -A INPUT -p tcp -m state --state NEW -j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

说明：“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包，“RELATED”表示与已建立的连接有相关性的，比如FTP数据连接等。

15.只开放本机的web服务（80）、FTP(20、21、20450-20480)，放行外部主机发住服务器其它端口的应答数据包，将其他入站数据包均予以丢弃处理。

iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT

iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT

iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

 查看插入的规则：

VPN连接：

配置Windows客户端，模拟远程登录VPN服务。

 

 

 身份验证机制测试：

 

漏洞扫描测试：

1.测试该漏洞可行性：在攻击模块中设置win7靶机的IP，运行后自动返回rhost→192.168.209.128，使用exploit命令进行攻击

 

 运行结束后，获取到了meterpreter权限

 

 创建用户，给用户增加管理员权限，让它可以有远程控制的权限

 

 

 用kali把win7靶机远程桌面服务打开

 

自动弹出win7的界面窗口，如果直接进行登陆的话，win7靶机那边就会掉线，30秒后，kali界面就会如下图所示，可以看到win7靶机的界面，并且可以进行任意操作了，可见扫描出来的漏洞是真实存在的。

 

优点：检测准确，可识别病毒的名称，误报警率低，依据检测结果可做杀毒处理的

缺点：特征码模块从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂；要求用户必须连接互联网，否则无法完成病毒的查杀任务；如果计算机已经中了病毒，只能将病毒从计算机中删除，无法修复病毒对计算机造成的伤害。

 

VPN

 

优点：传输的信息经过安全处理，保证了数据的完整性、真实性和私有性；能让远程的员工、移动的员工和其他人利用本地可用的带宽网络连接到公司内部，不受地域的限制。

 

缺点：公司不能直接控制基于互联网和VPN 的可靠性和性能；使用无线设备连接时设备和路由器之间的流量不安全，被陌生人连接后可能成为严重的安全问题。

 

 

 

防火墙

 

优点：功能多，安全性高，可以动态修改单条规则；所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，拒绝可疑的访问。

 

缺点：纯命令行界面，非程序员不容易管理；不能抵抗最新的未设置防御策略的漏洞攻击；无法阻止内部主动发起的攻击；

 

 

 

身份验证

 

优点：采用一次一密的方法，有效的保证了用户身份的安全性；即使被截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。

 

缺点：容易通过键盘监听、字典攻击、搭线监听等方式破解。

 

 

 

漏洞检测

 

优点：扫描全面，高效精准，操作起来简单方便。

 

缺点：对于新型病毒可能检测不到