網(wǎng)絡(luò)操作系統(tǒng)綜合實驗報告-網(wǎng)絡(luò)安全防范.doc

重慶科技學(xué)院綜合實驗報告課程名稱：網(wǎng)絡(luò)操作系統(tǒng)_開課學(xué)期：_2010-2011-2_學(xué)院:_電氣與信息工程學(xué)院_開課實驗室：計算機(jī)專業(yè)實驗室學(xué)生姓名:_專業(yè)班級:_計科應(yīng)08_學(xué)號:_1重慶科技學(xué)院學(xué)生實驗報告課程名稱網(wǎng)絡(luò)操作系統(tǒng)實驗項目名稱網(wǎng)絡(luò)安全防范開課學(xué)院及實驗室I520實驗日期2011-6-11學(xué)生姓名學(xué)號專業(yè)班級計科應(yīng)08指導(dǎo)教師陳寧實驗成績一、實驗?zāi)康暮鸵笤囼災(zāi)康模罕敬卧囼灳蚖indowsServer2003在網(wǎng)絡(luò)應(yīng)用中的安全策略制定出一些實訓(xùn)說明，希望能對大家起到拋磚引玉的效果，最終的目標(biāo)是確保我們的網(wǎng)絡(luò)服務(wù)器的正常運行，達(dá)到安全防范的目的。實驗要求：1.掌握如何提高密碼的破解難度2.掌握啟用賬戶鎖定策略3.掌握設(shè)置限制用戶登錄4.掌握限制外部連接5.掌握限制特權(quán)組成員6.掌握如何防范網(wǎng)絡(luò)嗅探7.掌握網(wǎng)絡(luò)服務(wù)安全管理8.掌握審核策略的制定二、實驗內(nèi)容和原理當(dāng)今網(wǎng)絡(luò)化的世界中，計算機(jī)信息和資源很容易遭到各方面的攻擊。網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時，也使得網(wǎng)絡(luò)很容易遭到攻擊，而攻擊的后果是嚴(yán)重的，諸如數(shù)據(jù)被人竊取、服務(wù)器不能提供服務(wù)等等。隨著信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)安全技術(shù)也越來越受到重視，由此推動了防火墻、入侵檢查、虛擬專用網(wǎng)、訪問控制等各種網(wǎng)絡(luò)安全技術(shù)的蓬勃發(fā)展。VLAN技術(shù)：選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡(luò)安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)，他依據(jù)用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可以利用MAC層的2數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破其中一個虛擬子網(wǎng)，也無法得到整個網(wǎng)絡(luò)的信息。網(wǎng)絡(luò)分段：企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通訊數(shù)據(jù)包，可以處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進(jìn)行偵聽，就可以獲取發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。硬件防火墻技術(shù)：任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護(hù)防火墻，因此防火墻在網(wǎng)絡(luò)安全的實現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。入侵檢測技術(shù)：入侵檢測方法較多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)。WindowsServer2003作為Mircrosoft推出的服務(wù)器操作系統(tǒng)，不僅繼承了Windows2000/XP的易用性和穩(wěn)定性，而且還提供了更高的硬件支持和更加強(qiáng)大的安全功能，無疑是中小型網(wǎng)絡(luò)應(yīng)用服務(wù)器的當(dāng)然之選。三、主要儀器設(shè)備1.每8人一組，每組一套網(wǎng)絡(luò)設(shè)備（含交換機(jī)、PC）2.每人一臺電腦3.網(wǎng)線若干四、實驗操作方法和步驟4.1提高密碼的破解難度提高密碼的破解難度主要是通過采用提高密碼復(fù)雜性、增大密碼長度、提高更換頻率等措施來實現(xiàn)，但常常是用戶很難做到的，對于企業(yè)網(wǎng)絡(luò)中的一些安全敏感用戶就必須采取一些相關(guān)的措施，以強(qiáng)制改變不安全的密碼使用習(xí)慣。首先安裝域控制器，然后在開始-管理工具-域安全策略打開如下圖所示的界面如圖4.1所示、然后再在打開安全設(shè)置-賬戶鎖定策略-賬戶鎖定閥值，右擊屬性，設(shè)置登錄次數(shù)為4次，然后在開機(jī)的時候如果設(shè)置了密碼，輸入密碼輸了四次仍然不對則系統(tǒng)會鎖定，不能再登錄了。3圖4.1“默認(rèn)域控制安全設(shè)置”界面4.2限制用戶登錄對于Windownsserver2003網(wǎng)絡(luò)來說，運行“ActiveDirectory用戶和計算機(jī)”管理工具，然后選擇相應(yīng)的用戶，并設(shè)置其賬戶屬性。如下圖4.2所示。圖4.2IUSR_SWY1LND2HKZKGDD用戶和計算機(jī)在賬戶屬性對話框中，可以限制其登錄的時間和地點，如圖4.3所示。圖4.3IUSR_SWY1LND2HKZKGDD屬性4單擊其中的“登錄時間”按鈕，在這里可以設(shè)置允許該用戶登錄的時間，這樣就可防止工作時間的登錄行為。如圖4.4所示。圖4.4IUSR_SWY1LND2HKZKGDD的登錄時間單擊其中的“登錄到”按鈕，在這里可以設(shè)置允許該賬戶從哪些計算機(jī)登錄。另外還可以通過“賬戶”選項來限制登錄時的行為。如圖4.5所示。圖4.5登錄工作站4.3限制特權(quán)組成員在Windownsserver2003網(wǎng)絡(luò)中，還有一種非常有效的防范黑客入侵和管理疏忽的輔助手段，這就是利用“受限制組”安全策略。該策略可保證組成員的組成固定。在域安全策略的管理工具中添加要限制組，在組對話框中鍵入或查找添加的組。如圖4.6和4.7所示。5圖4.6默認(rèn)域安全設(shè)置和添加組圖4.7受限制的組4.4加密會話具體方法如下：首先在”開始”菜單中單擊”運行”選項，然后鍵入mmc,并同時按下”Enter”按鈕，如下圖4.8所示圖4.8運行6在“控制臺”菜單中選擇“添加刪除管理單元(M)”命令，然后單擊其中的“添加”按鈕，如圖4.9和4.10所示。圖4.9控制臺圖4.10添加/刪除管理單元在可用的