網(wǎng)絡(luò)操作系統(tǒng)綜合實驗報告網(wǎng)絡(luò)安全防范

1、重慶科技學(xué)院綜合實驗報告課程名稱：網(wǎng)絡(luò)操作系統(tǒng)_ 開課學(xué)期：_2010-2011-2_ _學(xué) 院:_電氣與信息工程學(xué)院_開課實驗室：計算機專業(yè)實驗室學(xué)生姓名: _ _ 專業(yè)班級:_計科應(yīng)08_學(xué) 號:_ _ 重慶科技學(xué)院學(xué)生實驗報告課程名稱網(wǎng)絡(luò)操作系統(tǒng)實驗項目名稱網(wǎng)絡(luò)安全防范開課學(xué)院及實驗室i520實驗日期2011-6-11學(xué)生姓名學(xué)號專業(yè)班級計科應(yīng)08指導(dǎo)教師陳 寧實驗成績一、實驗?zāi)康暮鸵笤囼災(zāi)康模罕敬卧囼灳蛍indows server 2003在網(wǎng)絡(luò)應(yīng)用中的安全策略制定出一些實訓(xùn)說明，希望能對大家起到拋磚引玉的效果，最終的目標是確保我們的網(wǎng)絡(luò)服務(wù)器的正常運行，達到安全防范的目的。實驗要求

2、：1. 掌握如何提高密碼的破解難度2. 掌握啟用賬戶鎖定策略3. 掌握設(shè)置限制用戶登錄4. 掌握限制外部連接5. 掌握限制特權(quán)組成員6. 掌握如何防范網(wǎng)絡(luò)嗅探7. 掌握網(wǎng)絡(luò)服務(wù)安全管理8. 掌握審核策略的制定二、實驗內(nèi)容和原理當(dāng)今網(wǎng)絡(luò)化的世界中，計算機信息和資源很容易遭到各方面的攻擊。網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時，也使得網(wǎng)絡(luò)很容易遭到攻擊，而攻擊的后果是嚴重的，諸如數(shù)據(jù)被人竊取、服務(wù)器不能提供服務(wù)等等。隨著信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)安全技術(shù)也越來越受到重視，由此推動了防火墻、入侵檢查、虛擬專用網(wǎng)、訪問控制等各種網(wǎng)絡(luò)安全技術(shù)的蓬勃發(fā)展。vlan技術(shù)：選擇vlan技術(shù)可較好地從鏈路層實

3、施網(wǎng)絡(luò)安全保障。vlan指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)，他依據(jù)用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的mac地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可以利用mac層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的vlan端口實施mac幀過濾。而且，即使黑客攻破其中一個虛擬子網(wǎng)，也無法得到整個網(wǎng)絡(luò)的信息。網(wǎng)絡(luò)分段：企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通訊數(shù)據(jù)包，可以處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以獲取發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包

4、，對其進行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達到限制用戶非法訪問的目的。硬件防火墻技術(shù)：任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護防火墻，因此防火墻在網(wǎng)絡(luò)安全的實現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與internet是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。入侵檢測技術(shù)：入侵檢測方法較多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)。windows server 2003作為mircrosoft推出的服務(wù)器操作系統(tǒng)，不僅繼承了windows

5、2000/xp的易用性和穩(wěn)定性，而且還提供了更高的硬件支持和更加強大的安全功能，無疑是中小型網(wǎng)絡(luò)應(yīng)用服務(wù)器的當(dāng)然之選。三、主要儀器設(shè)備1.每8人一組，每組一套網(wǎng)絡(luò)設(shè)備（含交換機、pc）2.每人一臺電腦3.網(wǎng)線若干四、實驗操作方法和步驟4.1提高密碼的破解難度提高密碼的破解難度主要是通過采用提高密碼復(fù)雜性、增大密碼長度、提高更換頻率等措施來實現(xiàn)，但常常是用戶很難做到的，對于企業(yè)網(wǎng)絡(luò)中的一些安全敏感用戶就必須采取一些相關(guān)的措施，以強制改變不安全的密碼使用習(xí)慣。首先安裝域控制器，然后在開始-管理工具-域安全策略打開如下圖所示的界面如圖4.1所示、然后再在打開安全設(shè)置-賬戶鎖定策略-賬戶鎖定閥值，右擊

6、屬性，設(shè)置登錄次數(shù)為4次，然后在開機的時候如果設(shè)置了密碼，輸入密碼輸了四次仍然不對則系統(tǒng)會鎖定，不能再登錄了。圖4.1 “默認域控制安全設(shè)置”界面4.2限制用戶登錄對于windowns server 2003網(wǎng)絡(luò)來說，運行“active directory用戶和計算機”管理工具，然后選擇相應(yīng)的用戶，并設(shè)置其賬戶屬性。如下圖4.2所示。 圖4.2 iusr_swy1lnd2hkzkgdd用戶和計算機在賬戶屬性對話框中，可以限制其登錄的時間和地點，如圖4.3所示。圖4.3 iusr_swy1lnd2hkzkgdd屬性單擊其中的“登錄時間”按鈕，在這里可以設(shè)置允許該用戶登錄的時間，這樣就可防止工作時

7、間的登錄行為。如圖4.4所示。圖4.4 iusr_swy1lnd2hkzkgdd的登錄時間單擊其中的“登錄到”按鈕，在這里可以設(shè)置允許該賬戶從哪些計算機登錄。另外還可以通過“賬戶”選項來限制登錄時的行為。如圖4.5所示。圖4.5 登錄工作站4.3限制特權(quán)組成員在windowns server 2003網(wǎng)絡(luò)中，還有一種非常有效的防范黑客入侵和管理疏忽的輔助手段，這就是利用“受限制組”安全策略。該策略可保證組成員的組成固定。在域安全策略的管理工具中添加要限制組，在組對話框中鍵入或查找添加的組。如圖4.6和4.7所示。圖4.6 默認域安全設(shè)置和添加組圖4.7 受限制的組4.4加密會話具體方法如下：首

8、先在”開始”菜單中單擊”運行”選項，然后鍵入mmc,并同時按下”enter”按鈕，如下圖4.8所示圖4.8 運行在“控制臺”菜單中選擇“添加刪除管理單元(m)”命令，然后單擊其中的“添加”按鈕，如圖4.9和4.10所示。圖4.9 控制臺圖4.10 添加/刪除管理單元在可用的獨立的管理單元中，選擇“ip安全策略管理”選項，雙擊或單擊“添加”按鈕，在這里選擇被該管理單元所管理的計算機，如圖4.11所示。然后單擊“完成”按鈕。關(guān)閉添加管理單元的相關(guān)窗口，就得到了一個新的管理工具，在這里可以為其命名并保存。圖4.11 添加獨立管理單元“安全服務(wù)器(要求安全設(shè)置)”策略則最為嚴格，它要求雙方必須使用ip

9、sec協(xié)議。不過，“安全服務(wù)器”策略默認允許不加密的受信任的通信，因此仍然能夠被竊聽。直接修改此策略或定制專門的策略，就可以實現(xiàn)有效的防范。選擇其中的“所有ip通訊”選項，如圖4.12所示。圖4.12 安全服務(wù)器屬性選擇“篩選器操作”選項卡，選擇其中的“需要安全”選項，在此篩選器操作的屬性設(shè)置里可以編輯安全措施，在這里將安全措施設(shè)置為“高”選項，如圖4.13和4.14所示。圖4.13 編輯規(guī)則屬性圖4.14 請求(可選)屬性4.5 禁止c$、d$、admin$一類的缺省共享打開注冊表，key_local_machinesystemcurrentcontrolsetserviceslanmans

10、erverparameters,如下圖所示在右邊的窗口中新建dword值，名稱設(shè)為autoshareserver值設(shè)為0。圖4.15 注冊表編輯器圖4.16 編輯word值4.6 解除netbios與tcp/ip協(xié)議的綁定右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊internet 協(xié)議-高級-wins-禁用tcp/ip上的netbios。過程如下圖4.17所示。圖4.17 高級tcp/ip設(shè)置4.7關(guān)閉不需要的服務(wù)關(guān)掉computer browser服務(wù)，distributed file system服務(wù)，distributed linktracking client服務(wù)，error rep

11、orting service服務(wù)，microsoft serch服務(wù),ntlmsecuritysupportprovide服務(wù)，pringspooler服務(wù)，remote registry服務(wù)remote desktop help session manager服務(wù)。右擊我的電腦-管理-服務(wù)和應(yīng)用程序-服務(wù)在右面的窗口中找到computer browser服務(wù)，distributed file system服務(wù)，distributed linktracking client服務(wù)，error reporting service服務(wù)，microsoft serch服務(wù),ntlmsecuritysu

12、pportprovide服務(wù)，pringspooler服務(wù)，remote registry服務(wù)remote desktop help session manager服務(wù)，然后右擊屬性，禁用就可以了過程如下圖所示。圖4.18 計算機管理界面圖4.19 禁用維護網(wǎng)絡(luò)計算機更新圖4.20 禁止發(fā)送錯誤報告圖4.21 禁止telnet服務(wù)和micrsoft serch圖4.22 禁用打印機圖4.23 禁止遠程協(xié)助4.8打開相應(yīng)的審核策略在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-windows配置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件

13、也就越多，那么要想發(fā)現(xiàn)嚴重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件，需要根據(jù)情況在這二者之間做出選擇，過程如下圖所示。圖4.24 審核項目五、實驗結(jié)果及分析通過本次實驗，對網(wǎng)絡(luò)安全防范有了新的認識和了解，在本次實驗中通過認真的安裝配置和驗證，最終順利的完成任務(wù)。我想經(jīng)過本次實驗后我們在對網(wǎng)絡(luò)安全維護和防范中能夠引起重視，同時能提高我們在網(wǎng)絡(luò)安全的水平。六、思考題回答1為保障計算機網(wǎng)絡(luò)的安全運行，目前主要有哪些網(wǎng)絡(luò)安全技術(shù)？答：有vlan(虛擬局域網(wǎng))技術(shù)，網(wǎng)絡(luò)分段，硬件防火墻技術(shù)，入侵檢測技術(shù)。2windows server 2003中對賬戶安全的防范主要有哪些措施？答：有密碼策

14、略，賬戶鎖定策略，kerberos策略。如下圖所示。圖1 密碼策略圖 2 帳戶鎖定策略圖3 kerberos策略3. windows server 2003中的網(wǎng)絡(luò)安全服務(wù)有哪些手段？答：（1）用備份技術(shù)來提高數(shù)據(jù)恢復(fù)時的完整性。備份工作可以手工完成，也可以自動完成。現(xiàn)有的操作系統(tǒng)一般都帶有比較初級的備份系統(tǒng)，如果對備份要求高，應(yīng)購買專用的系統(tǒng)備份產(chǎn)品。由于備份本身含有不宜公開的信息，備份介質(zhì)也是偷竊者的目標，因此，計算機系統(tǒng)允許用戶的某些特別文件不進行系統(tǒng)備份，而做涉密介質(zhì)備份。（2）防病毒。定期檢查網(wǎng)絡(luò)系統(tǒng)是否被感染了計算機病毒，對引導(dǎo)軟盤或下載軟件和文檔應(yīng)加以安全控制，對外來軟盤在使用前

15、應(yīng)進行病毒診斷。同時要注意不斷更新病毒診斷軟件版本，及時掌握、發(fā)現(xiàn)正在流行的計算機病毒動向，并采取相應(yīng)的有效措施。（3）補丁程序。及時安裝各種安全補丁程序，不要給入侵者以可乘之機。（4）提高物理環(huán)境安全。保證計算機機房內(nèi)計算機設(shè)備不被盜、不被破壞，如采用高強度電纜在計算機機箱穿過等技術(shù)措施。（5）在局域網(wǎng)中安裝防火墻系統(tǒng)。防火墻系統(tǒng)包括軟件和硬件設(shè)施，平時需要加以監(jiān)察和維護。（6）在局域網(wǎng)中安裝網(wǎng)絡(luò)安全審計系統(tǒng)。在要求較高的網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)安全審計系統(tǒng)是與防火墻系統(tǒng)結(jié)合在一起作為對系統(tǒng)安全設(shè)置的防范措施。（7）仔細閱讀系統(tǒng)日志。對可疑活動一定要仔細分析，如有人在試圖訪問一些不安全的服務(wù)端口，利用finger、tftp或用debug手段訪問用戶郵件服務(wù)器等。對此系統(tǒng)管理員應(yīng)加以關(guān)注和分析。（8）加密。加密的方法很多可視