網(wǎng)絡(luò)安全技術(shù)基礎(chǔ).ppt

1、第2章 網(wǎng)絡(luò)安全技術(shù)基礎(chǔ),主編賈鐵軍 副主編陳國秦 蘇慶剛 沈?qū)W東 編著 王堅 王小剛 宋少婷,上海教育高地建設(shè)項目 高等院校規(guī)劃教材,網(wǎng)絡(luò)安全技術(shù)及應(yīng)用,（第2版）,上海市精品課程 網(wǎng)絡(luò)安全技術(shù),目 錄,目 錄,教學(xué)目標(biāo) 了解網(wǎng)絡(luò)協(xié)議的安全風(fēng)險及新一代網(wǎng)絡(luò)Ipv6的安全性 掌握虛擬專用網(wǎng)（VPN）技術(shù)特點及應(yīng)用 掌握無線局域網(wǎng)安全技術(shù)及安全設(shè)置實驗 掌握常用的網(wǎng)絡(luò)安全管理工具及應(yīng)用,重點,重點,美國新增40支網(wǎng)絡(luò)部隊。據(jù)環(huán)球時報綜合報道， 美國網(wǎng)絡(luò)戰(zhàn)司令部司令亞歷山大2013年3月12日在國會宣布，將新增40支網(wǎng)絡(luò)部隊。此前，美國官方和軍方論及該國網(wǎng)絡(luò)政策時，基本都是宣稱要保護美國免遭外國黑

2、客攻擊，而不是主動攻擊。美國這種變化讓人想起它備受爭議的“先發(fā)制人”，增加了國際社會的不安全感。美國國家情報總監(jiān)克拉珀在國會宣稱，網(wǎng)絡(luò)威脅已取代恐怖主義成美國最大威脅。中國現(xiàn)代國際關(guān)系研究院學(xué)者李偉14日對環(huán)球時報說，“美國精心一步步設(shè)局，公開尋求互聯(lián)網(wǎng)霸權(quán)，這可能引發(fā)互聯(lián)網(wǎng)軍備競賽”。,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2.1.1 網(wǎng)絡(luò)協(xié)議的安全風(fēng)險,案例2-1,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2.1.1 網(wǎng)絡(luò)協(xié)議的安全風(fēng)險,網(wǎng)絡(luò)體系層次結(jié)構(gòu)參考模型有OSI模型和TCP/IP模型兩種。OSI模型是國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互連參考模型，共有七層，設(shè)計初衷是期望為網(wǎng)絡(luò)體系與協(xié)議發(fā)展提供一種國際標(biāo)準(zhǔn)，后來

3、由于其過于龐雜，使TCP/IP協(xié)議成為了事實上的“網(wǎng)絡(luò)標(biāo)準(zhǔn)”，作為Internet的基礎(chǔ)協(xié)議。,TCP/IP模型由4部分組成。這4層體系大致對應(yīng)OSI參考模型的7層體系。TCP/IP協(xié)議棧更注重互連設(shè)備間的數(shù)據(jù)傳送，而非嚴(yán)格的功能層次劃分。 計算機網(wǎng)絡(luò)依靠其協(xié)議實現(xiàn)互連結(jié)點之間的通信與數(shù)據(jù)交換,在設(shè)計之初只注重異構(gòu)網(wǎng)的互聯(lián)，忽略了安全性問題，而且,是一個開放體系,有計算機網(wǎng)絡(luò)及其部件所能夠完成的基本功能,這種開放性及缺陷將網(wǎng)絡(luò)系統(tǒng)處于安全風(fēng)險和隱患的環(huán)境. 計算機網(wǎng)絡(luò)協(xié)議安全風(fēng)險可歸結(jié)為3方面： （1）協(xié)議自身的設(shè)計缺陷和實現(xiàn)中存在的一些安全漏洞； （2）根本無有效認證機制；（3）缺乏保密機制

4、。,圖2-1 TCP/IP網(wǎng)絡(luò)安全技術(shù)層次體系,網(wǎng)絡(luò)安全由多個安全層構(gòu)成，每一個安全層都是一個包含多個特征的實體。在TCP/IP不同層次可增加不同的安全策略。如圖2-1所示。,2.1.2 TCP/IP層次安全性,2.1 網(wǎng)絡(luò)協(xié)議安全概述,1. 網(wǎng)絡(luò)接口(物理)層的安全性設(shè)施,線路 2. 網(wǎng)絡(luò)層的安全性保證數(shù)據(jù)傳輸 3. 傳輸層的安全性傳輸控制,數(shù)據(jù)交換認證,保密/完整性 4. 應(yīng)用層的安全性 應(yīng)用層中利用TCP/IP協(xié)議運行和管理的程序繁多。網(wǎng)絡(luò)安全問題主要出現(xiàn)在需要重點解決的常用應(yīng)用系統(tǒng)，包括HTTP、FTP、SMTP、DNS、Telnet等。,TCP/IP網(wǎng)絡(luò)安全技術(shù)層次體系,2.1 網(wǎng)絡(luò)

5、協(xié)議安全概述,2.1.3 IPv6的安全性概述 1. IPv6的優(yōu)勢及特點 (1) 擴展地址空間及應(yīng)用.IPv4和IPv6的報頭如圖2-2和圖2-3所示,圖2-2 IPV4的IP報頭,圖2-3 IPV6基本報頭,(2) 提高網(wǎng)絡(luò)整體性能。 (3) 加強網(wǎng)絡(luò)安全性能。 (4) 提供更好服務(wù)質(zhì)量。 (5) 實現(xiàn)更好地組播功能。 (6) 支持即插即用和移動性。 (7) 提供必選的資源預(yù)留協(xié)議RSVP功能。,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2. IPv4與IPv6安全問題比較 (1) 原理和特征基本未發(fā)生變化的安全問題劃分為三類:網(wǎng)絡(luò)層以上的安全問題;與網(wǎng)絡(luò)層數(shù)據(jù)保密性和完整性相關(guān)的安全問題和與網(wǎng)絡(luò)層可用性

6、相關(guān)的安全問題.如竊聽攻擊、應(yīng)用層攻擊、中間人攻擊、洪泛攻擊等. (2) 網(wǎng)絡(luò)層以上（應(yīng)用）的安全問題。 (3) 與網(wǎng)絡(luò)層數(shù)據(jù)保密性和完整性相關(guān)安全問題. (4) 與網(wǎng)絡(luò)層可用性相關(guān)安全問題：主要是指洪泛攻擊，如TCP SYN flooding攻擊。 (5) 原理和特征發(fā)生明顯變化的安全問題，主要包括以下4個方面。 偵測， 非授權(quán)訪問 篡改分組頭部和分段信息; 偽造源地址。,對局域網(wǎng)內(nèi)的主機不停的發(fā)送數(shù)據(jù)包進行拒絕服務(wù)攻擊,2.1 網(wǎng)絡(luò)協(xié)議安全概述,3IPv6的安全機制 （1）協(xié)議安全-認證頭AH、封裝安全有效載荷ESP擴展頭 （2）網(wǎng)絡(luò)安全： 實現(xiàn)端到端安全, 提供內(nèi)網(wǎng)安全， 由安全隧道構(gòu)建

7、安全VPN, 以隧道嵌套實現(xiàn)網(wǎng)絡(luò)安全。 （3）其他安全保障-配置、認證、控制、端口限制 4. 移動IPv6的安全性 （1）移動IPv6的特性-無狀態(tài)地址自動配置、鄰居發(fā)現(xiàn) （2）移動IPv6面臨的安全威脅-竊聽,篡改,Dos 5移動IPv6的安全機制 移動IPv6協(xié)議針對上述安全威脅，在注冊消息中通過添加序列號以防范重放攻擊，并在協(xié)議報文中引入時間隨機數(shù)。,討論思考： （1）從互聯(lián)網(wǎng)發(fā)展角度看，網(wǎng)絡(luò)安全問題的主要原因是什么？ （2）IPv6在安全性方面具有哪些優(yōu)勢？,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2.2 虛擬專用網(wǎng)VPN技術(shù),2.2.1 VPN的概念和結(jié)構(gòu),虛擬專用網(wǎng)（Virtual Privat

8、e Network，VPN）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供的與專用網(wǎng)絡(luò)具有相同通信功能 的安全數(shù)據(jù)通道。 VPN可通過特殊加密通信協(xié)議 為Internet上異地企業(yè)內(nèi)網(wǎng)之間建立 一條專用通信線路,而無需鋪設(shè)光纜 等物理線路.系統(tǒng)結(jié)構(gòu)如圖 2-4所示.,(1) 安全性高。 (2) 費用低廉。 (3) 管理便利。 (4) 靈活性強。 (5) 服務(wù)質(zhì)量佳。,2.2.2 VPN的技術(shù)特點,虛擬通道,2.2 虛擬專用網(wǎng)VPN技術(shù),VPN是在Internet等公共網(wǎng)絡(luò)基礎(chǔ)上，綜合利用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認證技術(shù)實現(xiàn)的。 1. 隧道技術(shù) 隧道技術(shù)是V

9、PN的核心技術(shù)，為一種隱式傳輸數(shù)據(jù)的方法。主要利用已有的Internet等公共網(wǎng)絡(luò)數(shù)據(jù)通信方式，在隧道（虛擬通道）一端將數(shù)據(jù)進行封裝，然后通過已建立的隧道進行傳輸。 在隧道另一端，進行解封裝并將還原的原始數(shù)據(jù)交給端設(shè)備。在VPN連接中，可根據(jù)需要創(chuàng)建不同類型的VPN隧道，包括自愿隧道和強制隧道兩種。,用戶或客戶端通過發(fā)送VPN 請求配置和創(chuàng)建,2.2.3 VPN的實現(xiàn)技術(shù),2.2 虛擬專用網(wǎng)VPN技術(shù),2. 常用加解密技術(shù) 為了重要數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸?shù)陌踩琕PN采用了加密機制。 常用的信息加密體系主要包括非對稱加密體系和對稱加密體系兩類。實際上一般是將二者混合使用，利用非對稱加密技術(shù)進行密鑰

10、協(xié)商和交換，利用對稱加密技術(shù)進行數(shù)據(jù)加密。 1) 對稱密鑰加密; 2) 非對稱密鑰加密 3. 密鑰管理技術(shù) 密鑰的管理分發(fā)極為重要。密鑰的分發(fā)采用手工配置和采用密鑰交換協(xié)議動態(tài)分發(fā)兩種方式。 4. 身份認證技術(shù) 在VPN實際應(yīng)用中，身份認證技術(shù)包括信息認證、用戶身份認證。信息認證用于保證信息的完整性和通信雙方的不可抵賴性，用戶身份認證用于鑒別用戶身份真實性。,2.2 虛擬專用網(wǎng)VPN技術(shù),2.2.4 VPN技術(shù)的實際應(yīng)用,1. 遠程訪問虛擬網(wǎng) 通過一個與專用網(wǎng)相同策略的共享基礎(chǔ)設(shè)施,可提供對企業(yè)內(nèi)網(wǎng)或外網(wǎng)的遠程訪問服務(wù),使用戶隨時以所需方式訪問企業(yè)資源.如模擬、撥號、ISDN、數(shù)字用戶線路（x

11、DSL）、移動IP和電纜技術(shù)等,可安全連接移動用戶、遠程工作者或分支機構(gòu). 2. 企業(yè)內(nèi)部虛擬網(wǎng) 可在Internet上構(gòu)建全球的Intranet VPN,企業(yè)內(nèi)部資源只需連入本地ISP的接入服務(wù)提供點POP(Point Of Presence)即可相互通信，而實現(xiàn)傳統(tǒng)WAN組建技術(shù)均需要有專線.利用該VPN線路不僅可保證網(wǎng)絡(luò)的互聯(lián)性,而且,可利用隧道、加密等VPN特性保證在整個VPN上信息安全傳輸.,2.2 虛擬專用網(wǎng)VPN技術(shù),2.2.4 VPN技術(shù)的應(yīng)用,3企業(yè)擴展虛擬網(wǎng) 主要用于企業(yè)之間的互連及安全訪問服務(wù)?？赏ㄟ^專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或相關(guān)群體連接到企業(yè)內(nèi)部

12、網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)相同的安全、服務(wù)質(zhì)量等政策。,討論思考： （1）VPN的本質(zhì)是什么？為何VPN需要加密技術(shù)輔助？ （2）VPN幾種應(yīng)用的區(qū)別是什么？,2.3 無線網(wǎng)絡(luò)安全技術(shù)概述,2.3.1 無線網(wǎng)絡(luò)安全風(fēng)險和隱患,2013年日本7個月內(nèi)近4100家網(wǎng)站遭黑客攻擊，破歷史紀(jì)錄。日本網(wǎng)絡(luò)安全保障機構(gòu)資料顯示自2013年的前7個月中，遭黑客攻擊的日本政府和其他機構(gòu)的網(wǎng)站總數(shù)達到近4100個，創(chuàng)下了空前的紀(jì)錄。有關(guān)安全機構(gòu)警告網(wǎng)民警惕各種網(wǎng)絡(luò)漏洞、無線網(wǎng)絡(luò)隱患、電腦病毒等問題，稱一些攻擊能盜竊個人資料和用于銀行操作及網(wǎng)上購物的密碼，如不更新電腦軟件，電腦受攻擊的可能性就更大。,案例2-2,2.

13、3 無線網(wǎng)絡(luò)安全技術(shù)概述,隨著無線網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，其安全性越來越引起人們的關(guān)注。主要包括訪問控制和數(shù)據(jù)加密兩個方面，訪問控制保證機密數(shù)據(jù)只能由授權(quán)用戶訪問，而數(shù)據(jù)加密則要求發(fā)送的數(shù)據(jù)只能被授權(quán)用戶所接受和使用。 無線網(wǎng)絡(luò)在數(shù)據(jù)傳輸時以微波進行輻射傳播，只要在無線接入點AP（Access Point）覆蓋范圍內(nèi)，所有無線終端都可能接收到無線信號。AP無法將無線信號定向到一個特定的接受設(shè)備，時常有無線網(wǎng)絡(luò)用戶被他人免費蹭網(wǎng)接入、盜號或泄密等，因此，無線網(wǎng)絡(luò)的安全威脅、風(fēng)險和隱患更加突出。 無線網(wǎng)絡(luò)安全風(fēng)險及隱患，如圖2-5所示。,2.3.1 無線網(wǎng)絡(luò)安全風(fēng)險和隱患,2.3 無線網(wǎng)絡(luò)安全技術(shù)概述

14、,圖2-5無線網(wǎng)絡(luò)安全風(fēng)險及隱患示意圖,2.3 無線網(wǎng)絡(luò)安全技術(shù)概述,無線接入點AP用于實現(xiàn)無線客戶端之間的信號互聯(lián)和中繼，其安全措施包括： 1) 修改admin密碼 2) WEP加密傳輸.數(shù)據(jù)加密是實現(xiàn)網(wǎng)絡(luò)安全一項重要技術(shù),可通過 協(xié)議WEP進行。主要用途： (1)防止數(shù)據(jù)被途中惡意篡改或偽造。 (2)用WEP加密算法對數(shù)據(jù)加密。 (3)防止未授權(quán)用戶對網(wǎng)絡(luò)訪問。 3) 禁用DHCP服務(wù) 4) 修改SNMP字符串 5) 禁止遠程管理 6) 修改SSID標(biāo)識 7) 禁止SSID廣播 8) 過濾MAC地址(定義網(wǎng)絡(luò)設(shè)備的位置 ) 9) 合理放置無線AP 10) WPA用戶認證（有WPA 和 WP

15、A2兩個標(biāo)準(zhǔn),是一種保護無線網(wǎng) (Wi-Fi)安全的系統(tǒng) ）,2.3.2 無線網(wǎng)絡(luò)AP及路由安全,1. 無線接入點安全,有線等效保密協(xié)議對兩臺設(shè)備間無線傳輸?shù)臄?shù)據(jù)進行加密方式,用以防止非法用戶竊聽/侵入,初始化字符串（服務(wù)集標(biāo)識）SSID技術(shù)可將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng),各子網(wǎng)都需獨立身份驗證,只有通過驗證的用戶才可進入相應(yīng)子網(wǎng),防止未授權(quán)用戶進入本網(wǎng),動態(tài)主機設(shè)置協(xié)議/簡單網(wǎng)管協(xié)議,Wi-Fi網(wǎng)絡(luò)安全存取,2.3 無線網(wǎng)絡(luò)安全技術(shù)概述,2無線路由器安全 除了可采用無線AP的安全策略外,還應(yīng)采用如下安全策略. (1) 利用網(wǎng)絡(luò)防火墻功能，加強防護能力。 (2) IP地址過濾

16、，進一步提高無線網(wǎng)絡(luò)的安全性。,2.3.3 IEEE802.1x身份認證,IEEE 802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，以網(wǎng)絡(luò)設(shè)備的物理接入級（交換機設(shè)備的端口.連接在該類端口）對接入設(shè)備進行認證和控制。 IEEE 802.1x認證過程為： （1）無線客戶端向AP發(fā)送請求，嘗試與AP進行通信。 （2）AP將加密數(shù)據(jù)發(fā)送給驗證服務(wù)器進行用戶身份認證。 （3）驗證服務(wù)器確認用戶身份后，AP允許該用戶接入。 （4）建立網(wǎng)絡(luò)連接后授權(quán)用戶通過AP訪問網(wǎng)絡(luò)資源。,2.3 無線網(wǎng)絡(luò)安全技術(shù)概述,用IEEE 802.1x和EAP作為身份認證的無線網(wǎng)絡(luò)， 可分為如圖2-6所示的3個主要部分。 （1）

17、請求者。運行在無線工作站上的軟件客戶端。 （2）認證者。無線訪問點。 （3）認證服務(wù)器。作為一個認證數(shù)據(jù)庫,通常是一個RADIUS服務(wù)器的形式，如微軟公司的IAS等。,2.3.3 IEEE802.1x身份認證,圖2-6 使用802.1x及EAP身份認證的無線網(wǎng)絡(luò),遠程用戶撥號認證系統(tǒng)是應(yīng)用最廣泛的AAA協(xié)議(認證、授權(quán)、審計（記帳）),互聯(lián)網(wǎng)認證服務(wù),2.3 無線網(wǎng)絡(luò)安全技術(shù)概述,2.3.4 無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用,無線網(wǎng)絡(luò)在不同的應(yīng)用環(huán)境對其安全性的需求不同,以(美)AboveCable公司的無線網(wǎng)絡(luò)安全技術(shù)作為實例。為了更好地發(fā)揮無線網(wǎng)絡(luò)“有線速度無線自由”的特性，該公司根據(jù)長期積累的經(jīng)驗，

18、針對各行業(yè)對無線網(wǎng)絡(luò)的需求，制定了一系列的安全方案，最大程度上方便用戶構(gòu)建安全的無線網(wǎng)絡(luò)，節(jié)省不必要的經(jīng)費。 1. 小型企業(yè)及家庭用戶 2. 倉庫物流、醫(yī)院、學(xué)校和餐飲娛樂行業(yè) 3. 公共場所及網(wǎng)絡(luò)運營商、大中型企業(yè)和金融機構(gòu),2.3 無線網(wǎng)絡(luò)安全技術(shù)概述,1. 藍牙安全網(wǎng)絡(luò)的組成 一個基于藍牙技術(shù)的移動網(wǎng)絡(luò)終端可以由藍牙芯片及所嵌入的硬件設(shè)備、藍牙的核心協(xié)議棧、藍牙支持協(xié)議棧和應(yīng)用層協(xié)議4部分組成。對于基于藍牙技術(shù)的安全移動網(wǎng)絡(luò)終端由5部分組成，除了上述4個部分之外還包括安全管理系統(tǒng)。 2. 藍牙安全模式及機制 根據(jù)藍牙設(shè)備不同安全需求,國際標(biāo)準(zhǔn)規(guī)定種安全模式: （1）一般的藍牙設(shè)備不具有接

19、受信息安全管理功能。 （2）藍牙設(shè)備采用信息安全管理并執(zhí)行安全保護和處理 （3）藍牙設(shè)備采用信息安全管理和安全保護及處理機制,*2.3.5 藍牙無線網(wǎng)絡(luò)安全,2.3 無線網(wǎng)絡(luò)安全技術(shù)概述,3. 藍牙無線網(wǎng)絡(luò)安全舉措 1) DH方案（動態(tài)對等群密鑰管理 ） 2) RSA（加密）方案 在鑒別和認證的過程中，藍牙設(shè)備可以實現(xiàn)設(shè)備鑒別，也可以實現(xiàn)用戶身份鑒別，此外，還有以下優(yōu)點： （1）不僅可對設(shè)備認證，還可對用戶的身份認證，防止冒用和偽造設(shè)備。 （2）加密安全可靠、方法靈活。 （3）數(shù)據(jù)的完整性。,討論思考： (1) 無線網(wǎng)絡(luò)安全管理的基本方法是什么？ (2) 無線網(wǎng)絡(luò)在不同環(huán)境下的使用對安全性的要

20、求有何不同？,2.4 常用網(wǎng)絡(luò)安全管理命令,2.4.1 網(wǎng)絡(luò)連通性及端口掃描命令,常用的網(wǎng)絡(luò)管理命令有5個:判斷主機是否連通的ping命令,查看IP地址配置情況的ipconfig命令，查看網(wǎng)絡(luò)連接狀態(tài)的netstat命令，進行網(wǎng)絡(luò)操作的net命令和行定時器操作的at命令。此外，在具體網(wǎng)絡(luò)安全管理中，還使用以下工具。,1. ping命令 ping命令的主要功能是通過發(fā)送Internet控制報文協(xié)議ICMP包，檢驗與另一臺TCP/IP主機的IP級連通情況。網(wǎng)絡(luò)管理員常用這個命令檢測網(wǎng)絡(luò)的連通性和可到達性。同時，可將應(yīng)答消息的接收情況將和往返過程的次數(shù)一起進行顯示。,如果只使用不帶參數(shù)的ping命令

21、，窗口將會顯示命令及其各種參數(shù)使用的幫助信息，如圖2-7所示。使用ping命令的語法格式是：ping 對方計算機名或者IP地址。如果連通的話，返回的連通信息如圖2-8所示。,2.4 網(wǎng)絡(luò)安全常用命令,圖2-7 使用ping命令的幫助信息 圖2-8 利用ping命令檢測網(wǎng)絡(luò)的連通性,案例2-5,2.4.1 網(wǎng)絡(luò)連通性及端口掃描命令,2. Quickping和其他命令 Quickping命令可以快速探測網(wǎng)絡(luò)中運行的所有主機情況。也可以使用跟蹤網(wǎng)絡(luò)路由程序Tracert命令、TraceRoute程序和Whois程序進行端口掃描檢測與探測，還可以利用網(wǎng)絡(luò)掃描工具軟件進行端口掃描檢測，常用的網(wǎng)絡(luò)掃描工具

22、包括：SATAN、NSS、Strobe、Superscan和SNMP等。,2.4 網(wǎng)絡(luò)安全常用命令,2.4.1 網(wǎng)絡(luò)連通性及端口掃描命令,使用不帶參數(shù)的ipconfig可顯示所有適配器的IP地址,子網(wǎng)掩碼和默認網(wǎng)關(guān).在DOS命令行下輸入ipconfig命令,如圖2-9所示.利用“ipconfig /all”可查看所有完整的TCP/IP配置信息。對于具有自動獲取IP地址的網(wǎng)卡.則可利用“ipconfig /renew命令”更新DHCP的配置。,2.4 網(wǎng)絡(luò)安全常用命令,2.4.2網(wǎng)絡(luò)配置信息顯示及設(shè)置命令 ipconfig命令的主要功能是顯示所有TCP/IP網(wǎng)絡(luò)配置信息、刷新動態(tài)主機配置協(xié)議DH

23、CP（Dynamic Host Configuration Protocol）和域名系統(tǒng)DNS設(shè)置。,案例2-6,圖2-9 用ipconfig命令查看本機IP地址,netstat命令的主要功能是顯示活動的連接、計算機監(jiān)聽的端口、以太網(wǎng)統(tǒng)計信息、IP 路由表、IPv4統(tǒng)計信息（IP、ICMP、TCP和UDP協(xié)議）。使用“netstat -an”命令可以查看目前活動的連接和開放的端口，是網(wǎng)絡(luò)管理員查看網(wǎng)絡(luò)是否被入侵的最簡單方法。使用的方法如圖2-10所示。 。,2.4 網(wǎng)絡(luò)安全常用命令,2.4.3連接監(jiān)聽端口顯示命令,圖2-10用“netstat -an”命令查看連接和開放的端口,2.4.4 查詢

24、刪改用戶信息命令 net命令的主要功能是查看計算機上的用戶列表、添加和刪除用戶、與對方計算機建立連接、啟動或者停止某網(wǎng)絡(luò)服務(wù)等.,利用 net user 查看計算機上的用戶列表, 以“ net user用戶名密碼”給某用戶修改密碼，如把管理員的密碼修改成 123456 ，如圖2-11所示。 還可以用“ net user用戶名密碼”為用戶修改密碼 ，如將管理員密碼改為“123456”，如圖2-12所示。,2.4 網(wǎng)絡(luò)安全常用命令,案例2-7,圖2-11用net user查看計算機上的用戶列表 圖2-12用net user修改用戶密碼,2.4.4 查詢刪改用戶信息命令,建立用戶并添加到管理員組.

25、利用net 命令可以新建一個用戶名為jack的用戶，然后，將此用戶添加到密碼為“123456”的管理員組。如圖2-13所示。 案例名稱：添加用戶到管理員組 文件名稱：2-4-1.bat net user jack 123456 /add net localgroup administrators jack /add net user,2.4 網(wǎng)絡(luò)安全常用命令,案例2-8,圖2-13 添加用戶到管理員組,與對方計算機建立信任連接。 擁有某主機的用戶名和密碼，就可以利用 IPC$（Internet Protocol Control）與該主機建立信任連接，之后便可以在命令行下完全控制對方計算機。 得

26、到IP為09計算機的管理員密碼為123456可以利用命令 net use 09ipc$ 123456 /user: administrator，如圖2-14所示。建立連接以后，便可以通過網(wǎng)絡(luò)操作對方的計算機，如查看對方計算機上的文件，如圖2-15所示。,2.4 網(wǎng)絡(luò)安全常用命令,圖2-14 與對方計算機建立信任連接 圖2-15 查看對方計算機的文件,案例2-9,案例名稱：創(chuàng)建定時器 在得知對方系統(tǒng)管理員的密碼為123456，并與對方建立信任連接以后，在對方主機建立一個任務(wù)。執(zhí)行結(jié)果如圖2-16所示。 文件名稱：2-4-2.bat net use *

27、/del net use 09ipc$ 123456 /user:administrator net time 09 at 8:40 notepad.exe,2.4 網(wǎng)絡(luò)安全常用命令,2.4.5 創(chuàng)建任務(wù)命令 主要利用at命令在與對方建立信任連接后,創(chuàng)建一個計劃任務(wù), 并設(shè)置執(zhí)行時間。,案例2-10,討論思考： （1）網(wǎng)絡(luò)安全管理常用的命令有哪幾個？ （2）網(wǎng)絡(luò)安全管理常用的命令格式怎樣？,2.4 網(wǎng)絡(luò)安全常用命令,2.4.5 創(chuàng)建任務(wù)命令,圖2-16 創(chuàng)建定時器,2.5.2 實驗要求,2.5 無線網(wǎng)絡(luò)安全設(shè)置實驗,1. 實驗設(shè)備 本實驗需要使用至少

28、兩臺安裝有Windows操作系統(tǒng)的計算機，并安裝有無線網(wǎng)卡。 2. 預(yù)習(xí)及注意事項 (1) 預(yù)習(xí)準(zhǔn)備 由于本實驗內(nèi)容是對Windows XP操作系統(tǒng)進行無線網(wǎng)絡(luò)安全配置，需要提前熟悉Windows XP操作系統(tǒng)的相關(guān)操作。 (2) 注意理解實驗原理和各步驟的含義 對于操作的每一步要著重理解其原理，對于無線網(wǎng)絡(luò)安全機制要充分理解其作用和含義。 (3) 實驗學(xué)時：2學(xué)時（90-100分鐘）,無線網(wǎng)絡(luò)技術(shù)的應(yīng)用非常廣泛，在上述無線網(wǎng)絡(luò)安全基本技術(shù)及應(yīng)用的基礎(chǔ)上，還要掌握小型無線網(wǎng)絡(luò)的構(gòu)建及其安全設(shè)置方法，進一步了解無線網(wǎng)絡(luò)的安全機制，理解以WEP算法為基礎(chǔ)的身份驗證服務(wù)和加密服務(wù)。,2.5.1 實驗

29、目的,2.5.3 實驗內(nèi)容及步驟 1. SSID和WEP設(shè)置, 在安裝了無線網(wǎng)卡的計算機上,從“控制面板”打開“網(wǎng)絡(luò)連接”窗口,如圖2-17所示. 右擊“無線網(wǎng)絡(luò)連接”圖標(biāo)，在彈出的快捷菜單中選擇“屬性”選項，打開“無線網(wǎng)絡(luò) 屬性”對話框，選中“無線網(wǎng)絡(luò)配置”選項卡中的“用Windows配置我的無線網(wǎng)絡(luò)設(shè)置”復(fù)選框，如圖2-18所示。,圖2-17 “網(wǎng)絡(luò)連接”窗口 圖2-18 “無線網(wǎng)絡(luò)連接屬性”對話框,2.5 無線網(wǎng)絡(luò)安全設(shè)置實驗,2.5.3 實驗內(nèi)容及步驟, 單擊“首選網(wǎng)絡(luò)“選項組中的“添加”按鈕，顯示“無線網(wǎng)絡(luò)屬性”對話框，如圖2-19所示。該對話框用來設(shè)置網(wǎng)絡(luò)。 單擊“確定”按鈕，返回“無線網(wǎng)絡(luò)配置”選項卡，所添加的網(wǎng)絡(luò)顯示在“首選網(wǎng)絡(luò)”選項組中。 單擊“高級”按鈕，打開“高級”對話框，如圖2-20所示。選中“僅計算機到計算機（特定）”單選按鈕。 單擊“關(guān)閉”按鈕返回再單擊“確定”,圖2-19 “無線網(wǎng)絡(luò)屬性”對話框 圖2-20 “高級”對話框,2.5 無線網(wǎng)絡(luò)安全設(shè)置實驗,2. 運行無線網(wǎng)絡(luò)安全向?qū)?Windows提供了“無線網(wǎng)絡(luò)安全向?qū)А痹O(shè)置無線網(wǎng)絡(luò),可將其他計算機加入該網(wǎng)絡(luò). 在“無線網(wǎng)絡(luò)連接”窗口中單擊“為家庭或小型辦公室設(shè)置無線網(wǎng)絡(luò)”，顯示“無線網(wǎng)絡(luò)安裝向?qū)А睂υ捒颍鐖D2-21所示。 單擊“下一步”按鈕，顯示“為您的無線網(wǎng)絡(luò)創(chuàng)建名稱”對