目录一、实习性质、目的和任务 (2)二、实习内容与要求 (2)1虚拟机VPC的使用 (3)(1)VPC的安装,同时安装Windows Server 2003的镜像文件 (3)(2)VPC的设置,可根据自己的使用情况来选择安装汉化软件 (6)(3)在VPC下安装相应软件。
安装的软件参看“常用网络安全工具软件的使用”部分。
(7)2、主机安全性操作 (7)(1)常用DOS命令的使用:如stat.tracert. (7)(2)证书的查看、申请与导出: (8)(3)IP安全策略的设置:包括关闭一些不常用的端口及服务,怎么禁止其他人PING本机 (10)(4)通过修改注册表加强WIN2003的安全性 (20)3、常用网络安全工具软件的使用 (27)(1)网络检测软件的使用:X-Scan,solarwinds2002-catv软件的使用 (27)(2)PGP软件的使用 (27)(3)Snort软件的使用 (31)(4)利用PT软件实现AAA(验证、授权及统计服务配置) (34)三、实习总结 (37)四、参考文献 (38)《网络安全与防护》实习报告一、实习性质、目的和任务本次实习是在《网络安全与维护》教学之后的课程实习。
本次实习既实现了对已学知识的综合复习,又达到了为后续课程的准备目的,也提高各项应用操作技能,掌握了建立安全的网络环境的基本过程。
本次实习的目的在于基本掌握目前企业网络网络安全管理与防护的主要技术。
二、实习内容与要求1、虚拟机VPC的使用1)VPC的安装,同时安装Windows2000的镜像文件。
2)VPC的设置,可根据自己的使用情况来选择安装汉化软件。
3)在VPC下安装相应软件。
安装的软件参看“常用网络安全工具软件的使用”部分。
2、主机安全性操作(在虚拟机下完成)1)常用DOS命令的使用:如stat.tracert2)证书的查看、申请与导出:要求两人为一组,一台机器做为证书颁发机构,一台作为证书申请机构,掌握数字证书的申请、颁发及吊销流程。
3)IP安全策略的设置:包括关闭一些不常用的端口及服务,怎么禁止其他人PING本机(要求使用两种方法)。
4)怎样通过修改注册表加强WIN2000的安全性?至少说出八种方式,同时配以说明及截图。
3、常用网络安全工具软件的使用1)网络检测软件的使用:X-Scan的使用,使用此款软件进行局域网内各主机进行检测;solarwinds2002-catv软件的使用,使用此款软件将整个网络的拓扑结构及相应信息全部以图片的形式拷贝出来2)PGP软件的使用:每两个人一组,分别生成密钥对,一个公钥和与其对应的一个私钥;将公钥导出上传到FTP服务器,以便通信对方导入;从FTP获取通信对方的公钥,并导入对方公钥;利用导入的对方的加密要发送的文件,利用自己私钥签名,并将上传到FTP服务器上;对方从FTP 服务回下载此加密文档;检验加密、验证签名的有效性。
3)Snort软件的使用:自己一组,虚拟机与真机配合使用。
要求虚拟机为服务器,真机为其一个成员。
当有人入侵(或PING)服务器时,会有报警提示。
同时要求生成相应的日志文件。
(提示,安装SNORT软件的同时,还要安装相应的WinPcap、IDS软件,必须使用E盘下所提供的软件。
)4)利用PT软件实现AAA(验证、授权及统计服务配置)要求完成以下内容:1、要求登录路由器时默认使用AAA身份认证,当AAA认证失效时转到本地数据库认证模式。
2、启用并配置特权模式身份验证,默认时使用AAA数据库,当AAA 失效时转到特权模式密码验证。
3、启用AAA计费模式并观察统计信息。
1虚拟机VPC的使用(1)VPC的安装,同时安装Windows Server 2003的镜像文件点击VPC安装文件进行安装安装Windows server2003:启动VPC 选择CD→capture ISO image…打开Windows server2003安装包关闭VPC,重新启动,安装windows server2003系统.输入激活码XGPQH-YXYFB-3FHGW-9PD9Y-26P6G 点击Action→Ctr-Alt→Delete 输入密码进入桌面(2)VPC的设置,可根据自己的使用情况来选择安装汉化软件点击汉化软件安装在E盘选择File→Options设置语言为简体中文(3)在VPC下安装相应软件。
安装的软件参看“常用网络安全工具软件的使用”部分。
2、主机安全性操作(1)常用DOS命令的使用:如stat.tracert.Ping命令:t-an命令:(2)证书的查看、申请与导出:(1)安装证书管理您的服务器—添加或删除角色,单击下一步。
在客户端申请证书,申请证书在IE中http://192.168.10.50/certsrv/(2)申请证书回到服务器颁发证书,然后回到客户端安装证书。
点击“查看挂起的证书申请的状态”点击刚才申请通过的证书。
(3)导出证书IE工具> Internet选项> 内容> 证书,选择我们刚才安装的证书将其导出。
导出后如下证书(3)IP安全策略的设置:包括关闭一些不常用的端口及服务,怎么禁止其他人PING本机(1)关闭不常用的端口级服务:打开“开始菜单”的“设置”菜单中。
找到“管理工具”——“本地安全策略”,创建新的IP安全策略。
添加新的ip安全策略。
添加新的规则添加新的筛选器设置筛选器的属性:点击“协议”选项卡,首先中“选择协议类型”下的下拉列表中,选中“TCP”,然后中“到此端口”下的文本框中输入“135”,然后单击“确定”。
添加屏蔽TCP 135(RPC)端口的筛选器添加各端口筛选激活“新IP筛选器列表”,选中“筛选器操作”选项卡,添加筛选器操作,添加“阻止”操作。
指派新的IP安全策略,然后完成设置。
禁止其他人ping本机:1:添加IP筛选器和筛选器操作依次单击"开始→管理工具→本地安全策略",打开"本地安全设置"对话框,右击该对话框左侧的"IP安全策略,在本地计算机"选项,执行"管理IP 筛选器表和筛选器操作"命令;在弹出对话框的"管理IP筛选器列表"标签下单击[添加]按钮,命名这个筛选器的名称为"禁止Ping",描述语言可以为"禁止任何其他计算机Ping我的主机",单击[下一步];选择"IP通信源地址"为"我的IP地址",单击[下一步];选择"IP通信目标地址"为"任何IP地址",单击[下一步];选择"IP协议类型"为"ICMP"单击[下一步],最后点击[完成]结束添加。
之后切换到"管理筛选器操作"标签下,依次单击"添加→下一步",命名筛选器操作名称为"阻止所有连接",描述语言可以为"阻止所有网络连接",单击[下一步];点选"阻止"选项作为此筛选器的操作行为,最后单击[下一步],完成所有添加操作。
2:创建IP安全策略右击控制台中的"IP安全策略,在本地计算机"选项,执行[创建安全策略]命令,然后单击[下一步]按钮;命名这个IP安全策略为"禁止Ping主机",描述语言为"拒绝任何其他计算机的Ping要求",并单击[下一步];勾选"激活默认响应规则"后,单击[下一步];在"默认响应规则身份验证方法"对话框中点选"使用此字符串保护密钥交换"选项,并在下面的文字框中任意键入一段字符串(如"NO Ping"),单击[下一步]最后勾选"编辑属性",单击[完成]按钮结束创建。
3:配置IP安全策略在打开的"禁止Ping属性"对话框中的"常规"标签下单击"添加→下一步",点选"此规则不指定隧道"并单击[下一步];点选"所有网络连接",保证所有的计算机都Ping不通该主机,单击[下一步];在"IP筛选器列表"框中点选"禁止Ping",单击[下一步];在"筛选器操作"列表框中点选"阻止所有连接",单击[下一步] 取消"编辑属性"选项并单击[完成]4:指派IP安全策略安全策略创建完毕后并不能马上生效,我们还需通过"指派"功能令其发挥作用。
右击"本地安全设置"对话框右侧的"禁止Ping主机"策略,执行"指派"命令,即可启用该策略。
5:用本机检测虚拟机中改的策略,看是否会ping通。
Ping不通,证明修改的ip策略生效。
方法二:打开windows 2003的控制台,选择控制台的根节点。
在打开的文件中添加新的.NET Framework。
添加新的ip安全策略在选择计算机或域的选项卡点选“本地计算机”,点击完成,完成安装。
由此可见,在控制台根节点中可以找到刚才添加的ip策略。
在控制台根节点选中刚才添加的策略,即可完成,禁止其他人ping你的主机。
(4)通过修改注册表加强WIN2003的安全性(1) 抵御WinNuke黑客程序对计算机的攻击WinNuke是一个破坏力极强的程序,该程序能对计算机中的Windows系统进行破坏,从而会导致整个计算机系统瘫痪,所以我们有必要预防WinNuke的破坏性。
我们可以在注册表中对其进行设置,以保证系统的安全。
1)在注册表编辑器操作窗口中,用鼠标依次单击键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MST CP;2)在对应MSTCP键值的右边窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“DWORD值”,并给DWORD值取名为“BSDUrgent”,如果该键值已经存在,可以直接进行下一步;3)然后将BSDUrgent值设置为0,重新启动计算机后就可以实现目的了。
(2) 限制使用系统的某些特性在网吧或公用场所中,有时为了保证系统的属性不被其他普通用户随意更改,我们就必须要限制使用系统的某些特性。
要实现这个目的,我们可以利用修改注册表编辑器的方法来达到。
1)运行注册表编辑器,进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Po licies\System键值,如果不存在该键值,就新建一个;2)然后将该键值下方的DisableTaskManager的值设为1,表示将阻止用户运行任务管理器。