网络操作系统综合实验报告-网络安全防范.doc

重庆科技学院综合实验报告课程名称：网络操作系统_开课学期：_2010-2011-2_学院:_电气与信息工程学院_开课实验室：计算机专业实验室学生姓名:_专业班级:_计科应08_学号:_1重庆科技学院学生实验报告课程名称网络操作系统实验项目名称网络安全防范开课学院及实验室I520实验日期2011-6-11学生姓名学号专业班级计科应08指导教师陈宁实验成绩一、实验目的和要求试验目的：本次试验就WindowsServer2003在网络应用中的安全策略制定出一些实训说明，希望能对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行，达到安全防范的目的。实验要求：1.掌握如何提高密码的破解难度2.掌握启用账户锁定策略3.掌握设置限制用户登录4.掌握限制外部连接5.掌握限制特权组成员6.掌握如何防范网络嗅探7.掌握网络服务安全管理8.掌握审核策略的制定二、实验内容和原理当今网络化的世界中，计算机信息和资源很容易遭到各方面的攻击。网络的开放性和共享性在方便了人们使用的同时，也使得网络很容易遭到攻击，而攻击的后果是严重的，诸如数据被人窃取、服务器不能提供服务等等。随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了防火墙、入侵检查、虚拟专用网、访问控制等各种网络安全技术的蓬勃发展。VLAN技术：选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络，他依据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴，还可以利用MAC层的2数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破其中一个虚拟子网，也无法得到整个网络的信息。网络分段：企业网大多采用以广播为基础的以太网，任何两个节点之间的通讯数据包，可以处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以获取发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。硬件防火墙技术：任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。入侵检测技术：入侵检测方法较多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。WindowsServer2003作为Mircrosoft推出的服务器操作系统，不仅继承了Windows2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的当然之选。三、主要仪器设备1.每8人一组，每组一套网络设备（含交换机、PC）2.每人一台电脑3.网线若干四、实验操作方法和步骤4.1提高密码的破解难度提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不安全的密码使用习惯。首先安装域控制器，然后在开始->管理工具->域安全策略打开如下图所示的界面如图4.1所示、然后再在打开安全设置->账户锁定策略->账户锁定阀值，右击属性，设置登录次数为4次，然后在开机的时候如果设置了密码，输入密码输了四次仍然不对则系统会锁定，不能再登录了。3图4.1“默认域控制安全设置”界面4.2限制用户登录对于Windownsserver2003网络来说，运行“ActiveDirectory用户和计算机”管理工具，然后选择相应的用户，并设置其账户属性。如下图4.2所示。图4.2IUSR_SWY1LND2HKZKGDD用户和计算机在账户属性对话框中，可以限制其登录的时间和地点，如图4.3所示。图4.3IUSR_SWY1LND2HKZKGDD属性4单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止工作时间的登录行为。如图4.4所示。图4.4IUSR_SWY1LND2HKZKGDD的登录时间单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机登录。另外还可以通过“账户”选项来限制登录时的行为。如图4.5所示。图4.5登录工作站4.3限制特权组成员在Windownsserver2003网络中，还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段，这就是利用“受限制组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制组，在组对话框中键入或查找添加的组。如图4.6和4.7所示。5图4.6默认域安全设置和添加组图4.7受限制的组4.4加密会话具体方法如下：首先在”开始”菜单中单击”运行”选项，然后键入mmc,并同时按下”Enter”按钮，如下图4.8所示图4.8运行6在“控制台”菜单中选择“添加删除管理单元(M)”命令，然后单击其中的“添加”按钮，如图4.9和4.10所示。图4.9控制台图4.10添加/删除管理单元在可用的独立的管理单元中，选择“IP安全策略管理”选项，双击或单击“添加”按钮，在这里选择被该管理单元所管理的计算机，如图4.11所示。然后单击“完成”按钮。关闭添加管理单元的相关窗口，就得到了一个新的管理工具，在这里可以为其命名并保存。