图书馆局域网防御方案.doc

辽 宁 工 业 大 学网络安全技术综合实训（论文）题目： 图书馆局域网防御方案 院（系）： 软件学院 专业班级： 网络工程131班 学 号： 131302012 学生姓名： 那 龙 指导教师： 闫海龙 教师职称： 助 教 起止时间：2014.11.17-2014.11.30专题设计（论文）任务及评语院（系）：软件学院 教研室：网络教研室学 号131302012学生姓名那 龙专业班级网络工程131班课程设计（论文）题目图 书 馆 局 域 网 防 御 方 案课程设计（论文）任务1使学生对网络安全技术从整体上有一个较全面的了解。2了解当前计算机网络安全技术面临的挑战和现状。3了解网络安全技术研究的内容，掌握相关的基础知识。4掌握网络安全体系的架构，了解常见的网络攻击手段，掌握入侵检测的技术和手段。5了解网络安全应用领域的基础知识。设计过程中，要严格遵守设计的时间安排，听从指导教师的指导。正确地完成上述内容，规范完整地撰写出设计报告。指导教师评语及成绩该生在网络安全技术实训过程中，设计相关知识掌握良好。针对题目实际网络的攻击与防御考虑问题全面，设计结果可行，报告书写认真，图表表达清晰、规范，具有独立分析解决问题的能力，学习态度认真。动手能力强。完成了本课程设计任务。成绩： 指导教师签字： 2014 年 12 月 05日辽 宁 工 业 大 学 网 络 安 全 技 术 专 题（论 文）目 录第1章 专题的设计目的与要求11.1 专题设计目的11.2 专题设计的实验环境11.3 专题设计的预备知识11.4 专题设计要求1第2章 专题的设计内容22.1 背景描述22.2软件安装与工具使用52.3结果显示15第3章 设计总结17参考文献1818第1章 专题的设计目的与要求1.1 专题设计目的本技术专题实际是网络系统管理专业学生学习完网络安全与病毒防治课程后，进行的一次关于网络安全技术方面的训练，学生应该具有较系统的网络安全知识，并在实际应用时具备一定的防范非法入侵、维护网络、系统安全性的能力，其目的在于加深对网络安全知识的理解，掌握运用软件进行攻击和防御的基本方法。1.2 专题设计的实验环境硬件：Intel Pentium ( R ) 4 CPU 2.4GHz 845P主板 DDR256M内存 软件：Windows 2000 操作平台 局域网查看工具V1.70 360杀毒软件 电脑管家 1.3 专题设计的预备知识局域网防御，网络入侵检测系统的研究现状与发展趋势，信息技术在局域网中的应用研究，校园网网络安全隐患及其对策，企业信息安全。1.4 专题设计要求该实训要求对网络安全的知识有一定基础，通过资料查阅和学习，了解网络安全攻击与防御实例。通过在实验室的实践，能够独立承担实训任务；内容翔实，符合实训的要求；进行攻击和防御的步骤要分明；安全配置的过程要详细；严格按照说明书格式要求格式化。第2章 专题的设计内容2.1 背景描述随着计算机技术及INTERNET技术的日益发展，高效的信息管理系统和办公自动化系统离不开局域网的支持，网络在人们面前展现出了一片无比开阔的天地。然而，世上没有十全十美的东西，随着网络的日益深入，伴随而来的是越来越突出的信息安全问题，就拿我院图书馆局域网为便，有的计算机每次找开浏览器都会打开同一页，而且还不能修改；有的机器突然蓝屏死机；读者聊天时却发现自己的QQ密码错误等等，出现这些问题，实际上都是计算机病毒导致的，尤其是在人员较杂的电子阅览室，由于可以专线上网，病毒曾一度泛滥，不过经过一系列对策地实施，目前病毒已得到了很好的控制。但是，新病毒的频频出现，仍影响着计算机及其网络的运行与安全，因此，有个好的防御对策是十分必要的。要对付病毒，我们先要从分析病毒人手，了解其传播方式及破坏机理，分别给出相应的对策，图书馆电子阅览室病毒感染统计结果如表2.1.1所示。图2.1.1图书馆电子阅览室病毒感染统计结果从图1我们可以看出，除了POLYBOOT病毒主要通过软盘传播以外，其它几类都可以通过网络传播，而且传播方式多种多样，如尼姆达病毒，可以同时通过邮件、网页、网络共享目录、磁盘等多种手段传播，感染能力极强，而且具有一定的隐蔽性，只要联人局域网的计算机有一台被感染，那么全网就难以幸免，单机版杀毒软件几乎难以根治，很多用户不得不断开网络，对每台计算机单独进行杀毒处理，然后再恢复网络使用，但是不久便会再次感染，屡杀不绝。通过分析以上流行病毒，可以得出以下几个特点：(1)感染速度快在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络环境下，则可以通过网络通讯机制进行迅速扩散。据测定，在网络正常工作情况下，只要有一台工作站感染病毒，那么就可以几十分钟内将网上的数百台计算机全部感染。(2)扩散面广由于病毒在网络中扩散速度快，范围广，不但能迅速传染局域网内所有计算机，而且还能通过远程工作站将病毒在一传播到千里之外。(3)传播的形式复杂多样计算机病毒在网络上一般是通过“工作站”到“服务器”再到“工作站”的途径进行传播的，但现在的病毒技术更加先迸，传播的形式更加复杂多样。有不少病毒集多种传播方式于一身，利用一切可以传播的方式，在局域网内引起反复的交叉感染。(4)难于彻底清除单机上的计算机病毒有时可以通过杀毒软件来解决。用低级格式化硬盘等措施也能将病毒彻底清除。而网络上的就不同了，只要网络中有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至剐剐完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站感染。因此，仅对工作站进行杀毒，并不能彻底解决病毒对网络的危害。(5)破坏性大网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络瘫痪，破坏服务器信息，使多年工作毁一旦。我馆电子阅览室的管理服务器曾受到病毒的攻击，致使系统崩溃，严重地影响了正常工作。(6)可激发性网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。(7)潜在性网络一旦感染了病毒，即使病毒已被完全清除，其潜在的危险性也是巨大的。局域网病毒的防范措施面对当今病毒发展的多样性问题，杀毒已不能像过去那样，只是在单机上使用杀毒软件。面对越来越凶狠地通过网络传播的复合型病毒，我们要防范这些病毒，就必须建立一套完善的反病毒体系，只有这样才可能将病毒危害降到最低点。对此，我提出以下几点建议：(1)增加安全意识杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于单位内部员工对病毒的传播方式不够了解。病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害怎么样，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。比如，我馆电子阅览室服务器有一次感染了病毒，就是由于工作人员不注意，将某一个文件夹设置为共享而导致的，因为象FUNLVOE病毒能主动寻找共享来进行传播，因此，平时要从加强安全意识着手，对日常工作中隐藏的病毒危害提高警觉性，如安装一种大众认可的网络版杀毒软件；定时更新病毒定义；对来历不明的文件运行前先要进行查杀；每周查杀一次病毒；减少共享文件夹的数量；文件共享的时候尽量控制权限和增设密码等，这些措施都可以很好地防止病毒在网络中传播。(2)预防胜于杀毒我们先要保护系统，尽量减少操作系统及其使用程序的漏洞，因为目前许多病毒都是钻程序的漏洞来传播的，如最近流行的口令病毒，因此需要给系统打上最新的补丁，此外还可以减少黑客的入侵。对于外来的软盘、光盘等存储介质，一定要经过查毒、杀毒后，方可使用。(3)小心邮件随着网络的普及，电子信箱已成为人们工作中不可缺少的一种媒介。它方便快捷，在提高了人们工作效率的同时，却无意中成为了病毒的帮凶。有数据显示，如今有超过90的病毒是通过邮件进行传播的。尽管这些病毒的传播原理很简单，但是对它们仍必须采取适当的措施。例如，如果所有的Window用户都关闭了VB脚本功能，那么像库尔尼科娃这样的病毒就不可能进行传播。因此只要用户随时小心警惕，不要打开来路不明的邮件，就完全可把病毒拒之门外。(4)使用网络版杀毒软件在一个部门，甚至整个校园网，为了保证防病毒系统的一致性、完整性和自动升级能力，必须有一个完善的病毒防护管理体系，负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理，从而保证整个病毒防护体系的一致性和完整性。这就需要有一套较好的网络版杀毒软件。当局域网上出现了一种病毒，并在网上疯狂传播时，由于网内电脑都可以得到实时的升级，因此，只要厂商将此病毒确认并升级，那么网内的电脑就可以对其查杀。另外还可以通过网络版杀毒软件控制台统一发布全网杀病毒指令进行统一杀毒，这样可以快速而方便地消灭病毒。此外，还可以从杀毒报表中查明病毒的来源，这样就可以及时地查出毒源，控制并将其彻底消灭。我馆为此购置了服务器版的趋势科技防病毒软件，这样就基本上杜绝了局域网内病毒的传播。总之，对于一个网络，目前的防病毒工作的意义早已脱离了各自为战的状况，技术也已经不仅仅局限在单机的防病毒。而是需要对整个网络进行规范化的网络病毒防范。因此，我们必须了解最新的技术，通过对网络病毒人口点的分析，很好地将这些技术应用到自己的网络中去，形成一个协同作战、统一管理的局面，只有这样才能更好地防御病毒，从而形成一个良好的反病毒体系。将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。2.2软件安装与工具使用实用软件：局域网查看工具V1.70安装过程：如图2.2.1 图2.2.1安装过程无需安装解压后直接使用。基于局域网的黑客工具有很多，下面笔者以“局域网查看工具V1.70”为例演示。如图2.2.2-图2.2.4所示。这是一款功能强大的局域网工具，但是这么强大的功能如果被别有用心的人利用，就会对局域网内共享数据的安全产生威胁。(1)搜索局域网内计算机：“局域网查看工具V1.70”的使用很简单，软件启动后可以选择搜索工作组、计算机、共享文件夹，也可以跳过这些步骤直接搜索所有在局域网内共享的文件。(2)搜索敏感资料：在搜索结果中我们可以看到，局域网中的所有共享资源一目了然，后面可以看到该共享资源所在计算机的IP地址，试着打开该共享文件夹，结果自然是不攻自破。(3)其他功能：另外攻击者可以通过该工具轻易地复制或者上传文件，如果被植入木马病毒那服务器或者客户端就被完全控制了。如果服务器或者客户端的密码不够强大，那么就可以很容易地通过该工图2.2.2搜索到的局域网相关信息对于基于工具的攻击我们同样运用工具来预防，笔者以Lockdown来演示。Lockdown的功能比较强大，如果在局域网上有其他计算机连接到你的电脑上时，Lockdown会自动把对方和你之间的连接过程记录下来，使得对方的连接完全在你的监视之下。此时你不仅能够记录到对方的IP地址，还可以把对方主机的名称也一并记录下来。这样，即便被人非法入侵也可以根据记录顺藤摸瓜，拉出幕后黑手。另外，Lockdown还可以对有关局域网共享连接进行设定，而且可以监测所有连接到计算机用户的使用情况。(1).共享文件管理及设置：在局域网中可能有人会趁你不在的时候把一个很隐蔽的文件夹设置为共享，然后在通过这种方式侵入你的计算机，而一般情况下你是很难发现这些共享的文件夹，所以Lockdown就在这里显示了当前计算机所有共享的文件夹名称。仔细查看一下，如果其中有些文件夹并不是经你同意共享的，那就果断的将这个隐患关闭。(2).查看当前连接：Windows中一般无法查看出到底有哪些连接到你的计算机中，而在Lockdown的这个标签下就显示了当前所有连接到计算机上的用户，以及他们所进行的操作，比如进入了哪些文件夹，运行了哪些程序文件等等。同时，在窗口右边还提供了计算机建立连接的时间，IP地址、用户名等有用的信息，通过这个窗口能够很快了解到哪些非法用户登陆到你的计算机。(3)查看历史连接记录：也许在你外出的时候会有人使用你计算机中的资源那么怎样才能知道呢?通过这个标签就可以查看所有连接的详细记录情况。除去和当前共享连接一样拥有其他用户调用的文件资源、连接时间、IP地址和用户名信息之外，更增加了断开连接时间和连接总时间，这样能够更加完整地了解到别人对你计算机资源的使用情况。除了对局域网的防护外，Lockdown对常见木马的查杀也为那些疏于防范的用户加了一把锁。图2图2.2.3搜索到的局域网主机相关信息对于基于工具的攻击我们同样运用工具来预防，笔者以Lockdown来演示。Lockdown的功能比较强大，如果在局域网上有其他计算机连接到你的电脑上时，Lockdown会自动把对方和你之间的连接过程记录下来，使得对方的连接完全在你的监视之下。此时你不仅能够记录到对方的IP地址，还可以把对方主机的名称也一并记录下来。这样，即便被人非法入侵也可以根据记录顺藤摸瓜，拉出幕后黑手。另外，Lockdown还可以对有关局域网共享连接进行设定，而且可以监测所有连接到计算机用户的使用情况。(1).共享文件管理及设置：在局域网中可能有人会趁你不在的时候把一个很隐蔽的文件夹设置为共享，然后在通过这种方式侵入你的计算机，而一般情况下你是很难发现这些共享的文件夹，所以Lockdown就在这里显示了当前计算机所有共享的文件夹名称。仔细查看一下，如果其中有些文件夹并不是经你同意共享的，那就果断的将这个隐患关闭。(2).查看当前连接：Windows中一般无法查看出到底有哪些连接到你的计算机中，而在Lockdown的这个标签下就显示了当前所有连接到计算机上的用户，以及他们所进行的操作，比如进入了哪些文件夹，运行了哪些程序文件等等。同时，在窗口右边还提供了计算机建立连接的时间，IP地址、用户名等有用的信息，通过这个窗口能够很快了解到哪些非法用户登陆到你的计算机。 (3).查看历史连接记录：也许在你外出的时候会有人使用你计算机中的资源那么怎样才能知道呢?通过这个标签就可以查看所有连接的详细记录情况。除去和当前共享连接一样拥有其他用户调用的文件资源、连接时间、IP地址和用户名信息之外，更增加了断开连接时间和连接总时间，这样能够更加完整地了解到别人对你计算机资源的使用情况。除了对局域网的防护外，Lockdown对常见木马的查杀也为那些疏于防范的用户加了一把锁。WINDOWS 提供一个PING程序，使用它可以测试网络是否连接，Ping洪水攻击也称为ICMP入侵，它是利用Windows系统的漏洞来入侵的。在工作中的命令行状态运行如下命令：“ping -t -l 65500”，是局域网服务器的IP地址(如图3)，这样就会不断地向服务发送大量的数据请求，如果局域网内的计算机很多，且同时都运行了命令：“ping -t -l 65500”，想一想有什么结果呢?服务器将会因CPU使用率居高不下而崩溃，这种攻击方式也称DoS攻击(拒绝服务攻击)，即在一个时段内连续向服务器发出大量请求，服务器来不及回应而死机。图2.2.4局域网ping包攻击在抵挡PING洪水攻击，建议安装网络防火墙(如天网)，在设置里面选择“不允许别人用Ping命令探测本机”。如图2.2.5所示。图2.2.5网络防火墙当然也可在“管理工具”中打开“本地安全策略”，进入“IP安全策略”进行IP安全配置。系统防火墙也可以防御ping攻击，在防火墙的“高级设置”的“ICMP”选项卡下确认没有勾选“允许传入的回显请求”如图2.2.6所示。 图2.2.6允许传入的回显示请求一般局域网中的服务器都使用的是Windows 2000/2003 server系统，而客户端计算机使用的操作系统有Win2000 Pro/XP等。恶意攻击者在客户端首先用端口扫描软件进行扫描检测服务器的漏洞或者弱口令，然后实施攻击。比如X-Scan，进行相应的设置就可以检测到比如“sql server弱口令”、“nt-server弱口令”等敏感信息。当得到nt-server弱口令后，可在客户机的命令行状态窗口中输入命令：net use 8ipc$123 /user:administrator”来建立一IPC$对话，然后通过命令：copy m.exe 8c$上传木马，最后通过命令：net time 8确定服务器当前时间，接着输入命令：at 13:56 8c$m.exe在服务器端运行木马，控制服务器。如图2.2.7所示。图2.2.7控制服务器其次客户端也可以使用默认共享方式入侵服务器：在该客户机的网络邻居地址栏中输入serveradmin$，便可进入服务器的系统目录，此时该用户可以删除件。若再输入serverd$，即可进入服务器上的D盘，此时该客户机用户已经具备服务器的管理员权限，这是相当危险的。居心叵测的人可以通过上传脚本或者木马创建管理员用户或者通过木马来控制服务器，其后果不堪设想。Win2000/XP采用默认共享方式来方便远程维护，但同时也给了有心者可乘之机。怎么办?可能通过修改注册表来关闭默认共享，打开注册表编辑器，依次打开：HKEY_L0CAl_MACHINESYSTEMCurrentControlSetServiceslanmanserver，若系统为Win2000 Pro，则新建Autosharewks的DWORD值，并设键值为0;若系统为Win2000 Server，则新建Autoshareserver的DWORD值，并设键值为0。重新启动计算机后就关闭了默认共享。如图2.2.8所示 。 图2.2.8删除默认共享ARP欺骗仅存在于局域网中，因为局域网是依赖MAC地址作为源地址、目的地址来传输数据帧的。在局域网传输数据过程中需要将IP地址转为对应的MAC地址用于数据帧传输，如果找不到请求的目标IP对应的MAC地址，则广播ARP request包请求解析该IP对应的MAC地址。恶意攻击者而在局域网中任意构造一个ARP包或者传播ARP病毒，这样导致局域网ARP欺骗。使得局域网地址解析故障，造成网络瘫痪。 实际网络中存在多样的欺骗方式，但都是通过广播精心构造的ARP包来修改PC端ARP缓存中的IP-MAC对应关系，只是选择了修改“源IP地址、源MAC地址、目的IP地址、目的MAC地址”其中某项实现欺骗目的。(1).PC端：如果是windows系统在cmd模式下，执行arp-a，显示当前系统ARP缓存表，检查缓存中的IP-MAC对应关系是否正确，正常情况下IP-MAC是一一对应的。另外可先使用arp-d清除当前ARP缓存表，再开始观察是否存在ARP欺骗的情况。(2).网络设备端：通过show arp命令检测ARP缓存信息。如果某MAC地址对应多个IP地址，则说明该MAC地址的PC正在广播ARP欺骗包(如果某设备存在多IP地址，这种情况是正常的)。另一种恶意欺骗是该MAC地址域网中根本就不存在。(3).还有个比较简单的方法，装个sniffer监听网络中所有ARP包，由于ARP欺骗往往使用广播形式传播，即使在交换机环境下也明显能监听到某PC端正在狂发ARP包。下图是笔者用“科来网络分析系统”检测并定位到ARP毒源主机。(4).安装ARP防火墙，这样防火墙产品很多，比如彩影ARP防火墙、金山ARP防火墙、AntiARP-DNS防火墙、ARP卫士、360ARP防火墙。笔者用360ARP防火墙检测到的ARP欺骗。如图2.2.9所示。 图2.2.9笔者用360ARP防火墙检测到的ARP欺骗(5).反欺骗，通过命令设置一个错误的网关地址，反欺骗ARP病毒，如图2.2.10。然后再添加一条静态路由，设置正确的网关如图11，用来正常的网络访问，并且比那条用来欺骗ARP病毒的那条路由的权限要高。图2.2.10反欺骗ARP病毒局域网是监听嗅探的温床，这是由嗅探的原理决定的。攻击者在局域网内的一台主机、网关上放入监听程序，从而可以监听出网络的状态、数据流动情况以及传输数据的信息。因为在通常条件下，用户的所有信息，包括帐号和密码都是以明文的方式在网络上传输的。在局域网中进行嗅探技术门槛比较底，而且类似sniffer这样的嗅探工具非常多，几乎是傻瓜式的操作，因此，只要具有初步的TCP/IP知识的人利用嗅探程序获取用户的各种信息并不是一件很困难的事，危害极大。如下图是笔者在局域网中用sniffer嗅探到的某用户登陆FTP服务器时的用户名和密码。(1).检测当局域网中存在用户的帐户密码被窃取的事件时，网络管理员就应该进行网络监听的检测。检测的方法是：用正确的IP地址和错误的物理地址ping某可疑的客户端，如果该客户端运行监听程序就会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收就会响应。其次，向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。另外，使用反监听工具如antisniffer等进行检测 。(2).防范网络分段：从逻辑或物理上对网络分段，网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。数据加密：数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码如图13。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。划分VLAN：运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。随着Internet局域网急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。针对这个企业局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。下述风险由多种因素引起，与这个企业局域网结构和系统的应用、局域网内局域网服务器的可靠性等因素密切相关。下面列出部分这类风险因素：局域网安全可以从以下三个方面来理解：局域网物理是否安全；系统是否安全；应用是否安全；管理是否安全。针对每一类安全风险，结合这个企业局域网的实际情况，我们将具体的分析局域网的安全风险。另一种简洁方法：打开“腾讯电脑管家”，点击“工具箱”按钮，并从工具列表中点击“ARP防火墙”项。如图 2.2.11-图2.2.15所示。图2.2.11腾讯电脑管家图2.1.12立即安装图2.2.13手动设置网关图2.2.14手动添加网关和DNS图2.2.15启用2.3结果显示配合电脑自带杀毒软件成功拦截并且有效的防御了。实现了图书馆局域网防御。如图2.3.1-图2.3.3所示。图2.3.1有效防御图2.3.2成功拦截图2.3.3局域网正常第3章 设计总结对于一个网络，目前的防病毒工作的意义早已脱离了各自为战的状况，技术也已经不仅仅局限在单机的防病毒。而是需要对整个网络进行规范化的网络病毒防范。因此，我们必须了解最新的技术，通过对网络病毒人口点的分析，很好地将这些技术应用到自己的网络中去，形成一个协同作战、统一管理的局面，只有这样才能更好地防御病毒，从而形成一个良好的反病毒体系。了解了局域网的防范与应对措施。恶意攻击者而在局域网中任意构造一个ARP包或者传播ARP病毒，这样导致局域网ARP欺骗。使得局域网地址解析故障，造成网络瘫痪。通过本次实训掌握了具有较系统的网络安全知识，并在实际应用时具备一定的防范非法入侵、维护网络、系统安全性的能力，其目的在于加深对