实验二常用网络安全策略与个人电脑设置

1、实验二 常用网络安全策略与个人电脑设置（一） 常用网络安全策略一、实验目的：1、练习使用ping、netstat、ipconfig、tracert等命令，了解其命令的具体含义。2、在不安装和设置防火墙的情况下，使自己的服务器在在线状态下逃脱搜索（适用于Windows 2000/XP系统）。二、实验内容：1、在DOS命令符提示框中练习各种命令2、创建一个禁止所有计算机Ping 本机IP地址的安全策略。三、实验步骤：1、TCP/IP网络工具的使用练习使用各种命令，并记录其结果！ 1）Ping Ping 参数 主机/IP地址 参数：-a 将地址解析为计算机名。 2）Netstat 查看当前网络的链接

2、状态和网络协议的有关信息。 参数： -a 显示所有连接和侦听端口 -e显示以太网统计 -s显示每个协议的统计 3）Tracert 察看从一台计算机到达目标计算机所经过路径的信息。 Tracert 主机/IP地址 -d 参数：-d，不解析中间节点的名称，直接显示地址。 4）FTP FTP 主机/IP地址 5）Telnet 允许用户登录到远程计算机成为远程计算机的一个终端。 Telnet主机/IP地址2、设置Ping的安全策略步骤一：添加IP筛选器和筛选器操作。（1）依次单击“控制面板管理工具 本地安全策略”，打开“本地安全设置”对话框，右击该对话框左侧的“IP安全策略，在本地计算机”选项，执行“

3、管理IP筛选器和筛选器操作”命令；（2）在弹出对话框的“管理IP筛选器列表”标签下单击“添加”按钮，然后在弹出的对话框“IP筛选器列表”中命名这个筛选器的名称为“禁止Ping”，描述语言可以为“禁止任何其他计算机Ping我的主机”；（3）在弹出的对话框“IP筛选器列表”中单击“添加”按钮，弹出“IP筛选器向导”对话框，单击“下一步”按钮，选择“IP通信源地址”为“我的IP地址”，单击“下一步”按钮；（4）选择“IP通信目标地址”为“任何地址”，单击“下一步”按钮；（5）选择“IP协议类型”为“ICMP”(Ping命令操作都是利用ICMP协议中的报文进行的),单击“下一步”;（6）最后点击“完成

4、”结束添加，之后切换到“管理筛选器操作”标签下，依次单击“添加 下一步”按钮，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击“下一步”按钮；点选“阻止”选项作为此筛选器的操作行为，最后单击“下一步”，完成所有添加操作。步骤二：创建IP安全策略。（1）右击控制台中的“IP安全策略，在本地计算机”选项，执行“创建IP安全策略”命令，然后单击“下一步”按钮；（2）命名这个IP安全策略为“禁止Ping主机”，描述语言为“拒绝任何其他计算机的Ping要求”，并单击“下一步”；（3） 选择“激活默认响应规则”后，单击“下一步”；（4）在“默认响应规则身份验证方法”对话框中点

5、选“此字符串保护密钥交换”选项，并在下面的文字框中任意键入一段字符串（如“NO Ping”），单击“下一步”；（5）最后勾选“编辑属性”，单击“完成”按钮结束创建。步骤三. 配置IP安全策略。（1）在打开的“禁止Ping主机”属性对话框中的“规则”标签下单击“添加 下一步”，点选“此规则不指定隧道”并单击“下一步”；（2） 点选“所有网络连接”，保证所有的计算机都Ping不通该主机，单击“下一步”；（3） 在“身份验证方法”对话框中点选“此字符串保护密钥交换”选项，并在下面的文字框中任意键入一段字符串（如“NO Ping”），单击“下一步”；（4） 在“IP筛选器列表”框中点选“禁止Ping”

6、，单击“下一步”；在“筛选器操作”列表框中点选“阻止所有连接”，单击“下一步”；取消“编辑属性”选项并单击“完成”，结束配置。步骤四：指派IP安全策略。 安全策略创建完毕后并不能马上生效，我们还需通过“指派”功能令其发挥作用。右击“本地安全设置”对话框右侧的“禁止Ping主机”策略，执行“指派”命令，即可启用该策略。步骤五：验证。 至此，这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能，不过在本地仍然能够Ping通自己。经过这样的设置之后，所有用户（包括管理员）都不能在其他机器上对此服务器进行Ping操作。同学们可以在“指派”和“不指派”两种情况下互相Ping对方的IP地址，以验证

7、最终是否完成安全策略。（二） 安全个人电脑设置1.实验目的：打造安全个人电脑；关闭Windows不必要的服务；有效的端口设置；合适的安全策略设置。2.实验内容和步骤及相应结果：(1) 有效的端口配置计算机的各个端口的作用；关闭不必要的端口a点击“开始”菜单/设置/控制面板/管理工具， 双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”， 在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略” 于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名。b再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉， 点击“完成”按钮

8、就创建了一个新的IP 安全策略。c右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉， 然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框， 在画面上点击“添加”按钮， 弹出IP筛选器列表窗口；在列表中， 首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。 d 进入“筛选器属性”对话框， 首先看到的是寻址，源地址选“任何 IP 地址”， 目标地址选“我的 IP 地址”； 点击“协议”选项卡， 在“选择协议类型”的下拉列表中选择“TCP”， 然后在“到此端口”下的文本框中输入“135”， 点击“确定”按钮。重复以上步骤继续添加 TCP

9、 137、139、445、593 端口 和 UDP 135、139、445 端口，为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略， 建立好上述端口的筛选器，最后点击“确定”按钮。 e在“新规则属性”对话框中， 选择“新 IP 筛选器列表学号姓名”， 然后点击其左边的圆圈上加一个点， 表示已经激活，最后点击“筛选器操作”选项卡。 在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉。f点击“添加”按钮，添加“阻止”操作。在“新筛选器操作属性”的“安全措施”选项卡中， 选择“阻止”，然后点击“确定”按钮。g进入“新规则属性”对

10、话框， 点击“新筛选器操作”，其左边的圆圈会加了一个点， 表示已经激活，点击“关闭”按钮，关闭对话框； 最后回到“新IP安全策略属性”对话框， 在“新的IP筛选器列表”左边打钩。h按“确定”按钮关闭对话框。在“本地安全策略”窗口， 用鼠标右击新添加的 IP 安全策略，然后选择“指派”。 于是重新启动后，电脑中上述网络端口就被关闭了， 病毒和黑客再也不能连上这些端口，从而保护了你的电脑。(2) 合适的安全策略A打开审核策略进入我的电脑控制面板管理工具本地安全策略审核策略中打开相应的审核。B 对文件和文件夹的访问策略a单击桌面上的“开始”，然后单击“我的电脑”。收起这个图片展开这个图片b在“工具”

11、菜单上，单击“文件夹选项”。c单击“查看”选项卡，然后选中“使用简单文件共享(推荐)”复选框以打开简单文件共享。打开盘符或目录的属性窗口，如下图多了一项“安全”标签，这样，就可以为不同的用户设置不同的访问这个目录的权限了。d在所选择的文件或文件夹的属性窗口的“安全”页面上，点击高级按钮；在“审核”页面上，点击添加按钮，选择想对该文件或文件夹访问进行审核的用户，单击确定；在“审核项目”对话框中，为想要审核的事件选择“成功”或是“失败”复选框。e 选择完成后确定。返回到“访问控制设置”对话框，默认情况下，对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹，清空检查框“允许将来自父系的可继