《网络安全技术》实验指导书

1、计算机网络专业 网络安全技术 课程实验指导书撰写人：任 敏审定人： 目 录实验一 Windows安全设置.11实验二 加密技术.14实验三 备份技术.17实验四 防火墙技术.19实验五 网络安全检测技术(sniffer).22实验一 Windows安全设置一、 实验目的（1）掌握组的创建和管理。（2）了解并能手动关闭不必要的服务。（3）了解并能手动关闭不必要的端口。二、实验要求（1）提前查阅windows系统安全有关资料；（2）完成Windows相关安全设置，并记录；（3）写出实验报告。三、主要仪器及耗材1、网络计算机2、WINDOWS2000 SERVER网络操作系统和域控制器组件3、采用V

2、Mware虚拟机软件，应用windowsxp系统来操作四、实验内容与步骤1. 设置windows xp完全登录或注销 如果用户设置了“安全登录”作用是确保用户交互式登录时输入的信息被系统所接受，而不会被其他程序获取，这样就不会被黑客盗取用户密码。 首先，把欢迎方式改为传统登录方式，方法是控制面板的更改用户登录或注销的方式，将“使用欢迎屏幕”的勾去掉。其次，在运行窗口中输入”control userpasswords2”,选择”高级”选项卡,单击”要求用户按“ctrl+alt+del”，设置结束。2. 管理员账号改名Windows 2000中的Administrator账号是不能被停用的，这意味

3、着别人可以一遍又一边地尝试这个账户的密码。把Administrator账户改名可以有效地防止这一点。不要使用Admin之类的名字，尽量把它伪装成普通用户，比如改成guestone。具体操作的时候只要选中账户名改名就可以了。3、创建陷阱账号；什么是陷阱账号？创建一个名为“Administrator”的本地账号，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripter忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手.4恢复丢失的windows2000/xp密码 主要是覆盖系统的c:/winows

4、/system32/config/sam文件。5. 安全密码好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建账号的时候往往用公司名、计算机名，或者一些别的一猜就猜得到的字符做用户名，然后又把这些账户的密码设置得比较简单，比如welcome、Iloveyou、letmein或者和用户名相同的密码等。这样的账户应该要求用户首次登录的时候更改成复杂的密码，还要注意经常更改密码。 强密码：至少有7个字符，不包含用户名，真实姓名和公司名称，不包含完整的字典词汇，包含四组字符类型中的三组或以上。弱密码：根本没有密码，包含用户名或公司名称和包含完整的字典词汇。6. NTFS分区把

5、服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。7. 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”。可以配置4类安全策略：账户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。方法是打开gpedit.msc（组策略），然后打开windows设置，然后打开安全设置。本地策略-审核策略 设置审核系统登陆事件 成功，失败审核账号管理 成功，失败审核登陆事件 成功，失败审核对象访问 成功

6、审核策略更改 成功，失败审核特权使用 成功，失败审核系统事件 成功，失败帐户策略-密码策略密码复杂性要求 启用密码长度最小值 6位强制密码历史 5 次强制密码历史 42次帐户策略-账号锁定策略策略 设置复位账号锁定计数器 20分钟账号锁定时间 20分钟账号锁定阈值 3次8. 关闭不必要的服务Windows 2000的Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便地管理服务器，很多计算机的终端服务都是开着的，如果开了，要确认已经正确地配置了终端服务。有些恶意的程序也能以服务方式悄悄地运行服务器上的终端服务。要留意

7、服务器上开启的所有服务并每天检查。方法是：控制面板-性能与维护-管理工具-服务或计算机信息管理-服务与应用程序。9. 关闭不必要的端口关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。 用端口扫描仪扫描系统所开放的端口，在Winntsystem32driversetc services文件中有知名端口和服务的对照表可供参考。具体方法是：网上邻居>属性>本地连接>属性>internet协议（tcp/ip）>属性>高级>选项>tcp/ip筛选>属性，打开tcp/ip筛选，添加需要tcp,ud

8、p的协议即可。10. 不显示上次登录名默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表禁止显示上次登录名，在KEY_LOCAL_MACHINE主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将键值改成1。 11. 禁止建立空连接默认情况下，任何用户通过空连接连上服务器，进而可以枚举出账号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修

9、改子键：SystemCurrentControlSetControlLSARestrictAnonymous，将键值改成1即可。12. 下载最新的补丁很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补。谁也不敢保证数百万行以上代码的Windows 2000不出一点安全漏洞。经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的惟一方法。 13. 删除缺省共享当前有些网络病毒，就是通过猜测系统主机简单密码，然后利用系统的默认共享进入主机的，如c$winntsystemmsmsgri32.exe.系统的共享我们可以通过

10、打开计算机管理-共享文件夹看到，这种共享我们不能手动删除，即使手动取消了，重启系统后又有了，如何删除呢？（1）禁止C$、D$一类的缺省共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer、REG_DWORD、0x0 （2）禁止ADMIN$缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks、REG_DWORD、0x0 （3） 限制IPC$缺省共享

11、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous、REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表0x2 匿名用户无法连接本机IPC$共享说明：不建议使用（2），否则可能会造成一些服务无法启动，如SQL Server。14、关机时清除掉页面文件；页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表：HK

12、EY_LOCAL_MACHINE CurrentControlSetControlSession ManagerMemory Management把ClearPageFileAtShutdown的键值设置成“1”。15、共享的设定 取消工具-文件夹选项中的“使用简单文件共享”，然后再对文件夹进行共享和安全的设定。16、删除netbios协议Netbios协议是很多安全缺陷的根源，所以那些不需要提供文件的打印共享的主机，根本没有启用该协议的必要，仅适用于那些无需通过“网上邻居”实现文件和打印机共享的主机，方法是：打开tcp/ip协议属性-常规-高级-win，点击tcp/ip上的netbios。1

13、7、启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。在控制台树中，单击包含所需用户帐户的容器。在右窗格中，右键单击相应的用户帐户，然后单击“属性”。 单击“帐户”选项卡。1. 限制用户登录的时间单击“时数”按纽，弹出“登录时数”对话框。登录时数以每周七天的每小时显示，一个框代表一个小时，按计划给这个工作站的登录时数。单击“确定”，退出登录工作站对话框。2. 限制登录的工作站单击“登录到”按纽，弹出登录工作站对话框，在这儿可以设置限制用户域帐号的工作站，默认是允许用户可在所有的工作

14、站上登录。单击“确定”按钮，退出登录工作站对话框。3. 帐号限制单击“帐号”按钮，弹出帐号信息对话框。如选择“永不过期”，则指定帐号永不过期。如选择“有效期限”，则过了有效期限，便禁止该帐号。单击“确定”，退出帐号信息对话框。18、关闭不必要的服务windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，周期性(每天)地检查他们。下面是C2级别安

15、装的默认服务：Computer Browser service TCP/IP NetBIOS HelperMicrosoft DNS server SpoolerNTLM SSP ServerRPC Locator WINSRPC service WorkstationNetlogon Event log设置：禁止建立空连接默认情况下，任何用户通过空连接连上服务器，进而可以枚举出账号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键：SystemCurrentControlSetControlLSARestrictAnonymous将键值改成1

16、即可。五、实验注意事项设置完毕后，重启计算机需不还原系统，否则设置无效。六、 参考文献 实验二 CAP加密实验目的掌握常规的密码算法和分析技术实验任务（1） 利用CAP软件实现几种常用密码加密和解密；（2） 利用CAP软件对密文进行分析实验步骤双击运行CAP4.exe，出现CAP软件主界面1 一般使用过程先在”plaintext”中输入要加密的明文，或在”Ciphertext”中输入要解密的密文，然后选择彩旦”Ciphers”中的”加密算法”输入密钥”进行加密或解密运算”。相应的密文或回复的明文分别出现在”Ciphertext”或”Plaintext”中，如果是对密文进行分析，则在”Ciphe

17、rtext”中输入要分析的密文后，利用”Analysis Tools”分析工具进行分析。，现在以明文M=Cryptographic standards为例，用不同的密码算法求出相应的密文是多少。（1） 对于密钥K=3的简单移位密码的加密与解密过程。在”plaintext”窗口中输入字符串”cryptographic standards”，在菜单中选择”Ciphers” ”simple shift”,输入移位的个数，即密钥3，单击”Encipher”生成密文。（2） 对于密钥k=badge的Vigenere密码的加密与解密过程。在菜单中选择”Ciphers” ”Vigevere”,输入密钥”ba

18、dge”,单击”Encipher”,生成密文”drbvxpgugitiifyxbnggves”.（3）实验三 加密技术一、 实验目的a) 掌握PGP混合加密工具的安装、自己的密钥的生成的操作；b) 掌握PGP密钥管理器中密钥的导入、导出的操作；c) 掌握PGP混合加密工具进行指定文件的加密和解密操作；d) 掌握PGP混合加密工具进行指定文件的数字签名和验证签名的操作；e) 使用PGP加密和解密邮件.二、实验要求（1）提前查阅PGP有关资料；（2）PGP的使用要求两个学生共同完成，利用配对公私钥互相加解密文件；（3）写出实验报告。通过本次实验，学会使用PGP软件，达到熟悉公开密钥密码机制，了解证

19、书的基本原理，熟悉数字签名的目的。三、主要仪器及耗材1、网络计算机2、采用VMware虚拟机软件，应用windowsxp系统来操作四、实验内容与步骤1、安装PGP加密工具，重新启动系统1、 生成自己的一对密钥，并导出自己的公钥（1） 在完成PGP加密软件的安装后，启动该软件；（2） 运行PGP加密软件中的“PGPkeys”密钥管理工具；（3） 在密钥管理界面中下拉“keys”，选中“New key”按钮进行新密钥对的生成；（4） 按操作引导，填写自己的学号、邮件地址、选择加密算法、密钥长度、密钥的有效期等，完成密钥的生成工作；（5） 在密钥管理界面中选中新生成的密钥，下拉“keys”，选中“E

20、xport”按钮进行密钥的导出；2、 导入他人的公钥（1） 在收到他人提供的对方的公钥后，双击该公钥进行导入操作。3、 使用PGP工具进行文件加解密的操作。（1） 对于选中的文件是用鼠标右键调出快击菜单中的PGP加密签名工具进入PGP密钥管理界面；（2） 选择想要发送的对象的公钥，并点击“OK”进行加密；（3） 此时系统会在明文所在的文件夹中自动生成一个密文，从而完成加密过程。 4、 使用PGP工具进行密文解密。（1） 选中并打开（双击）密文，系统弹出要求输入密码的对话框；（2） 在对话框中输入启用解密用的私钥的密码并确认；（3） 此时系统会在密文所在的文件夹中自动生成一个解密后的明

21、文，从而完成解密过程。5、 使用PGP工具进行加密和数字签名的操作。（1） 对于选中的文件是用鼠标右键调出快击菜单中的PGP加密和数字签名工具进入PGP密钥管理界面；（2） 选择想要发送的对象的公钥，并点击“OK”进行加密；（3） 选择想要进行签名的发送方的私钥，对选择好的私钥输入相应的启用该私钥的密码进行签名；（4） 此时系统会在明文所在的文件夹中自动生成一个带有签名的密文，从而完成加密和签名过程。6、 使用PGP工具进行解密和验证签名的操作。（1） 选中并打开密文，系统弹出要求输入密码的对话框；（2） 在对话框中输入启用解密用的接收方私钥的密码并确认;（3） 此时系统会在屏幕上出现的签名验

22、证结果，同时在密文所在的文件夹中自动生成一个解密后的明文，从而完成解密和验证签名的过程。7、 使用PGP加密和解密邮件加密邮件使用Outlook，在新建一封邮件时，在菜单上会多一项PGP，以及相关的三个小图标：加密、签名、打开PGP管理器，前两个是可选的，可只加密不签名反之亦可，同时用也可。解密收到的邮件，收到邮件点击解密小图标，加密的信息就显示出来了。五、实验注意事项无。六、参考文献1 美 William Stallings 著. 杨明，胥光辉，齐望东等 译. 谢希仁 审校. 密码学原理与网络安全实践. 电子工业出版社. 2001: 281-295.实验四 备份技术一、实验目的通过本次实验,

23、 掌握备份软件安装步骤，了解备份软件维护的目的、内容和使用方法，用一键还原精灵来备份系统和还原系统。二、实验要求（1）提前查阅有关资料；（2）完成相应实验步骤，学会使用一键还原软件；（3）写出实验报告。三、主要仪器及耗材1、网络计算机2、采用VMware虚拟机软件，应用windowsxp系统来操作3、一键还原安装软件和分区魔法大师四、实验内容与步骤1、分区 用分区魔法大师来对系统进行分区；2、安装一键还原精灵并备份系统3、修改系统数据 4、用一键还原软件恢复系统数据（即第2步时的数据） 5、用磁盘管理工具查看系统分区情况五、参考文献1 Ghost 8.3详细使用教程. . 2007-4-2实验

24、七 防火墙技术一、实验目的（1）对天网防火墙的安装与基本配置，使学生掌握防火墙的一般使用方法。（2）掌握天网防火墙的访问控制规则设置方法；二、实验要求（1）提前查阅天网防火墙有关资料；（2）记录配置参数，然后配置不同参数，并记录在不同参数下防火墙工作状况；（3）写出实验报告。三、主要仪器及耗材1、网络计算机2、WINDOWS2000 SERVER网络操作系统3、天网防火墙安装软件四、实验内容与步骤下面来介绍天网的一些简单设置，如下图是系统设置界面，大家可以参照来设置：www.U_'H_Q_b_i/3gwww.下面是IP规则，一般默认就可以了，其实在未经过修改的自定义IP规则是与默认中级

25、的规则一样的。但如果你想新建新的IP规则也是可以的，因为我们再介绍，这里是默认情况就不多说了。下面是各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的操作。以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或屏蔽某些端口，或某些IP操作等等，默认下就能起到防火墙的6a强大作用。但是

26、防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法，大家可以依次类推，完成你想要的相关操作。6a   （二）、防火墙开放端口应用9G:Z_y_h_D5Mo_g6,军事V.    如果想开放端口就得新建新的IP规则，所以在说开放端口前，我们来说说怎么新建一个新的IP规则，如图五，在自定义IP规则里双击进行新规则设置。点击增加规则后就会出现以下图六所示界面，我们把它分成四部分。1）图六是新建IP规则的说明部分，你可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可

27、以根据具体情况决定。_zU6x'X-n;R_h8蓝SIR中文网,武侠仙侠,玄幻魔法,都市言情,网游竞技,军事历史,架空同人,   2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定地址，指定网络地址四种。v3h6E#_ 蓝SIR中武侠 图 五 图 六3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，QQ使用的是UDP协议等。 4）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，就看你自己想怎么样了，具体看后面的实

28、例。蓝SIR中    如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶，这就完成了新的IP规则的建立，并立即发挥作用。.B_Q_g&n_R(I1WK"x蓝SIR中文网,武侠仙侠,玄幻魔法,都市言情,网游竞技,军事历史,架空同人, "O*s 9F_q"X2D/（三）、常见日志的分析（仅供参考）_q_K_t_z8J+f_F6y*|l_n_V蓝SIR中文网,武侠仙侠,玄幻魔法,都市言情,网游竞技,军事历史,架空同人,    使用防火墙关键是会看日志，看懂日志对分析问题是非常关键的，大家看下图，就是日志记录，

29、上面记录了不符合规则的数据包被拦截的情况，通过分析日志就能知道自己受到什么攻击。下面我们就来说说日志代表的意思。看上图，一般日志分为三行，第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母，他们的简单含义如下：    ACK：确认标志    提示远端系统已经成功接收所有数据_I,h!q_e_T4j+蓝SIR中文网,武侠仙侠,玄幻魔法,都市言情,网游竞技,军事历史,架空同人,*

30、b"O_S C_B5k蓝SIR中文网,武侠仙侠,玄幻魔法,都市言情,网游竞技,军事历史,架空同人,    SYN：同步标志 (A:Z'D_|5C9?F蓝_h_    该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号$h h3Y_n/   FIN：结束标志带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。_q7O_M    RST：复位标志，具体作用未知+wC_Q f        _c 第三

31、行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为“继续下一规则”。 五、实验注意事项无六、参考文献1 天网防火墙V2.61学习教程. www. .2005-6-18实验八 网络安全检测技术一、实验目的Sniffer软件是NAI公司推出的功能强大的协议分析软件。可用Sniffer Pro网络分析器对网络进行故障解决，也可利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，分析网络的运行情况。掌握Sniffer软件的功能和使用，能利用该工具软件对网络进行分析和检测。二、实验要求（1）提前查阅Sni

32、ffer有关资料；（2）利用Sniffer工具对网络进行监控，分析网络流量、网络利用率以及错误得到的数据；（3）写出实验报告。三、主要仪器及耗材1、网络计算机2、WINDOWS2000 SERVER网络操作系统3、Sniffer pro安装软件四、实验内容与步骤 1、捕获数据包前的准备工作在默认情况下，sniffer将捕获其接入碰撞域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下：（1） 在

33、主界面选择captureàdefine filter选项。define filteràaddress，这是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例，如果现在要捕获地址为00的主机与其他主机通信的信息，在Mode选项卡中，选Include(选Exclude选项，是表示捕获除此地址外所有的数据包)；在station选项中，在任意一栏填上00,另外一栏填上any（any表示所有的IP地址）。这样就完成了地址的定义。注意到Dir.栏的图标：表示，捕获station1收发的数据包；表示，捕获station1发送的数据包；表示，捕获station1收到的数据包。最后，选取，将定义的规则保存下来，供以后使用。（2） define filteràadvanced，定义希望捕获的相关协议的数据包。比如，想捕获FTP、NETBIOS、DNS、HTTP的数据包，那么说首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕获的数据包将不全。如果不选任何协议，则捕获所有协议的数据包。Packet Size选项中，可以定义捕获的包大小。（3） define filteràbuffer,定义捕