网络安全防护操作题

《网络安全防护操作题》由会员分享，可在线阅读，更多相关《网络安全防护操作题（7页珍藏版）》请在装配图网上搜索。

1、四、实验题(10道)5-192按照国家电网公司SG186工程信息化建设要求，公司开发建设了 某应用系统，系统采用Windows2003平台提供服务，根据等级保护建设 和公司信息安全要求，需要根据如下具体要求对系统进行配置和安全加 固。(1) 对登录操作系统的用户进行身份标识和鉴别，操作系统管理用户身份标识具有不易被冒 用的特点，口令有复杂度并定期更换，同时对系统账号进行优化，禁用不必要的账号。(2) 根据应用系统服务端口最小化原则，关闭不必要的网络端口和服务。增强日志审核，调整审核策略，调整事件日志的大小和覆盖策略。(4)为进一步提高系统安全性，需要禁止匿名用户连接(空连接)，禁止系统显示上次

2、登录的 用户名，删除主机默认共享，禁止dump file的产生。答案要点：1.。(1) 本地安全设置I账户策略I密码策略，对密码策略进行设置。密码复杂性要求：启用。密 码长度最小值：8字符；密码最短存留期：0天。(2) 本地安全设置I账户策略I账户锁定策略，对账户锁定策略进行设置：复位账户锁定计数 器：15min。账户锁定时间：15min。账户锁定阀值：5次。(3) 更改默认管理员账号，本地安全设置I本地策略I安全选项I重命名系统管理员账号。(4) 计算机管理I系统工具I本地用户和组I用户，删除非法账号或多余账号。2.通过开始I运行Iservices. msc，将不必要的服务启动类型设置为手动

3、并停止，或者禁用。需 要停用的服务主要有：(1)Server :网络共享与IPC$。| (2)Remote Registry：远程管理注册表，开启此服务带来一定的风险。(3)Print Spooler:如果相应服务器没有打印机，可以关闭此服务。Alerter：远程发送警告信息。(5) Computer Browser(计算机浏览器)：维护网络上更新的计算机清单。(6) Messenger：允许网络之间互相传送提示信息的功能，如net send。(7) Task Scheduler：计划任务。3.】(1)本地安全设置I本地策略I审核策略，进行审核策略调整。修改安全策略为下述值：审核策略更改成功审

4、核登录事件无审核审核对象访问成功，失败审核过程追踪无审核审核目录服务访问 无审核审核特权使用无审核审核系统事件成功，失败审核账户登录事件成功，失败审核账户管理成功，失败(2) 管理工具I事件查看器，设置应用程序、安全性、系统三者的默认“最大日志文件大小” 和“覆盖策略”。应用程序、安全性、系统三者的“最大日志文件大小”调整为16384K：覆盖策略调整为“改 写久于30天的事件”。4.(1)禁止匿名用户连接，修改注册表如下键值：HKLM SYSTEM CurrentControlSet Control Lsa“restrictanonymous” 的值修改为 “1”，类型为REG DWORD。禁

5、止系统显示上次登录的用户名，修改注册表如下键值：HKLM Software Microsoft WindowsNT CurrentVersion Winlogon DontDisplayLastUserName把REG SZ 的键值改成 1。(3) 删除主机默认共享，增加注册表键值。HKLM SYSTEM CurrentControlSet Services lanmanserver parameters一 一 Autoshareserver项，并设置该值为 1 。(4) 禁止dump file的产生。控制面板I系统属性I高级I启动和故障恢复，把“写入调试信息”改成无。5-193国家电网公司内

6、部需要利用Windows Server 2003服务器再发布 多个Web站点，但是只能使用一个IP和标准的80端口。多个站点的地FQDN是news. sgl86. com，hr. sgl86. com，finance. sgl86. como 其 中，hr. sgl86. com涉及到表单登录，需要有更强的安全防护措施。新 增的三个站点必需保证互不影响，即一个站点的意外停止运行不会影响 到其他站点。请配置相关的DNS和服务器。答案要点：多主机头，DNS主机记录的注册。申请证书，对hr. sgl86. com站点进行SSL封装。(3)创建不同的应用程序池，并应用到不同的三个站点。5-194如何对

7、默认安装的WindowsServer2003服务器进行安全加固，以 防范中$入侵。答案要点：（1）禁止空连接进行枚举（此操作并不能阻止空连接的建立）。首先运行regedit，找到如下主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA把RestrictAnonymous=DWORD的键值改为：00000001。0x0缺省&0x1匿名用户无法列举本机用户列表0x2匿名用户无法连接本机IPC$共享说明：不建议使用2,否则可能会造成你的一些服务无法启动，如SQLServer禁止默认共享。1）察看本地共享资源。运行-cmd-输入 net share

8、2）删除各共享。） net share ipc$ / deletenet share admin$ / deletenet share c$/deletenet share d$ / delete（如果有e, f,可以继续删除）3）修改注册表，删除默认共享。运行-regedit 找到如下主键HKEY LOCAL MACHINESYSTEMCurrentControlSet Services LanmanServer Parameters把 AutoShareServer（DWORD）的键值改为0000000。如果上面所说的主键不存在，就新建（右键单击I新建双字节值）一个主键再改键值。、（3）停

9、止 server服 务。1）停止server服务。2）永久关闭ipc$和默认共享依赖的服务：lanmanserver即server服务控制面板I管理工具服务I找到server服务（右击）I属性I常规I启动类型已禁用（4）安装防火墙（选中相关设置），或者端口过滤（滤掉139, 445等）。1）取消“文件和打印机共享”与网络适配器的绑定。鼠标右键单击桌面上的网络邻居I属性I本地连接I属性，去掉“ Microsoft网络的文件和打印 机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求， 别人也就看不到本机的共享了。-2）利用TCP/IP筛选。鼠标右击桌面上的网络

10、邻居I属性I本地连接I属性，打开“本地连接属性”对话框。选择 Internet协议（TCP/IP ）I属性I高级I选项，在列表中单击选中“ TCP/IP筛选”选项。单击属性按钮， 选择“只允许”，再单击添加按钮（如图2），填入除了139和445之外要用到的端口。这样别人使 用扫描器对139和445两个端口进行扫描时，将不会有任何回应。3）使用I PSec安全策略阻止对端口 139和445的访问。选择我的电脑I控制面板I管理工具I本地安全策略IIP安全策略，在本地机器，在这里定义一 条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描 器扫描时

11、，本机的139和445两个端口也不会给予任何回应。4）使用防火墙防范攻击。在防火墙中也可以设置阻止其他机器使用本机共享。在个人防火墙，选择一条空规则，设 置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为 “139到139，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后 单击确定按钮，并在“自定义ip规则”列表中勾选此规则即可启动拦截139端口攻击了。（5）给所有账户设置复杂密码，密码包括大写字母、小写字母、数字、特殊字符种的至少三 项，长度不少于8位，防止通过ipc$穷举密码。?5-195给一台使用默认设置安装好的Linux服

12、务器，如何配置以加强这台服务器的安全性（再明确点）答案要点：（1）用防火墙关闭不须要的任何端口，别人PING不到服务器，威胁自然减少了一大半防止别人ping的方法：1）命令提示符下打。echo 1 / proc / sys / net / ipv4 / icmp_ignore_all）2）用防火墙禁止（或丢弃）icmp包。iptables-AINPUT-picmp-jDROP3）对所有用ICMP通信的包不予响应。比如 PING TRACERT更改SSH端口，最好改为10000以上，别人扫描到端口的几率也会下降。vi / etc / ssh / sshd_config将PORT改为1000以上端

13、口。%同时，创建一个普通登录用户，并取消直接root登录。useraddUSemanlepasswdusemamevi/etc/ssh/sshd_config在最后添加如下一句：PermitRootLogin nO #取消root直接远程登录删除系统臃肿多余的账号：、 userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允许匿名FTP，就删掉

14、这个用 户账号 groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers更改下列文件权限，使任何人没有更改账产权限：chattr +i / etc / passwdchattr +i / etc / shadowchattr +i / etc / groupchattr +i / etc / gshadow(5) chmod600 / etc / xinetd. conf。(6) 关闭FTP匿名用户登录。5-196 某房间墙上有1个网口，可以为MAC地址为

15、(00-FF-E4-4C-27-8A)的设备提供(ip-mac)绑定的接入因特网服务，该IP配置信息如下：Ip： 10. 2. 100. 3、Netmask： 255. 255. 255. 0Gateway： 10. 2. 100. 254DNS： 10. 2. 200. 1如何配置一台天融信防火墙NGFW4000,使得某个网段(192. 168. 0. 1 / 24)的机器能通过 此网口接入因特网答案要点：(1) 在此防火墙上定义两个网口，分别命名为nternet 口和Trust 口。(2) 为Internet口修改MAC地址为00-FF-E4-4C-27-8A,同时设定下一条路由为10.

16、2. 100. 254。;在防火墙NAT设置里添加地址转换规则，在其中单击高级选项，在源中选择TRUST,目的中选择INTERNET。5-197如何使用一台双网卡的Linux服务器实现NAT功能答案要点：（1 ）设网卡。外网网卡DEVICE=eth0IPADDR=（外网IP） NETMASK=255. 255. 255. 0（GATEWAY=（外网网关）dns服务器设置DEVICE=eth1IPADDR=（内网IP） NETMASK： 255. 255. 255. 0（2） 打开内核数据包转发功能：echo1”/proc / sys / net / ipv4 / ip_forward。（3）防

17、火墙设置数据包转发伪装：iptables -t nat -A POSTROUTING -s 192. 168. 0. 0/ 24 -oeth1 -i SNAT -to-source（外网 IP）。5-198现在某单位机房内需新上线一台信息外网Web服务器对公众提 供Web问服务，服务端口为80，该服务器IP为10.2. 100. 100,该 服务器接在防火墙的DMZE,对外服务映射公网IP为210. 176. 110. 2。如何配置防火墙，使得防火墙INTERNET区（连接I nternet ）和TRUST区（单位 内用户）可以正常访问该服务器，同时服务器还能自动访问微软站点进 行安全升级答案

18、要点：（1）在防火墙Internet区进行NAT映射，将10. 2. 100. 100映射为210. 176. 110. 2；开通防火墙Internet区Any用户到DMZ区10. 2. 100. 100 80端口的访问策略；开通防火墙TRUST区Any用户到DMZ区10. 2. 100. 100 80端口的访问策略：开通防火墙DMZ区10. 2. 100. 100到微软站点80端口的访问策略，同时设置源地址转 换。5-199现有一台防火墙、一台IDS、两台PC、一台交换机，若干网线， 请搭建环境演示在利用一台PC对另外一台PC发动入侵攻击时，如何通过 IDS和防火墙的联动来在防火墙上对攻击P

19、C的p进行封堵。答案要点：（1）网络配置要点：:1）防火墙上设置Untmst口和Trust口，攻击机器接入Untrust口，被攻击机器和IDS通过交换机 接入 Trust 口。2）在交换机上进行端口镜像，将被攻击机器所接端口流量镜像到DS接入端口上。攻击演示要点：1）在攻击机器上对被攻击机进行扫描探测。2）观察IDS日志，记录攻击ip并截屏。3）在防火墙上对攻击IP进行封堵。5-200现有一台I PS、两台PC、若干网线，请搭建环境演示在利用一台 PC对另外一台PC发动一种特定规则包入侵攻击时，如何通过被攻击机上 的抓包软件进行数据包分析，并通过在IPS上设置相应的阻断规则来阻 止相应的攻击。

20、答案要点：(1) 搭建网络环境，两台笔记本分别接入IPS两个端口，并作相应的配置。(2) 在被攻击笔记本上安装Wireshark抓包分析软件。在攻击笔记本上尝试探测扫描。(4)在被攻击笔记本上记录攻击包，并分析特征，同时截屏。在IPS上设置相应的阻断规则。5-201在Oracle数据库使用过程中，会遇到一些有特殊要求的用户：非 编程人员需要对某个表有查询、增加、删除、修改的权利。DBA应创建 一个这样的用户，先确定用户名和密码，再规定相关应用所在缺省表空 间(包含某个表)和临时表空间，最后TABLE属主给其授权，即赋予 CONNECT角色SELECT、INSERT、DELETE UP DATE

21、 ON THE TABLE的对象 级权限，这可根据实际需求自由取舍。如何给新用户授于对象级权限， 假设新用户NEW2需要有查询、删除、修改DCD用户的表EMP。答案要点：SVRMGRconnectinternal：以系统管理员登录SVRMGRcreate user new2 identified by new2345 default tablespace app；SVRMGRconnectdcd / dcdpwd；以dcd用户登录 SVRMGRgrant connect to new2;SVRMGRgrant select on emp to new2； SVRMGRgrant delete on emp to new2； SVRMGRgrant update on emp to new2;