网络安全课程设计报告

《网络安全课程设计报告》由会员分享，可在线阅读，更多相关《网络安全课程设计报告（37页珍藏版）》请在装配图网上搜索。

1、网络安全课程设计 题目： 网络安全课程设计 姓名： 学号: 班级： 网络 0903 班 时间： 2011 年 9月 14日目录概述 3一、实训需求分析4二、网络规划42.1 网络安全拓扑图4三、设计正文53.1 主机的安全设置53.2 防火墙网络防护103.3 Web网络服务器防护、证书183.4 数据库的防护223.5 系统入侵检测253.6 系统蜜罐技术32四、 课程设计总结35五、 参考文献36概述 随着通讯技术的和互联网的发展，人们在享受网络带来的便利的同时，黑客攻击、泄密等网络安全问题也变得越来越突出。只有网络的存在，网络的安全维护就是个机器重要的问题。网络安全是指为计算机系统建立所

2、采取的技术和管理的安全保护措施，保护计算机系统中的硬件、软件及数据，防止其因偶然、恶意的原因使系统遭到破坏、更改或泄露。网络安全是基于通信、数学。计算机等多个学科的综合概念。同时，网络安全也是一门实践性很强的学科，主要研究的就是攻击和防御。关键字： 防火墙 蜜罐 入侵检测 Web防护 数据库防护一、需求分析通常安全系统是分别独立逐步的建立起来的，比如防病毒系统、防火墙系统、入侵检测系统等，各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警，这些分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。根据各

3、级内部网络机构、广域网结构、三级网络管理、应用服务系统等管理，本方案主要从以下几个方面进行安全设计：l 网络攻击：使用防火前对网络进行保护；防火墙是防御黑客攻击的第一道屏障，它的设置非常重要。对于防火墙进行合理的配置可以保证系统安全，防止黑客攻击。防火墙的是指是给予规则集来足赛或者允许网络通信的策略。2 主机安全：实现主机的安全设置；虽然主机防护内部设置了防火墙组建及默认配置，但是主机仍然存在安全隐患。通过禁用一些不常用的端口，如135、138、445等端口，实现保护主机设置存在的安全隐患。3 网站安全：通过web服务器证书安装等服务器的防护；在访问web站点时，如果没有较强的安全措施，用户访

4、问的暑假是可以通过网络工具捕获并分析出来的。通过SSL通信协议在web证书服务设置等措施，启用安全通道已实现高安全性，既可以保护访问者的用户信息，也可以同构SSL协议来管理加密信息。4 数据库安全：对数据库的防护；数据库是windows平台上用的最多的数据库系统，它的安全性是不可忽视的。一旦数据被窃取，后果是不堪设想的。通过数据哭更新补丁程序，建立复杂口令，严格控制数据库用户的权限，以达到确实保护数据库内容的安全的必要性。5 网络防护及入侵检测：在系统内部设计蜜罐措施；通过禁用端口查看检测分析端口的访问，及时了解黑客或者访问者对端口做的事情，阻止非安全信息的破坏。蜜罐通过吸引攻击者远离其他网络

5、设备的方法，增加了网络的安全性。对系统内部重要节点进行入侵检测（能够检测到流入内部的攻击或者内部发起的攻击）。二、网络规划拓扑图Web服务器:利用web证书服务，强化web访问安全；主机安全：包括135.139.445.3389等端口的禁用，共享的删除，缓冲清除，以及一些不安全账户的禁用，还是密码复杂性设置，一些服务的关闭。入侵检测：检测入侵，防止攻击，蜜罐技术：利用蜜罐做主机安全，并且模拟攻击外网客户机；测试内外网之间的通讯。数据库服务器：设置数据库安全。三、设计正文3.1 主机的安全设计及实现3.1.1 .密码安全：1.将系统内置的administrator账号改名，改为刘芬。然后给管理员

6、设置一个密码。2.密码设置成功。3.1.2、关闭3389端口1、选择“我的电脑”，右击选择属性、远程。将“远程协助”和“远程桌面”两个选项框里面的沟去掉。3.1.3、关闭135端口1、在任务栏里面选择开始菜单运行输入“dcomcnfg”。2.在组件服务中双击服务，停用“Distributed Transaction Coordinator”服务。3.1.4、关闭139端口1.在本地连接中禁用”NetBIOS”.3.1.5、关闭445端口1.将注册表中的Parameters下建立一个名为SMBDerviceEnabledde REG_DWORD类型的子建，并将其建值设置为0.3.1.5、清除IE

7、系统缓存1.建立如下文件：2.将文件改名为：echo.cmd，并双击运行。3.1.6、删除IP$空连接1.在注册表编辑器中将RestrictAnonymous的属性值数据由0改为1.3.1.7、删除共享1、.运行cmd，用net share命令查看本地开放的共享.2、 运行一下命令net share admin$ /delete net share c$ /delete.3.2防火墙网络防护3.2.1、建立DMZ网络3.2.2、网络建立好后，我们需要建立对应的网络规则。首先建立一条DMZ网络到内部网络的路由关系规则，点击任务面板中的创建新的网络规则； 1、在欢迎使用新建网络向导页，输入网络规则

8、名称，在此我命名为DMZ to in，点击下一步2、.在网络通讯源页，点击添加按钮，然后在添加网络实体对话框中，选择外围，添加完毕后如下图所示，点击下一步； 3、在网络关系页，选择路由，点击下一步； 3.3、然后创建一条DMZ网络到外部网络的NAT关系的网络规则，再次点击创建新的网络规则打开网络规则创建向导，1在欢迎使用新建网络向导页，输入网络规则名称，在此我命名为DMZ to internel，点击下一步2、在网络通讯目标页，点击添加，选择内部，如下图所示，点击下一步； 3.3、在网络关系页，选择路由，点击下一步；3 、接下来，我们该配置防火墙策略。首先我们建立一条规则，允许内部网络和DMZ

9、网络之间相互的Ping，注意，只是Ping。右击防火墙策略，选择新建，点击访问规则； 、3、我们再建立一条访问规则，允许内部和DMZ网络访问外部网络（Internet）的Http服务。4、测试内部网络和dmz区域的互ping5、内部网络dmz区域 http 3.3 Web网络服务器防护及证书设置3.3.1、权限1、 将权限更改为只有Administrators组和System组拥有完全权限。2、将C盘目录下Program FilesCommon Fils更改为Everyone组默认的读取和运行、列出文件目录、读取这三个权限。3、将C盘目录下Windows更改为Everyone组默认的读取和运行

10、、列出文件夹目录、读取这三个权限。4、将Windows目录下的Temp更改Everyone组的读取和运行、列出文件夹目录、读取、写入这四个权限。3.3.2.安装IIS服务和证书服务并验证1、新建证书2、完成证书3、在“安全通信”对话框中勾选“要求安全通道（SSL）”的复选框，做没勾选及勾选前的对比实验。4、在客户端得到的以下结果。3.4数据库的防护1.给sa一个复杂的口令； Sa具有对SQL Server 数据库操作的全部权限，由于对sa的设置过于简单或者允许使用空密码，这对数据库是一个严重的威胁。我们可以对sa使用超强度的口令，并且强制实施密码策略，在设置身份验证时，使用SQL Server

11、 身份验证方式，这样可以防止其他用户通过口令或跳过身份验证链接到数据库。2.用户权限的设置用户可以对数据库进行直接操作。对数据库有很大的安全隐患，所以严格控制数据库用户的权限，让用户只可以对其进行必要的操作，赋予用户访问视图的权限和具有存储过程的权限3管理扩展存储过程 对存储过程进行大手术，并且对账号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果您不需要扩展存储过程Xp_cmdshell请把它去掉。使

12、用这个SQL语句： use master sp_dropextendedproc Xp_cmdshell Xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。如果您需要这个存储过程，请用这个语句也可以恢复过来。 sp_addextendedproc xp_cmdshell, xpSQL70.dll4.实现数据库的备份和还原策略数据库被非法下载或修改的时候，可以进行还原，避免数据库的丢失。3.5系统内部入侵3.5.1、安装WinPcap_3_1，然后安装Snort_2_4_5，接着安装idscenter11rc4.zip，装完之后，右下角会出现这样一个图表 ，表示安

13、装完毕但是没有运行，右击会出现菜单，选择最上面的 Settins菜单，出现如下界面：3.5.2、配置Snort：1、 在GeneralConfiguration里面配置如下：2、在GeneralSnort options里面配置如下：3、在WizardsOutput plugin里面设置如下：4、在WizardsRules里面设置如下：然后在c:Snortrules下面建立文件local.rules，之后选择该文件加入规则集：5、双击该规则集，添加两条规则，点击左下角的add/exit rule键 ，配置如下：添加完后如下：这两条规则实现对192.168.1.1到192.168.1.42的ft

14、p服务器的20和21端口数据包的监听，则建立的local.ruels文件里的内容如下：6、下面在LogsOptions配置：通过命令C:Snortbinsnort.exe -v -i 4可以探测出，从1开始，如果在某个编号下看到右很多数据包被截获，则该编号就是可用网卡的编号，填入Network Interface #（-i）中：7、然后在AlertsAlert detection配置如下：在所有都配置完毕后点击右上角的 Apply键检查配置8、查看GeneralOverview如果Configuration errors是否出现错误，没有则代表配置完成。3.5.3、测试：点击左上角的 Star

15、t Snort运行snort然后启动命令行连接202.117.35.70的ftp服务器:然后点击左上角的Stop Snort或者中间的View alerts查看截获的信息:3.6 系统内部设计蜜罐实验目的：为了了解和掌握蜜罐技术的原理，学会安装并配置蜜罐，掌握使用蜜罐检测、分析攻击、并且为攻击创建警报。本实验通过检测到某主机对80端口的扫描，就可以知道攻击者正在打算在80端口上做的事情进行分析。蜜罐是如计算机一样积极相应运行的设备，记录活动，这样，蜜罐增加了网络的安全性。两台主机，aaa为黑客攻击机，bbb为主机。实验步骤：6.1安装kfsensor ,并得到初始值如下：6.2增加一条规则来检

16、测netbus 木马。6.3.关闭winxp开放的端口服务6.3.1关闭139端口：6.3.2关闭445端口：6.3.3关闭137-138端口：6.3.4关闭端口后的状态：6.4.1攻击者入侵访问状态：6.4.2.黑客攻击机aaa通过internet explorer浏览器对客户机进行访问，结果提示出错。者是因为停止了真正的web服务器。6.4.3.攻击访问过后的情况，使用蜜罐来检测分析和捕获的结果：四、 设计总结体会：刘芬：这几天的实训虽然时间短暂，可是我却收获了很多，学到了不少知识。这次三天的实训，我们做了一次对网络安全进行规划并且配置的实验。通过本次实训，我们提高了团队协作能力，动手能力

17、。这次实训让我更好地理解了网络安全的一些配置和应用，以前一些不懂得地方现在也了解了很多，但感觉自己熟练度方面还很欠缺，以后应该更好的努力，加强这方面的学习和练习。在这次实训中，我发现自己以前学的太少动手做的太少了在这一次我明白了不管在怎么学理论都要结合实际一起来理解和记忆，那样才会更加清楚的得出结论。这一次的实训让我受益匪浅。我感觉我们应该珍惜并好好利用这最后一点时间来学习和巩固网络安全这门课程的基本知识。这样才能为我们以后的学习打好基础。尚帅：在这次实训中让我更加深刻的了解到网络安全实际应用中的作用，比如isa如何是让内核外网进行安全通讯，方便内网用户和外网连接，同时限制木屑网站的借入，过程

18、有点麻烦，需要对整个网络有全局的把握，才可以好好的去做这些实验，就是最后截图出现了些问题，导致原先的图片读不出来，最后重新做了一边，就当时复习，以后要注意不要因为这些小事而耽误了自己的成果。不仅让我们学到了课本以外的知识，还让我们了解到合作的重要。张玉清：经过短短三的网络安全实训，我深深体会到网络安全神奇和奥妙;也意识到自己在这方面上还有许多不足。老师布置了六个项目给我们组，刚好一人负责一个项目，我负责的是系统入侵检测，途中除了问题，但是经过坚持不懈的修改终于可以成功了。在此次实训中，不但可以学到专业知识，还加强了我们实际动手操作能力，团队协作能力，这是在以后工作中所需求的精神。刘秋红： 通过

19、本次实训，我充分的认识到了团队合作的重要性，很好的培养了我们的实践能力，对于所学知识的理解与巩固有很大的帮助，只有动手做，才会有更大、更多的收获，同时也发现了自身的不足之处，以后应更加努力，好好学习，努力练习。李培荣：通过安装和配置蜜罐、怎么样查看并分析日志，我深刻体会到，使用蜜罐技术不仅能建立日志和入侵检测系统对网上检测攻击的信息，还可以知道攻击者打算在攻击的端口上做的事情。就如，如果80端口没有打开，就不知道攻击者想要做什么，蜜罐技术就是为了解决这个问题而吸引我的。通过这次对蜜罐技术的使用分析和检测，我发现现在网络安全的重要性，学到了很多网络安全的信息，更加对网络安全有了一个明确的了解，更

20、激励我们团队合作，团队一起维护网络安全而努力和奋斗。 苏艳：本次实训，我们对主机进行全面的防护，通过对主机的安全加固、使用防火墙对网络进行保护、实现对WEB等服务器的保护、实现对数据库的防护、对系统内部重要节点进行入侵检测和在系统内部设计蜜罐等，防止主机被攻击和中病毒的威胁，保护个人数据和计算机的系统以及个人资料的安全。通过这次实训，让我更明白了主机防护的重要性以及防护主机的技术，对构建网络安全的拓扑又有了进一步的了解，希望在以后的学习中能更努力，更好的掌握关于网络安全和主机安全的知识。五、设计参考文献：计算机网络安全技术实验教程周绯菲主编 出版社：北京邮电大学出版社。姓名任务尚帅防火墙刘芬主机的安全加固 张玉清内部入侵检测刘秋红WEB服务器的防护、李培荣系统内部设计蜜罐苏艳数据库的防护37