网络操作系统综合实验报告网络安全防范

《网络操作系统综合实验报告网络安全防范》由会员分享，可在线阅读，更多相关《网络操作系统综合实验报告网络安全防范（16页珍藏版）》请在装配图网上搜索。

1、重庆科技学院综合实验报告课程名称：网络操作系统_ 开课学期：_2010-2011-2_ _学 院:_电气与信息工程学院_开课实验室：计算机专业实验室学生姓名: _ _ 专业班级:_计科应08_学 号:_ _ 重庆科技学院学生实验报告课程名称网络操作系统实验项目名称网络安全防范开课学院及实验室I520实验日期2011-6-11学生姓名学号专业班级计科应08指导教师陈 宁实验成绩一、实验目的和要求试验目的：本次试验就Windows Server 2003在网络应用中的安全策略制定出一些实训说明，希望能对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行，达到安全防范的目的。实验要求

2、：1. 掌握如何提高密码的破解难度2. 掌握启用账户锁定策略3. 掌握设置限制用户登录4. 掌握限制外部连接5. 掌握限制特权组成员6. 掌握如何防范网络嗅探7. 掌握网络服务安全管理8. 掌握审核策略的制定二、实验内容和原理当今网络化的世界中，计算机信息和资源很容易遭到各方面的攻击。网络的开放性和共享性在方便了人们使用的同时，也使得网络很容易遭到攻击，而攻击的后果是严重的，诸如数据被人窃取、服务器不能提供服务等等。随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了防火墙、入侵检查、虚拟专用网、访问控制等各种网络安全技术的蓬勃发展。VLAN技术：选择VLAN技术可较好地从链路层实

3、施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络，他依据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴，还可以利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破其中一个虚拟子网，也无法得到整个网络的信息。网络分段：企业网大多采用以广播为基础的以太网，任何两个节点之间的通讯数据包，可以处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以获取发生在这个以太网上的所有数据包

4、，对其进行解包分析，从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。硬件防火墙技术：任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。入侵检测技术：入侵检测方法较多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。Windows Server 2003作为Mircrosoft推出的服务器操作系统，不仅继承了Windows

5、2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的当然之选。三、主要仪器设备1.每8人一组，每组一套网络设备（含交换机、PC）2.每人一台电脑3.网线若干四、实验操作方法和步骤4.1提高密码的破解难度提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不安全的密码使用习惯。首先安装域控制器，然后在开始-管理工具-域安全策略打开如下图所示的界面如图4.1所示、然后再在打开安全设置-账户锁定策略-账户锁定阀值，右击

6、属性，设置登录次数为4次，然后在开机的时候如果设置了密码，输入密码输了四次仍然不对则系统会锁定，不能再登录了。图4.1 “默认域控制安全设置”界面4.2限制用户登录对于Windowns server 2003网络来说，运行“Active Directory用户和计算机”管理工具，然后选择相应的用户，并设置其账户属性。如下图4.2所示。 图4.2 IUSR_SWY1LND2HKZKGDD用户和计算机在账户属性对话框中，可以限制其登录的时间和地点，如图4.3所示。图4.3 IUSR_SWY1LND2HKZKGDD属性单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止工作时

7、间的登录行为。如图4.4所示。图4.4 IUSR_SWY1LND2HKZKGDD的登录时间单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机登录。另外还可以通过“账户”选项来限制登录时的行为。如图4.5所示。图4.5 登录工作站4.3限制特权组成员在Windowns server 2003网络中，还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段，这就是利用“受限制组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制组，在组对话框中键入或查找添加的组。如图4.6和4.7所示。图4.6 默认域安全设置和添加组图4.7 受限制的组4.4加密会话具体方法如下：首

8、先在”开始”菜单中单击”运行”选项，然后键入mmc,并同时按下”Enter”按钮，如下图4.8所示图4.8 运行在“控制台”菜单中选择“添加删除管理单元(M)”命令，然后单击其中的“添加”按钮，如图4.9和4.10所示。图4.9 控制台图4.10 添加/删除管理单元在可用的独立的管理单元中，选择“IP安全策略管理”选项，双击或单击“添加”按钮，在这里选择被该管理单元所管理的计算机，如图4.11所示。然后单击“完成”按钮。关闭添加管理单元的相关窗口，就得到了一个新的管理工具，在这里可以为其命名并保存。图4.11 添加独立管理单元“安全服务器(要求安全设置)”策略则最为严格，它要求双方必须使用IP

9、Sec协议。不过，“安全服务器”策略默认允许不加密的受信任的通信，因此仍然能够被窃听。直接修改此策略或定制专门的策略，就可以实现有效的防范。选择其中的“所有IP通讯”选项，如图4.12所示。图4.12 安全服务器属性选择“筛选器操作”选项卡，选择其中的“需要安全”选项，在此筛选器操作的属性设置里可以编辑安全措施，在这里将安全措施设置为“高”选项，如图4.13和4.14所示。图4.13 编辑规则属性图4.14 请求(可选)属性4.5 禁止C$、D$、ADMIN$一类的缺省共享打开注册表，KEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmans

10、erverparameters,如下图所示在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0。图4.15 注册表编辑器图4.16 编辑WORD值4.6 解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet 协议-高级-Wins-禁用TCP/IP上的NETBIOS。过程如下图4.17所示。图4.17 高级TCP/IP设置4.7关闭不需要的服务关掉Computer Browser服务，Distributed File System服务，Distributed linktracking client服务，Error rep

11、orting service服务，Microsoft Serch服务,NTLMSecuritysupportprovide服务，PringSpooler服务，Remote Registry服务Remote Desktop Help Session Manager服务。右击我的电脑-管理-服务和应用程序-服务在右面的窗口中找到Computer Browser服务，Distributed File System服务，Distributed linktracking client服务，Error reporting service服务，Microsoft Serch服务,NTLMSecuritysu

12、pportprovide服务，PringSpooler服务，Remote Registry服务Remote Desktop Help Session Manager服务，然后右击属性，禁用就可以了过程如下图所示。图4.18 计算机管理界面图4.19 禁用维护网络计算机更新图4.20 禁止发送错误报告图4.21 禁止telnet服务和Micrsoft Serch图4.22 禁用打印机图4.23 禁止远程协助4.8打开相应的审核策略在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows配置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件

13、也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，需要根据情况在这二者之间做出选择，过程如下图所示。图4.24 审核项目五、实验结果及分析通过本次实验，对网络安全防范有了新的认识和了解，在本次实验中通过认真的安装配置和验证，最终顺利的完成任务。我想经过本次实验后我们在对网络安全维护和防范中能够引起重视，同时能提高我们在网络安全的水平。六、思考题回答1为保障计算机网络的安全运行，目前主要有哪些网络安全技术？答：有VLAN(虚拟局域网)技术，网络分段，硬件防火墙技术，入侵检测技术。2Windows Server 2003中对账户安全的防范主要有哪些措施？答：有密码策

14、略，账户锁定策略，kerberos策略。如下图所示。图1 密码策略图 2 帐户锁定策略图3 kerberos策略3. Windows Server 2003中的网络安全服务有哪些手段？答：（1）用备份技术来提高数据恢复时的完整性。备份工作可以手工完成，也可以自动完成。现有的操作系统一般都带有比较初级的备份系统，如果对备份要求高，应购买专用的系统备份产品。由于备份本身含有不宜公开的信息，备份介质也是偷窃者的目标，因此，计算机系统允许用户的某些特别文件不进行系统备份，而做涉密介质备份。（2）防病毒。定期检查网络系统是否被感染了计算机病毒，对引导软盘或下载软件和文档应加以安全控制，对外来软盘在使用前

15、应进行病毒诊断。同时要注意不断更新病毒诊断软件版本，及时掌握、发现正在流行的计算机病毒动向，并采取相应的有效措施。（3）补丁程序。及时安装各种安全补丁程序，不要给入侵者以可乘之机。（4）提高物理环境安全。保证计算机机房内计算机设备不被盗、不被破坏，如采用高强度电缆在计算机机箱穿过等技术措施。（5）在局域网中安装防火墙系统。防火墙系统包括软件和硬件设施，平时需要加以监察和维护。（6）在局域网中安装网络安全审计系统。在要求较高的网络系统中，网络安全审计系统是与防火墙系统结合在一起作为对系统安全设置的防范措施。（7）仔细阅读系统日志。对可疑活动一定要仔细分析，如有人在试图访问一些不安全的服务端口，利

16、用Finger、Tftp或用Debug手段访问用户邮件服务器等。对此系统管理员应加以关注和分析。（8）加密。加密的方法很多可视要求而定，如：通讯两端设置硬件加密机、对数据进行加密预处理等。4.什么是Windows Server 2003中的审核策略？主要有哪些审核项目？答：用来设置哪些类型的事件被审核。用来报告给管理员。通过启用审核可以创建一个安全基线并检测网络攻击。一般情况下可以审核对对象的访问、账号的管理和用户的登录与注销。审核的项目主要有：账户的登录、账号得管理、目录服务访问事件、登录事件的审核、对象访问审核、策略更改审核、特权使用审核、进程跟踪审核、系统审核。设置如图所示。图4 审核项目15