目录
一、实习性质、目的和任务 (2)
二、实习内容与要求 (3)
1虚拟机VPC的使用 (3)
(1)VPC的安装,同时安装Windows Server 2003的镜像文件 (3)
(2)VPC的设置,可根据自己的使用情况来选择安装汉化软件 (4)
(3)在VPC下安装相应软件。安装的软件参看“常用网络安全工具软
件的使用”部分。 (4)
2、主机安全性操作 (4)
(1)常用DOS命令的使用:如https://www.doczj.com/doc/894488563.html,stat.tracert (4)
(2)证书的查看、申请与导出: (5)
(3)IP安全策略的设置:包括关闭一些不常用的端口及服务,怎么
禁止其他人PING本机 (7)
(4)通过修改注册表加强WIN2003的安全性 (16)
3、常用网络安全工具软件的使用 (23)
(1)网络检测软件的使用:X-Scan的使;solarwinds2002-catv软件
的使用 (23)
(2)PGP软件的使用 (24)
(3)Snort软件的使用 (27)
三、实习总结 (30)
四、参考文献 (30)
《网络安全与维护》实习报告
一、实习性质、目的和任务
本次实习是在《网络安全与维护》教学之后的课程实习。本次实习既实现了对已学知识的综合复习,又达到了为后续课程的准备目的,也提高各项应用操作技能,掌握了建立安全的网络环境的基本过程。
本次实习的目的在于基本掌握目前企业网络网络安全管理与防护的主要技术。
二、实习内容与要求
1虚拟机VPC的使用
(1)VPC的安装,同时安装Windows Server 2003的镜像文件
点击VPC安装文件进行安装
安装Windows server2003:
启动VPC 选择CD→capture ISO image…打开Windows server2003安装包
关闭VPC,重新启动,安装windows server2003系统.
输入激活码DF33F-WMT84-KDPKT-FQBRG-7YH4T
点击Action→Ctr-Alt→Delete 输入密码进入桌面
(2)VPC的设置,可根据自己的使用情况来选择安装汉化软件
点击汉化软件安装在E盘
选择File→Options设置语言为简体中文
(3)在VPC下安装相应软件。安装的软件参看“常用网络安全工具软件的使用”部分。
2、主机安全性操作
(1)常用DOS命令的使用:如https://www.doczj.com/doc/894488563.html,stat.tracert.
Ping命令:t-an命令:
(2)证书的查看、申请与导出:
(1)安装证书
管理您的服务器—添加或删除角色,单击下一步。
在客户端申请证书,申请证书在IE中输入http://192.168.10.50/certsrv/
(2)申请证书
回到服务器颁发证书,然后回到客户端安装证书。
点击“查看挂起的证书申请的状态”点击刚才申请通过的证书。
(3)导出证书
IE工具> Internet选项> 内容> 证书,选择我们刚才安装的证书将其导出。
导出后如下证书
(3)IP安全策略的设置:包括关闭一些不常用的端口及服务,怎么禁止其
他人PING本机
(1)关闭不常用的端口级服务:
打开“开始菜单”的“设置”菜单中。找到“管理工具”——“本地安全策略”,创建新的IP安全策略。
添加新的ip安全策略。
添加新的规则
添加新的筛选器
设置筛选器的属性:点击“协议”选项卡,首先中“选择协议类型”下的下拉列表中,选中“TCP”,然后中“到此端口”下的文本框中输入“135”,然后单击“确定”。
添加屏蔽TCP 135(RPC)端口的筛选器
添加各端口筛选
激活“新IP筛选器列表”,选中“筛选器操作”选项卡,添加筛选器操作,添加“阻止”操作。
指派新的IP安全策略,然后完成设置。
禁止其他人ping本机:
1:添加IP筛选器和筛选器操作
依次单击"开始→管理工具→本地安全策略",打开"本地安全设置"对话框,右击该对话框左侧的"IP安全策略,在本地计算机"选项,执行"管理IP 筛选器表和筛选器操作"命令;在弹出对话框的"管理IP筛选器列表"标签下单击[添加]按钮,命名这个筛选器的名称为"禁止Ping",描述语言可以为"禁
止任何其他计算机Ping我的主机",单击[下一步];
地址"为"任何IP地址",单击[下一步];选择"IP协议类型"为"ICMP"单击[下
一步],最后点击[完成]结束添加。
之后切换到"管理筛选器操作"标签下,依次单击"添加→下一步",命名筛选器操作名称为"阻止所有连接",描述语言可以为"阻止所有网络连接",单
击[下一步];点选"阻止"选项作为此筛选器的操作行为,最后单击[下一步],完成所有添加操作。
2:创建IP安全策略
右击控制台中的"IP安全策略,在本地计算机"选项,执行[创建安全策略]命令,然后单击[下一步]按钮;命名这个IP安全策略为"禁止Ping主机",描述语言为"拒绝任何其他计算机的Ping要求",并单击[下一步];
勾选"激活默认响应规则"后,单击[下一步];
在"默认响应规则身份验证方法"对话框中点选"使用此字符串保护密钥交换"选项,并在下面的文字框中任意键入一段字符串(如"NO Ping"),单击[下一步]
最后勾选"编辑属性",单击[完成]按钮结束创建。
3:配置IP安全策略
在打开的"禁止Ping属性"对话框中的"常规"标签下单击"添加→下一步",点选"此规则不指定隧道"并单击[下一步];
点选"所有网络连接",保证所有的计算机都Ping不通该主机,单击[下一步];
在"IP筛选器列表"框中点选"禁止Ping",单击[下一步];
在"筛选器操作"列表框中点选"阻止所有连接",单击[下一步] 取消"编辑属性"选项并单击[完成]
4:指派IP安全策略
安全策略创建完毕后并不能马上生效,我们还需通过"指派"功能令其发挥作用。右击"本地安全设置"对话框右侧的"禁止Ping主机"策略,执行"指派"命令,即可启用该策略。
5:用本机检测虚拟机中改的策略,看是否会ping通。
Ping不通,证明修改的ip策略生效。
方法二:
打开windows 2003的控制台,选择控制台的根节点。
在打开的文件中添加新的.NET Framework。
添加新的ip安全策略
在选择计算机或域的选项卡点选“本地计算机”,点击完成,完成安装。
由此可见,在控制台根节点中可以找到刚才添加的ip策略。
在控制台根节点选中刚才添加的策略,即可完成,禁止其他人ping你的主机。
(4)通过修改注册表加强WIN2003的安全性
(1) 抵御WinNuke黑客程序对计算机的攻击
WinNuke是一个破坏力极强的程序,该程序能对计算机中的Windows系统进行破坏,从而会导致整个计算机系统瘫痪,所以我们有必要预防WinNuke的破坏性。我们可以在注册表中对其进行设置,以保证系统的安全。
1)在注册表编辑器操作窗口中,用鼠标依次单击键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MST CP;
2)在对应MSTCP键值的右边窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“DWORD值”,并给DWORD值取名为“BSDUrgent”,如果该键值已经存在,可以直接进行下一步;
3)然后将BSDUrgent值设置为0,重新启动计算机后就可以实现目的了。
(2) 限制使用系统的某些特性
在网吧或公用场所中,有时为了保证系统的属性不被其他普通用户随意更改,我们就必须要限制使用系统的某些特性。要实现这个目的,我们可以利用修改注册表编辑器的方法来达到。
1)运行注册表编辑器,进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Po licies\System键值,如果不存在该键值,就新建一个;
2)然后将该键值下方的DisableTaskManager的值设为1,表示将阻止用户运行任务管理器。
3)接着将NoDispAppearancePage设为1,表示将不允许用户在控制面板中改变显示模式;
4)下面再将NoDispBackgroundPage设为1,表示将不允许用户改变桌面背景和墙纸。
(3)堵住交换文件隐患
打开注册表编辑器,在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\m emory management键值,找到右边区域中的ClearPageFileAtShutdown 键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWord值重新修改为“1”。完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
(4)减少程序关闭的时间等待
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,将WaitToKillServiceTimeout 设为:4000(原设定值:20000)。
找到HKEY_CURRENT_USER\Control Panel\Desktop 键,将右边窗口的WaitToKillAppTimeout 改为4000(原设定值: 20000),即关闭程序时仅等待1秒。
将HungAppTimeout 值改为:2000(原设定值:5000),表示程序出错时等待0.5秒。
(5)减少程序出错的错误等待
找到键值“HKEY_CURRENT_USER\Control Panel\Desktop\HungAppTimeout”,将默认值5000修改为200(单位是毫秒),这样可以大幅减少程序出错时的等待时间。