《网络安全技术》实验指导书

1《网络安全技术》实验指导书专业：电子商务姓名：王彤彤学号：2011091383山东建筑大学商学院电子商务教研室2目录实验一系统安全设置…………………………………………………………3实验二DES加解密算法的实现………………………………………………5实验三网络攻防工具使用………………………………………………………6实验四PGP实现邮件加密和签名……………………………………………7实验五配置支持SSL协议的安全网站………………………………………9实验六防火墙配置…………………………………………………………17实验七VPN……………………………………………………………………183实验一系统安全设置一、实验目的及任务：掌握对Window200系统进行安全设置的过程。二、实验环境主机操作系统为Windows2000或WindowsXP；三、预备知识要深入理解操作系统安全的定义，具备一定的操作系统设置技能。四、实验步骤系统登陆用户账号保护设置、关闭不必要的服务和端口、开启各项安全策略。1、停止Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。2、限制用户数量去掉所有的DuplicateUser用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。3、多个管理员账号、管理员账号改名创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。将Administrator管理员用户名更改为一个一般的用户名。4、陷阱账号创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。。5、更改默认权限任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。6、安全密码、屏幕保护密码设置足够强度的管理员密码，并定期更改安全密码。在桌面上单击右键，“属性”，“屏幕保护程序”，选择屏幕保护程序，并点击“设置”按钮设置屏保时间和密码。7、开启操作系统安全策略—审核策略、密码策略、账户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次；注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。8、关闭不必要的服务、端口关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果4服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。具体方法为：打开“网上邻居/属性/本地连接/属性/internet协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性”打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。9、注册表设置：不显示上次登陆名、禁止建立空连接。默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1。默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。10、使用组策略提高系统安全性：在“运行”中输入“gpedit.msc”，即可打开组策略。然后进行相应的设置。五、注意事项：1、不要随意改动不清楚的功能，那样可能会引起系统瘫痪2、注册表修改要慎重，修改前注意备份注册表。3、关闭一些服务可能引起系统丧失部分功能，要视情况进行关闭。4、注意记住更改后的管理员账号及密码。六、思考题阐述系统安全设置的重要行。5实验二DES加解密算法的实现一、实验目的及任务：掌握DES加密算法的加解密过程。二、实验环境TC编程环境；主机操作系统为Windows2000或WindowsXP；三、预备知识要深入理解对称加密算法，掌握DES加密过程。具备一定的C语言编程技能。四、实验步骤1、安装编程环境（VC++或TC）；2、将所给程序调试通过；3、运行程序，检查结果；4、存盘，写出实验报告。五、注意事项：1、VC环境下，需包含相关的头文件，如“stdio.h”、“iostream.h”等。2、利用编程环境下方的窗口帮助调试。3、注意各个子函数之间的调用关系。4、按照DES的加密流程组织函数。六、思考题DES算法主要有哪几部分？画出流程。6实验三网络攻防工具使用一、实验目的及任务：1、熟悉对计算机的端口进行扫描的原理；2、熟练使用x-scanner扫描工具对计算机的端口进行扫描3、熟悉SnifferPro网络分析器的操作4、使用SnifferPro网络分析器对局域网的数据包进行识别、分析。5、了解远程控制的基本原理6、熟悉远程控制软件——冰河的使用。二、实验环境安装系列网络攻防软件；主机操作系统为Windows2000或WindowsXP；三、预备知识要深入熟悉网络传递信息的原理，理解网络攻击和防护的原理，掌握多种工具的使用。熟悉x-scanner、流光等扫描工具的界面、查看端口信息、发现系统漏洞。四、实验步骤1、设置扫描参数、扫描模块、开始扫描，显示发现的漏洞，声称扫描报告。2、安装SnifferPro；使用Matirx监视网络情况；使用Capture-DefineFilter-Advanced，设置要监视的数据包协议类型；用CapturePanel显示捕获的Packet数量。捕获某个IP的通信数据包：使被监视主机登陆某网站，或建立FTP连结，用sniffer捕获通信数据包（FTP或HTTP数据包）进行分析，完成抓取局域网中ftp用户名及密码的操作。。3、安装并使用冰河自动跟踪目标机屏幕的变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；记录各种口令信息；获取系统信息；限制系统功能；远程文件操作；注册表操作；发送信息；点对点信息。五、注意事项：1、有些黑客软件在安装和使用的时候要关闭杀毒软件，否则将被当作病毒杀掉，影响继续实验。2、网络扫描和网络嗅探时，要关闭或降低防火墙。3、安装sniffer等软件过程中要求输入注册码，需要下载相应的注册码。4、sniffer等安装过程需要重起机器，由于机器都安装了保护卡，所以需要先解保护卡，再安装。六、思考题阐述黑客攻击的步骤。7实验四PGP实现邮件加密和签名一、实验目的及任务：1、了解加密工具PGP的原理2、熟悉PGP简单配置方法二、实验环境安装PGP加密软件；主机操作系统为Windows2000或WindowsXP；三、预备知识要深入理解邮件加密的定义，掌握PGP加密原理及邮件加密过程。四、实验步骤使用PGP软件对邮件等进行加密和签名。1、使用PGP创建密钥对A、安装PGPB、电脑重启后将“注册码”拷贝到“PGPLICENSEAUTHORIZATION”，在PASSPHASE中输入一个N位通行码。C、打开“PGPDISK”按照步骤创建一对密钥对。D、创建密钥对也可如此做：打开“PGPKEYS”选择“KEYS”“NEWKEYS”然后按提示做即可。2、导出公钥打开“PGPKEYS”选择“KEYS”“EXPORT”将公钥导出为扩展名为ASC的文件，将此文件发给朋友。1、使用PGP加密、解密邮件加密过程：用朋友发来的公钥对邮件加密，在“PGPKEYS”“KEYS”“IMPORT”将公钥导入，用此公钥加密。首先将邮件正文拷贝到剪贴板，然后点击“开始”-“程序”-“PGP”-“PGPMail”-“EnCRYPT&Sign”,再将剪贴板的内容粘贴到信件中，即为加密后的密文。解密过程：解密时，拷贝朋友发过来的密文到剪贴板，然后点击“DECRYPT&VERIFY”，输入通行码即可。2、使用PGP签名和验证签名：过程同上。3、使用PGP加密解密文件：A、右键单击要加密的文件，选择“PGP”-“EnCrypt”，选择加密文件存放的路径即可。B、双击PGP加密了的文件，输入私钥通过短语即可。五、注意事项：1、安装PGP过程中要求输入注册码，在安装文件目录中有个“注册码.txt”文件，将其中的内容拷贝注册即可。2、安装过程需要重起机器，由于机器都安装了保护卡，所以需要先解保护卡，再安装。六、思考题8PGP加解密邮件的原理是什么？9实验五配置支持SSL协议的安全网站一、实验目的及任务：1、加深对数字证书原理和CA的理解，熟悉数字证书的作用。2、熟悉数字证书的申请、下载及安装过程。3、掌握服务器数字证书的使用。二、实验环境itrusCA数字证书颁发环境；IIS服务环境；主机操作系统为Windows2000或WindowsXP；三、预备知识要深入理解SSL的定义，掌握建立SSL加密连接的技术。四、实验步骤实验内容：申请、下载证书；利用已下载的证书配置支持SSL协议的安全网站。1、生成证书请求（1）在开始菜单中打开“Internet管理工具”，请在您想设置的服务节点上（例如默认的Web站点），按下鼠标右键，并选择“属性”选项。在打开的web站点属性设置窗口中，选择“目录安全性”的页面,如下图所示。10注意：上图“安全通信”的部分，因用户还未获取并安装Web服务器证书，此时“编辑”按钮为不可用的状态。用户必须先安装服务器证书，才能继续编辑安全通信的属性。要安装服务器使用的证书，请按“服务器证书”按钮。（2）当按下服务器证书按钮后，接着会出现Web服务器证书向导指导用户进行服务器证书的安装过程，如图所示。（3）继续按“下一步”按钮进行下一个步骤的服务器证书安装设置过程。接下来，系统会要求用户选择指定服务器证书的来源方式，如果尚未安装过服务器证书，这时候用户必须选择“创建一个新证书”选项。若之前已获取过Web服务器证书，而且想要重新利用这些已有的证书，请选择“分配一个已存在的证书”、或者“从密钥管理器备份文件导入一个证书”选项，将原有的Web服务器证书安装到IIS系统上。11如图所示。以下的步骤假设用户选择“创建一个新证书”选项。（4）设置好上一个设置步骤后，按“下一步”按纽进行下一个步骤的服务器证书安装设置过程。此时系统要求您选择证书要求的时机，您可以按照您的需要来选择是否要先准备好证书要求，稍后再将此证书要求发送到证书颁发机构上，以获取适当的证书信息；或者立即将证书要求传递到您在稍后指定的证书颁发机构上，立即向证书颁发机构要求获取证书信息。在这里，我们选择“现在准备请求，但稍候发送”。点击“下一步”。（6）接下来，系统会出现“命名和安全设置”的设置窗口。在这个窗口中用户可设置此证书的名称以及此证书安全设置项目。在名称对应的文本框中输入一个易于标识的证书名称，在位长对应的下拉菜单处设置此证书要使用的密钥长度。根据应用的需要，设置适当的密钥长度。一般来说大约1024～1024Bits会是比较好的选择。12当完成此设置步骤后，按“下一步”按钮，进行下一个步骤的服务器证书安装设置过程。（7）接下来，用户需要输入企业组织的一些相关信息，以便让系统将企业以及目前所