網(wǎng)絡(luò)安全課程設(shè)計報告

1、網(wǎng)絡(luò)安全課程設(shè)計 題目： 網(wǎng)絡(luò)安全課程設(shè)計 姓名： 學(xué)號: 班級： 網(wǎng)絡(luò) 0903 班 時間： 2011 年 9月 14日目錄概述 3一、實訓(xùn)需求分析4二、網(wǎng)絡(luò)規(guī)劃42.1 網(wǎng)絡(luò)安全拓撲圖4三、設(shè)計正文53.1 主機的安全設(shè)置53.2 防火墻網(wǎng)絡(luò)防護103.3 web網(wǎng)絡(luò)服務(wù)器防護、證書183.4 數(shù)據(jù)庫的防護223.5 系統(tǒng)入侵檢測253.6 系統(tǒng)蜜罐技術(shù)32四、 課程設(shè)計總結(jié)35五、 參考文獻36概述 隨著通訊技術(shù)的和互聯(lián)網(wǎng)的發(fā)展，人們在享受網(wǎng)絡(luò)帶來的便利的同時，黑客攻擊、泄密等網(wǎng)絡(luò)安全問題也變得越來越突出。只有網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)的安全維護就是個機器重要的問題。網(wǎng)絡(luò)安全是指為計算機系統(tǒng)建立所

2、采取的技術(shù)和管理的安全保護措施，保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然、惡意的原因使系統(tǒng)遭到破壞、更改或泄露。網(wǎng)絡(luò)安全是基于通信、數(shù)學(xué)。計算機等多個學(xué)科的綜合概念。同時，網(wǎng)絡(luò)安全也是一門實踐性很強的學(xué)科，主要研究的就是攻擊和防御。關(guān)鍵字： 防火墻 蜜罐 入侵檢測 web防護 數(shù)據(jù)庫防護一、需求分析通常安全系統(tǒng)是分別獨立逐步的建立起來的，比如防病毒系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等，各個系統(tǒng)都有單獨的管理員或者管理控制臺。這種相對獨立的部署方式帶來的問題是各個設(shè)備獨立的配置、各個引擎獨立的事件報警，這些分散獨立的安全事件信息難以形成全局的風(fēng)險觀點，導(dǎo)致了安全策略和配置難于統(tǒng)一協(xié)調(diào)。根據(jù)各

3、級內(nèi)部網(wǎng)絡(luò)機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、三級網(wǎng)絡(luò)管理、應(yīng)用服務(wù)系統(tǒng)等管理，本方案主要從以下幾個方面進行安全設(shè)計：l 網(wǎng)絡(luò)攻擊：使用防火前對網(wǎng)絡(luò)進行保護；防火墻是防御黑客攻擊的第一道屏障，它的設(shè)置非常重要。對于防火墻進行合理的配置可以保證系統(tǒng)安全，防止黑客攻擊。防火墻的是指是給予規(guī)則集來足賽或者允許網(wǎng)絡(luò)通信的策略。2 主機安全：實現(xiàn)主機的安全設(shè)置；雖然主機防護內(nèi)部設(shè)置了防火墻組建及默認配置，但是主機仍然存在安全隱患。通過禁用一些不常用的端口，如135、138、445等端口，實現(xiàn)保護主機設(shè)置存在的安全隱患。3 網(wǎng)站安全：通過web服務(wù)器證書安裝等服務(wù)器的防護；在訪問web站點時，如果沒有較強的安全措施，用戶訪

4、問的暑假是可以通過網(wǎng)絡(luò)工具捕獲并分析出來的。通過ssl通信協(xié)議在web證書服務(wù)設(shè)置等措施，啟用安全通道已實現(xiàn)高安全性，既可以保護訪問者的用戶信息，也可以同構(gòu)ssl協(xié)議來管理加密信息。4 數(shù)據(jù)庫安全：對數(shù)據(jù)庫的防護；數(shù)據(jù)庫是windows平臺上用的最多的數(shù)據(jù)庫系統(tǒng)，它的安全性是不可忽視的。一旦數(shù)據(jù)被竊取，后果是不堪設(shè)想的。通過數(shù)據(jù)哭更新補丁程序，建立復(fù)雜口令，嚴(yán)格控制數(shù)據(jù)庫用戶的權(quán)限，以達到確實保護數(shù)據(jù)庫內(nèi)容的安全的必要性。5 網(wǎng)絡(luò)防護及入侵檢測：在系統(tǒng)內(nèi)部設(shè)計蜜罐措施；通過禁用端口查看檢測分析端口的訪問，及時了解黑客或者訪問者對端口做的事情，阻止非安全信息的破壞。蜜罐通過吸引攻擊者遠離其他網(wǎng)絡(luò)

5、設(shè)備的方法，增加了網(wǎng)絡(luò)的安全性。對系統(tǒng)內(nèi)部重要節(jié)點進行入侵檢測（能夠檢測到流入內(nèi)部的攻擊或者內(nèi)部發(fā)起的攻擊）。二、網(wǎng)絡(luò)規(guī)劃拓撲圖web服務(wù)器:利用web證書服務(wù)，強化web訪問安全；主機安全：包括135.139.445.3389等端口的禁用，共享的刪除，緩沖清除，以及一些不安全賬戶的禁用，還是密碼復(fù)雜性設(shè)置，一些服務(wù)的關(guān)閉。入侵檢測：檢測入侵，防止攻擊，蜜罐技術(shù)：利用蜜罐做主機安全，并且模擬攻擊外網(wǎng)客戶機；測試內(nèi)外網(wǎng)之間的通訊。數(shù)據(jù)庫服務(wù)器：設(shè)置數(shù)據(jù)庫安全。三、設(shè)計正文3.1 主機的安全設(shè)計及實現(xiàn)3.1.1 .密碼安全：1.將系統(tǒng)內(nèi)置的administrator賬號改名，改為劉芬。然后給管理員

6、設(shè)置一個密碼。2.密碼設(shè)置成功。3.1.2、關(guān)閉3389端口1、選擇“我的電腦”，右擊選擇屬性、遠程。將“遠程協(xié)助”和“遠程桌面”兩個選項框里面的溝去掉。3.1.3、關(guān)閉135端口1、在任務(wù)欄里面選擇開始菜單運行輸入“dcomcnfg”。2.在組件服務(wù)中雙擊服務(wù)，停用“distributed transaction coordinator”服務(wù)。3.1.4、關(guān)閉139端口1.在本地連接中禁用”netbios”.3.1.5、關(guān)閉445端口1.將注冊表中的parameters下建立一個名為smbderviceenabledde reg_dword類型的子建，并將其建值設(shè)置為、清除ie

7、系統(tǒng)緩存1.建立如下文件：2.將文件改名為：echo.cmd，并雙擊運行。3.1.6、刪除ip$空連接1.在注冊表編輯器中將restrictanonymous的屬性值數(shù)據(jù)由0改為、刪除共享1、.運行cmd，用net share命令查看本地開放的共享.2、 運行一下命令net share admin$ /delete net share c$ /delete.3.2防火墻網(wǎng)絡(luò)防護3.2.1、建立dmz網(wǎng)絡(luò)3.2.2、網(wǎng)絡(luò)建立好后，我們需要建立對應(yīng)的網(wǎng)絡(luò)規(guī)則。首先建立一條dmz網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的路由關(guān)系規(guī)則，點擊任務(wù)面板中的創(chuàng)建新的網(wǎng)絡(luò)規(guī)則； 1、在歡迎使用新建網(wǎng)絡(luò)向?qū)ы摚斎刖W(wǎng)絡(luò)規(guī)則

8、名稱，在此我命名為dmz to in，點擊下一步2、.在網(wǎng)絡(luò)通訊源頁，點擊添加按鈕，然后在添加網(wǎng)絡(luò)實體對話框中，選擇外圍，添加完畢后如下圖所示，點擊下一步； 3、在網(wǎng)絡(luò)關(guān)系頁，選擇路由，點擊下一步； 3.3、然后創(chuàng)建一條dmz網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的nat關(guān)系的網(wǎng)絡(luò)規(guī)則，再次點擊創(chuàng)建新的網(wǎng)絡(luò)規(guī)則打開網(wǎng)絡(luò)規(guī)則創(chuàng)建向?qū)В?在歡迎使用新建網(wǎng)絡(luò)向?qū)ы?，輸入網(wǎng)絡(luò)規(guī)則名稱，在此我命名為dmz to internel，點擊下一步2、在網(wǎng)絡(luò)通訊目標(biāo)頁，點擊添加，選擇內(nèi)部，如下圖所示，點擊下一步； 3.3、在網(wǎng)絡(luò)關(guān)系頁，選擇路由，點擊下一步；3 、接下來，我們該配置防火墻策略。首先我們建立一條規(guī)則，允許內(nèi)部網(wǎng)絡(luò)和dmz

9、網(wǎng)絡(luò)之間相互的ping，注意，只是ping。右擊防火墻策略，選擇新建，點擊訪問規(guī)則； 、3、我們再建立一條訪問規(guī)則，允許內(nèi)部和dmz網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)（internet）的http服務(wù)。4、測試內(nèi)部網(wǎng)絡(luò)和dmz區(qū)域的互ping5、內(nèi)部網(wǎng)絡(luò)dmz區(qū)域 http 3.3 web網(wǎng)絡(luò)服務(wù)器防護及證書設(shè)置3.3.1、權(quán)限1、 將權(quán)限更改為只有administrators組和system組擁有完全權(quán)限。2、將c盤目錄下program filescommon fils更改為everyone組默認的讀取和運行、列出文件目錄、讀取這三個權(quán)限。3、將c盤目錄下windows更改為everyone組默認的讀取和運行

10、、列出文件夾目錄、讀取這三個權(quán)限。4、將windows目錄下的temp更改everyone組的讀取和運行、列出文件夾目錄、讀取、寫入這四個權(quán)限。3.3.2.安裝iis服務(wù)和證書服務(wù)并驗證1、新建證書2、完成證書3、在“安全通信”對話框中勾選“要求安全通道（ssl）”的復(fù)選框，做沒勾選及勾選前的對比實驗。4、在客戶端得到的以下結(jié)果。3.4數(shù)據(jù)庫的防護1.給sa一個復(fù)雜的口令； sa具有對sql server 數(shù)據(jù)庫操作的全部權(quán)限，由于對sa的設(shè)置過于簡單或者允許使用空密碼，這對數(shù)據(jù)庫是一個嚴(yán)重的威脅。我們可以對sa使用超強度的口令，并且強制實施密碼策略，在設(shè)置身份驗證時，使用sql server

11、 身份驗證方式，這樣可以防止其他用戶通過口令或跳過身份驗證鏈接到數(shù)據(jù)庫。2.用戶權(quán)限的設(shè)置用戶可以對數(shù)據(jù)庫進行直接操作。對數(shù)據(jù)庫有很大的安全隱患，所以嚴(yán)格控制數(shù)據(jù)庫用戶的權(quán)限，讓用戶只可以對其進行必要的操作，賦予用戶訪問視圖的權(quán)限和具有存儲過程的權(quán)限3管理擴展存儲過程 對存儲過程進行大手術(shù)，并且對賬號調(diào)用擴展存儲過程的權(quán)限要慎重。其實在多數(shù)應(yīng)用中根本用不到多少系統(tǒng)的存儲過程，而sql server的這么多系統(tǒng)存儲過程只是用來適應(yīng)廣大用戶需求的，所以請刪除不必要的存儲過程，因為有些系統(tǒng)的存儲過程能很容易地被人利用起來提升權(quán)限或進行破壞。如果您不需要擴展存儲過程xp_cmdshell請把它去掉。使

12、用這個sql語句： use master sp_dropextendedproc xp_cmdshell xp_cmdshell是進入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。如果您需要這個存儲過程，請用這個語句也可以恢復(fù)過來。 sp_addextendedproc xp_cmdshell, xpsql70.dll4.實現(xiàn)數(shù)據(jù)庫的備份和還原策略數(shù)據(jù)庫被非法下載或修改的時候，可以進行還原，避免數(shù)據(jù)庫的丟失。3.5系統(tǒng)內(nèi)部入侵3.5.1、安裝winpcap_3_1，然后安裝snort_2_4_5，接著安裝idscenter11rc4.zip，裝完之后，右下角會出現(xiàn)這樣一個圖表 ，表示安

13、裝完畢但是沒有運行，右擊會出現(xiàn)菜單，選擇最上面的 settins菜單，出現(xiàn)如下界面：3.5.2、配置snort：1、 在generalconfiguration里面配置如下：2、在generalsnort options里面配置如下：3、在wizardsoutput plugin里面設(shè)置如下：4、在wizardsrules里面設(shè)置如下：然后在c:snortrules下面建立文件local.rules，之后選擇該文件加入規(guī)則集：5、雙擊該規(guī)則集，添加兩條規(guī)則，點擊左下角的add/exit rule鍵 ，配置如下：待添加的隱藏文字內(nèi)容3添加完后如下：這兩條規(guī)則實現(xiàn)對到192.

14、168.1.42的ftp服務(wù)器的20和21端口數(shù)據(jù)包的監(jiān)聽，則建立的local.ruels文件里的內(nèi)容如下：6、下面在logsoptions配置：通過命令c:snortbinsnort.exe -v -i 4可以探測出，從1開始，如果在某個編號下看到右很多數(shù)據(jù)包被截獲，則該編號就是可用網(wǎng)卡的編號，填入network interface #（-i）中：7、然后在alertsalert detection配置如下：在所有都配置完畢后點擊右上角的 apply鍵檢查配置8、查看generaloverview如果configuration errors是否出現(xiàn)錯誤，沒有則代表配置完成。3.5.3、測試：

15、點擊左上角的 start snort運行snort然后啟動命令行連接0的ftp服務(wù)器:然后點擊左上角的stop snort或者中間的view alerts查看截獲的信息:3.6 系統(tǒng)內(nèi)部設(shè)計蜜罐實驗?zāi)康模簽榱肆私夂驼莆彰酃藜夹g(shù)的原理，學(xué)會安裝并配置蜜罐，掌握使用蜜罐檢測、分析攻擊、并且為攻擊創(chuàng)建警報。本實驗通過檢測到某主機對80端口的掃描，就可以知道攻擊者正在打算在80端口上做的事情進行分析。蜜罐是如計算機一樣積極相應(yīng)運行的設(shè)備，記錄活動，這樣，蜜罐增加了網(wǎng)絡(luò)的安全性。兩臺主機，aaa為黑客攻擊機，bbb為主機。實驗步驟：6.1安裝kfsensor ,并得到初始值如下：

16、6.2增加一條規(guī)則來檢測netbus 木馬。6.3.關(guān)閉winxp開放的端口服務(wù)6.3.1關(guān)閉139端口：6.3.2關(guān)閉445端口：6.3.3關(guān)閉137-138端口：6.3.4關(guān)閉端口后的狀態(tài)：6.4.1攻擊者入侵訪問狀態(tài)：6.4.2.黑客攻擊機aaa通過internet explorer瀏覽器對客戶機進行訪問，結(jié)果提示出錯。者是因為停止了真正的web服務(wù)器。6.4.3.攻擊訪問過后的情況，使用蜜罐來檢測分析和捕獲的結(jié)果：四、 設(shè)計總結(jié)體會：劉芬：這幾天的實訓(xùn)雖然時間短暫，可是我卻收獲了很多，學(xué)到了不少知識。這次三天的實訓(xùn)，我們做了一次對網(wǎng)絡(luò)安全進行規(guī)劃并且配置的實驗。通過本次實訓(xùn)，我們提高了

17、團隊協(xié)作能力，動手能力。這次實訓(xùn)讓我更好地理解了網(wǎng)絡(luò)安全的一些配置和應(yīng)用，以前一些不懂得地方現(xiàn)在也了解了很多，但感覺自己熟練度方面還很欠缺，以后應(yīng)該更好的努力，加強這方面的學(xué)習(xí)和練習(xí)。在這次實訓(xùn)中，我發(fā)現(xiàn)自己以前學(xué)的太少動手做的太少了在這一次我明白了不管在怎么學(xué)理論都要結(jié)合實際一起來理解和記憶，那樣才會更加清楚的得出結(jié)論。這一次的實訓(xùn)讓我受益匪淺。我感覺我們應(yīng)該珍惜并好好利用這最后一點時間來學(xué)習(xí)和鞏固網(wǎng)絡(luò)安全這門課程的基本知識。這樣才能為我們以后的學(xué)習(xí)打好基礎(chǔ)。尚帥：在這次實訓(xùn)中讓我更加深刻的了解到網(wǎng)絡(luò)安全實際應(yīng)用中的作用，比如isa如何是讓內(nèi)核外網(wǎng)進行安全通訊，方便內(nèi)網(wǎng)用戶和外網(wǎng)連接，同時限

18、制木屑網(wǎng)站的借入，過程有點麻煩，需要對整個網(wǎng)絡(luò)有全局的把握，才可以好好的去做這些實驗，就是最后截圖出現(xiàn)了些問題，導(dǎo)致原先的圖片讀不出來，最后重新做了一邊，就當(dāng)時復(fù)習(xí)，以后要注意不要因為這些小事而耽誤了自己的成果。不僅讓我們學(xué)到了課本以外的知識，還讓我們了解到合作的重要。張玉清：經(jīng)過短短三的網(wǎng)絡(luò)安全實訓(xùn)，我深深體會到網(wǎng)絡(luò)安全神奇和奧妙;也意識到自己在這方面上還有許多不足。老師布置了六個項目給我們組，剛好一人負責(zé)一個項目，我負責(zé)的是系統(tǒng)入侵檢測，途中除了問題，但是經(jīng)過堅持不懈的修改終于可以成功了。在此次實訓(xùn)中，不但可以學(xué)到專業(yè)知識，還加強了我們實際動手操作能力，團隊協(xié)作能力，這是在以后工作中所需求的精神。劉秋紅： 通過本次實訓(xùn)，我充分的認識到了團隊合作的重要性，很好的培養(yǎng)了我們的實踐能力，對于所學(xué)知識的