第一篇：實訓2系統(tǒng)安全和網(wǎng)絡(luò)安全配置

實訓2網(wǎng)絡(luò)安全配置

一、實訓目的1.掌握在WindowsServer2003/2008操作系統(tǒng)下保障本地安全性的方法，如做好本地安全策略配置，掌握賬戶策略、審核策略、用戶權(quán)限分配、安全選項、軟件限制策略等。能夠配置本地組策略管理用戶和計算機。

2.配置高級安全性的Windows防火墻。

3.掌握IPSec實現(xiàn)網(wǎng)絡(luò)安全。

二、實訓環(huán)境

1.運行Windows 2003/2008 Server操作系統(tǒng)的PC機一臺。

2.每臺PC機與局域網(wǎng)相連。

三、實訓任務(wù)

任務(wù)1：Windows Server 2008本地安全策略配置和本地組策略配置；

任務(wù)2：配置高級安全性windows防火墻；

任務(wù)3：應用IPSec實現(xiàn)網(wǎng)絡(luò)安全。

四、實訓步驟

（一）任務(wù)1 配置本地安全策略

1、設(shè)置用戶帳戶密碼

啟用密碼復雜性要求，設(shè)置密碼長度最小值為2，密碼最短使用期限設(shè)置為1天，最長使用期限設(shè)置為20天。

使用命令創(chuàng)建一個新用戶，用戶名為自己的名字的拼音字母，并設(shè)置密碼，截圖保存。

2、帳戶鎖定

1）設(shè)置用戶登錄時候，輸入密碼錯誤三次，該用戶就被鎖定，鎖定后，只有管理員用戶登錄后才能對被鎖定的用戶解鎖。

2）將一個用戶的測試結(jié)果截圖保存。

3、審核登錄事件和審核對象事件

設(shè)置審核登錄事件為失敗，切換用戶，用某個用戶輸入錯誤密碼一次，然后用管理員用戶登錄系統(tǒng)，查看安全日志，查找登錄事件日志中用戶登錄失敗的信息，并截圖保存。

設(shè)置審核對象事件為失敗，在系統(tǒng)中設(shè)置某個用戶對文件夾test拒絕讀取和執(zhí)行、讀取、列出文件夾權(quán)限。使用該用戶登錄系統(tǒng)來訪問test文件夾，觀察情況并截圖保存。

4、用戶權(quán)限設(shè)置

設(shè)置hong用戶不允許登錄本地系統(tǒng)，切換用戶，觀察登錄界面上是否出現(xiàn)了hong用戶。設(shè)置wang用戶可以關(guān)閉系統(tǒng)。

將以上操作截圖保存。

5、安全選項

1）將管理員用戶administrator用戶名改為admin，觀察登錄界面顯示的用戶名情況。

2）將登錄界面上的所有顯示的用戶都隱藏不顯示。

將1）2）操作截圖保存。

6、使用軟件限制策略

限制計算機中的Windows應用程序畫圖的執(zhí)行，限制用戶對e:test2文件夾中程序的執(zhí)行。將執(zhí)行結(jié)果截圖保存。

7、導出安全策略，保存在E:test文件夾中。

8、關(guān)閉自動播放

在本地組策略中關(guān)閉自動播放，截圖保存。

9、禁止用戶運行特定程序

在本地組策略中禁止用戶運行windows應用程序計算器。截圖保存。

10、跟蹤用戶登錄情況

在用戶登錄時候顯示上次用戶登錄的信息。截圖保存。

（二）任務(wù)2 配置高級安全windows防火墻

1、創(chuàng)建自定義端口的入站規(guī)則

將遠程桌面的默認端口更改為TCP的4000端口，需要自定義入站規(guī)則，支持遠程桌面客戶端使用TCP的4000端口連接該服務(wù)器。

創(chuàng)建4000端口的自定義入站規(guī)則，請截圖實現(xiàn)。

單擊“開始”—“設(shè)置”---“控制面板”---“系統(tǒng)”—“遠程設(shè)置”---“遠程”---“允許運行任意版本遠程桌面的計算機連接（較不安全）”---確定。

客戶端計算機運行“mstsc”,進入遠程桌面連接，輸入Windows server 2008服務(wù)器的IP：4000，遠程訪問服務(wù)器。截圖保存。

2、創(chuàng)建自定義基于端口的出站規(guī)則

創(chuàng)建出站規(guī)則，使windows server 2008服務(wù)器不能夠訪問FTP站點上資源。

測試，訪問FTP站點上的資源，觀察情況。截圖保存。

3、創(chuàng)建基于應用程序的出站規(guī)則

禁用QQ網(wǎng)絡(luò)登錄。

（三）使用IPSec實現(xiàn)網(wǎng)絡(luò)安全

使用IPSec設(shè)置windows server 2008服務(wù)器網(wǎng)絡(luò)安全，要求如下：

（1）要求只允許源地址是192.168.50.0/24的計算機能夠訪問windows server 2008服務(wù)器的共享資源，設(shè)置IPSec允許192.168.50.0/24網(wǎng)段的計算機使用TCP協(xié)議目標端口445和135的數(shù)據(jù)包進入服務(wù)器；

（2）允許王老師計算機（ip地址為：192.168.50.253）通過TCP的3389端口，遠程連接到服務(wù)器實現(xiàn)遠程管理。

（3）其它的網(wǎng)絡(luò)流量都拒絕出入windows server 2008服務(wù)器。

請完成IPSec的配置，描述配置過程。

測試：

客戶端，設(shè)置IP地址不在該網(wǎng)段（192.168.50.0/24）的客戶端計算機，訪問服務(wù)器共享資源觀察運行情況，設(shè)置IP地址在該網(wǎng)段（192.168.50.0/24）的客戶端計算機，訪問服務(wù)器共享資源觀察運行情況。

客戶端模擬王老師計算機，設(shè)置IP為192.168.50.223，遠程連接服務(wù)器，觀察運行情況。將測試結(jié)果截圖保存。

第二篇：網(wǎng)絡(luò)安全實訓心得體會

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)深入到我們生活的各個方面。但是在使用網(wǎng)絡(luò)的過程中也要注意網(wǎng)絡(luò)安全。下面小編大家?guī)砭W(wǎng)絡(luò)安全實訓心得體會，歡迎閱讀！

網(wǎng)絡(luò)安全實訓心得體會

（一）在21世紀，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ畹囊徊糠?，很多人甚至已?jīng)離不開網(wǎng)絡(luò)。有了網(wǎng)絡(luò)，人們足不出戶便可衣食無憂。前些天剛從電視上看到關(guān)于年底網(wǎng)購火爆，快遞公司也在“春運”的新聞。以前人們找東西得找人幫忙，現(xiàn)在人們找東西找網(wǎng)幫忙。記得有一次鑰匙不知道放到了什么地方，就百度了一下“鑰匙丟在那里了”，結(jié)果按照網(wǎng)友們提示的方案還真給找到了。

網(wǎng)絡(luò)爆炸性地發(fā)展，網(wǎng)絡(luò)環(huán)境也日益復雜和開放，同時各種各樣的安全漏洞也暴露出來，惡意威脅和攻擊日益增多，安全事件與日俱增，也讓接觸互聯(lián)網(wǎng)絡(luò)的每一個人都不同程度地受到了威脅。在此，我就實訓中碰到看到的各種網(wǎng)絡(luò)安全問題談?wù)勛约旱捏w會：

1.有網(wǎng)絡(luò)安全的意識很重要

談到網(wǎng)絡(luò)安全，讓我們無奈的是很多人認為這是計算機網(wǎng)絡(luò)專業(yè)人員的事情。其實，每個人都應該有網(wǎng)絡(luò)安全的意識，這點對于涉密單位人員來說尤其重要。前段時間看了電視劇《密戰(zhàn)》，其中揭露的泄密方式多數(shù)都是相關(guān)人員安全意識薄弱造成：單位要求機密的工作必須在辦公室完成，就是有人私自帶回家加班造成泄密;重要部門要求外人不得入內(nèi)，偏有人把閑雜人員帶入造成泄密;專網(wǎng)電腦不允許接互聯(lián)網(wǎng)，有人

接外網(wǎng)打游戲造成泄密;甚至涉密人員交友不慎，與間諜談戀愛造成泄密。雖然這只是電視劇，但對機密單位也是一種警示?？催@部電視劇的時候我就在想，這應該作為安全部門的安全教育片。

不單單是涉密單位，對于個人來說，網(wǎng)絡(luò)安全意識也特別重要。網(wǎng)上層出不窮的攝像頭泄密事件、這“門”那“門”的都是由于個人安全意識淡薄所致。正如老師所說的“看到的不一定是真的!”。

我自己的電腦上有一些自己平時做的軟件、系統(tǒng)，雖說沒什么重要的，但那也是自己辛苦整出來的呀，所以使用電腦一直很小心，生怕有什么木馬、病毒之類的，“360流量監(jiān)控”的小條一直在我的“桌面”右下角，只要有上傳流量肯定得去看看是什么進程在上傳。

平時為別人維護系統(tǒng)經(jīng)常會碰到殺毒軟件很久不升級的情況，主人還振振有詞的說自己裝了殺毒軟件的。在他們看來殺毒軟件有了就成，剩下的就不用管了，我很多時候這樣對他們說：“你養(yǎng)條狗還得天天喂它吃呢!”

2.設(shè)備安全—很多技術(shù)是我們想不到的網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)運行的硬件基礎(chǔ)，設(shè)備安全是網(wǎng)絡(luò)完全必不可少的一個環(huán)節(jié)。

以前聽說過電泄密，一直沒見過，最近單位有同事拿來了兩個“電力貓”(電力線以太網(wǎng)信號傳輸適配器)，一個接網(wǎng)線插到電源上，另一個在30米內(nèi)接電源通過接口接網(wǎng)線鏈接到電腦便可上網(wǎng)。這讓我想到，只要有人將涉密的網(wǎng)絡(luò)線路接到電源線路便可輕易泄密，當然這塊國家安全部門肯定有相關(guān)的防范措施。

在搜索引擎里搜索諸如：intitle:“Live View/-AXIS 206W”等，可以搜到網(wǎng)絡(luò)攝像頭，在電視劇《密戰(zhàn)》中，某涉密部門的監(jiān)控系統(tǒng)被接入了互聯(lián)網(wǎng)，間諜就利用監(jiān)控系統(tǒng)竊取工作人員的屏幕信息和按鍵信息。在某政府機要室的復印機上安裝基于移動網(wǎng)絡(luò)的發(fā)射器，便可再用另外一臺接收機上受到所有掃描的機要文件。

1985年，在法國召開的一次國際計算機安全會議上，年輕的荷蘭人范〃艾克當著各國代表的面，公開了他竊取微機信息的技術(shù)。他用價值僅幾百美元的器件對普通電視機進行改造，然后安裝在汽車里，這樣就從樓下的街道上，接收到了放臵在8層樓上的計算機電磁波的信息，并顯示出計算機屏幕上顯示的圖像。

他的演示給與會的各國代表以巨大的震動。本人最早知道電磁泄密是在2004年為部隊某部門開發(fā)軟件的時候聽說的，在部隊很多地方時安裝了的就是為了防止電磁泄密。

硬盤數(shù)據(jù)不是刪掉就不存在了，用諸如EasyRecovery等恢復軟件都可以恢復?？磥?，只有將涉密硬盤用煉鋼爐化掉才能保證完全安全。

3.小心木馬

最早知道木馬，是自己大學期間。當時在網(wǎng)上看到了一款叫“大眼睛”的屏幕發(fā)送軟件，很好奇就試著用了。大學的機房里的計算機只裝常用軟件，其他諸如QQ等軟件都是在服務(wù)器上存放，用的時候自己安裝，學生機有保護卡重啟就被恢復了，又得裝。

于是就將“大眼睛”的客戶端放在服務(wù)器上取個很吸引人的名字。結(jié)果很多同學的屏幕都被我們監(jiān)控。有同學嘲笑說“不就是個木馬嘛!”經(jīng)過查詢才知道有種叫“木馬”的程序也是用同樣的方法進行隱私竊取。后來自己還做過假的QQ程序盜取別人的QQ，但盜來都給了別人，誰知道現(xiàn)在7、8位QQ號碼能這么暢銷。

以前電腦都防CIH、蠕蟲等病毒，當現(xiàn)在更多的是防木馬病毒，主要是由于個人電腦上可以竊取諸如支付寶、QQ賬號、網(wǎng)上銀行等密碼。當你打開不安全的網(wǎng)頁、別人發(fā)給你的惡意郵件時，當你安裝不安全的軟件時，當你使用U盤時都可能感染木馬病毒。

前一段時間的“360和QQ之爭”，在我們的電腦里有很多不安全的的軟件，都可能泄露我們的隱私。

4.網(wǎng)頁安全

在單位，我負責幾個部門的網(wǎng)站維護，主要是網(wǎng)頁制作。在一開始編程的時候，根本沒想到能被攻擊。后來自己做的網(wǎng)站經(jīng)常被攻擊，這才知道諸如SQL注入、Ewebeditor漏洞等攻擊手段，所以在編程時會注意到這些方面的安全。比如我的后臺數(shù)據(jù)庫一般都是“x.asp#xxxxxx.mdb”。防止數(shù)據(jù)庫被下載。

記得又一次為某部門自己編寫了一個留言板程序，結(jié)果發(fā)布沒1天就有3000多條惡意留言，還是英文的，挺讓人頭疼。最后設(shè)臵了驗證碼、用戶驗證都不起作用，直到用了檢測留言來源網(wǎng)頁代碼才堵住。原來人家是用工具攻擊的。

5.養(yǎng)成良好的上網(wǎng)習慣

網(wǎng)絡(luò)安全涉及到使用網(wǎng)絡(luò)的每一個人。對個人來說，要保證自己安全上網(wǎng)，每個人都得養(yǎng)成良好的上網(wǎng)習慣。我想應該包含以下幾點：

1)電腦要安裝防火墻和殺毒軟件，要及時升級，如果電腦上網(wǎng)則設(shè)臵為自動升級。并且養(yǎng)成經(jīng)常性安全掃描電腦;

2)及時更新windows補丁;

3)在確保系統(tǒng)安全的情況下，做好GHOST備份，防止碰到頑固病毒時能及時恢復系統(tǒng);

4)網(wǎng)友用QQ等發(fā)給的網(wǎng)站和程序，不要輕易去點擊和執(zhí)行;

5)不瀏覽不安全的網(wǎng)頁;

6)共享文件要及時關(guān)閉共享，在單位經(jīng)常會在工作組計算機中看到別人共享的東西;

7)不熟悉的郵件不瀏覽;

8)U盤殺毒后再去打開;

9)最好不在別人的計算機上登錄自己的銀行賬號、支付寶、QQ等;對于我們每個人來說，提高網(wǎng)絡(luò)安全意識，學習網(wǎng)絡(luò)安全知識，是網(wǎng)絡(luò)時代對我們基本的要求。

網(wǎng)絡(luò)安全實訓心得體會

（二）本學期我選修了網(wǎng)絡(luò)信息安全這門課，自從上了第一堂課，我的觀念得到了徹底的改觀。老師不是生搬硬套，或者是只會讀ppt的reader，而是一位真正在傳授自己知識的學者，并且老師語言生動幽默，給了人很大的激勵去繼續(xù)聽下去。在課堂上，我也學到了很多關(guān)于密碼學方面的知識。

各種學科領(lǐng)域中，唯有密碼學這一學科領(lǐng)域與眾不同，它是由兩個相互對立、相互依存，而又相輔相成、相互促進的分支學科組成。這兩個分支學科，一個叫密碼編碼學，另一個叫密碼分析學。

“密碼”這個詞對大多數(shù)人來說，都有一種高深莫測的神秘色彩。究其原因，是其理論和技術(shù)由與軍事、政治、外交有關(guān)的國家安全(保密)機關(guān)所嚴格掌握和控制、不準外泄的緣故。

密碼學(Cryptology)一詞源自希臘語“krypto's”及“l(fā)ogos”兩詞，意思為“隱藏”及“消息”。它是研究信息系統(tǒng)安全保密的科學。其目的為兩人在不安全的信道上進行通信而不被破譯者理解他們通信的內(nèi)容。

從幾千年前到1949年，密碼學還沒有成為一門真正的科學，而是一門藝術(shù)。密碼學專家常常是憑自己的直覺和信念來進行密碼設(shè)計，而對密碼的分析也多基于密碼分析者(即破譯者)的直覺和經(jīng)驗來進行的。1949年，美國數(shù)學家、信息論的創(chuàng)始人 Shannon, Claude Elwood 發(fā)表了《保密系統(tǒng)的信息理論》一文，它標志著密碼學階段的開始。同時以這篇文章為標志的信息論為對稱密鑰密碼系統(tǒng)建立了理論基礎(chǔ)，從此密碼學成為一門科學。

由于保密的需要，這時人們基本上看不到關(guān)于密碼學的文獻和資料，平常人們是接觸不到密碼的。1967年Kahn出版了一本叫做《破譯者》的小說，使人們知道了密碼學。20 世紀70年代初期，IBM發(fā)表了有關(guān)密碼學的幾篇技術(shù)報告，從而使更多的人了解了密碼學的存在。

但科學理論的產(chǎn)生并沒有使密碼學失去藝術(shù)的一面，如今，密碼學仍是一門具有藝術(shù)性的科學。1976年，Diffie和 Hellman 發(fā)表了《密碼學的新方向》一文，他們首次證明了在發(fā)送端和接收端不需要傳輸密鑰的保密通信的可能性，從而開創(chuàng)了公鑰密碼學的新紀元。該文章也成了區(qū)分古典密碼和現(xiàn)代密碼的標志。

1977年，美國的數(shù)據(jù)加密標準(DES)公布。這兩件事情導致了對密碼學的空前研究。從這時候起，開始對密碼在民用方面進行研究，密碼才開始充分發(fā)揮它的商用價值和社會價值，人們才開始能夠接觸到密碼學。這種轉(zhuǎn)變也促使了密碼學的空前發(fā)展。

最早的加密技術(shù)，當屬凱撒加密法了。秘密金輪，就是加解密的硬件設(shè)備可以公用，可以大量生產(chǎn)，以降低硬件加解密設(shè)備的生產(chǎn)與購置成本。破譯和加密技術(shù)從來就是共存的，彼此牽制，彼此推進。錯綜復雜的加解密演算法都是為了能夠超越人力執(zhí)行能力而不斷演變的。Kerckhoffs原則、Shannon的完美安全性、DES算法、Rijndael算法一文，正如密碼學的里程碑，佇立在密碼學者不斷探索的道路上，作為一種跨越，作為一種象征。

以上便是我在學習這門課中了解到的關(guān)于密碼學的一些常識問題，接著介紹我感興趣的部分。

在這門課中，我最感興趣的莫過于公鑰密碼學了。其實公鑰密碼學的核心基礎(chǔ)就是數(shù)學領(lǐng)域里某些問題的正反非對稱性，如整數(shù)分解問題(RSA)、離散對數(shù)問題(DL)和橢圓曲線問題(ECC)，而這些問題無一例外地與數(shù)論有著千絲萬縷的聯(lián)系。偉大的數(shù)學家高斯曾經(jīng)說過“數(shù)學是科學的皇后，數(shù)論是數(shù)學中的皇冠”，然而很遺憾的是，在我國的教育體系中無論是初等教育還是高等教育對于數(shù)論的介紹幾乎是一片空白，唯一有所涉及的是初高中的數(shù)學競賽，但這種覆蓋面肯定是極其有限的。

本章并未對數(shù)論作完整的介紹，而只是將與書中內(nèi)容相關(guān)的知識加以闡述，分別包括歐幾里得定理和擴展的歐幾里得定理、歐拉函數(shù)以及費馬小定理和歐拉定理，其中歐幾里得定理部分有比較詳細的推導和演算，后兩者則僅給出結(jié)論和使用方法。不過考慮到這幾部分內(nèi)容獨立性較強，只要我們對質(zhì)數(shù)、合數(shù)及分解質(zhì)因數(shù)等基礎(chǔ)知識有比較扎實的理解那么閱讀起來應該還是難度不大的。

而對于歐拉函數(shù)以及費馬小定理和歐拉定理，其證明方法并不是很難，我們也可在網(wǎng)上找到相關(guān)過程;不過其應用卻是相當重要，尤其是費馬小定理，是Miller-Rabbin質(zhì)數(shù)測試的基礎(chǔ)。我覺得喜歡數(shù)學的同學一定會喜歡上這門課，這門課所涉及的數(shù)學知識頗為豐富，包括數(shù)論、高等代數(shù)、解析幾何、群論等諸多領(lǐng)域。

此外，課堂上老師所講的各種算法(如Diffie和Hellman的經(jīng)典算法)影響直至今日，促成了各種新興算法的形成，且多次地被引用。經(jīng)典猶在，密碼學新的開拓仍舊在繼續(xù)，仍舊令人期待。

第三篇：網(wǎng)絡(luò)安全實訓報告

網(wǎng)絡(luò)安全

實訓報告

姓名：蔡明軒學號：0902010107專業(yè)： 計算機網(wǎng)絡(luò)技術(shù)班級：09級網(wǎng)絡(luò)技術(shù)班指導教師：朱家全

具體步驟：

開始---設(shè)置---控制面板---添加/刪除程序---添加/刪除windows組件----選擇“證書服務(wù)”----下一步----選擇“獨立根CA”---下一步----輸入添加CA的名稱、單位、部門、城市、電子郵件、描述、有效期限等，單擊下一步----選擇數(shù)據(jù)存儲的位置---下一步---完成。

1-2.通過Web頁面申請證書

具體步驟：

在局域網(wǎng)中另一臺計算機中打開IE，然后輸入根CA的IP地址/certsrv,然后在microsoft證書服務(wù)頁面中選擇“申請證書“---下一步---在“選擇申請類型”頁面中選擇“用戶證書申請”的“Web瀏覽器證書”---下一步-----在“web瀏覽器證書---標識信息”頁面中輸入所有的標識信息---在“潛在的腳本沖突”對話框中選擇“是”----提交。

1-3.證書發(fā)布

具體步驟：

開始---設(shè)置----控制面版---管理工具----證書頒發(fā)機構(gòu)---在左側(cè)的菜單中選擇“待定申請”----右擊上面申請的證書----選擇“頒發(fā)”，此時證書將被轉(zhuǎn)入到“頒發(fā)的證書”中。

1-4.證書的下載安裝

具體步驟：

在IE中輸入根CA的IP地址/certsrv，進入證書申請頁面，選擇“檢索CA證書或證書吊銷列表”-----選擇“下載CA證書”----選擇保存證書的路徑----下載完畢。

找到證書并雙擊----單擊“安裝證書”----采用默認設(shè)置完成證書的導入----確定。

2、為Web服務(wù)器申請證書、頒發(fā)證書、安裝證書的具體過程

2-1．為Web服務(wù)器申請證書

（1）單擊“開始”按鈕，選擇“程序”>>“管理工具”>>“Internet服務(wù)管理器”。在彈出的窗口，然后在窗口左側(cè)菜單中右鍵單擊“默認Web站點”，選擇“屬性”。

（2）在窗口中選擇“目錄安全性”菜單，點擊“安全通信”中的“服務(wù)器證書”。

（3）在出現(xiàn)的歡迎使用web服務(wù)器證書向?qū)е校c擊“下一步”，在圖中，選中“創(chuàng)建一個新證書”，點擊“下一步”。

（4）在彈出的窗口中輸入證書的名稱，點擊“下一步”。

（5）根據(jù)窗口提示輸入如圖所示的組織信息，點擊“下一步”。

（6）在一對話框中輸入站點的公用名稱，點擊“下一步”。

（7）在圖中接著輸入站點的地理信息，點擊“下一步”。

（8）接著輸入證書請求文件的文件名和存放路徑，點擊“下一步”。在這個證書請求文件中存放著剛才輸入的用戶信息和系統(tǒng)生成的公鑰。

（9）點擊上步將出現(xiàn)確認信息窗口，點擊“下一步”，接著點擊“完成”，完成服務(wù)器證書申請。

2-2．提交Web服務(wù)器證書

（1）在服務(wù)器所在的計算機上打開IE瀏覽器，在地址欄中輸入 http://根CA的IP/certsrv，在出現(xiàn)的頁面中選中“申請證書”，并點擊“下一步”。

（2）在彈出的頁面中選中“高級申請”，并點擊“下一步”。高級申請可以由用戶導入請求證書文件。

（3）在彈出的頁面中選中“Base64編碼方式”，并點擊“下一步”。

（4）點擊“瀏覽”，找到證書請求文件，并把它插入在（1）中“證書申請”框內(nèi)，點擊“提交”。這就將我們上面剛剛完成的證書請求文件（即含有個人信息和公鑰的文件）提交。

（5）將會彈出一個頁面，表示提交成功。

2-3．服務(wù)器證書的頒發(fā)和安裝

（1）在根CA所在的計算機上，單擊“開始”，選擇“程序”->“管理工具”->“證書頒發(fā)機構(gòu)”。在彈出的窗口左側(cè)的菜單目錄中選擇“待定申請”，上一步中申請的證書web cert出現(xiàn)在窗口右側(cè)。在證書上單擊右鍵，選擇“所有任務(wù)”->“頒發(fā)”，進行證書頒發(fā)；

（2）證書頒發(fā)后將從“待定申請”文件夾轉(zhuǎn)入到“頒發(fā)的證書”文件夾中，表示證書頒發(fā)完成；

（3）在申請證書的計算機上，打開IE瀏覽器，在地址欄中輸入 http://根CA的IP/certsrv，進入證書申請頁面。選擇“檢查掛起的證書”，查看CA是否頒發(fā)了證書，單擊“下一步”；

（4）在彈出的頁面中選擇已經(jīng)提交的證書申請，單擊“下一步”；

（5）如果頒發(fā)機構(gòu)已將證書頒發(fā)，則將彈出一個頁面；

（6）點擊“下載CA證書”，選擇下載的路徑，將證書保存到本地計算機，并可查看證書內(nèi)容；

（7）安裝服務(wù)器證書，點擊“安裝證書”，進入“證書導入向?qū)А?，點擊“下一步”

（8）在所示的“證書存儲”選項中，按默認的，選擇“根據(jù)證書類型，自動選擇存儲區(qū)”，點擊“下一步”；

（9）彈出，表示已經(jīng)成功導入證書，點擊“完成”。

（10）單擊“開始”按鈕，選擇“程序”>>“管理工具”>>“Internet服務(wù)管理器”；在彈出的窗口左側(cè)菜單中右鍵單擊“默認Web站點”，選擇“屬性”；

在彈出窗口中選擇“目錄安全性”菜單，點擊“安全通信”中的“服務(wù)器證書”； 出現(xiàn)界面，“Web服務(wù)器證書向?qū)А?，點擊“下一步”；

在出現(xiàn)的 “證書向?qū)А敝?，選擇“分配一個已存在的證書”，點擊下一步； 在出現(xiàn)的選擇證書選項中，選中我們剛剛在導入的證書，點擊“下一步”；出現(xiàn)確認信息，點擊下一步；安裝成功，點擊“完成”；

再回到“站點屬性”，可以看到“查看證書”、“編輯”按鈕為黑色，點擊“查看證書”，可以看到跟（6）中一樣的證書信息；這樣，web服務(wù)器端的證書證書就安裝好了。

2-4．在服務(wù)器上配置SSL

（1）單擊“開始”按鈕，選擇“程序”->“管理工具”->“Internet服務(wù)管理器”。在彈出的窗口左側(cè)菜單中右鍵單擊“默認Web站點”，選擇“屬性”；

（2）在彈出的窗口中選擇“目錄安全性”菜單項，選擇面板上“安全通信”中“查看證書”項，查看第2步中安裝的證書；

（3）按“確定”后返回到“目錄安全性”面板，選擇“安全通信”中“編輯”項，在彈出的窗口中選擇“申請安全通道（SSL）”，并在“客戶證書”欄中選擇“接收客戶證書”，單擊確定。

（4）返回到“目錄安全性”面板，單擊“應用”及“確定”，完成配置。

2-5．客戶端通過SSL與服務(wù)器建立連接

（1）在網(wǎng)絡(luò)中第三方的計算機上打開網(wǎng)絡(luò)監(jiān)測工具sniffer，監(jiān)測服務(wù)器的數(shù)據(jù)包；

（2）在客戶端計算機上打開IE瀏覽器，若仍在地址欄中輸入http://根CA的IP/certsrv，則顯示的頁面，要求采用https（安全的http）協(xié)議連接服務(wù)器端；

（3）輸入https://根CA的IP/certsrv，頁面中彈出提示窗口；

（4）單擊“確定”，彈出證書選擇窗口。

在窗口中選擇步驟2中剛申請的證書，單擊“確定”；

（5）之后將正確彈出正常的證書申請頁面，完成基于SSL的連接。

（6）查看第三方計算Ⅱ機上sniffer的監(jiān)測結(jié)果，其中并未出現(xiàn)POST類型的有效信息包，截獲的信息均為無效的亂碼。

這說明SSL很好的實現(xiàn)了Web連接的安全性。

（二）在IIS中配置安全的FTP服務(wù)

1、安裝FTP服務(wù)

單擊開始-控制面板-添加或刪除程序，單擊添加/刪除windows組件，雙擊應用程序服務(wù)，雙擊Internat信息服務(wù)（IIS），勾選文件傳輸協(xié)議（FTP）服務(wù)

2、創(chuàng)建隔離用戶FTP

（2-1）單擊開始-管理工具-Internat信息服務(wù)（IIS）管理器，展開FTP站點，刪除默認FTP站點并新建 帳戶FTP 站點。

（2-2）右鍵單擊FTP站點，選擇新建-FTP站點，彈出歡迎界面，單擊下一步繼續(xù)

（2-3）設(shè)置IP和端口號。

（2-4）選擇隔離用戶。

（2-5）選擇ftp主路徑。

（2-6）設(shè)置FTP權(quán)限，成功建立ftp站點。

（2-7）建立1個系統(tǒng)賬戶yanxun，用于FTP訪問用戶。

（2-8）在主FTP目錄下建立相應文件夾，并建立不同文件內(nèi)容。注意，我們的主目錄是C:Inetpubzhanghu ftproot,（2-9)更改站點屬性 的安全帳戶選項卡并去掉本選項卡的允許匿名連接的對號。

（2-10）創(chuàng)建不允許訪問本FTP的IP。

（2-11）測試。

（三）防火墻的安裝與設(shè)置

1、在無防火墻的情況下，使用Ping命令和通過共享資源使用服務(wù)器資源。

2、安裝Skynet-FireWall防火墻軟件。

3、制定相應規(guī)則

詳細步驟：

a.打開“自定義IP規(guī)則”界面；

b.單擊“添加規(guī)則”，出現(xiàn)“添加IP規(guī)則”對話框；

c.在“添加IP規(guī)則”對話框中輸入名稱、說明、對方IP、數(shù)據(jù)包協(xié)議等，單擊確定；

d.要想要自己設(shè)置的規(guī)則發(fā)揮作用，可以在此規(guī)則前打勾，e.結(jié)果，這樣的話就可以阻止別人的ping操作了。

4、比較（1）和（3）兩種情況的結(jié)果，并查看防火墻日志。

四、遇到的問題及解決辦法

遇到問題：

（一）防火墻在啟用后所定的規(guī)則無效。解決方法：選擇規(guī)則中沒有啟用的相應規(guī)則前，即次規(guī)則前顯示為對勾。

（二）在CA證書的申請中找不到所需的證書。解決方法：到證書管理器中把相應的證書頒發(fā)。

（三）在實現(xiàn)

在IIS中配置安全的FTP服務(wù)時，在設(shè)置為帳戶登錄時在出現(xiàn)所需頁面時卻無法登錄。把相應的帳戶歸組為Guest組

五、實訓體會

在本次實踐過程中使我了解到了CA證書的安裝、申請及在WEB中的應用，基于SSL的安全WEB服務(wù)配置，CRL簽發(fā)和用戶管理和證書查詢，能夠更好的對證書進行安裝及配置，熟練掌握它的過程。而在IIS中配置安全的FTP服務(wù)中，使我更好的了解了怎么樣才能配置出更安全的FTP服務(wù)。對于防火墻的安裝及配置使我更好的了解了防火墻的作用及功能。同時能夠更好的對防火墻進行安裝及重要的配置。從而進一步鞏固了我對信息安全課程所學知識，更加深入地了解計算機網(wǎng)絡(luò)系統(tǒng)中所采取的安全措施、網(wǎng)絡(luò)系統(tǒng)漏洞、黑客技術(shù)和防范措施等相關(guān)技術(shù)同時也提高了自學能力為以后的從業(yè)打下了良好的基礎(chǔ)

第四篇：網(wǎng)絡(luò)安全實訓報告2--基于SSL的安全Web站點配置

基于SSL的安全Web站點配置

一、實訓要求

1、配置CA服務(wù)器；

2、配置Web服務(wù)器（開啟80端口）；

3、在Web服務(wù)器上配置“Web服務(wù)器保護證書”（開啟443端口）；

4、客戶端使用https協(xié)議訪問 Web服務(wù)器。

二、實訓步驟

三、關(guān)于SSL，詳見戴有煒 windows server 2003網(wǎng)絡(luò)專業(yè)指南400頁以后

1、配置CA服務(wù)器；

運行appwiz.cpl---添加/刪除組件—選中應用程序服務(wù)IIS和證書服務(wù)

下一步，選中獨立根CA

不用管，啟用

到這來就完成了，可以再管理工具---證書管頒發(fā)構(gòu)來管理證書服務(wù)器

2、配置Web服務(wù)器（開啟80端口）；

運行appwiz.cpl----添加刪除組件---應用程序服務(wù)器—IIS

安裝完成后，下面進行web的配置 管理工具---IIS服務(wù)

將默認網(wǎng)站禁止

網(wǎng)站—新建—網(wǎng)站

這來隨便輸入，只是描述使用

下一步，只給讀取權(quán)限，下一步完成

這來我們就用index.htm做首頁，并且到c:wlm做一個首頁

可以訪問了

3、在Web服務(wù)器上配置“Web服務(wù)器保護證書”（開啟443端口）；

選中網(wǎng)站—屬性--目錄安全性—服務(wù)證書

選擇新建證書

以下兩部輸入不是很重要，接著下一步

隨便輸入，接著下一步

設(shè)置證書請求文件的名稱，默認是certreq.txt

接著下一步，完成

向CA服務(wù)器申請證書

將剛才certreq.txt內(nèi)的內(nèi)容復制進來

本CA不是基于域的企業(yè)根CA，不會自動發(fā)放證書，到CA服務(wù)器

在web服務(wù)器，訪問CA，查看掛起的證書

選擇下載證書，保存

設(shè)置網(wǎng)站信任CA 在web服務(wù)器通過瀏覽器連接CA，選擇 下載一個CA證書，證書鏈或ＣＲＬ――選擇 安裝此ＣＡ證書鏈，即可信任此ＣＡ

安裝證書并啟用ＳＳＬ

在ｗｅｂ服務(wù)器，ＩＩＳ管理器――選中所要安裝證書的網(wǎng)站――屬性――目錄安全性――服務(wù)證書

選擇剛剛下載的證書

網(wǎng)站ＳＳＬ的連接端口默認為４４３

確認，下一步

完成

4、客戶端使用https協(xié)議訪問 Web服務(wù)器進行頒發(fā)證書。

上面是給其他的ｗｅｂ服務(wù)器頒發(fā)服務(wù)器證書，實現(xiàn)ＳＳＬ（ｈｔｔｐｓ）連接，若是給本ＣＡ實現(xiàn)ＳＳＬ，則只需在ＣＡ服務(wù)器打開ＩＩＳ管理器，選擇默認網(wǎng)站進行上面的操作，下面是結(jié)果

下圖是ｈｔｔｐｓ訪問其他獨立ｗｅｂ服務(wù)器結(jié)果

下圖是ｈｔｔｐｓ訪問ＣＡ服務(wù)器ｗｅｂ進行頒發(fā)證書

三、總結(jié)

第五篇：24.FTP服務(wù)器的配置實訓任務(wù)書.

FTP服務(wù)器的配置

一、實訓目的

1.掌握Vsftpd服務(wù)器的配置方法。2.熟悉FTP客戶端工具的使用。3.掌握常見的FTP服務(wù)器的故障排除。

二、實訓設(shè)備 1.linux 網(wǎng)絡(luò)操作系統(tǒng) 2.網(wǎng)絡(luò)設(shè)備，client計算機

三、背景知識

1.某企業(yè)網(wǎng)絡(luò)拓撲圖如下圖所示，該企業(yè)想構(gòu)建一臺FTP服務(wù)器，為企業(yè)局域網(wǎng)中的計算機提供文件傳送任務(wù)，為財務(wù)部門、銷售部門和OA系統(tǒng)提供異地數(shù)據(jù)備份。要求能夠?qū)?FTP 服務(wù)器設(shè)置連接限制、日志記錄、消息、驗證客戶端身份等屬性，并能創(chuàng)建用戶隔離的FTP站點。

管理部財務(wù)部銷售部FTP 服務(wù)器OA系統(tǒng)12… … FTP 客戶端N-1N

四、實訓內(nèi)容和要求

1.練習Linux系統(tǒng)下Vsftpd服務(wù)器的配置方法及FTP客戶端工具的使用。

五、實訓步驟 1.設(shè)置匿名帳號具有上傳、創(chuàng)建目錄權(quán)限

//修改本地權(quán)限，使匿名用戶對/var/ftp目錄具有寫入權(quán)限 [root@RHEL4 var]# chmod o+w /var/ftp [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf //添加下面兩行： anon_upload_enable=YES anon_mkdir_write_enable=YES 2.設(shè)置禁止本地user1用戶登錄ftp服務(wù)器

[root@RHEL4 var]#vi /etc/vsftpd.ftpusers //添加下面的行： user1 //重新啟動vsftpd服務(wù)，即可。

3.設(shè)置本地用戶登錄FTP服務(wù)器之后，在進入dir目錄時顯示提示信息“welcome”

//以user2用戶登錄系統(tǒng)，并進入user2用戶家目錄/home/user2目錄下的dir1目錄

[user2@RHEL4 dir]$cd ~/dir //新建.message文件并輸入”welcome” [user2@RHEL4 dir]$ echo “welcome”>.message //以下為測試結(jié)果

[user2@RHEL4 dir]$ ftp 192.168.1.2 Name(192.168.1.2:user2): user2 Password: ftp> cd dir

//切換到dir目錄

250-welcome

//顯示.message文件的內(nèi)容 250 Directory successfully changed.4.設(shè)置將所有本地用戶都鎖定在家目錄中

//修改vsftpd.conf文件，做如下設(shè)置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=NO

//修改該參數(shù)的取值為NO chroot_local_user=YES

//修改該參數(shù)的取值為YES //重新啟動vsftpd服務(wù)即可 //測試部分略 5.設(shè)置只有指定本地用戶user1和user2可以訪問FTP服務(wù)器

//將例14-1中/etc/vsftpd.ftpusers文件中的user1刪除 //修改vsftpd.conf文件，做如下設(shè)置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf userlist_enable=YES

//修改該參數(shù)的取值為YES usrelist_deny=NO

//添加此行 userlist_file=/etc/vsftpd.user_list

//添加此行 //利用vi編輯器打開/etc/vsftpd.user_list文件 [root@RHEL4 ~]# vi /etc/vsftpd.user_list //添加如下兩行并保存退出： user1 user2 //重新啟動vsftpd服務(wù)即可 //測試部分略

6.配置基于主機的訪問控制

實現(xiàn)如下功能：拒絕192.168.6.0/24訪問。

對域jnrp.net和192.168.2.0/24內(nèi)的主機不做連接數(shù)和最大傳輸速率限制。

對其他主機的訪問限制每IP的連接數(shù)為1，最大傳輸速率為20KB/S //修改vsftpd.conf文件

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf

tcp_wrappers=YES

//確保支持tcp_wrappers

//添加如下兩行并保存退出： local_max_rate=20000 anon_max_rate=20000 max_per_ip=1 //編輯/etc/host.allow文件

[root@RHEL4 ~]# vi /etc/hosts.allow //添加下面兩行：

vsftpd:jnrp.net,192.168.2.0/24 :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf vsftpd:192.168.6.0/24:DENY //編輯/etc/vsftpd/vsftpd_tcp_wrap.conf文件 [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd_tcp_wrap.conf //添加下面三行： local_max_rate=0 anon_max_rate=0 max_per_ip=0 //重新啟動vsftpd服務(wù)即可 //測試部分略 7.使用PAM實現(xiàn)基于虛擬用戶的FTP服務(wù)器的配置。

● 創(chuàng)建虛擬用戶口令庫文件。

//生成建立口令庫文件的文本文件 [root@RHEL4 ~]# cat /root/login.txt

peter

//此行指定虛擬用戶peter 123456

//此行設(shè)置peter用戶的FTP密碼 tom

//此行指定虛擬用戶tom 213456

//此行設(shè)置tom用戶的FTP密碼

//使用db_load命令生成口令庫文件

[root@RHEL4 /]# db_load-T-t hash-f /root/login.txt /etc/vsftpd/vsftpd_login.db //修改數(shù)據(jù)庫文件的本地權(quán)限

[root@RHEL4 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db ● 生成虛擬用戶所需的PAM配置文件/etc/pam.d/vsftpd。

[root@RHEL4 ~]#vi /etc/pam.d/vsftpd //添加如下兩行

auth

required

/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account

required

/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login ● 修改vsftpd.conf文件。

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf //保證具有下面三行

guest_enable=YES

//啟用虛擬用戶功能

guest_username=ftp

//將虛擬用戶映射成ftp帳號，利用虛擬用戶登錄后，會在ftp用戶所在目錄下。

pam_service_name=vsftpd //指定PAM配置文件是vsftpd ● 利用下面的命令重新啟動vsftpd服務(wù)即可。[root@RHEL4 ~]# service vsftpd restart ● 測試。

六、實訓結(jié)果和討論

實訓目的。實訓內(nèi)容。實訓步驟。

實訓中的問題和解決方法。回答實訓思考題。實訓心得與體會。建議與意見。