第一篇:网络安全若干实验心得
学号:
姓名:
1、通过“数据恢复和上网记录检查”试验,个人有什么体会?(限200字以内)
通过学习、试验“数据恢复”,我觉得保护自己的数据安全,应该从两个方面着手,一方面是防患于未然,就是日常进行数据备份,另一方面则是亡羊补牢,也就是当数据受到损坏后及时的恢复。通过上机实验,巩固了理论课所学的基本知识,进一步熟悉了存储介质数据修复和恢复方法及过程,掌握了软件的使用方法,提高了动手能力。
通过上网记录检查试验,我不仅了认识到了信息安全的重要性,也熟悉该实验行为防范和攻击的原理。积累了网络安全实践经验,对了解网络安全具有非常重要的意义。
2、通过对密码算法——DES、AES、RSA以及MD5等的验证试验,个人有什么体会?对于MD5这类散列算法今后你有可能会在什么地方用到?(限300字内)
通过学习,我深刻的感受到数据加密技术的重要性,它不仅可以保证信息的机密性,还可以保护信息的完整性,不可否认性等安全要素。通过试验,我发现 DES:数据加密标准,速度较快,适用于加密大量数据的场合;AES:速度快,安全级别高。RSA:支持变长密钥,需要加密的文件块的长度也是可变的;MD5的安全性相对其他几种算法不是很高。
MD5算法被广泛的用作检验文件是否变化的散列函数,很多类似迅雷、旋风这样的下载工具,都可以通过MD5来验证,用户下载下来的文件是否被修改。利用MD5算法来进行文件校验的方案会被大量应用到软件下载站、论坛数据库、系统文件安全等方面。
3、谈谈你对《网络安全技术》课程实验课的想法,以及你的建议和意见。(限300字内)
实验课让我对系统安全的认识进一步加深,理论结合实际使我明白了很多课本上学不到的东西,不仅进一步学会了网络安全知识的概念,以及初步掌握了防范和攻击的技能,懂得了软件的运用和原理,为了以后计算机安全方面多了一分经验和能力。积累网络安全实践经验具有非常重要的意义。
我想学习的目的不在于考试获得学分,而是为了获取知识,获取工作技能,为了能适应社会的需求,通过学习保证完成将来的工作。通过本课程,我明白了“细节决定成败”“一份耕耘,一份收获”的道理。
感谢老师的指点和同学的帮助,才使我学到了更多的网络安全知识。我觉得时间不太够用,故希望每课时实验时间可以长一点。
第二篇:网络安全实验教案
网络安全实验指导书
实验项目一: 密码与信息加密
一、实验目的及要求:
(1)要求学生了解密码技术中的相关算法
(2)了解密码技术的作用和保护信息资源的方法、(3)掌握常用密码算法的基本原理,了解它们的实现方法。学会进行加密解密。
二、实验内容
1.要求用计算机语言C/C++编写加密程序和解密程序
(1)根据实验室情况安装VC6.0或TC2.0(2)编写凯撒密码程序。运行并保存程序和结果,保存为学号--姓名—kaisa.Cpp , 学号--姓名—kaisa.jpg 凯撒密码是一种非常古老的加密方法,相传当年凯撒大地行军打仗时为了保证自己的命令不被敌军知道,就使用这种特殊的方法进行通信,以确保信息传递的安全。他的原理很简单,说到底就是字母于字母之间的替换。下面让我们看一个简单的例子:“baidu”用凯撒密码法加密后字符串变为“edlgx”,它的原理是什么呢?把“baidu”中的每一个字母按字母表顺序向后移3位,所得的结果就是刚才我们所看到的密文。
#include
for(i=0;M[i]!='�';i++)
C[i]=(M[i]-'a'+K)%26+'a';
C[i]='�';printf(“密文是:n%sn”,C);for(i=0;C[i]!='�';i++)
M1[i]=(C[i]-'a'-K)%26+'a';
M1[i]='�';printf(“解密后的结果是:n%sn”,M1);}
2.查看并编译运行DES、MD5、RSA等密码算法的源程序。并能修改明文得到结果.保存为学号--姓名—des.jpg, 学号--姓名—md5.jpg, 学号--姓名—rsa.jpg, 3.将结果上交老师
三、学时分配:
4学时
四、实验重点、难点
(1)DES算法程序的设计与运行(2)RSA算法程序的设计与运行
五、操作要点
1.加密 2.解密
六、注意事项
为了减少实验时间,实验破解用的密码可以选得简单一些。如1234。
实验项目二:
Windows2000/XP/2003系统的安全
一、实验目的及要求
1.强化操作系统安全意识;
2.了解Windows2000/XP/2003中安全保护措施;
3.掌握操作系统中安全概念;
4.学会使用Windows2000/XP/2003常用安全设置方法。
二、实验任务
学会使用Windows2000/XP/2003常用安全设置方法
三、实验学时
4学时
四、实验重点、难点
Windows2000/XP/2003常用安全设置方法和保护措施
五、操作要点
1.根据实验室情况安装虚拟机+win2003.iso、2.完成用户和组的管理
(1).在管理工具的“计算机管理”中的“本地用户和组”,右击“用户”,选择“新用户”;
(2).输入“用户名”和“密码”;(3).在“本地用户和组”中,打开“用户”,右击要设置的用户名;(4).可以设置帐号密码、属性、重命名、删除操作;(5).在管理工具中的“计算机管理”中的“本地用户和组”,右击“组”,选择“新建组”;
(6).输入组名,并为组添加成员;(7).右击改组名,可以将该组添加到其他组、重命名、删除和对该组设置属性
3.完成文件权限及文件共享的设置
(1).掌握NTFS与FAT32文件系统的区别,观察各分区的文件系统(2).比较同同一分区和不同NTFS分区上进行文件复制、移动时文件权限的变化
(3).设置文件加密、压缩(4).在NTFS分区创建文件夹temp,进入属性页面中的“安全”,删除Everyone的权限,分配某一用户对文件夹Read权限以及管理员的完全控制权限(5).把文件共享,注意共享出的权限为完全控制(6).用户在另外一计算机登录、测试对temp的权限(7).创建新的组Test,把用户添加到组中(8).在temp的属性页“安全”赋予test组对文件写权限(9).用户在另一计算机登录,测试对temp的权限(10).在temp目录下建立文件夹dir1,在dir1目录的属性页中的“安全”设置不继承父目录的权限
4.创建Web服务器>
(1).安装IIS5.0组件。安装成功后,系统预设WEB站点的目录为inetpubwwroot,用http://127.0.0.1测试安装是否成功。(2).在管理工具中的“Internet信息服务”可以管理Web站点,也可以用浏览器管理站点(3).在Inetpubwwwoot下创建default.htm文件,测试http://127.0.0.1(4).创建新的站点websitel,主目录在另一目录如test,注意ip地址、端口不要为80,在主目录下创建新的default.htm,并测试(5).给计算机网卡加上新的IP地址,创建新的站点website2,主目录在另一目录test2,注意ip地址为新的ip地址,在主目录下创建新的default.htm并测试(6).管理WEB服务器 1)设置站点的基本属性
2)设置服务器的主目录 3)权限设置
4)匿名访问和验证控制 5)IP地址及域名限制
6)文档的设置、性能的设置(7).创建虚拟目录,虚拟目录在站点的名字和实际的存储名字可以不同
5.远程桌面服务器端的配置
(1).在计算机系统属性-远程标签-允许用户远程连接。
(2).如果服务器是独立服务器或者是成员服务器,从“开始”→“管理工具”→“计算机管理”菜单中,打开“计算机管理”窗口,选择“本地用户和组”,将用户加入到“Remote Desktop Users”组内即可。
(3).远程桌面程序的安装
(4).远程桌面程序的使用
(5).结束与服务器的连接
(6).常规选项卡和显示选项卡设置
(7).本地连接选项卡(8).TELNET:
1)启动 Telnet服务
2)设置登录到 Telnet 服务器所需的权限
3)Tlntadmn—telnet
4)Telnet 客户登录到服务器、6. 服务器安全
1.断网安装 Windows 2003
(1)安装 Windows 2003 前,先断开和网络的连接,避免在防火墙启用之前就被网络病毒感染。
(2)管理员 administrator 密码不能为空。
(3)安装完 Windows 2003后,首先启用防火墙
2.用户名问题
a)把管理员 adminstrator 用户改名
b)启用密码安全策略,保证密码长度,启用密码锁定策略,防止暴力破解
c)创建新的用户,加入到 administrators组,防止唯一的管理员用户被锁
d)停用 guest用户
3.开启账户锁定策略;停止不需要的服务
4.根据情况关闭不必要的服务;安装防 ARP 攻击软件
5.安装防病毒软件;启用网络防火墙
6.开启必要的端口;添加自己的服务
7.打上必要的补丁;审计的开启
8.查看日志
实验三 漏洞扫描与病毒防治
一、实验目的及要求
1.了解目前系统存在的典型漏洞; 2.学会使用网络扫描和漏洞扫描工具。3.学会使用常见杀毒软件
二、实验学时
4学时
三、实验任务
利用漏洞扫描工具扫描网络漏洞
利用瑞星或者卡巴斯基对整个系统进行杀毒
四、实验重点、难点
熟练使用X-Scan工具
五、操作要点
(一)漏洞扫描 1.运行X-Scan 2.设置参数 3.设置插件 4.设置检测范围 5.开始扫描 6.报告扫描结果
(二)病毒防治
1.运行瑞星杀毒软件 2.设置参数 3.开始查杀病毒 4.报告杀毒结果
六、注意事项
X-Scan还具有物理地址查询、ARP查询、whosi等功能。
实验四 防火墙配置
一、实验目的及要求
1.强化网络安全意识。
2.掌握防火墙IP规则设置原理和方法;
3.掌握防火墙应用程序规则设置原理和方法。
二、实验学时
4学时
三、实验任务
配置防火墙规则
四、实验重点、难点
天网个人防火墙skynet251。Exe
五、操作要点
(一)安装天网防火墙
1.安装并运行天网防火墙个人版软件 skynet251.Exe
(二)防火墙配置 2.系统设置 3.IP规则设置
4.应用程序规则设置
六、注意事项
实验之前,各台计算机之间用交换机连接,构成一个内部局域网。做实验时建议同学们看一下天网防火墙的帮助说明,对天网防火墙所提供的功能都试做一下。
操作系统版本不同,你可根据你的计算机版本等适当改变实验步骤。
实验项目五:网络入侵攻击与防范
一、实验目的及要求:
了解Sniffer pro、scan软件的安装与使用。掌握通过对嗅探软件嗅探到数据包的分析来进行网络状况的判断。了解常用网络入侵软件的功能与使用,尝试通过使用这些软件来进行网络的攻击方法。,通过模拟环境掌握一般网络入侵的方法和过程。
二、实验内容
1.熟悉网络监听工具Sniffer Pro操作界面; 2.了解Sniffer Pro捕获与监听网络数据方法;
(1)Sniffer pro的安装与使用
(2)利用网络监听工具捕获和监听数据报
三、学时分配: 4学时
四、实验重点、难点
网络监听工具Sniffer Pro的操作界面和熟练使用
五、操作要点
(一)网络监听
安装Sniffer Pro4.70 熟悉文件菜单 熟悉监控菜单 熟悉截获菜单 熟悉工具菜单 熟悉数据库菜单 熟悉显示菜单
(2)利用网络监听工具捕获和监听数据报
实验之前,各台计算机之间用交换机连接,构成一个内部局域网。
第三篇:网络安全心得
网络安全与密码编码学学习心得体会
本学期我选修了网络信息安全这门课,自从上了第一堂课,我的观念得到了彻底的改观。老师不是生搬硬套,或者是只会读ppt的reader,而是一位真正在传授自己知识的学者,并且老师语言生动幽默,给了人很大的激励去继续听下去。在课堂上,我也学到了很多关于密码学方面的知识。
各种学科领域中,唯有密码学这一学科领域与众不同,它是由两个相互对立、相互依存,而又相辅相成、相互促进的分支学科组成。这两个分支学科,一个叫密码编码学,另一个叫密码分析学。
“密码”这个词对大多数人来说,都有一种高深莫测的神秘色彩。究其原因,是其理论和技术由与军事、政治、外交有关的国家安全(保密)机关所严格掌握和控制、不准外泄的缘故。
密码学(Cryptology)一词源自希腊语“krypto's”及“logos”两词,意思为“隐藏”及“消息”。它是研究信息系统安全保密的科学。其目的为两人在不安全的信道上进行通信而不被破译者理解他们通信的内容。
从几千年前到1949年,密码学还没有成为一门真正的科学,而是一门艺术。密码学专家常常是凭自己的直觉和信念来进行密码设计,而对密码的分析也多基于密码分析者(即破译者)的直觉和经验来进行的。1949年,美国数学家、信息论的创始人 Shannon, Claude Elwood 发表了《保密系统的信息理论》一文,它标志着密码学阶段的开始。同时以这篇文章为标志的信息论为对称密钥密码系统建立了理论基础,从此密码学成为一门科学。由于保密的需要,这时人们基本上看不到关于密码学的文献和资料,平常人们是接触不到密码的。1967年Kahn出版了一本叫做《破译者》的小说,使人们知道了密码学。20 世纪70年代初期,IBM发表了有关密码学的几篇技术报告,从而使更多的人了解了密码学的存在。但科学理论的产生并没有使密码学失去艺术的一面,如今,密码学仍是一门具有艺术性的科学。1976年,Diffie和 Hellman 发表了《密码学的新方向》一文,他们首次证明了在发送端和接收端不需要传输密钥的保密通信的可能性,从而开创了公钥密码学的新纪元。该文章也成了区分古典密码和现代密码的标志。1977年,美国的数据加密标准(DES)公布。这两件事情导致了对密码学的空前研究。从这时候起,开始对密码在民用方面进行研究,密码才开始充分发挥它的商用价值和社会价值,人们才开始能够接触到密码学。这种转变也促使了密码学的空前发展。
最早的加密技术,当属凯撒加密法了。秘密金轮,就是加解密的硬件设备可以公用,可以大量生产,以降低硬件加解密设备的生产与购置成本。破译和加密技术从来就是共存的,彼此牵制,彼此推进。错综复杂的加解密演算法都是为了能够超越人力执行能力而不断演变的。Kerckhoffs原则、Shannon的完美安全性、DES算法、Rijndael算法„„<
以上便是我在学习这门课中了解到的关于密码学的一些常识问题,接着介绍我感兴趣的部分。
在这门课中,我最感兴趣的莫过于公钥密码学了。其实公钥密码学的核心基础就是数学领域里某些问题的正反非对称性,如整数分解问题(RSA)、离散对数问题(DL)和椭圆曲线问题(ECC),而这些问题无一例外地与数论有着千丝万缕的联系。伟大的数学家高斯曾经说过“数学是科学的皇后,数论是数学中的皇冠”,然而很遗憾的是,在我国的教育体系中无论是初等教育还是高等教育对于数论的介绍几乎是一片空白,唯一有所涉及的是初高中的数学竞赛,但这种覆盖面肯定是极其有限的。本章并未对数论作完整的介绍,而只是将与
书中内容相关的知识加以阐述,分别包括欧几里得定理和扩展的欧几里得定理、欧拉函数以及费马小定理和欧拉定理,其中欧几里得定理部分有比较详细的推导和演算,后两者则仅给出结论和使用方法。不过考虑到这几部分内容独立性较强,只要我们对质数、合数及分解质因数等基础知识有比较扎实的理解那么阅读起来应该还是难度不大的。而对于欧拉函数以及费马小定理和欧拉定理,其证明方法并不是很难,我们也可在网上找到相关过程;不过其应用却是相当重要,尤其是费马小定理,是Miller-Rabbin质数测试的基础。我觉得喜欢数学的同学一定会喜欢上这门课,这门课所涉及的数学知识颇为丰富,包括数论、高等代数、解析几何、群论等诸多领域。
此外,课堂上老师所讲的各种算法(如Diffie和Hellman的经典算法)影响直至今日,促成了各种新兴算法的形成,且多次地被引用。经典犹在,密码学新的开拓仍旧在继续,仍旧令人期待。
第四篇:实验小学网络安全管理制度
辉南县实验小学
校园网络及信息安全管理制度
学校校园网是为教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理条例。
第一章 总则
1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、学校办公及教师教学用计算机等所构成的,为校园网络应用而服务的硬件、软件的集成系统。
2、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。
3、校园网络及信息安全管理领导小组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。
4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。
5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。
6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。
第二章 网络安全管理细则
1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,管理人员应每天检查上述设备是否正常,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。
2、校园网由学校电教室统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由电教室分配的IP地址,网络管理员对入网计算机和使用者进行及时、准确登记备案,由电教室负责对其进行监督和检查。任何人不得更改IP及网络设置,不得盗用IP地址及用户帐号。
3、与校园网相连的计算机用户建设应当符合国家的有关标准和规定,校园内从事施工、建设,不得危害计算机网络系统的安全。
4、网络管理员负责全校网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后,电教室必须及时备案并向公安机关报告。
5、网络教室及相关设施未经校领导批准不准对社会开放。
6、校园网中对外发布信息的Web服务器中的内容必须经领导审核,由负责人签署意见后再由信息员发布。新闻公布、公文发布权限要经过校领导的批准。
7、校园网各类服务器中开设的帐户和口令为个人用户所拥有,电教部门对用户口令保密,不得向任何单位和个人提供这些信息。校园网及子网的系统软件、应用软件及信息数据要实施保密措施。
8、电教部门统一在每台计算机上安装防病毒软件,各部门、教研组、办公室要切实做好防病毒措施,随时注意杀毒软件是否开启,及时在线升级杀毒软件,及时向电教部门报告陌生、可疑邮件和计算机非正常运行等情况。
9、未经电教部门的同意,不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。
10、切实保护校园网的设备和线路,未经允许不准擅自改动计算机的连接线,不准打开计算机主机的机箱,不准擅自移动计算机、线路设备及附属设备,不准擅自把计算机设备外借。
11、各处室部门和教研组必须加强对计算机的上网行为和相关软件应用的指导管理,指定专人负责管理,发现问题应及时报告电教室处理。
12、对校园网络实行管理员24小时巡查制度,双休日、节假日,要有专人检查网络及信息安全运行情况。
第三章 网络用户安全守则
1、使用校园网的全体师生必须对所提供的信息负责。严禁制造和输入计算机病毒,以及其他有害数据,危害计算机信息系统的安全,不得利用计算机联网从事危害家安全、泄露秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安,不得在校园网及其连网计算机上录阅传送有反政府政治问题和淫秽色情内容有伤风化的信息。
2、除校园网负责人员外,其他单位或个人不得以任何方式试图登陆进入校园网服务器或计算机等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。
3、用户要严格遵守校园网络管理规定和网络用户行为规范,增强自我保护意识。
4、在校园网上的计算机网络用户禁止删除或卸载电教部门统一安装的杀毒软件和其它应用软件以及计算机的相关设置,不使用盗版软件,不允许玩电子游戏,不允许无关人员使用,也不允许进行与工作无关的操作。
5、使用校园网的全体师生发现违法行为和有害的、不健康的信息及时向校园网络及信息安全管理领导小组报告。
6、需在校内交流和存档的数据,按规定地址存放,不得存放在硬盘的C盘区,私人文件不得保存在工作电脑中,由此造成的文件丢失损坏等后果自负。
7、严禁在校园网内使用来历不明、引发病毒传染的软件或文件;对于外来光盘、优盘、软盘上的文件应使用合格的杀毒软件进行查杀毒。
8、专用的财务工作电脑和重要管理数据的电脑最好不要接入网络工作。
第四章 处罚办法
违反本制度规定,有下列行为之一者,学校可提出警告、停止其上网,情节严重者给予行政处分,或提交司法部门处理。
1、查阅、复制或传播下列信息者:(1)煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;
(2)煽动抗拒、破坏宪法和国家法律、行政法规的实施;(3)捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;(4)公然侮辱他人或者捏造事实诽谤他人;
(5)宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
2、破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。
3、盗用他人帐号或私自转借、转让用户帐号造成危害者。
4、故意制作、传播计算机病毒等破坏性程序者。
5、上网信息审查不严,造成严重后果者。
6、使用任何工具破坏网络正常运行或窃取他人信息者。
7、有盗用IP地址、盗用帐号和口令、破解用户口令等危及网络安全运行与管理的恶劣行径者。
辉南县实验小学
第五篇:网络安全协议实验指导书
实验1网络安全协议
一、实验目的:了解ISO/OSI七层参考模型各层有哪些网络安全协议;掌握各层安全协议的具体应用环境。二、实验软件:Windows XP 操作系统 三、实验步骤:
上Ineternet,利用各种搜索引擎搜索相关资料,并完成提交电子实验报告。
实验2 IPSec实验
一、实验目的:
掌握windows下IPSec的传输模式的配置,理解主机到主机的IPSec VPN的工作原理
二、实验软件:
Windows XP 操作系统2台。分别为主机xp1和主机xp2
三、实验步骤:
1.xp1和xp2均能互相ping通(关闭防火墙)。、2.在xp1下点击开始--->运行,输入“gpedit.msc”,运行组策略。
3.依次展开左侧的“本地计算机”策略—->“计算机配置”—->“windows设置”—->“安全设置”—->“IP安全策略”,点击右键,选择“创建IP安全策略”。
4.在“IP安全策略向导”中选择下一步,对其命名“IPSEC 加密”,选择下一步,在“默认相应规则验证方式”中选择第三个“此字符串用来保护密钥交换”,输入自己设定的密码。选择下一步,选择完成。
5.在“IPSec加密属性”中添加IP安全规则
6.“隧道终结点”选择“此规则不指定隧道”,点击下一步。7.“网络类型”选择“所有网络连接”,点击下一步 8.“身份验证方法”同步骤4,点击下一步。
9.“IP筛选器列表”选择“所有IP通信量”,点击下一步。10.“筛选器操作”选择添加,点击下一步。
11,“筛选器操作名称”输入“必须加密”,点击下一步。12,“筛选器操作常规选项”选择“协商安全”,点击下一步。13.选择“不和不支持Ipsec的计算机通信”,点击下一步。
14.“IP通信安全设施”选择“加密并保持完整性”,点击下一步,完成。15.在“筛选器操作中”选择“必须加密”,点击下一步。
点击下一步,完成。点击确定,并关闭对话框。
右键点击刚添加的IP安全策略,选择“指派”,使规则生效。测试此时xp1不能与xp2互相ping通。提示为“Negotiating IP Security”。Xp1的加密完成。
在xp2上重复进行上述操作,添加一条与xp1中一模一样的规则。测试此时xp1能够与xp2互相ping通。注意:xp1和xp2中规则必须一模一样,否则无法ping通。此时xp1和xp2的所有数据均加密通信。用ping命令测试两者之间的连接。如下图:显示出两台机子正在进行SA协商。
从协商到通信,这个之间的认证比较复杂,暂时还没有深入研究
20.在开始->运行中输入命令ipsecmon,弹出IPSec的安全监视器界面,显示相关的安全属性。
实验3 SSL/TLS基本协议
一、实验目的:
通过实验深入理解 SSL 的工作原理,熟练掌握 Windows 2000 Server 环境下SSL 连接的配置和使用方法。
二、实验软件:
Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。
三、实验步骤:
为 Web 服务器申请证书
1)单击“开始”,选择“程序”→“管理工具”→“Internet 服务管理器”,如图 1。在弹出的如图 2 所示的窗口左侧菜单中右键单击“默认 Web 站点”,选择“属性”。
图 图 2
2)在如图 3 所示的窗口中选择“目录安全性”菜单,单击“安全通信”中的“服务器证书”
图 3
图 4 3)在出现的欢迎使用 Web 服务器证书向导中,单击“下一步”按钮,在图 4中,选中“创建一个新证书”,单击“下一步”按钮。
4)在弹出的如图 5 所示的窗口中输入证书的名称,单击“下一步”按钮。
图 5
5)根据图 6 窗口的提示输入如图 6 所示的组织信息,单击“下一步”按钮。
图 6
6)在图 7 中输入站点的公用名称,单击“下一步”按钮。
图 7 7)图8中接着输入站点的地理信息,单击“下一步”按钮。
图 8
8)接着输入证书请求文件的文件名和存放路径,单击“下一步”按钮。在这个证书请求文件中的存放着刚才输入的用户信息和系统生成的公钥,如图 9 所示。
图 9
9)在图 10 中出现的确认信息窗口,单击“下一步”,接着单击“完成”按钮,完成服务器证书申请。
图 10
提交 Web 服务器证书
1)在服务器所在的计算机上打开 IE 浏览器,在地址栏中输入 http://根 CA的 IP/certsrv,其中的 IP 指的是建立根 CA 的服务器 IP 地址。在出现的页面中选中“申请证书”,并单击“下一步”按钮。
2)在弹出的如图 11 所示的页面中选中“高级申请”,并单击“下一步”,按钮。高级申请可以由用户导入请求证书文件。
图 11 3)在弹出的页面中选中“Base64 编码方式”,并单击“下一步”按钮,如图12 所示。
图 12 4)单击“浏览”,找到证书请求文件,并把它插入在图 13 页面中的“证书申请”框内,单击“提交”按钮。这就将我们上面刚刚完成的这个证书请求文件(即含有个人信息和公钥的文件)提交。
图 13
5)将会弹出如图 14 所示的页面,表示提交成功。服务器证书的颁发和安装 实现步骤同实验 14.1。
客户端证书的申请,颁发和安装
在另一台计算机上重复实验 14.1 中的相关步骤,完成客户端证书的申请,颁发和安装。
未配置 SSL 的普通 Web 连接的安全性
1)在配置 SSL 设置前,在网络中另外一台计算机中打开网络监测工具Sniffer,监测 Web 服务器的网络流量。2)在客户端访问服务器的证书申请网页 http://根 CA 的 IP/certsrv,第 3方计算机的 Sniffer 工具监测到了,数据包(Sniffer 的使用参考其他实验)。
可以看出,在 SSL 配置之前,Web 访问信息是明文传输的,第 3 方可以利用相关的工具窃取信息,在截获的 POST 类型的数据包中可以获得连接的地址等相关信息。
在服务器上配置 SSL 1)单击“开始”按钮,选择“程序”→“管理工具”→“Internet 服务管理器”。在弹出的窗口左侧菜单中右键单击“默认 Web 站点”,选择“属性”。
2)在弹出的窗口中选择“目录安全性”菜单项,选择面板上的“安全通信”中“查看证书”项,查看第 2 步中的安装的证书,如图 14 所示。
图 143)单击“确定”按钮后返回到“目录安全性”面板,选择“安全通信”中的“编辑”项,在弹出的如图 15 所示的窗口中选择“申请安全通道(SSL)”,并在“客户证书”栏中选择“接受客户证书”,单击“确定”按钮。
注意:“忽略客户证书”表示服务器不要求验证客户端的身份,客户端不需要证书,但客户端可以验证服务器的身份:“接收客户证书”则表示双方均可以验证对方的身份。
图 15 4)返回到“目录安全性”面板,单击“应用”按钮及“确定”按钮,完成配置。
客户端通过 SSL 与服务器建立连接
1)在网络中第 3 方的计算机上打开网络监视工具 Sniffer,监测的服务器的数据包。
2)在客户端计算机上打开 IE 浏览器,若仍在地址栏里输入 http://根 CA的 IP/certsrv,则显示如图 16 所示的界面,要求采用 HTTPS(安全的 HTTP)协议连接服务器端。
图 16 3)输入 https://根 CA 的 IP/certsrv,页面中弹出如图 17 所示的提示窗口。
图 17
4)单击“确定”按钮,探出如图 18 所示的证书选择窗口。
图 18
在窗口中选择步骤 2)中申请的证书 Web Cert,单击“确定”按钮。5)之后将正确的弹出正常的证书申请页面,完成基于 SSL 的连接。
6)查看第 3 方计算机上 Sniffer 的监测结果,其中并未出现 POST 类型的有效信息包,截获的信息均为无效的乱码。这说明 SSL 很好的实现了 Web连接的安全性。
实验4 应用OPENSSH和PUTTY进行安全SSH连接
一、实验目的:
掌握windows下IPSec的传输模式的配置,理解主机到主机的IPSec VPN的工作原理
二、实验软件:
Windows XP 操作系统2台。分别为主机xp1和主机xp2
三、实验步骤:远程连接工具putty
随着linux在服务器端应用的普及,linux系统越来越依赖于远程管理,而Putty为常用的远程管理工具。用途:查看服务器端文件、查看进程、关闭进程等
配置:双击putty后,出现下图界面。按图提示步骤进行输入:(1)输入服务器的 IP 或主机名,(2)选择好登录协议,通常选SSH。(3)选择协议的端口,选择22。(4)如果希望把这次的输入保存起来,以后就不需要再重新输入了,就在第4步输入好会话保存的名称,比如:mail-server,或者干脆就是主机的地址,点击保存就可以了。最后点下面的 Open 按钮,输入正确的用户名和口令,就可以登录服务器了。
用法:
(1)保存了会话后,直接点击中下方的text框内的快捷方式即可进入登录界面。(2)进入界面后,按提示输入用户名和密码,比如之前我们进的是192.168.2.96。其对应的用户名和密码是:oracle,oracle123(3)成功登录之后即可对服务器端进行操作。可以查看文件,开启关闭服务等等。下面截图ls显示了当前服务器端的文件列表。红色框选部分是启动汽车板块服务的快捷键。输入start_auto.sh即可启动汽车板块的进程。
个案应用:
主题:关于SSH(或putty)里查看进程的问题 起因:192.168.2.96 前后台打不开
分析:payment服务打不开,首先pj | grep payment 查看payment进程存在与否,因为服务荡掉有两种情况,一种是对应的进程直接荡掉不存在,一种是进程仍在,但服务不能正常运行。第一种直接启动,第二种先kill-9 加对应进程号先将进程kill掉,再重新开启。个案应用:
查有时用putty界面会出现中文字符乱码问题,解决方案如下: 选择配置窗口左边的Translation,在右边的 Received data assumed to be in which character set 下拉列表中选择“UTF-8”
1.远程连接工具ssh
Ssh和putty用法类似,只是界面稍微有些差异。用法:
(1)如果第一次连接服务器,则点击“quick connect”
输入服务器地址,出现如图下所示界面,点击“yes”然后输入密码即可登录。
(2)如果需要创建快捷方式,在输入密码登录成功以后,可以点击“profiles”,然后选择“add profiles”。输入一个保存的名字即可,下次登录时点击profile然后选择保存的名字即
可登录。(3)登录进入后使用同putty。
实验5 Kerberos
一、实验目的:
在这个实验中,将创建一个Kerberos服务。在完成这一实验后,将能够:(1)在服务器端安装 “Kerberos服务”。(2)配置”Kerberos服务”。
(3)利用”Kerberos服务”进行认证,获取票据。
二、实验软件:
服务器运行Windows 2000 Server,并创建活动目录。
三、实验步骤:
步骤:在Windows 2000 Server上建立Kerberos认证服务器,客户端能从Kerberos认证服务器获取票据登录服务器。活动目录的安装:
Windows 2000活动目录和其安全性服务(Kerberos)紧密结合,共同完成任务和协同管理。活动目录存储了域安全策略的信息,如域用户口令的限制策略和系统访问权限等,实施了基于对象的安全模型和访问控制机制。活动目录中的每一个对象都有一个独有的安全性描述,定义了浏览或更新对象属性所需要的访问权限。因此,在使用Windows 2000提供的安全服务前,首先应该在服务器上安装活动目录。操作步骤:
(1)在Windows 2000"控制面板"里,打开"管理工具"窗口,然后双击"配置服务器",启动"Windows 2000配置您的服务器"对话框,如图A7—1所示。
(2)在左边的选项列表中,单击"Active Directory"超级链接,并拖动右边的滚动条到底部,单击"启动"超级链接,打开"Active Directory安装向导"对话框,出现"欢迎使用Active Directory安装向导",按向导提示,单击"下一步"按钮,出现"域控制器类型"对话框。
(3)单击"新域的域控制器"单选按钮,使服务器成为新域的第一个域控制器。单击"下一步"按钮,出现"创建目录树或子域"对话框。
(4)如果用户不想让新域成为现有域的子域,单击"创建一个新的域目录树"单选按钮。单击"下一步"按钮,出现"创建或加入目录林"对话框。
(5)如果用户所创建的域为单位的第一个域,或者希望所创建的新域独立于现有的目录林,单击"创建新的域或目录树"单选按钮。单击"下一步"按钮,出现"新的域名"对话框。
(6)在"新域的DNS全名"文本框中,输入新建域的DNS全名,例如:book.com。单击"下一步"按钮,出现”Net BIOS域名"对话框。
(7)在”域Net BIOS名”文本框中,输入Net BIOS域名,或者接受显示的名称,单击"下一步"按钮,出现"数据库和日志文件位置"对话框。
(8)在”数据库位置”文本框中,输入保存数据库的位置,或者单击”浏览”按钮选择路径;在”日志位置”文本框中,输入保存日志的位置或单击”浏览”按钮选择路径; 如图A7—2所示。单击"下一步"按钮,出现"共享的系统卷"对话框。
(9)在”文件夹位置”文本框中输入Sysvol文件夹的位置,在Windows 2000中Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。或单击”浏览”按钮选择路径,如图A7—3所示。单击"下一步"按钮,出现"权限"对话框。
(10)设置用户和组对象的默认权限,选择”与Windows 2000服务器之前的版本相兼容的权限”。单击"下一步"按钮,出现"目录服务器恢复模式的管理员密码"对话框。
(11)在”密码”文本框中输入目录服务恢复模式的管理员密码,在”确认密码”文本框中重复输入密码。单击"下一步"按钮,出现"摘要"对话框。
(12)可以看到前几步的设置,如果发现错误,可以单击"上一步"按钮重新设置。
(13)单击"下一步"按钮,系统开始配置活动目录,同时打开”正在配置Active Directory”对话框,显示配置过程,经过几分钟之后配置完成。出现”完成Active Directory安装向导”对话框,单击"完成"按钮,即完成活动目录的安装,重新启动计算机,活动目录即会生效。
安全策略的设置:
安全策略的目标是制定在环境中配置和管理安全的步骤。Windows 2000组策略有助于在Active Directory域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU(单位组织)结构结合使用,为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器,并且新的服务器将自动获取新的设置。操作步骤:(1)在” Active Directory用户和计算机”窗口,右击域名”book.com ”,如图A7-4所示。在弹出的菜单中选择”属性”命令,出现”book.com属性”对话框, 如图A7-5所示。
(2)选择”组策略”标签页(见图A7-6),系统提供了一系列工具。可以利用这些工具完成”组策略”的建立、添加、编辑、删除等操作。
(3)双击”Default Domain Policy”,出现” 组策略”对话框。在”组策略”窗口左侧”树”中,选择”Windows设置”并展开,在”安全设置”中打开”Kerberos策略”(见图A7-7),进行安全策略的设置;一般情况下,选择默认设置就能达到系统安全的要求。
Windows 2000 Professional 版客户端Professional 版客户端设置:
Windows 2000 Professional 版客户端设置配置成使用Kerberos域,在这个域里使用单独的登录标记和基于Windows 2000 Professional 的本地客户端账号。操作步骤:(1)安装 Kerberos配置实用程序,在Windows 2000 安装光盘的supportreskitnetmgmtsecurity文件夹 中找到setup.exe 注意:启动Windows 2000时,必须以管理员组的成员身份登录才能安装这些工具。Windows 2000光盘中,打开SupportTools文件夹,双击Setup.exe图标,然后按照屏幕上出现的说明进行操作。
通过以上步骤,用户在本机上安装了Windows 2000 SupportTools,它可以帮助管理网络并解决疑难问题。在用户系统盘的Program FileSupport Tools文件夹中可以看到许多实用工具,其中与Kerberos配置有关的程序为ksetup.exe和kpasswd.exe。用于配置Kerberos域,KDC和Kpasswd服务器,Ktpass.exe用于配置用户口令、账号名映射并对使用Windows 2000 Kerberos KDC的Kerberos服务产生Keytab,如图A7--8所示。
(2)设置Kerberos域。因为Kerberos域不是一个Windows 2000域,所以客户端必须配置成为工作组中的一个成员。当设置Kerberos时,客户机会自动成为工作组的一个成员。
/setdomain参数的值BOOK.COM是指与本地计算机在同一域中的域控制器的DNS。如用户的域控制器的DNS名为www.xiexiebang.computerpassword的参数用于指定本地计算机的密码,如图A7-11所示。(5)重新启动计算机使改变生效。这是一个必须的步骤,无论何时对外部KDC和域配置做了改变,都需要重新启动计算机。(6)使用Ksetup来配置单个注册到本地工作站的账户。/mapuser的第一个参数用于指定Kerberos的主体,第二个参数用于指定本机的用户账户(见图A7-12)。定义账户映射可以将一个 Kerberos域中的主体映射到一个本地账号身份上,将本地账号映射到Kerberos。
实验6 SHTTP
一、实验目的:
掌握windows下HTTPS应用的配置过程,理解主机到服务器的安全访问工作原理
二、实验软件:
Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。
三、实验步骤: 1.准备 web 网站
下面以管理员的身份登录到 web 服务器上创建名为:wanjiafu 的网站:然后停止:并设置默认网站为启动 在 C 盘下创建文件夹 web 用于存放网页文件 名为:index.htm 2.为 web 网站创建证书申请文件 右键网站 wanjiafu 打开属性页
点击服务器证书出现:欢迎使用 web 服务器证书向导:对话框:在服务器和客户端之间建立安全的 web 通道: 单击【下一步】按钮:出现服务器证书对话框:可以新建、分配、导入、复制及移动证书:在此选择:新建证书:
【下一步】
【下一步】键入证书的名称
【下一步】键入单位部门信息
【下一步】键入 公用名
【下一步】键入 国家 省份 市县 信息
【下一步】键入 存放 地点
【下一步】查看全部配置
【下一步】完成!
打开 C 盘 看见文件 certreq.txt 打开如下图:
3.为 web 网站申请证书
以域管理员的身份登录到 web 服务器上
打开 IE 浏览器:输入:http://192.168.0.111/certsrv 单击 【申请一个证书】
单击红线选择区域
下面添加的内容为 C 盘下的 certsrv 文件
点击 【提交】见下图表示已经成功发送了申请 Id 为 2
4.在 CA 服务器上颁发证书
以域管理员的身份登录到 CA 服务器:打开:【证书颁发机构】【控制台】
展开服务器:单击【挂起的申请】可以看到 web 服务器申请的证书现在处于挂起状态
右击 【所有任务】【颁发】
打开【颁发的证书】查看已经颁发了
5.下载证书
以域管理员的身份登录到 web 服务器:
在 IE 浏览器中键入:http://192.168.0.111/certsrv 打开【证书申请】欢迎界面
单击保存的证书
单击 【DER 编码】【下载证书】
下载后如下图
6.为 web 网站安装证书
打开后创建的 wanjiafu 网站
选择:处理挂起的请求并安装证书
下面是证书的路径:刚才我把保存在桌面了
SSL 端口为默认 443
下面为证书的内容
【下一步】完成 点击【查看证书】
7.为 web 站点设置安全通信 点击【编辑】
勾选 要求安全通道(SSL)和 忽略客户端证书
下面在登录客户端验证之前:需要将默认网站停止:把 wanjiafu 启动
下面以域管理员的身份登录到 web 客户端上:
在 IE 浏览器中输入:http://192.168.0.111 访问 web 网站 发现这里已经不能用 HTTP 协议访问网站了
下面我们在 IE 浏览器中输入:https://192.168.0.111 来访问 web 网站 出现安全警报信息:这表示 web 客户端没有安装证书
打开如下图:
成功访问!到这里你们终于知道我的名字了!
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 任务二:web 网站证书导出、导入和删除
为保存 web 网站证书可以将其导出:当误删除证书以后也可以将其导入:具体步骤如下: 1.导出 web 网站证书
打开 wanjiafu 属性 —— 服务器证书 —— 服务器证书向导 ——
【下一步】默认保存路径
【下一步】键入【证书密码】此密码将在【导入证书】时使用
【下一步】保存打开 C 盘查看文件
2.删除 web 网站证书
步骤同上:打开 IIS 证书向导:选择 【删除当前证书】
此时 【查看证书(V)】按钮已经变灰
3.导入 web 网站证书
步骤同上:打开 IIS 证书向导:选择 【 从.pfx 文件导入证书 】
【下一步】选择 路径(默认系统自动搜索)输入【密码】
网站端口
保存退出:此时查看如下图所见:
导入成功!
实验7-8 应用UDP或TCP控件编写简单的网络协议
一、实验目的:
通过编程熟悉协议的设计制作流程,理解协议发送接收报文的具体流程。
二、实验要求:
使用JAVA/C++/C#语言编写一个能简单通信的网络协议
点击咨询 