实训2系统安全和网络安全配置[合集五篇]

第一篇：实训2系统安全和网络安全配置

实训2网络安全配置

一、实训目的1.掌握在WindowsServer2003/2008操作系统下保障本地安全性的方法，如做好本地安全策略配置，掌握账户策略、审核策略、用户权限分配、安全选项、软件限制策略等。能够配置本地组策略管理用户和计算机。

2.配置高级安全性的Windows防火墙。

3.掌握IPSec实现网络安全。

二、实训环境

1.运行Windows 2003/2008 Server操作系统的PC机一台。

2.每台PC机与局域网相连。

三、实训任务

任务1：Windows Server 2008本地安全策略配置和本地组策略配置；

任务2：配置高级安全性windows防火墙；

任务3：应用IPSec实现网络安全。

四、实训步骤

（一）任务1 配置本地安全策略

1、设置用户帐户密码

启用密码复杂性要求，设置密码长度最小值为2，密码最短使用期限设置为1天，最长使用期限设置为20天。

使用命令创建一个新用户，用户名为自己的名字的拼音字母，并设置密码，截图保存。

2、帐户锁定

1）设置用户登录时候，输入密码错误三次，该用户就被锁定，锁定后，只有管理员用户登录后才能对被锁定的用户解锁。

2）将一个用户的测试结果截图保存。

3、审核登录事件和审核对象事件

设置审核登录事件为失败，切换用户，用某个用户输入错误密码一次，然后用管理员用户登录系统，查看安全日志，查找登录事件日志中用户登录失败的信息，并截图保存。

设置审核对象事件为失败，在系统中设置某个用户对文件夹test拒绝读取和执行、读取、列出文件夹权限。使用该用户登录系统来访问test文件夹，观察情况并截图保存。

4、用户权限设置

设置hong用户不允许登录本地系统，切换用户，观察登录界面上是否出现了hong用户。设置wang用户可以关闭系统。

将以上操作截图保存。

5、安全选项

1）将管理员用户administrator用户名改为admin，观察登录界面显示的用户名情况。

2）将登录界面上的所有显示的用户都隐藏不显示。

将1）2）操作截图保存。

6、使用软件限制策略

限制计算机中的Windows应用程序画图的执行，限制用户对e:test2文件夹中程序的执行。将执行结果截图保存。

7、导出安全策略，保存在E:test文件夹中。

8、关闭自动播放

在本地组策略中关闭自动播放，截图保存。

9、禁止用户运行特定程序

在本地组策略中禁止用户运行windows应用程序计算器。截图保存。

10、跟踪用户登录情况

在用户登录时候显示上次用户登录的信息。截图保存。

（二）任务2 配置高级安全windows防火墙

1、创建自定义端口的入站规则

将远程桌面的默认端口更改为TCP的4000端口，需要自定义入站规则，支持远程桌面客户端使用TCP的4000端口连接该服务器。

创建4000端口的自定义入站规则，请截图实现。

单击“开始”—“设置”---“控制面板”---“系统”—“远程设置”---“远程”---“允许运行任意版本远程桌面的计算机连接（较不安全）”---确定。

客户端计算机运行“mstsc”,进入远程桌面连接，输入Windows server 2008服务器的IP：4000，远程访问服务器。截图保存。

2、创建自定义基于端口的出站规则

创建出站规则，使windows server 2008服务器不能够访问FTP站点上资源。

测试，访问FTP站点上的资源，观察情况。截图保存。

3、创建基于应用程序的出站规则

禁用QQ网络登录。

（三）使用IPSec实现网络安全

使用IPSec设置windows server 2008服务器网络安全，要求如下：

（1）要求只允许源地址是192.168.50.0/24的计算机能够访问windows server 2008服务器的共享资源，设置IPSec允许192.168.50.0/24网段的计算机使用TCP协议目标端口445和135的数据包进入服务器；

（2）允许王老师计算机（ip地址为：192.168.50.253）通过TCP的3389端口，远程连接到服务器实现远程管理。

（3）其它的网络流量都拒绝出入windows server 2008服务器。

请完成IPSec的配置，描述配置过程。

测试：

客户端，设置IP地址不在该网段（192.168.50.0/24）的客户端计算机，访问服务器共享资源观察运行情况，设置IP地址在该网段（192.168.50.0/24）的客户端计算机，访问服务器共享资源观察运行情况。

客户端模拟王老师计算机，设置IP为192.168.50.223，远程连接服务器，观察运行情况。将测试结果截图保存。

第二篇：网络安全实训心得体会

随着互联网的飞速发展，网络已经深入到我们生活的各个方面。但是在使用网络的过程中也要注意网络安全。下面小编大家带来网络安全实训心得体会，欢迎阅读！

网络安全实训心得体会

（一）在21世纪，网络已经成为人们日常生活的一部分，很多人甚至已经离不开网络。有了网络，人们足不出户便可衣食无忧。前些天刚从电视上看到关于年底网购火爆，快递公司也在“春运”的新闻。以前人们找东西得找人帮忙，现在人们找东西找网帮忙。记得有一次钥匙不知道放到了什么地方，就百度了一下“钥匙丢在那里了”，结果按照网友们提示的方案还真给找到了。

网络爆炸性地发展，网络环境也日益复杂和开放，同时各种各样的安全漏洞也暴露出来，恶意威胁和攻击日益增多，安全事件与日俱增，也让接触互联网络的每一个人都不同程度地受到了威胁。在此，我就实训中碰到看到的各种网络安全问题谈谈自己的体会：

1.有网络安全的意识很重要

谈到网络安全，让我们无奈的是很多人认为这是计算机网络专业人员的事情。其实，每个人都应该有网络安全的意识，这点对于涉密单位人员来说尤其重要。前段时间看了电视剧《密战》，其中揭露的泄密方式多数都是相关人员安全意识薄弱造成：单位要求机密的工作必须在办公室完成，就是有人私自带回家加班造成泄密;重要部门要求外人不得入内，偏有人把闲杂人员带入造成泄密;专网电脑不允许接互联网，有人

接外网打游戏造成泄密;甚至涉密人员交友不慎，与间谍谈恋爱造成泄密。虽然这只是电视剧，但对机密单位也是一种警示。看这部电视剧的时候我就在想，这应该作为安全部门的安全教育片。

不单单是涉密单位，对于个人来说，网络安全意识也特别重要。网上层出不穷的摄像头泄密事件、这“门”那“门”的都是由于个人安全意识淡薄所致。正如老师所说的“看到的不一定是真的!”。

我自己的电脑上有一些自己平时做的软件、系统，虽说没什么重要的，但那也是自己辛苦整出来的呀，所以使用电脑一直很小心，生怕有什么木马、病毒之类的，“360流量监控”的小条一直在我的“桌面”右下角，只要有上传流量肯定得去看看是什么进程在上传。

平时为别人维护系统经常会碰到杀毒软件很久不升级的情况，主人还振振有词的说自己装了杀毒软件的。在他们看来杀毒软件有了就成，剩下的就不用管了，我很多时候这样对他们说：“你养条狗还得天天喂它吃呢!”

2.设备安全—很多技术是我们想不到的网络设备是网络运行的硬件基础，设备安全是网络完全必不可少的一个环节。

以前听说过电泄密，一直没见过，最近单位有同事拿来了两个“电力猫”(电力线以太网信号传输适配器)，一个接网线插到电源上，另一个在30米内接电源通过接口接网线链接到电脑便可上网。这让我想到，只要有人将涉密的网络线路接到电源线路便可轻易泄密，当然这块国家安全部门肯定有相关的防范措施。

在搜索引擎里搜索诸如：intitle:“Live View/-AXIS 206W”等，可以搜到网络摄像头，在电视剧《密战》中，某涉密部门的监控系统被接入了互联网，间谍就利用监控系统窃取工作人员的屏幕信息和按键信息。在某政府机要室的复印机上安装基于移动网络的发射器，便可再用另外一台接收机上受到所有扫描的机要文件。

1985年，在法国召开的一次国际计算机安全会议上，年轻的荷兰人范〃艾克当着各国代表的面，公开了他窃取微机信息的技术。他用价值仅几百美元的器件对普通电视机进行改造，然后安装在汽车里，这样就从楼下的街道上，接收到了放臵在8层楼上的计算机电磁波的信息，并显示出计算机屏幕上显示的图像。

他的演示给与会的各国代表以巨大的震动。本人最早知道电磁泄密是在2004年为部队某部门开发软件的时候听说的，在部队很多地方时安装了的就是为了防止电磁泄密。

硬盘数据不是删掉就不存在了，用诸如EasyRecovery等恢复软件都可以恢复。看来，只有将涉密硬盘用炼钢炉化掉才能保证完全安全。

3.小心木马

最早知道木马，是自己大学期间。当时在网上看到了一款叫“大眼睛”的屏幕发送软件，很好奇就试着用了。大学的机房里的计算机只装常用软件，其他诸如QQ等软件都是在服务器上存放，用的时候自己安装，学生机有保护卡重启就被恢复了，又得装。

于是就将“大眼睛”的客户端放在服务器上取个很吸引人的名字。结果很多同学的屏幕都被我们监控。有同学嘲笑说“不就是个木马嘛!”经过查询才知道有种叫“木马”的程序也是用同样的方法进行隐私窃取。后来自己还做过假的QQ程序盗取别人的QQ，但盗来都给了别人，谁知道现在7、8位QQ号码能这么畅销。

以前电脑都防CIH、蠕虫等病毒，当现在更多的是防木马病毒，主要是由于个人电脑上可以窃取诸如支付宝、QQ账号、网上银行等密码。当你打开不安全的网页、别人发给你的恶意邮件时，当你安装不安全的软件时，当你使用U盘时都可能感染木马病毒。

前一段时间的“360和QQ之争”，在我们的电脑里有很多不安全的的软件，都可能泄露我们的隐私。

4.网页安全

在单位，我负责几个部门的网站维护，主要是网页制作。在一开始编程的时候，根本没想到能被攻击。后来自己做的网站经常被攻击，这才知道诸如SQL注入、Ewebeditor漏洞等攻击手段，所以在编程时会注意到这些方面的安全。比如我的后台数据库一般都是“x.asp#xxxxxx.mdb”。防止数据库被下载。

记得又一次为某部门自己编写了一个留言板程序，结果发布没1天就有3000多条恶意留言，还是英文的，挺让人头疼。最后设臵了验证码、用户验证都不起作用，直到用了检测留言来源网页代码才堵住。原来人家是用工具攻击的。

5.养成良好的上网习惯

网络安全涉及到使用网络的每一个人。对个人来说，要保证自己安全上网，每个人都得养成良好的上网习惯。我想应该包含以下几点：

1)电脑要安装防火墙和杀毒软件，要及时升级，如果电脑上网则设臵为自动升级。并且养成经常性安全扫描电脑;

2)及时更新windows补丁;

3)在确保系统安全的情况下，做好GHOST备份，防止碰到顽固病毒时能及时恢复系统;

4)网友用QQ等发给的网站和程序，不要轻易去点击和执行;

5)不浏览不安全的网页;

6)共享文件要及时关闭共享，在单位经常会在工作组计算机中看到别人共享的东西;

7)不熟悉的邮件不浏览;

8)U盘杀毒后再去打开;

9)最好不在别人的计算机上登录自己的银行账号、支付宝、QQ等;对于我们每个人来说，提高网络安全意识，学习网络安全知识，是网络时代对我们基本的要求。

网络安全实训心得体会

（二）本学期我选修了网络信息安全这门课，自从上了第一堂课，我的观念得到了彻底的改观。老师不是生搬硬套，或者是只会读ppt的reader，而是一位真正在传授自己知识的学者，并且老师语言生动幽默，给了人很大的激励去继续听下去。在课堂上，我也学到了很多关于密码学方面的知识。

各种学科领域中，唯有密码学这一学科领域与众不同，它是由两个相互对立、相互依存，而又相辅相成、相互促进的分支学科组成。这两个分支学科，一个叫密码编码学，另一个叫密码分析学。

“密码”这个词对大多数人来说，都有一种高深莫测的神秘色彩。究其原因，是其理论和技术由与军事、政治、外交有关的国家安全(保密)机关所严格掌握和控制、不准外泄的缘故。

密码学(Cryptology)一词源自希腊语“krypto's”及“logos”两词，意思为“隐藏”及“消息”。它是研究信息系统安全保密的科学。其目的为两人在不安全的信道上进行通信而不被破译者理解他们通信的内容。

从几千年前到1949年，密码学还没有成为一门真正的科学，而是一门艺术。密码学专家常常是凭自己的直觉和信念来进行密码设计，而对密码的分析也多基于密码分析者(即破译者)的直觉和经验来进行的。1949年，美国数学家、信息论的创始人 Shannon, Claude Elwood 发表了《保密系统的信息理论》一文，它标志着密码学阶段的开始。同时以这篇文章为标志的信息论为对称密钥密码系统建立了理论基础，从此密码学成为一门科学。

由于保密的需要，这时人们基本上看不到关于密码学的文献和资料，平常人们是接触不到密码的。1967年Kahn出版了一本叫做《破译者》的小说，使人们知道了密码学。20 世纪70年代初期，IBM发表了有关密码学的几篇技术报告，从而使更多的人了解了密码学的存在。

但科学理论的产生并没有使密码学失去艺术的一面，如今，密码学仍是一门具有艺术性的科学。1976年，Diffie和 Hellman 发表了《密码学的新方向》一文，他们首次证明了在发送端和接收端不需要传输密钥的保密通信的可能性，从而开创了公钥密码学的新纪元。该文章也成了区分古典密码和现代密码的标志。

1977年，美国的数据加密标准(DES)公布。这两件事情导致了对密码学的空前研究。从这时候起，开始对密码在民用方面进行研究，密码才开始充分发挥它的商用价值和社会价值，人们才开始能够接触到密码学。这种转变也促使了密码学的空前发展。

最早的加密技术，当属凯撒加密法了。秘密金轮，就是加解密的硬件设备可以公用，可以大量生产，以降低硬件加解密设备的生产与购置成本。破译和加密技术从来就是共存的，彼此牵制，彼此推进。错综复杂的加解密演算法都是为了能够超越人力执行能力而不断演变的。Kerckhoffs原则、Shannon的完美安全性、DES算法、Rijndael算法一文，正如密码学的里程碑，伫立在密码学者不断探索的道路上，作为一种跨越，作为一种象征。

以上便是我在学习这门课中了解到的关于密码学的一些常识问题，接着介绍我感兴趣的部分。

在这门课中，我最感兴趣的莫过于公钥密码学了。其实公钥密码学的核心基础就是数学领域里某些问题的正反非对称性，如整数分解问题(RSA)、离散对数问题(DL)和椭圆曲线问题(ECC)，而这些问题无一例外地与数论有着千丝万缕的联系。伟大的数学家高斯曾经说过“数学是科学的皇后，数论是数学中的皇冠”，然而很遗憾的是，在我国的教育体系中无论是初等教育还是高等教育对于数论的介绍几乎是一片空白，唯一有所涉及的是初高中的数学竞赛，但这种覆盖面肯定是极其有限的。

本章并未对数论作完整的介绍，而只是将与书中内容相关的知识加以阐述，分别包括欧几里得定理和扩展的欧几里得定理、欧拉函数以及费马小定理和欧拉定理，其中欧几里得定理部分有比较详细的推导和演算，后两者则仅给出结论和使用方法。不过考虑到这几部分内容独立性较强，只要我们对质数、合数及分解质因数等基础知识有比较扎实的理解那么阅读起来应该还是难度不大的。

而对于欧拉函数以及费马小定理和欧拉定理，其证明方法并不是很难，我们也可在网上找到相关过程;不过其应用却是相当重要，尤其是费马小定理，是Miller-Rabbin质数测试的基础。我觉得喜欢数学的同学一定会喜欢上这门课，这门课所涉及的数学知识颇为丰富，包括数论、高等代数、解析几何、群论等诸多领域。

此外，课堂上老师所讲的各种算法(如Diffie和Hellman的经典算法)影响直至今日，促成了各种新兴算法的形成，且多次地被引用。经典犹在，密码学新的开拓仍旧在继续，仍旧令人期待。

第三篇：网络安全实训报告

网络安全

实训报告

姓名：蔡明轩学号：0902010107专业： 计算机网络技术班级：09级网络技术班指导教师：朱家全

具体步骤：

开始---设置---控制面板---添加/删除程序---添加/删除windows组件----选择“证书服务”----下一步----选择“独立根CA”---下一步----输入添加CA的名称、单位、部门、城市、电子邮件、描述、有效期限等，单击下一步----选择数据存储的位置---下一步---完成。

1-2.通过Web页面申请证书

具体步骤：

在局域网中另一台计算机中打开IE，然后输入根CA的IP地址/certsrv,然后在microsoft证书服务页面中选择“申请证书“---下一步---在“选择申请类型”页面中选择“用户证书申请”的“Web浏览器证书”---下一步-----在“web浏览器证书---标识信息”页面中输入所有的标识信息---在“潜在的脚本冲突”对话框中选择“是”----提交。

1-3.证书发布

具体步骤：

开始---设置----控制面版---管理工具----证书颁发机构---在左侧的菜单中选择“待定申请”----右击上面申请的证书----选择“颁发”，此时证书将被转入到“颁发的证书”中。

1-4.证书的下载安装

具体步骤：

在IE中输入根CA的IP地址/certsrv，进入证书申请页面，选择“检索CA证书或证书吊销列表”-----选择“下载CA证书”----选择保存证书的路径----下载完毕。

找到证书并双击----单击“安装证书”----采用默认设置完成证书的导入----确定。

2、为Web服务器申请证书、颁发证书、安装证书的具体过程

2-1．为Web服务器申请证书

（1）单击“开始”按钮，选择“程序”>>“管理工具”>>“Internet服务管理器”。在弹出的窗口，然后在窗口左侧菜单中右键单击“默认Web站点”，选择“属性”。

（2）在窗口中选择“目录安全性”菜单，点击“安全通信”中的“服务器证书”。

（3）在出现的欢迎使用web服务器证书向导中，点击“下一步”，在图中，选中“创建一个新证书”，点击“下一步”。

（4）在弹出的窗口中输入证书的名称，点击“下一步”。

（5）根据窗口提示输入如图所示的组织信息，点击“下一步”。

（6）在一对话框中输入站点的公用名称，点击“下一步”。

（7）在图中接着输入站点的地理信息，点击“下一步”。

（8）接着输入证书请求文件的文件名和存放路径，点击“下一步”。在这个证书请求文件中存放着刚才输入的用户信息和系统生成的公钥。

（9）点击上步将出现确认信息窗口，点击“下一步”，接着点击“完成”，完成服务器证书申请。

2-2．提交Web服务器证书

（1）在服务器所在的计算机上打开IE浏览器，在地址栏中输入 http://根CA的IP/certsrv，在出现的页面中选中“申请证书”，并点击“下一步”。

（2）在弹出的页面中选中“高级申请”，并点击“下一步”。高级申请可以由用户导入请求证书文件。

（3）在弹出的页面中选中“Base64编码方式”，并点击“下一步”。

（4）点击“浏览”，找到证书请求文件，并把它插入在（1）中“证书申请”框内，点击“提交”。这就将我们上面刚刚完成的证书请求文件（即含有个人信息和公钥的文件）提交。

（5）将会弹出一个页面，表示提交成功。

2-3．服务器证书的颁发和安装

（1）在根CA所在的计算机上，单击“开始”，选择“程序”->“管理工具”->“证书颁发机构”。在弹出的窗口左侧的菜单目录中选择“待定申请”，上一步中申请的证书web cert出现在窗口右侧。在证书上单击右键，选择“所有任务”->“颁发”，进行证书颁发；

（2）证书颁发后将从“待定申请”文件夹转入到“颁发的证书”文件夹中，表示证书颁发完成；

（3）在申请证书的计算机上，打开IE浏览器，在地址栏中输入 http://根CA的IP/certsrv，进入证书申请页面。选择“检查挂起的证书”，查看CA是否颁发了证书，单击“下一步”；

（4）在弹出的页面中选择已经提交的证书申请，单击“下一步”；

（5）如果颁发机构已将证书颁发，则将弹出一个页面；

（6）点击“下载CA证书”，选择下载的路径，将证书保存到本地计算机，并可查看证书内容；

（7）安装服务器证书，点击“安装证书”，进入“证书导入向导”，点击“下一步”

（8）在所示的“证书存储”选项中，按默认的，选择“根据证书类型，自动选择存储区”，点击“下一步”；

（9）弹出，表示已经成功导入证书，点击“完成”。

（10）单击“开始”按钮，选择“程序”>>“管理工具”>>“Internet服务管理器”；在弹出的窗口左侧菜单中右键单击“默认Web站点”，选择“属性”；

在弹出窗口中选择“目录安全性”菜单，点击“安全通信”中的“服务器证书”； 出现界面，“Web服务器证书向导”，点击“下一步”；

在出现的 “证书向导”中，选择“分配一个已存在的证书”，点击下一步； 在出现的选择证书选项中，选中我们刚刚在导入的证书，点击“下一步”；出现确认信息，点击下一步；安装成功，点击“完成”；

再回到“站点属性”，可以看到“查看证书”、“编辑”按钮为黑色，点击“查看证书”，可以看到跟（6）中一样的证书信息；这样，web服务器端的证书证书就安装好了。

2-4．在服务器上配置SSL

（1）单击“开始”按钮，选择“程序”->“管理工具”->“Internet服务管理器”。在弹出的窗口左侧菜单中右键单击“默认Web站点”，选择“属性”；

（2）在弹出的窗口中选择“目录安全性”菜单项，选择面板上“安全通信”中“查看证书”项，查看第2步中安装的证书；

（3）按“确定”后返回到“目录安全性”面板，选择“安全通信”中“编辑”项，在弹出的窗口中选择“申请安全通道（SSL）”，并在“客户证书”栏中选择“接收客户证书”，单击确定。

（4）返回到“目录安全性”面板，单击“应用”及“确定”，完成配置。

2-5．客户端通过SSL与服务器建立连接

（1）在网络中第三方的计算机上打开网络监测工具sniffer，监测服务器的数据包；

（2）在客户端计算机上打开IE浏览器，若仍在地址栏中输入http://根CA的IP/certsrv，则显示的页面，要求采用https（安全的http）协议连接服务器端；

（3）输入https://根CA的IP/certsrv，页面中弹出提示窗口；

（4）单击“确定”，弹出证书选择窗口。

在窗口中选择步骤2中刚申请的证书，单击“确定”；

（5）之后将正确弹出正常的证书申请页面，完成基于SSL的连接。

（6）查看第三方计算Ⅱ机上sniffer的监测结果，其中并未出现POST类型的有效信息包，截获的信息均为无效的乱码。

这说明SSL很好的实现了Web连接的安全性。

（二）在IIS中配置安全的FTP服务

1、安装FTP服务

单击开始-控制面板-添加或删除程序，单击添加/删除windows组件，双击应用程序服务，双击Internat信息服务（IIS），勾选文件传输协议（FTP）服务

2、创建隔离用户FTP

（2-1）单击开始-管理工具-Internat信息服务（IIS）管理器，展开FTP站点，删除默认FTP站点并新建 帐户FTP 站点。

（2-2）右键单击FTP站点，选择新建-FTP站点，弹出欢迎界面，单击下一步继续

（2-3）设置IP和端口号。

（2-4）选择隔离用户。

（2-5）选择ftp主路径。

（2-6）设置FTP权限，成功建立ftp站点。

（2-7）建立1个系统账户yanxun，用于FTP访问用户。

（2-8）在主FTP目录下建立相应文件夹，并建立不同文件内容。注意，我们的主目录是C:Inetpubzhanghu ftproot,（2-9)更改站点属性 的安全帐户选项卡并去掉本选项卡的允许匿名连接的对号。

（2-10）创建不允许访问本FTP的IP。

（2-11）测试。

（三）防火墙的安装与设置

1、在无防火墙的情况下，使用Ping命令和通过共享资源使用服务器资源。

2、安装Skynet-FireWall防火墙软件。

3、制定相应规则

详细步骤：

a.打开“自定义IP规则”界面；

b.单击“添加规则”，出现“添加IP规则”对话框；

c.在“添加IP规则”对话框中输入名称、说明、对方IP、数据包协议等，单击确定；

d.要想要自己设置的规则发挥作用，可以在此规则前打勾，e.结果，这样的话就可以阻止别人的ping操作了。

4、比较（1）和（3）两种情况的结果，并查看防火墙日志。

四、遇到的问题及解决办法

遇到问题：

（一）防火墙在启用后所定的规则无效。解决方法：选择规则中没有启用的相应规则前，即次规则前显示为对勾。

（二）在CA证书的申请中找不到所需的证书。解决方法：到证书管理器中把相应的证书颁发。

（三）在实现

在IIS中配置安全的FTP服务时，在设置为帐户登录时在出现所需页面时却无法登录。把相应的帐户归组为Guest组

五、实训体会

在本次实践过程中使我了解到了CA证书的安装、申请及在WEB中的应用，基于SSL的安全WEB服务配置，CRL签发和用户管理和证书查询，能够更好的对证书进行安装及配置，熟练掌握它的过程。而在IIS中配置安全的FTP服务中，使我更好的了解了怎么样才能配置出更安全的FTP服务。对于防火墙的安装及配置使我更好的了解了防火墙的作用及功能。同时能够更好的对防火墙进行安装及重要的配置。从而进一步巩固了我对信息安全课程所学知识，更加深入地了解计算机网络系统中所采取的安全措施、网络系统漏洞、黑客技术和防范措施等相关技术同时也提高了自学能力为以后的从业打下了良好的基础

第四篇：网络安全实训报告2--基于SSL的安全Web站点配置

基于SSL的安全Web站点配置

一、实训要求

1、配置CA服务器；

2、配置Web服务器（开启80端口）；

3、在Web服务器上配置“Web服务器保护证书”（开启443端口）；

4、客户端使用https协议访问 Web服务器。

二、实训步骤

三、关于SSL，详见戴有炜 windows server 2003网络专业指南400页以后

1、配置CA服务器；

运行appwiz.cpl---添加/删除组件—选中应用程序服务IIS和证书服务

下一步，选中独立根CA

不用管，启用

到这来就完成了，可以再管理工具---证书管颁发构来管理证书服务器

2、配置Web服务器（开启80端口）；

运行appwiz.cpl----添加删除组件---应用程序服务器—IIS

安装完成后，下面进行web的配置 管理工具---IIS服务

将默认网站禁止

网站—新建—网站

这来随便输入，只是描述使用

下一步，只给读取权限，下一步完成

这来我们就用index.htm做首页，并且到c:wlm做一个首页

可以访问了

3、在Web服务器上配置“Web服务器保护证书”（开启443端口）；

选中网站—属性--目录安全性—服务证书

选择新建证书

以下两部输入不是很重要，接着下一步

随便输入，接着下一步

设置证书请求文件的名称，默认是certreq.txt

接着下一步，完成

向CA服务器申请证书

将刚才certreq.txt内的内容复制进来

本CA不是基于域的企业根CA，不会自动发放证书，到CA服务器

在web服务器，访问CA，查看挂起的证书

选择下载证书，保存

设置网站信任CA 在web服务器通过浏览器连接CA，选择 下载一个CA证书，证书链或ＣＲＬ――选择 安装此ＣＡ证书链，即可信任此ＣＡ

安装证书并启用ＳＳＬ

在ｗｅｂ服务器，ＩＩＳ管理器――选中所要安装证书的网站――属性――目录安全性――服务证书

选择刚刚下载的证书

网站ＳＳＬ的连接端口默认为４４３

确认，下一步

完成

4、客户端使用https协议访问 Web服务器进行颁发证书。

上面是给其他的ｗｅｂ服务器颁发服务器证书，实现ＳＳＬ（ｈｔｔｐｓ）连接，若是给本ＣＡ实现ＳＳＬ，则只需在ＣＡ服务器打开ＩＩＳ管理器，选择默认网站进行上面的操作，下面是结果

下图是ｈｔｔｐｓ访问其他独立ｗｅｂ服务器结果

下图是ｈｔｔｐｓ访问ＣＡ服务器ｗｅｂ进行颁发证书

三、总结

第五篇：24.FTP服务器的配置实训任务书.

FTP服务器的配置

一、实训目的

1.掌握Vsftpd服务器的配置方法。2.熟悉FTP客户端工具的使用。3.掌握常见的FTP服务器的故障排除。

二、实训设备 1.linux 网络操作系统 2.网络设备，client计算机

三、背景知识

1.某企业网络拓扑图如下图所示，该企业想构建一台FTP服务器，为企业局域网中的计算机提供文件传送任务，为财务部门、销售部门和OA系统提供异地数据备份。要求能够对 FTP 服务器设置连接限制、日志记录、消息、验证客户端身份等属性，并能创建用户隔离的FTP站点。

管理部财务部销售部FTP 服务器OA系统12… … FTP 客户端N-1N

四、实训内容和要求

1.练习Linux系统下Vsftpd服务器的配置方法及FTP客户端工具的使用。

五、实训步骤 1.设置匿名帐号具有上传、创建目录权限

//修改本地权限，使匿名用户对/var/ftp目录具有写入权限 [root@RHEL4 var]# chmod o+w /var/ftp [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf //添加下面两行： anon_upload_enable=YES anon_mkdir_write_enable=YES 2.设置禁止本地user1用户登录ftp服务器

[root@RHEL4 var]#vi /etc/vsftpd.ftpusers //添加下面的行： user1 //重新启动vsftpd服务，即可。

3.设置本地用户登录FTP服务器之后，在进入dir目录时显示提示信息“welcome”

//以user2用户登录系统，并进入user2用户家目录/home/user2目录下的dir1目录

[user2@RHEL4 dir]$cd ~/dir //新建.message文件并输入”welcome” [user2@RHEL4 dir]$ echo “welcome”>.message //以下为测试结果

[user2@RHEL4 dir]$ ftp 192.168.1.2 Name(192.168.1.2:user2): user2 Password: ftp> cd dir

//切换到dir目录

250-welcome

//显示.message文件的内容 250 Directory successfully changed.4.设置将所有本地用户都锁定在家目录中

//修改vsftpd.conf文件，做如下设置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=NO

//修改该参数的取值为NO chroot_local_user=YES

//修改该参数的取值为YES //重新启动vsftpd服务即可 //测试部分略 5.设置只有指定本地用户user1和user2可以访问FTP服务器

//将例14-1中/etc/vsftpd.ftpusers文件中的user1删除 //修改vsftpd.conf文件，做如下设置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf userlist_enable=YES

//修改该参数的取值为YES usrelist_deny=NO

//添加此行 userlist_file=/etc/vsftpd.user_list

//添加此行 //利用vi编辑器打开/etc/vsftpd.user_list文件 [root@RHEL4 ~]# vi /etc/vsftpd.user_list //添加如下两行并保存退出： user1 user2 //重新启动vsftpd服务即可 //测试部分略

6.配置基于主机的访问控制

实现如下功能：拒绝192.168.6.0/24访问。

对域jnrp.net和192.168.2.0/24内的主机不做连接数和最大传输速率限制。

对其他主机的访问限制每IP的连接数为1，最大传输速率为20KB/S //修改vsftpd.conf文件

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf

tcp_wrappers=YES

//确保支持tcp_wrappers

//添加如下两行并保存退出： local_max_rate=20000 anon_max_rate=20000 max_per_ip=1 //编辑/etc/host.allow文件

[root@RHEL4 ~]# vi /etc/hosts.allow //添加下面两行：

vsftpd:jnrp.net,192.168.2.0/24 :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf vsftpd:192.168.6.0/24:DENY //编辑/etc/vsftpd/vsftpd_tcp_wrap.conf文件 [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd_tcp_wrap.conf //添加下面三行： local_max_rate=0 anon_max_rate=0 max_per_ip=0 //重新启动vsftpd服务即可 //测试部分略 7.使用PAM实现基于虚拟用户的FTP服务器的配置。

● 创建虚拟用户口令库文件。

//生成建立口令库文件的文本文件 [root@RHEL4 ~]# cat /root/login.txt

peter

//此行指定虚拟用户peter 123456

//此行设置peter用户的FTP密码 tom

//此行指定虚拟用户tom 213456

//此行设置tom用户的FTP密码

//使用db_load命令生成口令库文件

[root@RHEL4 /]# db_load-T-t hash-f /root/login.txt /etc/vsftpd/vsftpd_login.db //修改数据库文件的本地权限

[root@RHEL4 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db ● 生成虚拟用户所需的PAM配置文件/etc/pam.d/vsftpd。

[root@RHEL4 ~]#vi /etc/pam.d/vsftpd //添加如下两行

auth

required

/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account

required

/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login ● 修改vsftpd.conf文件。

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf //保证具有下面三行

guest_enable=YES

//启用虚拟用户功能

guest_username=ftp

//将虚拟用户映射成ftp帐号，利用虚拟用户登录后，会在ftp用户所在目录下。

pam_service_name=vsftpd //指定PAM配置文件是vsftpd ● 利用下面的命令重新启动vsftpd服务即可。[root@RHEL4 ~]# service vsftpd restart ● 测试。

六、实训结果和讨论

实训目的。实训内容。实训步骤。

实训中的问题和解决方法。回答实训思考题。实训心得与体会。建议与意见。