计算机网络安全实训大纲 

络接口。

4、 扫描器简介：扫描器是自动检测远程或本地主机安全性漏洞的程序包。系统管理员使用有助于加强系统安全性，对于黑客，扫描器则是他们进行攻击的入手点。但扫描器不能直接攻击网络漏洞。

5、 目前流行的扫描器有：NNS网络安全扫描器，stroke 超级优化TCP端口检测程序，SATAN安全管理员的网络分析工具、JAKAL、XSCAN等。 6、 端口扫描

（1） 端口：每个应用程序被赋予一个唯一的地址，这个地址称为端口。

指定的应用程序与特殊端口相连，当任何联接请求到达该端口时，对应的应用程序便被发送出去。修改视频剪辑

（2） 端口扫描：是一种获取主机信息的好方法。不同的系统所提供的开

放端口是不一样，下表列出公共端口与对应的服务或应用程序。

服务或应用程序 端口

FTP 21

SMTP Telnet 25

23

Gopher finger HTTP 70

79

80

NNTP 119

（3） 常见的几种端口扫描：TCP connect( )的扫描；TCP SYN扫描；TCP

FIN 扫描；Fragmentation 扫描；ICMP扫描；

7、 常见的扫描工具

（1） SATAN：安全管理员的网络分析工具，是一个分析网络的安全管理和测试、报告的工具，用来收集网络上主机的许多信息，并可以识别且自动报告与网络相关的安全问题。

（2） 网络安全扫描器NNS：网络安全扫描器是一个非常隐蔽的扫描器，多数载有该扫描器的FTP的站点处暗处，或无法通过WWW搜索器找

到它们。

（3） Strobe：超级优化TCP端口检测程序Strobe是一个TCP端口扫描器，具有在最大带宽利用率和最小进程资源需求下，迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。

（4） Internet Scanner：可得到的最快和功能最全的安全扫描工具，用于Unix 和 Windows NT，它容易配置，扫描速度快，并且能产生综合报告。

（5） Port Scanner：是一个运行到Windows95和 WindowsNT上的端口扫描工具，其开始界面上显示了两个输入框，上面的输入框用于要扫描的开始主机的IP地址，下面的输入框用于输入要扫描的结束主机的IP地址，在这两个IP地址之间的主机将被扫描。

实训五 利用ipchains构建企业防火墙

目的：通过本次实训，让学生全面了解防火墙的种类、特点、配置及构建。 实验课时：8课时。 实验内容： 一、 防火墙：

防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。是设置在在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。 防火墙的优劣点：

优点：能强化安全策略；能有效地记录互联网上的活动；防火墙限制暴露用户点；防火墙是一个安全的策略的检查站。

缺点：不能防范恶意的知情者；不能防范不能通过它的联接；无法防范数据驱动型的攻击；不能防范病毒。 二、防火墙的基本种类：

基于包过滤；另一种基于代理服务。 1、

包过滤防火墙

（1）建立步骤：建立安全策略；将安全策略转化为数据包分组字段的逻辑表达式；用相应的句法重写逻辑表达式并设置之。

内部网络 互联网 包过滤防火墙 包过滤防火墙的工作原理

（2）包过滤防火墙的特点：

对于用户是透明的，不需要用户名和密码来登录，这种防火墙速度快且易于维护，通常作为第一道防线。但由于它没有用户的记录，不能从访问中发现黑客的攻击记录。

2、代理防火墙：也称为应用层网关防火墙，其核心技术是代理服务器技术，它以此参加一个TCP联接的全过程。代理防火墙包含两大类：一是电路级网关；另一类是应用级网关。

（1） 电路级网关：又称线路级网关，工作在会话层。在两主机首次建立TCP联接时创立一个电子屏障。电路级网关常用于向外联接，这时网络管理员对其内部用户是信任的。但它不能不检查应用层的数据包

以消除应用层攻击的威胁。

（2） 应用级网关：应用级网关使得网络管理员能够实现比包过滤防火墙更严格的安全策略。其工作原理如下图所示。

请求 客户 防火墙代理 客户代理 访问控制 代理服务器 请求应答 服务器 应答 FTP 服务器 FTP 服务器 FTP 服务器 转发应答 应用级网关工作原理

三、防火墙配置和访问控制策略

1、设置防火墙的要素：网络策略、服务访问策略、增强的认证。 2、防火墙的配置的种类：双穴主机方式；屏蔽主机；屏蔽子网 四、利用ipchains构建企业防火墙

1、在/etc/rc/目录下用touch命令建立firewall文件 2、刷新所有的ipchains

#!/bin/sh( 行首号有#号的为注释行) Echo “Starting ipchains rules…” #Refresh all chains /sbin/ipchains - F 3、设置WWW包过滤

WWW端口为80，采用 tcp 或udp协议。 4、设置ftp包过滤

ftp端口为21，ftp-data端口为20，均采用tcp 协议。 5、设置telenet包过滤

telnet端口为21，采用tcp协议。 6、设置smtp包过滤

Smtp 端口为21，采用tcp协议。 7、设置POP-3包过滤

POP-3端口为110，采用tcp或udp协议。 8、设置缺省包过滤规则

除了以上所允许通过的包以外，禁止其他包通过。 #Define all rules on input chain /sbin/ipchains –A input –j DENY –l

实训六 数据库备份的实例

目的：通过本次实训，让学生对数据库有个全面的了解，数据库的安全性和数据加密有如何设置，掌握对数据库的备份和灾难恢复的方法。

实验课时：6课时。 实验内容：

一、有关数据库的相关知识：

网络数据库的要求：与服务器软件的集成；性能；安全性；稳定性；容错性；扩展性；备份

二、数据库的安全性能和数据加密

1、数据库的安全性能：第一层指系统运行安全，它包括法律、政策的保