好文档 - 专业文书写作范文服务资料分享网站

中南民族大学管理学院实验报告(终审稿) - 图文

天下 分享 时间: 加入收藏 我要投稿 点赞

中南民族大学管理学院

实验报告

Pleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】

中南民族大学管理学院

学生实验报告

课程名称: 电子商务安全 年 级: 10级 专 业: 电子商务 姓 名: 星存田 学 号:

2011学年至2012学年度 第1学期

目 录

实验一 利用PGP加密、解密和数字签名 实验二 PGP实现电子邮件安全 实验三 在Windows 2000/XP下加密文件和文件夹 实验四 数字证书签发安全电子邮件操作指导书 实验五 防火墙的设置 实验六 口令破解软件使用 实验七 网络监听 实验八 打造你的安全个人电脑

实验(一) 利用PGP加密、解密和数字签名 实验时间: 同组人员: 实验目的

掌握对文件加密和数字签名的方法,对加密理论知识加深理解。

实验内容

在网上查找“PGP教程”,先认识PGP软件的安装和使用;然后查找“PGP加密原理”,认识PGP的加密原理。关于PGP的加密原理以及其他的信息可以参见下面这些网页: 太平洋网 天极网

中国IT认证实验室

不过这些网页介绍的PGP软件是版本甚至更早的版本,截止到撰写该上机实验时PGP已经升级到版本8了,因此在某些方面会有一些不同。版本可以通过下面地址下载:

太平洋网站;

这是PGP网站上提供的。

实验步骤

下载软件后,运行文件开始安装,安装的过程很简单,依次按“next”按钮就可以了,安装过程见图1、图2、图3、图4和图5。 图1安装欢迎界面

图2?接受PGP公司的协议

图3?安装时对Windows版本的介绍 图4?选择用户类型

图5选择安装路径 接下来

选择要安装的组件,其中,第一个选项是关于磁盘加密的功能;第二个选项是ICQ的邮件加密功能;第三四个选项是关于OUTLOOK或者OTLOOKEXPRESS邮件加密的功能;最后一个选项适用于群发邮件的加密。用户可以根据自己的需要进行组件选择,一般情况下,默认安装就可以了。见图6、图7。

图6选择要安装的PGP组

件,一般按默认的选择即可

图7安装正在进行中

三、生成密钥

安装完毕后,运行PGP程序。从“开始”菜单中选择“PGP”中的“PGPKeys”。要使用该软件进行加密的话,首先要生成一对密钥。也就是一个公钥和一个私钥。其中公钥是发送给别人用来加密钥发送给自己的文件的,私钥是自己保存,用于解密别人用公钥加密的文件,或者起数字签名的作用。 在PGPKeys的窗口中,选择Keys菜单下的NewKey选项。见图8。 图8PGPKeys的工作窗口

PGP有很好的创建密钥对的向导,跟着向导很容易生成一对密钥。见图9。 图9PGP密钥对的生成向导

每一对密钥都对应着一个确定的用户。用户名不一定要真实,但是要方便通信者看到该用户名能知道这个用户名对应的真实的人;邮件地址也是一样不需要真实,但是要能方便与你通信的人在多个公钥中快速的找出你的公钥。例如,大家都熟悉你的名字叫张三,那你的用户名和地址都含有张三的名字,就很容易让别人知道这个公钥是你的;如果你起了一个其他的名字,类似“天天下雨”或者“五月的海”,那其他与你通信的人很容易不记得这个名字到底是谁,因此在选择公钥的时候,自然很难找出你的公钥。见图10。

图10输入姓名和Email地址以方便他人识别你的公钥 密钥对的私钥还必须进一步用密码加密,这个加密是对你的私钥加密。这个密码非常重要,切记不要泄漏了,为安全起见,密码长度至少8位,而且应该包含非字母的字符。见图11。

图11为私钥设置密码 接下来,软件生成密钥对。见图12。 图12生成密钥对 至此,密钥对生成完毕。 四、导出并发送公钥 见图13。

接着导出公钥,把公钥作为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。见图14。

图14导出公钥 公钥导出之后,接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过,由于在传送的过程公钥是没有采用安全机制传送,因此存在公钥被人窃取的可能。为了更加安全,双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中,实验者互相通过Email传送公钥,例如,用户A和用户B要互相通信,则A需要把自己的公钥传递给B,而B需要把自己的公钥传递给A。 图14导出公钥

公钥导出之后,接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过,由于在传送的过程公钥是没有采用安全机制传送,因此存在公钥被人窃取的可能。为了更加安全,双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中,实验者互相通过Email传送公钥,例如,用户A和用户B要互相通信,则A需要把自己的公钥传递给B,而B需要把自己的公钥传递给A。 五、文件加密与解密

有了对方的公钥之后就可以用对方公钥对文件进行加密,然后再传送给对方。具体操作如下:选中要加密的文件,右键,然后选择“PGP”--“Encrypt”。见图15 。

图15选择“Encrypt”对文件加密 然后在密钥选择对话框中,选择要接受文件的接收者。注意,用户所持有的密钥全部列出在对话框的上部分,选择要接收文件人的公钥,将其公钥拖到对话框的下部分(recipients),点击“OK”,并且为加密文件设置保存路径和文件名。 选择需要用来加密的公钥

图17为加密文件设置保存路

径和文件名

此时,你就可以把该加密文件传送给对方。对方接收到该加密文件后,选中该文件,右键,选择“Decrypt&verify”,见图18。

图18解密文件的菜单

此时,要求输入私钥的密码,输入完后,按“OK”即可。见图

19。

图19输入密码,用私钥解密文件

接下来,要为已经解密的明文文件设置保存路径文件名。见图。保存后,明文就可以被直接查看了。见图20。

图20为明文文件设置保存路经和文件名

六、数字签名 由于公钥是发放给其他人使用的,那么在公钥发放的过程中,存在公钥被人替换的可能。此时,若有一个人对此公钥是否真正属于某个用户的公钥做出证明,那么该公钥的可信任度就比较高。如果A很熟悉B,并且能断定某公钥是B的,并没有人把该公钥替换或者篡改的话,那么可以对B的公钥进行数字签名,以自己的名义保证B的公钥的真实性。具体操作为:运行“开始”—“PGP”—“PGPKeys”,选中要进行签名的公钥,然后右键,选择“Sign”进行签名。见图21。

21

对某公钥进行数字签名 此时,选择该用户的公钥,并且选中

“Allowsignaturetobeexported.Othersmayrelyuponyoursignature(允许该签名被导出,其他人可以信任你的签名的真实性)”,点击“OK”。见图22。

图22选中下方的选项以便该被签字的公钥可以导出 输入私钥的密码,点击“OK”。这样,对公钥的签字就完成了。值得提醒的是,公钥和私钥都可以实现加密的功能,但是当要进行数字签名的时候,就只能使用私钥而不能用公钥。因为私钥只为用户一个人掌握,所以,该私钥能表明他的身份,确定该信息只有他一个人才能发出。见图23。

图23输入密码进行数字签名 我们也可以对文件进行签名和加密。操作如下:选择要进行签名的文件,点击右键,选择“sign”,见图。要注意的是,对文件签名只能证明是你发出该文件,但是文件的内容并没有被加密,同时,

进行数字签名时,在意的是表明该文件是从自己这里发出,因此对于文件的内容并不在意被别人看到,经过数字签名的文件要同原明文文件一同发送给对方,对方才能验证数字签名是否有效。如果同时要表明文件从自己这里发出,同时又要对文件的信息保密,那么就选择“签名与加密”选项Encrypt&sign。见图24。 图24对文件进行签名或签名和加密

同样的,在选择密钥的对话框中,从对话框上部的密钥列表中,选择接收文件的用户拖到对话框的下部,点击

“OK”。见图25。

文件的接收者 确定接收人后,输入私钥的密码,进行数字签名或数字签名和加密。见图26。

图25选择

图26输入密码用私钥签名或加密 以上介绍的是关于PGP的简单使用,供大家学习,另外由于篇幅和时间的限制,关于PGP软件还有很多功能和设置没有介绍。实验者若有兴趣的话,可以实验完后自己多加使用,并参考PGP公司编写的用户手册,见开始菜单中PGP里的“DOCUMENTATION”中的“USER'SGUIDE”。 实验报告要求:

1、列出PGP的功能;并说出PGP满足了电子商务中信息安全性要素的哪些要求 2、你知道PGP使用了那些加密算法吗每一种算法的思路是什么 3、简要阐述PGP主要加密原理;

4、简要叙述使用PGP软件如何对文件加密; 5、简要叙述使用PGP软件如何对文件解密; 6、简要叙述使用PGP软件如何对文件数字签名;

7、在对文件进行数字签名时,为什么一定要将文件的明文也一同发送给对方请用数字签名的原理进行解释; 8、思考PGP存在哪些方面的安全隐患;

实验结果分析 指导教师评阅

1、 实验态度:不认真( ),较认真( ),认真( ) 2、 实验目的:不明确( ),较明确( ),明确( ) 3、 实验内容:不完整( ),较完整( ),完整( )

4、 实验步骤:混乱( ),较清晰( ),清晰( ) 5、 实验结果:错误( ),基本正确( ),正确( )

6、 实验结果分析:无( ),不充分( ),较充分( ),充分( ) 7、 其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

实验(二) PGP实现电子邮件安全 实验时间: 同组人员: 实验目的

了解基本原理,学会基本操作,并能熟练使用

实验内容

1、创建一私钥和公钥对

使用PGPtray之前,需要用PGPkeys生成一对密钥,包括私有密钥(只有自身可以访问)和一个公有密钥(可以让交换email的人自由使用)。 2、与别人交换公钥

创建了密钥对之后,就可以同其它PGP用户进行通信。要想使用加密通信,那么需要有他们的公钥。而且如果他们想同你通信他们也将需要你的公钥。公钥是一个信息块,发布公钥:可以将公钥放到密钥服务器上,也可以将公钥贴到文件或Email中发给你想与交换Email的人。 3、对公钥进行验证并使之有效

当你获取某人的公钥时,将它添加到你的公开密钥环中。首先确定公钥的准确性。当你确定这是个有效的公钥时,你可以签名来表明你认为这个密钥可以安全使用。另外,你可以给这个公钥的拥有者一定的信任度表明 4、对E_mail进行加密和数字签名

当你生成密钥对而且已经交换了密钥之后,就可以对email信息和文件进行加密和数字签名。如果使用的email应用程序支持plug_ins,选择适当的选项进行加密;如果email应用程序不支持plug_ins,就可以将email信息发送到剪贴板上从那儿进行加密。若还想包括一些文件,可以从Windows Exporer上进行加密和数字签名。然后再挂到email上进行发送。

5、对E_mail进行解密和验证

当某人给你发送了加密的email时,将内容进行分解,同时验证附加的签名来确定数据是从确定的发送者发送过来的并且没有被修改。如果使用的email应用程序支持plug_ins,选择适当的选项进行加密;

如果email应用程序不支持plug_ins,就可以将email信息发送到剪贴板上从那儿进行加密。将信息拷贝到剪贴板

上,并进行解密工作。若还想包括一些文件,可以从Windows Exporer上进行解密。

实验步骤

1、创建一个私钥和公钥对: 私钥 导出公钥: 2、与别人交换公钥 3、对公钥进行验证使之有效 3、文本文件加密解密 4、解密文件

5、用PGPtray的剪切板加密功能加密邮件

对E_mail进行加密和数字签名 6、发送加密邮件 7、收到后解密过程 8、解密结果

实验结果分析

指导教师评阅

1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( )

3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( )

6、实验结果分析:无( ),不充分( ),较充分( ),充分( ) 7、其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

实验(三) 在Windows 2000/XP下加密文件和文件夹 实验时间:同组人员: 实验目的

通过在Windows 2000/XP下加密文件和文件夹的操作,掌握一些数据、信息、文件保护的简单方法,并且能够做到举一反三,逐渐掌握利用专业工具保护数据的完整性、机密性的各种方法。

实验内容

在Windows 2000资源管理器中,选中待设置加密属性的文件或文件夹进行加密操作。

实验步骤

1) 在D盘中选择名为“xingcuntian”的文件夹,单击鼠标右键,在快捷菜单中选择【属性】选项。如图所示

2) 在【属性】对话框窗口中,单击“常规”选项卡中的【高级】按钮,如图所示。启动“高级属性”对话框。

3) 选择【加密内容以便保护数据】复选框,单击【确定】按钮,如图所示,可完成文件夹的加密。加密后观察文件夹名字的颜色发生变化,这意味着非授权用户将无法访问此文件夹。

4) 系统将进一步弹出“确认属性更改”对话框。要求确认是加密选中的文件夹,还是加密选中的文件夹的子文件夹以及其中的文件。 文件的加密步骤同上1)到3)步。

5)补充压缩文件加密 设置密码 输入密码

实验结果分析

指导教师评阅

1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( )

6、实验结果分析:无( ),不充分( ),较充分( ),充分(7、其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

实验(四)数字证书签发安全电子邮件操作指导书

实验时间:同组人员: 实验目的

数字证书签发安全电子邮件

实验内容

(1)掌握免费个人数字证书申请、安装、导入和导出。 (2)掌握Outlook Express的配置。

(3)掌握使用数字证书签发安全电子邮件的流程。

实验步骤

(一)免费数字证书的申请安装操作

主页,选择“免费证书”栏目的“根CA证书”。如果是第一次使用他们的个人证书需要先下载并安装根CA证书。 2、下载并安装根证书。

只有安装了根证书链的计算机,才能完成网上申请的步骤和证书的正常使用。出现“下载文件-安全警告”对话框,点击选择打开“”。在弹出的对话框中点击“安装证书”按钮,根据证书导入向导提示,完成导入操作。

3、在线填写并提交申请表。

选择“免费证书”栏目的“用表格申请证书”,填写申请表。用户填写的基本信息包括名称(要求使用用户真实姓名)、公司、部门、城市、省份、国家地区、电子邮箱(要求邮件系统能够支持邮件客户端工具,不能填写错误,否则会影响安全电子邮件的使用)、证书期限、证书用途(本实验要求选择“电子邮件保护证书”)、密钥选项(可以选择“Microsoft Strong Cryptgraphic Provider”)、密钥用法(可以选择“两者”)、密钥大小(填写“1024”)等,其他项目默认。注意要勾上“标记密钥为可导出”、“启用严

格密钥保护”、“创建新密钥对”三项,“Hash算法”(可以选择“SHA-1”)。提交申请表后,出现“正在创建新的RSA交换密钥”的提示框,确认将私钥的安全级别设为中级。 4、下载安装数字证书。

提交申请表后,证书服务器系统将立即自动签发证书。用户点击“下载并安装数字证书”按钮开始下载安装证书,直到出现“安装成功!”的提示。 5、数字证书的查看

在微软IE 浏览器的菜单栏“工具”--〉“Internet选项”--〉“内容”--〉“证书”中,可以看到证书已经被安装地成功。双击证书查看证书内容。(如图所示) (二)数字证书的导出和导入操作指导

为了保护数字证书及私钥的安全,需要进行证书及私钥的备份工作。如果需要在不同的电脑上使用同一张数字证书或者重新安装电脑系统,就需要重新安装根证书、导入个人证书及私钥。具体步骤如下:

1、备份证书和私钥的操作步骤。

打开一个IE浏览器,工具Internet选项内容证书(如图5)。

选择一个数字证书,点击“导出”按钮,此时会弹出证书导出向导。(如图6) 点击“下一步”,可以选择是否将秘钥和证书一起导出(如图7) 因导出的证书按文件存放,故选择导出文件的格式(如图8) 指定证书导出后文件的文件名和路径(如图9)

此时显示前面你所选择的所有设置,如果觉得完全正确则点击“完成”,如有错误则点击“上一步”(如图10)。

2、导入证书及私钥的操作步骤。

打开一个IE 浏览器,工具—>Internet 选项—>内容—>证书(如图11)。或者,开始—>设置—>控制面板—>Internet 选项—>内容—>证书(如图11)。

点击“导入”按钮,此时会弹出证书导入向导(如图12)

点击“下一步”,根据向导提示选择导入证书的文件名和路径(如图13)。 选择好以后点击“下一步”,此时为保护你的私钥需要为你导入的证书的私钥键入一个密码(如图14)。

此时需要选择导入证书的存储区,可以由系统自动选择也可以由用户指定(如图15),系统默认该证书是用户自己的证书而存入“个人证书”之中,而如果你要导入对方的证书(这主要发生在你要利用对方证书给对方发送加密邮件的时候),则应该自己指定位置并选择“其他人”。

此时显示前面你所选择的所有设置,如果觉得完全正确则点击“完成”,如有错误则点击“上一步”(如图16)

(三)、利用数字证书对电子邮件进行数字签名和加密

使用Outlook Express 可以对电子邮件进行加密和数字签名。对电子邮件进行签名需要一个属于你自己的数字证书,而要对电子邮件进行加密则需要拥有对方的数字证书。

1、配置Outlook,建立你自己的账号

(1)在Outlook Express中单击菜单上的“工具”—>“账号” (2)点击“添加”“邮件” (3)输入显示名称 (4)输入电子邮件地址

(5)设置接收邮件服务器和发送邮件服务器 (6)输入电子邮箱的帐户名称和登录密码。 单击“下一步”,邮件设置成功。

(7)在Outlook Express中,单击“工具”菜单中的“帐户”。

(8)选取“邮件”选项卡中用于发送安全邮件的帐号,然后单击“属性”。在属性设置窗口中,选择“服务器”选项卡,勾选“我的服务器要求身份验证”。 选取安全选项卡,选择签名证书和加密证书及算法。

实验结果分析

指导教师评阅

1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( )

6、实验结果分析:无( ),不充分( ),较充分( ),充分(7、其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

实验(五) 防火墙的设置 实验时间: 同组人员: 实验目的

1. 了解防火墙的原理和功能;

2. 能够用某种防火墙来防护计算机;

3. 能根据自身的需求对防火墙进行合适的设置。

实验内容

1.实训环境:Windows 2000/XP主机。有Internet的上网环境作为测试参考。 2.实训工具:LooknStop (或其他免费个人防火墙)

3、以学习 LooknStop防火墙的规则设置为例 实验步骤

1. 安装LooknStop 软件(安装工具见压缩包) 运行即可!

注意:安装过程中会弹出一个未通过windows徽标测试的提示窗口,点击仍然继续即可!

在最后提示重启的时候先别重启,把dll_cn 文件夹内的所有文件复制到C:\\Program Files\\Soft4Ever\\looknstop,实现汉化,然后点击此文件夹中的,打开软件,

2. 了解LooknStop

LooknStop作为一款强大的防火墙,其采用的原型是非常严格的,首先,LooknStop先禁止所有本地和远程的网络访问操作,然后才逐项允许,在初始时不信任任何程序和网络操作,正是因为这过于严厉的策略原型,LooknStop才能成为一堵树立在系统和网络之间的“墙”,而也正是因为这样的模型,LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数据包都拦截了。

所以我们首先要解决的就是大部分用户面对LooknStop时吃的第一个下马威:无法连接网络。

LooknStop的主界面并不难理解,从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、“日志”、“选项”和“注册”,欢迎界面主要用于显示一些概要信息如连接状态、IP地址、数据包情况等。

我们先解决第一个燃眉之急(此点仅针对ADSL拨号上网用户,在此介绍给同学们作为参考):如果你不幸成为安装LooknStop后无法成功进行ADSL拨号的用户,请先进入“互联网过滤”界面,然后双击最后一条规则“Allotherpackets”,它就是罪魁祸首,选择“以太网类型”为IP,保存应用即可。

这一故障是LooknStop默认的严格规则造成的,它把所有未在规则里定义的数据包都过滤了,于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系统的门口里……由此可见,与某些防火墙比起来,LooknStop是多么的严格!

解决这个问题后,我们回到正题。

3.基于界面的设置 既然LooknStop的规则如此严格,我们也遵循它的规则,严格依照从左到右的顺序讲解吧:

(专门对程序进行设定,决定应用程序行为的设置),LooknStop“不信任任何人”的思想在这里又一次得到了发挥,每个程序第一次启动的时候都会被拦截询问,用户允许通过的程序都在里面列举出来,并且在左边出现一个活动列表,可是即使这样,LooknStop仍然为每个程序列表设置了四个不同性质的可以随时中断该程序访问的按钮,分别为“过滤激活”、“过滤类型”、“进程调用”、“连接记录”。

此部分功能由于电脑没有重启,在机房无法实现相应功能设置,建议有兴趣的同学在寝室电脑实现相应功能,具体详细说明可参考《LnS中级使用指南》电子书。

在“过滤激活”里可以选择两种状态,分别为“启用”和“禁止”,用于告诉防火墙是否允许该应用程序按照后面的规则运行,如果状态为“禁止”,则后面设置的独立

应用程序规则不起作用,但是这并不意味着程序能摆脱防火墙的限制——每次这个程序访问网络的时候,防火墙都会再次询问你是否允许这个程序访问网络。

“过滤类型”里提供了3种类型选择,分别为“允许”、“自定义”和“禁止”,如果用户没有为这个程序设置特殊规则,则只会在“允许”和“禁止”两种类型之间选择,否则为三种。直接双击程序名字就可以设置“过滤类型”,里面分别提供了TCP和UDP协议的端口和IP设置,LooknStop强大的灵活设置性能再次体现了出来:单独输入IP或端口,则规定这个程序只能访问用户指定的IP或端口,多个端口之间用分号“;”分隔,IP同上。

看到这里,一些用户可能会想,是不是只能设置允许访问的地址呀其实不然,LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作——要设置程序禁止访问的IP,只需要在同样的设置对话框里设定IP或端口时在前面加一个感叹号“!”即可,可以说,LooknStop把“简洁就是美”的信奉发挥到了极致!

现在让我们来看看“进程调用”,首先简单介绍一下“进程调用”的概念,有时候,一个程序要访问网络并不是通过它自身实现的,而是调用了外置的DLL函数,这样的话,最终访问网络的程序就是那个DLL文件而不是程序本身,许多防火墙都认为,通过程序宿主进程启动进而访问网络的模块也是符合条件的,因此不会做任何阻拦,但是LooknStop仍然不信任任何模块,它会忠实的报告并控制每个子进程DLL的网络连接并提示用户,在如今这个“代码插上翅膀”(线程注射)越来越猖獗的年代里,这样的限制是十分有必要的,很多防火墙正因为过于信任程序调用的进程模块,导致一些DLL类型的木马得以搭载顺风车,给用户的系统安全带来威胁。针对这种情况,LooknStop提供了“进程调用”的控制功能,分别为“允许”(双箭头标志)和“禁止”(红色停止标志),一旦某个程序的“进程调用”被设置为禁止,该程序就只能通过自身访问网

络了,所有通过它调用的模块都无法突破限制,这个设置对一些经常被后门搭顺风车的系统程序是很有用的,设置禁止后,我们就不用再怕灰鸽子之流通过、等程序突破传统意义的防火墙连接了。

最后,是一个标示为感叹号的设置项,它代表“连接记录”:灰色的点表示不记录,两个感叹号表示记录该程序的所有连接,而单独一个感叹号则是与“过滤激活”配合使用的,如果你把一个程序的“过滤激活”设置为“禁止”,以后这个程序再次请求访问网络的时候就会被LooknStop记录下来,如果一个奇怪的程序频频要求连接网络,那么它是木马的可能性将会很大!

从“应用程序过滤”这一部分就可以看出,LooknStop对程序的控制非常灵活和精巧,仅使用一个界面和一个对话框就能完成对4种程序控制方式,包括多达10个属性36种不同组合的控制能力,其对程序的控制能力可见一斑。

那么,LooknStop对网络协议的控制功能又如何呢让我们进入“互联网过滤”,这里正是用户噩梦开始的地方。(这部分功能机房可以实现,请大家仔细阅读)

这里同样是简洁而复杂的界面,简洁在于按钮的稀少,复杂在于太多列表控制的项目,一眼看去,几乎能让人摸不到头脑,但是这里正是所有防火墙思维的起点:防火墙规则集合。

从左到右依次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后是否执行后续规则”、“匹配规则时声音或警报提示”。

第一列“启用规则”里提供了3种类型选择,分别为“默认方式启用规则”、“自定义方式启用规则”和“不启用规则”,如果用户没有设置自定义规则,则只能在“默认方式启用规则”和“不启用规则”之间切换。

“自定义方式启用规则”取决于规则里定义的“应用程序”项目,表示该规则只对特定的应用程序起作用,当符合条件的程序启动后,这个暗红色带绿勾标志变为绿色带红勾标志,代表程序已经启动并处于防火墙规则控制之下。

第二列 “规则模式”允许两种选择:“拦截”和“允许”,LooknStop通过这里的标识决定符合该规则的程序是该允许访问网络还是被阻止访问网络,与其它防火墙产品对比,这样的设置方法是非常方便的,用户不需要重新进入规则设置便能直接修改规则行为。红色禁止标志,此标志表示,当某个连接请求或者操作与此规则匹配时,则禁止该连接请求或者操作。如果是灰色圆点标志,则表示此允许此连接请求或者操作。此属性的好处是,相同的规则内容可以在需要时通行,在另一种情况下禁止。

第三列 “匹配时记录”提供了两个选项,“记录”和“不记录”,顾名思义,当一个满足规则设定的操作发生时,防火墙会根据这里的设置决定是否在日志里记录下这次操作信息。

第四列 “匹配规则后是否执行后续规则”(不重启电脑,看不到此列)是一个非常重要的规则行为标志,它提供两种选择,分别为“不匹配下一规则”和“匹配下

一规则”,前面说过LooknStop的思想是阻止所有连接,而这里的规则设定就是其思想的具体实施方案,为了让程序能正常连接网络,同时也为了提高自身的执行效率,LooknStop提出了这个选项,它决定当一个符合防火墙设定的规则被执行后,是否要继续匹配下一条相同性质的规则,在这里我们可以方便的设置一些复杂的规则,例如我们需要增加一条允许本机打开80端口的规则,但是又不想为此开放所有低端口连接,那么就可以添加一条允许80端口的规则,并设置其“后续规则”为“不匹配”,那么就可以在保留原规则不变的同时增加本机开放80端口的功能了。

第五列“匹配规则时声音或警报提示” (不重启电脑,看不到此列)有3种类型选择,分别为“声音报警”、“可视报警”和“不报警”,这个选项要与选项里的“声音”和“消息框”配合使用,第一种表示规则匹配时发出声音报警,第二种表示规则匹配时弹出消息框并同时发出声音报警,如果你觉得噪音扰民,可以设置为最后一种,还你一个安静的环境。

4.防火墙的灵魂——规则设置 任何防火墙都在各种规则的引导下运行,LooknStop也不会例外,而其恰恰正是因为规则难以配置而“闻名”的,要真正驯服这个强悍的小家伙,就必须理解并解决规则设置,在“互联网过滤”界面里点击“添加”,会弹出一个略显复杂的对话框出来。相对于大部分国内防火墙产品而言,LooknStop提供的可供设置的数据类型和模式多了不少,如果用户对各种协议的概念不是很了解,在面对这部分的时候就会很头痛了,LooknStop在这个设置对话框里提供了8大类设置,分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“TCP

“规则名称”很容易理解,用户就是在这里设置特定规则名称的,“规则说明”则是为了描述这条规则的功能和用途,除了这两个选项不需要特别讲解以外,其他部分请仔细听好!

在开始动手之前,首先了解一件LooknStop特有的事情,这款防火墙在编辑规则时是中性的,我们不能从这个界面里设置某条规则是给予通行还是拦截,一旦你保存这条规则,LooknStop则默认了此规则是“允许通行”的,要设置为“拦截”的话必须在保存后自行到主界面上相应的“规则模式”里设置为“拦截”。 其次,LooknStop的信任关系是基于IP地址和MAC地址双重检测的,这是一种理想的信任关系模式,IP地址和MAC地址分别都是可以欺骗的,但是如果IP和MAC结合起来,就很难实施欺骗了,而且也正是这种信任模式,它的规则设置才容易让人迷惑,其实只要理解了其思想,对这款防火墙的规则设置就不复杂了。 明白这两个基本概念后,我们正式开始。 首先是“以太网:类型”区,这部分到底表达了什么,这里其实是让防火墙知道你的机器环境是在局域网内还是互联网中的独立机器,或者说,控制某条规则是适合在局域网中使用还是在单机环境中使用。

这个区域里提供了4种选择,分别是“全部”、“IP”、“ARP”和“其它”,“全部”表示包含后面三种类型的协议,一般很少用到,除非你的机器所处的网络环境非常复杂,有多种系统一起运作,否则只需要选择“IP”类型即可,这是一种最兼容最常用的类型。

“ARP”类型只能在局域网内使用,也就是专为局域网环境设定的,由于它涉及MAC地址,故脱离了局域网环境就无效了,除非你是在局域网内使用机器,否则不要选择这个类型。

其次是“IP”区,这里又分为3个小区,最左边的“协议”用于为当前规则指定协议,LooknStop提供了9种选择,除了“全部”以外,几乎包含了各种常见协议类型,一般只需要设置TCP、UDP或ICMP其中之一即可,虽然曾经有过IGMPNuke,可是现在也基本上没有人用Windows98作为工作环境了吧,所以连IGMP防御都可以免了……

右侧的“碎片偏移”和“碎片标志”分别用于更详细的检测过滤IP头部的偏移位和标志位,可以用于防止特定标志位的碎片数据报攻击,不过对于普通用户来说,我们并不需要特别指定这里的内容,一般选择“全部”即可。

然后到“TCP标识”区,这里其实不是只有一个功能设定的,它还可以变为“ICMP”区或“IGMP”区,视前一个“IP”区的协议类型而定,用户只有选择了TCP协议以后才能进入TCP标识里设置要具体控制的TCP标志位,里面一共有URG、ACK、PSH、RST、SYN和FIN这6种标志位供用户选择,主要针对一些有特殊TCP要求的用户,例如某台机器被用作Internet网关时,如果想阻止局域网内的某台机器通过TCP协议连接某个外部端口,则可把TCP标志位设置为ACK,阻止远程连接传回的应答请求,该连接自然就无法成功建立,最终达到拦截的目的。

接着到“来源”区,许多人觉得LooknStop难以配置,除了“以太网类型”难以理解以外,最容易混淆的就是“来源”区和旁边的“目标”区,要成功配置LooknStop,首先要弄清楚一件事情:在LooknStop的规则设置里,“来源”完全表示本地,“目标”则表示远程,而不管实际的连接请求或者数据包方向是从哪里发出的。所有与本机网络有关的设置如开放本地某个端口、允许或阻止本地网络的某个IP,都是在“来源”里设置的,这里通常是和“目标”区搭配使用的,例如配置开放本机的80端口,那么就不应该去管“目标”区的任何设置,除非你要限制对方IP范围或端口范围那就另当别论。要开放本机80端口,首先应该在“来源”区的“IP:地址”里选择“等于本机在”,“TCP/UDP:端口”里选择“等于”,下面的第一个选项里输入端口80,

第二个选项置空即可。如果要开放一段连续的端口,则在第二个选项里填入另一个数字,然后把“全部”改为“在A:B范围内”即可,需要提醒一

点,普通的开放本机端口操作在“目标”区里不用填写任何东西!其他更多的选项可以根据这个举一反三。

最后是“目标”区,这里和“来源”区相反,它表示远程主机连接的参数,无论你在“方向”里选了什么,这个地方出现的都必须是远程机器的数据,永远不要出现你的本地数据!

“目标”区主要是作为限制本机对远程访问数据而设置的,例如阻止本机程序访问任何外部地址的8000端口,则在“目标”区里设置“IP:地址”为“全部”,“TCP/UDP:端口”为“8000”即可,而“来源”区里完全不用设置任何东西。

在上面几个大区之外,还有个名为“应用程序”的按钮,这里用于设置特定的程序规则,其中可供选择的程序在右边列出的已经被记录访问过网络的程序列表中选择添加,以后此条规则就专门针对这个列表里的程序使用了,LooknStop这种思想大大增加了应用程序访问规则的灵活性。(这点在机房无法实现) 实验结果分析 指导教师评阅

1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( )

6、实验结果分析:无( ),不充分( ),较充分( ),充分( )

7、其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

实验(六) 口 令破解软件使用 实验时间: 同组人员: 实验目的

1.了解口令破解的原理 2.口令破解工具的使用 实验内容

1.实训环境:Windows 2000/XP主机。有Internet的上网环境作为测试参考。 2.实训工具:office key 解密工具及其他工具

实验步骤

1.运行Office Key (使用前将双击 REG 将注册信息导入到注册表后,再点击执行文件即可汉化,)

2、Office Key解密工具的使用(注意因为该软件是共享版,所破解密码不一定100%准确,破解速度还取决于计算机运算能力,耗时有可能很长,实验目的主要在于了解其破解原理)

Office Key是专门用于暴力破解Office加密文档的工具。打开主界面,选择设置图标,在弹出的设置窗口中可以看到Office Key有多种破解方式,可以通过字典文件、暴力破解、符号集三种方式来对Office加密文档进行破解。如图2所示:

下面使用Office Word文档为例进行破解。首先新建一个Word文档,然后选择“工具->选项”,切换到“安全性”选项卡,在“打开文档时的密码”中输入密码。第一次输入存4位纯数字密码,比如“” 如图3所示:

图3 设置Word文档密码

然后点击确定,在弹出的确认密码中输入刚才输入的密码,如图4所示: 点击确定关闭确认密码并保存Word文档(以学号姓名命名)。然后打开Office Key对加密过的文档进行破解

(1)使用暴力破解

打开Office Key,点击设置,将字典破解选项及用Xieve优化暴力破解去除,然后选择暴力破解以及启用,如图5所示:

图5设置破解的方法

并在暴力破解的设置菜单中,设定密码长度为1-10个字符

图6暴力破解设置

在符号集中勾选数字

图7 符号集设置

点击确定并退出到Office Key主界面如图8, 图8 设置好的主界面

选择恢复,在弹出的文件选择框中选择要破解的WORD加密文档,然后点击打开开始破解, 如图9

破解成功如图10

图10 4位数字密码破解成功

要求整个过程截图显示。然后再建立2个word文档,密码长度分别为4位(纯字母)密码及5位(数字和字母组合密码),调整相关的设置,破解word文档,将最后破解成功后的画面截图到实验报告中。如图11,显示的是破解密码长度为6位(数字和字母组合)文档成功后的画面

图11 破解6位数字字母组合破解成功

(2)使用字典破解法来破解Office PowerPoint文档

首先新建一个PowerPoint文档,然后选择工具->选项->安全性,如图12所示: 然后在弹出的密码确认框中输入密码确认

打开Office Key,选择设置,然后切换到字典选项卡,点击浏览选择字典文件,然后切换到其他选项卡中,将暴力破解等选项去掉,然后点击确定退出设置窗口。如图13所示:

图13 勾选字典选项 图14启用 字典破解

然后打开文件,选择恢复,在弹出的文件选择框选择要恢复的加密文档, 点击打开后Office Key就会对文档进行破解,如图16所示:

图16破解过程

实验结果分析 指导教师评阅

1、实验态度:不认真( ),较认真( ),认真( )

2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( )

6、实验结果分析:无( ),不充分( ),较充分( ),充分( ) 7、其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

实验(七) 网络监听 实验时间: 同组人员: 实验目的

1、熟悉IP地址与MAC地址的概念 2、理解ARP协议及ICMP协议原理 3、了解TELNET应用 4、掌握网络监听方法

实验内容

1、IP地址与MAC地址、ARP协议

数据链路层使用物理地址(即MAC地址),网络层使用IP地址,当数据包在网络层和数据链路层之间传输时,需要进行MAC地址和IP地址的转换。ARP协议的功能是实现IP地址到MAC地址的转换。

每个主机都设有一个ARP高速缓存,操作系统通常会将从网络中得到的IP地址和MAC地址的映射关系存放在本机的高速缓存中,使用arp命令,可以查看、添加和删除高速缓冲区中的ARP表项。

在Windows操作系统中,高速缓存中的ARP表项可以包含动态和静态表项,动态表项随时间推移自动添加和删除,而静态表项则一直保留在高速缓存中,直到人为删除或重启计算机。

2、ICMP协议

ICMP协议是配合IP协议使用的网络层协议,它的报文不是直接传送到数据链路层,而是封装成IP数据报后再传送到数据链路层。

分组网间探测PING是ICMP协议的一个重要应用,它使用ICMP回送请求与回送应答报文,用来测试两个主机之间的连通性。命令格式为:ping 目的IP地址。

ICMP回送请求与回送应答报文格式如下:

类型:8或0 标识符 可选数据 代码:0 校验和 序号 说明:类型为8---回送请求,为0---回送应答

TRACERT程序是ICMP协议的另一个应用,命令格式为:tracert 目的地址。 Tracert从源主机向目的主机发送一连串的IP数据报P1,P1的TTL设置为1,当它到达路径上的第一个路由器R1时,R1先收下它,把P1的TTL值减1,变成0,R1丢弃P1,并向源主机发送一个ICMP超时差错报告报文。源主机接着又发送第二个TTL值为2的IP数据报P2,路径上的第一个路由器把P2的TTL值减小1,当P2到达路径上第二个路由器时,第二个路由器把P2丢弃,并向源主机发送一个ICMP超时差错报告报文。如此继续,最后一个IP数据报到达目的主机时,目的主机和源主机间发送ICMP回送请求与回送应答报文。

路径上的这些路由器和目的主机向源主机发送的ICMP报文告诉源主机,到达目的主机所经过的路由器的IP地址及往返时间。

3、远程终端协议TELNET

Telnet协议基于TCP协议,默认端口号为23。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。

Telnet远程登录服务分为以下4个过程:

1)本地与远程主机建立连接。该过程实际上是建立一个TCP连接,用户必须知道远程主机的Ip地址或域名;

2)将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT(Net Virtual Terminal)格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报;

3)将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端,包括输入命令回显和命令执行结果;

4)最后,本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。 4、网络监听原理

在共享式局域网中,位于同一网段的每台主机都可以截获在网络中传输的所有数据,正常情况下,一个网卡只响应目的地址为单播地址和广播地址的MAC帧而忽略其它MAC帧,网卡接收这两种帧时,通过CPU产生一个硬件中断,然后由操作系统负责处理该中断,对数据帧中的数据做进一步处理。如果将网卡设置为混杂(promiscuous)模式,则可接收所有经过该网卡的数据帧。

交换式网络设备能将数据准确地发给目的主机,而不会同时发给其他计算机,所以在交换网络环境下,实现数据包的监听要复杂些,主要方法有:

(1)对交换机实行端口镜像,将其他端口的数据全部映射到镜像端口,连接在镜像端口上的计算机就可以实施监听了。

(2)将监听程序放在网关或代理服务器上,可抓取整个局域网的数据包。 网络监听的防范方法主要有:从逻辑或物理上对网络分段;以交换机代替共享集线器;使用加密技术;划分VLAN。

本次上机建议采用WireShark软件(网络协议分析器,如WireShark是一个能记录所有网络分组,并以人们可读的形式显示的软件)。官方下载地址:

实验步骤

1、查看本机IP地址与MAC地址

在命令行中输入命令:ipconfig /all ,记录显示结果。 在输入ipconfig/all命令后显示的结果如图1所示: 2、操作本机高速缓存中的ARP表 (1)查看高速缓存中的ARP表 查看命令:arp -a

运行arp –a命令,查看运行结果如图2所示:

因为ARP表项在没有进行手工配置前,通常都是动态ARP表项,所以不同时间运行arp –a命 令,运行结果也不大相同。

对监听到的数据进行分析:结合arp协议工作原理对监听记录进行分析;选择第一条监听记录,分析ARP报文格式。

答:ARP报文格式如下:

(2) 硬件类型是指发送方想知道的硬件类型,对以太网,值为1。协议类型指发送方提供的高层协议类型,对TCP/IP互联网,采用IP地址,值为十六进制的0806。在以太网环境下的ARP报文,硬件地址为48位。

再次用命令arp -a查看ARP表项的变化情况,可以发现多了B的表项。如图4所示:

用ping命令再去ping主机B,保存监听记录为。结果如图所示:

对监听结果进行分析:结合ICMP协议的工作原理对监听记录进行分析;选择一条监听记录,分析IP报文和ICMP询问报文的格式;查看ICMP询问报文的数据部分。

答:(1)IP报文格式:

版本字段:为4。版本占4比特。用来表明IP协议实现的版本号,当前一般为IPv4,即为0100。

报头长度字段:为20bytes。报头长度占4比特,是头部占30比特的数字,包括可选项。

服务类型字段:为0x00。服务类型占8比特。

总长度字段:为60。总长度占16比特,指明整个数据报的长度。最大长度为65535字节。

标志字段:为0x0460(1120)。标志字段占16比特。用来唯一地标识主机发送的每一份数据报。

生存期字段:为128。生存期占8比特,用来设置数据报最多可以经过的路由器数。

协议字段:为ICMP。协议字段占8比特,指明IP层所封装的上层协议类型。 还有标志字段、段偏移字段、可选项字段格式组成。

(2)ICMP询问报文格式:

ICMP报文的前32bits都是三个长度固定的字段,其中包括:type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位)。类型字段跟代码字段决定了ICMP报文的类型,校验和字段包括数据在内的整个ICMP数据包的校验和,其计算方法和IP头部校验和的计算方法一样。一个ICMP报文包括IP头部、ICMP头部和ICMP报文。

选择第三条监听记录查看ICMP询问报文的数据部份如图所示: 与上一次监听结果进行比较,两次监听结果的不同说明了什么问题

答:协议ARP报文解决问题的方法是在主机ARP高速缓存中存放一个从IP地址到硬件地址的映射表,并且这个映射表还经常动态更新(新增或超时删除)。而能够连接到因特网的主机只需拥有统一的IP就能解决非常复杂的硬件地址转换工作,因此在通信时给广大的计算机用户带来很大的方便,而用ARP协议对用户来说是看不见这种调用的过程。

隔2分钟后,再次使用arp –a,记录ARP表项的变化情况如图7所示,并分析原因。

答:结果显示所访问的主机B的IP地址不在其中,这是由于时间超过,当路由器收到生存时间为零时的数据报时,除丢弃该数据报外,还要向源点发送时间超过报文,发生ICMP差错。IP数据报首部的检验和并不检验IP数据的内容,因此ICMP报文产生错误,访问不到。

(2)添加ARP静态表项 命令:arp –s IP地址 MAC地址 –

查看ARP表项,可发现增加了一个类型为static的表项;结果如图10所示 保存监听记录为 ,如图所示

(3)分析监听结果

利用监听结果,分析ICMP超时差错报告报文:

? 选择一条“Time to live exceeded”记录,分析ICMP超时差错报告报文的格式; 答:ICMP超时差错报告报文的格式要有type字段和code字段,即类型字段的值若为11,代码字段为0时就代表超时。

? 选择一条“Time to live exceeded”记录,其中的两个IP首部是一样的吗为什么; 答:不一样,一个是源IP(客户端),另一个是目标IP(服务器),利用ICMP查询报文进行远程监听。

? 针对“Echo(ping) request”记录,观察每个IP数据报的初始TTL值及数据部分内

容;

记录源主机到目的主机所经过的路径及花费的时间。

答:选择第一条Echo(ping) request监听可知TTL的值为1ms;如图所示: 选择第二条Time to live exceeded记录监听 4、远程登录Telnet应用

(1)在主机B中创建管理员用户

在主机B上创建一个新的用户名,并让它属于管理员组,用来进行登录测试。 创建新用户的方法为:

? “管理”--“管理工具”--“本地用户和组”--“用户”; ? 在“操作”菜单中选择“新用户” 把新用户添加进管理员组的方法:

右击“xing18c”项,选择“属性”--“隶属于”--“添加”--“高级”--“立即查找“-- 选择“Administrators”组--“确定”,即可把用户xing18c添加到管理员组中。

具体操作步骤如图15~17所示:

(2)在主机B上启动telnet服务

启动方法:右击我的电脑,选择“管理”--“服务和应用程序”--“服务”,在列表中找到Telnet选项。

右击Telnet属性,在启动类型中改禁用为手动,点击应用。最后再点击服务状态下的启动按钮,确定退出。如图18所示: (3)在主机A上监听

启动监听软件WireShark,过滤条件(capture filters)设置为:port 23,点击start,开始监听。

(4)在主机A上登录主机B “开始”--“运行”—

其操作步骤如图19~20所示: (5)操作主机B中的数据

主机B验证用户名和密码正确无误后,主机A可以进入主机B的目录c:\\Documents and Settings\\xing18c中,此时主机A即可任意操作主机B中所有的数据资料,包括创建、删除、修改、拷贝等操作,就像控制自己机器上的数据一样。例如,输入e:回车,可进入E盘。

(6)输入dir命令,可以看到主机B上在D盘中的所有文件和文件夹信息。如图所示:

(7)输入help命令,显示可用的DOS命令。然后,尝试删除D盘上某个文件或文件夹,如:type ,del 等。输入exit命令,断开跟服务器的连接。

(8)在主机A上点击stop,停止监听,保存监听结果为。若第15条监听记录的窗口下文内容处看到登录提示login:,则从第16条记录开始查看远程登录所用的用户名和密码信息。如图23所示:

实验结果分析 指导教师评阅

1、实验态度:不认真( ),较认真( 2、实验目的:不明确( ),较明确( 3、实验内容:不完整( ),较完整( 4、实验步骤:混乱( ),较清晰( ),清晰(5、实验结果:错误( ),基本正确( 6、实验结果分析:无( ),不充分( 7、其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

实验(八) 打造你的安全个人电脑 实验时间: 同组人员: 实验目的

1.打造安全个人电脑 2.关闭Windows不必要的服务 3.有效的端口设置 4.合适的安全策略设置

) ) ) ) ) ),认真( ),明确( ),完整( ),正确(

),较充分(),充分( )

实验内容

谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: (1) 被他人盗取密码; (2) 系统被木马攻击;

(3) 浏览网页时被恶意的java scrpit程序攻击; (4) QQ被攻击或泄漏信息; (5) 病毒感染;

(6) 系统存在漏洞使他人攻击自己。 (7) 黑客的恶意攻击。

对于电脑安全问题,除非关着的电脑外加隔离,能达到100%安全,其它状态不可能绝对安全。所以,尽量让你的电脑远离隐患,就是我们要做的事。

(二)有效的端口配置——计算机的各个端口的作用;关闭不必要的端口

默认情况下,Windows有很多端口是开放的,在上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。 为了让你的系统变为铜墙铁壁,应该封闭这些端口, 主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口; 一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口);

以及远程服务访问端口3389。 下面介绍如何在WinXP/2000/2003下关闭这些网络端口:

实验步骤

第一步,点击“开始”菜单/设置/控制面板/管理工具, 双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”, 在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”

于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;”以学号姓名命名”

再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,

点击“完成”按钮就创

建了一个新的IP 安全策略。

第二步,右击该IP安全策略,在“属性”对话框中,

把“使用添加向导”左边的钩去掉, 然后单击“添加”按钮添加新的规则,

随后弹出“新规则属性”对话框, 在画面上点击“添加”按钮,

弹出IP筛选器列表窗口;在列表中, 首先把“使用添加向导”左边的钩去掉,

然后再点击右边的“添加”按钮添加新的筛选器。”以学号姓名命名”

第三步,进入“筛选器属性”对话框, 首先看到的是寻址,源地址选“任何 IP 地址”, 目标地址选“我的 IP 地址”; 点击“协议”选项卡, 在“选择协议类型”的下拉列表中选择“TCP”, 然后在“到此端口”下的文本框中输入“135”, 点击“确定”按钮,

这样就添加了一个屏蔽 TCP 135

(RPC)端口的筛选器, 它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框, 可以看到已经添加了一条策略,

重复以上步骤继续添加 TCP 137、139、445、593 端口 和 UDP 135、139、445 端口,为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,

建立好上述端口的筛选器,最后点击“确定”按钮。 第四步,在“新规则属性”对话框中, 选择“新 IP 筛选器列表学号姓名”, 然后点击其左边的圆圈上加一个点,

表示已经激活,最后点击“筛选器操作”选项卡。

在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,

点击“添加”按钮,添加作:

“阻止”操

在“新筛选器操作属性”的“安全措施”选项卡中, 选择“阻止”,然后点击“确定”按钮。

第五步、进入“新规则属性”对话框, 点击“新筛选器操作”,其左边的圆圈会加了一个点, 表示已经激活,点击“关闭”按钮,关闭对话框; 最后回到“新IP安全策略属性”对话框, 在“新的IP筛选器列表”左边打钩,

按“确定”按钮关闭对话框。在“本地

安全策略”窗口, 用鼠标右击新添加的 IP 安全策略,然后选择“指派”。 于是重新启动后,电脑中上述网络端口就被关闭了, 病毒和黑客再也不能连上这些端口,从而保护了你的电脑。

(三)合适的安全策略

背景知识:Windows XP给我们提供了一项非常有用的功能:安全审核功能。安全审核可以用日志的形式记录好几种与安全相关的事件,可以使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有效法律证据。

1.打开审核策略

Windows XP的默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核(如图1)。 (注意:家庭版中是没有“本地安全策略”的)

图1制定审核策略

1)策略更改:安全策略更改,包括特权指派、审核策略修改和信任关系修改。这一类必须同时审核它的成功或失败事件。

2)登录事件:对本地计算机的交互式登录或网络连接。这一类必须同时审核它的成功和失败事件。

3)对象访问:必须启用它以允许审核特定的对象,这一类需要审核它的失败事件。

4)过程追踪:详细跟踪进程调用、重复进程句柄和进程终止,这一类可以根据需要选用。

5)目录服务访问:记录对Active Directory的访问,这一类需要审核它的失败事件。

6)特权使用:某一特权的使用;专用特权的指派,这一类需要审核它的失败事件。

7)系统事件:与安全(如系统关闭和重新启动)有关的事件;影响安全日志的事件,这一类必须同时审核它的成功和失败事件。

8)账户登录事件:验证(账户有效性)通过网络对本地计算机的访问,这一类必须同时审核它的成功和失败事件。

9)账户管理:创建、修改或删除用户和组,进行密码更改,这一类必须同时审核它的成功和失败事件。

10)打开以上的审核后,当有人尝试对你的系统进行某些方式(如尝试用户密码,改变账户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来,存放在“事件查看器”中的安全日志中。

另外在“本地安全策略”中还可开启账户策略,如在账户锁定策略中设定,账户锁定阀值为三次(那么当三次无效登录将锁定),然后将账户锁定时间设定为30分钟,甚至更长。这样,黑客想要攻击你,一天24小时试密码也试不了几次,而且还要冒着被记录追踪的危险。

审核策略设置完成后,需要重新启动计算机才能生效。这里需要说明的是,审核项目既不能太多,也不能太少。如果太少的话,你如果想查看黑客攻击的迹象却发现没有记录,那就没办法了,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完那些安全日志,这样就失去了审核的意义。

2. 对文件和文件夹访问的审核

在基于 Windows XP 的计算机上,您可以在本地和远程用户之间共享文件。本地用户通过其自己的帐户或来宾帐户可以直接登录到您的计算机上。远程用户可以通过网络连接到您的计算机,并可以访问在您的计算机上共享的文件。 您可以通过查看文件夹的属性来访问简单文件共享用户界面。通过简单文件共享用户界面,可以在文件夹级别上配置共享和 NTFS 文件系统权限。这些权限适用于文件夹、文件夹中的所有文件、子文件夹和子文件夹中的所有文件。在文件夹中创建的或复制到文件夹中的文件和文件夹继承为其父文件夹定义的权限。

打开和关闭简单文件共享

注意基于 Windows XP Home Edition 的计算机始终启用简单文件共享。

默认情况下,在加入到工作组中的基于 Windows XP Professional 的计算机中,简单文件共享界面处于打开状态。加入到域中的基于 Windows XP Professional 的计算机只使用传统的文件共享和安全界面。当使用简单文件共享用户界面(位于文件夹的属性中)时,将同时配置共享和文件权限。

如果关闭简单文件共享,您对各个用户的权限就会有更多的控制。但是必须对 NTFS 和共享权限有深入的了解,以确保您的文件夹和文件更加安全。如果关闭简单文件共享,则不关闭共享文档功能。

要在 Windows XP Professional 中打开或关闭简单文件共享,请按照下列步骤操作: 单击桌面上的“开始”,然后单击“我的电脑”。

1. 在“工具”菜单上,单击“文件夹选项”。 2.

单击“查看”选项卡,然后选中“使用简单文件共享(推荐)”复选框以打开简单文件共享。(清除此复选框将关闭此功能。)

对文件和文件夹访问的审核,首先要求审核的文件或文件夹必须位于NTFS分区之上,其次必须如上所述打开对象访问事件审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。

实验结果分析 指导教师评阅

1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( )

6、实验结果分析:无( ),不充分( ),较充分( ),充分( )

7、其它补充: 总评成绩: 评阅教师(签字): 评阅时间:

中南民族大学管理学院实验报告(终审稿) - 图文

中南民族大学管理学院实验报告PleasureGroupOffice【T985AB-B866SYT-B182C-BS682T-STT18】中南民族大学管理学院学生实验报告课程名称
推荐度:
点击下载文档文档为doc格式
8ugud1ft3d3fre38hic91cf865brly010nz
领取福利

微信扫码领取福利

微信扫码分享