網(wǎng)絡(luò)安全防護(hù)操作題

本文格式為Word版，下載可任意編輯——網(wǎng)絡(luò)安全防護(hù)操作題四、試驗(yàn)題(10道)

5-192依照國家電網(wǎng)公司SG186工程信息化建設(shè)要求，公司開發(fā)建設(shè)了某應(yīng)用系統(tǒng)，系統(tǒng)采用Windows2023平臺提供服務(wù)，根據(jù)等級保護(hù)建設(shè)和公司信息安全要求，需要根據(jù)如下具體要求對系統(tǒng)進(jìn)行配置和安全加固。

(1)對登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別，操作系統(tǒng)管理用戶身份標(biāo)識具有不易被冒用的特點(diǎn)，口令有繁雜度并定期更換，同時對系統(tǒng)賬號進(jìn)行優(yōu)化，禁用不必要的賬號。(2)根據(jù)應(yīng)用系統(tǒng)服務(wù)端口最小化原則，關(guān)閉不必要的網(wǎng)絡(luò)端口和服務(wù)。(3)加強(qiáng)日志審核，調(diào)整審核策略，調(diào)整事件日志的大小和覆蓋策略。

(4)為進(jìn)一步提高系統(tǒng)安全性，需要阻止匿名用戶連接(空連接)，阻止系統(tǒng)顯示上次登錄的用戶名，刪除主機(jī)默認(rèn)共享，阻止dumpfile的產(chǎn)生。答案要點(diǎn)：1．

(1)本地安全設(shè)置I賬戶策略I密碼策略，對密碼策略進(jìn)行設(shè)置。密碼繁雜性要求：啟用。密碼長度最小值：8字符；密碼最短存留期：0天。

(2)本地安全設(shè)置I賬戶策略I賬戶鎖定策略，對賬戶鎖定策略進(jìn)行設(shè)置：復(fù)位賬戶鎖定計(jì)數(shù)器：15min。賬戶鎖定時間：15min。賬戶鎖定閥值：5次。

(3)更改默認(rèn)管理員賬號，本地安全設(shè)置I本地策略I安全選項(xiàng)I重命名系統(tǒng)管理員賬號。(4)計(jì)算機(jī)管理I系統(tǒng)工具I本地用戶和組I用戶，刪除非法賬號或多余賬號。2．

通過開始I運(yùn)行Iservices．msc，將不必要的服務(wù)啟動類型設(shè)置為手動并中止，或者禁用。需要停用的服務(wù)主要有：

(1)Server：網(wǎng)絡(luò)共享與IPC$。

(2)RemoteRegistry：遠(yuǎn)程管理注冊表，開啟此服務(wù)帶來一定的風(fēng)險(xiǎn)。(3)PrintSpooler：假使相應(yīng)服務(wù)器沒有打印機(jī)，可以關(guān)閉此服務(wù)。(4)Alerter：遠(yuǎn)程發(fā)送警告信息。

(5)ComputerBrowser(計(jì)算機(jī)瀏覽器)：維護(hù)網(wǎng)絡(luò)上更新的計(jì)算機(jī)清單。(6)Messenger：允許網(wǎng)絡(luò)之間相互傳送提醒信息的功能，如netsend。(7)TaskScheduler：計(jì)劃任務(wù)。3．

(1)本地安全設(shè)置I本地策略I審核策略，進(jìn)行審核策略調(diào)整。修改安全策略為下述值：審核策略更改成功審核登錄事件無審核審核對象訪問成功，失敗審核過程追蹤無審核審核目錄服務(wù)訪問無審核審核特權(quán)使用無審核審核系統(tǒng)事件成功，失敗審核賬戶登錄事件成功，失敗審核賬戶管理成功，失敗

(2)管理工具I事件查看器，設(shè)置應(yīng)用程序、安全性、系統(tǒng)三者的默認(rèn)“最大日志文件大小〞

和“覆蓋策略〞。應(yīng)用程序、安全性、系統(tǒng)三者的“最大日志文件大小〞調(diào)整為16384K：覆蓋策略調(diào)整為“改寫久于30天的事件〞。4．

(1)阻止匿名用戶連接，修改注冊表如下鍵值：

HKLM＼SYSTEM＼CurrentControlSet＼Control＼Lsa

“restrictanonymous〞的值修改為“1〞，類型為REGDWORD。(2)阻止系統(tǒng)顯示上次登錄的用戶名，修改注冊表如下鍵值：

HKLM＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼DontDisplayLastUserName把REGSZ的鍵值改成1。(3)刪除主機(jī)默認(rèn)共享，增加注冊表鍵值。

HKLM＼SYSTEM＼CurrentControlSet＼Services＼lanmanserver＼parametersAutoshareserver項(xiàng)，并設(shè)置該值為“1〞。(4)阻止dumpfile的產(chǎn)生。

控制面板I系統(tǒng)屬性I高級I啟動和故障恢復(fù)，把“寫入調(diào)試信息〞改成無。

5-193國家電網(wǎng)公司內(nèi)部需要利用WindowsServer2023服務(wù)器再發(fā)布多個Web站點(diǎn)，但是只能使用一個IP和標(biāo)準(zhǔn)的80端口。多個站點(diǎn)的地FQDN是news．sgl86．com，hr．sgl86．com，finance．sgl86．com。其中，hr．sgl86．com涉及到表單登錄，需要有更強(qiáng)的安全防護(hù)措施。新增的三個站點(diǎn)必需保證互不影響，即一個站點(diǎn)的意外中止運(yùn)行不會影響到其他站點(diǎn)。請配置相關(guān)的DNS和服務(wù)器。

答案要點(diǎn)：

(1)多主機(jī)頭，DNS主機(jī)記錄的注冊。

(2)申請證書，對hr．sgl86．com站點(diǎn)進(jìn)行SSL封裝。(3)創(chuàng)立不同的應(yīng)用程序池，并應(yīng)用到不同的三個站點(diǎn)。

5-194如何對默認(rèn)安裝的WindowsServer2023服務(wù)器進(jìn)行安全加固，以防范中c$入侵。

答案要點(diǎn)：

(1)阻止空連接進(jìn)行枚舉(此操作并不能阻止空連接的建立)。首先運(yùn)行regedit，找到如下主鍵

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA]把RestrictAnonymous=DWORD的鍵值改為：00000001。0x0缺省

0x1匿名用戶無法列舉本機(jī)用戶列表

0x2匿名用戶無法連接本機(jī)IPC$共享

說明：不建議使用2，否則可能會造成你的一些服務(wù)無法啟動，如SQLServer(2)阻止默認(rèn)共享。1)觀測本地共享資源。運(yùn)行-cmd-輸入netshare2)刪除各共享。

netshareipc$／deletenetshareadmin$／deletenetsharec$／delete

netshared$／delete(假使有e，f，??可以繼續(xù)刪除)3)修改注冊表，刪除默認(rèn)共享。

運(yùn)行-regedit找到如下主鍵[HKEYLOCALMACHINE\\SYSTEM\\CurrentControlSet＼Services＼LanmanServer＼Parameters]

把AutoShareServer(DWORD)的鍵值改為0000000。

假使上面所說的主鍵不存在，就新建(右鍵單擊I新建I雙字節(jié)值)一個主鍵再改鍵值。(3)中止server服務(wù)。1)中止server服務(wù)。

2)永久關(guān)閉ipc$和默認(rèn)共享依靠的服務(wù)：lanmanserver即server服務(wù)

控制面板I管理工具I服務(wù)I找到server服務(wù)(右擊)I屬性I常規(guī)I啟動類型I已禁用(4)安裝防火墻(選中相關(guān)設(shè)置)，或者端口過濾(濾掉139，445等)。1)取消“文件和打印機(jī)共享〞與網(wǎng)絡(luò)適配器的綁定。

鼠標(biāo)右鍵單擊桌面上的網(wǎng)絡(luò)鄰居I屬性I本地連接I屬性，去掉“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享〞前面的勾，解開文件和打印機(jī)共享綁定。這樣就會阻止所有從139和445端口來的請求，別人也就看不到本機(jī)的共享了。2)利用TCP/IP篩選。

鼠標(biāo)右擊桌面上的網(wǎng)絡(luò)鄰居I屬性I本地連接I屬性，開啟“本地連接屬性〞對話框。選擇Internet協(xié)議(TCP/IP)I屬性I高級I選項(xiàng)，在列表中單擊選中“TCP/IP篩選〞選項(xiàng)。單擊屬性按鈕，選擇“只允許〞，再單擊添加按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進(jìn)行掃描時，將不會有任何回應(yīng)。3)使用IPSec安全策略阻止對端口139和445的訪問。

選擇我的電腦I控制面板I管理工具I本地安全策略IIP安全策略，在本地機(jī)器，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規(guī)則，這樣別人使用掃描器掃描時，本機(jī)的139和445兩個端口也不會給予任何回應(yīng)。4)使用防火墻防范攻擊。

在防火墻中也可以設(shè)置阻止其他機(jī)器使用本機(jī)共享。在個人防火墻，選擇一條空規(guī)則，設(shè)置數(shù)據(jù)包方向?yàn)椤敖邮炸?，對方IP地址選“任何地址〞，協(xié)議設(shè)定為“TCP〞，本地端口設(shè)置為“139到139\，對方端口設(shè)置為“0到0〞，設(shè)置標(biāo)志位為“SYN〞，動作設(shè)置為“攔截〞，最終單擊確定按鈕，并在“自定義ip規(guī)則〞列表中勾選此規(guī)則即可啟動攔截139端口攻擊了。(5)給所有賬戶設(shè)置繁雜密碼，密碼包括大寫字母、小寫字母、數(shù)字、特別字符種的至少三項(xiàng)，長度不少于8位，防止通過ipc$窮舉密碼。

5-195給一臺使用默認(rèn)設(shè)置安裝好的Linux服務(wù)器，如何配置以加強(qiáng)這臺服務(wù)器的安全性?

(再明確點(diǎn))

答案要點(diǎn)：

(1)用防火墻關(guān)閉不必需的任何端口，別人PING不到服務(wù)器，要挾自然減少了一大半防止別人ping的方法：1)命令提醒符下打。

echo1>／proc／sys／net／ipv4／icmp_ignore_all2)用防火墻阻止(或丟棄)icmp包。iptables-AINPUT-picmp-jDROP

3)對所有用ICMP通信的包不予響應(yīng)。譬如PINGTRACERT

(2)更改SSH端口，最好改為10000以上，別人掃描到端口的幾率也會下降。vi／etc／ssh／sshd_config將PORT改為1000以上端口。

同時，創(chuàng)立一個普通登錄用戶，并取消直接root登錄。useradd'USemanle'passwd'usemame'

vi／etc／ssh／sshd_config在最終添加如下一句：

PermitRootLoginnO#取消root直接遠(yuǎn)程登錄(3)刪除系統(tǒng)臃腫多余的賬號：

userdeladmuserdellpuserdelsyncuserdelshutdownuserdelhaltuserdelnewsuserdeluucpuserdeloperatoruserdelgamesuserdelgopheruserdelftp假使你不允許匿名FTP，就刪掉這個用戶賬號groupdeladmgroupdellpgroupdelnewsgroupdeluucpgroupdelgamesgroupdeldipgroupdelpppusers

(4)更改以下文件權(quán)限，使任何人沒有更改賬產(chǎn)權(quán)限：

chattr+i／etc／passwdchattr+i／etc／shadowchattr+i／etc／groupchattr+i／etc／gshadow

(5)chmod600／etc／xinetd．conf。(6)關(guān)閉FTP匿名用戶登錄。

5-196某房間墻上有1個網(wǎng)口，可以為MAC地址為

(00-FF-E4-4C-27-8A)的設(shè)備提供(ip-mac)綁定的接入因特網(wǎng)服務(wù)，該IP配置信息如下：

Ip：10．2．100．3

Netmask：255．255．255．0Gateway：10．2．100．254DNS：10．2．200．1

如何配置一臺天融信防火墻NGFW4000，使得某個網(wǎng)段(192．168．0．1／24)的機(jī)器能通過此網(wǎng)口接入因特網(wǎng)?答案要點(diǎn)：

(1)在此防火墻上定義兩個網(wǎng)口，分別命名為Internet口和Trust口。

(2)為Internet口修改MAC地址為00-FF-E4-4C-27-8A，同時設(shè)定下一條路由為10．2．100．254。

(3)在防火墻NAT設(shè)置里添加地址轉(zhuǎn)換規(guī)則，在其中單擊高級選項(xiàng)，在源中選擇TRUST，目

的中選擇INTERNET。

5-197如何使用一臺雙網(wǎng)卡的Linux服務(wù)器實(shí)現(xiàn)NAT功能?

答案要點(diǎn)：(1)設(shè)網(wǎng)卡。外網(wǎng)網(wǎng)卡

DEVICE=eth0

IPADDR=(外網(wǎng)IP)NETMASK=255．255．255．0GATEWAY=(外網(wǎng)網(wǎng)關(guān))dns服務(wù)器設(shè)置DEVICE=eth1

IPADDR=(內(nèi)網(wǎng)IP)NETMASK：255．255．255．0

(2)開啟內(nèi)核數(shù)據(jù)包轉(zhuǎn)發(fā)功能：echo“1〞>／proc／sys／net／ipv4／ip_forward。(3)防火墻設(shè)置數(shù)據(jù)包轉(zhuǎn)發(fā)偽裝：iptables-tnat-APOSTROUTING-s192．168．0．0／24-oeth1-iSNAT-to-source(外網(wǎng)IP)。

5-198現(xiàn)在某單位機(jī)房內(nèi)需新上線一臺信息外網(wǎng)Web服務(wù)器對公眾提供Web訪問服務(wù)，服務(wù)端口為80，該服務(wù)器IP為10．2．100．100，該服務(wù)器接在防火墻的DMZ區(qū)，對外服務(wù)映射公網(wǎng)IP為210．176．110．2。如何配置防火墻，使得防火墻INTERNET區(qū)(連接Internet)和TRUST區(qū)(單位內(nèi)用戶)可以正常訪問該服務(wù)器，同時服務(wù)器還能自動訪問微軟站點(diǎn)進(jìn)行安全升級?

答案要點(diǎn)：

(1)在防火墻Internet區(qū)進(jìn)行NAT映射，將10．2．100．100映射為210．176．110．2；(2)開通防火墻Internet區(qū)Any用戶到DMZ區(qū)10．2．100．10080端口的訪問策略；(3)開通防火墻TRUST區(qū)Any用戶到DMZ區(qū)10．2．100．10080端口的訪問策略：

(4)開通防火墻DMZ區(qū)10．2．100．100到微軟站點(diǎn)80端口的訪問策略，同時設(shè)置源地址轉(zhuǎn)換。

5-199現(xiàn)有一臺防火墻、一臺IDS、兩臺PC、一臺交換機(jī)，若干網(wǎng)線，請搭建環(huán)境演示在利用一臺PC對另外一臺PC發(fā)動入侵攻擊時，如何通過IDS和防火墻的聯(lián)動來在防火墻上對攻擊PC的p進(jìn)行封堵。

答案要點(diǎn)：

(1)網(wǎng)絡(luò)配置要點(diǎn)：

1)防火墻上設(shè)置Untmst口和Trust口，攻擊機(jī)器接入U(xiǎn)ntrust口，被攻擊機(jī)器和IDS通過交換機(jī)接入Trust口。

2)在交換機(jī)上進(jìn)行端口鏡像，將被攻擊機(jī)器所接端口流量鏡像到IDS接入端口上。(2)攻擊演示要點(diǎn)：

1)在攻擊機(jī)器上對被攻擊機(jī)進(jìn)行掃描探測。2)觀測IDS日志，記錄攻擊ip并截屏。3)在防火墻上對攻擊IP進(jìn)行封堵。

5-200現(xiàn)有一臺IPS、兩臺PC、若干網(wǎng)線，請搭建環(huán)境演示在利用一臺PC對另外一臺PC發(fā)動一種特定規(guī)則包入侵攻擊時，如何通過被攻擊機(jī)上的抓包軟件進(jìn)行數(shù)據(jù)包分析，并通過在IPS上設(shè)置相應(yīng)的阻斷規(guī)則來阻止相應(yīng)的攻擊。

答案