網(wǎng)絡(luò)安全防護(hù)操作題

網(wǎng)絡(luò)安全防護(hù)操作題（總11

頁(yè)）本頁(yè)僅作為文檔封面，使用時(shí)可以刪除Thisdocumentisforreferenceonly-rar21year.March

四、實(shí)驗(yàn)題(10道)5-192按照國(guó)家電網(wǎng)公司SG186工程信息化建設(shè)要求，公司開(kāi)發(fā)建設(shè)了某應(yīng)用系統(tǒng)，系統(tǒng)采用Windows2O03平臺(tái)提供服務(wù)，根據(jù)等級(jí)保護(hù)建設(shè)和公司信息安全要求，需要根據(jù)如下具體要求對(duì)系統(tǒng)進(jìn)行配置和安全加固。對(duì)登錄操作系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，操作系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)具有不易被冒用的特點(diǎn)，口令有復(fù)雜度并定期更換，同時(shí)對(duì)系統(tǒng)賬號(hào)進(jìn)行優(yōu)化，禁用不必要的賬號(hào)。根據(jù)應(yīng)用系統(tǒng)服務(wù)端口最小化原則，關(guān)閉不必要的網(wǎng)絡(luò)端口和服務(wù)。增強(qiáng)日志審核，調(diào)整審核策略，調(diào)整事件日志的大小和覆蓋策略。為進(jìn)一步提高系統(tǒng)安全性，需要禁止匿名用戶(hù)連接(空連接)，禁止系統(tǒng)顯示上次登錄的用戶(hù)名，刪除主機(jī)默認(rèn)共享，禁止dumpfile的產(chǎn)生。答案要點(diǎn)：1．本地安全設(shè)置I賬戶(hù)策略I密碼策略，對(duì)密碼策略進(jìn)行設(shè)置。密碼復(fù)雜性要求：?jiǎn)⒂?。密碼長(zhǎng)度最小值：8字符；密碼最短存留期：0天。本地安全設(shè)置I賬戶(hù)策略I賬戶(hù)鎖定策略，對(duì)賬戶(hù)鎖定策略進(jìn)行設(shè)置：復(fù)位賬戶(hù)鎖定計(jì)數(shù)器：15min。賬戶(hù)鎖定時(shí)間：15min。賬戶(hù)鎖定閥值：5次。更改默認(rèn)管理員賬號(hào)，本地安全設(shè)置I本地策略I安全選項(xiàng)I重命名系統(tǒng)管理員賬號(hào)。計(jì)算機(jī)管理I系統(tǒng)工具I本地用戶(hù)和組I用戶(hù)，刪除非法賬號(hào)或多余賬號(hào)。2．通過(guò)開(kāi)始I運(yùn)行Iservices,msc，將不必要的服務(wù)啟動(dòng)類(lèi)型設(shè)置為手動(dòng)并停止，或者禁用。需要停用的服務(wù)主要有：⑴Server:網(wǎng)絡(luò)共享與IPC$。RemoteRegistry:遠(yuǎn)程管理注冊(cè)表，開(kāi)啟此服務(wù)帶來(lái)一定的風(fēng)險(xiǎn)。PrintSpooler:如果相應(yīng)服務(wù)器沒(méi)有打印機(jī)，可以關(guān)閉此服務(wù)。⑷Alerter：遠(yuǎn)程發(fā)送警告信息。ComputerBrowser(計(jì)算機(jī)瀏覽器)：維護(hù)網(wǎng)絡(luò)上更新的計(jì)算機(jī)清單。Messenger:允許網(wǎng)絡(luò)之間互相傳送提示信息的功能，如netsend。TaskScheduler：計(jì)劃任務(wù)。3．本地安全設(shè)置I本地策略I審核策略，進(jìn)行審核策略調(diào)整。修改安全策略為下述值：審核策略更改成功審核登錄事件無(wú)審核審核對(duì)象訪(fǎng)問(wèn)成功，失敗審核過(guò)程追蹤無(wú)審核審核目錄服務(wù)訪(fǎng)問(wèn)無(wú)審核審核特權(quán)使用無(wú)審核審核系統(tǒng)事件成功，失敗審核賬戶(hù)登錄事件成功，失敗審核賬戶(hù)管理成功，失敗管理工具I事件查看器，設(shè)置應(yīng)用程序、安全性、系統(tǒng)三者的默認(rèn)“最大日志文件大小”和“覆蓋策略”。應(yīng)用程序、安全性、系統(tǒng)三者的“最大日志文件大小”調(diào)整為16384K:覆蓋策略調(diào)整為“改寫(xiě)久于30天的事件”。4．禁止匿名用戶(hù)連接，修改注冊(cè)表如下鍵值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的值修改為“1”，類(lèi)型為REGDWORD。禁止系統(tǒng)顯示上次登錄的用戶(hù)名，修改注冊(cè)表如下鍵值：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REGSZ的鍵值改成1。刪除主機(jī)默認(rèn)共享，增加注冊(cè)表鍵值。HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoshareserver項(xiàng)，并設(shè)置該值為“1”。⑷禁止dumpfile的產(chǎn)生。控制面板I系統(tǒng)屬性I高級(jí)I啟動(dòng)和故障恢復(fù)，把“寫(xiě)入調(diào)試信息”改成無(wú)。5-193國(guó)家電網(wǎng)公司內(nèi)部需要利用WindowsServer2003服務(wù)器再發(fā)布多個(gè)Web站點(diǎn)，但是只能使用一個(gè)IP和標(biāo)準(zhǔn)的80端口。多個(gè)站點(diǎn)的地FQDN是news.sgl86?com,hr.sgl86?com,finance?sgl86?com。其中，hr.sgl86.com涉及到表單登錄，需要有更強(qiáng)的安全防護(hù)措施。新增的三個(gè)站點(diǎn)必需保證互不影響,即一個(gè)站點(diǎn)的意外停止運(yùn)行不會(huì)影響到其他站點(diǎn)。請(qǐng)配置相關(guān)的DNS和服務(wù)器。答案要點(diǎn)：多主機(jī)頭，DNS主機(jī)記錄的注冊(cè)。申請(qǐng)證書(shū)，對(duì)hr.sgl86.com站點(diǎn)進(jìn)行SSL封裝。創(chuàng)建不同的應(yīng)用程序池,并應(yīng)用到不同的三個(gè)站點(diǎn)。5-194如何對(duì)默認(rèn)安裝的WindowsServer2003服務(wù)器進(jìn)行安全加固，以防范中c$入侵。答案要點(diǎn)：禁止空連接進(jìn)行枚舉(此操作并不能阻止空連接的建立)。首先運(yùn)行regedit，找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous=DWORD的鍵值改為：00000001。0x0缺省0x1匿名用戶(hù)無(wú)法列舉本機(jī)用戶(hù)列表0x2匿名用戶(hù)無(wú)法連接本機(jī)IPC$共享說(shuō)明：不建議使用2,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng)，如SQLServer禁止默認(rèn)共享。察看本地共享資源。運(yùn)行-cmd-輸入netshare刪除各共享。netshareipc$／deletenetshareadmin$／deletenetsharec$／deletenetshared$/delete(如果有e,f, 可以繼續(xù)刪除)3） 修改注冊(cè)表，刪除默認(rèn)共享。運(yùn)行-regedit找到如下主鍵[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的鍵值改為0000000。如果上面所說(shuō)的主鍵不存在，就新建（右鍵單擊I新建I雙字節(jié)值）一個(gè)主鍵再改鍵值。（3） 停止server服務(wù)。1） 停止server服務(wù)。2） 永久關(guān)閉ipc$和默認(rèn)共享依賴(lài)的服務(wù)：lanmanserver即server服務(wù)控制面板I管理工具I服務(wù)I找到server服務(wù)（右擊）I屬性I常規(guī)I啟動(dòng)類(lèi)型I已禁用（4） 安裝防火墻（選中相關(guān)設(shè)置），或者端口過(guò)濾（濾掉139，445等）。1） 取消“文件和打印機(jī)共享”與網(wǎng)絡(luò)適配器的綁定。鼠標(biāo)右鍵單擊桌面上的網(wǎng)絡(luò)鄰居I屬性I本地連接I屬性，去掉“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾，解開(kāi)文件和打印機(jī)共享綁定。這樣就會(huì)禁止所有從139和445端口來(lái)的請(qǐng)求，別人也就看不到本機(jī)的共享了。2） 利用TCP/IP篩選。鼠標(biāo)右擊桌面上的網(wǎng)絡(luò)鄰居I屬性I本地連接I屬性，打開(kāi)“本地連接屬性”對(duì)話(huà)框。選擇Internet協(xié)議（TCP/IP）I屬性I高級(jí)I選項(xiàng)，在列表中單擊選中“TCP/IP篩選”選項(xiàng)。單擊屬性按鈕，選擇“只允許”，再單擊添加按鈕（如圖2），填入除了139和445之外要用到的端口。這樣別人使用掃描器對(duì)139和445兩個(gè)端口進(jìn)行掃描時(shí)，將不會(huì)有任何回應(yīng)。3） 使用IPSec安全策略阻止對(duì)端口139和445的訪(fǎng)問(wèn)。選擇我的電腦I控制面板I管理工具I本地安全策略IIP安全策略，在本地機(jī)器，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪(fǎng)問(wèn)IP地址的IPSec安全策略規(guī)則，這樣別人使用掃描器掃描時(shí)，本機(jī)的139和445兩個(gè)端口也不會(huì)給予任何回應(yīng)。4） 使用防火墻防范攻擊。在防火墻中也可以設(shè)置阻止其他機(jī)器使用本機(jī)共享。在個(gè)人防火墻，選擇一條空規(guī)則，設(shè)置數(shù)據(jù)包方向?yàn)椤敖邮铡保瑢?duì)方IP地址選“任何地址”，協(xié)議設(shè)定為“TCP”，本地端口設(shè)置為“139到139"，對(duì)方端口設(shè)置為“0到0”，設(shè)置標(biāo)志位為“SYN"，動(dòng)作設(shè)置為“攔截”，最后單擊確定按鈕，并在“自定義ip規(guī)則”列表中勾選此規(guī)則即可啟動(dòng)攔截139端口攻擊了。（5） 給所有賬戶(hù)設(shè)置復(fù)雜密碼，密碼包括大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符種的至少三項(xiàng)，長(zhǎng)度不少于8位，防止通過(guò)ipc$窮舉密碼。5-195給一臺(tái)使用默認(rèn)設(shè)置安裝好的Linux服務(wù)器，如何配置以加強(qiáng)這臺(tái)服務(wù)器的安全性(再明確點(diǎn))答案要點(diǎn)：用防火墻關(guān)閉不須要的任何端口，別人PING不到服務(wù)器，威脅自然減少了一大半防止別人ping的方法：1)命令提示符下打。echo1＞／proc／sys／net／ipv4／icmp_ignore_all用防火墻禁止(或丟棄)icmp包。iptables-AINPUT-picmp-jDROP對(duì)所有用ICMP通信的包不予響應(yīng)。比如PINGTRACERT更改SSH端口，最好改為10000以上，別人掃描到端口的幾率也會(huì)下降。vi／etc／ssh／sshd_config將PORT改為1000以上端口。同時(shí)，創(chuàng)建一個(gè)普通登錄用戶(hù)，并取消直接root登錄。useradd'USemanle'passwd'usemame'vi／etc／ssh／sshd_config在最后添加如下一句：PermitRootLoginnO#取消root直接遠(yuǎn)程登錄刪除系統(tǒng)臃腫多余的賬號(hào)：userdeladmuserdellpuserdelsyncuserdelshutdownuserdelhaltuserdelnewsuserdeluucpuserdeloperatoruserdelgamesuserdelgopheruserdelftp女口果你不允許匿名FTP，就刪掉這個(gè)用戶(hù)賬號(hào)groupdeladmgroupdellpgroupdelnewsgroupdeluucpgroupdelgamesgroupdeldipgroupdelpppusers更改下列文件權(quán)限，使任何人沒(méi)有更改賬產(chǎn)權(quán)限：chattr+i／etc／passwdchattr+i／etc／shadowchattr+i／etc／groupchattr+i／etc／gshadowchmod600／etc／xinetd．conf。關(guān)閉FTP匿名用戶(hù)登錄。5-196某房間墻上有1個(gè)網(wǎng)口，可以為MAC地址為(00-FF-E4-4C-27-8A)的設(shè)備提供(ip-mac)綁定的接入因特網(wǎng)服務(wù)，該IP配置信息如下：Ip：10．2．100．3Netmask：255．255．255．0Gateway：10．2．100．254DNS：10．2．200．1如何配置一臺(tái)天融信防火墻NGFW4000，使得某個(gè)網(wǎng)段(192.168.0.1/24)的機(jī)器能通過(guò)此網(wǎng)口接入因特網(wǎng)答案要點(diǎn)：在此防火墻上定義兩個(gè)網(wǎng)口，分別命名為Internet口和Trust口。為Internet口修改MAC地址為00-FF-E4-4C-27-8A，同時(shí)設(shè)定下一條路由為10.2.100.254。在防火墻NAT設(shè)置里添加地址轉(zhuǎn)換規(guī)則，在其中單擊高級(jí)選項(xiàng)，在源中選擇TRUST,目的中選擇INTERNET。5-197如何使用一臺(tái)雙網(wǎng)卡的Linux服務(wù)器實(shí)現(xiàn)NAT功能答案要點(diǎn)：設(shè)網(wǎng)卡。外網(wǎng)網(wǎng)卡DEVICE=eth0IPADDR=(外網(wǎng)IP)NETMASK=255.255.255.0GATEWAY=(外網(wǎng)網(wǎng)關(guān))dns服務(wù)器設(shè)置DEVICE=eth1IPADDR=(內(nèi)網(wǎng)IP)NETMASK：255.255.255.0打開(kāi)內(nèi)核數(shù)據(jù)包轉(zhuǎn)發(fā)功能：echo“1”>/proc/sys/net/ipv4/ip_forward。防火墻設(shè)置數(shù)據(jù)包轉(zhuǎn)發(fā)偽裝：iptables-tnat-APOSTROUTING-s192.168.0.0/24-oeth1-iSNAT-to-source(外網(wǎng)IP)。5-198現(xiàn)在某單位機(jī)房?jī)?nèi)需新上線(xiàn)一臺(tái)信息外網(wǎng)Web服務(wù)器對(duì)公眾提供Web訪(fǎng)問(wèn)服務(wù)，服務(wù)端口為80,該服務(wù)器IP為10?2.100.100,該服務(wù)器接在防火墻的DMZ區(qū)，對(duì)外服務(wù)映射公網(wǎng)IP為210.176.110.2。如何配置防火墻，使得防火墻INTERNET區(qū)（連接Internet）和TRUST區(qū)（單位內(nèi)用戶(hù)）可以正常訪(fǎng)問(wèn)該服務(wù)器，同時(shí)服務(wù)器還能自動(dòng)訪(fǎng)問(wèn)微軟站點(diǎn)進(jìn)行安全升級(jí)答案要點(diǎn)：（1）在防火墻Internet區(qū)進(jìn)行NAT映射，將10.2.100.100映射為；⑵開(kāi)通防火墻Internet區(qū)Any用戶(hù)到DMZ區(qū)10.2.100.10080端口的訪(fǎng)問(wèn)策略；⑶開(kāi)通防火墻TRUST區(qū)Any用戶(hù)到DMZ區(qū)10.2.100.10080端口的訪(fǎng)問(wèn)策略：⑷開(kāi)通防火墻DMZ區(qū)10.2.100.100到微軟站點(diǎn)80端口的訪(fǎng)問(wèn)策略，同時(shí)設(shè)置源地址轉(zhuǎn)換。5-199現(xiàn)有一臺(tái)防火墻、一臺(tái)IDS、兩臺(tái)PC、一臺(tái)交換機(jī)，若干網(wǎng)線(xiàn)，請(qǐng)搭建環(huán)境演示在利用一臺(tái)PC對(duì)另外一臺(tái)PC發(fā)動(dòng)入侵攻擊時(shí)，如何通過(guò)IDS和防火墻的聯(lián)動(dòng)來(lái)在防火墻上對(duì)攻擊PC的P進(jìn)行封堵。答案要點(diǎn)：（1） 網(wǎng)絡(luò)配置要點(diǎn)：1） 防火墻上設(shè)置Untmst口和Trust口，攻擊機(jī)器接入U(xiǎn)ntrust口，被攻擊機(jī)器和IDS通過(guò)交換機(jī)接入Trust口。2） 在交換機(jī)上進(jìn)行端口鏡像，將被攻擊機(jī)器所接端口流量鏡像到IDS接入端口上。（2） 攻擊演示要點(diǎn)：1）在攻擊機(jī)器上對(duì)被攻擊機(jī)進(jìn)行掃描探測(cè)。觀察IDS日志，記錄攻擊ip并截屏。在防火墻上對(duì)攻擊IP進(jìn)行封堵。5-200現(xiàn)有一臺(tái)IPS、兩臺(tái)PC、若干網(wǎng)線(xiàn)，請(qǐng)搭建環(huán)境演示在利用一臺(tái)PC對(duì)另外一臺(tái)PC發(fā)動(dòng)一種特定規(guī)則包入侵攻擊時(shí)，如何通過(guò)被攻擊機(jī)上的抓包軟件進(jìn)行數(shù)據(jù)包分析，并通過(guò)在IPS上設(shè)置相應(yīng)的阻斷規(guī)則來(lái)阻止相應(yīng)的攻擊。答案要點(diǎn)：搭建網(wǎng)