計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)訓(xùn)大綱

《計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)訓(xùn)大綱》通過(guò)本次實(shí)訓(xùn)，掌握什么是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全的隱患，網(wǎng)絡(luò)安握網(wǎng)絡(luò)安全如何解決的。（1）首先了解校園的結(jié)構(gòu)：校園網(wǎng)的內(nèi)網(wǎng)是典型的樹(shù)形結(jié)構(gòu)。第一層校園主干網(wǎng)采用了先進(jìn)的1000MB以太網(wǎng)技術(shù)，（2）防火墻有3個(gè)端口，一個(gè)端口聯(lián)結(jié)到內(nèi)網(wǎng)，另一個(gè)安全，也阻斷了內(nèi)網(wǎng)和外網(wǎng)的相互撕殺。（3）防火墻是通過(guò)路由器聯(lián)結(jié)到外網(wǎng)的。外網(wǎng)包括：使用光纜以100MB帶寬接入教育科研網(wǎng)，再入服務(wù)器和Modem池通過(guò)公共電話網(wǎng)為在校外的散戶和中關(guān)村校區(qū)聯(lián)網(wǎng)。防火墻防火墻路由器三級(jí)交換機(jī)三級(jí)交換機(jī)三級(jí)交換機(jī)三級(jí)交換機(jī)三級(jí)交換機(jī)三級(jí)交換機(jī)三級(jí)交換機(jī)二、虛擬私有網(wǎng)VPN解決方案。的人所解讀，也不能偽造和篡改。經(jīng)由互聯(lián)網(wǎng)的信息的安全。陷導(dǎo)致了互聯(lián)網(wǎng)的不安全，主要表現(xiàn)在TCP/IP協(xié)議數(shù)據(jù)流采用幾個(gè)方面，因此數(shù)據(jù)信息很容易被在線竊聽(tīng)、篡改和偽造。實(shí)現(xiàn)VPN的協(xié)議。\通過(guò)本次實(shí)訓(xùn)，讓學(xué)生了解漏洞的概念、類型，常見(jiàn)網(wǎng)絡(luò)平臺(tái)的漏洞及補(bǔ)救辦法。（1）NetWare系統(tǒng)目錄服務(wù)的管理。權(quán)，網(wǎng)絡(luò)訪問(wèn)活動(dòng)是集中式的。用戶登錄進(jìn)入時(shí)，可向整個(gè)DNS提出授權(quán)檢查，而不只是特定的服務(wù)器或者目錄樹(shù)的一部分。保證NDS管理員快速識(shí)別分配給每個(gè)用戶的訪問(wèn)權(quán)限。NetWare服務(wù)器可以生成兩類日志：一種是由console.nlm生成是由auditcon實(shí)用程序生成的審核日志。Auditcon程序允許系統(tǒng)管理員監(jiān)視包括從用戶登錄到口令修改和特定文件的訪問(wèn)等一系列情況，可以監(jiān)視約束多達(dá)70個(gè)事件，還允許系統(tǒng)管理員指定的用戶監(jiān)視服務(wù)器的情況。能危害系統(tǒng)的一個(gè)區(qū)域，很難訪問(wèn)整個(gè)系統(tǒng)。USER_TEMPLATE，黑客連上該服務(wù)器后，就可以給這個(gè)用戶設(shè)置口令，使用這兩個(gè)賬號(hào)把自己隱藏起來(lái)。黑客可以查閱合法賬號(hào)其方法有以下幾種：運(yùn)行SYSCON；使級(jí)用戶的口令是空的，可以隨便登錄。于試圖非法進(jìn)入系統(tǒng)的用戶，由于口令的輸入是第一道關(guān)卡，所以WindowsNT的用戶管理員可以設(shè)置措施，在口令加上次數(shù)限制；作用WindowsNT的審計(jì)功能，可以跟蹤一些特殊或非法事件的進(jìn)程，從事件的日志中分析可能遇到的侵襲或有可能即將遇到的攻擊。證過(guò)程的初始化集成到WinLogon單一登錄的結(jié)構(gòu)中。WindowsNT5.0中提供一種基于新一代NTFSR的加密文件系統(tǒng)盤寫入數(shù)據(jù)時(shí)。同時(shí)WindowsNT5.0支持從單一文件到整個(gè)目錄的加密和解密為了防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，WindowsNT推出了一種新的網(wǎng)絡(luò)安全方案----IPSecurity(IP安全性)，它符性協(xié)議的標(biāo)準(zhǔn)，支持在網(wǎng)絡(luò)層一級(jí)的驗(yàn)證、數(shù)據(jù)完整性和加密。它和WindowsNTServer內(nèi)置的安全性集成在一起，為維護(hù)安全的Internet和intranet通信，WindowsNT提供了一個(gè)理想的平臺(tái)。（1）部分安全漏洞：直到系統(tǒng)資源枯竭。WindowsNT能方便地建立組這個(gè)到拒絕服務(wù)的攻擊。另一個(gè)漏洞為PPTP協(xié)議的缺口，可使WindowsNT虛擬專用網(wǎng)戶名顯示問(wèn)題；打印機(jī)問(wèn)題。通過(guò)本次實(shí)訓(xùn)，讓學(xué)生了解網(wǎng)絡(luò)病毒的防范，黑客如何攻擊及如何防備，了解黑客如何對(duì)口令進(jìn)行破解，口令破解工具的使用。客戶端安全。（1）WEB服務(wù)器的安全：程序本身的錯(cuò)誤提供作案信息。（1）WEB服務(wù)器的信息被破譯。（2）WEB站點(diǎn)上的數(shù)據(jù)被非法訪問(wèn)。（3）遠(yuǎn)程用戶向服務(wù)器傳輸?shù)男畔⒈唤孬@。（4）系統(tǒng)中存在BUG。（5）CGI腳本的危害。沒(méi)有口令的戶頭，其次試探系統(tǒng)是否有容易猜出的口令，再次尋找存放口令的文件，最后使用口令破譯工具，可以得到加密的口令的明文。掃描器的使用。效地管理網(wǎng)絡(luò)、診斷網(wǎng)絡(luò)問(wèn)題而進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，也有黑客為達(dá)到某些目的而進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。高Ethernet是一個(gè)廣播型網(wǎng)絡(luò)，互聯(lián)網(wǎng)的大多監(jiān)聽(tīng)事件都是一些運(yùn)行在一臺(tái)計(jì)算機(jī)中的包監(jiān)聽(tīng)程序的結(jié)果。算機(jī)。獲。高微波和無(wú)線電高任何一個(gè)有無(wú)線電接收機(jī)的人都可以截獲那些傳輸?shù)男畔?。的?nèi)容。它可以以單行的形式只輸出數(shù)據(jù)包的總結(jié)信息，也可以以多行形式對(duì)包中信息詳細(xì)說(shuō)明。（2）Sniffit軟件：該軟件運(yùn)行于Solaris擇監(jiān)聽(tīng)的端口、協(xié)議和網(wǎng)絡(luò)接口。漏洞的程序包。系統(tǒng)管理員使用有助于加強(qiáng)系統(tǒng)安全性，對(duì)于黑客，掃描器則是他們進(jìn)行攻擊的入手點(diǎn)。但掃描器不能直接攻擊網(wǎng)絡(luò)漏洞。5、目前流行的掃描器有：NNS網(wǎng)絡(luò)安全掃描器，stroke超級(jí)優(yōu)化TCP端口檢測(cè)程序，SATAN安全管理員的網(wǎng)絡(luò)分析工務(wù)或應(yīng)用程序。NNTP（3）常見(jiàn)的幾種端口掃描：TCPconnect()的掃描；TCPSYN掃描；TCPFIN掃描；Fragmentation掃描；ICMP掃描；網(wǎng)絡(luò)的安全管理和測(cè)試、報(bào)告的工具，用來(lái)收集網(wǎng)絡(luò)上主機(jī)的許多信息，并可以識(shí)別且自動(dòng)報(bào)告與網(wǎng)絡(luò)相關(guān)的安全問(wèn)題。法通過(guò)WWW搜索器找到它們。TCP端口掃描器，具有在最大帶寬利用率和TCP“監(jiān)聽(tīng)”端口的能力。（4）InternetScanner：可得到的最快和功能最全的安全掃描工具，用于Unix和WindowsNT，它容易配置，掃描速度快，并且能產(chǎn)生綜合報(bào)告。入框用于輸入要掃描的結(jié)束主機(jī)的IP地址，在這兩個(gè)IP地址之間的主機(jī)將被掃描。構(gòu)建。防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。預(yù)測(cè)的、潛在破壞性的侵入。防火墻的優(yōu)劣點(diǎn)：優(yōu)點(diǎn)：能強(qiáng)化安全策略；能有效地記錄互聯(lián)網(wǎng)上的活動(dòng)；防火墻限制暴露用戶點(diǎn)；防火墻是一個(gè)安全的策略的檢查站。缺點(diǎn)：不能防范惡意的知情者；不能防范不能通過(guò)它的聯(lián)接；無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊；不能防范病毒。二、防火墻的基本種類：基于包過(guò)濾；另一種基于代理服務(wù)。（1）建立步驟：建立安全策略；將安全策略轉(zhuǎn)化為數(shù)據(jù)（2）包過(guò)濾防火墻的特點(diǎn)：的記錄，不能從訪問(wèn)中發(fā)現(xiàn)黑客的攻擊記錄。務(wù)器技術(shù)，它以此參加一個(gè)TCP聯(lián)接的全兩大類：一是電路級(jí)網(wǎng)關(guān)；另一類是應(yīng)用級(jí)網(wǎng)關(guān)。（1）電路級(jí)網(wǎng)關(guān)：又稱線路級(jí)網(wǎng)關(guān)，工作在會(huì)話層。在兩主機(jī)首次建立TCP聯(lián)接時(shí)創(chuàng)立一個(gè)電子屏障。電路級(jí)網(wǎng)關(guān)常用于向外聯(lián)接，這時(shí)網(wǎng)絡(luò)管理員對(duì)其內(nèi)部用戶是信任的。但它不能不檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。轉(zhuǎn)發(fā)（2）應(yīng)用級(jí)網(wǎng)關(guān)：應(yīng)用級(jí)網(wǎng)關(guān)使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過(guò)濾防火墻更嚴(yán)格的安全策略。其工作原理如下圖所示。轉(zhuǎn)發(fā)代理服務(wù)器客戶代理代理服務(wù)器客戶代理訪問(wèn)控制訪問(wèn)控制Echo“Startingipchainsrules…”/sbin/ipchains-F除了以上所允許通過(guò)的包以外，禁止其他包通過(guò)。/sbin/ipchains–Ainput–jDENY–l方法。取權(quán)限控制，數(shù)據(jù)存取權(quán)限，方式控制，審計(jì)跟蹤，數(shù)據(jù)加密。據(jù)。數(shù)據(jù)的解密是加密的逆過(guò)程，重新將密文數(shù)據(jù)變成明文數(shù)據(jù)。統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)、環(huán)境參數(shù)。在線備份是把數(shù)據(jù)和環(huán)境信息傳送到計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的另一個(gè)非實(shí)時(shí)工作的區(qū)域。存儲(chǔ)媒介和當(dāng)前運(yùn)行的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接的聯(lián)系。據(jù)冗余提高數(shù)據(jù)存儲(chǔ)的安全性。的數(shù)據(jù)量較大。備份的工作量比較小，可以每天做一次。量稍微小一些。用戶模式。在備份之前建一個(gè)備份目錄，以容納備份文件。接著可前一個(gè)文件中需要對(duì)Oracle的參數(shù)進(jìn)行初始化，將初始化命令放到（1）ora-env文件對(duì)Oracle的參數(shù)進(jìn)行初始化，其內(nèi)容如下：ORACLE-HOME=$ORACLE-HOME;exportORACLE-SID=ora73;exportORACLE-TERM=sun;exportLD-LIBRARY-PATH=$ORACLE-HOME/libORA-NLS32=$ORACLE-HOME/ocommon/nls/admin/PATH=:/usr/ccb/bin:/usr/cub:$ORACLE-HOME/bin:$PATH;DISPLAY=host1:0;exportDNLS-LANG=American-america.zhs16cgb231280;exportNLS-LANGTar-backup文件將用export命令導(dǎo)出的數(shù)據(jù)文件拷貝到磁帶上。Tar-backup文件內(nèi)容如下：tarrvf/dev/rmt一目錄，以容納備