網(wǎng)絡操作系統(tǒng)綜合實驗報告-網(wǎng)絡安全防范.doc

重慶科技學院綜合實驗報告課程名稱：網(wǎng)絡操作系統(tǒng)_開課學期：_2010-2011-2_學院:_電氣與信息工程學院_開課實驗室：計算機專業(yè)實驗室學生姓名:_專業(yè)班級:_計科應08_學號:_1重慶科技學院學生實驗報告課程名稱網(wǎng)絡操作系統(tǒng)實驗項目名稱網(wǎng)絡安全防范開課學院及實驗室I520實驗日期2011-6-11學生姓名學號專業(yè)班級計科應08指導教師陳寧實驗成績一、實驗目的和要求試驗目的：本次試驗就WindowsServer2003在網(wǎng)絡應用中的安全策略制定出一些實訓說明，希望能對大家起到拋磚引玉的效果，最終的目標是確保我們的網(wǎng)絡服務器的正常運行，達到安全防范的目的。實驗要求：1.掌握如何提高密碼的破解難度2.掌握啟用賬戶鎖定策略3.掌握設(shè)置限制用戶登錄4.掌握限制外部連接5.掌握限制特權(quán)組成員6.掌握如何防范網(wǎng)絡嗅探7.掌握網(wǎng)絡服務安全管理8.掌握審核策略的制定二、實驗內(nèi)容和原理當今網(wǎng)絡化的世界中，計算機信息和資源很容易遭到各方面的攻擊。網(wǎng)絡的開放性和共享性在方便了人們使用的同時，也使得網(wǎng)絡很容易遭到攻擊，而攻擊的后果是嚴重的，諸如數(shù)據(jù)被人竊取、服務器不能提供服務等等。隨著信息技術(shù)的高速發(fā)展，網(wǎng)絡安全技術(shù)也越來越受到重視，由此推動了防火墻、入侵檢查、虛擬專用網(wǎng)、訪問控制等各種網(wǎng)絡安全技術(shù)的蓬勃發(fā)展。VLAN技術(shù)：選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡的物理拓撲結(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡，他依據(jù)用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡流量、防止廣播風暴，還可以利用MAC層的2數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破其中一個虛擬子網(wǎng)，也無法得到整個網(wǎng)絡的信息。網(wǎng)絡分段：企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通訊數(shù)據(jù)包，可以處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以獲取發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡分段就是將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。硬件防火墻技術(shù)：任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護防火墻，因此防火墻在網(wǎng)絡安全的實現(xiàn)當中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡的邊緣，這使得內(nèi)部網(wǎng)絡與Internet是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡的安全管理。入侵檢測技術(shù)：入侵檢測方法較多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應用層入侵檢測中已有實現(xiàn)。WindowsServer2003作為Mircrosoft推出的服務器操作系統(tǒng)，不僅繼承了Windows2000/XP的易用性和穩(wěn)定性，而且還提供了更高的硬件支持和更加強大的安全功能，無疑是中小型網(wǎng)絡應用服務器的當然之選。三、主要儀器設(shè)備1.每8人一組，每組一套網(wǎng)絡設(shè)備（含交換機、PC）2.每人一臺電腦3.網(wǎng)線若干四、實驗操作方法和步驟4.1提高密碼的破解難度提高密碼的破解難度主要是通過采用提高密碼復雜性、增大密碼長度、提高更換頻率等措施來實現(xiàn)，但常常是用戶很難做到的，對于企業(yè)網(wǎng)絡中的一些安全敏感用戶就必須采取一些相關(guān)的措施，以強制改變不安全的密碼使用習慣。首先安裝域控制器，然后在開始-管理工具-域安全策略打開如下圖所示的界面如圖4.1所示、然后再在打開安全設(shè)置-賬戶鎖定策略-賬戶鎖定閥值，右擊屬性，設(shè)置登錄次數(shù)為4次，然后在開機的時候如果設(shè)置了密碼，輸入密碼輸了四次仍然不對則系統(tǒng)會鎖定，不能再登錄了。3圖4.1“默認域控制安全設(shè)置”界面4.2限制用戶登錄對于Windownsserver2003網(wǎng)絡來說，運行“ActiveDirectory用戶和計算機”管理工具，然后選擇相應的用戶，并設(shè)置其賬戶屬性。如下圖4.2所示。圖4.2IUSR_SWY1LND2HKZKGDD用戶和計算機在賬戶屬性對話框中，可以限制其登錄的時間和地點，如圖4.3所示。圖4.3IUSR_SWY1LND2HKZKGDD屬性4單擊其中的“登錄時間”按鈕，在這里可以設(shè)置允許該用戶登錄的時間，這樣就可防止工作時間的登錄行為。如圖4.4所示。圖4.4IUSR_SWY1LND2HKZKGDD的登錄時間單擊其中的“登錄到”按鈕，在這里可以設(shè)置允許該賬戶從哪些計算機登錄。另外還可以通過“賬戶”選項來限制登錄時的行為。如圖4.5所示。圖4.5登錄工作站4.3限制特權(quán)組成員在Windownsserver2003網(wǎng)絡中，還有一種非常有效的防范黑客入侵和管理疏忽的輔助手段，這就是利用“受限制組”安全策略。該策略可保證組成員的組成固定。在域安全策略的管理工具中添加要限制組，在組對話框中鍵入或查找添加的組。如圖4.6和4.7所示。5圖4.6默認域安全設(shè)置和添加組圖4.7受限制的組4.4加密會話具體方法如下：首先在”開始”菜單中單擊”運行”選項，然后鍵入mmc,并同時按下”Enter”按鈕，如下圖4.8所示圖4.8運行6在“控制臺”菜單中選擇“添加刪除管理單元(M)”命令，然后單擊其中的“添加”按鈕，如圖4.9和4.10所示。圖4.9控制臺圖4.10添加/刪除管理單元在可用的