计算机网络安全实训大纲.docx

计算机网络安全实训大纲.docx

《计算机网络安全实训大纲.docx》由会员分享，可在线阅读，更多相关《计算机网络安全实训大纲.docx（14页珍藏版）》请在冰豆网上搜索。

计算机网络安全实训大纲

《计算机网络安全实训大纲》

实训一网络安全解决方案实例

目的：

通过本次实训，掌握什么是网络安全，网络安全的隐患，网络安全的模型、机制和服务，网络安全系统的等级标准，通过案例分析掌握网络安全如何解决的。

要求：

1、掌握网络安全隐患的产生原因，解决网络安全的问题的途径有哪些？

2、掌握网络安全的模型、机制和服务。

3、掌握网络安全等级标准，安全系统的运行和管理的方法。

实验课时：

2课时。

实验内容：

一、校园网安全解决方案。

（1）首先了解校园的结构：

校园网的内网是典型的树形结构。

第一层校园主干网采用了先进的1000MB以太网技术，以光缆相互联通。

第二层为100MB以太网，以超5类非屏蔽双绞线联通，第三层为10MB以太

网，以超5类非屏蔽双绞线交换到桌面。

（2）防火墙有3个端口，一个端口联结到内网，另一个端口联结到外网；第三个端口联结到服务器群。

这样可以阻止外网发起的攻击，也能阻止内网出现的骚乱，保证服务器群的安全，也阻断了内网和外网的相互撕杀。

（3）防火墙是通过路由器联结到外网的。

外网包括：

使用光缆以100MB带宽接入教育科研网，再联接互联网；以拨入服务器和Modem池通过公共电话网为在校外的散户提供拨入服务；使用微波与海淀走读大学的东校区、南校区、北校区和中关村校区联网。

某一大学校园网拓扑结构示意图

互联网

路由器

教育网

DNS服务器

WWW服务器

东校区

防

火

墙

微波

FTP服务器

南校区

北校区

BBS服务器

Mail服务器

中关村

电话网

Proxy服务器

散户

Acc服务器

散户

散户

VOD服务器

一级交换机

一楼

二楼

办公楼

图书馆

二级交换机

二级交换机

二级交换机

二级交换机

三级交换机服务器

三级交换机服务器

三级交换机服务器

三级交换机服务器

计算机

计算机

计算机

计算机

计算机

计算机

计算机

二、虚拟私有网VPN解决方案。

（1）首先了解什么是虚拟私有网VPN：

就是借用四通八达的互联网来营造自己的私有网络，使用的是互联网的廉价、广泛的网络服务，并采用了一定的技术，使得你的信息不被未被授权的人所解读，也不能伪造和篡改。

（2）虚拟私有网的建立方法。

用一“VPN”网关把可信任的私网或私有的机器，联结到公有的互联网上。

由“VPN网关”来保障经由互联网的信息的安全。

（3）VPN网关的选择：

基于软件的VPN网关；基于专用硬件平台的VPN网关；辅助硬件平台的VPN网关

（4）虚拟私有网VPN的有关协议

TCP/IP国际互联网采用的协议，由到TCP/IP本身存在的缺陷导致了互联网的不安全，主要表现在TCP/IP协议数据流采用明文传输、源地址欺骗、源路由选择信息协议攻击、鉴别攻击等几个方面，因此数据信息很容易被在线窃听、篡改和伪造。

实现VPN通常用到的安全协议主要包括：

SocksV5、IPSec和PPTP/L2TP。

PPTP/L2TP用到链路层，IPSec主要应用于网络层，SocksV5应用于会话层。

为了解决互联网所面临的不安全因素的威胁，实现在不信任通道上的数据安全传输，合安全功能模块能兼容IPv4和下一代网络协议IPv6，IPsec协议将会是主要的实现VPN的协议。

（5）虚拟私有网VPN示意图

企业本部私网

企业本部私网

企业本部私网

VPN网关

VPN网关

互联网

VPN网关

VPN网关

企业派出的雇员

可信任的客户

实训二网络平台的安全与漏洞

目的：

通过本次实训，让学生了解漏洞的概念、类型，常见网络平台的漏洞及补救办法。

要求：

1、掌握漏洞的概念，常见的漏洞有哪些。

2、了解Netware系统的安全性及其存在的安全漏洞。

3、掌握WindowNT系统的安全及其存在的安全漏洞。

实验课时：

2课时。

实验内容：

一、NetWare系统的安全性及存在的安全漏洞。

1、NetWare系统的安全性的表现

（1）NetWare系统目录服务

在访问控制方面，NetWare使用目录服务（DNS）提供层次式的分配和管理网络访问权的方法。

可以使用一个控制台对整个网络环境的管理。

管理员可以指定子管理员，使之具有对目录对一小部分的超级特权，网络访问活动是集中式的。

用户登录进入时，可向整个DNS提出授权检查，而不只是特定的服务器或者目录树的一部分。

（2）账户管理器

NetWare账户管理非常容易，可使用nwadmn32实用程序来完成。

也可直接从服务器中使用ConsoleOne管理账户

（3）文件系统

NetWare系统对文件的管理是通过nwadmn32进行控制的，可以保证NDS管理员快速识别分配给每个用户的访问权限。

（4）日志记录和审核

NetWare服务器可以生成两类日志：

一种是由console.nlm生成的控制台日志，该日志记录着所有控制台活动和出错的信息；另一种是由auditcon实用程序生成的审核日志。

Auditcon程序允许系统管理员监视包括从用户登录到口令修改和特定文件的访问等一系列情况，可以监视约束多达70个事件，还允许系统管理员指定的用户监视服务器的情况。

（5）网络安全

NetWare系统本身具有一套较为完善的网络安全体系，如对目录和文件的控制就有以下安全规定：

禁止删除；隐藏；清除。

除此之外，NetWare管理员还提供了对文件更为严格的管理，可设定文件的只读属性、只执行属性和禁止拷贝属性。

所有这些使得NetWare系统成为优秀WEB服务器平台的最佳选择，即使有远程黑客的侵入，它也只能危害系统的一个区域，很难访问整个系统。

2、NetWare系统的安全漏洞

（1）获取账号

刚安装的NetWare系统中，有SUPERVISOR和GUEST两个缺省账号，在NetWare4.x中相应的是ADMIN和USER_TEMPLATE。

所有这些账号在开始的时候都没设口令。

在安装系统时，管理员会马上给supervisor和admin口令，而忽视了GUESTT和USER_TEMPLATE，黑客连上该服务器后，就可以给这个用户设置口令，使用这两个账号把自己隐藏起来。

（2）查阅合法账号

黑客可以查阅合法账号其方法有以下几种：

运行SYSCON；使用CHKNULL.exe程序

（3）获得超级用户的账号

在NetWare系统刚刚安装到服务器上，安全系统还没有建立，超级用户的口令是空的，可以随便登录。

二、WindowsNT的安全性及存在的安全漏洞

1、WindowsNT的安全性

（1）WindowsNT安全性分析：

凡是与互联网相连的WindowsNT计算机都使用NTFS文件系统，主要是基于文件安全性能的考虑；对于试图非法进入系统的用户，由于口令的输入是第一道关卡，所以WindowsNT的用户管理员可以设置措施，在口令加上次数限制；作用WindowsNT的审计功能，可以跟踪一些特殊或非法事件的进程，从事件的日志中分析可能遇到的侵袭或有可能即将遇到的攻击。

（2）Kerberos和WindowsNT

Kerberos是一种验证协议，该验证协议定义了一个客户端和一个密钥分配中心的网络验证服务之间的接口。

Kerberos客户端的运行是通过一个基于SSPI的WindowsNT安全性接口来实现的。

Kerberos验证过程的初始化集成到WinLogon单一登录的结构中。

（3）加密文件系统

WindowsNT5.0中提供一种基于新一代NTFSR的加密文件系统（EFS）。

一个文件在使用之前不需要手工加密，因为加密和解密对用户是透明的，加密和解密自动地发生在从硬盘中读取数据以及向硬盘写入数据时。

同时WindowsNT5.0支持从单一文件到整个目录的加密和解密功能。

如对一个目录进行加密，目录中所有的文件都自动地进行加密。

（4）WindowsIPSecurity安全性支持

为了防止来自网络内部的攻击，WindowsNT推出了一种新的网络安全方案----IPSecurity（IP安全性），它符合IETF宣布的IP安全性协议的标准，支持在网络层一级的验证、数据完整性和加密。

它和WindowsNTServer内置的安全性集成在一起，为维护安全的Internet和intranet通信，WindowsNT提供了一个理想的平台。

2、WindowsNT的安全漏洞

（1）部分安全漏洞：

第一个漏洞是建立域名的问题，域用户可以不断的建立新的用户直到系统资源枯竭。

WindowsNT能方便地建立组这个特性很容易遭到拒绝服务的攻击。

另一个漏洞为PPTP协议的缺口，可使WindowsNT虚拟专用网络的默认口令被破解

（2）其他漏洞

紧急修复盘产生的安全漏洞；被无限制地尝试联接；最近登录用户名显示问题；打印机问题。

实训三病毒和黑客攻击的防范

目的：

通过本次实训，让学生了解网络病毒的防范，黑客如何攻击及如何防备，了解黑客如何对口令进行破解，口令破解工具的使用。

要求：

1、了解Web站点安全性及如何保证。

2、了解黑客进行系统常使用的方法及使用的工具。

3、如何判断机器有黑客闯入的迹像。

4、如何正确的使用口令。

实验课时：

8课时。

实验内容：

1、WEB的安全问题包括两个方面的问题：

WEB服务器端安全和客户端安全。

（1）WEB服务器的安全：

程序本身的错误；访问权授给所有人；复杂的配置；CGI和表单

（2）客户端的安全：

用户在不经意的情况下泄露了自己的用户名和口令，或者泄露了自己的电子邮件地址，都有可能为黑客提供作案信息。

2、WEB站点面临的威胁：

（1）WEB服务器的信息被破译。

（2）WEB站点上的数据被非法访问。

（3）远程用户向服务器传输的信息被截获。

（4）系统中存在BUG。

（5）CGI脚本的危害。

3、黑客攻击的目的：

窃取信息；获取口令；控制中间站点；获得超级用户权限

4、口令破解的过程：

黑客在破解口令时首先寻找系统是否在存在没有口令的户头，其次试探系统是否有容易猜出的口令，再次寻找存放口令的文件，最后使用口令破译工具，可以得到加密的口令的明文。

5、常见的口令破解工具：

Unix平台的Crack；NovellNetWare平台的Crack；适用于WindowsNT平台的scannt.exe

实训四监听器与扫描器的使用

目的：

通过本次实训掌握在网上获取的信息的方法及使用形式，掌握扫描器的使用。

要求：

1、掌握网络监听在不同传输介质上不同效果。

2、了解常用的监听工具。

3、了解常见的扫描器及使用方法。

实验课时：

6课时。

实验内容：

1、网络监听是指：

获取在网络上传输的信息。

系统管理员为了在效地管理网络、诊断网络问题而进行网络监听，也有黑客为达到某些目的而进行网络监听。

2、在不同的传输介质上，信息监听的可能性不同：

传输介质

监听的可能性

原因

Ethernet

高

Ethernet是一个广播型网络，互联网的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果。

FDDIToken-ring

较高

令牌环网不是一个广播型网络，但带有令牌的那些包在传播过程中，平均要以过网络上一半的计算机。

电话线

中等

可被人搭线窃听，在微波线路上的信息也会被截获。

IP通过有线电视信道

高

有线电视信道传输的信息没有加密，可以被一些可以从物理上访问到的TV电缆的人截听。

微波和无线电

高

任何一个有无线电接收机的人都可以截获那些传输的信息。

3、常用的监听工具

（1）Snoop：

可以截获网络上传输的数据包，并显示这些包中的内容。

它可以以单行的形式只输出数据包的总结信息，也可以以多行形式对包中信息详细说明。

（2）Sniffit软件：

该软件运行于Solaris、SGI、Linux等平台的一种免费网络监听软件，具有功能强大且使用方便的特点。

用户可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口。

4、扫描器简介：

扫描器是自动检测远程或本地主机安全性漏洞的程序包。

系统管理员使用有助于加强系统安全性，对于黑客，扫描器则是他们进行攻击的入手点。

但扫描器不能直接攻击网络漏洞。

5、目前流行的扫描器有：

NNS网络安全扫描器，stroke超级优化TCP端口检测程序，SATAN安全管理员的网络分析工具、JAKAL、XSCAN等。

6、端口扫描

（1）端口：

每个应用程序被赋予一个唯一的地址，这个地址称为端口。

指定的应用程序与特殊端口相连，当任何联接请求到达该端口时，对应的应用程序便被发送出去。

修改视频剪辑

（2）端口扫描：

是一种获取主机信息的好方法。

不同的系统所提供的开放端口是不一样，下表列出公共端口与对应的服务或应用程序。

服务或应用程序

FTP

SMTP

Telnet

Gopher

finger

HTTP

NNTP

端口

21

25

23

70

79

80

119

（3）常见的几种端口扫描：

TCPconnect（）的扫描；TCPSYN扫描；TCPFIN扫描；Fragmentation扫描；ICMP扫描；

7、常见的扫描工具

（1）SATAN：

安全管理员的网络分析工具，是一个分析网络的安全管理和测试、报告的工具，用来收集网络上主机的许多信息，并可以识别且自动报告与网络相关的安全问题。

（2）网络安全扫描器NNS：

网络安全扫描器是一个非常隐蔽的扫描器，多数载有该扫描器的FTP的站点处暗处，或无法通过WWW搜索器找到它们。

（3）Strobe：

超级优化TCP端口检测程序Strobe是一个TCP端口扫描器，具有在最大带宽利用率和最小进程资源需求下，迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。

（4）InternetScanner：

可得到的最快和功能最全的安全扫描工具，用于Unix和WindowsNT，它容易配置，扫描速度快，并且能产生综合报告。

（5）PortScanner：

是一个运行到Windows95和WindowsNT上的端口扫描工具，其开始界面上显示了两个输入框，上面的输入框用于要扫描的开始主机的IP地址，下面的输入框用于输入要扫描的结束主机的IP地址，在这两个IP地址之间的主机将被扫描。

实训五利用ipchains构建企业防火墙

目的：

通过本次实训，让学生全面了解防火墙的种类、特点、配置及构建。

实验课时：

8课时。

实验内容：

一、防火墙：

防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。

是设置在在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。

防火墙的优劣点：

优点：

能强化安全策略；能有效地记录互联网上的活动；防火墙限制暴露用户点；防火墙是一个安全的策略的检查站。

缺点：

不能防范恶意的知情者；不能防范不能通过它的联接；无法防范数据驱动型的攻击；不能防范病毒。

二、防火墙的基本种类：

基于包过滤；另一种基于代理服务。

1、包过滤防火墙

（1）建立步骤：

建立安全策略；将安全策略转化为数据包分组字段的逻辑表达式；用相应的句法重写逻辑表达式并设置之。

内部网络

互联网

包过滤防火墙

包过滤防火墙的工作原理

（2）包过滤防火墙的特点：

对于用户是透明的，不需要用户名和密码来登录，这种防火墙速度快且易于维护，通常作为第一道防线。

但由于它没有用户的记录，不能从访问中发现黑客的攻击记录。

2、代理防火墙：

也称为应用层网关防火墙，其核心技术是代理服务器技术，它以此参加一个TCP联接的全过程。

代理防火墙包含两大类：

一是电路级网关；另一类是应用级网关。

（1）电路级网关：

又称线路级网关，工作在会话层。

在两主机首次建立TCP联接时创立一个电子屏障。

电路级网关常用于向外联接，这时网络管理员对其内部用户是信任的。

但它不能不检查应用层的数据包以消除应用层攻击的威胁。

（2）应用级网关：

应用级网关使得网络管理员能够实现比包过滤防火墙更严格的安全策略。

其工作原理如下图所示。

防火墙代理

FTP服务器

代理服务器

访问控制

客户代理

请求应答

请求

客户

FTP服务器

服务器

转发应答

应答

FTP服务器

应用级网关工作原理

三、防火墙配置和访问控制策略

1、设置防火墙的要素：

网络策略、服务访问策略、增强的认证。

2、防火墙的配置的种类：

双穴主机方式；屏蔽主机；屏蔽子网

四、利用ipchains构建企业防火墙

1、在/etc/rc/目录下用touch命令建立firewall文件

2、刷新所有的ipchains

#!

/bin/sh（行首号有#号的为注释行）

Echo“Startingipchainsrules…”

#Refreshallchains

/sbin/ipchains-F

3、设置WWW包过滤

WWW端口为80，采用tcp或udp协议。

4、设置ftp包过滤

ftp端口为21，ftp-data端口为20，均采用tcp协议。

5、设置telenet包过滤

telnet端口为21，采用tcp协议。

6、设置smtp包过滤

Smtp端口为21，采用tcp协议。

7、设置POP-3包过滤

POP-3端口为110，采用tcp或udp协议。

8、设置缺省包过滤规则

除了以上所允许通过的包以外，禁止其他包通过。

#Defineallrulesoninputchain

/sbin/ipchains–Ainput–jDENY–l

实训六数据库备份的实例

目的：

通过本次实训，让学生对数据库有个全面的了解，数据库的安全性和数据加密有如何设置，掌握对数据库的备份和灾难恢复的方法。

实验课时：

6课时。

实验内容：

一、有关数据库的相关知识：

网络数据库的要求：

与服务器软件的集成；性能；安全性；稳定性；容错性；扩展性；备份

二、数据库的安全性能和数据加密

1、数据库的安全性能：

第一层指系统运行安全，它包括法律、政策的保护；第二层指系统信息安全，包括用户口令字鉴别，用户存取权限控制，数据存取权限，方式控制，审计跟踪，数据加密。

2、数据库的数据加密

数据库的数据加密是将明文数据经过一定变换，变换成密文数据。

数据的解密是加密的逆过程，重新将密文数据变成明文数据。

三、数据库的备份

1、数据库备份的内容：

网络中安装的应用程序、数据库管理系统、用户设置、系统参数、环境参数。

2、在线备份和离线备份：

在线备份是把数据和环境信息传送到计算机系统或网络上的另一个非实时工作的区域。

离线备份：

是把数据和环境信息下载到安全的存储媒介中，这种存储媒介和当前运行的计算机系统和网络没有直接的联系。

3、数据库备份和冗余技术

数据库的冗余技术与在线备份是有所不同的。

在线备份的设备不参与实时的数据处理工作，而冗余设备却是实时地在线工作的。

冗余技术通常采用RAID技术，是把多个磁盘驱动器结合起来，通过数据冗余提高数据存储的安全性。

4、完全备份和增量备份、差额备份

完全备份：

是把所有的数据都毫不遗漏地备份下来。

但完全备份的数据量较大。

增量备份：

增量备份是在上一次做了数据备份以来，对有了变化的数据进行备份。

在做数据恢复的时候，从上一次完全备份开始，考虑以后的各次增量备份的修改，一直计算到需要恢复的那一天。

增量备份的工作量比较小，可以每天做一次。

差额备份：

是考虑上一次完全备份以来发生的变化数据，把这种变化备份下来。

恢复数据时需要一个完全备份和一个差额备份。

计算量稍微小一些。

四、利用自动备份Orcal数据库进行数据库备份的操作

1、导出数据库

利用export命令将数据库中的数据备份成一个二进制文件，采用用户模式。

在备份之前建一个备份目录，以容纳备份文件。

接着可在Unix的Oracle目录下分别建立两个文件or-backup,tar-backup。

在前一个文件中需要对Oracle的参数进行初始化，将初始化命令放到一个文件中为ora-env，再由第一个文件调用它。

（1）ora-env文件对Oracle的参数进行初始化，其内容如下：

ORACLE-HOME=$ORACLE-HOME;exportORACLE-HOME

ORACLE-SID=ora73;exportORACLE-SID

ORACLE-TERM=sun;exportORACLE-TERM

LD-LIBRARY-PATH=$ORACLE-HOME/lib;exportLD-LIBRARY-PATH

ORA-NLS32=$ORACLE-HOME/ocommon/nls/admin/data;exportORA-NLS

PATH=:

/usr/ccb/bin:

/usr/cub:

$ORACLE-HOME/bin:

$PATH;exportPATH

DISPLAY=host1:

0;exportDISPLAY

NLS-LANG=American-america.zhs16cgb231280;exportNLS-LANG

（2）ora-backup文件对Oracle做export导出

2、磁带备份

Tar-backup文件将用export命令导出的数据文件拷贝到磁带上。

Tar-backup文件内容如下：

tarrvf/dev/rmt/0n/backup

3、异地备份

在使用FTP命令之前，应先在另一台作备份用的Unix机器上建一目录，以容纳备份文件，本文件的目录是/pub。

4、启动备份进程

Cron是一个永久进程，它由/etc/rc.local执行启动。

Cron检查/var/spool/cron/crontabs/目录中的文件，找到所要执行的任务和招行任务的时间。

五、灾难恢复的方法。

Oracle的内核提供数据库的备份和恢复机制，提供了两种方式：

备份恢复和向前滚动，保证意外故障恢复数据库的一致性和完整性。

1、备份恢复方式：

对数据库的某个一致状态建立一个复本，并存储在介质上脱机保存，以此作为数据库恢复的基础。

2、向前滚动方式：

恢复的基础是数据库的某个一致性状态（即方式1完成的备份恢复），恢复的依据是存档的重作记录文件。

编写人：

马玉芳

审核人：

邵杰

批准人：

张鸿鹤