网络安全技术实验报告实验911.docx

1、网络安全技术实验报告实验911XX大学本科实验报告课程名称：计算机信息安全 学 号： 1421262姓 名： XXX专 业： 网络工程班 级： 网络B14-1指导教师：课内实验目录及成绩序号实验名称页码成绩1实验八 个人防火墙安装及设置 52实验九 Windows Server2016安全配置与恢复 3 4 信息技术学院2017年 11 月 17日XX大学实验报告课程名称： 计算机信息安全 实验类型： 演示、验证 实验项目名称：实验九 Windows Server2016安全配置与恢复 实验地点： 信息楼320 实验日期： 2017 年 11月 17 日Windows Server 2016是

2、微软的一个服务器操作系统，继承了Windows Server 2003的功能和特点，尽管Windows Server 2016系统的安全性能要比其他系统的安全性能高出许多，但为了增强系统的安全，必须要进行安全的配置，并且在系统遭到破坏时能恢复原有系统和数据。1. 实验目的（1）熟悉Windows Sever 2016操作系统的安全配置过程及方法；（2）掌握Windows Sever 2016操作系统的恢复要点及方法。2. 实验要求(1)实验设备本实验以Windows Sever 2016操作系统作为实验对象，所以，需要一台计算机并且安装有Windows Sever 2016操作系统。Micro

3、soft在其网站上公布使用Windows Server 2016的设备需求，基本配置如表10-1所示。表1 实验设备基本配置硬 件需 求处理器最低： 1 GHz（x86 处理器）或 1.4 GHz（x64 处理器）建议： 2 GHz 或以上内存最低： 512 MB RAM建议： 2 GB RAM 或以上可用磁盘空间最低： 10 GB建议： 40 GB 或以上光驱DVD-ROM 光驱显示器支持 Super VGA（800 600）或更高解析度的萤幕 其他键盘及 Microsoft 鼠标或兼容的指向装置（pointing device）(2)注意事项1）预习准备由于本实验内容是对Windows S

4、ever 2016操作系统进行安全配置，需要提前熟悉Windows Sever 2016操作系统的相关操作。2）注重内容的理解随着操作系统的不断翻新，本实验是以Windows Sever 2016操作系统为实验对象，对于其它操作系统基本都有类似的安全配置，但为配置方法或安全强度会有区别，所以需要理解其原理，作到安全配置及系统恢复“心中有数”。3）实验学时本实验大约需要2个学时（90-120分钟）完成。3. 实验内容及步骤 1)本地用户管理和组【案例1】某公司秘书授权可以登录领导的计算机，定期为领导备份文件，并执行网络配置方面等有关管理工作，因此，在领导的计算机中要新建一个用户组，满足秘书的应用

5、需求。操作步骤：新建账户“secretary”和用户组“日常工作”，“日常工作”组具有“Network Configuration Operators”的权限，并secretary添加到“日常工作”组中。（1）新建账户：“开始”“控制面板”“管理工具”“计算机管理”，弹出窗口，展开“本地用户和组”，右键单击“用户”，新建“secretary”账户。（2）管理账户：右键单击账户，可以设置密码、删除账号或重命名；右键单击账户，选择“属性”，在“隶属于”选项卡中将secretary帐户添加到Backup Operations组和Net Configuration Operators组中，即为secr

6、etary帐户授予Backup Operations组和Net Configuration Operators组的权限。（3）新建本地组：右键单击“组”，窗口，填写组名和描述信息，并选择“添加”，将secretary添加到日常工作组中，这样，日常工作组也具有Backup Operations组和Net Configuration Operators组的权限。截图如下：打开控制面板：打开管理工具：打开计算机管理：新建用户：设置用户属性：将用户添加到组：2）本地安全策略【案例2】公司管理层计算机安全策略要求：启用密码复杂性策略，将密码最小长度设置为8个字符，设置密码使用期限为30天，当用户多次输入

7、错误数据超过3次账户将被锁定，锁定时间为5分钟；启用审核登录成功和失败策略，登录失败后，通过事件查看器查看Windows日志；启用审核对象访问策略，用户对文件访问后，通过事件查看器查看Windows日志。操作步骤：在本地安全策略中分别设置密码策略、账户锁定策略、审核登录时间策略和审核对象访问策略。（1）密码策略设置：“开始”“控制面板”“管理工具”“本地安全策略”“账户策略”“密码策略”，启动密码复杂性策略；设置“密码长度最小值”为“8”个字符；密码最长使用期限为“30”天。（2）账户锁定策略设置：“开始”“控制面板”“管理工具”“本地安全策略”“账户策略”“账户锁定策略”，设置账户锁定时间为

8、“5”分钟；账户锁定阈值为“3”次。（3）账户锁定策略设置：“开始”“管理工具”“本地安全策略”“本地策略”“审核策略”，审核登录策略设置为“失败”；审核对象策略设置为“失败”。截图如下：打开本地策略：设置密码最长使用时间：设置密码长度最小值：设置帐户锁定阀值：设置帐户锁定时间：配置帐户锁定策略：3）NTFS权限【案例3】经理要下发一个通知，存于“通知”文件夹中，经理对该文件夹及文件可以完全控制，秘书只有修改文稿的权限，其他人员只有浏览的权限。操作步骤：首先要取消“通知”文件夹的父项继承的权限，之后分配Administrators组（经理）完全控制的权限、日常工作组（秘书）除了删除权限以外各权

9、限和Users组（其他人员）只读权限。（1）取消文件夹的父项继承的权限：右键单击“通知”文件夹，选择“属性”命令 “安全”标签“高级”“更改权限”，打开高级安全设置窗口，添加日常工作组和Users组到列表中，分别选择两组，取消“包括可从该对象的父项继承的权限”选项。删除继承权后，任何用户对该文件夹都无访问权限，只有该对象的所有者可分配权限。（2）经理权限：右键单击“通知”文件夹，选择“属性”命令 “安全”标签“高级”“更改权限”“高级”“添加”，添加经理的Administrator账户，点击“确定”后打开“通知的权限项目”窗口，选择“允许”“完全控制”。（3）秘书权限：在“通知的高级安全设置”

10、窗口中继续添加日常工作组，点击“确定”后打开“通知的权限项目”窗口，选择“允许”“创建文件/写入数据”。（4）其他用户权限：在“通知的高级安全设置”窗口中继续添加Users组，点击“确定”后打开“通知的权限项目”窗口，选择“允许”“列出文件夹/读取数据”。截图如下：新建文件通知的属性：更改高级设置里面的选项：设置经理权限：设置秘书权限：设置其他用户权限：4）数据备份和还原操作步骤：首先要在系统中安装Backup功能组件，所有员工的工作日志是按照每天一个文件夹存放，这样可以每周五对该周日志进行一次性备份。（1）安装Backup功能组件：“开始”“控制面板”“管理工具”“服务器管理器”“功能”“添

11、加功能”，选择“Windows Server Backup功能”安装系统备份功能。（2）一次性备份：“开始”“所有程序”“附件”“系统工具”“ Windows Server Backup”，该界面的右侧可以选择“一次性备份”，当向导进行到“选择备份配置”时，选择“自定义”，之后选择“工作日志”文件夹中本周相关文件进行备份。截图如下：打开服务器管理器：进行一次备份操作：具体操作如下：5）组策略应用操作步骤：前提是多用户应用域统一管理，首先要建立一个组策略对象，名为“共享资源”，之后链接组策略对象。（1）建立组策略对象：“开始”“控制面板”“管理工具”“组策略管理”，选择要实现驱动器映射的主机所在

12、的域，并右键单击“组策略对象”，选择“新建”命令，新建一个名字为“共享资源”的GPO。右键单击“共享资源”，选择“编辑”命令，“组策略管理编辑器” “用户配置”“首选项”“Windows设置”，右键单击“驱动映射”，选择“新建”“映射驱动器”，在“常规”选项卡中“操作”项下选择“创建”，在“位置”栏中输入“PCtools”，在“驱动器号”区域中选择“使用”“Z”，完成操作。（2）链接组策略对象：在“组策略管理”控制台中，右键单击对应的主机，选择“链接现有GPO”命令，在窗口中“查找此域”下拉列表中选择对应的域名，在“组策略对象”列表框只选择“共享资源”，完成驱动器映射域管理。截图如下：选中组策

13、略管理： 打开组策略管理：新建GPO：选中用户配置：创建新的驱动映射：进行链接组策略对象操作：链接现有GPO：选择“共有资源”GPO：8.结果分析与实验体会收获这次的实验就是对电脑进行配置，这些都是我们平时忽略掉的，做了这些操作之后电脑可以提供更多的功能。我们的许多工作也会因此变得简单。XX大学本科实验报告课程名称：网络安全技术 学 号： 1421351姓 名： XXX专 业： 网络工程班 级： 网络B14-1指导教师：课内实验目录及成绩序号实验名称页码成绩1实验八 个人防火墙安装及设置 52实验九 Windows Server2016安全配置与恢复 63 实验十 数据库及数据安全 54 信息

14、技术学院2016年 11 月 24日XX大学实验报告课程名称： 网络安全技术 实验类型： 演示、验证 实验项目名称：实验十 数据库及数据安全 实验地点： 信息楼320 实验日期： 2017 年 11月 24 日实验十 数据库及数据安全（数据备份与恢复）1.实验目的理解备份的基本概念，了解备份设备的概念。掌握各种备份数据库的方法，了解如何制定备份计划，如何从备份中恢复设备，掌握数据库的恢复方法。掌握SQL Server 备份和恢复数据库的方法。（1）理解SQL Server 2014系统的安全性机制。（2）明确管理和设计SQL Server登录信息，实现服务器级安全控制。（3）掌握设计和实现数据

15、库级的安全保护机制的方法。（4）独立设计和实现数据库备份和恢复。2.预备知识数据库的备份与恢复是两个相对应的概念，备份是恢复的基础，恢复是备份的目的。数据库备份是指系统管理员定期或不定期地将数据库部分或全部内容复制到磁带或另一个磁盘上保存起来的过程。备份可分为静态备份和动态备份。数据库恢复是指在数据库遭到破坏时使数据库从有效的备份中恢复正常。备份期间不允许对数据库进行任何存取、修改活动的备份方式称为静态备份。备份期间允许对数据库进行存取或修改，即各份和用户事务可以并发执行的备份方式称为动态备份。3.实验准备1硬件：PC机、局域网环境 2软件：Windows NT或Win Server 2016

16、操作系统，SQL Server 20144.注意事项确定备份计划主要考虑以下几个方面： 1）确定备份的频率。确定备份频率要考虑两个因素：一是系统恢复时的工作量，二是系统活动的事务量。对于完整数据库备份，可以是每个月、每一周甚至是每一天进行，而事务日志备份可以是每一周、每一天甚至是每一小时进行。 2）确定备份的内容。确定数据库中的哪些数据需要备份。 3）确定备份的介质。确定是使用磁盘、还是磁带作为备份的介质。 4）确定备份的方式。确定备份采用动态备份还是静态备份。 5）估计备份需要的存储空间量。在执行备份前，应该估计备份需要使用的存储空间量。 6）确定备份的人员。应该指定专人负责数据库的备份，一

17、般只有下列角色的成员才可以备份数据库：服务器角色Sysadmin、数据库角色db_owner和db_backupoperator。 7）是否使用备份服务器。如果使用备份服务器，那么在出现故障时，系统就能迅速地得到恢复。 8）确定备份存储的期限和存放地点：备份应该存储在安全的地方并保存适当的期限。 执行数据库恢复以前，应注意以下两点： l）在数据库恢复前，应该删除故障数据库，以便删除对故障数据库的任何引用。 2）在数据库恢复前，必须限制用户对数据库的访问，数据库的恢复是静态的，应使用企业管理器或系统存储过程sp_dboption databasename, Single User, TRUE 设

18、置数据库为单用户。5.实验用时2学时（约90-100分钟）6.实验内容及步骤（1）SQL Server数据库提供四种备份方法：1）数据库备份。数据库的完整备份，这种方式将复制所有用户定义的对象、系统表和数据。2）增量备份。一种更小更快的备份，增量备份方式备份从上一次完全数据库备份后的、已经改变的数据库部分和备份在执行增量备份过程中发生的任何活动及事务日志中任务未提交的事务。只有在执行了完全数据库备份后，才能执行增量备份。3）事务日志备份。一种特殊的增量备份，备份的目标是面向各种事务日志。4）文件/文件组备份。当数据库非常大时，可以执行数据库文件或文件组备份。SQL Server数据库系统级别的

19、恢复都必须在单用户模式下完成，在Windows系统下，最简单的进行单用户模式方法：在打开控制面板中的“服务”选项，选中MS SQL Server服务；选择“停止MS SQL Server服务”；在启动参数中输入-m，点击“开始”以单用户模式启动SQL Server。（2）SQL Server在本地主机上进行数据库备份可以通过企业管理器或SQL备份语句实现。通过企业管理器备份数据库：首先启动SQL Server服务，打开企业管理器；然后打开要备份的数据库，选中要备份的数据库，单击右键，在选择“所有任务”选项中“备份数据库”子项；根据界面提示输入相关信息进行备份。通过SQL备份语句实现：备份前首先

20、要创建备份设备，然后再把数据库备份到备份设备中去。创建备份设备的语句：EXEC sp_addumpdevice disk , 存储备份数据或日志设备文件 , 存储备份数据或日志设备的路径1）备份一个数据库BACKUP DATABASE 需备份数据库TO 备份数据设备文件2）备份一个数据库事务日志BACKUP LOG 需备份数据库日志TO 备份数据日志设备文件3. SQL Server在本地主机上进行数据库恢复也可以通过企业管理器或SQL备份语句实现。通过企业管理器恢复数据库：首先启动SQL Server服务，打开企业管理器；然后选中数据库实例下的“数据库”目录，单击右键，在选择“所有任务”选项

21、中“还原数据库”子项；根据界面提示输入相关信息进行恢复。 图1选择需要备份的数据 图2确定数据库的备份类型通过SQL恢复语句实现：1）恢复一个数据库RESTORE DATABASE 需恢复的数据库FROM 已备份数据的设备文件2）备份一个数据库事务日志RESTORE LOG 需恢复的数据库日志FROM 已备份数据日志的设备文件。7.结果分析与实验体会收获这是我第一次实验，觉得还是不太熟悉，下次一定会继续努力。XX大学本科实验报告课程名称：网络安全技术 学 号： 1421351姓 名： XXX专 业： 网络工程班 级： 网络B14-1指导教师：课内实验目录及成绩序号实验名称页码成绩1实验八 个人

22、防火墙安装及设置 52实验九 Windows Server2016安全配置与恢复 63实验十 数据库及数据安全 54实验十一 网购支付数字证书的获取与管理 信息技术学院2017年 12 月 1日XX大学实验报告课程名称： 计算机信息安全 实验类型： 演示、验证 实验项目名称：实验十一 网购支付数字证书的获取与管理 实验地点： 信息楼320 实验日期： 2017 年 12月 1 日实验十一 网购支付数字证书的获取与管理1.实验目的本节就在理解证书的生成过程的同时，自己动手建立一个CA认证中心，通过这个CA发放证书。本试验的主要目的有以下三个： 利用开源软件建立自我认证中心、发行客户端证书和发行服

23、务器端证书的过程。 了解Win32 OpenSSL-1.0.1e、ActivePerl-5.16.3等开源或免费软件安装和使用。 掌握电子商务网站中使用证书认证时的配置方式。2.实验要求及方法1）实验设备本试验使用一台安装有Windows7操作系统的计算机，在网上下载并事先安装下列软件，WEB服务器tomcat8.0.0，JDK7, 发行证书用的Win32OpenSSL-1.0.1e，另外为了在win32下运行Perl脚本，还需要安装ActivePerl-5.16.3。2）注意事项(1) 预习准备由于本实验中使用的一些软件大家可能不太熟悉，可以提前对这些软件的功能和使用方式做一些了解，以利于对

24、于试验内容的更好理解。(2) 注意弄懂实验原理、理解各步骤的含义对于操作的每一步要着重理解其原理，对于证书制作过程中的各种中间文件、最终生成的证书、证书导入操作等要充分理解其作用和含义。实验用时：3学时（120-150分钟）3.实验内容及步骤证书的发行管理及使用需要如下五个步骤：建立CA、发行服务器端证书、发行客户端证书、修改Tomcat设置、向浏览器导入证书和使用证书访问网站。在以下的内容中将分步骤进行详细的说明。准备工作：首先在C盘下建立一个C:/web/ssl目录，所有证书发行工作都将在这个目录下进行。1)建立CAOpenSSL是SSL/TLS协议的一套开源实装程序，提供了包括证书发行需

25、要的所有功能在内的SSL协议的所有内容，这里就使用这些功能来完成证书的发行工作。首先把OpenSSL的bin目录中的CA.pl、openssl.cfg文件拷贝到C:/web/ssl下，并把CA.pl中的$CATOP和openssl.cfg文件中 CA_default 下的dir变量分别作如下修改：$CATOP=./myCA;dir = ./myCA 修改完成后，执行下面的Perl脚本命令：SET SSLEAY_CONFIG=-config C:websslopenssl.cfgCA.pl -newca按照提示依次输入国名、省市名称、公司部门名称等信息，如图1所示。图1 CA 注册信息（部分截图

26、）上述命令执行完后会在C:/web/ssl/myCA下生成一系列文件和目录，其中cacert.pem是CA的证书，private目录下的文件cakey.pem是CA的私钥。2)发行服务器端证书生成服务器端密钥，文件名为server.key：openssl genrsa -out server.key 1024建立证书发行申请，文件名为serverreq.csr：openssl req -new -key server.key -out serverreq.csr -sha1如图2所示。图2 服务器证书发行申请利用上面生成的申请来发行CA署名的证书，证书文件名为server.pem。这里使用的

27、openssl_server.cfg是配置文件，把CA使用的openssl.cfg拷贝后命名为openssl_ server.cfg，去掉nsCertType = server行的注释，然后执行下面的命令：openssl ca -config openssl_server.cfg -in serverreq.csr -out server.pem图3 服务器证书作成（部分截图）3)发行客户端证书和发行服务器端证书类似，首先把openssl.cfg拷贝后命名为openssl_client.cfg，然后去掉nsCertType = client,email行的注释。生成客户端用密钥，文件名为cli

28、ent.key： Openssl genrsa -out client.key 1024生成客户端证书要求，文件名为clientreq.pem：openssl req -new -days 365 -key client.key -out clientreq.pem同上回答完类似图5的国别、城市等注册信息后，生成客户端证书请求，然后利用该请求生成证书并署名，文件名为client.pem：openssl ca -config openssl_client.cfg -in clientreq.pem -out client.pem客户端证书转换成浏览器可用的PKCS12格式，文件名为client.

29、p12：openssl pkcs12 -export -in client.pem -inkey client.key -certfile myCA/cacert.pem -out client.p12图4 客户端证书转换4)修改Tomcat设置Tomcat下实现SSL有JSSE方式和APR方式两种，这里采用APR方式，注意安装Tomcat时不要漏掉安装APR Native library。Tomcat配置文件server.xml中关于ssl的配置设置成下文所示的内容：其中SSLVerifyClient = require 是指定必须要求客户端证书， SSLCACertificateFile 指定根CA的证书，SSLCertificateFile是服务器端证书，SSLCertificateKeyFile指定服务器端私钥。5)向浏览器中导入证书向浏览器中导入证