网络信息安全实训报告.doc

西安航空职业技术学院西安航空职业技术学院 课课 程程 设设 计计 任任 务务 书书 课题名称：课题名称：网络与信息安全实训网络与信息安全实训 设计内容设计内容： 1.1.文档的加密文档的加密 2.2.网络服务器的安全配置网络服务器的安全配置 3.3.数据数据 备份与恢复备份与恢复 4.4.网络安全防护网络安全防护 5.5.应用安全应用安全 技术条件或要求：技术条件或要求：1.1. 掌握常用的加密算法原理；会使用加密软掌握常用的加密算法原理；会使用加密软 件对文件、文件夹或邮件进行加密。件对文件、文件夹或邮件进行加密。2.2.掌握掌握 FTPFTP 服务器及客户端服务器及客户端 的配置；的配置；WebWeb 服务安全。服务安全。3.3.掌握数据备份的方法；会使用数据恢掌握数据备份的方法；会使用数据恢 复软件进行数据恢复。用复软件进行数据恢复。用 FileGeeFileGee 备份数据。备份数据。4.4.掌握用掌握用 sniffersniffer 捕获数据包，用捕获数据包，用 sniffersniffer 实时监测网络。实时监测网络。5.5.能用天网防火墙防范能用天网防火墙防范 木马；用天网防火墙打开木马；用天网防火墙打开 2121 和和 8080 端口。端口。6.6.数字证书作用；支付数字证书作用；支付 宝数字证书的申请、安装与取消；宝数字证书的申请、安装与取消；USBUSB KeyKey 的使用。的使用。 指导教师（签名）：指导教师（签名）： 教研室主任（签名）：教研室主任（签名）： 开题日期：开题日期： 20152015 年年 6 6 月月 2929 日日 完成日期：完成日期： 20152015 年年 7 7 月月 0303 日日 摘摘 要要 随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特 征，人们称它为信息高速公路。网络是计算机技术和通信技术的产物，是 应社会对信息共享和信息传递的要求发展起来的，各国都在建设自己的信 息高速公路。我国近年来计算机网络发展的速度也很快，在国防、电信、 银行、广播等方面都有广泛的应用。 我相信在不长的时间里，计算机网络一定会得到极大的发展，那时将 全面进入信息时代。不当正因为网络应用的如此广泛，又在生活中扮演很 重要的角色，所以其安全性是不容忽视的，它是网络能否经历考验的关键， 如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不 可少的一个环节，然而信息安全却得不到相应的重视。本文针对网络信息 安全技术进行的探讨。 关键词：计算机技术；网络信息；安全性；信息安全 目录目录 1.1. 文档的加密文档的加密 .1 1.1 对称加密工具 APOCALYPSO的使用1 1.2 PGP 软件的使用.2 1.2.1 PGP 软件的介绍.2 1.2.2 PGP 软件的安装.3 1.2.3 PGP 软件的秘钥生成.4 1.2.4 PGP 软件的邮件加密解密.5 2.2. 网络服务器的安全配置网络服务器的安全配置 .6 2.1 安装 IIS6.0.6 2.1.1 安装 Internet 信息服务6 2.1.2 配置匿名身份验证.7 2.2 基本 WEB 站点配置.8 2.3 让 IIS 以最小的 NTFS 权限运行8 3.3. 数据备份和恢复数据备份和恢复 .9 31FILEGEE软件 9 311FileGee 软件介绍.9 312 FileGee 软件使用.10 4.4. 网络安全防护网络安全防护 .12 4.1 SNIFFERPRO数据包捕获与协议分析12 4.1.1 实验原理.12 4.1.2 基本的网络数据帧的捕获和解码.12 4.2 天网防火墙的使用.14 5.5. 应用安全应用安全 .17 5.1 支付宝数字证书17 52 USB KEY 的使用.18 总结总结 .19 参考文献参考文献 .19 第 1 页 共 19 页 1.1. 文档的加密文档的加密 1.11.1 对称加密工具对称加密工具 ApocalypsoApocalypso 的使用的使用 打开此软件进入主界面 图-主界面 选择此软件第一选项进入加密界面 图-加密界面 输入加密密钥以及选择加密文本 第 2 页 共 19 页 图-密钥以及文件选择界面 完成加密 图-完成加密界面 1.21.2 PGPPGP 软件的使用软件的使用 .1 PGPPGP 软件的介绍软件的介绍 PGP 软件的英文全名是“Pretty Good Privacy” ，是一个广泛用于电子 邮件和其他场合的十分出色的加密软件。PGP 实现了大部分加密和认证的算 法，如 Blowfish，CAST，DES，IDEA，RC2，RC4，RC5，Safer，Safer-SK 第 3 页 共 19 页 等传统的加密方法，以及 MD2，MD4，MD5，RIPEMD-160，SHA 等散列算法， 当然也包括 D-H，DSA，Elgamal，RSA 等公开密钥加密算法。 PGP 先进的 加密技术使它成为最好的、攻击成本最高的安全性程序 .2 PGPPGP 软件的安装软件的安装 选择用户类型，首次安装选择 No, Im a New User 图-选择用户类型 确认安装的路径选择安装应用组件 图-安装 PGP选择应用组件 安装完毕后，重新启动计算机；重启后，PGP Desktop 已安装在电脑 上安装向导会继续 PGP Desktop 注册，填写注册码及相关信息，完成安装。 第 4 页 共 19 页 图填写注册信息 .3 PGPPGP 软件的秘钥生成软件的秘钥生成 打开 Open PGP Desktop，在菜单中选择 PGPKeys,在 Key Generation Winzrad 提示向导下，创建用户密钥对。 图-PGP 密钥生成向导 输入用户名及邮件地址 图-输入用户名及邮箱 输入用户保护私钥口令,完成秘钥生成。 第 5 页 共 19 页 图-输入用户保护私钥口令 .4 PGPPGP 软件的邮件加密解密软件的邮件加密解密 打开 Outlook Express，填写好邮件内容后，选择 Outlook 工具栏 菜单中的 PGP 加密图标，使用用户公钥加密邮件内容 图-选择加密邮件 发送加密邮件 图-加密后的邮件 第 6 页 共 19 页 收到邮件打开后，选中加密邮件后选择复制，打开 Open PGP Desktop，在菜单中选择 PGPmail，在 PGPmail 中选择解密/效验，在弹出的 “选择文件并解密/效验”对话框中选择剪贴板，将要解密的邮件内容复制 到剪贴板中。 图-解密邮件 输入用户保护私钥口令后，邮件被解密还原。 图-输入用户保护私钥口令 2.2. 网络服务器的安全配置网络服务器的安全配置 2.12.1 安装安装 IIS6.0IIS6.0 .1 安装安装 InternetInternet 信息服务信息服务 Microsoft Internet 信息服务 (IIS) 是与 Windows Server 2003 集 成的 Web 服务。要安装 IIS、添加可选组件或删除可选组件，请按以下步骤操作： 单击开始，指向控制面板，然后单击“添加或删除程序” 。 第 7 页 共 19 页 “添加或删除程序”工具就会启动。 单击添加/删除 Windows 组件。显示“Windows 组件向导” 。 在 Windows 组件 列表中，单击 Web 应用程序服务器。 单击详细信息，然后单击 Internet 信息服务 (IIS)。 .单击详细信息 ，以查看 IIS 可选组件列表。 选择您要安装的可选组件。默认情况下，下列组件是选中的： - 公用文件 - FrontPage 2002 Server Extentions - Internet 信息服务管理单元 - Internet 信息服务管理器 - NNTP 服务 - SMTP 服务 - World Wide Web 服务 单击“World Wide Web 服务” ，然后单击详细信息 ，以查看 IIS 可选子组件（如 Active Server Pages 组件和“远程管理 (HTML) 工具” ）的列表。选择您要安装的可选子组 件。默认情况下，下列组件是选中的： - World Wide Web 服务 单击确定 ，直到返回“Windows 组件向导” 。 单击下一步，然后完成“Windows 组件向导” 。 .2 配置匿名身份验证配置匿名身份验证 要配置匿名身份验证，请按以下步骤操作： 单击开始，指向管理工具，然后单击 Internet 信息服务 (IIS)。 展开“* 服务器名称” （其中服务器名称为该服务器的名称） ，右键 单击 Web 站点，然后单击属性。 在 Web 站点属性对话框中，单击目录安全性选项卡。 在“身份验证和访问控制”下，单击编辑。 单击“启用匿名访问”复选框，将其选中。 备注：“用户名”框中的用户帐户只用于通过 Windows Guest 帐户进行匿名访问。默认情况下，服务器会创建并使用帐户 IUSR_computername。匿名用户帐户密码仅在 Windows 中使用；匿名用户不 使用用户名和密码登录。 在“已验证身份的访问”下，单击“集成的 Windows 身份验证”复 第 8 页 共 19 页 选框，将其选中。 单击确定两次。 2.22.2 基本基本 WebWeb 站点配置站点配置 单击开始，指向管理工具，然后单击 Internet 信息服务 (IIS)。 展开“* 服务器名称” （其中服务器名称为该服务器的名称） ，然后 展开 Web 站点。 右键单击默认 Web 站点，然后单击属性。 单击 Web 站点选项卡。如果您已为计算机分配了多个 IP 地址，则请 在 IP 地址框中单击您要指定给此 Web 站点的 IP 地址。 单击性能选项卡。使用 Web 站点属性-性能对话框可设置影响内存、 带宽使用和 Web 连接数量的属性。 通过配置某个特定站点上的网络带宽，您可以更好地控制该站点的通 信量。例如，通过在低优先级的 Web 站点上限制带宽，您可以放宽对他站点的访问量的限制。同样，当您 指定到某个 Web 站点的连接数量时，您就可以为其他站点释放资源。设置是站点专用 的，应根据网络通信量和使用变化情况进行调整。 - 单击“限制可用于此 Web 站点的带宽”复选框，将其选中，可配 置 IIS 将网络带宽调节到选定的最大带宽量，以千字节每秒 (KB/S) 为单 位。 - 单击 Web 服务连接 复选框，将其选中，可选择特定数目或者不限 定数目的 Web 服务连接。限制连接可使计算机资源能够用于其他进程。 备注：每个浏览 Web 站点的客户机通常都使用大约三个连接。 单击主目录 选项卡。 - 如果您想使用存储在本地计算机上的 Web 内容，则单击“此计算 机上的目录”然后在本地路径框中键入您想要的路径。例如，默认路径为 C:Inetpubwwwroot。 2.32.3 让让 IISIIS 以最小的以最小的 NTFSNTFS 权限运行权限运行 依次做下面的工作: 选取整个硬盘： system：完全控制 administrator：完全控制 (允许将来自父系的可继承性权限传播给对 象) program filescommon files： 第 9 页 共 19 页 everyone：读取及运行，列出文件目录，读取(允许将来自父系的可 继承性权限传播给对象) inetpubwwwroot：iusr_machinename：读取及运行，列出文件目 录，读取(允许将来自父系的可继承性权限传播给对象) windowssystem32：选择除 inetsrv 和 centsrv 以外的所有目录， 去除“允许将来自父系的可继承性权限传播给对象”选框，复制。 windows：选择除了 downloaded、program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web 以外的所有目录去除“允许将来 自父系的可继承性权限传播给对象”选框，复制。 windows：everyone：读取及运行，列出文件目录，读取(允许将 来自父系的可继承性权限传播给对象) windowstemp：（允许访问数据库并显示在 asp 页面上） everyone：修改(允许将来自父系的可继承性权限传播给对象) 再单独对 cmd.exe、net.exe、net1.exe、ping.exe、netstat.exe、ftp.exe、tftp. exe、telnet.exe 、regedit.exe、at.exe、attrib.exe、format.exe 设置 为只允许 administrators 组访问，这样就可以防范通过 Serv-U 的本地提 升权限漏洞来运行这些关键的程序了，再删除 cacls.exe 这个程序，防止 有人通过命令行来修改权限还比较有威胁的组件就是 Shell.Application 和 Wscript.Shell 这两个组件了，Shell.Application 可以对文件进行一些 操作，还可以执行程序，但不能带参数，而 Wscript.Shell 可以操作注册 表和执行 DOS 命令。 3.3. 数据备份和恢复数据备份和恢复 3 31 1FileGeeFileGee 软件软件 3 31 11 1FileGeeFileGee 软件介绍软件介绍 FileGee 个人文件同步备份系统是一款优秀的文件同步与备份软件。它 集文件备份、同步、加密、分割于一身。协助个人用户实现硬盘之间，硬 盘与移动存储设备之间的备份与同步。强大的容错功能和详尽的日志、进 度显示，更保证了备份、同步的可靠性。高效稳定、占用资源少的特点， 充分满足了用户的需求。不需要额外的硬件资源，便能搭建起一个功能强 大、高效稳定的全自动备份环境，是一种性价比极高的选择。 第 10 页 共 19 页 3 31 12 2 FileGeeFileGee 软件使用软件使用 找到“FileGee 个人文件同步备份系统”软件安装的图标，双击运行， 图-软件运行主界面 选择任务名称遗迹执行方式 图-任务名称与执行方式选项 选择备份原文件位置 图-备份的原文件位置设置 进行备份目标设置 图-备份的目标位置设置 进行备份文件过滤设置 第 11 页 共 19 页 图-需要备份的文件的过滤设置 设置自动备份时间 图-设置自动备份的时间模式 任务的高级设置 图-该任务的高级设置 设置发送结果信息 图-在任务结束后设置发送的结果信息 完成备份 第 12 页 共 19 页 图-该任务完成设置后的主界面 4.4. 网络安全防护网络安全防护 4.14.1 SnifferProSnifferPro 数据包捕获与协议分析数据包捕获与协议分析 .1 实验原理实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元 （PDU）方式传输的。以数据链路层的“帧”为例， “帧”由多个部分组成， 不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前 12 个 字节存放的是源 MAC 地址和目的 MAC 地址，这些数据告诉网络该帧的来源 和去处，其余部分存放实际用户数据、高层协议的报头如 TCPIP 的报头 或 IPX 报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协 议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送 到网络中，通过网络传送到它们的目的主机。目的主机按照同样的通信协 议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧，会 告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。 .2 基本的网络数据帧的捕获和解码基本的网络数据帧的捕获和解码 Sniffer Pro 4.7 的安装与启动 启动 Sniffer Pro 4.7。在获取 Sniffer Pro 4.7 软件的安装包后， 运行安装程序，按要求输入相关信息并输入注册码，若有汉化包请在重启 计算机前进行汉化。完成后重启计算机，点击“开始”“程序” “Sniffer Pro” “Sniffer” ，启动“Sniffer Pro 4.7”程序。 选择用于 Sniffer 的网络接口。如果计算机有多个网络接口设备， 则可通过菜单“File” “Select Settings” ，选择其中的一个来进行监测。 监测网络中计算机的连接状况 配置好服务器和工作站的 TCP/IP 设置并启动 Sniffer Pro 软件，选择 第 13 页 共 19 页 “菜单”中“Monitor（监视器） ” “Matrix（主机列表） ” ，从工作站访问服 务器上的资源，如 WWW、FTP 等，观察检测到的网络中的连接状况，记录下 各连接的 IP 地址和 MAC 地址。 监测网络中数据的协议分布 选择菜单“Monitor”“Protocal distribution（协议分布） ” ，监测数据包中的使用的协议情况。 监测分析网络中传输的 ICMP 数据 定义过滤规则：点击菜单“Capture” “Define Filter（定义过滤器） ” ，在在对话框中进行操作。点击“Address” （地址）选项卡，设置：“地 址类型”为 IP， “包含”本机地址，即在“位置 1”输入本机 IP 地址， “方 向” （Dir.）为“双向” ， “位置 2”为“任意的” 。点击“Advanced(高级)” 选项卡，在该项下选择“IP”“ICMP” 。设置完成后点击菜单中 “Capture（捕获） ”“Start”开 始记录监测数据。 从工作站 Ping 服务器的 IP 地址。 观察监测到的结果：点击菜单中“Capture”“Stop and display” ，将进入记录结果的窗口。点击下方各选项卡可观察各项记录， 可通过“File”Save”保存监测记录。 记录监测到的 ICMP 传输记录：点击记录窗口下方的解码 “Decode（解码） ”选项，进入解码窗口，分析记录，找到工作站向服务器 发出的请求命令并记录有关信息。 监测分析网络中传输的 HTTP 数据 在服务器的 Web 目录下放置一个网页文件。 定义过滤规则：点击菜单“Capture” “Define Filter” ，在对话框 中点“Advanced”选项卡，在该项下选择“IP”“TCP”“HTTP” 。设 置完成后点击菜单中“Capture”“Start开始记录监测数据。 从工作站用浏览器访问服务器上的网页文件。 观察监测到的结果：点击菜单中“Capture”“Stop and display” ，将进入记录结果的窗口，点击下方各选项卡可观察各项记录。 点击“File”Save”保存记录。 记录监测到的 HTTP 传输记录：点击记录窗口下方的解码“Decode” 选项，进入解码窗口，分析记录，找到工作站向服务器发出的网页请求命 令并记录有关信息。 监测分析网络中传输的 FTP 数据 启用服务器的 Serv-U 软件，在 FTP 服务目录下放置一个文本文件。 最好在 FTP 中建立两个用户，即匿名用户（anonymous）和一个授权用户 第 14 页 共 19 页 （用户名、权限自定） 。 定义过滤规则：点击菜单“Capture”“Define Filter” ，在 “Summary”选项卡下点击“Reset“按钮将过滤规则恢复到初始状态，然后 在“Advanced”选项卡下选择“IP”“TCP”“FTP” 。设置完成后点击 菜单“Capture”“Start”开始记录监测数据。 从工作站用 FTP 下载服务器上的文本文件。 观察监测到的结果：点击菜单“Capture”“Stop and display” ， 进入记录结果的窗口，点击下方各选项卡观察各项记录并保存记录。监控 显示如图 1-6 所示。可以看到登录密码也是明文显示的。 记录监测到的 FTP 传输记录：点击记录窗口下方的解码“Decode” 选项，进入解码窗口，分析记录，找到工作站向服务器发出的 FTP 命令并 记录。 4.2 天网防火墙的使用天网防火墙的使用 在这我们可以看到在防火墙监控中的应用程序，点击该程序的“选项” 按钮，我们可以设置更为详细的规则，如图 点击第二个按钮，进入“IP 规则管理设置” ，该按钮为网络功底较深 的用户使用，我们可以根据规则自己选择设置，但是如果对网络十分不熟 悉，建议使用默认设置，如图. 第 15 页 共 19 页 第三个按钮为系统设置，该设置选项比较少也比较简单而且多半无需 修改，故不再详细介绍.第四个按钮为“当前系统中所有应用程序网络使用 状况” ，在该处我们能看到十分明确的程序访问网络的情况，如图， 该处为在 TCP 协议下，程序访问网络的情况，我们可以看到各种程序 在本机监听的端口、连接的地址等等信息，这里我们就要注意了，因为一 些程序是使用 UDP 协议传输所以我们得点击 UDP 协议，如图 第 16 页 共 19 页 这样就能看到网络访问情况了，为结束进程键，当用户发现 有不法进程而要终止它们运行的时候，可以利用这个键。按下后出现以下 提示框： 第五个按钮为“日志”按钮，在这里可以看到防火墙对不法访问的监 控情况，如图 第 17 页 共 19 页 为“连接网络”状态，为“断开网络”状态，如果 按下断开/接通网络按钮，那么您的计算机就将完全与网络断开，就好像拔 下了网线