网络安全实习报告

1、目 录一、实习性质、目的和任务2二、实习内容与要求21虚拟机vpc的使用2(1)vpc的安装，同时安装windows server 2003的镜像文件2(2)vpc的设置，可根据自己的使用情况来选择安装汉化软件3(3)在vpc下安装相应软件。安装的软件参看“常用网络安全工具软件的使用”部分。42、主机安全性操作4（1）常用dos命令的使用：如pstat.tracert.4（2）证书的查看、申请与导出：4（3）ip安全策略的设置：包括关闭一些不常用的端口及服务，怎么禁止其他人ping本机7（4）通过修改注册表加强win2003的安全性153、常用网络安全工具软件的使用21(1)网络检测软件的使用

2、：x-scan的使；solarwinds2002-catv软件的使用21（2）pgp软件的使用22(3)snort软件的使用26三、实习总结28四、参考文献28网络安全与维护实习报告一、实习性质、目的和任务本次实习是在网络安全与维护教学之后的课程实习。本次实习既实现了对已学知识的综合复习，又达到了为后续课程的准备目的，也提高各项应用操作技能，掌握了建立安全的网络环境的基本过程。本次实习的目的在于基本掌握目前企业网络网络安全管理与防护的主要技术。二、实习内容与要求1虚拟机vpc的使用(1)vpc的安装，同时安装windows server 2003的镜像文件点击vpc安装文件进行安装安装wind

3、ows server2003：启动vpc 选择cdcapture iso image打开windows server2003安装包关闭vpc，重新启动,安装windows server2003系统.输入激活码 df33f-wmt84-kdpkt-fqbrg-7yh4t点击actionctr-altdelete 输入密码进入桌面(2)vpc的设置，可根据自己的使用情况来选择安装汉化软件点击汉化软件安装在e盘选择fileoptions设置语言为简体中文(3)在vpc下安装相应软件。安装的软件参看“常用网络安全工具软件的使用”部分。2、 主机安全性操作（1）常用dos命令的使用：如pstat.tra

4、cert.ping命令：t-an命令：(2）证书的查看、申请与导出：（1）安装证书管理您的服务器添加或删除角色，单击下一步。在客户端申请证书，申请证书在ie中输入 0/certsrv/（2）申请证书回到服务器颁发证书，然后回到客户端安装证书。点击 “查看挂起的证书申请的状态” 点击刚才申请通过的证书。（3）导出证书ie工具 internet选项 内容 证书，选择我们刚才安装的证书将其导出。导出后如下证书（3）ip安全策略的设置：包括关闭一些不常用的端口及服务，怎么禁止其他人ping本机（1） 关闭不常用的端口级服务： 打开“开始菜单”的“设置”菜单中。找到“

5、管理工具”“本地安全策略”，创建新的ip安全策略。添加新的ip安全策略。添加新的规则添加新的筛选器设置筛选器的属性：点击“协议”选项卡，首先中“选择协议类型”下的下拉列表中，选中“tcp”，然后中“到此端口”下的文本框中输入“135”，然后单击“确定”。添加屏蔽tcp 135（rpc）端口的筛选器 添加各端口筛选激活“新ip筛选器列表”，选中“筛选器操作”选项卡，添加筛选器操作，添加“阻止”操作。指派新的ip安全策略，然后完成设置。 禁止其他人ping本机：1：添加ip筛选器和筛选器操作依次单击开始管理工具本地安全策略，打开本地安全设置对话框，右击该对话框左侧的ip安全策略，在本地计算机选项，

6、执行管理ip筛选器表和筛选器操作命令；在弹出对话框的管理ip筛选器列表标签下单击添加按钮，命名这个筛选器的名称为禁止ping，描述语言可以为禁止任何其他计算机ping我的主机，单击下一步；选择ip通信源地址为我的ip地址，单击下一步；选择ip通信目标地址为任何ip地址，单击下一步；选择ip协议类型为icmp单击下一步，最后点击完成结束添加。之后切换到管理筛选器操作标签下，依次单击添加下一步，命名筛选器操作名称为阻止所有连接，描述语言可以为阻止所有网络连接，单击下一步；点选阻止选项作为此筛选器的操作行为，最后单击下一步，完成所有添加操作。 2：创建ip安全策略右击控制台中的ip安全策略，在本地计

7、算机选项，执行创建安全策略命令，然后单击下一步按钮；命名这个ip安全策略为禁止ping主机，描述语言为拒绝任何其他计算机的ping要求，并单击下一步；勾选激活默认响应规则后，单击下一步；在默认响应规则身份验证方法对话框中点选使用此字符串保护密钥交换选项，并在下面的文字框中任意键入一段字符串（如no ping），单击下一步最后勾选编辑属性，单击完成按钮结束创建。3：配置ip安全策略在打开的禁止ping属性对话框中的常规标签下单击添加下一步，点选此规则不指定隧道并单击下一步； 点选所有网络连接，保证所有的计算机都ping不通该主机，单击下一步；在ip筛选器列表框中点选禁止ping，单击下一步； 在

8、筛选器操作列表框中点选阻止所有连接，单击下一步 取消编辑属性选项并单击完成 4：指派ip安全策略安全策略创建完毕后并不能马上生效，我们还需通过指派功能令其发挥作用。右击本地安全设置对话框右侧的禁止ping主机策略，执行指派命令，即可启用该策略。5：用本机检测虚拟机中改的策略，看是否会ping通。 ping不通，证明修改的ip策略生效。方法二：打开windows 2003的控制台，选择控制台的根节点。在打开的文件中添加新的.net framework。添加新的ip安全策略在选择计算机或域的选项卡点选“本地计算机”，点击完成，完成安装。由此可见，在控制台根节点中可以找到刚才添加的ip策略。在控制台

9、根节点选中刚才添加的策略，即可完成，禁止其他人ping你的主机。（4）通过修改注册表加强win2003的安全性(1) 抵御winnuke黑客程序对计算机的攻击 winnuke是一个破坏力极强的程序，该程序能对计算机中的windows系统进行破坏，从而会导致整个计算机系统瘫痪，所以我们有必要预防winnuke的破坏性。我们可以在注册表中对其进行设置，以保证系统的安全。1)在注册表编辑器操作窗口中，用鼠标依次单击键值hkey_local_machinesystemcurrentcontrolsetservicesvxdmstcp；2)在对应mstcp键值的右边窗口中，用鼠标单击窗口的空白处，从弹出

10、的快捷菜单中选择“新建”/“dword值”，并给dword值取名为“bsdurgent”，如果该键值已经存在，可以直接进行下一步；3)然后将bsdurgent值设置为0，重新启动计算机后就可以实现目的了。(2) 限制使用系统的某些特性 在网吧或公用场所中，有时为了保证系统的属性不被其他普通用户随意更改，我们就必须要限制使用系统的某些特性。要实现这个目的，我们可以利用修改注册表编辑器的方法来达到。1)运行注册表编辑器，进入hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciessystem键值,如果不存在该键值，就新建一个；2

11、)然后将该键值下方的disabletaskmanager的值设为1，表示将阻止用户运行任务管理器。3)接着将nodispappearancepage设为1，表示将不允许用户在控制面板中改变显示模式；4)下面再将nodispbackgroundpage设为1，表示将不允许用户改变桌面背景和墙纸。（3）堵住交换文件隐患打开注册表编辑器，在该窗口的左边区域中，用鼠标依次单击hkey_local_machinesystemcurrentcontrolsetcontrolsessionmanagermemory management键值，找到右边区域中的clearpagefileatshutdown键值

12、，并用鼠标双击之，在随后打开的数值设置窗口中，将该dword值重新修改为“1”。完成设置后，退出注册表编辑窗口，并重新启动计算机系统，就能让上面的设置生效了。（4）减少程序关闭的时间等待打开注册表编辑器，找到 hkey_local_machinesystemcurrentcontrolsetcontrol，将 waittokillservicetimeout 设为:4000(原设定值:20000)。找到 hkey_current_usercontrol paneldesktop 键，将右边窗口的 waittokillapptimeout 改为 4000(原设定值:20000)，即关闭程序时仅等

13、待1秒。将 hungapptimeout 值改为:2000(原设定值:5000)，表示程序出错时等待0.5秒。（5）减少程序出错的错误等待找到键值“hkey_current_usercontrol paneldesktophungapptimeout”，将默认值5000修改为200(单位是毫秒)，这样可以大幅减少程序出错时的等待时间。（6）让“网上邻居”图标隐藏起来大家知道，通过网上邻居可以随意访问局域网中其他计算机上的内容，但如果其他计算机没有设置特别的访问权限的话，那些别有用心的破坏者很有可能利用网上邻居来非法删除其他计算机上的重要数据，给其他计算机造成了损失。为了避免这样的损失，我们可以

14、利用注册表来隐藏“网上邻居”。1）首先在打开的注册表编辑器操作窗口中，用鼠标依次访问键值hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer；2）在对应explorer键值右边的操作窗口中，用鼠标单击窗口的空白处，从弹出的快捷菜单中，用鼠标依次访问“新建”/“dword串值”；3）给新建的dword串值命名为nonethood，同时把该值设置为1（十六进制）；4）设置好后，重新启动计算机就可以使设置生效了。（7）删除默认共享进入 “开始运行”，输入“gpedit.msc”后回车，打开组策略编辑器。依次展开

15、“用户配置windows 设置脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”(参数不需要添加)，从而删除windows server 2003默认的共享。接下来再禁用ipc连接:打开注册表编辑器，依次展开hkey_local_machinesystemcurrentcontrolsetcontrollsa 分支，在右侧窗口中找到“restrictanonymous”子键，将其值改为“1”即可。（8）为windows 2003的启动加速1)hkey_local_machinesystemcurrentcontrolsetcontrolsessionmanagermemor

16、ymanagementprefetchparameters，其中有一个键值名为enableprefetcher，多数情况下它的值是3,推荐设置值是1.2)我的电脑-属性-高级-启动和故障修复中，点错误报告，选择禁用错误汇报、但在发生严重错误时通知我。3)点击编辑，在弹出记事本文件中: timeout=30/把缺省时间 30 秒改为 0 秒2、 常用网络安全工具软件的使用(1)网络检测软件的使用：x-scan的使；solarwinds2002-catv软件的使用x-scan使用此款软件进行局域网内各主机进行检测。（2）pgp软件的使用对pgp加密软件的安装步骤如图所示，安装完成后重启计算机，这样

17、pgp软件就安装成功了因为在用户类型对话框中选择了“新用户”，在计算机启动以后，自动提示建立pgp密钥，并要求选择安装组件。单击“下一步”按钮，在用户信息对话框中输入相应的姓名和电子邮件地址。在pgp密码输入框中输入8位以上的密码并确认，然后pgp会自动产生pgp密钥。到此为止，公钥和私钥都已经生成，为了保证私钥及公私的安全，请点击上图的密钥菜单，在弹出的下拉菜单中选择“导出菜单”。导入对方的公钥环和私钥环。利用pgp将文件加密并发给其他客户端。点击剪切菜单后,再打开pgpkeys，如下图示从左数第四个按钮:(encrypt and sign)。如下图示从左数第四个按钮:(encrypt an

18、d sign)把加密文件传回本地。此时加密的邮件内容已经进入粘贴板中.然后打开pgpshell程序.，点击上图中从左向右数第五个按钮:(解密/校检) , 点击clipboard按钮.根据上图的提示，输入框中输入密码，点击上图的ok按钮.看到邮件已经解密成功如下图所示。(3)snort软件的使用首先安装wincapa软件。然后安装snort软件。关于ids的详细配置如下图所示：把etc文件夹下的所有文件全部拷贝到 bin文件夹下，在log文件夹下，新建alert.ids。 编写如下图的规则，保存到bin文件夹，命名为icmp.rules。将此规则导入到下图位置。 单击apply后单击 test siteing，执行编写的规则，看到规则及设置正确。、 然后单机start snort，软件开始运行监测。此时配置安装完成，开始测试，找其他机器ping本机地址。回到本机查看日志，日志如下：三、实习总结经过一周的网络安全实训，我对系统安全管理有了一定的了解，一个星期下来，我学到很多东西，书本上的理论知识得到了实践。在对于虚拟的安装于应用有很多的不懂之处，进过询问同学，在同学的帮助之下得以解决，在vpc的安装时不懂得如