年5月29日網(wǎng)絡(luò)安全實(shí)驗(yàn)指導(dǎo)書(shū)文檔僅供參考網(wǎng)絡(luò)安全技術(shù)實(shí)驗(yàn)指導(dǎo)書(shū)計(jì)算機(jī)科學(xué)與工程學(xué)院(-第一學(xué)期)指導(dǎo)老師:杜淑琴實(shí)驗(yàn)一數(shù)據(jù)加密技術(shù)一、實(shí)驗(yàn)?zāi)康木幹苹镜奈谋炯?、解密程序二、?shí)驗(yàn)內(nèi)容凱撒密碼實(shí)現(xiàn)、維吉尼亞表加密、DES三、實(shí)驗(yàn)要求使用任意高級(jí)語(yǔ)言做出給文本文件加、解密的軟件.四、實(shí)驗(yàn)步驟:參考教科書(shū)有關(guān)內(nèi)容,掌握凱撒加密方法,自行設(shè)計(jì)密鑰.編制程序。密碼術(shù)能夠大致別分為兩種:即換位和替代,當(dāng)然也有兩者結(jié)合的更復(fù)雜的方法。在換位中字母不變,位置改變;替代中字母改變,位置不變。將替代密碼用于軍事用途的第一個(gè)文件記載是愷撒著的<高盧記>。愷撒描述了她如何將密信送到正處在被圍困、瀕臨投降的西塞羅。其中羅馬字母被替換成希臘字母使得敵人根本無(wú)法看懂信息。蘇托尼厄斯在公元二世紀(jì)寫(xiě)的<愷撒傳>中對(duì)愷撒用過(guò)的其中一種替代密碼作了詳細(xì)的描寫(xiě)。愷撒只是簡(jiǎn)單地把信息中的每一個(gè)字母用字母表中的該字母后的第三個(gè)字母代替。這種密碼替換一般叫做凱撒移位密碼,或簡(jiǎn)單的說(shuō),凱撒密碼。凱撒密碼是將每一個(gè)字母向前推移K位。如K=3,則它的每一個(gè)明文字符都由其右邊第三個(gè)(模26)字符代換如將字母A換作字母D,將字母B換作字母E。如有這樣一條指令:RETURNTOROME用愷撒密碼加密后就成為:UHWXUAWRURPH如果這份指令被敵方截獲,也將不會(huì)泄密,因?yàn)樽置嫔峡床怀鋈魏我饬x。這種加密方法還能夠依據(jù)移位的不同產(chǎn)生新的變化,如將每個(gè)字母左19位,就產(chǎn)生這樣一個(gè)明密對(duì)照表:明:ABCDEFGHIJKLMNOPQRSTUVWXYZ密:TUVWXYZABCDEFGHIJKLMNOPQRS暴力破解:使用從1-25的密鑰依次解密密文,看看得出來(lái)的結(jié)果是怎樣的。參考資料:盡管蘇托尼厄斯僅提到三個(gè)位置的愷撒移位,但顯然從1到25個(gè)位置的移位我們都能夠使用,因此,為了使密碼有更高的安全性,單字母替換密碼就出現(xiàn)了。如:明碼表ABCDEFGHIJKLMNOPQRSTUVWXYZ密碼表QWERTYUIOPASDFGHJKLZXCVBNM明文FOREST密文YGKTLZ只需重排密碼表二十六個(gè)字母的順序,允許密碼表是明碼表的任意一種重排,密鑰就會(huì)增加到四千億億億多種,我們就有超過(guò)4×1027種密碼表。破解就變得很困難。如何破解包括愷撒密碼在內(nèi)的單字母替換密碼?方法:字母頻度分析盡管我們不知道是誰(shuí)發(fā)現(xiàn)了字母頻度的差異能夠用于破解密碼?？墒?世紀(jì)的科學(xué)家阿爾·金迪在<關(guān)于破譯加密信息的手稿>對(duì)該技術(shù)做了最早的描述?！比绻覀冎酪粭l加密信息所使用的語(yǔ)言,那么破譯這條加密信息的方法就是找出同樣的語(yǔ)言寫(xiě)的一篇其它文章,大約一頁(yè)紙長(zhǎng),然后我們計(jì)算其中每個(gè)字母的出現(xiàn)頻率。我們將頻率最高的字母標(biāo)為1號(hào),頻率排第2的標(biāo)為2號(hào),第三標(biāo)為3號(hào),依次類(lèi)推,直到數(shù)完樣品文章中所有字母。然后我們觀察需要破譯的密文,同樣分類(lèi)出所有的字母,找出頻率最高的字母,并全部用樣本文章中最高頻率的字母替換。第二高頻的字母用樣本中2號(hào)代替,第三則用3號(hào)替換,直到密文中所有字母均已被樣本中的字母替換?！币杂⑽臑槔?首先我們以一篇或幾篇一定長(zhǎng)度的普通文章,建立字母表中每個(gè)字母的頻度表。在分析密文中的字母頻率,將其對(duì)照即可破解。雖然設(shè)密者后來(lái)針對(duì)頻率分析技術(shù)對(duì)以前的設(shè)密方法做了些改進(jìn),比如說(shuō)引進(jìn)空符號(hào)等,目的是為了打破正常的字母出現(xiàn)頻率?？墒切〉母倪M(jìn)已經(jīng)無(wú)法掩蓋單字母替換法的巨大缺陷了。到16世紀(jì),最好的密碼破譯師已經(jīng)能夠破譯當(dāng)時(shí)大多數(shù)的加密信息。局限性:短文可能?chē)?yán)重偏離標(biāo)準(zhǔn)頻率,加入文章少于100個(gè)字母,那么對(duì)它的解密就會(huì)比較困難。而且不是所有文章都適用標(biāo)準(zhǔn)頻度:1969年,法國(guó)作家喬治斯·佩雷克寫(xiě)了一部200頁(yè)的小說(shuō)<逃亡>,其中沒(méi)有一個(gè)含有字母e的單詞。更令人稱(chēng)奇的是英國(guó)小說(shuō)家和拼論家吉爾伯特·阿代爾成功地將<逃亡>翻譯成英文,而且其中也沒(méi)有一個(gè)字母e。阿代爾將這部譯著命名為<真空>。如果這本書(shū)用單密碼表進(jìn)行加密,那么頻度分析破解它會(huì)受到很大的困難。實(shí)驗(yàn)二協(xié)議分析軟件的使用一、實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)協(xié)議分析軟件wireshark的使用二、實(shí)驗(yàn)內(nèi)容學(xué)習(xí)使用Wireshark抓取發(fā)送郵件的包三、實(shí)驗(yàn)步驟在一臺(tái)網(wǎng)絡(luò)計(jì)算機(jī)上安裝網(wǎng)絡(luò)協(xié)議分析軟件Wireshark(即Ethereal),按照教材第7.2節(jié)的方法,捕獲自己的計(jì)算機(jī)經(jīng)過(guò)互聯(lián)網(wǎng)發(fā)送電子郵件的全部數(shù)據(jù)。將捕獲數(shù)據(jù)文件保存,并利用各種過(guò)濾器和統(tǒng)計(jì)分析工具,從捕獲數(shù)據(jù)中得出以下答案:1．自己的網(wǎng)絡(luò)計(jì)算機(jī)的MAC地址是2．本地網(wǎng)絡(luò)出口網(wǎng)關(guān)的MAC地址是(參看教材21頁(yè)例)(因?yàn)猷]件服務(wù)器與自己的網(wǎng)絡(luò)計(jì)算機(jī)并不在同一個(gè)局域網(wǎng)內(nèi),因此,發(fā)送的電子郵件以太網(wǎng)數(shù)據(jù)幀的目的MAC地址不是郵件服務(wù)器的,而是局域網(wǎng)出口網(wǎng)關(guān)的MAC地址。)3．自己的網(wǎng)絡(luò)計(jì)算機(jī)的IP地址是自己注冊(cè)的電子郵件服務(wù)器的IP地址是,與客戶(hù)機(jī)是否在同一個(gè)網(wǎng)段?答:。4．與郵件服務(wù)器建立TCP連接時(shí)本地主機(jī)的端口號(hào)是1432(客戶(hù)端采用臨時(shí)端口號(hào),用于標(biāo)識(shí)本次應(yīng)用進(jìn)程,參看教材第25頁(yè))。郵件服務(wù)器端的TCP端口號(hào)是,這個(gè)端口號(hào)的名字是什么?是電子郵件服務(wù)器的端口號(hào)SMTP嗎?答:。5．在三次握手建立了TCP連接后,本機(jī)的HTTP進(jìn)程采用方法(教材表1.7)向郵件服發(fā)送本用戶(hù)的注冊(cè)用戶(hù)名和口令。從此請(qǐng)求數(shù)據(jù)段中可否讀出自己的用戶(hù)名?,能否獲得登錄密碼?。6．分析你的電子郵件服務(wù)商是否采用了什么方法保護(hù)你的用戶(hù)名、密碼和郵件內(nèi)容?答:。7．當(dāng)自己成功登錄郵件服務(wù)器后,利用Wireshark(Ethereal)的Analyze工具欄中的FollowTCPStream工具,找出自己的主機(jī)發(fā)送給服務(wù)器的Cookies內(nèi)容是什么?答:8．郵件服務(wù)器向本機(jī)返回的Cookie的內(nèi)容是什么?(對(duì)Cookie的內(nèi)容分析方法見(jiàn)教材第211頁(yè))答:9．從捕獲數(shù)據(jù)中能否獲取自己的電子郵件內(nèi)容?答:10．結(jié)合教材第1、6、10和11章的介紹,分析自己的電子郵件面臨的以下安全問(wèn)題:(1)如果受到重放攻擊時(shí)如何解決身份認(rèn)證的問(wèn)題,(2)用戶(hù)名的保護(hù)問(wèn)題,(3)登錄密碼的保護(hù)問(wèn)題,(4)郵件信息的保密問(wèn)題,(5)郵件信息的防篡改問(wèn)題,(6)采用哪些措施防止垃圾郵件泛濫?四、實(shí)驗(yàn)總結(jié)參考資料:Wireshark(Ethereal)軟件介紹網(wǎng)絡(luò)協(xié)議分析軟件Wireshark與Ethereal的關(guān)系Wireshark(原名Ethereal)是當(dāng)前世界上最受歡迎的協(xié)議分析軟件,利用它可將捕獲到的各種各樣協(xié)議的網(wǎng)絡(luò)二進(jìn)制數(shù)據(jù)流翻譯為人們?nèi)菀鬃x懂和理解的文字和圖表等形式,極大地方便了對(duì)網(wǎng)絡(luò)活動(dòng)的監(jiān)測(cè)分析和教學(xué)實(shí)驗(yàn)。它有十分豐富和強(qiáng)大的統(tǒng)計(jì)分析功能,可在Windows,Linux和UNIX等系統(tǒng)上運(yùn)行。此軟件于1998年由美國(guó)GeraldCombs首創(chuàng)研發(fā),原名Ethereal,至今世界各國(guó)已有100多位網(wǎng)絡(luò)專(zhuān)家和軟件人員正在共同參與此軟件的升級(jí)完善和維護(hù)。它的名稱(chēng)于5月由原Ethereal改為Wireshark。至今它的更新升級(jí)速度大約每2～3個(gè)月推出一個(gè)新的版本,9月時(shí)的版本號(hào)為0.99.6?？墒巧?jí)后軟件的主要功能和使用方法保持不變。它是一個(gè)開(kāi)源代碼的免費(fèi)軟件,任何人都可自由下載,也可參與共同開(kāi)發(fā)。

Wireshark網(wǎng)絡(luò)協(xié)議分析軟件能夠十分方便直觀地應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)原理和網(wǎng)絡(luò)安全的教學(xué)實(shí)驗(yàn),網(wǎng)絡(luò)的日常安全監(jiān)測(cè),網(wǎng)絡(luò)性能參數(shù)測(cè)試,網(wǎng)絡(luò)惡意代碼的捕獲分析,網(wǎng)絡(luò)用戶(hù)的行為監(jiān)測(cè),黑客活動(dòng)的追蹤等。因此它在世界范圍的網(wǎng)絡(luò)管理專(zhuān)家,信息安全專(zhuān)家,軟件和硬件開(kāi)發(fā)人員中,以及美國(guó)的一些知名大學(xué)的網(wǎng)絡(luò)原理和信息安全技術(shù)的教學(xué)、科研和實(shí)驗(yàn)工作中得到廣泛的應(yīng)用。

本教材提供了Wireshark的詳細(xì)使用方法介紹,并采用它作為計(jì)算機(jī)網(wǎng)絡(luò)原理和網(wǎng)絡(luò)安全協(xié)議教學(xué)的分析實(shí)驗(yàn)工具。本教材和教學(xué)網(wǎng)站上提供的網(wǎng)絡(luò)安全監(jiān)控?cái)?shù)據(jù)樣本(后綴為.pcap的文件),都可用Wireshark打開(kāi),進(jìn)行各種網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)安全專(zhuān)題的分析研究。

在安裝新舊版本軟件包和使用中,Ethereal與Wireshark的一些細(xì)微區(qū)別如下:

(1)Ethereal軟件安裝包中包含的網(wǎng)絡(luò)數(shù)據(jù)采集軟件是winpcap3.0的版本,保存捕獲數(shù)據(jù)時(shí)只能用英文的文件名,文件名默認(rèn)后綴為.cap

(2)Wireshark軟件安裝包中,當(dāng)前包含的網(wǎng)絡(luò)數(shù)據(jù)采集軟件是winpcap4.0版本,保存捕獲數(shù)據(jù)時(shí)能夠用中文的文件名,文件名默認(rèn)后綴為.pcap。另外,Wireshark能夠翻譯解釋更多的網(wǎng)絡(luò)通信協(xié)議數(shù)據(jù),對(duì)網(wǎng)絡(luò)數(shù)據(jù)流具有更好的統(tǒng)計(jì)分析功能,在網(wǎng)絡(luò)安全教學(xué)和日常網(wǎng)絡(luò)監(jiān)管工作中使用更方便,而基本使用方法依然與Ethereal相同。實(shí)驗(yàn)三Windows安全模板配置一、開(kāi)發(fā)語(yǔ)言及實(shí)現(xiàn)平臺(tái)或?qū)嶒?yàn)環(huán)境WindowsXP操作系統(tǒng)的計(jì)算機(jī)二、實(shí)驗(yàn)?zāi)康?1)經(jīng)過(guò)實(shí)驗(yàn)掌握安全策略與安全模板的使用三、實(shí)驗(yàn)要求(1)掌握安全模板的管理和設(shè)置(2)按照模板配置各項(xiàng)安全屬性四、實(shí)驗(yàn)原理”安全模板”是一種能夠定義安全策略的文件表示方式,它能夠配置賬戶(hù)和本地策略、事件日志、受限組、文件系統(tǒng)、注冊(cè)表以及系統(tǒng)服務(wù)等項(xiàng)目的安全設(shè)置。安全模板都以.inf格式的文本文件存在,用戶(hù)能夠方便地復(fù)制、粘貼、導(dǎo)入或?qū)С瞿承┠０?。另?安全模板并不引入新的安全參數(shù),而只是將所有現(xiàn)有的安全屬性組織到一個(gè)位置以簡(jiǎn)化安全性管理,而且提供了一種快速批量修改安全選項(xiàng)的方法。系統(tǒng)已經(jīng)預(yù)定義了幾個(gè)安全模板以幫助加強(qiáng)系統(tǒng)安全,在默認(rèn)情況下,這些模板存儲(chǔ)在"%Systemroot%\Security\Templates"目錄下。它們分別是:1.Compatws.inf提供基本的安全策略,執(zhí)行具有較低級(jí)別的安全性但兼容性更好的環(huán)境。放松用戶(hù)組的默認(rèn)文件和注冊(cè)表權(quán)限,使之與多數(shù)沒(méi)有驗(yàn)證的應(yīng)用程序的要求一致。"PowerUsers"組一般見(jiàn)于運(yùn)行沒(méi)有驗(yàn)證的應(yīng)用程序。2.Hisec*.inf提供高安全的客戶(hù)端策略模板,執(zhí)行高級(jí)安全的環(huán)境,是對(duì)加密和簽名作進(jìn)一步限制的安全模板的擴(kuò)展集,這些加密和簽名是進(jìn)行身份認(rèn)證和保證數(shù)據(jù)經(jīng)過(guò)安全通道以及在SMB客戶(hù)機(jī)和服務(wù)器之間進(jìn)行安全傳輸所必須的。3.Rootsec.inf確保系統(tǒng)根的安全,能夠指定由WindowsXPProfessional所引入的新的根目錄權(quán)限。默認(rèn)情況下,Rootsec.inf為系統(tǒng)驅(qū)動(dòng)器根目錄定義這些權(quán)限。如果不小心更改了根目錄權(quán)限,則可利用該模板重新應(yīng)用根目錄權(quán)限,或者經(jīng)過(guò)修改模板對(duì)其它卷應(yīng)用相同的根目錄權(quán)限。4.Secure*.inf定義了至少可能影響應(yīng)用程序兼容性的增強(qiáng)安全設(shè)置,還限制了LANManager和NTLM身份認(rèn)證協(xié)議的使用,其方式是將客戶(hù)端配置為僅可發(fā)送NTLMv2響應(yīng),而將服務(wù)器配置為可拒絕LANManager的響應(yīng)。5.Setupsecurity.inf重新應(yīng)用默認(rèn)設(shè)置。這是一個(gè)針對(duì)于特定計(jì)算機(jī)的模板,它代表在安裝操作系統(tǒng)期間所應(yīng)用的默認(rèn)安全設(shè)置,其設(shè)置包括系統(tǒng)驅(qū)動(dòng)器的根目錄的文件權(quán)限,可用于系統(tǒng)災(zāi)難恢復(fù)。以上就是系統(tǒng)預(yù)定義的安全模板,用戶(hù)能夠使用其中一種安全模板,也能夠創(chuàng)立自己需要的新安全模板。五、實(shí)驗(yàn)步驟1.管理安全模板(1)安裝安全模板安全模板文件都是基于文本的.inf文件,能夠用文本打開(kāi)進(jìn)行編輯,可是這種方法編輯安全模板太復(fù)雜了,因此要將安全模板載入到MMC控制臺(tái),以方便使用。①依次點(diǎn)擊"開(kāi)始"和"運(yùn)行"按鈕,鍵入"mmc"并點(diǎn)擊"確定"按鈕就會(huì)打開(kāi)控制臺(tái)節(jié)點(diǎn);②點(diǎn)擊"文件"菜單中的"添加/刪除管理單元",在打開(kāi)的窗口中點(diǎn)擊"獨(dú)立"標(biāo)簽頁(yè)中的"添加"按鈕;③在"可用的獨(dú)立管理單元"列表中選中"安全模板",然后點(diǎn)擊"添加"按鈕,最后點(diǎn)擊"關(guān)閉",這樣安全模板管理單元就被添加到MMC控制臺(tái)中了。為了避免退出后再運(yùn)行MMC時(shí)每次都要重新載入,能夠點(diǎn)擊"文件"菜單上的"保存"按鈕,將當(dāng)前設(shè)置為保存。(2)建立、刪除安全模板將安全模板安裝到MMC控制臺(tái)后,就會(huì)看到系統(tǒng)預(yù)定義的那幾個(gè)安全模板,你還能夠自己建立新的安全模板。首先打開(kāi)"控制臺(tái)根節(jié)點(diǎn)"列表中的"安全模板",在存儲(chǔ)安全模板文件的文件夾上點(diǎn)擊鼠標(biāo)右鍵,在彈出的快捷菜單中選擇"新加模板",這樣就會(huì)彈出新建模板窗口,在"模板名稱(chēng)"中鍵入新建模板的名稱(chēng),在"說(shuō)明"中,鍵入新模板的說(shuō)明,最后點(diǎn)擊"確定"按鈕。這樣一個(gè)新的安全模板就成功建立了。刪除安全模板非常簡(jiǎn)單,打開(kāi)"安全模板",在控制臺(tái)樹(shù)中找到要?jiǎng)h除的模板,在其上面點(diǎn)擊鼠標(biāo)右鍵,選擇"刪除"即可。(3)應(yīng)用安全模板新的安全模板經(jīng)過(guò)配置后,就能夠應(yīng)用了,你必須經(jīng)過(guò)使用"安全配置和分析"管理單元來(lái)應(yīng)用安全模板設(shè)置。①首先要添加"安全配置和分析"管理單元,打開(kāi)MMC控制臺(tái)的"文件"菜單,點(diǎn)擊"添加/刪除管理單元",在"添加獨(dú)立管理單元"列表中選中"安全配置和分析",并點(diǎn)擊"添加"按鈕,這樣"安全配置和分析"管理單元就被添加到MMC控制臺(tái)中了;②在控制臺(tái)樹(shù)中的"安全配置和分析"上點(diǎn)擊鼠標(biāo)右鍵,選擇"打開(kāi)數(shù)據(jù)庫(kù)",在彈出的窗口中鍵入新數(shù)據(jù)庫(kù)名,然后點(diǎn)擊"打開(kāi)"按鈕;③在安全模板列表窗口中選擇要導(dǎo)入的安全模板,然后點(diǎn)擊"打開(kāi)"按鈕,這樣該安全模板就被成功導(dǎo)入了;④在控制臺(tái)樹(shù)中的"安全配置和分析"上點(diǎn)擊右鍵,然后在快捷菜單中選擇"立即配置計(jì)算機(jī)",就會(huì)彈出確認(rèn)錯(cuò)誤日志文件路徑窗口,點(diǎn)擊"確定"按鈕。這樣,剛才被導(dǎo)入的安全模板就被成功應(yīng)用了。2.設(shè)置安全模板(1)設(shè)置賬戶(hù)策略賬戶(hù)策略之中包括密碼策略、賬戶(hù)鎖定策略和Kerberos策略的安全設(shè)置,密碼策略為密碼復(fù)雜程度和密碼規(guī)則的修改提供了一種標(biāo)準(zhǔn)的手段,以便滿(mǎn)足高安全性環(huán)境中對(duì)密碼的要求。賬戶(hù)鎖定策略能夠跟蹤失敗的登錄嘗試,而且在必要時(shí)能夠鎖定相應(yīng)賬戶(hù)。Kerberos策略用于域用戶(hù)的賬戶(hù),它們決定了與Kerberos相關(guān)的設(shè)置,諸如票據(jù)的期限和強(qiáng)制實(shí)施。密碼策略在這里能夠配置5種與密碼特征相關(guān)的設(shè)置,分別是"強(qiáng)制密碼歷史"、"密碼最長(zhǎng)使用期限"、"密碼最短使用期限"、"密碼長(zhǎng)度最小值"和"密碼必須符合復(fù)雜性要求"。①?gòu)?qiáng)制密碼歷史:確定互不相同的新密碼的個(gè)數(shù),在重新使用舊密碼之前,用戶(hù)必須使用過(guò)這么多的密碼,此設(shè)置值可介于0和24之間;②密碼最長(zhǎng)使用期限:確定在要求用戶(hù)更改密碼之前用戶(hù)能夠使用該密碼的天數(shù)。其值介于0和999之間;如果該值設(shè)置為0,則密碼永不過(guò)期;③密碼最短使用期限:確定用戶(hù)能夠更改新密碼之前這些新密碼必須保留的天數(shù)。此設(shè)置被設(shè)計(jì)為與"強(qiáng)制密碼歷史"設(shè)置一起使用,這樣用戶(hù)就不能很快地重置有次數(shù)要求的密碼并更改回舊密碼。該設(shè)置值能夠介于0和999之間;如果設(shè)置為0,用戶(hù)能夠立即更改新密碼。建議將該值設(shè)為2天;④密碼長(zhǎng)度最小值:確定密碼最少能夠有多少個(gè)字符。該設(shè)置值介于0和14個(gè)字符之間。如果設(shè)置為0,則允許用戶(hù)使用空白密碼。建議將該值設(shè)置為8個(gè)字符;⑤密碼必須符合復(fù)雜性要求:該項(xiàng)啟用后,將對(duì)所有的新密碼進(jìn)行檢查,確保它們滿(mǎn)足復(fù)雜密碼的基本要求。如果啟用該設(shè)置,則用戶(hù)密碼必須符合特定要求,如至少有6個(gè)字符、密碼不得包含三個(gè)或三個(gè)以上來(lái)自用戶(hù)賬戶(hù)名中的字符等。賬戶(hù)鎖定策略在這里能夠設(shè)置在指定的時(shí)間內(nèi)一個(gè)用戶(hù)賬戶(hù)允許的登錄嘗試次數(shù),以及登錄失敗后,該賬戶(hù)的鎖定時(shí)間。①賬戶(hù)鎖定時(shí)間:這里的設(shè)置決定了一個(gè)賬戶(hù)在解除鎖定并允許用戶(hù)重新登錄之前所必須經(jīng)過(guò)的時(shí)間,即被鎖定的用戶(hù)不能進(jìn)行登錄操作的時(shí)間,該時(shí)間的單位為分鐘,如果將時(shí)間設(shè)置為0,將會(huì)永遠(yuǎn)鎖定該賬戶(hù),直到管理員解除賬戶(hù)的鎖定;②賬戶(hù)鎖定閥值:確定嘗試登錄失敗多少次后鎖定用戶(hù)賬戶(hù)。除非管理員進(jìn)行了重新設(shè)置或該賬戶(hù)的鎖定期已滿(mǎn),才能重新使用賬戶(hù)。嘗試登錄失敗的次數(shù)可設(shè)置為1到999之間的值,如果設(shè)置為0,則始終不鎖定該賬戶(hù)。(2)設(shè)置本地策略本地策略包括審核策略、用戶(hù)權(quán)限分配和安全選項(xiàng)三項(xiàng)安全設(shè)置,其中,審核策略確定了是否將安全事件記錄到計(jì)算機(jī)上的安全日志中;用戶(hù)權(quán)利指派確定了哪些用戶(hù)或組具有登錄計(jì)算機(jī)的權(quán)利或特權(quán);安全選項(xiàng)確定啟用或禁用計(jì)算機(jī)的安全設(shè)置。審核策略審核被啟用后,系統(tǒng)就會(huì)在審核日志中收集審核對(duì)象所發(fā)生的一切事件,如應(yīng)用程序、系統(tǒng)以及安全的相關(guān)信息,因此審核對(duì)于保證域的安全是非常重要的。審核策略下的各項(xiàng)值可分為成功、失敗和不審核三種,默認(rèn)是不審核,若要啟用審核,可在某項(xiàng)上雙擊鼠標(biāo),就會(huì)彈出"屬性"窗口,首先選中"在模板中定義這些策略設(shè)置",然后按需求選擇"成功"或"失敗"即可。審核策略包括審核賬戶(hù)登錄事件、審核策略更改、審核賬戶(hù)管理、審核登錄事件、審核系統(tǒng)事件等,下面分別進(jìn)行介紹。①審核策略更改:主要用于確定是否對(duì)用戶(hù)權(quán)限分配策略、審核策略或信任策略作出更改的每一個(gè)事件進(jìn)行審核。建議設(shè)置為"成功"和"失敗";②審核登錄事件:用于確定是否審核用戶(hù)登錄到該計(jì)算機(jī)、從該計(jì)算機(jī)注銷(xiāo)或建立與該計(jì)算機(jī)的網(wǎng)絡(luò)連接的每一個(gè)實(shí)例。如果設(shè)定為審核成功,則可用來(lái)確定哪個(gè)用戶(hù)成功登錄到哪臺(tái)計(jì)算機(jī);如果設(shè)為審核失敗,則能夠用來(lái)檢測(cè)入侵,但攻擊者生成的龐大的登錄失敗日志,會(huì)造成拒絕服務(wù)(DoS)狀態(tài)。建議設(shè)置為"成功";③審核對(duì)象訪(fǎng)問(wèn):確定是否審核用戶(hù)訪(fǎng)問(wèn)某個(gè)對(duì)象,例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等,它們都指定了自己的系統(tǒng)訪(fǎng)問(wèn)控制列表(SACL)的事件。建議設(shè)置為"失敗";④審核過(guò)程跟蹤:確定是否審核事件的詳細(xì)跟蹤信息,如程序激活、進(jìn)程退出、間接對(duì)象訪(fǎng)問(wèn)等。如果你懷疑系統(tǒng)被攻擊,可啟用該項(xiàng),但啟用后會(huì)生成大量事件,正常情況下建議將其設(shè)置為"無(wú)審核";⑤審核目錄服務(wù)訪(fǎng)問(wèn):確定是否審核用戶(hù)訪(fǎng)問(wèn)那些指定有自己的系統(tǒng)訪(fǎng)問(wèn)控制列表(SACL)的ActiveDirectory對(duì)象的事件。啟用后會(huì)在域控制器的安全日志中生成大量審核項(xiàng),因此僅在確實(shí)要使用所創(chuàng)立的信息時(shí)才應(yīng)啟用。建議設(shè)置為"無(wú)審核";⑥審核特權(quán)使用:該項(xiàng)用于確定是否對(duì)用戶(hù)行使用戶(hù)權(quán)限的每個(gè)實(shí)例進(jìn)行審核,但除跳過(guò)遍歷檢查、調(diào)試程序、創(chuàng)立標(biāo)記對(duì)象、替換進(jìn)程級(jí)別標(biāo)記、生成安全審核、備份文件和目錄、還原文件和目錄等權(quán)限。建議設(shè)置為"不審核";⑦審核系統(tǒng)事件:用于確定當(dāng)用戶(hù)重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí),或者對(duì)系統(tǒng)安全或安全日志有影響的事件發(fā)生時(shí),是否予以審核。這些事件信息是非常重要的,因此建議設(shè)置為"成功"和"失敗";⑧審核賬戶(hù)登錄事件:該設(shè)置用于確定當(dāng)用戶(hù)登錄到其它計(jì)算機(jī)(該計(jì)算機(jī)用于驗(yàn)證其它計(jì)算機(jī)中的賬戶(hù))或從中注銷(xiāo)時(shí),是否進(jìn)行審核。建議設(shè)置為"成功"和"失敗";⑨審核賬戶(hù)管理:用于確定是否對(duì)計(jì)算機(jī)上的每個(gè)賬戶(hù)管理事件,如重命名、禁用或啟用用戶(hù)賬戶(hù)、創(chuàng)立、修改或刪除用戶(hù)賬戶(hù)或管理事件進(jìn)行審核。建議設(shè)置為"成功"和"失敗"。(2)用戶(hù)權(quán)利指派用戶(hù)權(quán)利指派主要是確定哪些用戶(hù)或組被允許做哪些事情。具體設(shè)置方法是:①雙擊某項(xiàng)策略,在彈出"屬性"窗口中,首先選中"在模板中定義這些策略設(shè)置";②點(diǎn)擊"添加用戶(hù)或組"按鈕就會(huì)出現(xiàn)"選擇用戶(hù)或組"窗口,先點(diǎn)擊"對(duì)象類(lèi)型"選擇對(duì)象的類(lèi)型,再點(diǎn)擊"位置"選擇查找的位置,最后在"輸入對(duì)象名稱(chēng)來(lái)選擇"下的空白欄中輸入用戶(hù)或組的名稱(chēng),輸完后可點(diǎn)擊"檢查名稱(chēng)"按鈕來(lái)檢查名稱(chēng)是否正確;③最后點(diǎn)擊"確定"按鈕即可將輸入的對(duì)象添加到用戶(hù)列表中。安全選項(xiàng)在這里能夠啟用或禁用計(jì)算機(jī)的安全設(shè)置,如數(shù)據(jù)的數(shù)字簽名、Administrator和Guest賬戶(hù)的名稱(chēng)、軟盤(pán)驅(qū)動(dòng)器和CD-ROM驅(qū)動(dòng)器訪(fǎng)問(wèn)、驅(qū)動(dòng)程序安裝行為和登錄提示等。下面介紹幾個(gè)適合于一般用戶(hù)使用的設(shè)置。①防止用戶(hù)安裝打印機(jī)驅(qū)動(dòng)程序。對(duì)于要打印到網(wǎng)絡(luò)打印機(jī)的計(jì)算機(jī),網(wǎng)絡(luò)打印機(jī)的驅(qū)動(dòng)程序必須安裝在本地打印機(jī)上。該安全設(shè)置確定了允許哪些人安裝作為添加網(wǎng)絡(luò)打印機(jī)一部分的打印機(jī)驅(qū)動(dòng)程序。使用該設(shè)置可防止未授權(quán)的用戶(hù)下載和安裝不可信的打印機(jī)驅(qū)動(dòng)程序。雙擊"設(shè)備:防止用戶(hù)安裝打印機(jī)驅(qū)動(dòng)程序",會(huì)彈出屬性窗口,首先選中"在模板中定義這個(gè)策略設(shè)置"項(xiàng),然后將"已啟用"選中,最后點(diǎn)擊"確定"按鈕。這樣則只有管理員和超級(jí)用戶(hù)才能夠安裝作為添加網(wǎng)絡(luò)打印機(jī)一部分的打印機(jī)驅(qū)動(dòng)程序;②無(wú)提示安裝未經(jīng)簽名的驅(qū)動(dòng)程序。當(dāng)試圖安裝未經(jīng)Windows硬件質(zhì)量實(shí)驗(yàn)室(WHQL)頒發(fā)的設(shè)備驅(qū)動(dòng)程序時(shí),系統(tǒng)默認(rèn)會(huì)彈出警告窗口,然后讓用戶(hù)選擇是否安裝,這樣很麻煩,你能夠?qū)⑵湓O(shè)置為無(wú)提示就直接安裝。雙擊"設(shè)備:未簽名驅(qū)動(dòng)程序的安裝操作"項(xiàng),在出現(xiàn)的屬性窗口中,選中"在模板中定義這個(gè)策略設(shè)置"項(xiàng),然后點(diǎn)擊后面的下拉按鈕,選擇"默認(rèn)安裝",最后點(diǎn)擊"確定"按鈕即可;③登錄時(shí)顯示消息文字。指定用戶(hù)登錄時(shí)顯示的文本消息。利用這個(gè)警告消息設(shè)置,能夠警告用戶(hù)不得以任何方式濫用公司信息或者警告用戶(hù)其操作可能會(huì)受到審核,從而更好地保護(hù)系統(tǒng)數(shù)據(jù)。雙擊"交互式登錄:用戶(hù)試圖登錄時(shí)消息文字",進(jìn)入屬性窗口,先將"在模板中定義這個(gè)策略設(shè)置"選中,然后在下面的空白輸入框中輸入消息文字,最多能夠輸入512個(gè)字符,最后點(diǎn)擊"確定"按鈕。這樣,用戶(hù)在登錄到控制臺(tái)之前就會(huì)看到這個(gè)警告消息對(duì)話(huà)框。注:概括性的敘述,務(wù)必保證準(zhǔn)確性與層次分明。實(shí)驗(yàn)四PGP加密軟件文的使用一、實(shí)驗(yàn)?zāi)康?.掌熟悉公開(kāi)密鑰體制,熟悉數(shù)字簽名2.熟悉使用PGP的基本操作二、實(shí)驗(yàn)內(nèi)容1.創(chuàng)立一私鑰和公鑰對(duì)2.與別人交換使用3.對(duì)公鑰進(jìn)行驗(yàn)證并使之有效4.對(duì)E-MAIL進(jìn)行加密和數(shù)字簽名對(duì)E-MAIL進(jìn)行解密和驗(yàn)證三、實(shí)驗(yàn)原理PGP加密軟件是美國(guó)NetworkAssociateInc.出產(chǎn)的免費(fèi)軟件,可用它對(duì)文件、郵件進(jìn)行加密,在常見(jiàn)的WINZIP、\o""Word、ARJ、\o""Excel等軟件的加密功能均告可被破解時(shí),選擇PGP對(duì)自己的私人文件、郵件進(jìn)行加密不失為一個(gè)好辦法。除此之外,你還可和同樣裝有PGP軟件的朋友互相傳遞加密文件,安全十分保障。下載PGP免費(fèi)版:四、實(shí)驗(yàn)步驟一、安裝篇PGP的安裝很簡(jiǎn)單,和平時(shí)的軟件安裝一樣,只須按提示一步步”Next”完成即可。其中在以下的畫(huà)面你能夠選擇要安裝的選件,如果選擇了”P(pán)GPnetVirtualPrivateNetworking”虛擬網(wǎng),再選擇相應(yīng)的Plugin,如”P(pán)GPMicrosoftOutlookExpressPlugin”,就能夠在OutlookExpress中直接用PGP加密郵件,這里指的是加密郵件的內(nèi)容,具體操作我們?cè)诤竺鏁?huì)詳細(xì)說(shuō)到。二、密鑰篇使用PGP之前,首先需要生成一對(duì)密鑰,這一對(duì)密鑰其實(shí)是同時(shí)生成的,其中的一個(gè)我們稱(chēng)為公鑰,意思是公共的密鑰,你能夠把它分發(fā)給你的朋友們,讓她們用這個(gè)密鑰來(lái)加密文件,另一個(gè)我們稱(chēng)為私鑰,這個(gè)密鑰由你保存,你是用這個(gè)密鑰來(lái)解開(kāi)加密文件的。打開(kāi)”開(kāi)始”中”P(pán)GP”的”P(pán)GPKEYS”,可看到以下的畫(huà)面。點(diǎn)擊\o""圖標(biāo)或者用菜單key>newkey開(kāi)始生成密鑰。PGP有一個(gè)很好的密鑰生成向?qū)?只要跟著它一步一步做下去就能夠生成密鑰,ok,let’sgo!第一步,PGP會(huì)提示這個(gè)向?qū)У哪康氖巧梢粚?duì)密鑰,你能夠用它來(lái)加密文件或?qū)?shù)字文件進(jìn)行簽名。趕快點(diǎn)”下一步”就o.k.啦。第二步,PGP會(huì)要求你輸入全名和郵件地址。雖然真實(shí)的姓名不是必須的,可是輸入一個(gè)你的朋友看得懂的名字會(huì)使她們?cè)诩用軙r(shí)很快找到想要的密鑰。第三步,請(qǐng)選擇一種加密類(lèi)型。PGP5.0以前的版本多用RSA加密方式,但5.0以后就常常選用較先進(jìn)的第一種類(lèi)型了。第四步,指定密鑰的長(zhǎng)度。一般來(lái)說(shuō)位數(shù)越大被解密的可能性越小就越安全,可是在執(zhí)行解密和加密時(shí)會(huì)需要更多的時(shí)間,一般2048位就ok了。第五步,PGP會(huì)問(wèn)你密鑰的過(guò)期日期,能夠選擇從不過(guò)期或者指定一個(gè)日期作為過(guò)期的界限。第六步,請(qǐng)重復(fù)輸入你的密碼。建議你的密碼大于8位,而且最好包括大小寫(xiě)、空格、數(shù)字、標(biāo)點(diǎn)符號(hào)等,為了方便記憶你能夠用一句話(huà)作為你的密鑰,如Amyis12yearsold.等。最妙的是PGP支持用中文作為密碼,因此你也能夠輸入”羅密歐與朱麗葉”做為和女朋友互通往來(lái)的密碼啦。邊上的”HideTyping”指示是否顯示鍵入的密碼。第七步,接下來(lái)PGP會(huì)花一點(diǎn)點(diǎn)時(shí)間來(lái)生成你的密鑰,然后會(huì)問(wèn)你是否想把你的公共密鑰發(fā)送到\o""服務(wù)器上去,一般我們是不會(huì)這么做的,因此一直”下一步”就能夠完成了。第八步,把你的公用密鑰發(fā)給你的朋友。用快捷鍵Ctrl+E或者菜單keys>Emport將你的密鑰導(dǎo)出為擴(kuò)展名為asc或txt的文件,將它發(fā)給你的朋友們。(對(duì)方則用Ctrl+M或keys>import導(dǎo)入)導(dǎo)出后的文件:三、加密、解密篇1.對(duì)文件加密非常簡(jiǎn)單,只須選中該文件,然后點(diǎn)擊右鍵中PGP的Encrypt,會(huì)彈出一個(gè)對(duì)話(huà)框讓你選擇你要用的密鑰,雙擊使它加到下面的Recipients框中即可。2.解密時(shí)雙擊擴(kuò)展名為pgp的文件或選中并點(diǎn)擊右鍵中的PGP>Decrypt,在圖中的下框輸入密碼即可。3.如果要在OutlookExpress或Outlook中直接對(duì)郵件進(jìn)行加密,可在寫(xiě)新郵件時(shí)點(diǎn)擊工具欄中的圖標(biāo)PGPEncrypt,當(dāng)郵件寫(xiě)完發(fā)送時(shí),PGP會(huì)如上所示彈出對(duì)話(huà)框請(qǐng)你選擇密鑰,同上操作即可。下圖為利用OutlookExpress發(fā)送郵件的內(nèi)容:點(diǎn)擊工具欄中的圖標(biāo)后,彈出以下對(duì)話(huà)框:選擇你的密鑰進(jìn)行加密;完成后,你的發(fā)送的郵件將是加密過(guò),收件人須有公鑰才能解密。五、實(shí)驗(yàn)總結(jié)實(shí)驗(yàn)五路由器模擬防火墻實(shí)驗(yàn)一、實(shí)驗(yàn)要求與目的路由器實(shí)現(xiàn)包過(guò)濾防火墻功能。了解和熟悉防火墻的包過(guò)濾功能。體現(xiàn)包過(guò)濾功能在網(wǎng)絡(luò)安全的作用了解防火墻在網(wǎng)絡(luò)安全中的重要性二、實(shí)驗(yàn)內(nèi)容:路由器PC1路由器PC1PC20810路由器1.了解具體配置過(guò)程2.了解路由器有哪些功能與防火墻相同。3.配置路由器使用路由器的功能模擬防火墻的包過(guò)濾。三、實(shí)驗(yàn)步驟與實(shí)驗(yàn)結(jié)果 1.在沒(méi)配置路由器的情況下,測(cè)試兩臺(tái)計(jì)算機(jī)的連通性.2.配置路由器,使得兩臺(tái)計(jì)算機(jī)能夠通信.3.配置路由器,使用訪(fǎng)問(wèn)控制列表模擬防火墻的包過(guò)濾功能.4.測(cè)試使用包過(guò)濾功能后,兩臺(tái)計(jì)算機(jī)的連通性四、實(shí)驗(yàn)總結(jié)實(shí)驗(yàn)六VPN的配置(IPSec和NAT配合使用的實(shí)驗(yàn))一、實(shí)驗(yàn)要求與目的:熟悉實(shí)現(xiàn)VPN的幾種協(xié)議熟悉使用IPSec和NAT配合使用實(shí)現(xiàn)VPN二、實(shí)驗(yàn)內(nèi)容:環(huán)境:兩臺(tái)路由器(1*E,1*FE),兩臺(tái)PC實(shí)驗(yàn)?zāi)康?兩臺(tái)路由器經(jīng)過(guò)E0/1連接,實(shí)現(xiàn)IPSecVPN,使兩臺(tái)PC互訪(fǎng),而且都能分別經(jīng)過(guò)路由器的NAT訪(fǎng)問(wèn)互聯(lián)網(wǎng)。(路由器配置命令請(qǐng)上網(wǎng)查詢(xún))三、實(shí)驗(yàn)總結(jié)參考資料:第一步:系統(tǒng)前期準(zhǔn)備工作服務(wù)器硬件:雙網(wǎng)卡,一塊接外網(wǎng),一塊接局域網(wǎng)。在windows中VPN服務(wù)稱(chēng)之為”路由和遠(yuǎn)程訪(fǎng)問(wèn)”,默認(rèn)狀態(tài)已經(jīng)安裝。只需對(duì)此服務(wù)進(jìn)行必要的配置使其生效即可。首先確定是否開(kāi)啟了WindowsFirewall/InternetConnectionSharing(ICS)服務(wù),如果開(kāi)啟了WindowsFirewall/InternetConnectionSharing(ICS)服務(wù)的話(huà),在配置”路由和遠(yuǎn)程訪(fǎng)問(wèn)”時(shí)系統(tǒng)會(huì)彈出如下對(duì)話(huà)框。我們只要去”開(kāi)始”-”程序”-”管理工具”-”服務(wù)”里面把WindowsFirewall/InternetConnectionSharing(ICS)停止,并設(shè)置啟動(dòng)類(lèi)型為禁用。第二步:開(kāi)啟VPN和NAT服務(wù)然后再依次選擇”開(kāi)始”-”程序”-”管理工具”-”路由和遠(yuǎn)程訪(fǎng)問(wèn)”,打開(kāi)”路由和遠(yuǎn)程訪(fǎng)問(wèn)”服務(wù)窗口;再在窗口左邊右擊本地計(jì)算機(jī)名,選擇”配置并啟用路由和遠(yuǎn)程訪(fǎng)問(wèn)”。在彈出的”路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器安裝向?qū)А敝悬c(diǎn)下一步。由于我們要實(shí)現(xiàn)NAT共享上網(wǎng)和VPN撥入服務(wù)器的功能,因此我們選擇”自定義配置”選項(xiàng),點(diǎn)下一步;在這里我們選擇”VPN訪(fǎng)問(wèn)”和”NAT和基本防火墻”選項(xiàng),點(diǎn)下一步,在彈出的對(duì)話(huà)框中點(diǎn)”完成”,系統(tǒng)會(huì)提示是否啟動(dòng)服務(wù),點(diǎn)”是”,系統(tǒng)會(huì)按剛才的配置啟動(dòng)路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)。第三步:配置NAT服務(wù)右擊”NAT/基本防火墻”選項(xiàng),選擇”新增接口”。在這里我們根據(jù)自己的網(wǎng)絡(luò)環(huán)境選擇連接Internet的接口,選擇”wan”接口,點(diǎn)”確定”,彈出”網(wǎng)絡(luò)地址轉(zhuǎn)換-wan屬性”對(duì)話(huà)框。由于我們這個(gè)網(wǎng)卡是連接外網(wǎng)的因此選擇”公用接口連接到Internet”和”在此接口上啟用NAT”選項(xiàng)并選擇”在此接口上啟用基本防火墻”選項(xiàng),這對(duì)服務(wù)器的安全是非常重要的。下面我們點(diǎn)”服務(wù)和端口”設(shè)置服務(wù)器允許對(duì)外提供PPTPVPN服務(wù),在”服務(wù)和端口”界面里點(diǎn)”VPN網(wǎng)關(guān)(PPTP)”,在彈出的”編輯服務(wù)”。點(diǎn)”確定”,回到”服務(wù)和端口”選項(xiàng)卡,確保選中”VPN網(wǎng)關(guān)(PPTP)”。第四步:根據(jù)需要設(shè)置VPN服務(wù)設(shè)置連接數(shù):右擊右邊樹(shù)形目錄里的端口選項(xiàng),選擇屬性。WindowsServer企業(yè)版VPN服務(wù)默認(rèn)支持128個(gè)PPTP連接和128個(gè)L2TP連接,因?yàn)槲覀冞@里使用PPTP協(xié)議,因此我們雙擊”WAN微型端口(PPTP)選項(xiàng),在彈出的對(duì)話(huà)框里根據(jù)自己的需要設(shè)置所需的連接數(shù);WindowsServer企業(yè)版最多支持30000個(gè)