大學計算機網(wǎng)絡安全實訓教程（3）規(guī)則測試攻擊機訪問DMZ的80端口：`curl192.168.1.20`（成功），訪問22端口：`sshroot@192.168.1.20`（連接超時，規(guī)則生效）。內(nèi)網(wǎng)數(shù)據(jù)庫服務器訪問DMZ的3306端口：`mysql-h192.168.1.20-uroot-p`（成功），訪問80端口：`curl192.168.1.20`（失敗，規(guī)則生效）。三、應用層安全實訓：Web與系統(tǒng)防護應用層是攻擊的“重災區(qū)”（如SQL注入、弱口令），本節(jié)聚焦Web漏洞與系統(tǒng)加固，提升實戰(zhàn)防御能力。3.1SQL注入漏洞挖掘與修復以DVWA靶場的“Low級別”（無防護）為例，模擬攻擊與修復流程：（1）漏洞原理Web應用通過SQL語句與數(shù)據(jù)庫交互，若輸入未過濾（如`SELECT*FROMusersWHEREid='$id'`），攻擊者可構造`id=1'OR'1'='1`，使條件恒成立，獲取所有用戶數(shù)據(jù)。（2）攻擊實施步驟1.訪問DVWA的“SQLInjection”模塊，輸入`1'OR'1'='1`，頁面返回所有用戶信息（注入成功）。2.用BurpSuite抓包，在“Raw”標簽修改`id`參數(shù)為`1'UNIONSELECTuser,passwordFROMusers#`，獲取數(shù)據(jù)庫賬號密碼。（3）防御方案代碼層：使用預處理語句（如PHP的`PDO`），將用戶輸入作為“參數(shù)”而非“代碼”執(zhí)行。工具層：在Web服務器（如Apache）部署ModSecurity，啟用SQL注入規(guī)則集，攔截惡意請求。（4）實訓驗證修復DVWA代碼（改用`PDO`），重新輸入注入語句，頁面僅返回合法數(shù)據(jù)；用Burp發(fā)送惡意請求，ModSecurity攔截并記錄日志。3.2操作系統(tǒng)安全加固以WindowsServer2019為例，實施“縱深防御”策略：（1）賬戶與密碼策略啟用“密碼必須符合復雜性要求”（長度≥8，含大小寫、數(shù)字、特殊字符）。禁用默認管理員賬戶（重命名并設置強密碼），刪除冗余賬戶。（2）日志審計與監(jiān)控開啟“安全日志”審核，記錄“賬戶登錄”“策略更改”“特權使用”事件。用WindowsEventViewer分析日志，識別異常登錄（如凌晨的批量登錄嘗試）。（3）補丁與服務優(yōu)化安裝最新補?。ㄍㄟ^WindowsUpdate），修復“永恒之藍”等漏洞。禁用不必要的服務（如Telnet、ServerMessageBlockv1），減少攻擊面。四、綜合實訓：企業(yè)級安全架構與響應本節(jié)通過“模擬企業(yè)攻防演練”，整合前期技能，提升實戰(zhàn)綜合能力。4.1企業(yè)網(wǎng)絡安全方案設計（1）需求分析為某小型電商企業(yè)設計安全架構：需防護Web服務器（對外提供電商平臺）、數(shù)據(jù)庫服務器（存儲用戶訂單）、辦公網(wǎng)（員工終端）。（2）架構設計網(wǎng)絡層：部署硬件防火墻（如FortiGate），配置“外網(wǎng)→DMZ（Web）→內(nèi)網(wǎng)（數(shù)據(jù)庫、辦公網(wǎng)）”的訪問控制。應用層：Web服務器部署WAF（Web應用防火墻），數(shù)據(jù)庫啟用審計功能，辦公網(wǎng)部署EDR（終端檢測與響應）。運維層：搭建SIEM（安全信息與事件管理）平臺，整合防火墻、WAF、EDR的日志，實現(xiàn)實時告警。（3）部署與測試在VMware中模擬部署：用CentOS搭建ELK（Elasticsearch+Logstash+Kibana）作為SIEM，配置各設備的日志轉(zhuǎn)發(fā)。攻擊測試：從外網(wǎng)發(fā)起SQL注入、暴力破解，SIEM平臺實時告警，WAF攔截攻擊，EDR阻斷惡意終端。4.2安全事件應急響應演練（1）模擬入侵場景假設辦公網(wǎng)某終端感染勒索病毒，加密共享文件夾的文件，需按“檢測-分析-處置-恢復”流程響應。（2）響應步驟1.檢測：EDR平臺告警“終端進程異常（如`rundll32.exe`執(zhí)行可疑命令）”，共享文件夾日志顯示大量文件被修改。2.分析：提取終端內(nèi)存樣本，用Cuckoo沙箱分析，確認為“Conti勒索病毒”；檢查防火墻日志，發(fā)現(xiàn)該終端曾訪問惡意IP。3.處置：隔離感染終端（斷網(wǎng)+禁用賬戶），在防火墻上阻斷惡意IP，部署勒索病毒解密工具（如針對Conti的開源解密器）。4.恢復：從備份服務器恢復文件，審計終端漏洞（如未打補丁、弱口令），更新安全策略。（3）報告輸出撰寫《安全事件響應報告》，包含事件時間線、攻擊路徑、處置措施、改進建議（如升級EDR規(guī)則、強化終端補丁管理）。五、實訓總結與能力拓展5.1技能沉淀與考核個人考核：完成“企業(yè)安全方案設計”報告，包含拓撲圖、規(guī)則配置、工具部署說明。團隊考核：分組進行“攻防對抗賽”（一組扮演攻擊者，一組扮演防御者），根據(jù)攻擊成功次數(shù)與防御有效性評分。5.2能力拓展方向前沿技術：學習云安全（如AWSGuardDuty）、容器安全（Kubernetes安全配置）、零信任架構。認證與競賽：備考CISSP、CISP，參與CTF競賽（如全國大學生信息安全競賽），提升實戰(zhàn)競爭