中南民族大学管理学院实验报告(终审稿)1616.pdf

《中南民族大学管理学院实验报告(终审稿)1616.pdf》由会员分享，可在线阅读，更多相关《中南民族大学管理学院实验报告(终审稿)1616.pdf（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 中南民族大学管理学院实验报告 Pleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】中南民族大学管理学院 学生实验报告 课程名称：电子商务安全 年 级：10 级 专 业：电子商务 姓 名：星存田 学 号：2011 学年至 2012 学年度 第 1 学期 目 录 实验一 利用 PGP 加密、解密和数字签名 实验二 PGP 实现电子邮件安全 实验三 在 Windows 2000/XP 下加密文件和文件夹 实验四 数字证书签发安全电子邮件操作指导书 实验五 防火墙的设置 实验六 口令破解软件使用 实验七 网络监听 实验八 打造你的安全个人电

2、脑 实验（一）利用 PGP 加密、解密和数字签名 实验时间：同组人员：实验目的 掌握对文件加密和数字签名的方法，对加密理论知识加深理解。实验内容 在网上查找“PGP 教程”，先认识 PGP 软件的安装和使用；然后查找“PGP 加密原理”，认识 PGP 的加密原理。关于PGP 的加密原理以及其他的信息可以参见下面这些网页：太平洋网 天极网 中国 IT 认证实验室 不过这些网页介绍的 PGP 软件是版本甚至更早的版本，截止到撰写该上机实验时PGP 已经升级到版本 8 了，因此在某些方面会有一些不同。版本可以通过下面地址下载：太平洋网站；这是 PGP 网站上提供的。实验步骤 下载软件后，运行文件开始

3、安装，安装的过程很简单，依次按“next”按钮就可以了，安装过程见图 1、图 2、图3、图 4 和图 5。图 1 安装欢迎界面 图 2?接受 PGP 公司的协议 图 3?安装时对 Windows 版本的介绍 图 4?选择用户类型 图 5 选择安装路径 接下来选择要安装的组件，其中，第一个选项是关于磁盘加密的功能；第二个选项是 ICQ 的邮件加密功能；第三四个选项是关于 OUTLOOK 或者 OTLOOKEXPRESS 邮件加密的功能；最后一个选项适用于群发邮件的加密。用户可以根据自己的需要进行组件选择，一般情况下，默认安装就可以了。见图 6、图 7。图 6 选择要安装的 PGP 组件，一般按默

4、认的选择即可 图 7 安装正在进行中 三、生成密钥 安装完毕后，运行 PGP 程序。从“开始”菜单中选择“PGP”中的“PGPKeys”。要使用该软件进行加密的话，首先要生成一对密钥。也就是一个公钥和一个私钥。其中公钥是发送给别人用来加密钥发送给自己的文件的，私钥是自己保存，用于解密别人用公钥加密的文件，或者起数字签名的作用。在 PGPKeys 的窗口中，选择 Keys 菜单下的 NewKey 选项。见图 8。图 8PGPKeys 的工作窗口 PGP 有很好的创建密钥对的向导，跟着向导很容易生成一对密钥。见图 9。图 9PGP 密钥对的生成向导 每一对密钥都对应着一个确定的用户。用户名不一定要

5、真实，但是要方便通信者看到该用户名能知道这个用户名对应的真实的人；邮件地址也是一样不需要真实，但是要能方便与你通信的人在多个公钥中快速的找出你的公钥。例如，大家都熟悉你的名字叫张三，那你的用户名和地址都含有张三的名字，就很容易让别人知道这个公钥是你的；如果你起了一个其他的名字，类似“天天下雨”或者“五月的海”，那其他与你通信的人很容易不记得这个名字到底是谁，因此在选择公钥的时候，自然很难找出你的公钥。见图 10。图 10 输入姓名和 Email 地址以方便他人识别你的公钥 密钥对的私钥还必须进一步用密码加密，这个加密是对你的私钥加密。这个密码非常重要，切记不要泄漏了，为安全起见，密码长度至少

6、8 位，而且应该包含非字母的字符。见图 11。图 11 为私钥设置密码 接下来，软件生成密钥对。见图 12。图 12 生成密钥对 至此，密钥对生成完毕。四、导出并发送公钥 见图 13。接着导出公钥，把公钥作为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。见图 14。图 14 导出公钥 公钥导出之后，接下来就发送给需要跟你进行安全通信的人。你可以通过 Email 方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过，由于在传送的过程公钥是没有采用安全机制传送，因此存在公钥被人窃取的可能。为了更加安全，双方可以根据环境选择一个比较安全的环

7、境来传送公钥。在此实验过程中，实验者互相通过 Email 传送公钥，例如，用户 A 和用户 B 要互相通信，则 A 需要把自己的公钥传递给 B，而 B 需要把自己的公钥传递给 A。图 14 导出公钥 公钥导出之后，接下来就发送给需要跟你进行安全通信的人。你可以通过 Email 方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过，由于在传送的过程公钥是没有采用安全机制传送，因此存在公钥被人窃取的可能。为了更加安全，双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中，实验者互相通过 Email 传送公钥，例如，用户 A 和用户 B 要互相通信，

8、则 A 需要把自己的公钥传递给 B，而 B 需要把自己的公钥传递给 A。五、文件加密与解密 有了对方的公钥之后就可以用对方公钥对文件进行加密，然后再传送给对方。具体操作如下：选中要加密的文件，右键，然后选择“PGP”-“Encrypt”。见图 15。图 15 选择“Encrypt”对文件加密 然后在密钥选择对话框中，选择要接受文件的接收者。注意，用户所持有的密钥全部列出在对话框的上部分，选择要接收文件人的公钥，将其公钥拖到对话框的下部分（recipients），点击“OK”，并且为加密文件设置保存路径和文件名。选择需要用来加密的公钥 图 17 为加密文件设置保存路径和文件名 此 时，你 就可

9、以 把该 加密 文 件传 送 给对 方。对 方接 收 到该 加 密文 件后，选中 该 文件，右键，选择“Decrypt&verify”，见图 18。图 18 解密文件的菜单 此时，要求 输入 私钥的 密码，输 入完后，按“OK”即可。见图19。图 19 输入密码，用私钥解密文件 接下来，要为已经解密的明文文件设置保存路径文件名。见图。保存后，明文就可以被直接查看了。见图20。图 20 为明文文件设置保存路经和文件名 六、数字签名 由于公钥是发放给其他人使用的，那么在公钥发放的过程中，存在公钥被人替换的可能。此时，若有一个人对此公钥是否真正属于某个用户的公钥做出证明，那么该公钥的可信任度就比较高

10、。如果 A 很熟悉 B，并且能断定某公钥是 B 的，并没有人把该公钥替换或者篡改的话，那么可以对 B 的公钥进行数字签名，以自己的名义保证 B 的公钥的真实性。具体操作为：运行“开始”“PGP”“PGPKeys”，选中要进行签名的公钥，然后右键，选择“Sign”进行签名。见图 21。图21对 某 公 钥 进 行 数 字 签 名 此 时，选 择 该 用 户 的 公 钥，并 且 选 中“Allowsignaturetobeexported.Othersmayrelyuponyoursignature（允许该签名被导出，其他人可以信任你的签名的真实性）”，点击“OK”。见图 22。图 22 选中下方

11、的选项以便该被签字的公钥可以导出 输入私钥的密码，点击“OK”。这样，对公钥的签字就完成了。值得提醒的是，公钥和私钥都可以实现加密的功能，但是当要进行数字签名的时候，就只能使用私钥而不能用公钥。因为私钥只为用户一个人掌握，所以，该私钥能表明他的身份，确定该信息只有他一个人才能发出。见图23。图 23 输入密码进行数字签名 我们也可以对文件进行签名和加密。操作如下：选择要进行签名的文件，点击右键，选择“sign”，见图。要注意的是，对文件签名只能证明是你发出该文件，但是文件的内容并没有被加密，同时，进行数字签名时，在意的是表明该文件是从自己这里发出，因此对于文件的内容并不在意被别人看到，经过数字

12、签名的文件要同原明文文件一同发送给对方，对方才能验证数字签名是否有效。如果同时要表明文件从自己这里发出，同时又要对文件的信息保密，那么就选择“签名与加密”选项 Encrypt&sign。见图 24。图 24 对文件进行签名或签名和加密 同样的，在选择密钥的对话框中，从对话框上部的密钥列表中，选择接收文件的用户拖到对话框的下部，点击“OK”。见图 25。图 25 选择文件的接收者 确定接收人后，输入私钥的密码，进行数字签名或数字签名和加密。见图 26。图 26 输入密码用私钥签名或加密 以上介绍的是关于 PGP 的简单使用，供大家学习，另外由于篇幅和时间的限制，关于 PGP 软件还有很多功能和设

13、置没有介绍。实验者若有兴趣的话，可以实验完后自己多加使用，并参考 PGP 公司编写的用户手册，见开始菜单中 PGP 里的“DOCUMENTATION”中的“USERSGUIDE”。实验报告要求：1、列出 PGP 的功能；并说出 PGP 满足了电子商务中信息安全性要素的哪些要求 2、你知道 PGP 使用了那些加密算法吗每一种算法的思路是什么 3、简要阐述 PGP 主要加密原理；4、简要叙述使用 PGP 软件如何对文件加密；5、简要叙述使用 PGP 软件如何对文件解密；6、简要叙述使用 PGP 软件如何对文件数字签名；7、在对文件进行数字签名时，为什么一定要将文件的明文也一同发送给对方请用数字签名

14、的原理进行解释；8、思考 PGP存在哪些方面的安全隐患；实验结果分析 指导教师评阅 1、实验态度：不认真（），较认真（），认真（）2、实验目的：不明确（），较明确（），明确（）3、实验内容：不完整（），较完整（），完整（）4、实验步骤：混乱（），较清晰（），清晰（）5、实验结果：错误（），基本正确（），正确（）6、实验结果分析：无（），不充分（），较充分（），充分（）7、其它补充：总评成绩：评阅教师（签字）：评阅时间：实验（二）PGP 实现电子邮件安全 实验时间：同组人员：实验目的 了解基本原理，学会基本操作，并能熟练使用 实验内容 1、创建一私钥和公钥对 使用 PGPtray 之前，需要用

15、PGPkeys 生成一对密钥，包括私有密钥（只有自身可以访问）和一个公有密钥（可以让交换 email 的人自由使用）。2、与别人交换公钥 创建了密钥对之后，就可以同其它 PGP 用户进行通信。要想使用加密通信，那么需要有他们的公钥。而且如果他们想同你通信他们也将需要你的公钥。公钥是一个信息块，发布公钥：可以将公钥放到密钥服务器上，也可以将公钥贴到文件或 Email 中发给你想与交换 Email 的人。3、对公钥进行验证并使之有效 当你获取某人的公钥时，将它添加到你的公开密钥环中。首先确定公钥的准确性。当你确定这是个有效的公钥时，你可以签名来表明你认为这个密钥可以安全使用。另外，你可以给这个公钥

16、的拥有者一定的信任度表明 4、对 E_mail 进行加密和数字签名 当你生成密钥对而且已经交换了密钥之后，就可以对 email 信息和文件进行加密和数字签名。如果使用的 email 应用程序支持 plug_ins，选择适当的选项进行加密；如果 email 应用程序不支持 plug_ins，就可以将 email 信息发送到剪贴板上从那儿进行加密。若还想包括一些文件，可以从 Windows Exporer 上进行加密和数字签名。然后再挂到email 上进行发送。5、对 E_mail 进行解密和验证 当某人给你发送了加密的 email 时，将内容进行分解，同时验证附加的签名来确定数据是从确定的发送者

17、发送过来的并且没有被修改。如果使用的 email 应用程序支持 plug_ins，选择适当的选项进行加密；如果 email 应用程序不支持 plug_ins，就可以将 email 信息发送到剪贴板上从那儿进行加密。将信息拷贝到剪贴板 上，并进行解密工作。若还想包括一些文件，可以从 Windows Exporer 上进行解密。实验步骤 1、创建一个私钥和公钥对：私钥 导出公钥：2、与别人交换公钥 3、对公钥进行验证使之有效 3、文本文件加密解密 4、解密文件 5、用 PGPtray 的剪切板加密功能加密邮件 对 E_mail 进行加密和数字签名 6、发送加密邮件 7、收到后解密过程 8、解密结果

18、 实验结果分析 指导教师评阅 1、实验态度：不认真（），较认真（），认真（）2、实验目的：不明确（），较明确（），明确（）3、实验内容：不完整（），较完整（），完整（）4、实验步骤：混乱（），较清晰（），清晰（）5、实验结果：错误（），基本正确（），正确（）6、实验结果分析：无（），不充分（），较充分（），充分（）7、其它补充：总评成绩：评阅教师（签字）：评阅时间：实验（三）在 Windows 2000/XP 下加密文件和文件夹 实验时间：同组人员：实验目的 通过在 Windows 2000/XP下加密文件和文件夹的操作，掌握一些数据、信息、文件保护的简单方法，并且能够做到举一反三，逐渐掌握利

19、用专业工具保护数据的完整性、机密性的各种方法。实验内容 在 Windows 2000 资源管理器中，选中待设置加密属性的文件或文件夹进行加密操作。实验步骤 1)在 D 盘中选择名为“xingcuntian”的文件夹，单击鼠标右键，在快捷菜单中选择【属性】选项。如图所示 2)在【属性】对话框窗口中，单击“常规”选项卡中的【高级】按钮，如图所示。启动“高级属性”对话框。3)选择【加密内容以便保护数据】复选框，单击【确定】按钮，如图所示，可完成文件夹的加密。加密后观察文件夹名字的颜色发生变化，这意味着非授权用户将无法访问此文件夹。4)系统将进一步弹出“确认属性更改”对话框。要求确认是加密选中的文件夹

20、，还是加密选中的文件夹的子文件夹以及其中的文件。文件的加密步骤同上 1)到 3)步。5）补充压缩文件加密 设置密码 输入密码 实验结果分析 指导教师评阅 1、实验态度：不认真（），较认真（），认真（）2、实验目的：不明确（），较明确（），明确（）3、实验内容：不完整（），较完整（），完整（）4、实验步骤：混乱（），较清晰（），清晰（）5、实验结果：错误（），基本正确（），正确（）6、实验结果分析：无（），不充分（），较充分（），充分（）7、其它补充：总评成绩：评阅教师（签字）：评阅时间：实验（四）数字证书签发安全电子邮件操作指导书 实验时间：同组人员：实验目的 数字证书签发安全电子邮件 实验内

21、容（1）掌握免费个人数字证书申请、安装、导入和导出。（2）掌握 Outlook Express 的配置。（3）掌握使用数字证书签发安全电子邮件的流程。实验步骤（一）免费数字证书的申请安装操作 主页，选择“免费证书”栏目的“根 CA证书”。如果是第一次使用他们的个人证书需要先下载并安装根 CA证书。2、下载并安装根证书。只有安装了根证书链的计算机，才能完成网上申请的步骤和证书的正常使用。出现“下载文件-安全警告”对话框，点击选择打开“”。在弹出的对话框中点击“安装证书”按钮，根据证书导入向导提示，完成导入操作。3、在线填写并提交申请表。选择“免费证书”栏目的“用表格申请证书”，填写申请表。用户填

22、写的基本信息包括名称（要求使用用户真实姓名）、公司、部门、城市、省份、国家地区、电子邮箱（要求邮件系统能够支持邮件客户端工具，不能填写错误，否则会影响安全电子邮件的使用）、证书期限、证书用途（本实验要求选择“电子邮件保护证书”）、密钥选项（可以选择“Microsoft Strong Cryptgraphic Provider”）、密钥用法（可以选择“两者”）、密钥大小（填写“1024”）等，其他项目默认。注意要勾上“标记密钥为可导出”、“启用严 格密钥保护”、“创建新密钥对”三项，“Hash 算法”（可以选择“SHA-1”）。提交申请表后，出现“正在创建新的 RSA 交换密钥”的提示框，确认将

23、私钥的安全级别设为中级。4、下载安装数字证书。提交申请表后，证书服务器系统将立即自动签发证书。用户点击“下载并安装数字证书”按钮开始下载安装证书，直到出现“安装成功！”的提示。5、数字证书的查看 在微软 IE 浏览器的菜单栏“工具”-“Internet 选项”-“内容”-“证书”中，可以看到证书已经被安装地成功。双击证书查看证书内容。（如图所示）（二）数字证书的导出和导入操作指导 为了保护数字证书及私钥的安全，需要进行证书及私钥的备份工作。如果需要在不同的电脑上使用同一张数字证书或者重新安装电脑系统，就需要重新安装根证书、导入个人证书及私钥。具体步骤如下：1、备份证书和私钥的操作步骤。打开一个

24、 IE浏览器，工具 Internet 选项内容证书（如图 5）。选择一个数字证书，点击“导出”按钮，此时会弹出证书导出向导。（如图 6）点击“下一步”，可以选择是否将秘钥和证书一起导出（如图 7）因导出的证书按文件存放，故选择导出文件的格式（如图 8）指定证书导出后文件的文件名和路径（如图 9）此时显示前面你所选择的所有设置，如果觉得完全正确则点击“完成”，如有错误则点击“上一步”（如图 10）。2、导入证书及私钥的操作步骤。打开一个 IE 浏览器，工具Internet 选项内容证书（如图 11）。或者，开始设置控制面板Internet 选项内容证书（如图 11）。点击“导入”按钮，此时会弹出

25、证书导入向导（如图 12）点击“下一步”，根据向导提示选择导入证书的文件名和路径（如图13）。选择好以后点击“下一步”，此时为保护你的私钥需要为你导入的证书的私钥键入一个密码（如图 14）。此时需要选择导入证书的存储区，可以由系统自动选择也可以由用户指定（如图15），系统默认该证书是用户自己的证书而存入“个人证书”之中，而如果你要导入对方的证书（这主要发生在你要利用对方证书给对方发送加密邮件的时候），则应该自己指定位置并选择“其他人”。此时显示前面你所选择的所有设置，如果觉得完全正确则点击“完成”，如有错误则点击“上一步”（如图 16）（三）、利用数字证书对电子邮件进行数字签名和加密 使用 O

26、utlook Express 可以对电子邮件进行加密和数字签名。对电子邮件进行签名需要一个属于你自己的数字证书，而要对电子邮件进行加密则需要拥有对方的数字证书。1、配置 Outlook，建立你自己的账号（1）在 Outlook Express中单击菜单上的“工具”“账号”（2）点击“添加”“邮件”（3）输入显示名称（4）输入电子邮件地址（5）设置接收邮件服务器和发送邮件服务器（6）输入电子邮箱的帐户名称和登录密码。单击“下一步”，邮件设置成功。（7）在 Outlook Express中，单击“工具”菜单中的“帐户”。（8）选取“邮件”选项卡中用于发送安全邮件的帐号，然后单击“属性”。在属性设置

27、窗口中，选择“服务器”选项卡，勾选“我的服务器要求身份验证”。选取安全选项卡，选择签名证书和加密证书及算法。实验结果分析 指导教师评阅 1、实验态度：不认真（），较认真（），认真（）2、实验目的：不明确（），较明确（），明确（）3、实验内容：不完整（），较完整（），完整（）4、实验步骤：混乱（），较清晰（），清晰（）5、实验结果：错误（），基本正确（），正确（）6、实验结果分析：无（），不充分（），较充分（），充分（）7、其它补充：总评成绩：评阅教师（签字）：评阅时间：实验（五）防火墙的设置 实验时间：同组人员：实验目的 1.了解防火墙的原理和功能；2.能够用某种防火墙来防护计算机；3.能根据

28、自身的需求对防火墙进行合适的设置。实验内容 1实训环境：Windows 2000/XP 主机。有 Internet 的上网环境作为测试参考。2实训工具：LooknStop（或其他免费个人防火墙）3、以学习 LooknStop 防火墙的规则设置为例 实验步骤 1.安装 LooknStop 软件（安装工具见压缩包）运行即可！注意：安装过程中会弹出一个未通过 windows 徽标测试的提示窗口，点击仍然继续即可！在最后提示重启的时候先别重启，把 dll_cn 文件夹内的所有文件复制到 C:Program FilesSoft4Everlooknstop,实现汉化，然后点击此文件夹中的,打开软件，2.了

29、解 LooknStop LooknStop 作为一款强大的防火墙，其采用的原型是非常严格的，首先，LooknStop先禁止所有本地和远程的网络访问操作，然后才逐项允许，在初始时不信任任何程序和网络操作，正是因为这过于严厉的策略原型，LooknStop 才能成为一堵树立在系统和网络之间的“墙”，而也正是因为这样的模型，LooknStop 也造成了一部分用户安装完毕后无法连接网络的问题它把所有数据包都拦截了。所以我们首先要解决的就是大部分用户面对 LooknStop 时吃的第一个下马威：无法连接网络。LooknStop 的主界面并不难理解，从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、

30、“日志”、“选项”和“注册”，欢迎界面主要用于显示一些概要信息如连接状态、IP 地址、数据包情况等。我们先解决第一个燃眉之急(此点仅针对 ADSL 拨号上网用户，在此介绍给同学们作为参考)：如果你不幸成为安装 LooknStop 后无法成功进行 ADSL 拨号的用户，请先进入“互联网过滤”界面，然后双击最后一条规则“Allotherpackets”，它就是罪魁祸首，选择“以太网类型”为 IP，保存应用即可。这一故障是 LooknStop 默认的严格规则造成的，它把所有未在规则里定义的数据包都过滤了，于是计算机向远程 MODEM 设备发送的 PPPoE 协议包全部被扼杀在了系统的门口里由此可见，

31、与某些防火墙比起来，LooknStop 是多么的严格！解决这个问题后，我们回到正题。3.基于界面的设置 既然 LooknStop 的规则如此严格，我们也遵循它的规则，严格依照从左到右的顺序讲解吧：（专门对程序进行设定，决定应用程序行为的设置），LooknStop“不信任任何人”的思想在这里又一次得到了发挥，每个程序第一次启动的时候都会被拦截询问，用户允许通过的程序都在里面列举出来，并且在左边出现一个活动列表，可是即使这样，LooknStop 仍然为每个程序列表设置了四个不同性质的可以随时中断该程序访问的按钮，分别为“过滤激活”、“过滤类型”、“进程调用”、“连接记录”。此部分功能由于电脑没有重

32、启，在机房无法实现相应功能设置，建议有兴趣的同学在寝室电脑实现相应功能，具体详细说明可参考LnS 中级使用指南电子书。在“过滤激活”里可以选择两种状态，分别为“启用”和“禁止”，用于告诉防火墙是否允许该应用程序按照后面的规则运行，如果状态为“禁止”，则后面设置的独立 应用程序规则不起作用，但是这并不意味着程序能摆脱防火墙的限制每次这个程序访问网络的时候，防火墙都会再次询问你是否允许这个程序访问网络。“过滤类型”里提供了 3 种类型选择，分别为“允许”、“自定义”和“禁止”，如果用户没有为这个程序设置特殊规则，则只会在“允许”和“禁止”两种类型之间选择，否则为三种。直接双击程序名字就可以设置“过

33、滤类型”，里面分别提供了TCP 和 UDP 协议的端口和 IP 设置，LooknStop 强大的灵活设置性能再次体现了出来：单独输入 IP 或端口，则规定这个程序只能访问用户指定的 IP 或端口，多个端口之间用分号“；”分隔，IP 同上。看到这里，一些用户可能会想，是不是只能设置允许访问的地址呀其实不然，LooknStop 的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作要设置程序禁止访问的 IP，只需要在同样的设置对话框里设定 IP 或端口时在前面加一个感叹号“!”即可，可以说，LooknStop 把“简洁就是美”的信奉发挥到了极致！现在让我们来看看“进程调用”，首先简单介绍一下“进

34、程调用”的概念，有时候，一个程序要访问网络并不是通过它自身实现的，而是调用了外置的 DLL 函数，这样的话，最终访问网络的程序就是那个 DLL 文件而不是程序本身，许多防火墙都认为，通过程序宿主进程启动进而访问网络的模块也是符合条件的，因此不会做任何阻拦，但是 LooknStop 仍然不信任任何模块，它会忠实的报告并控制每个子进程 DLL 的网络连接并提示用户，在如今这个“代码插上翅膀”（线程注射）越来越猖獗的年代里，这样的限制是十分有必要的，很多防火墙正因为过于信任程序调用的进程模块，导致一些 DLL类型的木马得以搭载顺风车，给用户的系统安全带来威胁。针对这种情况，LooknStop提供了“

35、进程调用”的控制功能，分别为“允许”（双箭头标志）和“禁止”（红色停止标志），一旦某个程序的“进程调用”被设置为禁止，该程序就只能通过自身访问网 络了，所有通过它调用的模块都无法突破限制，这个设置对一些经常被后门搭顺风车的系统程序是很有用的，设置禁止后，我们就不用再怕灰鸽子之流通过、等程序突破传统意义的防火墙连接了。最后，是一个标示为感叹号的设置项，它代表“连接记录”：灰色的点表示不记录，两个感叹号表示记录该程序的所有连接，而单独一个感叹号则是与“过滤激活”配合使用的，如果你把一个程序的“过滤激活”设置为“禁止”，以后这个程序再次请求访问网络的时候就会被 LooknStop 记录下来，如果一个

36、奇怪的程序频频要求连接网络，那么它是木马的可能性将会很大！从“应用程序过滤”这一部分就可以看出，LooknStop 对程序的控制非常灵活和精巧，仅使用一个界面和一个对话框就能完成对 4 种程序控制方式，包括多达 10 个属性 36 种不同组合的控制能力，其对程序的控制能力可见一斑。那么，LooknStop 对网络协议的控制功能又如何呢让我们进入“互联网过滤”，这里正是用户噩梦开始的地方。（这部分功能机房可以实现，请大家仔细阅读）这里同样是简洁而复杂的界面，简洁在于按钮的稀少，复杂在于太多列表控制的项目，一眼看去，几乎能让人摸不到头脑，但是这里正是所有防火墙思维的起点：防火墙规则集合。从左到右依

37、次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后是否执行后续规则”、“匹配规则时声音或警报提示”。第一列“启用规则”里提供了 3 种类型选择，分别为“默认方式启用规则”、“自定义方式启用规则”和“不启用规则”，如果用户没有设置自定义规则，则只能在“默认方式启用规则”和“不启用规则”之间切换。“自定义方式启用规则”取决于规则里定义的“应用程序”项目，表示该规则只对特定的应用程序起作用，当符合条件的程序启动后，这个暗红色带绿勾标志变为绿色带红勾标志，代表程序已经启动并处于防火墙规则控制之下。第二列“规则模式”允许两种选择：“拦截”和“允许”，LooknStop 通过这里的标识决定符合该

38、规则的程序是该允许访问网络还是被阻止访问网络，与其它防火墙产品对比，这样的设置方法是非常方便的，用户不需要重新进入规则设置便能直接修改规则行为。红色禁止标志，此标志表示，当某个连接请求或者操作与此规则匹配时，则禁止该连接请求或者操作。如果是灰色圆点标志，则表示此允许此连接请求或者操作。此属性的好处是，相同的规则内容可以在需要时通行，在另一种情况下禁止。第三列“匹配时记录”提供了两个选项，“记录”和“不记录”，顾名思义，当一个满足规则设定的操作发生时，防火墙会根据这里的设置决定是否在日志里记录下这次操作信息。第四列“匹配规则后是否执行后续规则”（不重启电脑，看不到此列）是一个非常重要的规则行为标

39、志，它提供两种选择，分别为“不匹配下一规则”和“匹配下 一规则”，前面说过 LooknStop 的思想是阻止所有连接，而这里的规则设定就是其思想的具体实施方案，为了让程序能正常连接网络，同时也为了提高自身的执行效率，LooknStop 提出了这个选项，它决定当一个符合防火墙设定的规则被执行后，是否要继续匹配下一条相同性质的规则，在这里我们可以方便的设置一些复杂的规则，例如我们需要增加一条允许本机打开 80 端口的规则，但是又不想为此开放所有低端口连接，那么就可以添加一条允许 80 端口的规则，并设置其“后续规则”为“不匹配”，那么就可以在保留原规则不变的同时增加本机开放 80 端口的功能了。第

40、五列“匹配规则时声音或警报提示”（不重启电脑，看不到此列）有 3 种类型选择，分别为“声音报警”、“可视报警”和“不报警”，这个选项要与选项里的“声音”和“消息框”配合使用，第一种表示规则匹配时发出声音报警，第二种表示规则匹配时弹出消息框并同时发出声音报警，如果你觉得噪音扰民，可以设置为最后一种，还你一个安静的环境。4.防火墙的灵魂规则设置 任何防火墙都在各种规则的引导下运行，LooknStop 也不会例外，而其恰恰正是因为规则难以配置而“闻名”的，要真正驯服这个强悍的小家伙，就必须理解并解决规则设置，在“互联网过滤”界面里点击“添加”，会弹出一个略显复杂的对话框出来。相对于大部分国内防火墙产

41、品而言，LooknStop 提供的可供设置的数据类型和模式多了不少，如果用户对各种协议的概念不是很了解，在面对这部分的时候就会很头痛了，LooknStop 在这个设置对话框里提供了8 大类设置，分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“TCP “规则名称”很容易理解，用户就是在这里设置特定规则名称的，“规则说明”则是为了描述这条规则的功能和用途，除了这两个选项不需要特别讲解以外，其他部分请仔细听好！在开始动手之前，首先了解一件 LooknStop 特有的事情，这款防火墙在编辑规则时是中性的，我们不能从这个界面里设置某条规则是给予通行还是拦截，一旦你保存这条规则，Loo

42、knStop 则默认了此规则是“允许通行”的，要设置为“拦截”的话必须在保存后自行到主界面上相应的“规则模式”里设置为“拦截”。其次，LooknStop 的信任关系是基于 IP 地址和 MAC 地址双重检测的，这是一种理想的信任关系模式，IP 地址和 MAC 地址分别都是可以欺骗的，但是如果 IP 和 MAC 结合起来，就很难实施欺骗了，而且也正是这种信任模式，它的规则设置才容易让人迷惑，其实只要理解了其思想，对这款防火墙的规则设置就不复杂了。明白这两个基本概念后，我们正式开始。首先是“以太网:类型”区，这部分到底表达了什么，这里其实是让防火墙知道你的机器环境是在局域网内还是互联网中的独立机器

43、，或者说，控制某条规则是适合在局域网中使用还是在单机环境中使用。这个区域里提供了 4 种选择，分别是“全部”、“IP”、“ARP”和“其它”，“全部”表示包含后面三种类型的协议，一般很少用到，除非你的机器所处的网络环境非常复杂，有多种系统一起运作，否则只需要选择“IP”类型即可，这是一种最兼容最常用的类型。“ARP”类型只能在局域网内使用，也就是专为局域网环境设定的，由于它涉及 MAC 地址，故脱离了局域网环境就无效了，除非你是在局域网内使用机器，否则不要选择这个类型。其次是“IP”区，这里又分为 3 个小区，最左边的“协议”用于为当前规则指定协议，LooknStop 提供了 9 种选择，除了

44、“全部”以外，几乎包含了各种常见协议类型，一般只需要设置 TCP、UDP 或 ICMP 其中之一即可，虽然曾经有过 IGMPNuke，可是现在也基本上没有人用 Windows98 作为工作环境了吧，所以连 IGMP 防御都可以免了 右侧的“碎片偏移”和“碎片标志”分别用于更详细的检测过滤 IP 头部的偏移位和标志位，可以用于防止特定标志位的碎片数据报攻击，不过对于普通用户来说，我们并不需要特别指定这里的内容，一般选择“全部”即可。然后到“TCP 标识”区，这里其实不是只有一个功能设定的，它还可以变为“ICMP”区或“IGMP”区，视前一个“IP”区的协议类型而定，用户只有选择了 TCP 协议以

45、后才能进入 TCP 标识里设置要具体控制的 TCP 标志位，里面一共有 URG、ACK、PSH、RST、SYN 和 FIN 这 6 种标志位供用户选择，主要针对一些有特殊 TCP 要求的用户，例如某台机器被用作 Internet 网关时，如果想阻止局域网内的某台机器通过 TCP协议连接某个外部端口，则可把 TCP 标志位设置为 ACK，阻止远程连接传回的应答请求，该连接自然就无法成功建立，最终达到拦截的目的。接着到“来源”区，许多人觉得 LooknStop 难以配置，除了“以太网类型”难以理解以外，最容易混淆的就是“来源”区和旁边的“目标”区，要成功配置LooknStop，首先要弄清楚一件事情

46、：在 LooknStop 的规则设置里，“来源”完全表示本地，“目标”则表示远程，而不管实际的连接请求或者数据包方向是从哪里发出的。所有与本机网络有关的设置如开放本地某个端口、允许或阻止本地网络的某个 IP，都是在“来源”里设置的，这里通常是和“目标”区搭配使用的，例如配置开放本机的 80端口，那么就不应该去管“目标”区的任何设置，除非你要限制对方 IP 范围或端口范围那就另当别论。要开放本机 80 端口，首先应该在“来源”区的“IP:地址”里选择“等于本机在”，“TCP/UDP:端口”里选择“等于”，下面的第一个选项里输入端口80，第二个选项置空即可。如果要开放一段连续的端口，则在第二个选项

47、里填入另一个数字，然后把“全部”改为“在 A:B 范围内”即可，需要提醒一 点，普通的开放本机端口操作在“目标”区里不用填写任何东西！其他更多的选项可以根据这个举一反三。最后是“目标”区，这里和“来源”区相反，它表示远程主机连接的参数，无论你在“方向”里选了什么，这个地方出现的都必须是远程机器的数据，永远不要出现你的本地数据！“目标”区主要是作为限制本机对远程访问数据而设置的，例如阻止本机程序访问任何外部地址的 8000 端口，则在“目标”区里设置“IP:地址”为“全部”，“TCP/UDP:端口”为“8000”即可，而“来源”区里完全不用设置任何东西。在上面几个大区之外，还有个名为“应用程序”

48、的按钮，这里用于设置特定的程序规则，其中可供选择的程序在右边列出的已经被记录访问过网络的程序列表中选择添加，以后此条规则就专门针对这个列表里的程序使用了，LooknStop 这种思想大大增加了应用程序访问规则的灵活性。（这点在机房无法实现）实验结果分析 指导教师评阅 1、实验态度：不认真（），较认真（），认真（）2、实验目的：不明确（），较明确（），明确（）3、实验内容：不完整（），较完整（），完整（）4、实验步骤：混乱（），较清晰（），清晰（）5、实验结果：错误（），基本正确（），正确（）6、实验结果分析：无（），不充分（），较充分（），充分（）7、其它补充：总评成绩：评阅教师（签字）：评阅

49、时间：实验（六）口 令破解软件使用 实验时间：同组人员：实验目的 1.了解口令破解的原理 2.口令破解工具的使用 实验内容 1实训环境：Windows 2000/XP 主机。有 Internet 的上网环境作为测试参考。2实训工具：office key 解密工具及其他工具 实验步骤 1.运行 Office Key(使用前将双击 REG 将注册信息导入到注册表后，再点击执行文件即可汉化，)2、Office Key 解密工具的使用（注意因为该软件是共享版，所破解密码不一定 100%准确，破解速度还取决于计算机运算能力，耗时有可能很长，实验目的主要在于了解其破解原理）Office Key 是专门用于

50、暴力破解 Office 加密文档的工具。打开主界面，选择设置图标，在弹出的设置窗口中可以看到 Office Key 有多种破解方式，可以通过字典文件、暴力破解、符号集三种方式来对 Office 加密文档进行破解。如图 2 所示：下面使用 Office Word 文档为例进行破解。首先新建一个 Word 文档，然后选择“工具-选项”，切换到“安全性”选项卡，在“打开文档时的密码”中输入密码。第一次输入存4 位纯数字密码，比如“”如图 3 所示：图 3 设置 Word 文档密码 然后点击确定，在弹出的确认密码中输入刚才输入的密码，如图 4 所示：点击确定关闭确认密码并保存 Word 文档(以学号姓