校园网络安全设计方案优质资料.doc

《校园网络安全设计方案优质资料.doc》由会员分享，可在线阅读，更多相关《校园网络安全设计方案优质资料.doc（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校园网络安全设计方案优质资料(可以直接使用，可编辑 优质资料，欢迎下载）校园网络安全设计方案10网工2班 组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展，校园网的建设日益普遍。而在高校中，如何能够保证校园网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不仅有来自外部的攻击，还有内部的攻击。所以，在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我校的网络安全方案。防火墙:防火墙是

2、一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。防火墙的概念：通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，是一种有效的网络安全策略。防火墙提供信息安全服务，设置在被保护内部网络的安全与不安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络的信息流，并且本身具有较强的抗攻击能力。防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为

3、单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。防火墙的安全策略：（1）所有从内到外和从外到内的数据包都必须经过防火墙（2）只有被安全策略允许的数据包才能通过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁止所有服务，除非是必须的服务才被允许防火墙的设计：（1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户提供所有Internet服务，但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP地址欺骗和IP地址盗用功能(6

4、)要求具备记账和审计功能，能有效记录校园网的一切活动。 校园网络在设置时应从下面几个方面入手：（1）入侵检测：具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。（2）工作模式选择：目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式和透明模式。我们选择的是透明模式，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起

5、来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2（第二层）交换机或桥接器。在透明模式下，接口的IP地址被设置为.0, 防火墙对于用户来说是可视或透明的。（3）策略设置：防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。（4）管理界面：管理一个防火墙的方法一般来说有两种：图形化界面和命令行界面，我们选择为通过web方式和java等程序编写的图

6、形化界面进行远程管理。（5）内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。（6）防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位，从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。（7）用户认证：要建立完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种

7、认证方式，对于内部网络的安全又多了一层保障。产品选择：CiscoPIX515防火墙产品特点： CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术，运行PIX操作系统，是一种实时的嵌入式强化系统，可以消除安全漏洞和性能降级损耗。假如拓扑图如下（图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口，路由器的左口为f0/1，右口为f0/0.）：要求：（1）对防火墙、路由器进行基本的命令配置，使得内网的所有机器能访问外网。（2）所有内网的主机出口使用防火墙对外的全局地址（3）所有的外网的主机只能访问内网的IP地址为的主机，此主机对外公开地址为，允许对此

8、主机进行www、ftp。其中防火墙的配置：设置端口安全级别：nameif e0 outside sec0nameif e1 inside sec100设置端口参数：interface e0 autointerface e1 auto配置内外网的IP地址：设置指向内外网的静态路由：Nat (inside) 1 0 0Route outside 拓扑图如下： VPN 什么是VPN？虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧

9、道。VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。 VPN的特点安全保障：通过一条隧道，加密技术对数据进行加密，以保证数据安全性和私有性。服务质量保证：为不同要求用户提供不同等级质量的服务可扩充性，灵活性：支持Internet和Extrane任何类型的数据流可管理性：可以从用户和运营商角度进行管理VPN所用的技术：实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立可以是在第二层链路层。也可以是在第三层网络层。第二层主要是PPP连接。如PPTP，L2TP第三层是IPSec。加解密技术数据通信中一项比较成熟的技术，VPN可直接利用现有技术进行数据加密解密密钥管理技术主要任务

10、是如何在公用数据网上安全的传递密钥而不被窃取身份认证技术使用者名称和密码或卡片的认证方式校园中的VPNVPN应用在外部网络传输控制层保障学校不同校区之间可靠、安全、高速的交换数据以及资源信息的共享。降低网络搭建成本，简化管理。设计方案目前实现VPN主要有两种方式：IPSec VPN 和SSL VPN如果只是想实现高效不同校区之间网络到网络的连接，可以选择IPSec VPN 如果想实现终端到站点之间的传输可以选择SSL VPN各校区和主校区之间通过专线连接。而每个校区都通过路由器连接到具有VPN功能的防火墙。而路由器还有专门的VPN隧道和防火墙相连。防火墙连接到外面的Internet。同时校园网

11、还连接至外面的教育科研网中。这样校外的老师和出差的老师都可以通过VPN访问校园网，还可以访问校内图书馆资源，内部教务信息VPN服务器配置在服务器上右击，选择配置启用路由和远程访问进入配置向导，在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择TCP/IP协议选下一步这一步会选择一个服务器所使用的Internet连接，可以选已建立好的拨号连接或通过制定网卡进行连接，按下一步这一步回答你如何对远程客户机分配IP地址，除非你安装DHCP服务器，否则选择指定一个IP地址的范围根据提示选择你要分配给客户机的IP地址（此IP地址要和服务器的IP地址在同一个网段）最后选择“不，我现在不想设置此服务器

12、的RADIUS”即可完成最后的设置VPN客户端配置在开始附件通讯，选择新疆连接向导点击下一步选择“建立一个您的工作位置的网络连接”选择“虚拟专用网络连接”，单击下一步为连接输入一个名字“xxx”，单击下一步选择不拨此初始连接，单击下一步输入连接设备服务器的IP地址，单击完成双击刚建立的“xxx”连接，在连接窗口中选择属性选择安全属性页，选择高级（自定义设置），单击设置在“数据加密”中选择“可选加密”（没有加密也可以连接）在“允许这些协议”选中“质询握手身份验证协议（CHAP）”单击确定选择“网络”属性页，在VPN类型选择“L2TP VPN”确定“Internet协议TCP/IP”被选中单击确定

13、，保存所做的修改防病毒：一、防病毒服务器：首先选择ServerProtect软件特点：集中式网域管理、三层式结构执行远程管理、实施扫描、病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事件的通知、内建完整的说明功能在网络中心增加一台服务器，预装windows 20XX server，并在服务器上安装ServerProtect的信息服务器及管理控制台，作为ServerProtect的管理中心，从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙具体配置：1、配置下载源一般把“趋势科技更新服务器”设置为下载源2、配置预设下载将下载频率设为“每天”3、配置通知信息配置通

14、知类型，并发送给谁4、配置扫描设置分为实时扫描、立即扫描、预设扫描通过ServerProtect的不熟，有效的保护校园网中的关键服务器受到病毒入侵，今儿切断了病毒通过服务器在校园网中的传播二、客户机安装网络版防毒软件：首先选择OfficeScan：针对企业网络环境设计，提供企业用户网络客户机的病毒防护工作，安装也企业中的一台防病毒服务器，可通过浏览器进行所有的设定及配置，能够通过网络为没太计算机安装客户端，无须在客户端操作，简单方便，提供实时病毒防护及监控能力在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端，通过“客户机打包程序”和WEB页面等方法安装校园内的客户机。具体配置：启动手

15、动组织爆发客户机管理：设置扫面选项（实时、手动、预设扫描和例外文件设置）、设置权限服务器管理：设置密码、设置警报设置更新（服务器更新、客户机更新）另：宿舍客户机也可以自行选择网络版防毒软件，如360、瑞星、金山等等上网行为管理、用户审计系统上网行为管理产品及技术是专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控、管理网络资源使用情况，提高整体工作效率。上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。 标准功能:上网人员管理上网身份管理：利用IP/MAC识别方式、用户名/密码认证方

16、式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性上网终端管理：检查主机的注册表/进程/硬盘文件的合法性，确保接入企业网的终端PC的合法性和安全性移动终端管理：检查移动终端识别码，识别智能移动终端类型/型号，确保接入企业网的移动终端的合法性、上网地点管理：检查上网终端的物理接入点，识别上网地点，确保上网地点的合法性上网浏览管理搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上网搜索内容的合法性，避免不当关键词的搜索带来的负面影响。网址URL管理 ：利用网页分类库技术，对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。网页正文管理：利用正文关键字识别、记录、

17、阻断技术，确保浏览正文的合法性文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性.上网外发管理普通邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性WEB邮件管理 ：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性即时通讯管理：利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性其他外发管理：针对FTP

18、、Telnet等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性.上网应用管理上网应用阻断：利用不依赖端口的应用协议库进行应用的识别和阻断上网应用累计时长限额：针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问上网应用累计流量限额：针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问.上网流量管理上网带宽控制：为每个或多个应用设置虚拟通道上限值，对于超过虚拟通道上限的流量进行丢弃上网带宽保障：为每个或多个应用设置虚拟通道下限值，确保为关键应用保留必要的网络带宽上网带宽借用：当有多个虚拟通道时，允许满负荷虚拟通道借用其他空闲虚拟通道的

19、带宽上网带宽平均：每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽上网行为分析上网行为实时监控：对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现上网行为日志查询：对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询，精确定位问题上网行为统计分析：对上网日志进行归纳汇总，统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表，便于管理者全局发现潜在问题.上网隐私保护日志传输加密：管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心，防止黑客窃听管理三权分立：内置管理员、审核员、审计员账号。管理员无日志查看

20、权限，但可设置审计员账号；审核员无日志查看权限，但可审核审计员权限的合法性后才开通审计员权限；审计员无法设置自己的日志查看范围，但可在审核员通过权限审核后查看规定的日志内容精确日志记录：所有上网行为可根据过滤条件进行选择性记录，不违规不记录，最小程度记录隐私设备容错管理死机保护：设备带电死机 / 断电后可变成透明网线，不影响网络传输。一键排障：网络出现故障后，按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起，缩短网络故障定位时间双系统冗余：提供硬盘+Flash卡双系统，互为备份，单个系统故障后依旧可以保持设备正常使用。风险集中告警告警中心：所有告警信息可在告警中心页面中统一的集中

21、展示分级告警：不同等级的告警进行区分排列，防止低等级告警淹没关键的高等级告警信息。告警通知：告警可通过邮件、语音提示方式通知管理员，便于快速发现告警风险。数据备份系统数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障，而且其恢复时间也很长。随着技术的不断发展，数据的海量增加，不少的企业开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。重要性：计算机里面重要的数据、档案或历史

22、纪录，不论是对企业用户还是对个人用户，都是至关重要的，一时不慎丢失，都会造成不可估量的损失，轻则辛苦积累起来的心血付之东流，严重的会影响企业的正常运作，给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行，企业用户应当采取先进、有效的措施，对数据进行备份、防范于未然。备份方式：定期磁带；数据库；网络数据；远程镜像；好用设备：备份离不开存储设备和介质。目前，可以用来备份的设备很多，除软盘、本地硬盘外，CD-R、CD-RW光盘、Zip磁盘、活动硬盘、移动存储设备以及磁带机等都可以很方便地买到。此外，Internet还给用户提供了网络备份的新途径，尤其是一些免费空间很值得我们予以关注。软盘

23、是最常见的备份介质。不过，软盘容量很小，备份少量数据尚勉强可为，对大量数据则无能为力。再则，软盘安全性差、容易损坏，专业备份不值得考虑。光盘是不错的备份介质，它容量大、便于保管和携带，安全性也较高，是死备份的唯一选择。产品选择：Symantec 作为全球领先的存储备份管理软件厂商，旗下的Backup Exec 和Netbackup两款备份产品解决方案可以为企业各种环境架构下的应用系统数据提供可靠的备份管理和数据安全保障。产品特点：Backup Exec 软件是一种多线程、多任务的存储管理解决方案，专为在单一的或多节点的Windows Servers(包括windows 2003/2021)企业

24、环境中进行数据备份、恢复、灾难恢复而设计，适用于Windows servers以及简单异构的企业网络；在全球数据备份软件市场的占有率高达56，并在各种性能评测中远远领先于对手产品。NetBackup是Symantec 公司的企业级备份管理软件, 它致力于解决网络上大、中、小型服务器和工作站系统上的数据备份、归档及灾难恢复问题；NetBackup支持 UNIX、Windows和Netware混合环境提供了完整的数据保护机制，针对Oracle、SAP R/3、Informix、Sybase、Microsoft SQL Server 和 Microsoft Exchange Server 等数据库提

25、供了备份和恢复的解决方案。具有保护企业中从工作组到企业级服务器的所有的数据的能力。产品配置：Symantec Backup Exec 12D产品配置架构Backup Exec 12D for Windows Servers 备份软件可以作为一台独立服务器保护自身的重要数据，也可以为网络上其它的远程客户端或者服务器提供全面的数据保护。备份软件系统的核心部分- Backup Exec for Windows Servers 能够安装到广泛的 Windows 各个版本的操作系统上，包括 Windows Server 2000/2003、Windows Storage Server 2003以及Win

26、dows Small Business Server 标准版和高级版。丰富的数据库备份选件和客户端能够有效地扩展Backup Exec的功能，从而满足不同应用对增长和升级存储管理能力的需求。关于Windows 服务器的系统保护，可以采用Symantec Backup Exec System Recovery产品； BESR 8.5 是作为 Windows 系统恢复领域的金牌标准，可以在数分钟（而非数小时或数天）之内恢复系统，甚至可以将系统恢复至不同的硬件或虚拟环境。 现在包含增强的 Microsoft Exchange、虚拟和数据恢复功能，以及能够简化管理的集中式管理。客户备份环境分析：客户的

27、备份网络中，主要保护的服务器为Windows 平台，备份的服务器有文件服务器、AD域服务器、SQL数据库服务器等备份系统网络结构设计：在网络备份的基础上，我们建议建立一个专用的备份网络。配置很简单，因为每台服务器缺省已经配置2个以上的以太网卡。我们指定其中一个网卡作为专用的备份连接，通过一个千兆的以太网网络交换机组成一个专用的备份网络。这样的备份的时候数据通过备份网络直接传输到备份服务器，而不需要占用公网的网络带宽，而且备份速度更快。还有，我们建议采用基于网络的多级备份架构实现高速的磁盘备份。数据首先备份到备份服务器上，然后在空闲的时候再迁移到磁带机上做为长期的数据保留。磁盘和磁带相结合的备份

28、，既可以实现高速的存储备份，也可以实现数据长期保留的需要。主页防篡改网站被篡改的原因：客观原因：操作系统和应用的复杂性，导致系统漏洞的层出不穷。虽然有防火墙、入侵检测，但是这些产品都是基于特定端口的，无法理解协议的具体内容主观原因：网站建设与保护措施建设不同步还有些网站在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改网页防篡改技术：外挂轮巡技术：利用一个网页读取和检测程序，以轮巡方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。核心内嵌技术：篡改检测模块内嵌于WEB服务器软件，在每一个网页流出时进行完整性检查事件触发技术：使用操作系统的

29、文件系统/驱动程序接口，网页文件被修改时进行合法性检查产品选择：鹰眼主页防篡改软件产品特点：鹰眼主页防篡改系统采用先进的核心驱动技术，其篡改检测模块运行于操作系统核心，与操作系统无缝结合。拦截对被保护的对象的非法篡改行为事件，进行阻断处理，由于鹰眼主页防篡改系统采用了先进、高校的算法，因此能实时、有效地确保每个网页的真实性。鹰眼防篡改系统由主机监控端、管理服务器、管理终端三部分组成。主机监控端安装于被保护的WEB服务器之上。主机监控端与WEB服务器同步启动，保证WEB服务器能够随时得到保护。管理服务器是整个系统的中枢，所有的管理功能和数据均在管理服务器上实现，管理服务器是管理终端和主机监控端的

30、桥梁。管理终端安装于用户的工作用机上，为用户提供远程管理操作通过部署主页防篡改软件，有效的监控网站网页是否被恶意修改、删除，并能在最短的时间内采取恢复措施，有效保证数据的完整性和真实性。校园网络系统安全管理制度第一章总则第一条为了保护校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益，制定本安全管理制度。第二条本管理制度所称的校园网络系统，是指由学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。第三条校园网系统的安全运行和系统设备管理维护工

31、作由网络与信息中心负责，网络与信息中心可以委托相关单位指定人员代为管理子节点设备。任何单位和个人，未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。第四条任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括CERNET或其它互联网在内的）服务器、工作站。第二章安全保护运行第五条除校园网负责单位，其他单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作；任何单位和个人不得以任何借口盗窃、破坏网络设施，这些行为被视为对校园网安全运行的破坏行为。第六条校园网中对外发布信息的WWW服务器中的内容必

32、须经各单位领导审核，由单位负责人签署意见后，交办公室审核备案后，由网络与信息中心从技术上开通其对外的信息服务。第七条校园网各类服务器中开设的帐户和口令为个人用户所拥有，网络与信息中心对用户口令保密，不得向任何单位和个人提供这些信息。第八条网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。第九条校园内从事施工、建设，不得危害计算机网络系统的安全。第十条校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后，校园网负责单位必须在二十四小时内向校保卫部门及公安机关报告。第十一条严禁在校园网上使用来历不明、引发病毒传染的软件；对于来历不

33、明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。第十二条任何单位和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。第十三条校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为：（1）可向Internet公开的；（2）可向校内公开的；（3）可向本单位公开的；（4）可向有关单位或个人公开的；（5）仅限于本单位内使用的；（6）仅限于个人使用的。第十四条对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的各级行政单位、教学业务单位上网计算机的使用要严格管理，部门负责人为网络安全负责人。学校

34、公共机房一律不准对社会开放，上网人员必须出示学生证、教师证，机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址。公共机房使用网络的记录要保持一年。第十五条校园网负责单位必须落实各项管理制度和技术规范，监控、封堵、清除网上有害信息。为了有效地防范网上非法活动，校园网要统一出口管理、统一用户管理，进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器。未经校网络安全领导小组批准，各单位一律不得开设代理服务器、Email服务器。第十六条经学校网络安全领导小组批准开设的服务器必须保持日志记录功能，历史记录保持时间不得低于6个月。第三章违约责任与处罚第十七条违反第

35、五条及第十二条规定的行为一经查实，将向学校国家安全领导小组及保卫部门报告，视情节给予相应的行政纪律处分；造成重大影响和损失的将向市公安部门报告，由个人依法承担相关责任。第十八条违反第八条规定的侦听、盗用行为一经查实，将提请学校给予行政处分，并在校园网上公布；对他人造成经济损失的，由本人加倍赔偿受害人损失，关闭其拥有的各类服务帐号；行为恶劣、影响面大、造成他人重大损失的，将向公安部门报案。第十九条故意传播或制造计算机病毒，造成危害校园网系统安全的按中华人民共和国计算机信息系统安全保护条例中第二十三条的规定予以处罚。网络安全与维护课程设计班级：姓名：学号：基于认证的攻击设计报告一、课程设计目的：1

36、、熟悉使用端口扫描进行漏洞检测；2、掌握基于认证的攻击方法;3、掌握留后门和清脚印的方法。二、课程设计内容：、认证漏洞的检测在物理主机使用XScan检测自己的虚拟机的密码（虚拟机的密码设置为空密码或者简单的密码）、使用IPC进行连接，祛除NTLM验证利用相关命令进行IPC$连接，连接成功后，编写Bat文件祛除虚拟机中的NTML验证，文件名自己设定.、利用IPC$开启对方的Telnet服务自己编写批处理文件开启虚拟机中的Telnet服务.、利用Telnet连接，为对方主机设定Telnet服务Mytel利用Telnet连接和相关的软件，在虚拟机中设立一个服务名称是Mytel的服务，且该服务为开机自

37、启动服务，服务实际巡行程序为Telnet关闭原有的Telnet服务。、留下后门账号和清除自己的脚印自己编写批处理文件,留下后门账号,并将前面进行攻击所使用的所有文件和系统日志清除,并在最后清除批处理文件本身。、端口扫描使用端口扫描工具对自己的虚拟机进行端口扫描,分别使用Syn扫描和Fin扫描进行探测，比较两种扫描方式的不同点。三、课程实施方案：1。认证漏洞检测 利用x-scan进行扫描打开xscan扫描，在“设置”菜单里点击“扫描参数”，进行全局核查建设置。在“检测范围中的“指定 IP 范围”输入要检测的目标主机的域名或 IP，也可以对一个IP段进行检查在全局设置中，我们可以选择线程和并发主机

38、数量。 在“端口相关设置”中我们可以自定义一些需要检测的端口。检测方式“TCP”、“SYN”两种。“SNMP 设置主要是针对简单网络管理协议（SNMP)信息的一些检测设置。“NETBIOS 相关设置”是针对 WINDOWS 系统的网络输入输出系统（NetworkBasic Input/Output System）信息的检测设置，NetBIOS 是一个网络协议，包括的服务有很多，我们可以选择其中的一部分或全选。“漏洞检测脚本设置”主要是选择漏洞扫描时所用的脚本.漏洞扫描大体包括 CGI 漏洞扫描、POP3 漏洞扫描、FTP 漏洞扫描、SSH 漏洞扫描、HTTP 漏洞扫描等.这些漏洞扫描是基于漏洞

39、库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息；漏洞扫描还包括没有相应漏洞库的各种扫描，比如 Unicode 遍历目录漏洞探测、FTP 弱势密码探测、OPENRelay 邮件转发漏洞探测等,这些扫描通过使用插件（功能模块技术）进行模拟攻击，测试出目标主机的漏洞信息。开始扫描 设置好参数以后,点击“开始扫描”进行扫描，XScan 会对目标主机进行详细的检测。扫描过程信息会在右下方的信息栏中看到，如图所示:扫描结果扫描结束后,默认会自动生成 HTML 格式的扫描报告,显示目标主机的系统、开放端口及服务、安全漏洞等信息:可以看到管理员密码为空 2使用IPC$进行连接,去除NTLM验证 建立ipc

40、$空连接建立磁盘映射建立批处理文件上传至远程主机按计划执行文件建立开启telnet批处理命令传送到远程主机并执行将instsrv。exe上传到远程主机telnet连接远程主机后使用instsrv。exe建立一个名为syshealth的服务清除痕迹手工清除服务器日志入侵者通过多种途径来擦除留下的痕迹,其中手段之一就是在远程被控主机的【控制面板】窗口中，打开事件记录窗口，从中对服务器日志进行手工清除。具体的实现方法如下:（1)入侵者先用IPC$连接过去之后，在远程主机的【控制面板】窗口中,双击【管理工具】图标项打开【管理工具】窗口。(2)双击其中的【计算机管理】图标项，即可打开【计算机管理】窗口.

41、（3）展开【计算机管理（本地)】【系统工具】【事件查看器】选项之后，打开事件记录窗格,其中的事件日志分为三类:“应用程序”日志、“安全性日志及“系统日志,如图12-10所示.(4）这三类日志分别记录不同种类的事件,右击相应日志，在弹出的快捷菜单中选择【清除】菜单项，即可清除指定日志。（5）如果入侵者想做得更干净一点，则可以在【计算机管理】窗口的左窗格中展开【计算机管理（本地）】【服务和应用程序】【服务】选项,再在其右窗格中找到“Event Log”服务，并把该服务禁用,如图所示。经过上述设置之后，用户只要重新启动了系统，该主机/服务器就不会对任何操作进行日志记录了.四、课程设计结果：出现的问题

42、及解决方法：1、在进行帐号克隆和清除日志时经常会遇到到空连接和ipc连接，它们区别在哪里？解答:在进行帐号克隆和清除日志时都需要用到远程上传工具,这就用到了连接,其中最常用的就是空连接和ipc连接，可以从概念和访问方式上对其进行区分.空连接是指在没有信任的情况下与服务器建立的会话，即它是一个到服务器的匿名访问，不需要用户名和密码。而IPC连接是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，有许多的远程工具必须用到IPC$连接，如使用命令“net use IPipc “/user：“”就可以简单地和目标主机建立一个空连接（需要目标开放ipc$）.2、在克隆帐号时，需要

43、对注册表中用于存放帐号所有属性的SAM键值进行访问，但在手动克隆帐号时却会出现无法访问SAM键的情况，该怎样解决？解答：当出现手动克隆无法访问注册表SAM键时，在图形界面下，可以在【注册表编辑器】窗口中，右击HKEY_LOCAL_MACHINESAM子项之后，在弹出的快捷菜单中选择【权限】菜单项,在打开的【SAM的权限】对话框中将administrator帐户属性设置为和SYSTEM一样有完全控制权限。这样,在关闭注册表编辑器之后再将其打开，就可以访问SAM键了。另外，还可以在命令行方式下使用psu工具来获得SYSTEM权限,从而访问SAM键.本次实验，我们是利用IPC$漏洞进行攻击的。不过，

44、事实上仅仅使用IPC$漏洞扫描器并不太容易找到存在漏洞可供植入病毒的主机，通过其他途径下载运行隐藏病毒文件更容易使远程主机中木马病毒.对木马病毒的防护建议：1、及时下载系统补丁,修补系统漏洞。2、提高防范意识，不要打开陌生人的可以邮件和附件、其中可能隐藏病毒。3、如果电脑出现无故重启、桌面异常、速度变慢等情况、注意检查是否已中病毒。4、使用杀毒软件和防火墙，配置好运行规则密码服务滥用攻击密码服务滥用是指协议中的密码算法没有提供正确的保护，从而在协议汇总缺少所需的密码保护。这种缺陷会引发各种攻击。以下是最常见的两种：1：归因于缺失数据完整保护性的攻击。2:归因于缺失“语义安全”保护造成的机密性失

45、败。密码滥用服务太复杂了已经设计到认证协议的设计领域，在此不做过多赘述。最后攻击方法难以穷尽，如“边信道攻击”“实现相关攻击”“绑定攻击”“封装攻击“服务器误信攻击”“交错攻击“类型缺陷攻击和“姓名遗漏攻击”等，即使是把以上攻击全部都包含进去，我们仍然不能穷尽所有攻击类型，另外,认证协议依然容易包含安全缺陷，因此不要认为某些所谓的认证或者加密技术就是万无一失的.五、课程总结心得：1、总结对于常见的认证协议：（1）IPSec协议因特网工程任务组（IETF）制定了用于IP安全的系列标准，这些标准统称为IPSec简单的说，IPSec就是给IP数据包中前三个方框构成的“IP头”增加密码保护。IPSec

46、规定了用于“IP头”的强制性认证保护和可选的机密性保护，后者用于保护出现在“IP头域”中的中端身份信息。（2）IKE协议IKE是认证和认证密钥协议族的总称。该协议族中每个协议都是由三个部分合成的，分别是Oakley(密钥确定协议）“SKEME”（通用因特网安全密钥交换机制)和“ISAKMP（因特网安全连接和密钥交换协议）Oakley描述了系列的密钥交换方式，其中每一种方式都称为一种模式并且Oakley对每种模式所提供的安全服务都给出了详细的描述（这些安全服务包括会话密钥的完善前向保密，隐藏终端身份,双方认证等）。SKEME描述了认证的密钥交换技术,该技术支持通信各方对于曾经存在连接的可拒绝特性

47、（指否认发生在通信双方的连接，它基于密钥共享，是IKE和IKEV2的一个特性）和快速密钥更新。ISAKMP为通信双方达到认证和认证的密钥交换提供了通用的框架。该框架用于协商和确认各种安全属性，机密算法，安全参数，认证机制等。这些协商的结果统城为“安全连接（SA）”。然而.ISAKMP没有提供任何具体的密钥交换技术，所以它可以支持各种密钥交换技术。作为以上工作的和体，可以认为IKE是适用于双方参与的协议族。他们具有认证的会话密钥交换特性,大部分是用DiffieHellman密钥交换机制完成的，包含许多的可选项用于参与双方以在线的方式协商和确认选择项。（3）SSH远程登陆协议安全壳（SSH）是一套基于公钥的认证协议族。使用改协议，用户可以通过不安全网络，从客户端计算机安全地登陆到远端的服务器主机计算机，并且能够在远端主机安全地执行用户的命令，能够在两个计算机间安全地传输文件.该协议是工业界的事实标准，在运行UNIX和Liunx操作系统的服务器计算机上应用广泛。该协议的客户端可以在任何操作系统平台上运行.该协议主要在UNIX服务器上运