第一篇:網(wǎng)絡(luò)安全課程實驗指導書
網(wǎng)絡(luò)安全課程實驗安排及指導書
2009-10-21
實驗安排
1、推薦必做實驗
網(wǎng)絡(luò)掃描
計算機病毒及惡意代碼 防火墻實驗 入侵檢測系統(tǒng)
2、推薦選作實驗
VPN配置
證書的申請和使用 windows安全配置實驗
實驗一: 網(wǎng)絡(luò)掃描實驗
【實驗?zāi)康摹?/p>
了解掃描的基本原理,掌握基本方法,最終鞏固主機安全
【實驗內(nèi)容】
1、學習使用Nmap的使用方法
2、學習使用漏洞掃描工具
【實驗環(huán)境】
1、硬件 PC機一臺。
2、系統(tǒng)配置:操作系統(tǒng)windows XP以上。
【實驗步驟】
1、端口掃描
1)解壓并安裝ipscan15.zip,掃描本局域網(wǎng)內(nèi)的主機 2)解壓nmap-4.00-win32.zip,安裝WinPcap
運行cmd.exe,熟悉nmap命令(詳見“Nmap詳解.mht”)。3)試圖做以下掃描:
掃描局域網(wǎng)內(nèi)存活主機,掃描某一臺主機或某一個網(wǎng)段的開放端口 掃描目標主機的操作系統(tǒng)
試圖使用Nmap的其他掃描方式,偽源地址、隱蔽掃描等
2、漏洞掃描
解壓X-Scan-v3.3-cn.rar,運行程序xscan_gui.exe,將所有模塊選擇掃描,掃描本機,或局域網(wǎng)內(nèi)某一臺主機的漏洞
【實驗報告】
1、說明程序設(shè)計原理。
2、提交運行測試結(jié)果。
【實驗背景知識】
1、掃描及漏洞掃描原理見
第四章黑客攻擊技術(shù).ppt
2、NMAP使用方法
象Windows 2K/XP這樣復雜的操作系統(tǒng)支持應(yīng)用軟件打開數(shù)百個端口與其他客戶程序或服務(wù)器通信,端口掃描是檢測服務(wù)器上運行了哪些服務(wù)和應(yīng)用、向Internet或其他網(wǎng)絡(luò)開放了哪些聯(lián)系通道的一種辦法,不僅速度快,而且效果也很不錯。
Nmap被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡(luò)系統(tǒng)有哪些主機以及其上運行何種服務(wù)。它支持多種協(xié)議的掃描如UDP,TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,X
mas Tree, SYN sweep, 和Null掃描。你可以從SCAN TYPES一節(jié)中察看相關(guān)細節(jié)。nmap還提供一些實用功能如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。
一、安裝Nmap
Nmap要用到一個稱為―Windows包捕獲庫‖的驅(qū)動程序WinPcap——如果你經(jīng)常從網(wǎng)上下載流媒體電影,可能已經(jīng)熟悉這個驅(qū)動程序——某些流媒體電影的地址是加密的,偵測這些電影的真實地址就要用到WinPcap。WinPcap的作用是幫助調(diào)用程序(即這里的Nmap)捕獲通過網(wǎng)卡傳輸?shù)脑紨?shù)據(jù)。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap,支持XP/2K/Me/9x全系列操作系統(tǒng),下載得到的是一個執(zhí)行文件,雙擊安裝,一路確認使用默認設(shè)置就可以了,安裝好之后需要重新啟動。
接下來下載Nmap。下載好之后解開壓縮,不需要安裝。除了執(zhí)行文件nmap.exe之外,它還有下列參考文檔:
㈠ nmap-os-fingerprints:列出了500多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧標識信息。
㈡ nmap-protocols:Nmap執(zhí)行協(xié)議掃描的協(xié)議清單。
㈢ nmap-rpc:遠程過程調(diào)用(RPC)服務(wù)清單,Nmap用它來確定在特定端口上監(jiān)聽的應(yīng)用類型。
㈣ nmap-services:一個TCP/UDP服務(wù)的清單,Nmap用它來匹配服務(wù)名稱和端口號。
除了命令行版本之外,www.tmdps.cn還提供了一個帶GUI的Nmap版本。和其他常見的Windows軟件一樣,GUI版本需要安裝,圖一就是GUI版Nmap的運行界面。GUI版的功能基本上和命令行版本一樣,鑒于許多人更喜歡用命令行版本,本文后面的說明就以命令行版本為主。
圖一
二、常用掃描類型
解開Nmap命令行版的壓縮包之后,進入Windows的命令控制臺,再轉(zhuǎn)到安裝Nmap的目錄(如果經(jīng)常要用Nmap,最好把它的路徑加入到PATH環(huán)境變量)。不帶任何命令行參數(shù)運行Nmap,Nmap顯示出命令語法,如圖二所示。
圖二
下面是Nmap支持的四種最基本的掃描方式:
⑴ TCP connect()端口掃描(-sT參數(shù))。
⑵ TCP同步(SYN)端口掃描(-sS參數(shù))。
⑶ UDP端口掃描(-sU參數(shù))。
⑷ Ping掃描(-sP參數(shù))。
如果要勾畫一個網(wǎng)絡(luò)的整體情況,Ping掃描和TCP SYN掃描最為實用。Ping掃描通過發(fā)送ICMP(Internet Control Message Protocol,Internet控制消息協(xié)議)回應(yīng)請求數(shù)據(jù)包和TCP應(yīng)答(Acknowledge,簡寫ACK)數(shù)據(jù)包,確定主機的狀態(tài),非常適合于檢測指定網(wǎng)段內(nèi)正在運行的主機數(shù)量。
TCP SYN掃描一下子不太好理解,但如果將它與TCP connect()掃描比較,就很容易看出這種掃描方式的特點。在TCP connect()掃描中,掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個完整的TCP連接——也就是說,掃描器打開了兩個主機之間的完整握手過程(SYN,SYN-ACK,和ACK)。一次完整執(zhí)行的握手過程表明遠程主機端口是打開的。
TCP SYN掃描創(chuàng)建的是半打開的連接,它與TCP connect()掃描的不同之處在于,TCP SYN掃描發(fā)送的是復位(RST)標記而不是結(jié)束ACK標記(即,SYN,SYN-ACK,或RST):如果遠程主機正在監(jiān)聽且端口是打開的,遠程主機用SYN-ACK應(yīng)答,Nmap發(fā)送一個RST;如果遠程主機的端口是關(guān)閉的,它的應(yīng)答將是RST,此時Nmap轉(zhuǎn)入下一個端口。
圖三是一次測試結(jié)果,很明顯,TCP SYN掃描速度要超過TCP connect()掃描。采用默認計時選項,在LAN環(huán)境下掃描一個主機,Ping掃描耗時不到十秒,TCP SYN掃描需要大約十三秒,而TCP connect()掃描耗時最多,需要大約7分鐘。
圖三
Nmap支持豐富、靈活的命令行參數(shù)。例如,如果要掃描192.168.7網(wǎng)絡(luò),可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范圍。指定端口范圍使用-p參數(shù),如果不指定要掃描的端口,Nmap默認掃描從1到1024再加上nmap-services列出的端口。
如果要查看Nmap運行的詳細過程,只要啟用verbose模式,即加上-v參數(shù),或者加上-vv參數(shù)獲得更加詳細的信息。例如,nmap-sS 192.168.7.1-255-p 20,21,53-110,30000--v命令,表示執(zhí)行一次TCP SYN掃描,啟用verbose模式,要掃描的網(wǎng)絡(luò)是192.168.7,檢測20、21、53到110以及30000以上的端口(指定端口清單時中間不要插入空格)。再舉一個例子,nmap-sS 192.168.7.1/24-p 80掃描192.168.0子網(wǎng),查找在80端口監(jiān)聽的服務(wù)器(通常是Web服務(wù)器)。
有些網(wǎng)絡(luò)設(shè)備,例如路由器和網(wǎng)絡(luò)打印機,可能禁用或過濾某些端口,禁止對該設(shè)備或跨越該設(shè)備的掃描。初步偵測網(wǎng)絡(luò)情況時,-host_timeout<毫秒數(shù)>參數(shù)很有用,它表示超時時間,例如nmap sS host_timeout 10000 192.168.0.1命令規(guī)定超時時間是10000毫秒。
網(wǎng)絡(luò)設(shè)備上被過濾掉的端口一般會大大延長偵測時間,設(shè)置超時參數(shù)有時可以顯著降低掃描網(wǎng)絡(luò)所需時間。Nmap會顯示出哪些網(wǎng)絡(luò)設(shè)備響應(yīng)超時,這時你就可以對這些設(shè)備個別處理,保證大范圍網(wǎng)絡(luò)掃描的整體速度。當然,host_timeout到底可以節(jié)省多少掃描時間,最終還是由網(wǎng)絡(luò)上被過濾的端口數(shù)量決定。
Nmap的手冊(man文檔)詳細說明了命令行參數(shù)的用法(雖然man文檔是針對UNIX版Nmap編寫的,但同樣提供了Win32版本的說明)。
三、注意事項
也許你對其他端口掃描器比較熟悉,但Nmap絕對值得一試。建議先用Nmap掃描一個熟悉的系統(tǒng),感覺一下Nmap的基本運行模式,熟悉之后,再將掃描范圍擴大到其他系統(tǒng)。首先掃描內(nèi)部網(wǎng)絡(luò)看看Nmap報告的結(jié)果,然后從一個外部IP地址掃描,注意防火墻、入侵檢測系統(tǒng)(IDS)以及其他工具對掃描操作的反應(yīng)。通常,TCP connect()會引起IDS系統(tǒng)的反應(yīng),但IDS不一定會記錄俗稱―半連接‖的TCP SYN掃描。最好將Nmap掃描網(wǎng)絡(luò)的報告整理存檔,以便隨后參考。
如果你打算熟悉和使用Nmap,下面幾點經(jīng)驗可能對你有幫助:
㈠ 避免誤解。不要隨意選擇測試Nmap的掃描目標。許多單位把端口掃描視為惡意行為,所以測試Nmap最好在內(nèi)部網(wǎng)絡(luò)進行。如有必要,應(yīng)該告訴同事你正在試驗端口掃描,因為掃描可能引發(fā)IDS警報以及其他網(wǎng)絡(luò)問題。
㈡ 關(guān)閉不必要的服務(wù)。根據(jù)Nmap提供的報告(同時考慮網(wǎng)絡(luò)的安全要求),關(guān)閉不必要的服務(wù),或者調(diào)整路由器的訪問控制規(guī)則(ACL),禁用網(wǎng)絡(luò)開放給外界的某些端口。
㈢ 建立安全基準。在Nmap的幫助下加固網(wǎng)絡(luò)、搞清楚哪些系統(tǒng)和服務(wù)可能受到攻擊之后,下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個安全基準,以后如果要啟用新的服務(wù)或者服務(wù)器,就可以方便地根據(jù)這個安全基準執(zhí)行。實驗二:計算機病毒及惡意代碼
【實驗?zāi)康摹?/p>
練習木馬程序安裝和攻擊過程,了解木馬攻擊原理,掌握手工查殺木馬的基本方法,提高自己的安全意識。
【實驗內(nèi)容】
安裝木馬程序NetBus,通過冰刃iceberg、autoruns.exe了解木馬的加載及隱藏技術(shù)
【實驗步驟】
1、木馬安裝和使用
1)在菜單運行中輸入cmd打開dos命令編輯器 2)安裝netbus軟件
3)在DOS命令窗口啟動進程并設(shè)置密碼
4)打開木馬程序,連接別人主機
5)控制本地電腦打開學院網(wǎng)頁
6)查看自己主機
7)查看任務(wù)管理器進程 移除木馬控制程序進程
查看任務(wù)管理器(注意:Patch.exe進程已經(jīng)關(guān)閉)
2、木馬防御實驗
在木馬安裝過程可以運行一下軟件查看主機信息變化:
1)使用autoruns.exe軟件,查看windows程序啟動程序的位置,了解木馬的自動加載技術(shù)。如自動運行進程(下圖所示)、IE瀏覽器調(diào)運插件、任務(wù)計劃等:
2)查看當前運行的進程,windows提供的任務(wù)管理器可以查看當前運行的進程,但其提供的信息不全面。利用第三方軟件可以更清楚地了解當前運行進程的信息。這里procexp.exe為例
啟動procexp.exe程序,查看當前運行進程所在位置,如圖所示:
3)木馬綜合查殺練習
使用冰刃IceSword查看木馬可能修改的位置: 主要進行以下練習:
1)查看當前通信進程開放的端口。
木馬攻擊
2)查看當前啟動的服務(wù)
3)練習其他功能,如強制刪除其他文件,SPI、內(nèi)核模塊等。
【實驗報告】
1、分析木馬傳播、自啟動、及隱藏的原理。
2、提交運行測試的結(jié)果,并分析。
【背景知識】
NetBus由兩部分組成:客戶端程序(netbus.exe)和服務(wù)器端程序(通常文件名為:patch.exe)。要想―控制‖遠程機器,必須先將服務(wù)器端程序安裝到遠程機器上--這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序后完成的。
NetBus服務(wù)器端程序是放在Windows的系統(tǒng)目錄中的,它會在Windows啟動時自動啟動。該程序的文件名是patch.exe,如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話,文件名應(yīng)為explore.exe(注意:不是explorer.exe!)或者簡單地叫g(shù)ame.exe。同時,你可以檢查Windows系統(tǒng)注冊表,NetBus會在下面路徑中加入其 自身的啟動項:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通過該注冊項實現(xiàn)Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del,在任務(wù)列表中是看不到它的存在的。正確的去除方法如下:
1、運行regedit.exe;
2、找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
3、將patch項刪除(或者explore項);
4、重新啟動機器后刪除Windows系統(tǒng)目錄下的patch.exe(或者explore.exe)即可。
實驗三: 防火墻實驗
【實驗?zāi)康摹?/p>
掌握個人防火墻的使用及規(guī)則的設(shè)置
【實驗內(nèi)容】
防火墻設(shè)置,規(guī)則的設(shè)置,檢驗防火墻的使用。
【實驗環(huán)境】
3、硬件 PC機一臺。
4、系統(tǒng)配置:操作系統(tǒng)windows XP以上。
【實驗步驟】
(有兩種可選方式,1、以天網(wǎng)防火墻為例,學習防火墻的規(guī)則設(shè)置,2、通過winroute防火墻學習使用規(guī)則設(shè)置,兩者均需安裝虛擬機)
一、虛擬機安裝與配置
驗證virtual PC是否安裝在xp操作系統(tǒng)之上,如果沒有安裝,從獲取相關(guān)軟件并安裝; 從教師機上獲取windows 2000虛擬機硬盤
二、包過濾防火墻winroute配置(可選)
1、從教師機上獲取winroute安裝軟件并放置在windows 2000上安裝
2、安裝默認方式進行安裝,并按提示重啟系統(tǒng)
3、登陸虛擬機,打開winroute 以管理員的身份登錄,打開開始>WinRoute Pro>WinRoute Administration,輸入IP地址或計算機名,以及WinRoute管理員帳號(默認為Admin)、密碼(默認為空)
3、打開菜單
Setting>Advanced>Packet Filter
4、在Packet Filter對話框中,選中Any interface并展開 雙擊No Rule圖標,打開Add Item對話框
在Protocol下拉列表框中選擇ICMP,開始編輯規(guī)則
配置Destination:type為Host,IP Address為192.168.1.1(x為座位號)
5、在ICMP Types中,選中All復選項 在Action區(qū)域,選擇Drop項
在Log Packet區(qū)域選中Log into Window 其他各項均保持默認值,單擊OK 單擊OK,返回主窗口
6、合作伙伴間ping對方IP,應(yīng)該沒有任何響應(yīng)
打開菜單View>Logs>Security Log ,詳細查看日志記錄 禁用或刪除規(guī)則
8、用WinRoute控制某個特定主機的訪問(選作)
要求學生在虛擬機安裝ftp服務(wù)器。
1)打開WinRoute,打開菜單Settings>Advanced>Packet Filter選擇,Outgoing標簽 2)選擇Any Interface并展開,雙擊No Rule,然后選擇TCP協(xié)議
3)配置Destination 框:type為 Host,IP Address為192.168.1.2(2為合作伙伴座位號)4)、在Source框中:端口范圍選擇Greater than(>),然后輸入1024 5)以21端口作為 Destination Port值 6)在Action區(qū)域,選擇Deny選項 7)選擇Log into window選項 8)應(yīng)用以上設(shè)置,返回主窗口
9)合作伙伴間互相建立到對方的FTP連接,觀察失敗信息 10)禁用或刪除FTP過濾
三、包過濾天網(wǎng)防火墻配置(可選)
1、安裝
解壓,單擊安裝文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安裝按缺省的設(shè)置安裝,注:破解
1)將兩個文件[Cr-PFW.exe]和[PFW.bak]一起復制到軟件安裝目錄中
2)運行破解補丁[Cr-PFW.exe],覆蓋原主程序即可
2、熟悉防火墻規(guī)則
啟動防火墻并‖單擊自定義規(guī)則‖如圖
熟悉規(guī)則的設(shè)置: 雙擊如下選項: “允許自己用ping命令探測其他機器 “防止別人用ping命令探測”
“禁止互聯(lián)網(wǎng)上的機器使用我的共享資源” “防止互聯(lián)網(wǎng)上的機器探測機器名稱”等選項,熟悉其中的IP地址、方向,協(xié)議類型、端口號、控制位等項的設(shè)置。試總結(jié)規(guī)則設(shè)置的順序,5、增加設(shè)置防火墻規(guī)則
開放部分自己需要的端口。下圖為對話框,各部分說明: 1)新建IP規(guī)則的說明部分,可以取有代表性的名字,如―打開BT6881-6889端口‖,說明詳細點也可以。還有數(shù)據(jù)包方向的選擇,分為接收,發(fā)送,接收和發(fā)送三種,可以根據(jù)具體情況決定。
2)就是對方IP地址,分為任何地址,局域網(wǎng)內(nèi)地址,指定地址,指定網(wǎng)絡(luò)地址四種。
3)IP規(guī)則使用的各種協(xié)議,有IP,TCP,UDP,ICMP,IGMP五種協(xié)議,可以根據(jù)具體情況選用并設(shè)置,如開放IP地址的是IP協(xié)議,QQ使用的是UDP協(xié)議等。4)比較關(guān)鍵,就是決定你設(shè)置上面規(guī)則是允許還是拒絕,在滿足條件時是通行還是攔截還是繼續(xù)下一規(guī)則,要不要記錄,具體看后面的實例。
試設(shè)置如下規(guī)則:
1)禁止局域網(wǎng)的某一臺主機和自己通信通信 2)禁止任何大于1023的目標端口于本機連接,3)允許任何新來的TCP與主機192.168.0.1的SMTP連接
4、查看各個程序使用及監(jiān)聽端口的情況
可以查看什么程序使用了端口,使用哪個端口,是不是有可疑程序在使用網(wǎng)絡(luò)資源,如木馬程序,然后可以根據(jù)要求再自定義IP規(guī)則里封了某些端口以及禁止某些IP訪問自己的機子等等。
【實驗報告】
1、說明包過濾放火墻的工作原理。
2、提交防火墻指定功能測試結(jié)果。
實驗4 入侵檢測系統(tǒng)安裝和使用
【實驗?zāi)康摹?/p>
通過安裝并運行一個snort系統(tǒng),了解入侵檢測系統(tǒng)的作用和功能
【實驗內(nèi)容】
安裝并配置appahe,安裝并配置MySQL,安裝并配置snort;服務(wù)器端安裝配置php腳本,通過IE瀏覽器訪問IDS
【實驗環(huán)境】
硬件 PC機一臺。
系統(tǒng)配置:操作系統(tǒng)windows XP以上。
【實驗步驟】
1、安裝appache服務(wù)器
安裝的時候注意,本機的80 端口是否被占用,如果被占用則關(guān)閉占用端口的程序。選擇定制安裝,安裝路徑修改為c:apache 安裝程序會自動建立c:apache2 目錄,繼續(xù)以完成安裝。
添加Apache 對PHP 的支持
1)解壓縮php-5.2.6-Win32.zip至c:php 2)拷貝php5ts.dll文件到%systemroot%system32
3)拷貝php.ini-dist(修改文件名)至%systemroot%php.ini 修改php.ini
extension=php_gd2.dll
extension=php_mysql.dll
同時拷貝c:phpextension下的php_gd2.dll與php_mysql.dll 至%systemroot%
4)添加gd庫的支持在C:apacheApache2confhttpd.conf中添加: LoadModule php5_module “c:/php5/php5apache2.dll”
AddType application這一行下面加入下面兩行:
AddType application/x-httpd-php.php.phtml.php3.php4 AddType application/x-httpd-php-source.phps
5)添加好后,保存http.conf文件,并重新啟動apache服務(wù)器。現(xiàn)在可以測試php腳本:
在c:apache2htdocs 目錄下新建test.php
test.php 文件內(nèi)容:
〈?phpinfo();?〉
使用http://localhost/test.php 測試php 是否安裝成功
2、安裝配置snort
安裝程序WinPcap_4_0_2.exe;缺省安裝即可 安裝Snort_2_8_1_Installer.exe;缺省安裝即可
將snortrules-snapshot-CURRENT目錄下的所有文件復制(全選)到c:snort目錄下。將文件壓縮包中的snort.conf覆蓋C:Snortetcsnort.conf
3、安裝MySql配置mysql
解壓mysql-5.0.51b-win32.zip,并安裝。采取默認安裝,注意設(shè)置root帳號和其密碼 J檢查是否已經(jīng)啟動mysql服務(wù) 在安裝目錄下運行命令:(一般為c:mysqlbin)mysql-u root –p 輸入剛才設(shè)置的root密碼
運行以下命令
c:>mysql-D mysql-u root-p < c:snort_mysql(需要將snort_mysql復制到c盤下,當然也可以復制到其他目錄)運行以下命令:
c:mysqlbinmysql-D snort-u root-p < c:snortschemascreate_mysql
c:mysqlbinmysql-D snort_archive-u root-p < c:snortschemascreate_mysql
4、安裝其他工具
1)安裝adodb,解壓縮adodb497.zip到c:phpadodb 目錄下
2)安裝jpgrapg 庫,解壓縮jpgraph-1.22.1.tar.gz到c:phpjpgraph,并且修改C:phpjpgraphsrcjpgraph.php,添加如下一行: DEFINE(“CACHE_DIR”,“/tmp/jpgraph_cache/”);
3)安裝acid,解壓縮acid-0.9.6b23.tar.gz 到c:apachehtdocsacid 目錄下,并將C:Apachehtdocsacidacid_conf.php文件的如下各行內(nèi)容修改為: $DBlib_path = “c:phpadodb”;$alert_dbname = “snort”;$alert_host = “l(fā)ocalhost”;$alert_port = “3306”;$alert_user = “acid”;
$alert_password = “acid”;
$archive_dbname = “snort_archive”;$archive_host = “l(fā)ocalhost”;$archive_port = “3306”;$archive_user = “acid”;
$archive_password = “acid”;
$ChartLib_path = “c:phpjpgraphsrc”;
4)、通過瀏覽器訪問http:/127.0.0.1/acid/acid_db_setup.php,在打開頁面中點取―Create ACID AG‖按鈕,讓系統(tǒng)自動在mysql中建立acid 運行必須的數(shù)據(jù)庫
5、啟動snort 測試snort是否正常:
c:>snort-dev,能看到一只正在奔跑的小豬證明工作正常 查看本地網(wǎng)絡(luò)適配器編號: c:>snort-W 正式啟動snort;
snort-c “c:snortetcsnort.conf”-i 2-l “c:snortlogs”-deX(注意其中-i 后的參數(shù)為網(wǎng)卡編號,由snort –W 察看得知)這時通過http://localhost/acid/acid_main.php 可以察看入侵檢測的結(jié)果
6、利用掃描實驗的要求掃描局域網(wǎng),查看檢測的結(jié)果
【實驗報告】
1、簡單分析網(wǎng)絡(luò)入侵檢測snort的分析原理
2、分析所安裝的入侵檢測系統(tǒng)對攻擊的檢測結(jié)果。附:
Appach啟動動命令:
apache-k install | apache-k start
證書的申請和使用
【實驗?zāi)康摹?/p>
掌握數(shù)字證書的申請、安裝,利用證書的使用通過Outlook發(fā)送和接受安全電子郵件
【實驗內(nèi)容】
1、申請免費使用證書,了解證書的結(jié)構(gòu)
2、利用申請的證書,發(fā)送和接收具有加密和簽名認證的電子郵件
【實驗環(huán)境】
上網(wǎng)計算機,Windows操作系統(tǒng)(最好是Windows2000)。IE5.0以上瀏覽器
【實驗步驟】
1、證書申請
(1)登錄中國數(shù)字認證網(wǎng)網(wǎng)站:http://www.tmdps.cn,如圖1所示,圖1 申請證書主頁
(2)單擊 ―用表格申請‖,進入申請網(wǎng)頁,如圖2:填寫相關(guān)信息,注意證書用途選擇,電子郵件保護證書。注意電子郵件部分填寫隨后測試郵件的自己電子郵件的郵件
圖
2、申請表格
3)單擊“提交并安裝證書” 4)證書查詢
打開IE瀏覽器,依次點擊工具→Internet選項→內(nèi)容→證書,如圖8.11所示,點擊證書按鈕后出現(xiàn)證書目錄,如圖8.12,雙擊剛才申請的試用個人證書,如圖8.13所示。需要說明的是,由于證書是試用證書,所以有該證書未生效信息,實際上,正式申請的付費證書是沒有任何問題。
圖3互聯(lián)網(wǎng)選項
圖4 已經(jīng)安裝好的數(shù)字證書
圖5 證書信息
2、使用證書發(fā)送安全郵件
1)選擇菜單-〉工具-〉選項
彈出對話框
選擇安全屬性頁,復選“給待發(fā)郵件添加數(shù)字簽名”“以明文簽名發(fā)送郵件”
選擇“設(shè)置”按鈕,彈出“更改安全設(shè)置對話框”見圖9
圖6 選項屬性頁
2)選擇 ―設(shè)置‖按鈕 彈出“更改安全設(shè)置”對話框 圖7 填寫名稱
“選擇” 按鈕選擇剛才申請的證書,并選擇哈希算法和加密算法。
圖7安全設(shè)置對話框)選擇一個通信聯(lián)系人發(fā)送一個郵件(這里最好是相互發(fā)送)看看對方是不是收到了一個帶證書的電子郵件
注意:這時只能發(fā)送簽名電子郵件,因為不知道對方的公鑰無法加密(why?),可以思考一下。
發(fā)送加密帶簽名的電子郵件方法如下:
需要知道收信人的公鑰才能加密,因此需要導入收信人的證書。4)導出收信人證書
以剛才收到的帶簽名的和證書的油箱導入對方的證書
A)添加剛才收到信的發(fā)信人島通信薄。B)從剛才收到的信中到處證書。
在信的右邊單擊紅色飄帶彈出對話框,并單擊“詳細信息”,彈出對話框,選擇 “簽字人:****”,并單擊“查看信息” 按鈕(如圖8),彈出屬性頁,選擇“查看證書按鈕”,彈出屬性頁對話框,選擇“詳細信息”,及“復制到文件…”按鈕(見圖9)。把證書復制到文件
圖8
圖9 5)向通信薄中聯(lián)系人添加證書。選擇菜單“工具”-〉“通信薄”,選擇上述接收到的郵件發(fā)件人作為聯(lián)系人,并單擊,選擇證書屬性頁,(如圖10),單擊“導入”按鈕,倒入剛才到處的文件。
圖10 6)發(fā)送帶簽名和加密的電子郵件
選擇菜單
工具-〉選項…
彈出對話框
選擇安全屬性頁,復選“加密帶發(fā)郵件的內(nèi)容和附件”,“給待發(fā)郵件添加數(shù)字簽名”,“以明文簽名發(fā)送郵件”(如圖11)
向?qū)Ψ桨l(fā)送一個電子郵件,看看是不會加密帶簽名的
圖11 【實驗報告】
1、提交運行測試結(jié)果
2、提交申請證書的分析說明
3、提交認證(簽名)和加密郵件的分析說明 實驗六: windows安全配置實驗
【實驗?zāi)康摹?/p>
掌握windows的安全設(shè)置,加固操作系統(tǒng)安全
【實驗內(nèi)容】
1、賬戶與密碼的安全設(shè)置
2、文件系統(tǒng)的保護和加密
3、啟用 安全策略與安全模板
4、審核與日志查看
5、利用 MBSA 檢查和配置系統(tǒng)安全
【實驗環(huán)境】
7、硬件 PC機一臺。
2、系統(tǒng)配置:操作系統(tǒng)windows XP專業(yè)版。
【實驗步驟 】
任務(wù)一 賬戶和密碼的安全設(shè)置
1、刪除不再使用的賬戶,禁用 guest 賬戶
⑴ 檢查和刪除不必要的賬戶
右鍵單擊“開始”按鈕,打開“資源管理器”,選擇“控制面板”中的“用戶和密碼”項; 在彈出的對話框中中列出了系統(tǒng)的所有賬戶。確認各賬戶是否仍在使用,刪除其中不用的賬戶。⑵ 禁用 guest 賬戶
打開“控制面板”中的“管理工具”,選中“計算機管理”中“本地用戶和組”,打開“用戶”,右鍵單擊 guest 賬戶,在彈出的對話框中選擇“屬性”,在彈出的對話框中“帳戶已停用”一欄前打勾。
確定后,觀察 guest 前的圖標變化,并再次試用 guest 用戶登陸,記錄顯示的信息。2、啟用賬戶策略
⑴ 設(shè)置密碼策略
打開“控制面板”中的“管理工具”,在“本地安全策略”中選擇“賬戶策略”;雙擊“密碼策略”,在右窗口中,雙擊其中每一項,可按照需要改變密碼特性的設(shè)置。根據(jù)選擇的安全策略,嘗試對用戶的密碼進行修改以驗證策略是否設(shè)置成功,記錄下密碼策略和觀察到的實驗結(jié)果。⑵ 設(shè)置賬戶鎖定策略
打開“控制面板”中的“管理工具”,在“本地安全策略”中選擇“賬戶策略”。雙擊“帳戶鎖定策略”。
在右窗口中雙擊“賬戶鎖定閥值”,在彈出的對話框中設(shè)置賬戶被鎖定之前經(jīng)過的無效登陸次數(shù)(如 3 次),以便防范攻擊者利用管理員身份登陸后無限次的猜測賬戶的密碼。
在右窗口中雙擊“賬戶鎖定時間”,在彈出的對話框中設(shè)置賬戶被鎖定的時間(如 20 min)。
重啟計算機,進行無效的登陸(如密碼錯誤),當次數(shù)超過 3 次時,記錄系統(tǒng)鎖定該賬戶的時間,并與先前對“賬戶鎖定時間”項的設(shè)置進行對比。3.開機時設(shè)置為“不自動顯示上次登陸賬戶”
右鍵單擊“開始”按鈕,打開“資源管理器”,選中“控制面板”,打開“管理工具”選項,雙擊“本地安全策略”項,選擇“本地策略”中的“安全選項”,并在彈出的窗口右側(cè)列表中選擇“登陸屏幕上不要顯示上次登陸的用戶名”選項,啟用該設(shè)置。設(shè)置完畢后,重啟機器看設(shè)置是否生效。4.禁止枚舉賬戶名
右鍵單擊“開始”按鈕,打開“資源管理器”,選中“控制面板”,打開“管理工具”選項,雙擊“本地安全策略”項,選擇“本地策略”中的“安全選項”,并在彈出的窗口右側(cè)列表中選擇“對匿名連接的額外限制”項,在“本地策略設(shè)置”中選擇“不允許枚舉 SAM 賬戶和共享”。此外,在“安全選項”中還有多項增強系統(tǒng)安全的選項,請同學們自行查看。任務(wù)二 文件系統(tǒng)安全設(shè)置
⑴ 打開采用 NTFS 格式的磁盤,選擇一個需要設(shè)置用戶權(quán)限的文件夾。⑵ 右鍵單擊該文件夾,選擇“屬性”,在工具欄中選擇“安全”。
⑶ 將“允許來自父系的可能繼承權(quán)限無限傳播給該對象”之前的勾去掉,以去掉來自父系文件夾的繼承權(quán)限(如不去掉則無法刪除可對父系文件夾操作用戶組的操作權(quán)限)。
⑷ 選中列表中的 Everyone 組,單擊“刪除”按鈕,刪除 Everyone 組的操作權(quán)限,由于新建的用戶往往都歸屬于 Everyone 組,而 Everyone 組在缺省情況下對所有系統(tǒng)驅(qū)動器都有完全控制權(quán),刪除 Everyone 組的操作權(quán)限可以對新建用戶的權(quán)限進行限制,原則上只保留允許訪問此文件夾的用戶和用戶組。
⑸ 選擇相應(yīng)的用戶組,在對應(yīng)的復選框中打勾,設(shè)置其余用戶組對該文件夾的操作權(quán)限。
⑹ 單擊“高級”按鈕,在彈出的窗口中,查看各用戶組的權(quán)限。
⑺ 注銷計算機,用不同的用戶登陸,查看 剛才設(shè)置“桌面”文件夾的訪問權(quán)限,將結(jié)果記錄在實驗報告中。任務(wù)三 啟用審核與日志查看 1 .啟用審核策略
(1)打開“控制面板”中的“管理工具”,選擇“本地安全策略”。(2)打開“本地策略”中的“審核策略”,在實驗報告中記錄當前系統(tǒng)的審核策略。
(3)雙擊每項策略可以選擇是否啟用該項策略,例如“審核賬戶管理”將對每次建立新用戶、刪除用戶等操作進行記錄,“審核登陸事件”將對每次用戶的登陸進行記錄;“審核過程追蹤”將對每次啟動或者退出的程序或者進程進行記錄,根據(jù)需要啟用相關(guān)審核策略,審核策略啟用后,審核結(jié)果放在各種事件日志中。2 .查看事件日志
(1)打開“控制面板”中的“管理工具”,雙擊“事件查看器“,在彈出的窗口中查看系統(tǒng)的 3 種日志。(2)雙擊“安全日志”,可查看有效無效、登陸嘗試等安全事件的具體記錄,例如:查看用戶登陸 / 注銷的日志。任務(wù)四 啟用安全策略與安全模塊
1、啟用安全模板
開始前,請記錄當前系統(tǒng)的賬戶策略和審核日志狀態(tài),以便于同實驗后的設(shè)置進行比較。
⑴ 單擊“開始”按鈕,選擇“運行”按鈕,在對話框中運行 mmc,打開系統(tǒng)控制臺
⑵ 單擊工具欄上“控制臺”,在彈出的菜單中選擇“添加 / 刪除管理單元”,單擊“添加”,在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置和分析”,單擊“添加”按鈕后,關(guān)閉窗口,并單擊“確定”按鈕。⑶ 此時系統(tǒng)控制臺中根節(jié)點下添加了“安全模板”、“安全設(shè)置分析”兩個文件夾,打開“安全模板”文件夾,可以看到系統(tǒng)中存在的安全模板。右鍵單擊模板名稱,選擇“設(shè)置描述”,可以看到該模板的相關(guān)信息。選擇“打開”,右側(cè)窗口出現(xiàn)該模板的安全策略,雙擊每種安全策略可看到其相關(guān)配置。
⑷ 右鍵單擊“安全設(shè)置與分析”,選擇“打開數(shù)據(jù)庫”。在彈出的對話框中輸入預(yù)建安全數(shù)據(jù)庫的名稱,例如起名為 mycomputer.sdb,單擊“打開”按鈕,在彈出的窗口中,根據(jù)計算機準備配置成的安全級別,選擇一個安全模板將其導入。
⑸ 右鍵單擊“安全設(shè)置與分析”,選擇“立即分析計算機”,單擊“確定”按鈕,系統(tǒng)開始按照上一步中選定的安全模板,對當前系統(tǒng)的安全設(shè)置是否符合要求進行分析。將分析結(jié)果記錄在實驗報告中。
⑹ 右鍵單擊“安全設(shè)置與分析”,選擇“立即配置計算機”,則按照第(4)步中所選的安全模板的要求對當前系統(tǒng)進行配置。
⑺ 在實驗報告中記錄實驗前系統(tǒng)的缺省配置,接著記錄啟用安全模板后系統(tǒng)的安全設(shè)置,記錄下比較和分析的結(jié)果。2 .建安全模板
⑴ 單擊“開始”按鈕,選擇“運行”按鈕,在對話框中運行 mmc,打開系統(tǒng)控制臺。
⑵ 單擊工具欄上“控制臺”,在彈出的菜單中選擇“添加 / 刪除管理單元”,單擊“添加”,在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置和分析”,單擊“添加”按鈕后,關(guān)閉窗口,并單擊“確定”按鈕。⑶ 此時系統(tǒng)控制臺中根節(jié)點下添加了“安全模板”、“安全設(shè)置分析”兩個文件夾,打開“安全模板”文件夾,可以看到系統(tǒng)中存在的安全模板。右鍵單擊模板名稱,選擇“設(shè)置描述”,可以看到該模板的相關(guān)信息。選擇“打開”,右側(cè)窗口出現(xiàn)該模板的安全策略,雙擊每中安全策略可看到其相關(guān)配置。
⑷ 右鍵單擊“安全設(shè)置與分析”,選擇“打開數(shù)據(jù)庫”。在彈出的對話框中輸入預(yù)建安全數(shù)據(jù)庫的名稱,例如起名為 mycomputer.sdb,單擊“打開”按鈕,在彈出的窗口中,根據(jù)計算機準備配置成的安全級別,選擇一個安全模板將其導入。
⑸ 展開“安全模板”,右鍵單擊模板所在路經(jīng) , 選擇“新加模板”,在彈出的對話框中添如預(yù)加入的模板名稱 mytem,在“安全模板描述“中填入“自設(shè)模板”。查看新加模板是否出現(xiàn)在模板列表中。
⑹ 雙擊 mytem,在現(xiàn)實的安全策略列表中雙擊“賬戶策略”下的“密碼策略”,可發(fā)現(xiàn)其中任一項均顯示“沒有定義”,雙擊預(yù)設(shè)置的安全策略(如“密碼長度最小值”),彈出窗口。
⑺ 在“在模板中定義這個策略設(shè)置”前打勾,在框中填如密碼的最小長度為 7。
⑻ 依次設(shè)定“賬戶策略”、“本地策略”等項目中的每項安全策略,直至完成安全模板的設(shè)置。
任務(wù)5 MBSA 檢查和配置系統(tǒng)安全
安裝MBSA,利用說明文檔(見附錄,巧妙使用微軟MBSA系統(tǒng)安全檢測工具),學習其使用
【實驗報告】
記錄系統(tǒng)各項安全設(shè)置前后的變化,并結(jié)合截圖進行說明。
實驗七:VPN【實驗?zāi)康摹?/p>
配置和使用
了解VPN的概念、分類,掌握使用在windows上配置VPN服務(wù)器和VPN客戶端
【實驗內(nèi)容】
虛擬機的安裝與使用,vpn服務(wù)器的配置,vpn客戶端的配置,給出配置過程的截圖
【實驗拓撲(可選)】
在宿主操作系統(tǒng)(如xp)上開啟虛擬機軟件,在該軟件中運行windows server 2000;同伴之間設(shè)置為相同網(wǎng)段的地址,測試防火墻和VPN配置情況。
【實驗環(huán)境】
1、虛擬機相關(guān)軟件:virtual PC軟件和虛擬機硬盤
2、winroute軟件
3、xp系統(tǒng)主機一臺
【實驗步驟】
一、虛擬機安裝與配置
1、驗證virtual PC是否安裝在xp操作系統(tǒng)之上,如果沒有安裝,從教師機上獲取相關(guān)軟件并安裝;
2、從教師機或ftp://222.22.94.2上獲取windows 2000虛擬機硬盤
二、在wiindows 2000 server中配置VPN服務(wù)端
1、要求,server中設(shè)置2塊網(wǎng)卡。確保xp系統(tǒng)和server 2000能夠通信(如通過ping驗證是否通信)。
2、點擊“開始”->“管理工具”->“路由和遠程訪問”;
3、開始配置,在左邊窗口中選中服務(wù)器名,單擊右鍵,選中“配置并啟用路由和遠程訪問”
4、在“公共設(shè)置”中,選中“虛擬專用網(wǎng)(VPN)服務(wù)器”,點擊“下一步”
5、在“遠程客戶協(xié)議”的對話框中,選中“是,所有可用的協(xié)議都在列表上”,點擊“下一步”
6、選中服務(wù)器所使用的Internet連接,連接方式如通過指定網(wǎng)卡進行連接等;點擊“下一步”
7、選中“來自一個指定的IP地址范圍”,點擊“下一步”
8、在“地址范圍指定”中選中新建,給出IP地址起始情況,如192.168.0.1~192.168.0.200。注意,IP地址范圍要同服務(wù)器本身的IP地址處于同一個網(wǎng)段中。“確定”后,在“下一步”。
9、最后選中“不,我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS”
10、賦予用戶撥入此服務(wù)器的權(quán)限,點擊“開始”->“管理工具”-> “計算機管理”,在“用戶和計算機”添加一用戶;如用戶名test,密碼123456
11、選中test用戶,點擊“右鍵”,選中“屬性”,在該用戶屬性窗口中選中“撥入”項,然后單擊“允許訪問”。最后單擊“確定”完成用戶權(quán)限賦予工作。
12、到此VPN服務(wù)器端設(shè)置完備。
五、配置VPN客戶端
1、在xp系統(tǒng)上點擊“網(wǎng)上鄰居”->“屬性”。打開窗口后,雙擊“新建連接”,單擊“下一步”。在連接類型中選中“通過Internet連接到專用網(wǎng)絡(luò)”,點擊下一步。
2、在目標地址中輸入VPN服務(wù)的IP地址,單擊“下一步”。允許“所有用戶使用此連接”,至此VPN客戶端配置完成。
3、打開“虛擬專用連接”,輸入服務(wù)器允許撥入的用戶和密碼(如剛才創(chuàng)建的用戶名test、密碼為123456),單擊連接就可以連接上VPN服務(wù)器。
【實驗報告】
1、2、提交通過本次實驗學生最終心得體會?
分析如果出現(xiàn)問題,是什么問題?是怎么解決的?是通過什么方式、來解決的?
第二篇:網(wǎng)絡(luò)安全協(xié)議實驗指導書
實驗1網(wǎng)絡(luò)安全協(xié)議
一、實驗?zāi)康?了解ISO/OSI七層參考模型各層有哪些網(wǎng)絡(luò)安全協(xié)議;掌握各層安全協(xié)議的具體應(yīng)用環(huán)境。二、實驗軟件:Windows XP 操作系統(tǒng) 三、實驗步驟:
上Ineternet,利用各種搜索引擎搜索相關(guān)資料,并完成提交電子實驗報告。
實驗2 IPSec實驗
一、實驗?zāi)康模?/p>
掌握windows下IPSec的傳輸模式的配置,理解主機到主機的IPSec VPN的工作原理
二、實驗軟件:
Windows XP 操作系統(tǒng)2臺。分別為主機xp1和主機xp2
三、實驗步驟:
1.xp1和xp2均能互相ping通(關(guān)閉防火墻)。、2.在xp1下點擊開始--->運行,輸入“gpedit.msc”,運行組策略。
3.依次展開左側(cè)的“本地計算機”策略—->“計算機配置”—->“windows設(shè)置”—->“安全設(shè)置”—->“IP安全策略”,點擊右鍵,選擇“創(chuàng)建IP安全策略”。
4.在“IP安全策略向?qū)А敝羞x擇下一步,對其命名“IPSEC 加密”,選擇下一步,在“默認相應(yīng)規(guī)則驗證方式”中選擇第三個“此字符串用來保護密鑰交換”,輸入自己設(shè)定的密碼。選擇下一步,選擇完成。
5.在“IPSec加密屬性”中添加IP安全規(guī)則
6.“隧道終結(jié)點”選擇“此規(guī)則不指定隧道”,點擊下一步。7.“網(wǎng)絡(luò)類型”選擇“所有網(wǎng)絡(luò)連接”,點擊下一步 8.“身份驗證方法”同步驟4,點擊下一步。
9.“IP篩選器列表”選擇“所有IP通信量”,點擊下一步。10.“篩選器操作”選擇添加,點擊下一步。
11,“篩選器操作名稱”輸入“必須加密”,點擊下一步。12,“篩選器操作常規(guī)選項”選擇“協(xié)商安全”,點擊下一步。13.選擇“不和不支持Ipsec的計算機通信”,點擊下一步。
14.“IP通信安全設(shè)施”選擇“加密并保持完整性”,點擊下一步,完成。15.在“篩選器操作中”選擇“必須加密”,點擊下一步。
點擊下一步,完成。點擊確定,并關(guān)閉對話框。
右鍵點擊剛添加的IP安全策略,選擇“指派”,使規(guī)則生效。測試此時xp1不能與xp2互相ping通。提示為“Negotiating IP Security”。Xp1的加密完成。
在xp2上重復進行上述操作,添加一條與xp1中一模一樣的規(guī)則。測試此時xp1能夠與xp2互相ping通。注意:xp1和xp2中規(guī)則必須一模一樣,否則無法ping通。此時xp1和xp2的所有數(shù)據(jù)均加密通信。用ping命令測試兩者之間的連接。如下圖:顯示出兩臺機子正在進行SA協(xié)商。
從協(xié)商到通信,這個之間的認證比較復雜,暫時還沒有深入研究
20.在開始->運行中輸入命令ipsecmon,彈出IPSec的安全監(jiān)視器界面,顯示相關(guān)的安全屬性。
實驗3 SSL/TLS基本協(xié)議
一、實驗?zāi)康模?/p>
通過實驗深入理解 SSL 的工作原理,熟練掌握 Windows 2000 Server 環(huán)境下SSL 連接的配置和使用方法。
二、實驗軟件:
Windows XP 操作系統(tǒng)1臺。Windows 2000 Server 操作系統(tǒng)機 1臺。
三、實驗步驟:
為 Web 服務(wù)器申請證書
1)單擊“開始”,選擇“程序”→“管理工具”→“Internet 服務(wù)管理器”,如圖 1。在彈出的如圖 2 所示的窗口左側(cè)菜單中右鍵單擊“默認 Web 站點”,選擇“屬性”。
圖 圖 2
2)在如圖 3 所示的窗口中選擇“目錄安全性”菜單,單擊“安全通信”中的“服務(wù)器證書”
圖 3
圖 4 3)在出現(xiàn)的歡迎使用 Web 服務(wù)器證書向?qū)е校瑔螕簟跋乱徊健卑粹o,在圖 4中,選中“創(chuàng)建一個新證書”,單擊“下一步”按鈕。
4)在彈出的如圖 5 所示的窗口中輸入證書的名稱,單擊“下一步”按鈕。
圖 5
5)根據(jù)圖 6 窗口的提示輸入如圖 6 所示的組織信息,單擊“下一步”按鈕。
圖 6
6)在圖 7 中輸入站點的公用名稱,單擊“下一步”按鈕。
圖 7 7)圖8中接著輸入站點的地理信息,單擊“下一步”按鈕。
圖 8
8)接著輸入證書請求文件的文件名和存放路徑,單擊“下一步”按鈕。在這個證書請求文件中的存放著剛才輸入的用戶信息和系統(tǒng)生成的公鑰,如圖 9 所示。
圖 9
9)在圖 10 中出現(xiàn)的確認信息窗口,單擊“下一步”,接著單擊“完成”按鈕,完成服務(wù)器證書申請。
圖 10
提交 Web 服務(wù)器證書
1)在服務(wù)器所在的計算機上打開 IE 瀏覽器,在地址欄中輸入 http://根 CA的 IP/certsrv,其中的 IP 指的是建立根 CA 的服務(wù)器 IP 地址。在出現(xiàn)的頁面中選中“申請證書”,并單擊“下一步”按鈕。
2)在彈出的如圖 11 所示的頁面中選中“高級申請”,并單擊“下一步”,按鈕。高級申請可以由用戶導入請求證書文件。
圖 11 3)在彈出的頁面中選中“Base64 編碼方式”,并單擊“下一步”按鈕,如圖12 所示。
圖 12 4)單擊“瀏覽”,找到證書請求文件,并把它插入在圖 13 頁面中的“證書申請”框內(nèi),單擊“提交”按鈕。這就將我們上面剛剛完成的這個證書請求文件(即含有個人信息和公鑰的文件)提交。
圖 13
5)將會彈出如圖 14 所示的頁面,表示提交成功。服務(wù)器證書的頒發(fā)和安裝 實現(xiàn)步驟同實驗 14.1。
客戶端證書的申請,頒發(fā)和安裝
在另一臺計算機上重復實驗 14.1 中的相關(guān)步驟,完成客戶端證書的申請,頒發(fā)和安裝。
未配置 SSL 的普通 Web 連接的安全性
1)在配置 SSL 設(shè)置前,在網(wǎng)絡(luò)中另外一臺計算機中打開網(wǎng)絡(luò)監(jiān)測工具Sniffer,監(jiān)測 Web 服務(wù)器的網(wǎng)絡(luò)流量。2)在客戶端訪問服務(wù)器的證書申請網(wǎng)頁 http://根 CA 的 IP/certsrv,第 3方計算機的 Sniffer 工具監(jiān)測到了,數(shù)據(jù)包(Sniffer 的使用參考其他實驗)。
可以看出,在 SSL 配置之前,Web 訪問信息是明文傳輸?shù)模?3 方可以利用相關(guān)的工具竊取信息,在截獲的 POST 類型的數(shù)據(jù)包中可以獲得連接的地址等相關(guān)信息。
在服務(wù)器上配置 SSL 1)單擊“開始”按鈕,選擇“程序”→“管理工具”→“Internet 服務(wù)管理器”。在彈出的窗口左側(cè)菜單中右鍵單擊“默認 Web 站點”,選擇“屬性”。
2)在彈出的窗口中選擇“目錄安全性”菜單項,選擇面板上的“安全通信”中“查看證書”項,查看第 2 步中的安裝的證書,如圖 14 所示。
圖 143)單擊“確定”按鈕后返回到“目錄安全性”面板,選擇“安全通信”中的“編輯”項,在彈出的如圖 15 所示的窗口中選擇“申請安全通道(SSL)”,并在“客戶證書”欄中選擇“接受客戶證書”,單擊“確定”按鈕。
注意:“忽略客戶證書”表示服務(wù)器不要求驗證客戶端的身份,客戶端不需要證書,但客戶端可以驗證服務(wù)器的身份:“接收客戶證書”則表示雙方均可以驗證對方的身份。
圖 15 4)返回到“目錄安全性”面板,單擊“應(yīng)用”按鈕及“確定”按鈕,完成配置。
客戶端通過 SSL 與服務(wù)器建立連接
1)在網(wǎng)絡(luò)中第 3 方的計算機上打開網(wǎng)絡(luò)監(jiān)視工具 Sniffer,監(jiān)測的服務(wù)器的數(shù)據(jù)包。
2)在客戶端計算機上打開 IE 瀏覽器,若仍在地址欄里輸入 http://根 CA的 IP/certsrv,則顯示如圖 16 所示的界面,要求采用 HTTPS(安全的 HTTP)協(xié)議連接服務(wù)器端。
圖 16 3)輸入 https://根 CA 的 IP/certsrv,頁面中彈出如圖 17 所示的提示窗口。
圖 17
4)單擊“確定”按鈕,探出如圖 18 所示的證書選擇窗口。
圖 18
在窗口中選擇步驟 2)中申請的證書 Web Cert,單擊“確定”按鈕。5)之后將正確的彈出正常的證書申請頁面,完成基于 SSL 的連接。
6)查看第 3 方計算機上 Sniffer 的監(jiān)測結(jié)果,其中并未出現(xiàn) POST 類型的有效信息包,截獲的信息均為無效的亂碼。這說明 SSL 很好的實現(xiàn)了 Web連接的安全性。
實驗4 應(yīng)用OPENSSH和PUTTY進行安全SSH連接
一、實驗?zāi)康模?/p>
掌握windows下IPSec的傳輸模式的配置,理解主機到主機的IPSec VPN的工作原理
二、實驗軟件:
Windows XP 操作系統(tǒng)2臺。分別為主機xp1和主機xp2
三、實驗步驟:遠程連接工具putty
隨著linux在服務(wù)器端應(yīng)用的普及,linux系統(tǒng)越來越依賴于遠程管理,而Putty為常用的遠程管理工具。用途:查看服務(wù)器端文件、查看進程、關(guān)閉進程等
配置:雙擊putty后,出現(xiàn)下圖界面。按圖提示步驟進行輸入:(1)輸入服務(wù)器的 IP 或主機名,(2)選擇好登錄協(xié)議,通常選SSH。(3)選擇協(xié)議的端口,選擇22。(4)如果希望把這次的輸入保存起來,以后就不需要再重新輸入了,就在第4步輸入好會話保存的名稱,比如:mail-server,或者干脆就是主機的地址,點擊保存就可以了。最后點下面的 Open 按鈕,輸入正確的用戶名和口令,就可以登錄服務(wù)器了。
用法:
(1)保存了會話后,直接點擊中下方的text框內(nèi)的快捷方式即可進入登錄界面。(2)進入界面后,按提示輸入用戶名和密碼,比如之前我們進的是192.168.2.96。其對應(yīng)的用戶名和密碼是:oracle,oracle123(3)成功登錄之后即可對服務(wù)器端進行操作。可以查看文件,開啟關(guān)閉服務(wù)等等。下面截圖ls顯示了當前服務(wù)器端的文件列表。紅色框選部分是啟動汽車板塊服務(wù)的快捷鍵。輸入start_auto.sh即可啟動汽車板塊的進程。
個案應(yīng)用:
主題:關(guān)于SSH(或putty)里查看進程的問題 起因:192.168.2.96 前后臺打不開
分析:payment服務(wù)打不開,首先pj | grep payment 查看payment進程存在與否,因為服務(wù)蕩掉有兩種情況,一種是對應(yīng)的進程直接蕩掉不存在,一種是進程仍在,但服務(wù)不能正常運行。第一種直接啟動,第二種先kill-9 加對應(yīng)進程號先將進程kill掉,再重新開啟。個案應(yīng)用:
查有時用putty界面會出現(xiàn)中文字符亂碼問題,解決方案如下: 選擇配置窗口左邊的Translation,在右邊的 Received data assumed to be in which character set 下拉列表中選擇“UTF-8”
1.遠程連接工具ssh
Ssh和putty用法類似,只是界面稍微有些差異。用法:
(1)如果第一次連接服務(wù)器,則點擊“quick connect”
輸入服務(wù)器地址,出現(xiàn)如圖下所示界面,點擊“yes”然后輸入密碼即可登錄。
(2)如果需要創(chuàng)建快捷方式,在輸入密碼登錄成功以后,可以點擊“profiles”,然后選擇“add profiles”。輸入一個保存的名字即可,下次登錄時點擊profile然后選擇保存的名字即
可登錄。(3)登錄進入后使用同putty。
實驗5 Kerberos
一、實驗?zāi)康模?/p>
在這個實驗中,將創(chuàng)建一個Kerberos服務(wù)。在完成這一實驗后,將能夠:(1)在服務(wù)器端安裝 “Kerberos服務(wù)”。(2)配置”Kerberos服務(wù)”。
(3)利用”Kerberos服務(wù)”進行認證,獲取票據(jù)。
二、實驗軟件:
服務(wù)器運行Windows 2000 Server,并創(chuàng)建活動目錄。
三、實驗步驟:
步驟:在Windows 2000 Server上建立Kerberos認證服務(wù)器,客戶端能從Kerberos認證服務(wù)器獲取票據(jù)登錄服務(wù)器。活動目錄的安裝:
Windows 2000活動目錄和其安全性服務(wù)(Kerberos)緊密結(jié)合,共同完成任務(wù)和協(xié)同管理。活動目錄存儲了域安全策略的信息,如域用戶口令的限制策略和系統(tǒng)訪問權(quán)限等,實施了基于對象的安全模型和訪問控制機制。活動目錄中的每一個對象都有一個獨有的安全性描述,定義了瀏覽或更新對象屬性所需要的訪問權(quán)限。因此,在使用Windows 2000提供的安全服務(wù)前,首先應(yīng)該在服務(wù)器上安裝活動目錄。操作步驟:
(1)在Windows 2000"控制面板"里,打開"管理工具"窗口,然后雙擊"配置服務(wù)器",啟動"Windows 2000配置您的服務(wù)器"對話框,如圖A7—1所示。
(2)在左邊的選項列表中,單擊"Active Directory"超級鏈接,并拖動右邊的滾動條到底部,單擊"啟動"超級鏈接,打開"Active Directory安裝向?qū)Вυ捒颍霈F(xiàn)"歡迎使用Active Directory安裝向?qū)Вⅲ聪驅(qū)崾荆瑔螕簦⑾乱徊剑粹o,出現(xiàn)"域控制器類型"對話框。
(3)單擊"新域的域控制器"單選按鈕,使服務(wù)器成為新域的第一個域控制器。單擊"下一步"按鈕,出現(xiàn)"創(chuàng)建目錄樹或子域"對話框。
(4)如果用戶不想讓新域成為現(xiàn)有域的子域,單擊"創(chuàng)建一個新的域目錄樹"單選按鈕。單擊"下一步"按鈕,出現(xiàn)"創(chuàng)建或加入目錄林"對話框。
(5)如果用戶所創(chuàng)建的域為單位的第一個域,或者希望所創(chuàng)建的新域獨立于現(xiàn)有的目錄林,單擊"創(chuàng)建新的域或目錄樹"單選按鈕。單擊"下一步"按鈕,出現(xiàn)"新的域名"對話框。
(6)在"新域的DNS全名"文本框中,輸入新建域的DNS全名,例如:book.com。單擊"下一步"按鈕,出現(xiàn)”Net BIOS域名"對話框。
(7)在”域Net BIOS名”文本框中,輸入Net BIOS域名,或者接受顯示的名稱,單擊"下一步"按鈕,出現(xiàn)"數(shù)據(jù)庫和日志文件位置"對話框。
(8)在”數(shù)據(jù)庫位置”文本框中,輸入保存數(shù)據(jù)庫的位置,或者單擊”瀏覽”按鈕選擇路徑;在”日志位置”文本框中,輸入保存日志的位置或單擊”瀏覽”按鈕選擇路徑; 如圖A7—2所示。單擊"下一步"按鈕,出現(xiàn)"共享的系統(tǒng)卷"對話框。
(9)在”文件夾位置”文本框中輸入Sysvol文件夾的位置,在Windows 2000中Sysvol文件夾存放域的公用文件的服務(wù)器副本,它的內(nèi)容將被復制到域中的所有域控制器上。或單擊”瀏覽”按鈕選擇路徑,如圖A7—3所示。單擊"下一步"按鈕,出現(xiàn)"權(quán)限"對話框。
(10)設(shè)置用戶和組對象的默認權(quán)限,選擇”與Windows 2000服務(wù)器之前的版本相兼容的權(quán)限”。單擊"下一步"按鈕,出現(xiàn)"目錄服務(wù)器恢復模式的管理員密碼"對話框。
(11)在”密碼”文本框中輸入目錄服務(wù)恢復模式的管理員密碼,在”確認密碼”文本框中重復輸入密碼。單擊"下一步"按鈕,出現(xiàn)"摘要"對話框。
(12)可以看到前幾步的設(shè)置,如果發(fā)現(xiàn)錯誤,可以單擊"上一步"按鈕重新設(shè)置。
(13)單擊"下一步"按鈕,系統(tǒng)開始配置活動目錄,同時打開”正在配置Active Directory”對話框,顯示配置過程,經(jīng)過幾分鐘之后配置完成。出現(xiàn)”完成Active Directory安裝向?qū)А睂υ捒颍瑔螕簦⑼瓿桑粹o,即完成活動目錄的安裝,重新啟動計算機,活動目錄即會生效。
安全策略的設(shè)置:
安全策略的目標是制定在環(huán)境中配置和管理安全的步驟。Windows 2000組策略有助于在Active Directory域中為所有工作站和服務(wù)器實現(xiàn)安全策略中的技術(shù)建議。可以將組策略和OU(單位組織)結(jié)構(gòu)結(jié)合使用,為特定服務(wù)器角色定義其特定的安全設(shè)置。如果使用組策略來實現(xiàn)安全設(shè)置,則可以確保對某一策略進行的任何更改都將應(yīng)用到使用該策略的所有服務(wù)器,并且新的服務(wù)器將自動獲取新的設(shè)置。操作步驟:(1)在” Active Directory用戶和計算機”窗口,右擊域名”book.com ”,如圖A7-4所示。在彈出的菜單中選擇”屬性”命令,出現(xiàn)”book.com屬性”對話框, 如圖A7-5所示。
(2)選擇”組策略”標簽頁(見圖A7-6),系統(tǒng)提供了一系列工具。可以利用這些工具完成”組策略”的建立、添加、編輯、刪除等操作。
(3)雙擊”Default Domain Policy”,出現(xiàn)” 組策略”對話框。在”組策略”窗口左側(cè)”樹”中,選擇”Windows設(shè)置”并展開,在”安全設(shè)置”中打開”Kerberos策略”(見圖A7-7),進行安全策略的設(shè)置;一般情況下,選擇默認設(shè)置就能達到系統(tǒng)安全的要求。
Windows 2000 Professional 版客戶端Professional 版客戶端設(shè)置:
Windows 2000 Professional 版客戶端設(shè)置配置成使用Kerberos域,在這個域里使用單獨的登錄標記和基于Windows 2000 Professional 的本地客戶端賬號。操作步驟:(1)安裝 Kerberos配置實用程序,在Windows 2000 安裝光盤的supportreskitnetmgmtsecurity文件夾 中找到setup.exe 注意:啟動Windows 2000時,必須以管理員組的成員身份登錄才能安裝這些工具。Windows 2000光盤中,打開SupportTools文件夾,雙擊Setup.exe圖標,然后按照屏幕上出現(xiàn)的說明進行操作。
通過以上步驟,用戶在本機上安裝了Windows 2000 SupportTools,它可以幫助管理網(wǎng)絡(luò)并解決疑難問題。在用戶系統(tǒng)盤的Program FileSupport Tools文件夾中可以看到許多實用工具,其中與Kerberos配置有關(guān)的程序為ksetup.exe和kpasswd.exe。用于配置Kerberos域,KDC和Kpasswd服務(wù)器,Ktpass.exe用于配置用戶口令、賬號名映射并對使用Windows 2000 Kerberos KDC的Kerberos服務(wù)產(chǎn)生Keytab,如圖A7--8所示。
(2)設(shè)置Kerberos域。因為Kerberos域不是一個Windows 2000域,所以客戶端必須配置成為工作組中的一個成員。當設(shè)置Kerberos時,客戶機會自動成為工作組的一個成員。
/setdomain參數(shù)的值BOOK.COM是指與本地計算機在同一域中的域控制器的DNS。如用戶的域控制器的DNS名為www.tmdps.cnputerpassword的參數(shù)用于指定本地計算機的密碼,如圖A7-11所示。(5)重新啟動計算機使改變生效。這是一個必須的步驟,無論何時對外部KDC和域配置做了改變,都需要重新啟動計算機。(6)使用Ksetup來配置單個注冊到本地工作站的賬戶。/mapuser的第一個參數(shù)用于指定Kerberos的主體,第二個參數(shù)用于指定本機的用戶賬戶(見圖A7-12)。定義賬戶映射可以將一個 Kerberos域中的主體映射到一個本地賬號身份上,將本地賬號映射到Kerberos。
實驗6 SHTTP
一、實驗?zāi)康模?/p>
掌握windows下HTTPS應(yīng)用的配置過程,理解主機到服務(wù)器的安全訪問工作原理
二、實驗軟件:
Windows XP 操作系統(tǒng)1臺。Windows 2000 Server 操作系統(tǒng)機 1臺。
三、實驗步驟: 1.準備 web 網(wǎng)站
下面以管理員的身份登錄到 web 服務(wù)器上創(chuàng)建名為:wanjiafu 的網(wǎng)站:然后停止:并設(shè)置默認網(wǎng)站為啟動 在 C 盤下創(chuàng)建文件夾 web 用于存放網(wǎng)頁文件 名為:index.htm 2.為 web 網(wǎng)站創(chuàng)建證書申請文件 右鍵網(wǎng)站 wanjiafu 打開屬性頁
點擊服務(wù)器證書出現(xiàn):歡迎使用 web 服務(wù)器證書向?qū)В簩υ捒颍涸诜?wù)器和客戶端之間建立安全的 web 通道: 單擊【下一步】按鈕:出現(xiàn)服務(wù)器證書對話框:可以新建、分配、導入、復制及移動證書:在此選擇:新建證書:
【下一步】
【下一步】鍵入證書的名稱
【下一步】鍵入單位部門信息
【下一步】鍵入 公用名
【下一步】鍵入 國家 省份 市縣 信息
【下一步】鍵入 存放 地點
【下一步】查看全部配置
【下一步】完成!
打開 C 盤 看見文件 certreq.txt 打開如下圖:
3.為 web 網(wǎng)站申請證書
以域管理員的身份登錄到 web 服務(wù)器上
打開 IE 瀏覽器:輸入:http://192.168.0.111/certsrv 單擊 【申請一個證書】
單擊紅線選擇區(qū)域
下面添加的內(nèi)容為 C 盤下的 certsrv 文件
點擊 【提交】見下圖表示已經(jīng)成功發(fā)送了申請 Id 為 2
4.在 CA 服務(wù)器上頒發(fā)證書
以域管理員的身份登錄到 CA 服務(wù)器:打開:【證書頒發(fā)機構(gòu)】【控制臺】
展開服務(wù)器:單擊【掛起的申請】可以看到 web 服務(wù)器申請的證書現(xiàn)在處于掛起狀態(tài)
右擊 【所有任務(wù)】【頒發(fā)】
打開【頒發(fā)的證書】查看已經(jīng)頒發(fā)了
5.下載證書
以域管理員的身份登錄到 web 服務(wù)器:
在 IE 瀏覽器中鍵入:http://192.168.0.111/certsrv 打開【證書申請】歡迎界面
單擊保存的證書
單擊 【DER 編碼】【下載證書】
下載后如下圖
6.為 web 網(wǎng)站安裝證書
打開后創(chuàng)建的 wanjiafu 網(wǎng)站
選擇:處理掛起的請求并安裝證書
下面是證書的路徑:剛才我把保存在桌面了
SSL 端口為默認 443
下面為證書的內(nèi)容
【下一步】完成 點擊【查看證書】
7.為 web 站點設(shè)置安全通信 點擊【編輯】
勾選 要求安全通道(SSL)和 忽略客戶端證書
下面在登錄客戶端驗證之前:需要將默認網(wǎng)站停止:把 wanjiafu 啟動
下面以域管理員的身份登錄到 web 客戶端上:
在 IE 瀏覽器中輸入:http://192.168.0.111 訪問 web 網(wǎng)站 發(fā)現(xiàn)這里已經(jīng)不能用 HTTP 協(xié)議訪問網(wǎng)站了
下面我們在 IE 瀏覽器中輸入:https://192.168.0.111 來訪問 web 網(wǎng)站 出現(xiàn)安全警報信息:這表示 web 客戶端沒有安裝證書
打開如下圖:
成功訪問!到這里你們終于知道我的名字了!
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 任務(wù)二:web 網(wǎng)站證書導出、導入和刪除
為保存 web 網(wǎng)站證書可以將其導出:當誤刪除證書以后也可以將其導入:具體步驟如下: 1.導出 web 網(wǎng)站證書
打開 wanjiafu 屬性 —— 服務(wù)器證書 —— 服務(wù)器證書向?qū)?——
【下一步】默認保存路徑
【下一步】鍵入【證書密碼】此密碼將在【導入證書】時使用
【下一步】保存打開 C 盤查看文件
2.刪除 web 網(wǎng)站證書
步驟同上:打開 IIS 證書向?qū)В哼x擇 【刪除當前證書】
此時 【查看證書(V)】按鈕已經(jīng)變灰
3.導入 web 網(wǎng)站證書
步驟同上:打開 IIS 證書向?qū)В哼x擇 【 從.pfx 文件導入證書 】
【下一步】選擇 路徑(默認系統(tǒng)自動搜索)輸入【密碼】
網(wǎng)站端口
保存退出:此時查看如下圖所見:
導入成功!
實驗7-8 應(yīng)用UDP或TCP控件編寫簡單的網(wǎng)絡(luò)協(xié)議
一、實驗?zāi)康模?/p>
通過編程熟悉協(xié)議的設(shè)計制作流程,理解協(xié)議發(fā)送接收報文的具體流程。
二、實驗要求:
使用JAVA/C++/C#語言編寫一個能簡單通信的網(wǎng)絡(luò)協(xié)議
第三篇:《電子商務(wù)》課程實驗指導書
《電子商務(wù)》課程實驗指導書
一、課程簡介及基本要求
本課程以理論學習為主,要求學生掌握電子商務(wù)的基本概念、實施過程以及組成內(nèi)容,對電子商務(wù)領(lǐng)域有一個全面、概括的理解,并能結(jié)合本專業(yè)的特點靈活把握。實驗是《電子商務(wù)C》課程的重要教學環(huán)節(jié),在實驗過程根據(jù)課程的性質(zhì)、任務(wù)、要求及學習的對象設(shè)置相應(yīng)的實驗環(huán)節(jié)。通過各種實驗對學生進行實踐技能和科學研究方法的訓練,鞏固其在課堂上所學書本知識,加深對電子商務(wù)系統(tǒng)及運作模式的理解,掌握利用互聯(lián)網(wǎng)絡(luò)這個平臺有效開展商務(wù)活動的基本技能,并運用相關(guān)理論處理一些實際問題。同時,通過實踐教學活動,拓寬學生的知識領(lǐng)域,鍛煉學生的實踐技能,培養(yǎng)科學嚴謹、求真務(wù)實的工作作風。
二、實驗方式與基本要求
電子商務(wù)課程具有較強的實踐性,該實驗環(huán)節(jié)是理論教學的深化和補充,通過上網(wǎng)實踐驗證所學的理論知識,并能結(jié)合實際需求進行綜合分析策劃,以培養(yǎng)學生理論聯(lián)系實際、活學活用的能力。
1、本課程以理論教學為主,非單獨設(shè)課,所以開課后,任課教師需向?qū)W生講清課程的性質(zhì)、任務(wù)、要求、課程安排和進度、平時考核內(nèi)容、期末考試辦法、實驗守則及實驗室安全制度等。
2、該課實驗內(nèi)容分為驗證性和綜合性實驗,實驗前學生必須進行預(yù)習所需的理論知識,為順利進行實驗打下基礎(chǔ)。
3、實驗不分組,在規(guī)定的時間內(nèi),由學生獨立完成,出現(xiàn)問題,教師要引導學生獨立分析、解決,不得包辦代替。
4、任課教師要認真上好每一堂課,實驗前清點學生人數(shù),實驗中按要求做好學生實驗情況及結(jié)果記錄,實驗后認真填寫實驗開出記錄。
5、實驗結(jié)束后,總結(jié)實驗過程并寫出實驗報告。報告應(yīng)有明確的實驗結(jié)果,并分析、討論實驗中的問題,提出個人的見解。其字數(shù)不少于2000字。
三、課程實驗?zāi)康摹?nèi)容和步驟
實驗一 電子商務(wù)模式的認識與分析
1.實驗內(nèi)容
(1)C2C電子商務(wù)模式認識(2)B2C電子商務(wù)模式認識(3)B2B電子商務(wù)模式認識(4)個人網(wǎng)上銀行系統(tǒng)的使用分析 2.實驗?zāi)康?/p>
(1)掌握B-B,B-C,C-C等電子商務(wù)系統(tǒng)的交易規(guī)則,交易流程,盈利模式;(2)掌握企業(yè)網(wǎng)站診斷的工具,并能靈活應(yīng)用分析。3.實驗條件和要求 計算機,開通互聯(lián)網(wǎng) 4.實驗實施步驟
(1)C2C電子商務(wù)模式認識 ①列舉國內(nèi)外典型的C2C電子商務(wù) ②并選一主要平臺進行用戶注冊,分別以不同的角色登陸,進行了解交易流程、交易規(guī)則和平臺的盈利模式,③對相關(guān)平臺進行比較分析,找出存在的問題,并提出有效解決對策。(2)B-C電子商務(wù)平臺的認識與分析
①登錄海爾、聯(lián)想、戴爾等網(wǎng)站,了解提供的服務(wù)和業(yè)務(wù)流程,②注冊用戶,登陸了解其交易流程、交易規(guī)則,③了解該平臺的運營狀況,找出存在的問題,并提出有效解決對策。(3)B2B電子商務(wù)模式認識
①找出相關(guān)B2B網(wǎng)站,了解其提供的服務(wù)和業(yè)務(wù)流程,②注冊用戶,登陸了解其交易流程、交易規(guī)則,③了解該平臺的運營狀況,找出存在的問題,并提出有效解決對策。(4)個人網(wǎng)上銀行系統(tǒng)的使用分析
①查找并觀看網(wǎng)上個人銀行動態(tài)演示系統(tǒng),熟悉操作流程;
②對比各銀行網(wǎng)上個人業(yè)務(wù),并通過列表形式比較各銀行網(wǎng)上轉(zhuǎn)帳匯款、交費支付業(yè)務(wù)的特點。③申請開通一網(wǎng)上銀行或手機銀行系統(tǒng),了解其功能服務(wù),并要求完成一次轉(zhuǎn)賬功能,并要求將轉(zhuǎn)賬結(jié)果截圖在報告中體現(xiàn)。
四、實驗成績評定辦法
實驗時間:課內(nèi)10學時。實驗結(jié)束后,學生獨立完成實驗報告。考核時實驗出勤和實驗態(tài)度占40分,實驗報告占60分。其中:原理描述20分、實驗流程10分、數(shù)據(jù)記錄10分、解決問題的能力10分、實驗結(jié)果10分。
制訂人:黃建蓮
審核人:李躍貞
批準人:王升
2007.10
第四篇:《會計學原理》課程實驗指導書.
《會計學原理》課程實驗指導書
執(zhí)筆人:鄧紅娟
一、實驗?zāi)康模?/p>
(一)實驗?zāi)康模?/p>
1、了解互聯(lián)網(wǎng)的基本操作。
2、利用浙科財務(wù)會計軟件進行編制記賬憑證、登記賬簿和編制資產(chǎn)負債表、利潤表的模擬操作。
3、進行手工模擬編制記賬憑證、登記賬簿和編制資產(chǎn)負債表、利潤表。
4、通過手工模擬,熟悉和掌握會計核算的基本過程,具備初步的會計應(yīng)用能力。
(二)實驗要求:
1、每位同學按照指導教師分配的身份進行實驗,根據(jù)自己所扮演的角色,上網(wǎng)進行相關(guān)的會計活動操作。
2、每組1人~4人根據(jù)有關(guān)實驗材料進行手工模擬。
二、實驗設(shè)備及軟件
(一)實驗設(shè)備
服務(wù)器、交換機和PC機組成NT網(wǎng)絡(luò)。
(二)軟件環(huán)境
服務(wù)器采用Microsioft Windows 2000 Server 操作系統(tǒng)
學生客戶端采用Windows 2000系統(tǒng)、IE5.0以上瀏覽器;
浙科財務(wù)會計教學軟件
手工操作需要的各種實驗器材,如:記賬憑證、會計賬簿和報表
三、實驗內(nèi)容
1、編制記賬憑證。
2、登記現(xiàn)金日記賬、銀行存款日記賬和總賬。
3、編制資產(chǎn)負債表和利潤表。
四、實驗方式
1、上機時每人一組,獨立進行實驗。
2、手工實驗時,每組1人~4人分組實驗。
五、實驗步驟:
(一)電腦操作
1、進入浙科電子商務(wù)教學系統(tǒng)
2、登陸并注冊
3、按操作步驟進行模擬操作
(二)手工操作
1、根據(jù)實驗教材編制記賬憑證。
2、根據(jù)已編制的記賬憑證,登記現(xiàn)金日記賬、銀行存款日記賬和總賬。
3、根據(jù)實驗教材編制資產(chǎn)負債表和利潤表。
六、本課程的考核方式與評分辦法
本課程為考試課,根據(jù)平時上課表現(xiàn)和實驗操作、期末考試成績計算出期末成績,其中:
平時成績20%,實驗報告10%,期末考試成績60%。
第五篇:《會計學原理》課程實驗指導書
63491755.doc指導書
《會計學原理》課程實驗指導書
實驗一
1.實驗?zāi)康? 掌握記賬憑證的填制方法。2.實驗課時:課內(nèi)2課時。3.實驗組織:
課內(nèi)、外的內(nèi)容安排:課內(nèi)——講解實驗基本要求,提示難點問題,完成部分實驗。
課外——在規(guī)定期限內(nèi)完成全部實驗。
實驗有關(guān)憑證的組織:要求填制記賬憑證的,所需的記賬憑證由實驗室另行配備。實驗室應(yīng)準備的憑證:收款憑證、付款憑證(每人各20張)。
轉(zhuǎn)賬憑證(每人各30張)。
4.實驗要求:
根據(jù)有關(guān)實驗資料填制記賬憑證。5.實驗資料:
新華工廠系增值稅一般納稅人(開戶銀行:大營辦事處,簡稱大辦,賬號:143258379,地址:永宏市大營路29號,稅務(wù)登記號:***),該2000年12月發(fā)生如下經(jīng)濟業(yè)務(wù):
(1)1日,財務(wù)科出納員劉莉開出現(xiàn)金支票一張,金額1 000元,從銀行提取現(xiàn)金,以備零用。
(2)1日,供銷科王明峰因采購材料去南京,經(jīng)供銷科長王露批準,向財務(wù)科借現(xiàn)金500元。
(3)1日,收到本市光明工廠償還前欠的貨款4 000元。收到轉(zhuǎn)賬支票一張并存入銀行。(4)2日,向本市光明工廠銷售甲產(chǎn)品200件,單價400元,乙產(chǎn)品200件,單價300元,增值稅稅率17%,貨款暫未收到。
(5)2日,收到大治市耀華公司償還前欠的貨款12 000元。
(6)3日,向本市紅星工廠購進A材料200kg,單價90元,B材料400kg,單價75元,增值稅稅率17%,材料已驗收入庫,貨款開出轉(zhuǎn)賬支票支付。材料按實際成本計價核算。
(7)3日,本廠加工車間生產(chǎn)甲產(chǎn)品領(lǐng)用A材料800kg,單價90元,B材料1300kg,單價75元。生產(chǎn)乙產(chǎn)品領(lǐng)用A材料500kg,B材料600kg。
(8)4日,廠部從永宏市百貨商場(開戶行:工行橋辦,賬號:3862317)購買下列辦公用品:鋼筆5支,單價15元,圓珠筆10支,單價6元;筆記本10本,單價4元,直接領(lǐng)用。
(9)4日,開出現(xiàn)金支票提取現(xiàn)金500元,向永宏市郵政局預(yù)付明年上半年報刊費500元。
莆田學院會計教研室
2009.8
63491755.doc指導書
(10)5日,用現(xiàn)金向大方郵政所購買郵票100張,計80元(記入廠部辦公費)。(11)6日,開出信匯憑證償還前欠鞍慶市吉安工廠(地址:柳南街89號,開戶行:工行柳南辦,賬號472986)的貨款12 000元。
(12)7日,加工車間領(lǐng)用A材料500kg,單價90元;B材料600kg,單價75元。(13)7日,供銷科王明峰出差歸來報銷差旅費530元,補付現(xiàn)金30元。
(14)8日,向大治市耀華公司銷售甲產(chǎn)品175件,單價400元;乙產(chǎn)品100件,單價300元,貨已發(fā)出并已辦妥委托銀行收款手續(xù),以轉(zhuǎn)賬支票一張墊付大治貨站(開戶行:工行車站辦,賬號9831426)鐵路運雜費600元。
(15)9日,本廠加工車間領(lǐng)用C材料500kg,單價20元,計10 000元,用于甲產(chǎn)品(16)9日,用銀行存款支付永宏修繕隊修理廠部辦公樓的修理費1 200元。(17)9日,向鞍慶市吉安工廠購進A材料2000kg,@90元;B材料1000kg,@75元,增值稅稅率17%,均已驗收入庫,并同意付款。
(18)10日,前向本市光明工廠銷售產(chǎn)品的貨款9 000元,收到轉(zhuǎn)賬支票一張,已送存銀行。
(19)10日,用銀行存款歸還前欠本市紅星工廠的材料款35 000元。
(20)11日,向本市光明工廠銷售甲產(chǎn)品100件,單價400元;乙產(chǎn)品200件,單價300元,貨已被提走,貨款收到轉(zhuǎn)賬支票一張已送存銀行。
(21)11日,收到銀行轉(zhuǎn)來“委托銀行收款結(jié)算憑證(支款通知)”,已從銀行存款中支付永宏市電信局電話、電報費720元(記入廠部辦公費)。
(22)13日,開出轉(zhuǎn)賬支票支付計算中心計算資料費460元(記入廠部辦公費)。(23)14日,收回前向本市光明工廠銷售產(chǎn)品的貨款163 800元,其中3 800元收到現(xiàn)金,其余收到轉(zhuǎn)賬支票。
(24)14日,將銷貨款現(xiàn)金3 800元存入銀行。
(25)14日,向本市光明工廠銷售甲產(chǎn)品100件,單價400元,乙產(chǎn)品100件,單價300元,增值稅稅率17%,貨已發(fā)出,貨款暫欠。假設(shè)該批銷貨符合商品銷售收入的確認條件。
(26)14日,向鞍慶市吉安工廠購進A材料1 500kg,單價90元;B材料1 000kg,單價75元, 增值稅稅率17%,材料已驗收入庫,料款和稅款暫欠。材料均按實際成本計價核算。
(27)15日,本廠車間領(lǐng)用機器潤滑油20kg,單價20元。(28)15日,用銀行存款歸還銀行短期借款60 000元。(29)16日,提取現(xiàn)金120 000元備發(fā)工資及零用。(30)16日,用現(xiàn)金發(fā)放工資120 000元。(31)17日,向銀行取得短期借款80 000元。
(32)17日, 向本市紅星工廠購進C材料1500kg,@20元,價款計30 000元,增值稅額5 100元,材料已驗收入庫,貸款暫欠。
(33)18日,加工車間領(lǐng)用C材料1400kg,單價20元。
(34)19日,加工車間生產(chǎn)甲產(chǎn)品領(lǐng)用A材料1200kg,單價90元;B材料800kg,單
莆田學院會計教研室
2009.8
63491755.doc指導書
價75元。
(35)20日,向大治市耀華公司銷售甲產(chǎn)品200件,單價400元;乙產(chǎn)品200件,單價300元,增值稅稅率17%,貨已發(fā)出并辦妥委托銀行收款手續(xù)。
(36)20日,前向本市光明工廠銷售的貸款81 900元收到,收到轉(zhuǎn)賬支票一張,金額80 000元,已存入銀行,另收到現(xiàn)金1 900元。
(37)20日,將銷貨款現(xiàn)金1 900元送存銀行。
(38)21日,用銀行存款支付本季度銀行短期借款利息3 600元。
(39)21日,向本市光明工廠銷售甲產(chǎn)品 200件,單價400元;乙產(chǎn)品200件,單價300元,增值稅稅率17%,貨已被提走,貨款暫欠。
(40)22日,歸還前向鞍慶市吉安工廠采購材料的貨款245 700元,其中用銀行存款歸還245 000元,用現(xiàn)金歸還700元。
(41)23日,加工車間領(lǐng)用A材料800kg,單價90元;領(lǐng)用B材料1000kg,單價75元。
(42)24日,行政科用銀行存款購買辦公用品1 200元,直接交給管理部門使用。(43)25日,歸還前欠本市紅星工廠的材料款35 100元,其中:用銀行存款歸還35 000元,用現(xiàn)金歸還100元。
(44)26日,供銷科張春宏出差借差旅費付現(xiàn)金800元。
(45)27日,向鞍慶市吉安工廠采購A材料500kg,單價90元;B材料500kg,單價75元,增值稅稅率17%,材料已驗收入庫,貨款暫欠。
(46)27日,向本市紅星工廠采購A材料500kg,單價90元;B材料600kg,單價75元,增值稅稅率17%,材料已驗收入庫,貸款暫欠。
(47)27日,向大治市耀華公司銷售甲產(chǎn)品200件,單價400元;乙產(chǎn)品300件,單價300元,增值稅稅率17%,貨已發(fā)出,收到銀行匯票一張,并辦妥銀行收款手續(xù)。
(48)28日,前向大治市耀華公司銷售產(chǎn)品貨款163 800元收到。
(49)29日,采購員張春宏出差歸來報銷差旅費700元,余款100元交回現(xiàn)金。(50)30日,分配本月工資:生產(chǎn)甲產(chǎn)品工人工資60 000元,生產(chǎn)乙產(chǎn)品工人工資40 000元,加工車間管理人員工資10 000元,廠部管理人員10 000元。
(51)30日,按工資總額的14%計提職工福利費16 800元,其中,甲產(chǎn)品8 400元,乙產(chǎn)品5 600元,車間1 400元,廠部11 400。
(52)30日.計提固定資產(chǎn)折舊費20 000元,其中:車間16 000元,廠部4 000元。(53)31日,支付并分配電費1 100元,其中,產(chǎn)品生產(chǎn):甲產(chǎn)品5 000元,乙產(chǎn)品3 000元,車間照明用電1 000元,廠部照明用電1 000元。
(54)31日,向本市紅星工廠采購C材料1 000kg,單價20元,計價款20 000元,增值稅額3 400元,料已驗收入庫,貨款暫欠。
(55)31日,結(jié)轉(zhuǎn)損益類帳戶至“本年利潤”賬戶。(56)計提并結(jié)轉(zhuǎn)所得稅。
莆田學院會計教研室
2009.8
63491755.doc指導書
實驗二
1.實驗?zāi)康? 練習并掌握總賬、明細賬、日記賬的登記方法。2.實驗課時:2課時(課內(nèi))。3.實驗組織:
具體講解記賬要求,學生熟悉有關(guān)實物。
實驗室應(yīng)準備的賬簿:①三欄式現(xiàn)金日記賬(每人1頁);
②三欄式銀行存款日記賬(每人1頁); ③三欄式應(yīng)收賬款明細賬(每人2頁); ④三欄式應(yīng)付賬款明細賬(每人2頁); ⑤數(shù)量金額式原材料明細賬(每人3頁);
⑥原材料、應(yīng)收賬款、應(yīng)付賬款三種總賬(每種每人1頁)。
4.實驗要求:
(1)設(shè)置并登記三欄式現(xiàn)金日記賬和銀行存款日記賬。(2)設(shè)置并登記三欄式應(yīng)收賬款明細賬和應(yīng)付賬款明細賬。(3)設(shè)置并登記數(shù)量金額式原材料明細賬。
(4)設(shè)置并登記“原材料”、“應(yīng)收賬款”和“應(yīng)付賬款”三個總賬。5.實驗資料:
(1)實驗一所給出的業(yè)務(wù)(1)~(55)。
(2)新華工廠2000年12月1日現(xiàn)金日記賬和銀行存款日記賬的余額:
現(xiàn)金日記賬的余額為4 200元; 銀行存款日記賬的余額為280 000元(3)新華工廠2000年12月1日應(yīng)收賬款明細賬的余額:
光明工廠:借方余額為135 000元; 耀華公司:借方余額為16 000元(4)新華工廠2000年12月1日應(yīng)付賬款明細賬的余額:
紅星工廠:貸方余額為35 000元; 吉安工廠:貸方余額為15 000元(5)新華工廠2000年12月1日原材料明細賬的余額如下:
A材料:數(shù)量1 800千克,單價90元,金額162 000元 B材料:數(shù)量2 200千克,單價75元,金額165 000元 C材料:數(shù)量2 000千克,單價20元,金額40 000元(6)新華工廠2000年12月1日有關(guān)總分類賬戶的期初余額:
“原材料”總分類賬戶的期初余額為367 000元(借方); “應(yīng)付賬款”總分類賬戶的期初余額為50 000元(貸方);
莆田學院會計教研室
2009.8
63491755.doc指導書
“應(yīng)收賬款”總分類賬戶的期初余額為151 000元(借方)。
實驗三
1.實驗?zāi)康? 掌握科目匯總表的填制方法。2.實驗課時:2課時 3.實驗組織:
課內(nèi)、外的內(nèi)容安排:課內(nèi)——講解實驗基本要求,完成科目匯總表的填制實驗。
課外——在規(guī)定期限內(nèi)完成全部實驗。
實驗有關(guān)憑證的組織:本實驗所需的各種匯總憑證由實驗室另行配備。實驗室應(yīng)準備的憑證:科目匯總表(每人1張)。4.實驗要求:
(1)編制12月份的科目匯總表。5.實驗資料:
根據(jù)實驗一業(yè)務(wù)(1)~(55)所填制的記賬憑證。6.實驗用匯總表
實驗四
1.實驗?zāi)康? 練習并掌握利潤表的編制方法。2.實驗課時:2課時 3.實驗組織:
實驗有關(guān)憑證的組織:本實驗所需的利潤表由實驗室另行配備。實驗室應(yīng)準備的憑證:利潤表(每人1張)。本實驗在教師指導下,在課內(nèi)完成。4.實驗要求:
編制新華工廠2000年12月份的利潤表(只填制利潤表的“本月數(shù)”一欄)。5.實驗資料:實驗一、二、三的相關(guān)憑證及賬表資料。6.實驗用報表:(另發(fā))
莆田學院會計教研室
2009.8
點擊咨詢 