第一篇:網絡安全檢測協議
網絡安全測試授權委托書
授權方(甲方):
地址:電話:
被授權方(乙方):
地址:電話:
簽定此協議書即表明,乙方同意遵守此委托書的行為限制;甲方同意乙方對甲方所有權網站(含頁面、網站數據庫及內網)進行非惡意測試包括模擬入侵,模擬植入病毒、模擬盜取資料等等。此委托書是在平等自愿的基礎上,依據《中華人民共和國合同法》有關規定就項目的執行,經雙方友好協商后訂立。
一、關于測試
測試時間:測試費用:
測試地點:檢測單價:
測試人數:檢測總費用:
測試項目:實收費用
測試目的:
二、關于付款
付款方式:
付款時間:本合同簽定后甲方應支付全部評測費用至乙方。
或者驗收完成后甲方應支付全部評測費用至乙方。
三、雙方的權利與義務:
1、乙方在測試過程中對甲方的所提供的網絡結構、內部重要數據及資料進行保密,不得拷貝及留存甲方所有權網站(含頁面、網站數據庫及內網)內涉及商業秘密的數據。乙方測試所獲不涉及甲方商業秘密的數據由乙方所有。
2、甲方不得借測試之名,獲取乙方的非專利技術及商業秘密;或在測試過程中,用任何手段獲取乙方的非專利技術及商業秘密。
3、乙方的測試過程須在不影響甲方網站(含頁面、網站數據庫及內網)的正常運作的前提下進行。
4、測試結束后由甲方網絡負責人檢查網站(含頁面、網站數據庫及內網)恢復狀況驗收,由乙方向甲方提交測試報告正本一份,甲方簽收驗收測試報告后,完成驗收。驗收無誤后,乙方對甲方所有權網站不負任何責任。
5、驗收結束后乙方應在____日內將甲方網站(含頁面、網站數據庫及內網)恢復到測試之前的狀態。
6、甲方對提供給乙方的測試環境的真實性及合法性負責以及對提供的所有權的網絡應享有完全的產權。
7、甲方委托乙方對甲方所有權的網絡(含頁面、網站數據庫及內
網)進行網絡安全測試,在不違反本授權委托書的前提下,乙方不承
擔任何法律相關責任以及連帶責任。
8、如遇不可抗力導致測試無法如期進行、無法按時完成或終止的,乙方不承擔任何責任。
9、甲方對測試結果如有異議,于《測試報告》完成之日起____日內向乙方提出書面申請,同時附上《測試報告》原件及預付復檢費。甲方辦妥以上手續后,乙方將在收到預付復檢費___日內安排復檢,不可重復性試驗不進行復檢。
四、違約責任:
1、測試過程中由于乙方具體測試行為導致甲方資料數據丟失,由
乙方負責恢復數據;因此而造成的經濟損失,由乙方負責賠付。
2、測試過程中須有甲方網絡負責人在場,甲方須積極配合乙方測
試的進行。如因甲方原因導致測試無法如期進行、無法按時完
成或終止的,由甲方承擔相應的違約責任。
3、如因乙方原因,導致測試進度延遲,則甲方可酌情提出賠償要
求,雙方經協商一致后另行簽訂書面協議,作為本合同的補充。
五、爭議解決:
雙方因履行本合同所發生的一切爭議,應通過友好協商解決;如
協商解決不成,就提交成都市仲裁委員會進行仲裁。裁決對雙方當事人具有同等約束力。
六、其他:
本合同自雙方授權代表簽字蓋章之日起生效,自受托方的主要義
務履行完畢之日起終止。
本合同未盡事宜由雙方協商解決。
本合同的正本一式兩份,雙方各執一份,具有同等法律效力。
甲方簽章:乙方簽章:
法人代表:
年月
法人代表: 年月日日
第二篇:網絡安全檢測及預警措施
網絡安全檢測及預警措施
(一)校園網由學校網絡管理員統一規劃、建設并負責運行、管理及維護。包括設置路由器、防火墻以及與網絡安全相關的軟硬件。
(二)校園網絡的IP地址分配、子網規劃等由網絡管理員集中管理。連入校園網的用戶必須嚴格使用由網絡中心分配的IP地址,網絡中心管理員對入網計算機和使用者進行登記,由網絡管理中心負責對其進行監督和檢查,任何人不得更改IP及網絡設置;不得盜用他人的IP地址及賬號。
(三)用戶要切實做好防病毒措施,在每臺計算機上安裝防病毒軟件,及時向網絡管理員報告陌生、可疑郵件和計算機非正常運行等情況。
(四)學校網絡管理員負責全校網絡及信息的安全工作,建立網絡事故報告并定期匯報,及時解決突發事件和問題。
(五)在校園網上不允許進行任何干擾網絡用戶、破壞網絡服務和破壞網絡設備的活動,包括不允許在網絡上發布不真實的信息、散布計算機病毒、使用網絡進入未經授權使用的計算機和非法訪問網絡資源。
處罰辦法
(一)凡違反本管理規定,給以警告或其它處分,并進行斷網處理,由此所導致的一切后果由該使用者負責。情節嚴重,違反國家相關法律的,將移交司法機關處理。
(二)對盜用IP地址、用戶賬號和私自聯網造成損失的,以及對網絡及信息系統造成嚴重危害等行為,給予警告,直至取消其入網資格,并處以一定的經濟處罰。
(三)凡違反本辦法規定,給國家、學校或他人財產造成損失的應當依法承擔民事責任。
西劉莊中心小學 2017.9
第三篇:醫院網絡安全保密協議
醫院信息化建設 開發維護安全保密協議
甲方: 乙方:
為切實保障甲方的網絡和信息安全,根據《中華人民共和國保守國家秘密法》和有關法律、法規之規定,為確保乙方為甲方提供信息化建設相關的項目開發維護服務所涉及的國家秘密和單位工作秘密的安全,雙方同意簽定如下保密協議:
一、保密范圍:
1.乙方為甲方提供信息化建設服務,所涉及的有合同、協議約束或存在事實合作、服務關系的項目開發維護工程活動(以下簡稱服務工程)。
2.乙方為服務甲方的信息化建設而了解、掌握的甲方專屬局域信息網絡系統的拓撲結構、安全保密措施、各項參數等,以及甲方場地環境、硬件、軟件、電子信息、商業資料等所有資料內容(以下簡稱專有信息)。
二、保密責任
1.甲方應加強對乙方及其參與本服務工程的員工的安全保密監管,及時發現安全保密隱患和問題。乙方應配合甲方對乙方有關人員進行審查、教育培訓,及時調整不合適的人員。
2.乙方必須在簽定本保密協議后,才可使用甲方提供的有關專有信息,為甲方提供信息化建設相關項目的開發維護服務。
3.乙方同意嚴格控制使用甲方的專有信息,保證不向第三方泄露甲方提供的任何專有信息,并對該專有信息的提供管理良好的安全保密措施。
4.建設涉及數據庫、網絡、服務器等信息系統,乙方須制定甲方認可的安全保 密管理方案,并采用適當的安全保密技術和措施對信息系統進行集成,有效保障信息系統安全。
5.乙方不能將甲方的專有信息用于未經甲方書面許可的其它任何目的。除乙方直接參與本服務工程的職員之外,不將專有信息透露給其它任何人。乙方及其參與本服務工程的員工嚴禁在系統建設中私設“后門”,非法訪問系統。乙方應當告知并采取有效措施要求其參與本服務工程的員工遵守本協議規定。
6.乙方發現保密范圍內的有關事項已經泄露或可能泄露時應當及時報告甲方,并無條件立即采取相應補救措施。
7.當甲方以書面形式要求乙方交回專有信息時,乙方應當立即交回所有書面的或其他形式的專有信息以及所有描述和概括該專有信息的文件資料,不能以任何形式保留或擅自處理。
8.乙方承諾在甲方沒有需求的情況下,乙方不得擅自修改portal頁以及SSID。
三、違約責任
1.乙方及其參與本服務工程的員工違反本協議規定,造成信息泄密、丟失、破壞等事件,乙方應承擔有關法律責任,并賠償相應經濟損失。
四、保密期限
1.自本協議生效之日起,雙方的合作交流都要符合本協議的條款。除非甲方通過書面通知明確說明對本協議所涉及的某項專有信息予以解密或同意共享,乙方必須按照本協議所承擔的保密義務對在本服務工程中掌握的專有信息進行保密,保密期限不受本協議有效期限的限制。
五、附則
1.本協議雙方簽字蓋章后生效。有效期為5年。本協議一式三份,甲乙雙方各執一份,甲方保密組織一份。
甲方代表簽字:乙方代表簽字:
單位蓋章單位蓋章 日期:日期:
第四篇:計算機網絡安全維護協議
計 算 機 網 絡 安 全 維 護 協 議
甲方:______________________________
乙方:陜西領信未來信息科技有限公司__________
根據供應雙方合作意向,乙方向甲方提供電腦及網絡安全工程師,處理甲方計算機及網絡系統運行的問題。
一、甲方的權利和義務
1.甲方有義務在乙方維護服務、緊急救援結束后驗收并由負責人在《救援服務報告單》上簽字確定。
2.在乙方實施服務過程中,甲方應積極協助乙方工作,避免服務中斷。
3.為保證問題在救援過程中能夠快速、及時、準確,在乙方工程師出發前往現場前,甲方有義務準確描述現場情況,并回答乙方工程師所提問題。出現緊急情況甲方應及時報警。甲方可隨時撥打報警電話:
029-88420815;87804679投訴:83713531
二、乙方的權利和義務
1.在此協議生效后,乙方應保證甲方所投保服務的_12_臺電腦的正常運行。同時每月上門一次的電腦清理、防病毒系統升級,全年提供最少12小時的免費培訓,協助電腦附屬設備的連接與運行。并在甲方電腦出現故障并報警后,在國家規定的工作時間內,不超過4小時立即上門,維修的標準達到正常使用。
2.在服務過程中,乙方不以任何形式和方式向甲方提供任何承諾(包含不提供任何暗示性的承諾)來保證甲方數據修復或數據不丟失;
3.提供24小時電話咨詢,提供上門服務的次數為不超過2次/月,以緊急救援結束后乙方簽字確認為準。
三、服務內容
1、硬件服務:
(1)乙方保證甲方所投年保的電腦主機(主板、硬盤、光驅、板卡等)、顯示器,外設(打印機、掃描儀)、網絡設備的維護、維修,保證硬件設備正常運轉。
注:如發現硬件損壞,乙方負責硬件維修,對無法維修的硬件,由乙方提出配件的規格、型號和報價,可以由甲方自行采購,也可以由乙方代為您采購(以不高于市場價格為準)。
2、軟件服務
乙方保證甲方電腦操作系統和驅動程序的安裝、升級與維護,電腦病毒的防護、查殺。保證用戶操作系統正常運轉。對甲方使用的應用軟件,我公司與“TREND MICRO”和“PANDA”、“藍銳”有近多羅安全軟件庫存,可6-8折向甲方提供,同時,有義務全力以赴協助甲方使用好各種應用軟件。
四、協議付費
1、在此協議簽定的三個工作日內,甲方向乙方一次性支付一年全部服務費。
2、總費用為:按 12臺電腦計算的全年服務價格為壹仟捌佰捌拾元正(¥1880.00)元。
3、服務費按年一次性收費。
五、保密條款
甲方允許乙方使用該硬盤(設備)中的任何信息僅用于維護和救助工作,除非甲方準許,并且出示書面證明,否則乙方不得將甲方的任何信息以文件或其他任何方式帶走。對于甲方的信息乙方保證該信息的保密性。
六、責任條款
1、在任何情況下,乙方不承擔由此協議引發的其他責任,包括數據丟失、商業損失、民事侵權或其他永久性損失,以及由此協議引起的偶發性、后繼性和間接性損失;
2、不可預計的情況,像由于政策原因或自然災害如洪水、火災、罷工等原因雙方再協商而定本協議條款的具體內容。
3、在進行任何服務出發前,乙方應以電話的方式通知甲方,雙方約定好乙方工程師到達甲方所在地的時間,乙方在約定的時間內到達甲方現場,如甲方無人接待乙方工程師,所造成的任何損失乙方不承擔相關責任。為此,甲方應追加乙方本次服務費100元(RMB)。七,特別約定
乙方對甲方進行任何服務過程中,甲方不應以任何方式限制或干涉乙方對計算機的維修方法。
八、爭端條款
甲、乙雙方有義務完成此協議所規定的各項內容,如果發生爭議,雙方應本著平等、互諒的精神友好協商解決。如果協商不成,雙方同意通過法律途徑解決,雙方一致同意西安為法律仲裁地。
九、協議生效
此合同一式兩份,甲乙雙方各執一份,自雙方簽字之日起生效,有效期一年。
甲方法人或授權人(簽字):
(蓋章)
日期:月日
(蓋章)日期:日乙方法人或授權人(簽字):
第五篇:網絡安全協議實驗指導書
實驗1網絡安全協議
一、實驗目的:了解ISO/OSI七層參考模型各層有哪些網絡安全協議;掌握各層安全協議的具體應用環境。二、實驗軟件:Windows XP 操作系統 三、實驗步驟:
上Ineternet,利用各種搜索引擎搜索相關資料,并完成提交電子實驗報告。
實驗2 IPSec實驗
一、實驗目的:
掌握windows下IPSec的傳輸模式的配置,理解主機到主機的IPSec VPN的工作原理
二、實驗軟件:
Windows XP 操作系統2臺。分別為主機xp1和主機xp2
三、實驗步驟:
1.xp1和xp2均能互相ping通(關閉防火墻)。、2.在xp1下點擊開始--->運行,輸入“gpedit.msc”,運行組策略。
3.依次展開左側的“本地計算機”策略—->“計算機配置”—->“windows設置”—->“安全設置”—->“IP安全策略”,點擊右鍵,選擇“創建IP安全策略”。
4.在“IP安全策略向導”中選擇下一步,對其命名“IPSEC 加密”,選擇下一步,在“默認相應規則驗證方式”中選擇第三個“此字符串用來保護密鑰交換”,輸入自己設定的密碼。選擇下一步,選擇完成。
5.在“IPSec加密屬性”中添加IP安全規則
6.“隧道終結點”選擇“此規則不指定隧道”,點擊下一步。7.“網絡類型”選擇“所有網絡連接”,點擊下一步 8.“身份驗證方法”同步驟4,點擊下一步。
9.“IP篩選器列表”選擇“所有IP通信量”,點擊下一步。10.“篩選器操作”選擇添加,點擊下一步。
11,“篩選器操作名稱”輸入“必須加密”,點擊下一步。12,“篩選器操作常規選項”選擇“協商安全”,點擊下一步。13.選擇“不和不支持Ipsec的計算機通信”,點擊下一步。
14.“IP通信安全設施”選擇“加密并保持完整性”,點擊下一步,完成。15.在“篩選器操作中”選擇“必須加密”,點擊下一步。
點擊下一步,完成。點擊確定,并關閉對話框。
右鍵點擊剛添加的IP安全策略,選擇“指派”,使規則生效。測試此時xp1不能與xp2互相ping通。提示為“Negotiating IP Security”。Xp1的加密完成。
在xp2上重復進行上述操作,添加一條與xp1中一模一樣的規則。測試此時xp1能夠與xp2互相ping通。注意:xp1和xp2中規則必須一模一樣,否則無法ping通。此時xp1和xp2的所有數據均加密通信。用ping命令測試兩者之間的連接。如下圖:顯示出兩臺機子正在進行SA協商。
從協商到通信,這個之間的認證比較復雜,暫時還沒有深入研究
20.在開始->運行中輸入命令ipsecmon,彈出IPSec的安全監視器界面,顯示相關的安全屬性。
實驗3 SSL/TLS基本協議
一、實驗目的:
通過實驗深入理解 SSL 的工作原理,熟練掌握 Windows 2000 Server 環境下SSL 連接的配置和使用方法。
二、實驗軟件:
Windows XP 操作系統1臺。Windows 2000 Server 操作系統機 1臺。
三、實驗步驟:
為 Web 服務器申請證書
1)單擊“開始”,選擇“程序”→“管理工具”→“Internet 服務管理器”,如圖 1。在彈出的如圖 2 所示的窗口左側菜單中右鍵單擊“默認 Web 站點”,選擇“屬性”。
圖 圖 2
2)在如圖 3 所示的窗口中選擇“目錄安全性”菜單,單擊“安全通信”中的“服務器證書”
圖 3
圖 4 3)在出現的歡迎使用 Web 服務器證書向導中,單擊“下一步”按鈕,在圖 4中,選中“創建一個新證書”,單擊“下一步”按鈕。
4)在彈出的如圖 5 所示的窗口中輸入證書的名稱,單擊“下一步”按鈕。
圖 5
5)根據圖 6 窗口的提示輸入如圖 6 所示的組織信息,單擊“下一步”按鈕。
圖 6
6)在圖 7 中輸入站點的公用名稱,單擊“下一步”按鈕。
圖 7 7)圖8中接著輸入站點的地理信息,單擊“下一步”按鈕。
圖 8
8)接著輸入證書請求文件的文件名和存放路徑,單擊“下一步”按鈕。在這個證書請求文件中的存放著剛才輸入的用戶信息和系統生成的公鑰,如圖 9 所示。
圖 9
9)在圖 10 中出現的確認信息窗口,單擊“下一步”,接著單擊“完成”按鈕,完成服務器證書申請。
圖 10
提交 Web 服務器證書
1)在服務器所在的計算機上打開 IE 瀏覽器,在地址欄中輸入 http://根 CA的 IP/certsrv,其中的 IP 指的是建立根 CA 的服務器 IP 地址。在出現的頁面中選中“申請證書”,并單擊“下一步”按鈕。
2)在彈出的如圖 11 所示的頁面中選中“高級申請”,并單擊“下一步”,按鈕。高級申請可以由用戶導入請求證書文件。
圖 11 3)在彈出的頁面中選中“Base64 編碼方式”,并單擊“下一步”按鈕,如圖12 所示。
圖 12 4)單擊“瀏覽”,找到證書請求文件,并把它插入在圖 13 頁面中的“證書申請”框內,單擊“提交”按鈕。這就將我們上面剛剛完成的這個證書請求文件(即含有個人信息和公鑰的文件)提交。
圖 13
5)將會彈出如圖 14 所示的頁面,表示提交成功。服務器證書的頒發和安裝 實現步驟同實驗 14.1。
客戶端證書的申請,頒發和安裝
在另一臺計算機上重復實驗 14.1 中的相關步驟,完成客戶端證書的申請,頒發和安裝。
未配置 SSL 的普通 Web 連接的安全性
1)在配置 SSL 設置前,在網絡中另外一臺計算機中打開網絡監測工具Sniffer,監測 Web 服務器的網絡流量。2)在客戶端訪問服務器的證書申請網頁 http://根 CA 的 IP/certsrv,第 3方計算機的 Sniffer 工具監測到了,數據包(Sniffer 的使用參考其他實驗)。
可以看出,在 SSL 配置之前,Web 訪問信息是明文傳輸的,第 3 方可以利用相關的工具竊取信息,在截獲的 POST 類型的數據包中可以獲得連接的地址等相關信息。
在服務器上配置 SSL 1)單擊“開始”按鈕,選擇“程序”→“管理工具”→“Internet 服務管理器”。在彈出的窗口左側菜單中右鍵單擊“默認 Web 站點”,選擇“屬性”。
2)在彈出的窗口中選擇“目錄安全性”菜單項,選擇面板上的“安全通信”中“查看證書”項,查看第 2 步中的安裝的證書,如圖 14 所示。
圖 143)單擊“確定”按鈕后返回到“目錄安全性”面板,選擇“安全通信”中的“編輯”項,在彈出的如圖 15 所示的窗口中選擇“申請安全通道(SSL)”,并在“客戶證書”欄中選擇“接受客戶證書”,單擊“確定”按鈕。
注意:“忽略客戶證書”表示服務器不要求驗證客戶端的身份,客戶端不需要證書,但客戶端可以驗證服務器的身份:“接收客戶證書”則表示雙方均可以驗證對方的身份。
圖 15 4)返回到“目錄安全性”面板,單擊“應用”按鈕及“確定”按鈕,完成配置。
客戶端通過 SSL 與服務器建立連接
1)在網絡中第 3 方的計算機上打開網絡監視工具 Sniffer,監測的服務器的數據包。
2)在客戶端計算機上打開 IE 瀏覽器,若仍在地址欄里輸入 http://根 CA的 IP/certsrv,則顯示如圖 16 所示的界面,要求采用 HTTPS(安全的 HTTP)協議連接服務器端。
圖 16 3)輸入 https://根 CA 的 IP/certsrv,頁面中彈出如圖 17 所示的提示窗口。
圖 17
4)單擊“確定”按鈕,探出如圖 18 所示的證書選擇窗口。
圖 18
在窗口中選擇步驟 2)中申請的證書 Web Cert,單擊“確定”按鈕。5)之后將正確的彈出正常的證書申請頁面,完成基于 SSL 的連接。
6)查看第 3 方計算機上 Sniffer 的監測結果,其中并未出現 POST 類型的有效信息包,截獲的信息均為無效的亂碼。這說明 SSL 很好的實現了 Web連接的安全性。
實驗4 應用OPENSSH和PUTTY進行安全SSH連接
一、實驗目的:
掌握windows下IPSec的傳輸模式的配置,理解主機到主機的IPSec VPN的工作原理
二、實驗軟件:
Windows XP 操作系統2臺。分別為主機xp1和主機xp2
三、實驗步驟:遠程連接工具putty
隨著linux在服務器端應用的普及,linux系統越來越依賴于遠程管理,而Putty為常用的遠程管理工具。用途:查看服務器端文件、查看進程、關閉進程等
配置:雙擊putty后,出現下圖界面。按圖提示步驟進行輸入:(1)輸入服務器的 IP 或主機名,(2)選擇好登錄協議,通常選SSH。(3)選擇協議的端口,選擇22。(4)如果希望把這次的輸入保存起來,以后就不需要再重新輸入了,就在第4步輸入好會話保存的名稱,比如:mail-server,或者干脆就是主機的地址,點擊保存就可以了。最后點下面的 Open 按鈕,輸入正確的用戶名和口令,就可以登錄服務器了。
用法:
(1)保存了會話后,直接點擊中下方的text框內的快捷方式即可進入登錄界面。(2)進入界面后,按提示輸入用戶名和密碼,比如之前我們進的是192.168.2.96。其對應的用戶名和密碼是:oracle,oracle123(3)成功登錄之后即可對服務器端進行操作。可以查看文件,開啟關閉服務等等。下面截圖ls顯示了當前服務器端的文件列表。紅色框選部分是啟動汽車板塊服務的快捷鍵。輸入start_auto.sh即可啟動汽車板塊的進程。
個案應用:
主題:關于SSH(或putty)里查看進程的問題 起因:192.168.2.96 前后臺打不開
分析:payment服務打不開,首先pj | grep payment 查看payment進程存在與否,因為服務蕩掉有兩種情況,一種是對應的進程直接蕩掉不存在,一種是進程仍在,但服務不能正常運行。第一種直接啟動,第二種先kill-9 加對應進程號先將進程kill掉,再重新開啟。個案應用:
查有時用putty界面會出現中文字符亂碼問題,解決方案如下: 選擇配置窗口左邊的Translation,在右邊的 Received data assumed to be in which character set 下拉列表中選擇“UTF-8”
1.遠程連接工具ssh
Ssh和putty用法類似,只是界面稍微有些差異。用法:
(1)如果第一次連接服務器,則點擊“quick connect”
輸入服務器地址,出現如圖下所示界面,點擊“yes”然后輸入密碼即可登錄。
(2)如果需要創建快捷方式,在輸入密碼登錄成功以后,可以點擊“profiles”,然后選擇“add profiles”。輸入一個保存的名字即可,下次登錄時點擊profile然后選擇保存的名字即
可登錄。(3)登錄進入后使用同putty。
實驗5 Kerberos
一、實驗目的:
在這個實驗中,將創建一個Kerberos服務。在完成這一實驗后,將能夠:(1)在服務器端安裝 “Kerberos服務”。(2)配置”Kerberos服務”。
(3)利用”Kerberos服務”進行認證,獲取票據。
二、實驗軟件:
服務器運行Windows 2000 Server,并創建活動目錄。
三、實驗步驟:
步驟:在Windows 2000 Server上建立Kerberos認證服務器,客戶端能從Kerberos認證服務器獲取票據登錄服務器。活動目錄的安裝:
Windows 2000活動目錄和其安全性服務(Kerberos)緊密結合,共同完成任務和協同管理。活動目錄存儲了域安全策略的信息,如域用戶口令的限制策略和系統訪問權限等,實施了基于對象的安全模型和訪問控制機制。活動目錄中的每一個對象都有一個獨有的安全性描述,定義了瀏覽或更新對象屬性所需要的訪問權限。因此,在使用Windows 2000提供的安全服務前,首先應該在服務器上安裝活動目錄。操作步驟:
(1)在Windows 2000"控制面板"里,打開"管理工具"窗口,然后雙擊"配置服務器",啟動"Windows 2000配置您的服務器"對話框,如圖A7—1所示。
(2)在左邊的選項列表中,單擊"Active Directory"超級鏈接,并拖動右邊的滾動條到底部,單擊"啟動"超級鏈接,打開"Active Directory安裝向導"對話框,出現"歡迎使用Active Directory安裝向導",按向導提示,單擊"下一步"按鈕,出現"域控制器類型"對話框。
(3)單擊"新域的域控制器"單選按鈕,使服務器成為新域的第一個域控制器。單擊"下一步"按鈕,出現"創建目錄樹或子域"對話框。
(4)如果用戶不想讓新域成為現有域的子域,單擊"創建一個新的域目錄樹"單選按鈕。單擊"下一步"按鈕,出現"創建或加入目錄林"對話框。
(5)如果用戶所創建的域為單位的第一個域,或者希望所創建的新域獨立于現有的目錄林,單擊"創建新的域或目錄樹"單選按鈕。單擊"下一步"按鈕,出現"新的域名"對話框。
(6)在"新域的DNS全名"文本框中,輸入新建域的DNS全名,例如:book.com。單擊"下一步"按鈕,出現”Net BIOS域名"對話框。
(7)在”域Net BIOS名”文本框中,輸入Net BIOS域名,或者接受顯示的名稱,單擊"下一步"按鈕,出現"數據庫和日志文件位置"對話框。
(8)在”數據庫位置”文本框中,輸入保存數據庫的位置,或者單擊”瀏覽”按鈕選擇路徑;在”日志位置”文本框中,輸入保存日志的位置或單擊”瀏覽”按鈕選擇路徑; 如圖A7—2所示。單擊"下一步"按鈕,出現"共享的系統卷"對話框。
(9)在”文件夾位置”文本框中輸入Sysvol文件夾的位置,在Windows 2000中Sysvol文件夾存放域的公用文件的服務器副本,它的內容將被復制到域中的所有域控制器上。或單擊”瀏覽”按鈕選擇路徑,如圖A7—3所示。單擊"下一步"按鈕,出現"權限"對話框。
(10)設置用戶和組對象的默認權限,選擇”與Windows 2000服務器之前的版本相兼容的權限”。單擊"下一步"按鈕,出現"目錄服務器恢復模式的管理員密碼"對話框。
(11)在”密碼”文本框中輸入目錄服務恢復模式的管理員密碼,在”確認密碼”文本框中重復輸入密碼。單擊"下一步"按鈕,出現"摘要"對話框。
(12)可以看到前幾步的設置,如果發現錯誤,可以單擊"上一步"按鈕重新設置。
(13)單擊"下一步"按鈕,系統開始配置活動目錄,同時打開”正在配置Active Directory”對話框,顯示配置過程,經過幾分鐘之后配置完成。出現”完成Active Directory安裝向導”對話框,單擊"完成"按鈕,即完成活動目錄的安裝,重新啟動計算機,活動目錄即會生效。
安全策略的設置:
安全策略的目標是制定在環境中配置和管理安全的步驟。Windows 2000組策略有助于在Active Directory域中為所有工作站和服務器實現安全策略中的技術建議。可以將組策略和OU(單位組織)結構結合使用,為特定服務器角色定義其特定的安全設置。如果使用組策略來實現安全設置,則可以確保對某一策略進行的任何更改都將應用到使用該策略的所有服務器,并且新的服務器將自動獲取新的設置。操作步驟:(1)在” Active Directory用戶和計算機”窗口,右擊域名”book.com ”,如圖A7-4所示。在彈出的菜單中選擇”屬性”命令,出現”book.com屬性”對話框, 如圖A7-5所示。
(2)選擇”組策略”標簽頁(見圖A7-6),系統提供了一系列工具。可以利用這些工具完成”組策略”的建立、添加、編輯、刪除等操作。
(3)雙擊”Default Domain Policy”,出現” 組策略”對話框。在”組策略”窗口左側”樹”中,選擇”Windows設置”并展開,在”安全設置”中打開”Kerberos策略”(見圖A7-7),進行安全策略的設置;一般情況下,選擇默認設置就能達到系統安全的要求。
Windows 2000 Professional 版客戶端Professional 版客戶端設置:
Windows 2000 Professional 版客戶端設置配置成使用Kerberos域,在這個域里使用單獨的登錄標記和基于Windows 2000 Professional 的本地客戶端賬號。操作步驟:(1)安裝 Kerberos配置實用程序,在Windows 2000 安裝光盤的supportreskitnetmgmtsecurity文件夾 中找到setup.exe 注意:啟動Windows 2000時,必須以管理員組的成員身份登錄才能安裝這些工具。Windows 2000光盤中,打開SupportTools文件夾,雙擊Setup.exe圖標,然后按照屏幕上出現的說明進行操作。
通過以上步驟,用戶在本機上安裝了Windows 2000 SupportTools,它可以幫助管理網絡并解決疑難問題。在用戶系統盤的Program FileSupport Tools文件夾中可以看到許多實用工具,其中與Kerberos配置有關的程序為ksetup.exe和kpasswd.exe。用于配置Kerberos域,KDC和Kpasswd服務器,Ktpass.exe用于配置用戶口令、賬號名映射并對使用Windows 2000 Kerberos KDC的Kerberos服務產生Keytab,如圖A7--8所示。
(2)設置Kerberos域。因為Kerberos域不是一個Windows 2000域,所以客戶端必須配置成為工作組中的一個成員。當設置Kerberos時,客戶機會自動成為工作組的一個成員。
/setdomain參數的值BOOK.COM是指與本地計算機在同一域中的域控制器的DNS。如用戶的域控制器的DNS名為www.tmdps.cnputerpassword的參數用于指定本地計算機的密碼,如圖A7-11所示。(5)重新啟動計算機使改變生效。這是一個必須的步驟,無論何時對外部KDC和域配置做了改變,都需要重新啟動計算機。(6)使用Ksetup來配置單個注冊到本地工作站的賬戶。/mapuser的第一個參數用于指定Kerberos的主體,第二個參數用于指定本機的用戶賬戶(見圖A7-12)。定義賬戶映射可以將一個 Kerberos域中的主體映射到一個本地賬號身份上,將本地賬號映射到Kerberos。
實驗6 SHTTP
一、實驗目的:
掌握windows下HTTPS應用的配置過程,理解主機到服務器的安全訪問工作原理
二、實驗軟件:
Windows XP 操作系統1臺。Windows 2000 Server 操作系統機 1臺。
三、實驗步驟: 1.準備 web 網站
下面以管理員的身份登錄到 web 服務器上創建名為:wanjiafu 的網站:然后停止:并設置默認網站為啟動 在 C 盤下創建文件夾 web 用于存放網頁文件 名為:index.htm 2.為 web 網站創建證書申請文件 右鍵網站 wanjiafu 打開屬性頁
點擊服務器證書出現:歡迎使用 web 服務器證書向導:對話框:在服務器和客戶端之間建立安全的 web 通道: 單擊【下一步】按鈕:出現服務器證書對話框:可以新建、分配、導入、復制及移動證書:在此選擇:新建證書:
【下一步】
【下一步】鍵入證書的名稱
【下一步】鍵入單位部門信息
【下一步】鍵入 公用名
【下一步】鍵入 國家 省份 市縣 信息
【下一步】鍵入 存放 地點
【下一步】查看全部配置
【下一步】完成!
打開 C 盤 看見文件 certreq.txt 打開如下圖:
3.為 web 網站申請證書
以域管理員的身份登錄到 web 服務器上
打開 IE 瀏覽器:輸入:http://192.168.0.111/certsrv 單擊 【申請一個證書】
單擊紅線選擇區域
下面添加的內容為 C 盤下的 certsrv 文件
點擊 【提交】見下圖表示已經成功發送了申請 Id 為 2
4.在 CA 服務器上頒發證書
以域管理員的身份登錄到 CA 服務器:打開:【證書頒發機構】【控制臺】
展開服務器:單擊【掛起的申請】可以看到 web 服務器申請的證書現在處于掛起狀態
右擊 【所有任務】【頒發】
打開【頒發的證書】查看已經頒發了
5.下載證書
以域管理員的身份登錄到 web 服務器:
在 IE 瀏覽器中鍵入:http://192.168.0.111/certsrv 打開【證書申請】歡迎界面
單擊保存的證書
單擊 【DER 編碼】【下載證書】
下載后如下圖
6.為 web 網站安裝證書
打開后創建的 wanjiafu 網站
選擇:處理掛起的請求并安裝證書
下面是證書的路徑:剛才我把保存在桌面了
SSL 端口為默認 443
下面為證書的內容
【下一步】完成 點擊【查看證書】
7.為 web 站點設置安全通信 點擊【編輯】
勾選 要求安全通道(SSL)和 忽略客戶端證書
下面在登錄客戶端驗證之前:需要將默認網站停止:把 wanjiafu 啟動
下面以域管理員的身份登錄到 web 客戶端上:
在 IE 瀏覽器中輸入:http://192.168.0.111 訪問 web 網站 發現這里已經不能用 HTTP 協議訪問網站了
下面我們在 IE 瀏覽器中輸入:https://192.168.0.111 來訪問 web 網站 出現安全警報信息:這表示 web 客戶端沒有安裝證書
打開如下圖:
成功訪問!到這里你們終于知道我的名字了!
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 任務二:web 網站證書導出、導入和刪除
為保存 web 網站證書可以將其導出:當誤刪除證書以后也可以將其導入:具體步驟如下: 1.導出 web 網站證書
打開 wanjiafu 屬性 —— 服務器證書 —— 服務器證書向導 ——
【下一步】默認保存路徑
【下一步】鍵入【證書密碼】此密碼將在【導入證書】時使用
【下一步】保存打開 C 盤查看文件
2.刪除 web 網站證書
步驟同上:打開 IIS 證書向導:選擇 【刪除當前證書】
此時 【查看證書(V)】按鈕已經變灰
3.導入 web 網站證書
步驟同上:打開 IIS 證書向導:選擇 【 從.pfx 文件導入證書 】
【下一步】選擇 路徑(默認系統自動搜索)輸入【密碼】
網站端口
保存退出:此時查看如下圖所見:
導入成功!
實驗7-8 應用UDP或TCP控件編寫簡單的網絡協議
一、實驗目的:
通過編程熟悉協議的設計制作流程,理解協議發送接收報文的具體流程。
二、實驗要求:
使用JAVA/C++/C#語言編寫一個能簡單通信的網絡協議
點擊咨詢 