第一篇：實訓2系統安全和網絡安全配置

實訓2網絡安全配置

一、實訓目的1.掌握在WindowsServer2003/2008操作系統下保障本地安全性的方法，如做好本地安全策略配置，掌握賬戶策略、審核策略、用戶權限分配、安全選項、軟件限制策略等。能夠配置本地組策略管理用戶和計算機。

2.配置高級安全性的Windows防火墻。

3.掌握IPSec實現網絡安全。

二、實訓環境

1.運行Windows 2003/2008 Server操作系統的PC機一臺。

2.每臺PC機與局域網相連。

三、實訓任務

任務1：Windows Server 2008本地安全策略配置和本地組策略配置；

任務2：配置高級安全性windows防火墻；

任務3：應用IPSec實現網絡安全。

四、實訓步驟

（一）任務1 配置本地安全策略

1、設置用戶帳戶密碼

啟用密碼復雜性要求，設置密碼長度最小值為2，密碼最短使用期限設置為1天，最長使用期限設置為20天。

使用命令創建一個新用戶，用戶名為自己的名字的拼音字母，并設置密碼，截圖保存。

2、帳戶鎖定

1）設置用戶登錄時候，輸入密碼錯誤三次，該用戶就被鎖定，鎖定后，只有管理員用戶登錄后才能對被鎖定的用戶解鎖。

2）將一個用戶的測試結果截圖保存。

3、審核登錄事件和審核對象事件

設置審核登錄事件為失敗，切換用戶，用某個用戶輸入錯誤密碼一次，然后用管理員用戶登錄系統，查看安全日志，查找登錄事件日志中用戶登錄失敗的信息，并截圖保存。

設置審核對象事件為失敗，在系統中設置某個用戶對文件夾test拒絕讀取和執行、讀取、列出文件夾權限。使用該用戶登錄系統來訪問test文件夾，觀察情況并截圖保存。

4、用戶權限設置

設置hong用戶不允許登錄本地系統，切換用戶，觀察登錄界面上是否出現了hong用戶。設置wang用戶可以關閉系統。

將以上操作截圖保存。

5、安全選項

1）將管理員用戶administrator用戶名改為admin，觀察登錄界面顯示的用戶名情況。

2）將登錄界面上的所有顯示的用戶都隱藏不顯示。

將1）2）操作截圖保存。

6、使用軟件限制策略

限制計算機中的Windows應用程序畫圖的執行，限制用戶對e:test2文件夾中程序的執行。將執行結果截圖保存。

7、導出安全策略，保存在E:test文件夾中。

8、關閉自動播放

在本地組策略中關閉自動播放，截圖保存。

9、禁止用戶運行特定程序

在本地組策略中禁止用戶運行windows應用程序計算器。截圖保存。

10、跟蹤用戶登錄情況

在用戶登錄時候顯示上次用戶登錄的信息。截圖保存。

（二）任務2 配置高級安全windows防火墻

1、創建自定義端口的入站規則

將遠程桌面的默認端口更改為TCP的4000端口，需要自定義入站規則，支持遠程桌面客戶端使用TCP的4000端口連接該服務器。

創建4000端口的自定義入站規則，請截圖實現。

單擊“開始”—“設置”---“控制面板”---“系統”—“遠程設置”---“遠程”---“允許運行任意版本遠程桌面的計算機連接（較不安全）”---確定。

客戶端計算機運行“mstsc”,進入遠程桌面連接，輸入Windows server 2008服務器的IP：4000，遠程訪問服務器。截圖保存。

2、創建自定義基于端口的出站規則

創建出站規則，使windows server 2008服務器不能夠訪問FTP站點上資源。

測試，訪問FTP站點上的資源，觀察情況。截圖保存。

3、創建基于應用程序的出站規則

禁用QQ網絡登錄。

（三）使用IPSec實現網絡安全

使用IPSec設置windows server 2008服務器網絡安全，要求如下：

（1）要求只允許源地址是192.168.50.0/24的計算機能夠訪問windows server 2008服務器的共享資源，設置IPSec允許192.168.50.0/24網段的計算機使用TCP協議目標端口445和135的數據包進入服務器；

（2）允許王老師計算機（ip地址為：192.168.50.253）通過TCP的3389端口，遠程連接到服務器實現遠程管理。

（3）其它的網絡流量都拒絕出入windows server 2008服務器。

請完成IPSec的配置，描述配置過程。

測試：

客戶端，設置IP地址不在該網段（192.168.50.0/24）的客戶端計算機，訪問服務器共享資源觀察運行情況，設置IP地址在該網段（192.168.50.0/24）的客戶端計算機，訪問服務器共享資源觀察運行情況。

客戶端模擬王老師計算機，設置IP為192.168.50.223，遠程連接服務器，觀察運行情況。將測試結果截圖保存。

第二篇：網絡安全實訓心得體會

隨著互聯網的飛速發展，網絡已經深入到我們生活的各個方面。但是在使用網絡的過程中也要注意網絡安全。下面小編大家帶來網絡安全實訓心得體會，歡迎閱讀！

網絡安全實訓心得體會

（一）在21世紀，網絡已經成為人們日常生活的一部分，很多人甚至已經離不開網絡。有了網絡，人們足不出戶便可衣食無憂。前些天剛從電視上看到關于年底網購火爆，快遞公司也在“春運”的新聞。以前人們找東西得找人幫忙，現在人們找東西找網幫忙。記得有一次鑰匙不知道放到了什么地方，就百度了一下“鑰匙丟在那里了”，結果按照網友們提示的方案還真給找到了。

網絡爆炸性地發展，網絡環境也日益復雜和開放，同時各種各樣的安全漏洞也暴露出來，惡意威脅和攻擊日益增多，安全事件與日俱增，也讓接觸互聯網絡的每一個人都不同程度地受到了威脅。在此，我就實訓中碰到看到的各種網絡安全問題談談自己的體會：

1.有網絡安全的意識很重要

談到網絡安全，讓我們無奈的是很多人認為這是計算機網絡專業人員的事情。其實，每個人都應該有網絡安全的意識，這點對于涉密單位人員來說尤其重要。前段時間看了電視劇《密戰》，其中揭露的泄密方式多數都是相關人員安全意識薄弱造成：單位要求機密的工作必須在辦公室完成，就是有人私自帶回家加班造成泄密;重要部門要求外人不得入內，偏有人把閑雜人員帶入造成泄密;專網電腦不允許接互聯網，有人

接外網打游戲造成泄密;甚至涉密人員交友不慎，與間諜談戀愛造成泄密。雖然這只是電視劇，但對機密單位也是一種警示。看這部電視劇的時候我就在想，這應該作為安全部門的安全教育片。

不單單是涉密單位，對于個人來說，網絡安全意識也特別重要。網上層出不窮的攝像頭泄密事件、這“門”那“門”的都是由于個人安全意識淡薄所致。正如老師所說的“看到的不一定是真的!”。

我自己的電腦上有一些自己平時做的軟件、系統，雖說沒什么重要的，但那也是自己辛苦整出來的呀，所以使用電腦一直很小心，生怕有什么木馬、病毒之類的，“360流量監控”的小條一直在我的“桌面”右下角，只要有上傳流量肯定得去看看是什么進程在上傳。

平時為別人維護系統經常會碰到殺毒軟件很久不升級的情況，主人還振振有詞的說自己裝了殺毒軟件的。在他們看來殺毒軟件有了就成，剩下的就不用管了，我很多時候這樣對他們說：“你養條狗還得天天喂它吃呢!”

2.設備安全—很多技術是我們想不到的網絡設備是網絡運行的硬件基礎，設備安全是網絡完全必不可少的一個環節。

以前聽說過電泄密，一直沒見過，最近單位有同事拿來了兩個“電力貓”(電力線以太網信號傳輸適配器)，一個接網線插到電源上，另一個在30米內接電源通過接口接網線鏈接到電腦便可上網。這讓我想到，只要有人將涉密的網絡線路接到電源線路便可輕易泄密，當然這塊國家安全部門肯定有相關的防范措施。

在搜索引擎里搜索諸如：intitle:“Live View/-AXIS 206W”等，可以搜到網絡攝像頭，在電視劇《密戰》中，某涉密部門的監控系統被接入了互聯網，間諜就利用監控系統竊取工作人員的屏幕信息和按鍵信息。在某政府機要室的復印機上安裝基于移動網絡的發射器，便可再用另外一臺接收機上受到所有掃描的機要文件。

1985年，在法國召開的一次國際計算機安全會議上，年輕的荷蘭人范〃艾克當著各國代表的面，公開了他竊取微機信息的技術。他用價值僅幾百美元的器件對普通電視機進行改造，然后安裝在汽車里，這樣就從樓下的街道上，接收到了放臵在8層樓上的計算機電磁波的信息，并顯示出計算機屏幕上顯示的圖像。

他的演示給與會的各國代表以巨大的震動。本人最早知道電磁泄密是在2004年為部隊某部門開發軟件的時候聽說的，在部隊很多地方時安裝了的就是為了防止電磁泄密。

硬盤數據不是刪掉就不存在了，用諸如EasyRecovery等恢復軟件都可以恢復?？磥恚挥袑⑸婷苡脖P用煉鋼爐化掉才能保證完全安全。

3.小心木馬

最早知道木馬，是自己大學期間。當時在網上看到了一款叫“大眼睛”的屏幕發送軟件，很好奇就試著用了。大學的機房里的計算機只裝常用軟件，其他諸如QQ等軟件都是在服務器上存放，用的時候自己安裝，學生機有保護卡重啟就被恢復了，又得裝。

于是就將“大眼睛”的客戶端放在服務器上取個很吸引人的名字。結果很多同學的屏幕都被我們監控。有同學嘲笑說“不就是個木馬嘛!”經過查詢才知道有種叫“木馬”的程序也是用同樣的方法進行隱私竊取。后來自己還做過假的QQ程序盜取別人的QQ，但盜來都給了別人，誰知道現在7、8位QQ號碼能這么暢銷。

以前電腦都防CIH、蠕蟲等病毒，當現在更多的是防木馬病毒，主要是由于個人電腦上可以竊取諸如支付寶、QQ賬號、網上銀行等密碼。當你打開不安全的網頁、別人發給你的惡意郵件時，當你安裝不安全的軟件時，當你使用U盤時都可能感染木馬病毒。

前一段時間的“360和QQ之爭”，在我們的電腦里有很多不安全的的軟件，都可能泄露我們的隱私。

4.網頁安全

在單位，我負責幾個部門的網站維護，主要是網頁制作。在一開始編程的時候，根本沒想到能被攻擊。后來自己做的網站經常被攻擊，這才知道諸如SQL注入、Ewebeditor漏洞等攻擊手段，所以在編程時會注意到這些方面的安全。比如我的后臺數據庫一般都是“x.asp#xxxxxx.mdb”。防止數據庫被下載。

記得又一次為某部門自己編寫了一個留言板程序，結果發布沒1天就有3000多條惡意留言，還是英文的，挺讓人頭疼。最后設臵了驗證碼、用戶驗證都不起作用，直到用了檢測留言來源網頁代碼才堵住。原來人家是用工具攻擊的。

5.養成良好的上網習慣

網絡安全涉及到使用網絡的每一個人。對個人來說，要保證自己安全上網，每個人都得養成良好的上網習慣。我想應該包含以下幾點：

1)電腦要安裝防火墻和殺毒軟件，要及時升級，如果電腦上網則設臵為自動升級。并且養成經常性安全掃描電腦;

2)及時更新windows補丁;

3)在確保系統安全的情況下，做好GHOST備份，防止碰到頑固病毒時能及時恢復系統;

4)網友用QQ等發給的網站和程序，不要輕易去點擊和執行;

5)不瀏覽不安全的網頁;

6)共享文件要及時關閉共享，在單位經常會在工作組計算機中看到別人共享的東西;

7)不熟悉的郵件不瀏覽;

8)U盤殺毒后再去打開;

9)最好不在別人的計算機上登錄自己的銀行賬號、支付寶、QQ等;對于我們每個人來說，提高網絡安全意識，學習網絡安全知識，是網絡時代對我們基本的要求。

網絡安全實訓心得體會

（二）本學期我選修了網絡信息安全這門課，自從上了第一堂課，我的觀念得到了徹底的改觀。老師不是生搬硬套，或者是只會讀ppt的reader，而是一位真正在傳授自己知識的學者，并且老師語言生動幽默，給了人很大的激勵去繼續聽下去。在課堂上，我也學到了很多關于密碼學方面的知識。

各種學科領域中，唯有密碼學這一學科領域與眾不同，它是由兩個相互對立、相互依存，而又相輔相成、相互促進的分支學科組成。這兩個分支學科，一個叫密碼編碼學，另一個叫密碼分析學。

“密碼”這個詞對大多數人來說，都有一種高深莫測的神秘色彩。究其原因，是其理論和技術由與軍事、政治、外交有關的國家安全(保密)機關所嚴格掌握和控制、不準外泄的緣故。

密碼學(Cryptology)一詞源自希臘語“krypto's”及“logos”兩詞，意思為“隱藏”及“消息”。它是研究信息系統安全保密的科學。其目的為兩人在不安全的信道上進行通信而不被破譯者理解他們通信的內容。

從幾千年前到1949年，密碼學還沒有成為一門真正的科學，而是一門藝術。密碼學專家常常是憑自己的直覺和信念來進行密碼設計，而對密碼的分析也多基于密碼分析者(即破譯者)的直覺和經驗來進行的。1949年，美國數學家、信息論的創始人 Shannon, Claude Elwood 發表了《保密系統的信息理論》一文，它標志著密碼學階段的開始。同時以這篇文章為標志的信息論為對稱密鑰密碼系統建立了理論基礎，從此密碼學成為一門科學。

由于保密的需要，這時人們基本上看不到關于密碼學的文獻和資料，平常人們是接觸不到密碼的。1967年Kahn出版了一本叫做《破譯者》的小說，使人們知道了密碼學。20 世紀70年代初期，IBM發表了有關密碼學的幾篇技術報告，從而使更多的人了解了密碼學的存在。

但科學理論的產生并沒有使密碼學失去藝術的一面，如今，密碼學仍是一門具有藝術性的科學。1976年，Diffie和 Hellman 發表了《密碼學的新方向》一文，他們首次證明了在發送端和接收端不需要傳輸密鑰的保密通信的可能性，從而開創了公鑰密碼學的新紀元。該文章也成了區分古典密碼和現代密碼的標志。

1977年，美國的數據加密標準(DES)公布。這兩件事情導致了對密碼學的空前研究。從這時候起，開始對密碼在民用方面進行研究，密碼才開始充分發揮它的商用價值和社會價值，人們才開始能夠接觸到密碼學。這種轉變也促使了密碼學的空前發展。

最早的加密技術，當屬凱撒加密法了。秘密金輪，就是加解密的硬件設備可以公用，可以大量生產，以降低硬件加解密設備的生產與購置成本。破譯和加密技術從來就是共存的，彼此牽制，彼此推進。錯綜復雜的加解密演算法都是為了能夠超越人力執行能力而不斷演變的。Kerckhoffs原則、Shannon的完美安全性、DES算法、Rijndael算法一文，正如密碼學的里程碑，佇立在密碼學者不斷探索的道路上，作為一種跨越，作為一種象征。

以上便是我在學習這門課中了解到的關于密碼學的一些常識問題，接著介紹我感興趣的部分。

在這門課中，我最感興趣的莫過于公鑰密碼學了。其實公鑰密碼學的核心基礎就是數學領域里某些問題的正反非對稱性，如整數分解問題(RSA)、離散對數問題(DL)和橢圓曲線問題(ECC)，而這些問題無一例外地與數論有著千絲萬縷的聯系。偉大的數學家高斯曾經說過“數學是科學的皇后，數論是數學中的皇冠”，然而很遺憾的是，在我國的教育體系中無論是初等教育還是高等教育對于數論的介紹幾乎是一片空白，唯一有所涉及的是初高中的數學競賽，但這種覆蓋面肯定是極其有限的。

本章并未對數論作完整的介紹，而只是將與書中內容相關的知識加以闡述，分別包括歐幾里得定理和擴展的歐幾里得定理、歐拉函數以及費馬小定理和歐拉定理，其中歐幾里得定理部分有比較詳細的推導和演算，后兩者則僅給出結論和使用方法。不過考慮到這幾部分內容獨立性較強，只要我們對質數、合數及分解質因數等基礎知識有比較扎實的理解那么閱讀起來應該還是難度不大的。

而對于歐拉函數以及費馬小定理和歐拉定理，其證明方法并不是很難，我們也可在網上找到相關過程;不過其應用卻是相當重要，尤其是費馬小定理，是Miller-Rabbin質數測試的基礎。我覺得喜歡數學的同學一定會喜歡上這門課，這門課所涉及的數學知識頗為豐富，包括數論、高等代數、解析幾何、群論等諸多領域。

此外，課堂上老師所講的各種算法(如Diffie和Hellman的經典算法)影響直至今日，促成了各種新興算法的形成，且多次地被引用。經典猶在，密碼學新的開拓仍舊在繼續，仍舊令人期待。

第三篇：網絡安全實訓報告

網絡安全

實訓報告

姓名：蔡明軒學號：0902010107專業： 計算機網絡技術班級：09級網絡技術班指導教師：朱家全

具體步驟：

開始---設置---控制面板---添加/刪除程序---添加/刪除windows組件----選擇“證書服務”----下一步----選擇“獨立根CA”---下一步----輸入添加CA的名稱、單位、部門、城市、電子郵件、描述、有效期限等，單擊下一步----選擇數據存儲的位置---下一步---完成。

1-2.通過Web頁面申請證書

具體步驟：

在局域網中另一臺計算機中打開IE，然后輸入根CA的IP地址/certsrv,然后在microsoft證書服務頁面中選擇“申請證書“---下一步---在“選擇申請類型”頁面中選擇“用戶證書申請”的“Web瀏覽器證書”---下一步-----在“web瀏覽器證書---標識信息”頁面中輸入所有的標識信息---在“潛在的腳本沖突”對話框中選擇“是”----提交。

1-3.證書發布

具體步驟：

開始---設置----控制面版---管理工具----證書頒發機構---在左側的菜單中選擇“待定申請”----右擊上面申請的證書----選擇“頒發”，此時證書將被轉入到“頒發的證書”中。

1-4.證書的下載安裝

具體步驟：

在IE中輸入根CA的IP地址/certsrv，進入證書申請頁面，選擇“檢索CA證書或證書吊銷列表”-----選擇“下載CA證書”----選擇保存證書的路徑----下載完畢。

找到證書并雙擊----單擊“安裝證書”----采用默認設置完成證書的導入----確定。

2、為Web服務器申請證書、頒發證書、安裝證書的具體過程

2-1．為Web服務器申請證書

（1）單擊“開始”按鈕，選擇“程序”>>“管理工具”>>“Internet服務管理器”。在彈出的窗口，然后在窗口左側菜單中右鍵單擊“默認Web站點”，選擇“屬性”。

（2）在窗口中選擇“目錄安全性”菜單，點擊“安全通信”中的“服務器證書”。

（3）在出現的歡迎使用web服務器證書向導中，點擊“下一步”，在圖中，選中“創建一個新證書”，點擊“下一步”。

（4）在彈出的窗口中輸入證書的名稱，點擊“下一步”。

（5）根據窗口提示輸入如圖所示的組織信息，點擊“下一步”。

（6）在一對話框中輸入站點的公用名稱，點擊“下一步”。

（7）在圖中接著輸入站點的地理信息，點擊“下一步”。

（8）接著輸入證書請求文件的文件名和存放路徑，點擊“下一步”。在這個證書請求文件中存放著剛才輸入的用戶信息和系統生成的公鑰。

（9）點擊上步將出現確認信息窗口，點擊“下一步”，接著點擊“完成”，完成服務器證書申請。

2-2．提交Web服務器證書

（1）在服務器所在的計算機上打開IE瀏覽器，在地址欄中輸入 http://根CA的IP/certsrv，在出現的頁面中選中“申請證書”，并點擊“下一步”。

（2）在彈出的頁面中選中“高級申請”，并點擊“下一步”。高級申請可以由用戶導入請求證書文件。

（3）在彈出的頁面中選中“Base64編碼方式”，并點擊“下一步”。

（4）點擊“瀏覽”，找到證書請求文件，并把它插入在（1）中“證書申請”框內，點擊“提交”。這就將我們上面剛剛完成的證書請求文件（即含有個人信息和公鑰的文件）提交。

（5）將會彈出一個頁面，表示提交成功。

2-3．服務器證書的頒發和安裝

（1）在根CA所在的計算機上，單擊“開始”，選擇“程序”->“管理工具”->“證書頒發機構”。在彈出的窗口左側的菜單目錄中選擇“待定申請”，上一步中申請的證書web cert出現在窗口右側。在證書上單擊右鍵，選擇“所有任務”->“頒發”，進行證書頒發；

（2）證書頒發后將從“待定申請”文件夾轉入到“頒發的證書”文件夾中，表示證書頒發完成；

（3）在申請證書的計算機上，打開IE瀏覽器，在地址欄中輸入 http://根CA的IP/certsrv，進入證書申請頁面。選擇“檢查掛起的證書”，查看CA是否頒發了證書，單擊“下一步”；

（4）在彈出的頁面中選擇已經提交的證書申請，單擊“下一步”；

（5）如果頒發機構已將證書頒發，則將彈出一個頁面；

（6）點擊“下載CA證書”，選擇下載的路徑，將證書保存到本地計算機，并可查看證書內容；

（7）安裝服務器證書，點擊“安裝證書”，進入“證書導入向導”，點擊“下一步”

（8）在所示的“證書存儲”選項中，按默認的，選擇“根據證書類型，自動選擇存儲區”，點擊“下一步”；

（9）彈出，表示已經成功導入證書，點擊“完成”。

（10）單擊“開始”按鈕，選擇“程序”>>“管理工具”>>“Internet服務管理器”；在彈出的窗口左側菜單中右鍵單擊“默認Web站點”，選擇“屬性”；

在彈出窗口中選擇“目錄安全性”菜單，點擊“安全通信”中的“服務器證書”； 出現界面，“Web服務器證書向導”，點擊“下一步”；

在出現的 “證書向導”中，選擇“分配一個已存在的證書”，點擊下一步； 在出現的選擇證書選項中，選中我們剛剛在導入的證書，點擊“下一步”；出現確認信息，點擊下一步；安裝成功，點擊“完成”；

再回到“站點屬性”，可以看到“查看證書”、“編輯”按鈕為黑色，點擊“查看證書”，可以看到跟（6）中一樣的證書信息；這樣，web服務器端的證書證書就安裝好了。

2-4．在服務器上配置SSL

（1）單擊“開始”按鈕，選擇“程序”->“管理工具”->“Internet服務管理器”。在彈出的窗口左側菜單中右鍵單擊“默認Web站點”，選擇“屬性”；

（2）在彈出的窗口中選擇“目錄安全性”菜單項，選擇面板上“安全通信”中“查看證書”項，查看第2步中安裝的證書；

（3）按“確定”后返回到“目錄安全性”面板，選擇“安全通信”中“編輯”項，在彈出的窗口中選擇“申請安全通道（SSL）”，并在“客戶證書”欄中選擇“接收客戶證書”，單擊確定。

（4）返回到“目錄安全性”面板，單擊“應用”及“確定”，完成配置。

2-5．客戶端通過SSL與服務器建立連接

（1）在網絡中第三方的計算機上打開網絡監測工具sniffer，監測服務器的數據包；

（2）在客戶端計算機上打開IE瀏覽器，若仍在地址欄中輸入http://根CA的IP/certsrv，則顯示的頁面，要求采用https（安全的http）協議連接服務器端；

（3）輸入https://根CA的IP/certsrv，頁面中彈出提示窗口；

（4）單擊“確定”，彈出證書選擇窗口。

在窗口中選擇步驟2中剛申請的證書，單擊“確定”；

（5）之后將正確彈出正常的證書申請頁面，完成基于SSL的連接。

（6）查看第三方計算Ⅱ機上sniffer的監測結果，其中并未出現POST類型的有效信息包，截獲的信息均為無效的亂碼。

這說明SSL很好的實現了Web連接的安全性。

（二）在IIS中配置安全的FTP服務

1、安裝FTP服務

單擊開始-控制面板-添加或刪除程序，單擊添加/刪除windows組件，雙擊應用程序服務，雙擊Internat信息服務（IIS），勾選文件傳輸協議（FTP）服務

2、創建隔離用戶FTP

（2-1）單擊開始-管理工具-Internat信息服務（IIS）管理器，展開FTP站點，刪除默認FTP站點并新建 帳戶FTP 站點。

（2-2）右鍵單擊FTP站點，選擇新建-FTP站點，彈出歡迎界面，單擊下一步繼續

（2-3）設置IP和端口號。

（2-4）選擇隔離用戶。

（2-5）選擇ftp主路徑。

（2-6）設置FTP權限，成功建立ftp站點。

（2-7）建立1個系統賬戶yanxun，用于FTP訪問用戶。

（2-8）在主FTP目錄下建立相應文件夾，并建立不同文件內容。注意，我們的主目錄是C:Inetpubzhanghu ftproot,（2-9)更改站點屬性 的安全帳戶選項卡并去掉本選項卡的允許匿名連接的對號。

（2-10）創建不允許訪問本FTP的IP。

（2-11）測試。

（三）防火墻的安裝與設置

1、在無防火墻的情況下，使用Ping命令和通過共享資源使用服務器資源。

2、安裝Skynet-FireWall防火墻軟件。

3、制定相應規則

詳細步驟：

a.打開“自定義IP規則”界面；

b.單擊“添加規則”，出現“添加IP規則”對話框；

c.在“添加IP規則”對話框中輸入名稱、說明、對方IP、數據包協議等，單擊確定；

d.要想要自己設置的規則發揮作用，可以在此規則前打勾，e.結果，這樣的話就可以阻止別人的ping操作了。

4、比較（1）和（3）兩種情況的結果，并查看防火墻日志。

四、遇到的問題及解決辦法

遇到問題：

（一）防火墻在啟用后所定的規則無效。解決方法：選擇規則中沒有啟用的相應規則前，即次規則前顯示為對勾。

（二）在CA證書的申請中找不到所需的證書。解決方法：到證書管理器中把相應的證書頒發。

（三）在實現

在IIS中配置安全的FTP服務時，在設置為帳戶登錄時在出現所需頁面時卻無法登錄。把相應的帳戶歸組為Guest組

五、實訓體會

在本次實踐過程中使我了解到了CA證書的安裝、申請及在WEB中的應用，基于SSL的安全WEB服務配置，CRL簽發和用戶管理和證書查詢，能夠更好的對證書進行安裝及配置，熟練掌握它的過程。而在IIS中配置安全的FTP服務中，使我更好的了解了怎么樣才能配置出更安全的FTP服務。對于防火墻的安裝及配置使我更好的了解了防火墻的作用及功能。同時能夠更好的對防火墻進行安裝及重要的配置。從而進一步鞏固了我對信息安全課程所學知識，更加深入地了解計算機網絡系統中所采取的安全措施、網絡系統漏洞、黑客技術和防范措施等相關技術同時也提高了自學能力為以后的從業打下了良好的基礎

第四篇：網絡安全實訓報告2--基于SSL的安全Web站點配置

基于SSL的安全Web站點配置

一、實訓要求

1、配置CA服務器；

2、配置Web服務器（開啟80端口）；

3、在Web服務器上配置“Web服務器保護證書”（開啟443端口）；

4、客戶端使用https協議訪問 Web服務器。

二、實訓步驟

三、關于SSL，詳見戴有煒 windows server 2003網絡專業指南400頁以后

1、配置CA服務器；

運行appwiz.cpl---添加/刪除組件—選中應用程序服務IIS和證書服務

下一步，選中獨立根CA

不用管，啟用

到這來就完成了，可以再管理工具---證書管頒發構來管理證書服務器

2、配置Web服務器（開啟80端口）；

運行appwiz.cpl----添加刪除組件---應用程序服務器—IIS

安裝完成后，下面進行web的配置 管理工具---IIS服務

將默認網站禁止

網站—新建—網站

這來隨便輸入，只是描述使用

下一步，只給讀取權限，下一步完成

這來我們就用index.htm做首頁，并且到c:wlm做一個首頁

可以訪問了

3、在Web服務器上配置“Web服務器保護證書”（開啟443端口）；

選中網站—屬性--目錄安全性—服務證書

選擇新建證書

以下兩部輸入不是很重要，接著下一步

隨便輸入，接著下一步

設置證書請求文件的名稱，默認是certreq.txt

接著下一步，完成

向CA服務器申請證書

將剛才certreq.txt內的內容復制進來

本CA不是基于域的企業根CA，不會自動發放證書，到CA服務器

在web服務器，訪問CA，查看掛起的證書

選擇下載證書，保存

設置網站信任CA 在web服務器通過瀏覽器連接CA，選擇 下載一個CA證書，證書鏈或ＣＲＬ――選擇 安裝此ＣＡ證書鏈，即可信任此ＣＡ

安裝證書并啟用ＳＳＬ

在ｗｅｂ服務器，ＩＩＳ管理器――選中所要安裝證書的網站――屬性――目錄安全性――服務證書

選擇剛剛下載的證書

網站ＳＳＬ的連接端口默認為４４３

確認，下一步

完成

4、客戶端使用https協議訪問 Web服務器進行頒發證書。

上面是給其他的ｗｅｂ服務器頒發服務器證書，實現ＳＳＬ（ｈｔｔｐｓ）連接，若是給本ＣＡ實現ＳＳＬ，則只需在ＣＡ服務器打開ＩＩＳ管理器，選擇默認網站進行上面的操作，下面是結果

下圖是ｈｔｔｐｓ訪問其他獨立ｗｅｂ服務器結果

下圖是ｈｔｔｐｓ訪問ＣＡ服務器ｗｅｂ進行頒發證書

三、總結

第五篇：24.FTP服務器的配置實訓任務書.

FTP服務器的配置

一、實訓目的

1.掌握Vsftpd服務器的配置方法。2.熟悉FTP客戶端工具的使用。3.掌握常見的FTP服務器的故障排除。

二、實訓設備 1.linux 網絡操作系統 2.網絡設備，client計算機

三、背景知識

1.某企業網絡拓撲圖如下圖所示，該企業想構建一臺FTP服務器，為企業局域網中的計算機提供文件傳送任務，為財務部門、銷售部門和OA系統提供異地數據備份。要求能夠對 FTP 服務器設置連接限制、日志記錄、消息、驗證客戶端身份等屬性，并能創建用戶隔離的FTP站點。

管理部財務部銷售部FTP 服務器OA系統12… … FTP 客戶端N-1N

四、實訓內容和要求

1.練習Linux系統下Vsftpd服務器的配置方法及FTP客戶端工具的使用。

五、實訓步驟 1.設置匿名帳號具有上傳、創建目錄權限

//修改本地權限，使匿名用戶對/var/ftp目錄具有寫入權限 [root@RHEL4 var]# chmod o+w /var/ftp [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf //添加下面兩行： anon_upload_enable=YES anon_mkdir_write_enable=YES 2.設置禁止本地user1用戶登錄ftp服務器

[root@RHEL4 var]#vi /etc/vsftpd.ftpusers //添加下面的行： user1 //重新啟動vsftpd服務，即可。

3.設置本地用戶登錄FTP服務器之后，在進入dir目錄時顯示提示信息“welcome”

//以user2用戶登錄系統，并進入user2用戶家目錄/home/user2目錄下的dir1目錄

[user2@RHEL4 dir]$cd ~/dir //新建.message文件并輸入”welcome” [user2@RHEL4 dir]$ echo “welcome”>.message //以下為測試結果

[user2@RHEL4 dir]$ ftp 192.168.1.2 Name(192.168.1.2:user2): user2 Password: ftp> cd dir

//切換到dir目錄

250-welcome

//顯示.message文件的內容 250 Directory successfully changed.4.設置將所有本地用戶都鎖定在家目錄中

//修改vsftpd.conf文件，做如下設置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=NO

//修改該參數的取值為NO chroot_local_user=YES

//修改該參數的取值為YES //重新啟動vsftpd服務即可 //測試部分略 5.設置只有指定本地用戶user1和user2可以訪問FTP服務器

//將例14-1中/etc/vsftpd.ftpusers文件中的user1刪除 //修改vsftpd.conf文件，做如下設置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf userlist_enable=YES

//修改該參數的取值為YES usrelist_deny=NO

//添加此行 userlist_file=/etc/vsftpd.user_list

//添加此行 //利用vi編輯器打開/etc/vsftpd.user_list文件 [root@RHEL4 ~]# vi /etc/vsftpd.user_list //添加如下兩行并保存退出： user1 user2 //重新啟動vsftpd服務即可 //測試部分略

6.配置基于主機的訪問控制

實現如下功能：拒絕192.168.6.0/24訪問。

對域jnrp.net和192.168.2.0/24內的主機不做連接數和最大傳輸速率限制。

對其他主機的訪問限制每IP的連接數為1，最大傳輸速率為20KB/S //修改vsftpd.conf文件

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf

tcp_wrappers=YES

//確保支持tcp_wrappers

//添加如下兩行并保存退出： local_max_rate=20000 anon_max_rate=20000 max_per_ip=1 //編輯/etc/host.allow文件

[root@RHEL4 ~]# vi /etc/hosts.allow //添加下面兩行：

vsftpd:jnrp.net,192.168.2.0/24 :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf vsftpd:192.168.6.0/24:DENY //編輯/etc/vsftpd/vsftpd_tcp_wrap.conf文件 [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd_tcp_wrap.conf //添加下面三行： local_max_rate=0 anon_max_rate=0 max_per_ip=0 //重新啟動vsftpd服務即可 //測試部分略 7.使用PAM實現基于虛擬用戶的FTP服務器的配置。

● 創建虛擬用戶口令庫文件。

//生成建立口令庫文件的文本文件 [root@RHEL4 ~]# cat /root/login.txt

peter

//此行指定虛擬用戶peter 123456

//此行設置peter用戶的FTP密碼 tom

//此行指定虛擬用戶tom 213456

//此行設置tom用戶的FTP密碼

//使用db_load命令生成口令庫文件

[root@RHEL4 /]# db_load-T-t hash-f /root/login.txt /etc/vsftpd/vsftpd_login.db //修改數據庫文件的本地權限

[root@RHEL4 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db ● 生成虛擬用戶所需的PAM配置文件/etc/pam.d/vsftpd。

[root@RHEL4 ~]#vi /etc/pam.d/vsftpd //添加如下兩行

auth

required

/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account

required

/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login ● 修改vsftpd.conf文件。

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf //保證具有下面三行

guest_enable=YES

//啟用虛擬用戶功能

guest_username=ftp

//將虛擬用戶映射成ftp帳號，利用虛擬用戶登錄后，會在ftp用戶所在目錄下。

pam_service_name=vsftpd //指定PAM配置文件是vsftpd ● 利用下面的命令重新啟動vsftpd服務即可。[root@RHEL4 ~]# service vsftpd restart ● 測試。

六、實訓結果和討論

實訓目的。實訓內容。實訓步驟。

實訓中的問題和解決方法?；卮饘嵱査伎碱}。實訓心得與體會。建議與意見。