安全生产计算机网络安全实训大纲最全版.docx
- 文档编号:30266443
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:17
- 大小:81.35KB
安全生产计算机网络安全实训大纲最全版.docx
《安全生产计算机网络安全实训大纲最全版.docx》由会员分享,可在线阅读,更多相关《安全生产计算机网络安全实训大纲最全版.docx(17页珍藏版)》请在冰豆网上搜索。
安全生产计算机网络安全实训大纲最全版
(安全生产)计算机网络安全实训大纲
《计算机网络安全实训大纲》
实训壹网络安全解决方案实例
目的:
通过本次实训,掌握什么是网络安全,网络安全的隐患,网络安全的模型、机制和服务,网络安全系统的等级标准,通过案例分析掌握网络安全如何解决的。
要求:
1、掌握网络安全隐患的产生原因,解决网络安全的问题的途径有哪些?
2、掌握网络安全的模型、机制和服务。
3、掌握网络安全等级标准,安全系统的运行和管理的方法。
实验课时:
2课时。
实验内容:
一、校园网安全解决方案。
(1)首先了解校园的结构:
校园网的内网是典型的树形结构。
第壹层校园主干网采用了先进的1000MB以太网技术,以光缆相互联通。
第二层为100MB以太网,以超5类非屏蔽双绞线联通,第三层为10MB以太
网,以超5类非屏蔽双绞线交换到桌面。
(2)防火墙有3个端口,壹个端口联结到内网,另壹个端口联结到外网;第三个端口联结到服务器群。
这样能够阻止外网发起的攻击,也能阻止内网出现的骚乱,保证服务器群的安全,也阻断了内网和外网的相互撕杀。
(3)防火墙是通过路由器联结到外网的。
外网包括:
使用光缆以100MB带宽接入教育科研网,再联接互联网;以拨入服务器和Modem池通过公共电话网为在校外的散户提供拨入服务;使用微波和海淀走读大学的东校区、南校区、北校区和中关村校区联网。
某壹大学校园网拓扑结构示意图
二、虚拟私有网VPN解决方案。
(1)首先了解什么是虚拟私有网VPN:
就是借用四通八达的互联网来营造自己的私有网络,使用的是互联网的廉价、广泛的网络服务,且采用了壹定的技术,使得你的信息不被未被授权的人所解读,也不能伪造和篡改。
(2)虚拟私有网的建立方法。
用壹“VPN”网关把可信任的私网或私有的机器,联结到公有的互联网上。
由“VPN网关”来保障经由互联网的信息的安全。
(3)VPN网关的选择:
基于软件的VPN网关;基于专用硬件平台的VPN网关;辅助硬件平台的VPN网关
(4)虚拟私有网VPN的有关协议
TCP/IP国际互联网采用的协议,由到TCP/IP本身存在的缺陷导致了互联网的不安全,主要表当下TCP/IP协议数据流采用明文传输、源地址欺骗、源路由选择信息协议攻击、鉴别攻击等几个方面,因此数据信息很容易被在线窃听、篡改和伪造。
实现VPN通常用到的安全协议主要包括:
SocksV5、IPSec和PPTP/L2TP。
PPTP/L2TP用到链路层,IPSec主要应用于网络层,SocksV5应用于会话层。
为了解决互联网所面临的不安全因素的威胁,实当下不信任通道上的数据安全传输,合安全功能模块能兼容IPv4和下壹代网络协议IPv6,IPsec协议将会是主要的实现VPN的协议。
(5)虚拟私有网VPN示意图
VPN网关
实训二网络平台的安全和漏洞
目的:
通过本次实训,让学生了解漏洞的概念、类型,常见网络平台的漏洞及补救办法。
要求:
1、掌握漏洞的概念,常见的漏洞有哪些。
2、了解Netware系统的安全性及其存在的安全漏洞。
3、掌握WindowNT系统的安全及其存在的安全漏洞。
实验课时:
2课时。
实验内容:
壹、NetWare系统的安全性及存在的安全漏洞。
1、NetWare系统的安全性的表现
(1)NetWare系统目录服务
在访问控制方面,NetWare使用目录服务(DNS)提供层次式的分配和管理网络访问权的方法。
能够使用壹个控制台对整个网络环境的管理。
管理员能够指定子管理员,使之具有对目录对壹小部分的超级特权,网络访问活动是集中式的。
用户登录进入时,可向整个DNS提出授权检查,而不只是特定的服务器或者目录树的壹部分。
(2)账户管理器
NetWare账户管理非常容易,可使用nwadmn32实用程序来完成。
也可直接从服务器中使用ConsoleOne管理账户
(3)文件系统
NetWare系统对文件的管理是通过nwadmn32进行控制的,能够保证NDS管理员快速识别分配给每个用户的访问权限。
(4)日志记录和审核
NetWare服务器能够生成俩类日志:
壹种是由console.nlm生成的控制台日志,该日志记录着所有控制台活动和出错的信息;另壹种是由auditcon实用程序生成的审核日志。
Auditcon程序允许系统管理员监视包括从用户登录到口令修改和特定文件的访问等壹系列情况,能够监视约束多达70个事件,仍允许系统管理员指定的用户监视服务器的情况。
(5)网络安全
NetWare系统本身具有壹套较为完善的网络安全体系,如对目录和文件的控制就有以下安全规定:
禁止删除;隐藏;清除。
除此之外,NetWare管理员仍提供了对文件更为严格的管理,可设定文件的只读属性、只执行属性和禁止拷贝属性。
所有这些使得NetWare系统成为优秀WEB服务器平台的最佳选择,即使有远程黑客的侵入,它也只能危害系统的壹个区域,很难访问整个系统。
2、NetWare系统的安全漏洞
(1)获取账号
刚安装的NetWare系统中,有SUPERVISOR和GUEST俩个缺省账号,在NetWare4.x中相应的是ADMIN和USER_TEMPLATE。
所有这些账号在开始的时候都没设口令。
在安装系统时,管理员会马上给supervisor和admin口令,而忽视了GUESTT和USER_TEMPLATE,黑客连上该服务器后,就能够给这个用户设置口令,使用这俩个账号把自己隐藏起来。
(2)查阅合法账号
黑客能够查阅合法账号其方法有以下几种:
运行SYSCON;使用CHKNULL.exe程序
(3)获得超级用户的账号
在NetWare系统刚刚安装到服务器上,安全系统仍没有建立,超级用户的口令是空的,能够随便登录。
二、WindowsNT的安全性及存在的安全漏洞
1、WindowsNT的安全性
(1)WindowsNT安全性分析:
凡是和互联网相连的WindowsNT计算机都使用NTFS文件系统,主要是基于文件安全性能的考虑;对于试图非法进入系统的用户,由于口令的输入是第壹道关卡,所以WindowsNT的用户管理员能够设置措施,在口令加上次数限制;作用WindowsNT的审计功能,能够跟踪壹些特殊或非法事件的进程,从事件的日志中分析可能遇到的侵袭或有可能即将遇到的攻击。
(2)Kerberos和WindowsNT
Kerberos是壹种验证协议,该验证协议定义了壹个客户端和壹个密钥分配中心的网络验证服务之间的接口。
Kerberos客户端的运行是通过壹个基于SSPI的WindowsNT安全性接口来实现的。
Kerberos验证过程的初始化集成到WinLogon单壹登录的结构中。
(3)加密文件系统
WindowsNT5.0中提供壹种基于新壹代NTFSR的加密文件系统(EFS)。
壹个文件在使用之前不需要手工加密,因为加密和解密对用户是透明的,加密和解密自动地发生在从硬盘中读取数据以及向硬盘写入数据时。
同时WindowsNT5.0支持从单壹文件到整个目录的加密和解密功能。
如对壹个目录进行加密,目录中所有的文件都自动地进行加密。
(4)WindowsIPSecurity安全性支持
为了防止来自网络内部的攻击,WindowsNT推出了壹种新的网络安全方案----IPSecurity(IP安全性),它符合IETF宣布的IP安全性协议的标准,支持在网络层壹级的验证、数据完整性和加密。
它和WindowsNTServer内置的安全性集成在壹起,为维护安全的Internet和intranet通信,WindowsNT提供了壹个理想的平台。
2、WindowsNT的安全漏洞
(1)部分安全漏洞:
第壹个漏洞是建立域名的问题,域用户能够不断的建立新的用户直到系统资源枯竭。
WindowsNT能方便地建立组这个特性很容易遭到拒绝服务的攻击。
另壹个漏洞为PPTP协议的缺口,可使WindowsNT虚拟专用网络的默认口令被破解
(2)其他漏洞
紧急修复盘产生的安全漏洞;被无限制地尝试联接;最近登录用户名显示问题;打印机问题。
实训三病毒和黑客攻击的防范
目的:
通过本次实训,让学生了解网络病毒的防范,黑客如何攻击及如何防备,了解黑客如何对口令进行破解,口令破解工具的使用。
要求:
1、了解Web站点安全性及如何保证。
2、了解黑客进行系统常使用的方法及使用的工具。
3、如何判断机器有黑客闯入的迹像。
4、如何正确的使用口令。
实验课时:
8课时。
实验内容:
1、WEB的安全问题包括俩个方面的问题:
WEB服务器端安全和客户端安全。
(1)WEB服务器的安全:
程序本身的错误;访问权授给所有人;复杂的配置;CGI和表单
(2)客户端的安全:
用户在不经意的情况下泄露了自己的用户名和口令,或者泄露了自己的电子邮件地址,都有可能为黑客提供作案信息。
2、WEB站点面临的威胁:
(1)WEB服务器的信息被破译。
(2)WEB站点上的数据被非法访问。
(3)远程用户向服务器传输的信息被截获。
(4)系统中存在BUG。
(5)CGI脚本的危害。
3、黑客攻击的目的:
窃取信息;获取口令;控制中间站点;获得超级用户权限
4、口令破解的过程:
黑客在破解口令时首先寻找系统是否在存在没有口令的户头,其次试探系统是否有容易猜出的口令,再次寻找存放口令的文件,最后使用口令破译工具,能够得到加密的口令的明文。
5、常见的口令破解工具:
Unix平台的Crack;NovellNetWare平台的Crack;适用于WindowsNT平台的scannt.exe
实训四监听器和扫描器的使用
目的:
通过本次实训掌握在网上获取的信息的方法及使用形式,掌握扫描器的使用。
要求:
1、掌握网络监听在不同传输介质上不同效果。
2、了解常用的监听工具。
3、了解常见的扫描器及使用方法。
实验课时:
6课时。
实验内容:
1、网络监听是指:
获取在网络上传输的信息。
系统管理员为了在效地管理网络、诊断网络问题而进行网络监听,也有黑客为达到某些目的而进行网络监听。
2、在不同的传输介质上,信息监听的可能性不同:
传输介质
监听的可能性
原因
Ethernet
高
Ethernet是壹个广播型网络,互联网的大多数包监听事件都是壹些运行在壹台计算机中的包监听程序的结果。
FDDIToken-ring
较高
令牌环网不是壹个广播型网络,但带有令牌的那些包在传播过程中,平均要以过网络上壹半的计算机。
电话线
中等
可被人搭线窃听,在微波线路上的信息也会被截获。
IP通过有线电视信道
高
有线电视信道传输的信息没有加密,能够被壹些能够从物理上访问到的TV电缆的人截听。
微波和无线电
高
任何壹个有无线电接收机的人都能够截获那些传输的信息。
3、常用的监听工具
(1)Snoop:
能够截获网络上传输的数据包,且显示这些包中的内容。
它能够以单行的形式只输出数据包的总结信息,也能够以多行形式对包中信息详细说明。
(2)Sniffit软件:
该软件运行于Solaris、SGI、Linux等平台的壹种免费网络监听软件,具有功能强大且使用方便的特点。
用户能够选择源、目标地址或地址集合,仍能够选择监听的端口、协议和网络接口。
4、扫描器简介:
扫描器是自动检测远程或本地主机安全性漏洞的程序包。
系统管理员使用有助于加强系统安全性,对于黑客,扫描器则是他们进行攻击的入手点。
但扫描器不能直接攻击网络漏洞。
5、目前流行的扫描器有:
NNS网络安全扫描器,stroke超级优化TCP端口检测程序,SATAN安全管理员的网络分析工具、JAKAL、XSCAN等。
6、端口扫描
(1)端口:
每个应用程序被赋予壹个唯壹的地址,这个地址称为端口。
指定的应用程序和特殊端口相连,当任何联接请求到达该端口时,对应的应用程序便被发送出去。
修改视频剪辑
(2)端口扫描:
是壹种获取主机信息的好方法。
不同的系统所提供的开放端口是不壹样,下表列出公共端口和对应的服务或应用程序。
服务或应用程序
FTP
SMTP
Telnet
Gopher
finger
HTTP
NNTP
端口
21
25
23
70
79
80
119
(3)常见的几种端口扫描:
TCPconnect()的扫描;TCPSYN扫描;TCPFIN扫描;Fragmentation扫描;ICMP扫描;
7、常见的扫描工具
(1)SATAN:
安全管理员的网络分析工具,是壹个分析网络的安全管理和测试、报告的工具,用来收集网络上主机的许多信息,且能够识别且自动报告和网络相关的安全问题。
(2)网络安全扫描器NNS:
网络安全扫描器是壹个非常隐蔽的扫描器,多数载有该扫描器的FTP的站点处暗处,或无法通过WWW搜索器找到它们。
(3)Strobe:
超级优化TCP端口检测程序Strobe是壹个TCP端口扫描器,具有在最大带宽利用率和最小进程资源需求下,迅速地定位和扫描壹台远程目标主机或许多台主机的所有TCP“监听”端口的能力。
(4)InternetScanner:
可得到的最快和功能最全的安全扫描工具,用于Unix和WindowsNT,它容易配置,扫描速度快,且且能产生综合报告。
(5)PortScanner:
是壹个运行到Windows95和WindowsNT上的端口扫描工具,其开始界面上显示了俩个输入框,上面的输入框用于要扫描的开始主机的IP地址,下面的输入框用于输入要扫描的结束主机的IP地址,在这俩个IP地址之间的主机将被扫描。
实训五利用ipchains构建企业防火墙
目的:
通过本次实训,让学生全面了解防火墙的种类、特点、配置及构建。
实验课时:
8课时。
实验内容:
一、防火墙:
防火墙是设置在不同网络或网络安全域之间的壹系列部件的组合。
是设置在在被保护网络和外部网络之间的壹道屏障,以防止发生不可预测的、潜在破坏性的侵入。
防火墙的优劣点:
优点:
能强化安全策略;能有效地记录互联网上的活动;防火墙限制暴露用户点;防火墙是壹个安全的策略的检查站。
缺点:
不能防范恶意的知情者;不能防范不能通过它的联接;无法防范数据驱动型的攻击;不能防范病毒。
二、防火墙的基本种类:
基于包过滤;另壹种基于代理服务。
1、包过滤防火墙
(1)建立步骤:
建立安全策略;将安全策略转化为数据包分组字段的逻辑表达式;用相应的句法重写逻辑表达式且设置之。
内部网络
(2)包过滤防火墙的特点:
对于用户是透明的,不需要用户名和密码来登录,这种防火墙速度快且易于维护,通常作为第壹道防线。
但由于它没有用户的记录,不能从访问中发现黑客的攻击记录。
2、代理防火墙:
也称为应用层网关防火墙,其核心技术是代理服务器技术,它以此参加壹个TCP联接的全过程。
代理防火墙包含俩大类:
壹是电路级网关;另壹类是应用级网关。
(1)电路级网关:
又称线路级网关,工作在会话层。
在俩主机首次建立TCP联接时创立壹个电子屏障。
电路级网关常用于向外联接,这时网络管理员对其内部用户是信任的。
但它不能不检查应用层的数据包以消除应用层攻击的威胁。
(2)应用级网关:
应用级网关使得网络管理员能够实现比包过滤防火墙更严格的安全策略。
其工作原理如下图所示。
请求
客户代理
应用级网关工作原理
三、防火墙配置和访问控制策略
1、设置防火墙的要素:
网络策略、服务访问策略、增强的认证。
2、防火墙的配置的种类:
双穴主机方式;屏蔽主机;屏蔽子网
四、利用ipchains构建企业防火墙
1、在/etc/rc/目录下用touch命令建立firewall文件
2、刷新所有的ipchains
#!
/bin/sh(行首号有#号的为注释行)
Echo“Startingipchainsrules…”
#Refreshallchains
/sbin/ipchains-F
3、设置WWW包过滤
WWW端口为80,采用tcp或udp协议。
4、设置ftp包过滤
ftp端口为21,ftp-data端口为20,均采用tcp协议。
5、设置telenet包过滤
telnet端口为21,采用tcp协议。
6、设置smtp包过滤
Smtp端口为21,采用tcp协议。
7、设置POP-3包过滤
POP-3端口为110,采用tcp或udp协议。
8、设置缺省包过滤规则
除了之上所允许通过的包以外,禁止其他包通过。
#Defineallrulesoninputchain
/sbin/ipchains–Ainput–jDENY–l
实训六数据库备份的实例
目的:
通过本次实训,让学生对数据库有个全面的了解,数据库的安全性和数据加密有如何设置,掌握对数据库的备份和灾难恢复的方法。
实验课时:
6课时。
实验内容:
壹、有关数据库的相关知识:
网络数据库的要求:
和服务器软件的集成;性能;安全性;稳定性;容错性;扩展性;备份
二、数据库的安全性能和数据加密
1、数据库的安全性能:
第壹层指系统运行安全,它包括法律、政策的保护;第二层指系统信息安全,包括用户口令字鉴别,用户存取权限控制,数据存取权限,方式控制,审计跟踪,数据加密。
2、数据库的数据加密
数据库的数据加密是将明文数据经过壹定变换,变换成密文数据。
数据的解密是加密的逆过程,重新将密文数据变成明文数据。
三、数据库的备份
1、数据库备份的内容:
网络中安装的应用程序、数据库管理系统、用户设置、系统参数、环境参数。
2、在线备份和离线备份:
在线备份是把数据和环境信息传送到计算机系统或网络上的另壹个非实时工作的区域。
离线备份:
是把数据和环境信息下载到安全的存储媒介中,这种存储媒介和当前运行的计算机系统和网络没有直接的联系。
3、数据库备份和冗余技术
数据库的冗余技术和在线备份是有所不同的。
在线备份的设备不参和实时的数据处理工作,而冗余设备却是实时地在线工作的。
冗余技术通常采用RAID技术,是把多个磁盘驱动器结合起来,通过数据冗余提高数据存储的安全性。
4、完全备份和增量备份、差额备份
完全备份:
是把所有的数据都毫不遗漏地备份下来。
但完全备份的数据量较大。
增量备份:
增量备份是在上壹次做了数据备份以来,对有了变化的数据进行备份。
在做数据恢复的时候,从上壹次完全备份开始,考虑以后的各次增量备份的修改,壹直计算到需要恢复的那壹天。
增量备份的工作量比较小,能够每天做壹次。
差额备份:
是考虑上壹次完全备份以来发生的变化数据,把这种变化备份下来。
恢复数据时需要壹个完全备份和壹个差额备份。
计算量稍微小壹些。
四、利用自动备份Orcal数据库进行数据库备份的操作
1、导出数据库
利用export命令将数据库中的数据备份成壹个二进制文件,采用用户模式。
在备份之前建壹个备份目录,以容纳备份文件。
接着可在Unix的Oracle目录下分别建立俩个文件or-backup,tar-backup。
在前壹个文件中需要对Oracle的参数进行初始化,将初始化命令放到壹个文件中为ora-env,再由第壹个文件调用它。
(1)ora-env文件对Oracle的参数进行初始化,其内容如下:
ORACLE-HOME=$ORACLE-HOME;exportORACLE-HOME
ORACLE-SID=ora73;exportORACLE-SID
ORACLE-TERM=sun;exportORACLE-TERM
LD-LIBRARY-PATH=$ORACLE-HOME/lib;exportLD-LIBRARY-PATH
ORA-NLS32=$ORACLE-HOME/ocommon/nls/admin/data;exportORA-NLS
PATH=:
/usr/ccb/bin:
/usr/cub:
$ORACLE-HOME/bin:
$PATH;exportPATH
DISPLAY=host1:
0;exportDISPLAY
NLS-LANG=American-america.zhs16cgb231280;exportNLS-LANG
(2)ora-backup文件对Oracle做export导出
2、磁带备份
Tar-backup文件将用export命令导出的数据文件拷贝到磁带上。
Tar-backup文件内容如下:
tarrvf/dev/rmt/0n/backup
3、异地备份
在使用FTP命令之前,应先在另壹台作备份用的Unix机器上建壹目录,以容纳备份文件,本文件的目录是/pub。
4、启动备份进程
Cron是壹个永久进程,它由/etc/rc.local执行启动。
Cron检查/var/spool/cron/crontabs/目录中的文件,找到所要执行的任务和招行任务的时间。
五、灾难恢复的方法。
Oracle的内核提供数据库的备份和恢复机制,提供了俩种方式:
备份恢复和向前滚动,保证意外故障恢复数据库的壹致性和完整性。
1、备份恢复方式:
对数据库的某个壹致状态建立壹个复本,且存储在介质上脱机保存,以此作为数据库恢复的基础。
2、向前滚动方式:
恢复的基础是数据库的某个壹致性状态(即方式1完成的备份恢复),恢复的依据是存档的重作记录文件。
编写人:
马玉芳
审核人:
邵杰
批准人:
张鸿鹤
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全生产 计算机 网络安全 大纲 最全版