淺析常見網(wǎng)絡安全問題及對策(1)

1、<p><b>　　畢業(yè)論文</b></p><p>　　淺析常見網(wǎng)絡安全問題及對策</p><p>　　畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明</p><p><b>　　原創(chuàng)性聲明</b></p><p>　　本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導教師的指導下進行的研

2、究工作及取得的成果。盡我所知，除文中特別加以標注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機構(gòu)的學位或?qū)W歷而使用過的材料。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。</p><p>　　作 者 簽 名：　　 　 　　日　 期：　　 　 　　 </p><p

3、>　　指導教師簽名：　　 　 　　 日　　期：　　 　 　　 </p><p><b>　　使用授權(quán)說明</b></p><p>　　本人完全了解 大學關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的規(guī)定，即：按照學校要求提交畢業(yè)設(shè)計（論文）的印刷本和電子版本；學校有權(quán)保存畢業(yè)設(shè)計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務；學校可以采用影印、縮印、

4、數(shù)字化或其它復制手段保存論文；在不以贏利為目的前提下，學校可以公布論文的部分或全部內(nèi)容。</p><p>　　作者簽名：　　 　 　　 日　 期：　　 　 　　 </p><p><b>　　學位論文原創(chuàng)性聲明</b></p><p>　　本人鄭重聲明：所呈交的論文是本人在導師的指導下獨立進行研究所取得的研

5、究成果。除了文中特別加以標注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。本人完全意識到本聲明的法律后果由本人承擔。</p><p>　　作者簽名： 日期： 年 月 日</p><p>　　學位論文版權(quán)使用授權(quán)書</p><p>　　本學位論文作者完全了解

6、學校有關(guān)保留、使用學位論文的規(guī)定，同意學校保留并向國家有關(guān)部門或機構(gòu)送交論文的復印件和電子版，允許論文被查閱和借閱。本人授權(quán)　　 　 　大學可以將本學位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。</p><p>　　涉密論文按學校規(guī)定處理。</p><p>　　作者簽名：日期： 年 月 日</p

7、><p>　　導師簽名： 日期： 年 月 日</p><p><b>　　注 意 事 項</b></p><p>　　1.設(shè)計（論文）的內(nèi)容包括：</p><p>　　1）封面（按教務處制定的標準封面格式制作）</p><p><b>　　2）原創(chuàng)性聲明

8、</b></p><p>　　3）中文摘要（300字左右）、關(guān)鍵詞</p><p>　　4）外文摘要、關(guān)鍵詞 </p><p>　　5）目次頁（附件不統(tǒng)一編入）</p><p>　　6）論文主體部分：引言（或緒論）、正文、結(jié)論</p><p><b>　　7）參考文獻</b></

9、p><p><b>　　8）致謝</b></p><p>　　9）附錄（對論文支持必要時）</p><p>　　2.論文字數(shù)要求：理工類設(shè)計（論文）正文字數(shù)不少于1萬字（不包括圖紙、程序清單等），文科類論文正文字數(shù)不少于1.2萬字。</p><p>　　3.附件包括：任務書、開題報告、外文譯文、譯文原文（復印件）。</

10、p><p>　　4.文字、圖表要求：</p><p>　　1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準請他人代寫</p><p>　　2）工程設(shè)計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應符合國家技術(shù)標準規(guī)范。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準用徒手畫</p><p>　　3）

11、畢業(yè)論文須用A4單面打印，論文50頁以上的雙面打印</p><p>　　4）圖表應繪制于無格子的頁面上</p><p>　　5）軟件工程類課題應有程序清單，并提供電子文檔</p><p><b>　　5.裝訂順序</b></p><p><b>　　1）設(shè)計（論文）</b></p>&

12、lt;p>　　2）附件：按照任務書、開題報告、外文譯文、譯文原文（復印件）次序裝訂</p><p><b>　　3）其它</b></p><p><b>　　目錄</b></p><p><b>　　摘要3</b></p><p><b>　　關(guān)鍵字3<

13、;/b></p><p><b>　　第一章 引言4</b></p><p>　　1.1網(wǎng)絡安全概述4</p><p>　　1.2 網(wǎng)絡安全體系結(jié)構(gòu)4</p><p>　　1.3 網(wǎng)絡安全技術(shù)簡介5</p><p>　　第二章 操作系統(tǒng)的安全6</p><p&g

14、t;　　2.1 實現(xiàn)主機系統(tǒng)的安全6</p><p>　　2.2 實現(xiàn)防火墻對網(wǎng)絡的保護7</p><p>　　2.3 實現(xiàn)系統(tǒng)內(nèi)部蜜罐功能15</p><p>　　第三章 網(wǎng)絡設(shè)備安全18</p><p>　　3.1 網(wǎng)絡設(shè)備IOS安全18</p><p>　　3.2 Cisco交換機安全18</p

15、><p>　　3.3 Cisco路由器安全20</p><p>　　第四章 各種攻擊及其防范對策21</p><p>　　4.1 IPC$入侵21</p><p>　　4.2 IP欺騙與防范25</p><p>　　4.3 網(wǎng)頁病毒的制作與防范26</p><p>　　4.4 遇到密碼破解

16、的對策27</p><p><b>　　第五章 結(jié)論28</b></p><p><b>　　參考文獻29</b></p><p><b>　　致謝30</b></p><p><b>　　摘要</b></p><p>　　

17、摘要：隨著信息化進程的深入和因特網(wǎng)的迅速發(fā)展，人們的工作、學習和生活方式正在發(fā)生著巨大的變化。但是，緊隨著信息化發(fā)展而來，網(wǎng)絡安全問題也變的日益突出。針對這些問題，本文分析了計算機網(wǎng)絡安全的現(xiàn)狀與網(wǎng)絡安全所面臨的安全威脅。通過事例，研究了對計算機網(wǎng)絡正常運行產(chǎn)生不利因素的防范措施，從不同角度了解影響計算機網(wǎng)絡安全的情況，確保計算機網(wǎng)絡的安全管理與有效運行，并提出了一些網(wǎng)絡安全問題的方法和對策。</p><p>　

18、　關(guān)鍵字：計算機、網(wǎng)絡安全、防范措施</p><p><b>　　第一章 引言</b></p><p><b>　　1.1網(wǎng)絡安全概述</b></p><p>　　網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受任何破壞、更改和泄漏，確保系統(tǒng)能連續(xù)可靠正常運行，確保網(wǎng)絡服務不中斷。從本質(zhì)上講，計算機網(wǎng)絡安全就

19、是網(wǎng)絡上的信息安全。</p><p>　　網(wǎng)絡安全具有五個方面的特征：保密性、完整性、可用性、可控性、可審查性。其中保密性是要保證在網(wǎng)絡上傳輸?shù)男畔⒉槐恍孤?，防止非法竊取，通常采用信息加密技術(shù)，來防止信息的泄漏。完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性?？捎眯允潜皇跈?quán)的實體可以訪問并按需求使用的特性?？煽匦允侵改軌蛲ㄟ^訪問授權(quán)使用資源的人或?qū)嶓w對網(wǎng)絡的使用方式以及對網(wǎng)絡傳播的內(nèi)容進行控制，防止和控制非法信息或不良

20、信息的傳播?？蓪彶樾允侵钢赋霈F(xiàn)的安全問題時提供的依據(jù)與手段。</p><p>　　隨著互聯(lián)網(wǎng)和網(wǎng)絡應用的飛速發(fā)展，網(wǎng)絡應用日益普及并更加復雜，網(wǎng)絡安全問題已經(jīng)是互聯(lián)網(wǎng)和網(wǎng)絡應用發(fā)展中面臨的重要問題。網(wǎng)絡攻擊行為越來越多且更加復雜，使網(wǎng)絡安全的防御變的更加困難。</p><p>　　黑客攻擊行為，攻擊目標從單純的追求“榮耀感”向獲取多方面實際利益的方向轉(zhuǎn)移。網(wǎng)上木馬、間諜程序、釣魚網(wǎng)站等的出

21、現(xiàn)和日趨泛濫。手機、筆記本電腦等無線終端設(shè)備的處理能力和功能通用性的提高，使其日趨接近個人計算機，針對這些無線終端設(shè)備的網(wǎng)絡攻擊已經(jīng)開始出現(xiàn)，并將進一步發(fā)展。</p><p>　　總之，網(wǎng)絡安全問題已經(jīng)變得更加復雜，影響不斷擴大。如果網(wǎng)絡安全問題不加以防范，將會嚴重的影響到網(wǎng)絡的應用。</p><p>　　1.2 網(wǎng)絡安全體系結(jié)構(gòu)</p><p>　　通過對網(wǎng)絡的全

22、面了解，按照安全策略的要求、風險分析的結(jié)果及整個網(wǎng)絡的安全目標，整個網(wǎng)絡安全體系主要由物理安全、網(wǎng)絡安全、系統(tǒng)安全、信息安全、用用安全和安全管理等幾個方面組成。</p><p>　　物理安全是整個計算機信息系統(tǒng)安全的前提，物理安全是保護計算機網(wǎng)絡設(shè)備、設(shè)施及其他媒體免遭地震、火災、水災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。</p><p>　　系統(tǒng)安全主要是指

23、操作系統(tǒng)、應用系統(tǒng)的安全性及網(wǎng)絡硬件平臺的可靠性。</p><p>　　信息安全就是要保護網(wǎng)絡中各個位置的敏感信息。</p><p>　　在應用安全上，首先要考慮到通信的授權(quán)，傳輸?shù)募用芎蛯徲嬘涗洝Ｆ浯螒搰栏裣拗频卿浾叩牟僮鳈?quán)限，將其完成的操作限制在最小的范圍。</p><p>　　安全管理是指一些安全管理的策略。安全管理策略主要有：定義完善的安全管理模型；建立長

24、遠可實施的安全策略；徹底規(guī)范的安全防范措施；建立恰當?shù)陌踩u估尺度，并且進行經(jīng)常性的規(guī)劃審核。當然還需建立高效的管理平臺。</p><p>　　1.3 網(wǎng)絡安全技術(shù)簡介</p><p>　　防病毒技術(shù)、防火墻技術(shù)和入侵檢測技術(shù)是網(wǎng)絡安全領(lǐng)域的三大主流技術(shù)。</p><p>　　1.3.1 防病毒技術(shù)</p><p>　　在所有計算機安全威脅中

25、，計算機病毒是最嚴重的，不僅發(fā)生的頻率高、損失大，而且潛伏性強、覆蓋范圍廣。因此，查殺病毒是必須的措施。單機防病毒、網(wǎng)絡防病毒、網(wǎng)關(guān)防病毒、系統(tǒng)的防病毒的防病毒計劃是目前主要的防病毒技術(shù)。</p><p>　　單機防病毒與專業(yè)的防病毒服務器配合，定期或自動通過英特網(wǎng)連接產(chǎn)品官方服務器獲得最新病毒定義，以實現(xiàn)動態(tài)防御與靜態(tài)殺毒相結(jié)合。</p><p>　　網(wǎng)絡防病毒技術(shù)是目前主流安全防護技術(shù)

26、之一，適用于各種規(guī)模的局域網(wǎng)。網(wǎng)絡防病毒技術(shù)包括服務器模塊和客戶端模塊，其中服務器主要為客戶端提供統(tǒng)一部署和管理，如病毒庫升級、遠程部署等，而客戶端則只需接受防病毒服務器的管理即可。</p><p>　　網(wǎng)關(guān)防病毒技術(shù)主要有兩個部分，一是如何對進出網(wǎng)關(guān)數(shù)據(jù)進行查殺；而是對要查殺的數(shù)據(jù)進行檢測與清除。網(wǎng)關(guān)防病毒技術(shù)有基與代理服務器、基于防火墻協(xié)議還原、基于郵件服務器、基于信息渡船產(chǎn)品方式等幾種實現(xiàn)形式。</p

27、><p>　　系統(tǒng)的防病毒計劃重要包括制定系統(tǒng)和防病毒策略、部署多層防御戰(zhàn)略、定期更新防病毒定義文件和引擎、定期備份文件等計劃。</p><p>　　1.3.2 防火墻技術(shù)</p><p>　　防火墻是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設(shè)備。</p><

28、;p>　　目前的防火墻產(chǎn)品主要有包過濾路由器、代理服務器以及電路層網(wǎng)關(guān)、屏蔽主機防火墻等類型。按照防火墻所采用的技術(shù)不同又可以分為包過濾、網(wǎng)絡地址轉(zhuǎn)換、代理型、檢測型四種基本類型。</p><p>　　1.3.3 入侵檢測技術(shù)</p><p>　　入侵檢測技術(shù)簡單地說是指一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。入侵檢測的作用主要有如下幾個方面：（1）若能迅速檢測到入侵，則

29、有可能在造成系統(tǒng)損壞或數(shù)據(jù)丟失之前識別并驅(qū)除入侵者。（2）若能迅速檢測到入侵，可以減少損失，使系統(tǒng)迅速恢復正常工作，對入侵者造成威脅，阻止其進一步的行為。（3）通過入侵檢測可以收集關(guān)于入侵的技術(shù)資料，可用于改進和增強系統(tǒng)抵抗入侵的能力。</p><p>　　第二章 操作系統(tǒng)的安全</p><p>　　2.1 實現(xiàn)主機系統(tǒng)的安全</p><p>　　2.1.1禁止建立

30、空鏈接(如果開放著IPC$的話，黑客可以通過一些工具與計算機建立連接，然后得到用戶列表并進行暴力破解，因此禁止建立空連接很重要)如下圖2—1</p><p><b>　　圖2—1</b></p><p>　　2.1.2 關(guān)閉不必要的端口和服務</p><p>　　關(guān)閉不必要的端口（以關(guān)閉445端口為例），如下圖2—2</p>&l

31、t;p><b>　　圖2—2</b></p><p>　　關(guān)閉不必要的服務（以關(guān)閉IPSEC Services為例），如下圖2—3</p><p><b>　　圖2—3</b></p><p>　　2.1.3 禁止系統(tǒng)自動啟動服務器共享，如下圖2—4</p><p><b>　　圖2

32、—4</b></p><p>　　2.2 實現(xiàn)防火墻對網(wǎng)絡的保護</p><p>　　2.2.1 允許內(nèi)部電腦訪問Internet和外部FTP服務器</p><p>　　第一步：打開ISA Server 管理窗口，在左窗格中依次展開“服務器名稱”→“配置”目錄，并選中“網(wǎng)絡”選項。這時右側(cè)的任務窗格中默認打開“模版”選項卡，里面列出了系統(tǒng)內(nèi)置的五種模版，

33、單擊“邊緣防火墻”模版，如下圖2—5。</p><p><b>　　圖2—5</b></p><p>　　第二步：打開“網(wǎng)絡模版向?qū)А保跉g迎頁中單擊“下一步”按鈕。如下圖2—6</p><p><b>　　圖2—6</b></p><p>　　第三步：點擊下一步，打開“內(nèi)部網(wǎng)絡IP 地址”對話框，

34、確認向?qū)д_識別了內(nèi)部網(wǎng)絡的IP 地址。在該對話框中，用戶可以通過添加IP地址、添加適配器或添加專用地址來添加更多的IP地址。添加到“地址范圍”列表框中的IP地址將被允許訪問外部網(wǎng)絡（Internet），確認內(nèi)部IP地址范圍無誤后單擊“下一步”繼續(xù)，如下圖2—7所示：</p><p><b>　　圖2—7</b></p><p>　　第四步：打開“選擇一個防火墻策略”

35、對話框，在“選擇一個防火墻策略”列表中選中一個防火墻策略。本例選中“允許無限制的訪問”選項，該策略將允許內(nèi)部網(wǎng)絡和VPN客戶端網(wǎng)絡中的計算機無限制訪問Internet。設(shè)置完畢單擊“下一步”按鈕，如下圖2—8所示：</p><p><b>　　圖2—8</b></p><p>　　第五步：點擊下一步，單擊完成按鈕。如下圖2—9</p><p>

36、<b>　　圖2—9</b></p><p>　　第六步：返回ISA Server管理窗口。在左窗格中單擊“防火墻策略”選項，這時可以在右窗格中看到新建的策略規(guī)則。最后依次單擊“應用”→“確定”按鈕保存更改并更新配置，如下圖2—10，2—11所示：</p><p><b>　　圖2—10</b></p><p><b

37、>　　圖2—11</b></p><p>　　第七步：出于安全考慮，ISA Server 服務器默認不允許FTP上傳（即不能向位于外部網(wǎng)絡的FTP服務器），用戶必須手動取消FTP的“只讀”屬性才能實現(xiàn)FTP上傳。在上述創(chuàng)建的“無限制的Internet訪問”策略規(guī)則上單擊右鍵，選擇“配置FTP”快捷命令。在打開的“配置FTP協(xié)議策略”對話框中取消選中“只讀”復選框，并依次單擊“確定”→“應用”→“

38、確定”按鈕保存更改并更新設(shè)置，如下圖2—12所示：</p><p><b>　　圖2—12</b></p><p>　　2.2.2具體策略(使ccc和xp能夠ping通bbb，使ccc能夠telnet bbb，而xp不能telnet bbb)</p><p>　　第一步：bbb上未安裝ISA之前ccc能夠ping通bbb如下圖2—13所示：&l

39、t;/p><p><b>　　圖2—13</b></p><p>　　第二步：在bbb上安裝ISA2004，如下圖2—14所示</p><p><b>　　圖2—14</b></p><p>　　第三步：bbb上安裝了ISA2004后，bbb能夠ping同ccc和xp,而ccc和xp不能ping通bbb

40、。在bbb上創(chuàng)建策略，使ccc和xp能夠ping通bbb。如下圖2—15，2—16，2—17所示：</p><p><b>　　圖2—15</b></p><p><b>　　圖2—16</b></p><p><b>　　圖2—17</b></p><p>　　第四步：創(chuàng)建策

41、略使ccc能夠telnet bbb而xp不能telnet bbb，如下圖2—18所示：</p><p><b>　　圖2—18</b></p><p>　　第五步：Ccc能夠telnet bbb ,而xp不能telnet bbb，如下圖2—19，2—20所示：</p><p><b>　　圖2—19</b></p&g

42、t;<p><b>　　圖2—20</b></p><p>　　2.3 實現(xiàn)系統(tǒng)內(nèi)部蜜罐功能</p><p>　　第一步：單擊“開始”——“運行”，輸入“dcomcnfg”，單擊“確定”，打開組件服務。</p><p>　　第二步：在彈出的“組件服務”對話框中，選擇“計算機”選項。</p><p>　　第三

43、步：在“計算機”選項右邊，右鍵單擊“我的電腦”，選擇“屬性”。</p><p>　　第四步：在出現(xiàn)的“我的電腦屬性”對話框“默認屬性”選項卡中，去掉“在此計算機上啟用分布式COM”前的勾。</p><p>　　第五步：選擇“默認協(xié)議”選項卡，選中“面向連接的TCP/IP”，單擊“刪除”按鈕。</p><p>　　第六步：單擊“確定”按鈕，設(shè)置完成，重新啟動后即可關(guān)閉

44、80端口。關(guān)閉了80端口，如下圖2—21所示：</p><p><b>　　圖2—21</b></p><p>　　第七步：服務器類型選iis服務后開始監(jiān)聽，如下圖2—22所示：</p><p><b>　　圖2—22</b></p><p>　　第八步：bbb(192.168.1.42)訪問192

45、.168.1.1，訪問到虛擬web，如下圖2—23所示</p><p><b>　　圖2—23</b></p><p>　　第九步：aaa上日志文件檢測到192.168.1.42的訪問，如下圖所示：2—24</p><p><b>　　圖2—24</b></p><p>　　第三章 網(wǎng)絡設(shè)備安全&l

46、t;/p><p>　　3.1 網(wǎng)絡設(shè)備IOS安全</p><p>　　3.1.1 登錄密碼安全（以交換機為例）</p><p>　　為交換機SI配置Enable密碼，如下圖3—1</p><p><b>　　圖3—1</b></p><p>　　3.1.2 終端訪問限制安全（以交換機為例），如下圖3—

47、2</p><p><b>　　圖3—2</b></p><p>　　3.2 Cisco交換機安全（S1只能學到一個MAC地址，如果違規(guī)就將接口關(guān)閉）</p><p>　　3.2.1 交換機端口安全</p><p>　　交換機端口安全功能，是指針對交換機的端口進行安全屬性的配置，從而控制用戶的安全接入。交換機端口安全主要

48、有兩種類型：一是限制交換機端口的最大連接數(shù)，二是針對交換機端口進行MAC地址、IP地址的綁定。</p><p>　　限制交換機端口的最大連接數(shù)可以控制交換機端口下連的主機數(shù)，并防止用戶進行惡意的ARP欺騙。</p><p>　　交換機端口地址綁定可以實現(xiàn)對用戶進行嚴格的控制、保證用戶的安全接入和防止常見的內(nèi)網(wǎng)的網(wǎng)絡攻擊。</p><p>　　在S1上配置（讓S1的端

49、口fa0/2只能學到一個mac地址）的命令如下圖3—3所示：</p><p><b>　　圖3—3</b></p><p>　　3.2.2 VLAN安全</p><p>　　VLAN的主要作用：一是提高網(wǎng)絡安全性，阻止未經(jīng)授權(quán)的VLAN訪問，二是提高網(wǎng)絡傳輸效率，將廣播隔離在子網(wǎng)之內(nèi)。在局域網(wǎng)使用VLAN可以降低移動和變更的管理成本，控制廣播、

50、增強安全性、網(wǎng)絡監(jiān)督和管理的自動化。</p><p>　　3.2.2.1 劃分VLAN并配置VTP并將電腦加入到相應的VLAN</p><p><b>　　如下拓撲圖3—4</b></p><p><b>　　圖3—4</b></p><p>　　第一步：連線并且配置中繼鏈路</p>

51、<p>　　S1(config)#interface fa0/4</p><p>　　S1(config-if)#switchport mode trunk </p><p>　　S2(config)#interface fa0/4</p><p>　　S2(config-if)#switchport mode trunk </p><

52、;p><b>　　查看和檢驗的命令</b></p><p>　　S2#show interfaces trunk</p><p><b>　　第二步：配置域名</b></p><p>　　S1(config)#vtp domain syh</p><p>　　S2(config)#vtp do

53、main syh </p><p>　　第三步：在交換機S1上創(chuàng)建一個VLAN</p><p>　　第四步：把端口加到VLAN中</p><p>　　S2(config)#interface fa0/1</p><p>　　S2(config-if)#switchport mode acce</p><p>　　S2(

54、config-if)#swi acc vlan 10</p><p>　　S2(config-if)#exit</p><p>　　S2(config)#inter fa0/2</p><p>　　S2(config-if)#swi mo acc</p><p>　　S2(config-if)#swi acc vlan 20</p&g

55、t;<p>　　S2(config-if)#exi</p><p>　　S2(config)#interfac fa0/3</p><p>　　S2(config-if)#swi mo acc</p><p>　　S2(config-if)#swi acc vlan 30</p><p>　　第五步：S1為VTP服務器，S2為V

56、TP客戶</p><p>　　S1(config)#vtp mode server</p><p>　　S2(config)#vtp mode client</p><p>　　3.3 Cisco路由器安全</p><p>　　3.3.1 路由器ACL安全</p><p>　　3.3.1.1拓撲圖如下圖3—5所示<

57、;/p><p><b>　　圖3—5</b></p><p>　　3.3.1.2 安全策略1</p><p>　　只允許PC3（192.168.3.2）訪問服務器的web站點（192.168.1.3），其他都拒絕.其配置命令如下圖3—6所示：</p><p><b>　　圖3—6</b></p&g

58、t;<p>　　3.3.1.3安全策略2拒絕來自因特網(wǎng)的PING、telnet，其它都允許。其配置命令如下圖3—7所示：</p><p><b>　　圖3—7</b></p><p>　　3.3.2 路由器物理訪問安全</p><p>　　路由器是局域網(wǎng)中的主要設(shè)備之一，也是網(wǎng)絡安全的前沿關(guān)口。如果路由器連自身的安全都沒有保障，整

59、個網(wǎng)絡也就毫無安全可言。因此在網(wǎng)絡安全管理上，必須對路由器進行合理規(guī)劃、配置，采取必要的安全措施，避免因路由器自身的安全問題而給整個網(wǎng)絡系統(tǒng)帶來漏洞和風險。</p><p>　　維護路由器一直是網(wǎng)絡管理員最重要的工作之一，除確保管理員身份外，還應建立完善的記錄備案機制，通常情況下可以從為路由器間的協(xié)議交換增加認證功能、物理安全防范、靜止遠程訪問、保護路由器口令、阻止查看路由器當前的用戶列表、防止包嗅探等方面加以控

60、制。</p><p>　　嚴格控制CON端口的訪問，可以采取下列措施：1、如果可以開機箱的，則可以切斷與CON口互聯(lián)的物理線路；2、可以改變默認的連接屬性，例如修改波特率；3、配合使用訪問控制列表控制對CON的訪問；4、為CON口設(shè)置高強度的密碼。</p><p>　　第四章 各種攻擊及其防范對策</p><p>　　4.1 IPC$入侵</p>&l

61、t;p>　　第一步：建立IPC$連接（目標主機的ip:172.5.211.105）如下圖4—1所示：</p><p><b>　　圖4—1</b></p><p>　　第二步：映射對方默認共享C盤，如下圖4—2所示：</p><p><b>　　圖4—2</b></p><p>　　第三步：在

62、我的電腦上會出現(xiàn)網(wǎng)絡驅(qū)動器，如下圖4—3</p><p><b>　　圖4—3</b></p><p>　　第四步：編寫一個批處理文件（其目的是為了留下后門帳號），并拷貝到對方的電腦上，然后增加計劃任務執(zhí)行批處理文件，如下圖4—4</p><p>　　批處理命令：（保存為adduser.bat）</p><p>　　ne

63、t user nebulastest 123456 /add //增加用戶nebulastest，密碼123456</p><p>　　net localgroup administrators nebulastest /add //為用戶nebulastest賦予管理員權(quán)限</p><p><b>　　圖4—4</b></p><p>　　第

64、五步：刪除當前IPC$鏈接，使用新用戶和新密碼建立IPC$鏈接，如下圖4—5所示：</p><p><b>　　圖3—12</b></p><p>　　第六步：使用telnet（其格式是：在命令行輸入telnet 目標主機的ip）進行登陸：（前提:目標電腦已經(jīng)開啟telnet服務）如下圖4—6所示：</p><p><b>　　圖4—

65、6</b></p><p>　　第七步：登陸后的界面（獲得了目標主機的shell），如下圖4—7所示：</p><p><b>　　圖4—7</b></p><p>　　4.2 IP欺騙與防范</p><p>　　4.2.1 IP欺騙</p><p>　　第一步：ipmap安裝成功提示

66、，如下圖4—8</p><p><b>　　圖4—8</b></p><p>　　第二步：啟動ipmap，如下圖4—9</p><p><b>　　圖4—9</b></p><p>　　4.2.2 IP欺騙防范</p><p>　　IP欺騙的防范措施主要有以下三個：</

67、p><p>　?。?）拋棄基于地址的信任策略</p><p>　　放棄以地址為基礎(chǔ)的驗證。不允許r*類遠程調(diào)用命令的使用；刪除rhosts文件；清空/etc/hosts.equiv文件。這將迫使所有用戶使用其他遠程通信手段，如telnet、ssh、skey等</p><p>　?。?）阻止偽冒ip地址</p><p>　　采用訪問控制列表（ACL

68、）可也阻止這類ip地址進入內(nèi)網(wǎng)在進站ACL拒絕的私有地址的進入（黑客冒充私有一般）</p><p>　　ip access-list exitingress-antispoof</p><p>　　deny ip 10.0.0.0 0.255.255.255 any</p><p>　　permit ip any any</p><p>　　

69、建立策略防止自己網(wǎng)絡中用戶仿冒其他網(wǎng)絡的ip</p><p><b>　　（3)使用加密方法</b></p><p>　　通信時要求加密傳輸和驗證。IPSEC是intenet協(xié)議安全，它使用很強的密碼系統(tǒng)提供認證和加密服務，提供兩個網(wǎng)關(guān)之間的安全通道的能力，數(shù)據(jù)在發(fā)送者的網(wǎng)送處加密，在接受者處的網(wǎng)關(guān)處解密</p><p>　　4.3 網(wǎng)頁病毒的

70、制作與防范</p><p>　　4.3.1 網(wǎng)頁病毒的制作</p><p>　　第一步：代碼編輯，我們使用寫字板編輯如下代碼：</p><p><b>　　<html></b></p><p><b>　　<body></b></p><p><

71、b>　　<% </b></p><p><b>　　Dim fso</b></p><p>　　Set fso=Server.CreatedObject("Scripting.FilesystemObject")</p><p>　　fso.CreateTextFile("d:\myfil

72、e")</p><p>　　response.write("新建文件myfile")</p><p>　　set fso=nothing</p><p><b>　　%></b></p><p><b>　　</body></b></p>

73、<p><b>　　</html></b></p><p>　　第二步：執(zhí)行腳本編寫的代碼。要執(zhí)行上述代碼，首先要配好IIS服務和我web服務器</p><p>　　第三步：當web服務器配置完成，將上述編輯好的代碼保存到web服務器的路徑中，如“c:\Inetpub\wwwroot\text.asp”.</p><p>

74、;　　第四步：打開IE瀏覽器，在地址欄中輸入“HTTP://localhost/text.asp”，運行腳本。這時，如果腳本沒有語法錯誤則會在網(wǎng)頁中輸出“新建文件myfile”,并且在d盤根目錄下建立了一個文件myfile</p><p>　　4.3.2 網(wǎng)頁病毒的防范</p><p>　　自定義安全級別。打開IE，在Internet選項中選擇“工具”——“安全”——“自定義安全級別”把“

75、ActiveX的插件和控件”的一切設(shè)為禁用。如下圖4—10所示：</p><p><b>　　圖4—10</b></p><p>　　4.4 遇到密碼破解的對策</p><p>　　4.4.1 對稱密鑰密碼體制</p><p>　　所謂對稱密鑰密碼體制是指加密和解密密鑰是一樣的。</p><p>

76、　　對稱密鑰密碼體制在應用中的缺陷：密鑰管理的麻煩、不能提供法律依據(jù)、缺乏自動檢測保密密鑰泄密的能力。</p><p>　　4.4.2 公鑰密碼體制</p><p>　　所謂公鑰密碼體制是指加密和解密是不同的，密鑰是一對。一個是公開的，一個是秘密的。</p><p>　　公鑰密碼應用上的缺陷：公鑰算法一般比較復雜、加解密速度慢。</p><p&g

77、t;　　網(wǎng)絡上的加密普遍采用公鑰和私鑰密碼相結(jié)合的混合加密體制：加解密采用傳統(tǒng)密碼，密鑰傳送采用公鑰密碼。這樣既解決了密鑰管理的困難，又解決了加解密速度的問題。</p><p>　　4.4.3 密碼體制的應用（虛擬專用網(wǎng)），VPN的過程如下圖4—11所示：</p><p><b>　　圖4—11</b></p><p>　　要通過Interne

78、t建立VPN，不僅只是對兩端傳送的數(shù)據(jù)進行加密，還需要對用戶的身份進行認證。用戶認證涉及認證算法或公鑰證書。VPN還需要建立訪問控制能力，只有合法的用戶才能訪問內(nèi)部網(wǎng)，不同用戶的訪問權(quán)限也會不一樣。</p><p><b>　　第五章 結(jié)論</b></p><p>　　有網(wǎng)絡連接的地方，就會有網(wǎng)絡安全問題的存在。網(wǎng)絡安全問題是網(wǎng)絡發(fā)展的核心和靈魂。在本次畢業(yè)設(shè)計中，主

79、要淺析了一些簡單的網(wǎng)絡安全的問題及其防范的措施。在此設(shè)計過程中，通過實踐和參考了許多有關(guān)方面的資料，也對以前所學的關(guān)于網(wǎng)絡方面的知識有了更深的了解，當完成這個設(shè)計之后，我們感受到網(wǎng)絡的無窮魅力同時也發(fā)現(xiàn)自己掌握的網(wǎng)絡知識是如此欠缺并對網(wǎng)絡知識產(chǎn)生了一進步了解加深的渴望。在這次設(shè)計中雖然遇見了很多問題，但通過查詢資料，請教同學，問題都不同程度的解決了。通過這次課題，我學到了很多，與此同時也鞏固了我的已學知識，提高了我們的思維能力，加強了我

80、們解決困難和應對困難的能力。</p><p><b>　　參考文獻</b></p><p>　　[1] 曹晟 陳崢，《計算機網(wǎng)絡安全實驗教程》，第一版，北京，清華大學出版社，2011年</p><p>　　[2] 劉曉輝，《網(wǎng)絡安全設(shè)計、配置與管理大全》，第一版，北京，電子工業(yè)出版社，2009年</p><p>　　[3

81、] 謝希仁，《計算機網(wǎng)絡(第5版)》，第5版，北京，電子工業(yè)出版社，2009年</p><p>　　[4] 李濤,《網(wǎng)絡安全概論》，第1版,北京,電子工業(yè)出版社 ,2004年</p><p>　　[5] 牛冠杰，　《網(wǎng)絡安全技術(shù)實踐與代碼詳解》，人民郵電出版社.，2010年</p><p>　　[6] 楊波，《現(xiàn)代密碼學》（第2版），清華大學出版社，2010年&l

82、t;/p><p>　　[7] Greg Holden著 王斌 孔璐譯 《防火墻與網(wǎng)絡安全——入侵檢測和VPNs》，清華大學出版社，2009年</p><p>　　[8] 龔濤 魯立， 《網(wǎng)絡操作系統(tǒng)——基于Windows Server 2003》，機械工業(yè)出版社，2010年</p><p>　　[9] David Hucaby著 王兆文譯， 《CCNP SWITCH（6

83、42-813）認證考試指南》，人民郵電出版社，2010年</p><p>　　[10] Todd Lammle著 程代偉 徐宏 池亞平譯， 《CCNA學習指南》，第三版，電子工業(yè)出版社，2009年</p><p><b>　　致謝</b></p><p>　　首先誠摯的感謝指導老師XXX老師，在XXX老師的悉心指導下，我不但順利完成了論文，還學