网络安全防护操作题

四、实验题(10道)

5-192 按照国家电网公司SG186工程信息化建设要求，公司开发建设了某应用系统，系统采用Windows2003平台提供服务，根据等级保护建设和公司信息安全要求，需要根据如下具体要求对系统进行配置和安全加固。

(1)对登录操作系统的用户进行身份标识和鉴别，操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换，同时对系统账号进行优化，禁用不必要的账号。 (2)根据应用系统服务端口最小化原则，关闭不必要的网络端口和服务。 (3)增强日志审核，调整审核策略，调整事件日志的大小和覆盖策略。

(4)为进一步提高系统安全性，需要禁止匿名用户连接(空连接)，禁止系统显示上次登录的用户名，删除主机默认共享，禁止dump file的产生。 答案要点： 1．

(1)本地安全设置I账户策略I密码策略，对密码策略进行设置。密码复杂性要求：启用。密码长度最小值：8字符；密码最短存留期：0天。

(2)本地安全设置I账户策略I账户锁定策略，对账户锁定策略进行设置：复位账户锁定计数器：15min。账户锁定时间：15min。账户锁定阀值：5次。

(3)更改默认管理员账号，本地安全设置I本地策略I安全选项I重命名系统管理员账号。 (4)计算机管理I系统工具I本地用户和组I用户，删除非法账号或多余账号。 2．

通过开始I运行Iservices．msc，将不必要的服务启动类型设置为手动并停止，或者禁用。需要停用的服务主要有：

(1)Server：网络共享与IPC$。

(2)Remote Registry：远程管理注册表，开启此服务带来一定的风险。 (3)Print Spooler：如果相应服务器没有打印机，可以关闭此服务。 (4)Alerter：远程发送警告信息。

(5)Computer Browser(计算机浏览器)：维护网络上更新的计算机清单。 (6)Messenger：允许网络之间互相传送提示信息的功能，如net send。 (7)Task Scheduler：计划任务。 3．

(1)本地安全设置I本地策略I审核策略，进行审核策略调整。修改安全策略为下述值： 审核策略更改 成功 审核登录事件 无审核 审核对象访问 成功，失败 审核过程追踪 无审核 审核目录服务访问 无审核 审核特权使用 无审核 审核系统事件 成功，失败 审核账户登录事件 成功，失败 审核账户管理 成功，失败

(2)管理工具I事件查看器，设置应用程序、安全性、系统三者的默认“最大日志文件大小”

和“覆盖策略”。 应用程序、安全性、系统三者的“最大日志文件大小”调整为16384K：覆盖策略调整为“改写久于30天的事件”。 4．

(1)禁止匿名用户连接，修改注册表如下键值：

HKLM＼SYSTEM＼CurrentControlSet＼Control＼Lsa

“restrictanonymous”的值修改为“1”，类型为REG DWORD。 (2)禁止系统显示上次登录的用户名，修改注册表如下键值：

HKLM＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼ DontDisplayLastUserName把REG SZ的键值改成1。 (3)删除主机默认共享，增加注册表键值。

HKLM＼SYSTEM＼CurrentControlSet＼Services＼lanmanserver＼parameters Autoshareserver项，并设置该值为“1”。 (4)禁止dump file的产生。

控制面板I系统属性I高级I启动和故障恢复，把“写入调试信息”改成无。

5-193 国家电网公司内部需要利用Windows Server 2003服务器再发布多个Web站点，但是只能使用一个IP和标准的80端口。多个站点的地FQDN是news．sgl86．com，hr．sgl86．com，finance．sgl86．com。其中，hr．sgl86．com涉及到表单登录，需要有更强的安全防护措施。新增的三个站点必需保证互不影响，即一个站点的意外停止运行不会影响到其他站点。请配置相关的DNS和服务器。

答案要点：

(1)多主机头，DNS主机记录的注册。

(2)申请证书，对hr．sgl86．com站点进行SSL封装。 (3)创建不同的应用程序池，并应用到不同的三个站点。

5-194 如何对默认安装的WindowsServer2003服务器进行安全加固，以防范中c$入侵。

答案要点：

(1)禁止空连接进行枚举(此操作并不能阻止空连接的建立)。 首先运行regedit，找到如下主键

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA] 把RestrictAnonymous=DWORD的键值改为：00000001。 0x0缺省

0x1匿名用户无法列举本机用户列表

0x2匿名用户无法连接本机IPC$共享

说明：不建议使用2，否则可能会造成你的一些服务无法启动，如SQLServer (2)禁止默认共享。 1)察看本地共享资源。 运行-cmd-输入net share 2)删除各共享。

net share ipc$／delete net share admin$／delete net share c$／delete

net share d$／delete(如果有e，f，??可以继续删除) 3)修改注册表，删除默认共享。

运行-regedit找到如下主键[HKEY LOCAL MACHINE\\SYSTEM\\CurrentControlSet＼Services＼LanmanServer＼Parameters]

把AutoShareServer(DWORD)的键值改为0000000。

如果上面所说的主键不存在，就新建(右键单击I新建I双字节值)一个主键再改键值。 (3)停止server服务。 1)停止server服务。

2)永久关闭ipc$和默认共享依赖的服务：lanmanserver即server服务

控制面板I管理工具I服务I找到server服务(右击)I属性I常规I启动类型I已禁用 (4)安装防火墙(选中相关设置)，或者端口过滤(滤掉139，445等)。 1)取消“文件和打印机共享”与网络适配器的绑定。

鼠标右键单击桌面上的网络邻居I属性I本地连接I属性，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。 2)利用TCP/IP筛选。

鼠标右击桌面上的网络邻居I属性I本地连接I属性，打开“本地连接属性”对话框。选择Internet协议(TCP/IP)I属性I高级I选项，在列表中单击选中“TCP/IP筛选”选项。单击属性按钮，选择“只允许”，再单击添加按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。 3)使用IPSec安全策略阻止对端口139和445的访问。

选择我的电脑I控制面板I管理工具I本地安全策略IIP安全策略，在本地机器，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。 4)使用防火墙防范攻击。

在防火墙中也可以设置阻止其他机器使用本机共享。在个人防火墙，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139\，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击确定按钮，并在“自定义ip规则”列表中勾选此规则即可启动拦截139端口攻击了。 (5)给所有账户设置复杂密码，密码包括大写字母、小写字母、数字、特殊字符种的至少三项，长度不少于8位，防止通过ipc$穷举密码。

5-195 给一台使用默认设置安装好的Linux服务器，如何配置以加强这台服务器的安全性?

(再明确点)

答案要点：

(1)用防火墙关闭不须要的任何端口，别人PING不到服务器，威胁自然减少了一大半 防止别人ping的方法： 1)命令提示符下打。

echo 1 >／proc／sys／net／ipv4／icmp_ignore_all 2)用防火墙禁止(或丢弃)icmp包。 iptables-AINPUT-picmp-jDROP

3)对所有用ICMP通信的包不予响应。 比如PING TRACERT

(2)更改SSH端口，最好改为10000以上，别人扫描到端口的几率也会下降。 vi／etc／ssh／sshd_config 将PORT改为1000以上端口。

同时，创建一个普通登录用户，并取消直接root登录。 useradd'USemanle' passwd'usemame'

vi／etc／ssh／sshd_config 在最后添加如下一句：

PermitRootLogin nO #取消root直接远程登录 (3)删除系统臃肿多余的账号：

userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允许匿名FTP，就删掉这个用户账号groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers

(4)更改下列文件权限，使任何人没有更改账产权限：

chattr +i／etc／passwdchattr +i／etc／shadowchattr +i／etc／groupchattr +i／etc／gshadow

(5)chmod600／etc／xinetd．conf。 (6)关闭FTP匿名用户登录。

5-196 某房间墙上有1个网口，可以为MAC地址为

(00-FF-E4-4C-27-8A)的设备提供(ip-mac)绑定的接入因特网服务，该IP配置信息如下：

Ip：10．2．100．3

Netmask：255．255．255．0 Gateway：10．2．100．254 DNS：10．2．200．1

如何配置一台天融信防火墙NGFW4000，使得某个网段(192．168．0．1／24)的机器能通过此网口接入因特网? 答案要点：

(1)在此防火墙上定义两个网口，分别命名为Internet口和Trust口。

(2)为Internet口修改MAC地址为00-FF-E4-4C-27-8A，同时设定下一条路由为10．2．100．254。

(3)在防火墙NAT设置里添加地址转换规则，在其中单击高级选项，在源中选择TRUST，目

的中选择INTERNET。

5-197 如何使用一台双网卡的Linux服务器实现NAT功能?

答案要点： (1)设网卡。 外网网卡

DEVICE=eth0

IPADDR=(外网IP) NETMASK=255．255．255．0 GATEWAY=(外网网关) dns服务器设置 DEVICE=eth1

IPADDR=(内网IP) NETMASK：255．255．255．0

(2)打开内核数据包转发功能：echo “1” >／proc／sys／net／ipv4／ip_forward。 (3)防火墙设置数据包转发伪装：iptables -t nat -A POSTROUTING -s 192．168．0．0／24 -oeth1 -i SNAT -to-source(外网IP)。

5-198 现在某单位机房内需新上线一台信息外网Web服务器对公众提供Web访问服务，服务端口为80，该服务器IP为10．2．100．100，该服务器接在防火墙的DMZ区，对外服务映射公网IP为210．176．110．2。如何配置防火墙，使得防火墙INTERNET区(连接Internet)和TRUST区(单位内用户)可以正常访问该服务器，同时服务器还能自动访问微软站点进行安全升级?

答案要点：

(1)在防火墙Internet区进行NAT映射，将10．2．100．100映射为210．176．110．2； (2)开通防火墙Internet区Any用户到DMZ区10．2．100．100 80端口的访问策略； (3)开通防火墙TRUST区Any用户到DMZ区10．2．100．100 80端口的访问策略：

(4)开通防火墙DMZ区10．2．100．100到微软站点80端口的访问策略，同时设置源地址转换。

5-199 现有一台防火墙、一台IDS、两台PC、一台交换机，若干网线，请搭建环境演示在利用一台PC对另外一台PC发动入侵攻击时，如何通过IDS和防火墙的联动来在防火墙上对攻击PC的p进行封堵。

答案要点：

(1)网络配置要点：

1)防火墙上设置Untmst口和Trust口，攻击机器接入Untrust口，被攻击机器和IDS通过交换机接入Trust口。

2)在交换机上进行端口镜像，将被攻击机器所接端口流量镜像到IDS接入端口上。 (2)攻击演示要点：

1)在攻击机器上对被攻击机进行扫描探测。 2)观察IDS日志，记录攻击ip并截屏。 3)在防火墙上对攻击IP进行封堵。

5-200 现有一台IPS、两台PC、若干网线，请搭建环境演示在利用一台PC对另外一台PC发动一种特定规则包入侵攻击时，如何通过被攻击机上的抓包软件进行数据包分析，并通过在IPS上设置相应的阻断规则来阻止相应的攻击。

答案要点：

(1)搭建网络环境，两台笔记本分别接入IPS两个端口，并作相应的配置。 (2)在被攻击笔记本上安装Wireshark抓包分析软件。 (3)在攻击笔记本上尝试探测扫描。

(4)在被攻击笔记本上记录攻击包，并分析特征，同时截屏。 (5)在IPS上设置相应的阻断规则。

5-201 在Oracle数据库使用过程中，会遇到一些有特殊要求的用户：非编程人员需要对某个表有查询、增加、删除、修改的权利。DBA应创建一个这样的用户，先确定用户名和密码，再规定相关应用所在缺省表空间(包含某个表)和临时表空间，最后TABLE 属主给其授权，即赋予CONNECT角色SELECT、INSERT、DELETE、UP DATE ON THE TABLE的对象级权限，这可根据实际需求自由取舍。如何给新用户授于对象级权限，假设新用户NEW2需要有查询、删除、修改DCD用户的表EMP。

答案要点：

SVRMGR>connectinternal：以系统管理员登录

SVRMGR>create user new2 identified by new2345 default tablespace app； SVRMGR>connectdcd／dcdpwd；以dcd用户登录

SVRMGR>grant connect to new2;

SVRMGR>grant select on emp to new2； SVRMGR>grant delete on emp to new2； SVRMGR>grant update on emp to new2;

本文来源：https://www.bwwdw.com/article/9cvp.html