《网络通信实验与设计指导书》由会员分享,可在线阅读,更多相关《网络通信实验与设计指导书(15页珍藏版)》请在金锄头文库上搜索。
1、内容一、企业内部内容一、企业内部 Web 站点构建及维护站点构建及维护一、一、Win 服务器入门服务器入门-IIS 安装与配置安装与配置1、安装环境:Windows 2000 以上 (不包括 Windows XP Home 版)IIS 4.0 以上2、IIS 的安装与配置a.安装 IIS若操作系统中还未安装 IIS 服务器,可打开“控制面板” ,然后单击启动 “添加/删除程序” , 在弹出的对话框中选择 “添加/删除 Windows 组件” ,在 Windows 组件向导对话框中选中“Internet 信息服务(IIS) ” ,然后单击“下一步” ,按向导指示,完成对 IIS 的安装。 此主题
2、相关图片如下:此主题相关图片如下:b.启动 Internet 信息服务(IIS)Internet 信息服务简称为 IIS,单击 Windows 开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器,即可启动“Internet 信息服务”管理工具(如图 3)此主题相关图片如下:c.配置 IISIIS 安装后,系统自动创建了一个默认的 Web 站点,该站点的主目录默认为C:Inetpubwww.root。用鼠标右键单击“默认 Web 站点” ,在弹出的快捷菜单中选择“属性” ,此时就可以打开站点属性设置对话框, (如图 4)在该对话框中,可完成对站点的全部配置。此主题相关图片如下
3、:主目录与启用父路径单击“主目录”标签,切换到主目录设置页面, (如图 5)该页面可实现对主目录的更改或设置。注意检查启用父路径选项是否勾选,如未勾选将对以后的程序运行有部分影响。(如图 6) ,主目录配置-选项。此主题相关图片如下:1此主题相关图片如下:设置主页文档单击“文档”标签,可切换到对主页文档的设置页面,主页文档是在浏览器中键入网站域名,而未制定所要访问的网页文件时,系统默认访问的页面文件。常见的主页文件名有index.htm、index.html、index.asp、index.php、index.jap、default.htm、default.html、default.asp 等
4、IIS 默认的主页文档只有 default.htm 和 default.asp,根据需要,利用“添加”和“删除”按钮,可为站点设置所能解析的主页文档。启动与停止 IIS 服务在 Internet 信息服务的工具栏中提供有启动与停止服务的功能。单击 可启动 IIS 服务器;单击 则停止 IIS 服务器。二、用二、用 IIS 建立高安全性建立高安全性 Web 服务器服务器因为 IIS(即 Internet Information Server)的方便性和易用性,使它成为最受欢迎的 Web 服务器软件之一。但是,IIS 的安全性却一直令人担忧。如何利用 IIS 建立一个安全的 Web服务器,是很多人
5、关心的话题。构造一个安全系统要创建一个安全可靠的 Web 服务器,必须要实现 Windows 2000 和 IIS 的双重安全,因为 IIS 的用户同时也是 Windows 2000 的用户,并且 IIS 目录的权限依赖 Windows 的NTFS 文件系统的权限控制,所以保护 IIS 安全的第一步就是确保 Windows 2000 操作系统的安全:1. 使用 NTFS 文件系统,以便对文件和目录进行管理。2. 关闭默认共享打开注册表编辑器,展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项,
6、添加键值 AutoShareServer,类型为 REG_DWORD,值为 0。 这样就可以彻底关闭“默认共享” 。3. 修改共享权限建立新的共享后立即修改 Everyone 的缺省权限,不让 Web 服务器访问者得到不必要的权限。4. 为系统管理员账号更名,避免非法用户攻击。鼠标右击我的电脑管理启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator) ”选择“重命名” ,将管理员账号修改为一个很普通的用户名。5. 禁用 TCP/IP 上的 NetBIOS鼠标右击桌面上网络邻居 属性 本地连接 属性,打开“本地连接属性”对话框。选择Internet 协议
7、(TCP/IP)属性高级WINS,选中下侧的“禁用 TCP/IP上的 NetBIOS”一项即可解除 TCP/IP 上的 NetBIOS。6. TCP/IP 上对进站连接进行控制鼠标右击桌面上网络邻居 属性 本地连接 属性,打开“本地连接属性”对话框。选择Internet 协议(TCP/IP)属性高级选项, 在列表中单击选中“TCP/IP筛选”选项。单击属性按钮,选择“只允许” ,再单击添加按钮(如图 1) ,只填入 80端口。 7. 修改注册表,减小拒绝服务攻击的风险。打开注册表:将 HKLMSystemCurrentControlSetServicesTcpipParameters 下的 S
8、ynAttackProtect 的值修改为 2,使连接对超时的响应更快。保证 IIS 自身的安全性IIS 安全安装要构建一个安全的 IIS 服务器,必须从安装时就充分考虑安全问题。1. 不要将 IIS 安装在系统分区上。2. 修改 IIS 的安装默认路径。3. 打上 Windows 和 IIS 的最新补丁。IIS 的安全配置1. 删除不必要的虚拟目录IIS 安装完成后在 wwwroot 下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC 等,这些目录都没有什么实际的作用,可直接删除。 2. 删除危险的 IIS 组件 默认安装后的有些 IIS 组件可能会
9、造成安全威胁,例如 Internet 服务管理器(HTML) 、SMTP Service 和 NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。3. 为 IIS 中的文件分类设置权限 除了在操作系统里为 IIS 的文件设置必要的权限外,还要在 IIS 管理器中为它们设置权限。一个好的设置策略是:为 Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP 脚本文件夹允许执行、拒绝写和读取,EXE 等可执行程序允许执行、拒绝读写。4. 删除不必要的应用程序映射IIS 中默认存在很多种应用程序映射,除了 ASP 的这个程
10、序映射,其他的文件在网站上都很少用到。在“Internet 服务管理器”中,右击网站目录,选择“属性” ,在网站目录属性对话框的“主目录”页面中,点击配置按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击编辑按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项(如图 2) 。这样当客户请求这类文件时,IIS 会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。5. 保护日志安全日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整
11、体安全性。 修改 IIS 日志的存放路径默认情况下,IIS 的日志存放在%WinDir%System32LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在“Internet 服务管理器”中,右击网站目录,选择“属性” ,在网站目录属性对话框的“Web 站点”页面中,在选中“启用日志记录”的情况下,点击旁边的属性按钮,在“常规属性”页面,点击浏览按钮或者直接在输入框中输入日志存放路径即可。 修改日志访问权限,设置只有管理员才能访问。通过以上的一些安全设置,相信你的 Web 服务器会安全许多。内容二内容二 数据包捕获与分析数据包捕获与分析一、实验环境搭建:一、实验环境搭建:1) 运
12、行 Windows 2000/2003 Server/XP 操作系统的 PC 一台2) 每台 PC 具有一块以太网卡,通过双绞线与局域网相连3) Ethereal 程序、WinPcap 程序二、实验目的:二、实验目的:1)学会正确安装和配置网络协议分析仪软件 Ethereal。2)掌握使用 Ethereal 分析各种网络协议的技能,加深对帧格式、协议格式、协议层次的理解。三、实验步骤三、实验步骤:Ethereal 是一个图形用户接口(GUI)的网络嗅探器, Ethereal 和其它图形化的网络嗅探器都使用相同的界面模式,如果能熟练地使用 Ethereal,那么其它图形用户界面的嗅探器基本都可以
13、操作。 1. EtherealEthereal 的安装 由于 Ethereal 需要 WinPcap 库, 所以先安装 WinPcap_2_3.exe, 再安装Ethereal.exe。2. 查看 EtherealEthereal 的捕获接口 图 1-1 Capture Interfaces打开 Ethereal,在菜单 Capture 下点击 Interfaces, 选取要抓包的网卡, 这里选取地址为 172.20.12.47 的所在本主机的网卡抓取数据包,接口选择 Broadcom NetXtreme Gigabit Ethernet Driver (Microsofts Packet S
14、cheduler)如图 1-1:3.设置 EtherealEthereal 的捕获过滤器 在配置完捕获接口以后,我们可以设置相应的捕获数据包的过滤规则,就可以捕获到我们感兴趣的数据包。首先单击“Edit”选单,然后选择“Capture Filters.”菜单项,打开“Edit Capture Filter List”对话框(如图 1-2 所示) 。因为此时还没有添加任何过滤规则,因而该对话框右侧的列表框是空的。 图 1-2 EtherealEthereal 过滤器配置对话框在 Ethereal 中添加过滤器时,需要为该过滤器指定名字及规则。例如,要在主机172.20.12.47 和 172.2
15、0.12.48 间创建过滤器,可以在“Filter name”编辑框内输入过滤规则的名字“1” ,在“Filter string”编辑框内输入过滤规则“host 172.20.12.47 and 172.20.12.48” ,然后单击“New”按钮即可,可以捕获到在主机 172.20.12.47 和172.20.12.48 之间传输的数据包,如图 1-3 所示。图 1-3 为 EtherealEthereal 添加一个过滤器当所有需要的过滤器都创建好后,单击“Save”按钮保存创建的过滤器,然后单击“Close”按钮来关闭“Edit Capture Filter List”对话框。要将过滤器应
16、用于嗅探过程,需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器,并开始截获数据包,可以单击“Capture”选单,选择“Start.”选单项,打开“Capture Options”对话框,单击该对话框中的“Filter:”按钮,然后选择要使用的过滤器,如图 1-4 所示。图 1-4 为 Ethereal 指定过滤器对图对图 1-41-4 中的术语进行如下解释:中的术语进行如下解释:Interface:Interface:这个字段指定在哪个接口进行捕获。这是一个下拉字段,只能从中选择 Ethereal 识别出来的接口,默认是第一块支持捕获的非 loopback 接口卡。如果没有接口卡, 那么第一个默认就是第一块 loopback 接口卡。在某些系统中,loopback 接口卡不能用来捕 获(loopback 接口卡在 Windows 平台是不可用的) IPIP addressaddr
