网络安全实验

网络安全实验（共12篇）

网络安全实验 篇1

近年来,随着国家对高等教育投入的日益增多,实验条件逐步改善,实验室安全管理的任务和内容也出现了许多新情况、新问题,安全管理难度也逐渐加大。如何针对新时期高校实验室安全管理的现状、特点以及存在的问题,构建起科学合理的实验室安全管理体系,是当前高校实验室安全管理工作的重要课题。

当全社会都在倡导安全稳定、环保、可持续建设的大环境下,推广一种新的实验室安全文化,培养广大师生的安全意识,提高每个人的安全素质,树立起深入人心的安全文化理念,营造健康、有序的校园安全文化氛围,加强高校实验室安全文化建设显得意义重大［1 － 2］。

1 认识实验室安全文化建设

1. 1 实验室安全文化阐释

实验室作为高校教学科研的基地,实验室安全文化是校园文化不可分割的部分,它发挥着文化的功能来进行安全管理,是安全管理发展的新阶段,注重通过提高人的思想观念和精神素质来实现管理［3］。实验室安全文化建设对学生的人生观产生着潜移默化的深远影响,这种影响往往是任何课程教育所无法比拟的［4］。

实验室安全文化的定位是引领、规范、科学。它是校园的物质文化的一部分,在我国高校逐步向世界一流大学迈进的路上,必须要有完善的实验室管理制度、先进的实验室设备、特色鲜明的教学科研实验室; 它也是校园的行为文化,促使全体师生具有明确的科研学术行为规范,实验室人才队伍具备良好的素质,更是校园的观念文化,培养和体现群体意志、激励师生奋发向上的校园精神［5 － 6］。

1. 2 实验室安全文化建设的重要性

高校实验室安全正在受到越来越多的关注,它不仅是校园安全文化的重要组成部分,也是衡量高校教学科研工作者工作素养的标尺,更是高等教育文化传承与创新的内容之一。高校的安全管理者们正力求通过实验室安全文化,建设一种安全氛围,让师生从自身角度出发,更深层次地预防和杜绝事故的发生,打造和谐、有序的育人环境。

2 实验室安全文化建设措施

下文以浙江工业大学材料科学与工程学院的实验室安全管理工作为例,阐述实验室安全文化建设的相关措施。

2. 1 完善实验室安全工作队伍

2. 1. 1 签订实验室安全责任书

学院建立起纵向到底、横向到边的实验室安全工作责任制。根据 “学院- 研究所( 实验中心) - 实验室” 三级管理体制,确立学院实验室安全第一责任人和具体责任人。

2. 1. 2 成立安全工作小组

学院成立了实验室安全工作领导小组和安全督导组。并于每月月底,组织由实验室主任、研究所安全员、学院实验室秘书组成的安全督导组进行实验室安全卫生的常规检查,将检查结果及时通报并积极督促落实整改。

2. 1. 3 明确各实验室房间责任人和安全员

学院确定各实验室房间责任人和安全员,并通过门牌固定在实验室门口,做到 “谁使用,谁负责”。

2. 2 健全实验室安全相关制度

为进一步规范实验室人员的日常行为,学院制定了实验室安全守则、学生守则、大型仪器操作规程等,并张贴上墙。部分实验室以个性化桌签、安全小贴士等形式宣传安全操作规程和注意事项等,为实验室人员提供了直观形象的操作指南,强化了安全意识,培养了良好的安全习惯。

此外,学院了相继制定了实验室突发事件应急预案、实验室异常情况应急方案、实验室安全员岗位职责、实验大楼管理人员工作职责、实验室安全检查制度、实验室安全教育方案等。让实验室安全管理有章可循,通过管理制度分层次建设实验室安全责任体系,最终约束全院所有管理人员、实验室工作人员、学生的各种不安全行为。

2. 3 开展针对性强、有特色的实验室安全教育活动

材料学院在学校实验室与资产管理处、保卫处等部门的指导下,开展了为期一个月的以 “安全实验、品质科研”为主题的实验室安全教育月系列活动。

2. 3. 1 做好实验室安全文化的宣传教育

在实验室安全教育月期间,学院进行了实验室安全教育及知识学习考核。系统开展了以研究所、团队为单位的实验室安全知识教育,集中进行安全知识培训、实验室参观、现场讲解药品、仪器、安全器材的使用方法及注意事项等。同时组织学生通过安全教育网站学习安全知识并进行上机测试,考试通过后颁发由学院、研究所和导师共同签发的实验室准入证,推行实验室准入制。

同时,有针对性地邀请安全专家进行实验室安全、消防讲座,宣讲实验室安全事故案例、实验室技术安全要点、消防安全事故防范、多发事故分析、灭火逃生和应急救援知识等内容。

2. 3. 2 培养师生的安全文化意识

学院组织师生参与消防紧急疏散演习和消防安全技能大赛。按照实验室突发状况处理的预案,模拟了火灾发生、现场报警、关闭水电气、灭火、人员疏散和救援等情景。让师生在“真实化”的场景中掌握灭火要点和灭火技能,提升自救逃生本领,增强消防安全意识。

2. 3. 3 营造实验室安全文化氛围

学院将实验室文化融入校园文化,努力营造实验室安全文化的良好氛围。利用多种渠道、多种形式倡导安全文化,提高体师生兴趣,在活动中接受教育。如举办实验室安全知识竞赛,让全院学生更加重视实验室安全,加强防患意识。开展实验室安全文化评比活动,综合考察卫生、安全、氛围、文化特色等,评出 “十佳实验室”,并张贴荣誉牌,在全体师生中形成了争创文明、整洁、安全、和谐的科研环境的良好氛围。通过实验室图片展,集中展示 “十佳实验室风采”、“导师安全寄语”、 “实验室安全隐患排查”以及 “实验室安全小常识”等四个板块,以形象、鲜活的表现形式对安全文化元素起到良好的灌输作用。

实验室安全教育月系列活动的开展,使得在实验室刚性的管理制度下,丰富了柔性的实验室安全文化。利用刚柔并用的灵性管理,变被动为主动。通过安全文化核心价值观的引导,更加科学、有效地促进师生形成自我约束的习惯和强大的自我防控力［7］。

2. 4 搭建多种形式的实验室安全交流平台

学院通过学院网站、QQ群、微信群等载体及时发布实验室安全相关事项和通知,并在群中交流实验室存在的各种问题,互相监督,引起重视; 通过搭建青年教师论坛的交流平台,邀请海外学习归来的老师畅谈国外实验室安全管理方面的经验和有效举措,引起大家热议和交流; 通过两月一期的 《学院实验室安全简报》,借助 “重要文件、会议通讯、安全隐患通报、经验交流、安全提醒”等板块,为全院教师提供安全理念宣传与分享的平台。

3 实验室安全文化建设的进一步探究

3. 1 将安全工作与学生工作有机结合起来

采用广大学生易于接受的活泼、灵活、轻松、互动的形式,借助学生会及社团开展一些趣味横生的实验室安全专题活动。将安全教育融合在活动当中,让安全理念自然而然地成为大家自觉行动的一部分,从而有助于形成良好的校园安全文化氛围。

3. 2 建立师生的实验室安全沟通教育机制

规范化操作是避免事故发生和环境污染最有效的途径之一［8］。在实验室中,研究生和本科生是与实验室安全联系数量最多的人群,因此在日常的实验中,导师责任重大,要经常引导学生掌握规范的操作方法,及时发现和纠正存在安全隐患的操作行为,共同探讨安全有效的操作规范,确保操作安全并合乎环保原则。

此外,实验室要在定期的科研组会中融入安全教育的元素,会上除了探讨科研学术,还要总结一个阶段以来的安全工作情况,发现隐患及时提出,针对存在的问题提出行之有效的整改措施,通过师生交流达成共识、解决安全问题。形成既要重视科研质量和成果,更要倡导安全与环保的双赢理念。

3. 3 重视 “走出去与请进来”

重视实验室之间( 校内、校际) 的安全经验交流,提倡“走出去与请进来”的互动交流文化,完善实验室安全管理。可以借鉴先进,对周边高校院所实验室进行实地考察和参观,学习其在实验室安全管理方面的先进经验,达到取长补短、共同进步的目的。也可以邀请安全专家来校讲座,邀请相关老师来院参加论坛交流,不断更新安全文化理念,在互访交流中推进实验室安全化建设。

4 结语

打造实验室安全文化,是一项系统化工程,我们要努力形成安全文明实验室建设的长效和常态化机制,将安全理念融入到教学科研中,将安全宣传教育与管理、服务等实践活动结合,力求营造 “关爱生命、关注安全”的文化氛围,从而促进教学、科研工作有序、高效地开展,并对整个社会的环保、和谐、稳定起到积极的辐射作用。

网络安全实验 篇2

学生：张守军

实验目的

1、一、：我要搭建网络安全实验环境。

配置良好的实验环境时进行网络安全实验的基础工作。1.VMware虚拟机的安装和配置。

首先在一台计算机上安装一套操作系统，然后安装虚拟软件VMware。分别在虚拟机下安装3套操作系统：Vista ,windows Server 2003 和ubntu 9.04。windows server 2003操作系统主要作为网络安全的攻击对象。虚拟机上操作系统可以通过虚拟网卡和实际主机的操作系统进行通信

2.安装虚拟机的操作系统。

注意的是安装完vista、window server 2003、Ubuntu 9.04后要使用 ping命令来测试主机和虚拟机能否通信。如主机和虚拟机已经连通，这样一个虚拟的网络环境就配置好了。

二、操作系统的安全配置实验

1、操作系统的安全是整个操作系统安全策略的核心，其目的是从系统根源构筑安全防护体系，通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段，形成一套有效的系统安全策略。【我认为系统安全不安全，主要是看使用者的使用方法，同样的操作系统不同的人使用会有不同的安全效果。】

2、我以windows操作系统安全配置实验为例。实验目的

1、掌握安全策略设置方法，了解安全策略的制订准则。

2、掌握利用管理工具管理本地用户的方法，了解windows帐户的命名规则和口令要求。

3、掌握windows下审核策略的设置方法，了解审核策略的制订准则。

4、Windows server 2003操作系统环境网络服务和端口的安全管理技术。安全设备及环境

1、windows xp 操作系统。

2、windows server 2003操作系统（虚拟机）实验任务及内容

1、安全策略配置

2、访问计算机的用户、授权用户使用计算机上的那些资源，是否在事件日志中记录用户或组的操作。

3、Windows 用户管理

4、系统安全审核

5、网络服务和端口管理

实验报告：我通过本次实验详细记录了加入本地用户的过程，并且使用该用户登录系统进行权限测试。根据实际需要找出了本系统不需要的服务，把这些服务端口关闭。

分析讨论：了解了各个密码安全策略的主要作用，审核，密码策略和帐户策略的含义，系统审核在系统安全中的作用。

网络侦察

所谓网络侦察就是对网络资源的探测、扫描与监听。网络扫描时一种网络安全攻击技术，目的是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以使PC、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。网络监听的目的是截获通信的内容，监听的手段主要是通过嗅探器捕获数据包对协议进行分析。常见的嗅探器除了著名的Sniffer Pro以外，还有一些常用的监听软件，如协议分析器、嗅探经典、密码监听工具和非交换环境局域网的fssniffer等。实验目的：

1）了解网络扫描的原理，掌握使用端口扫描器的技术。2）掌握Windows下口令攻击技术、方法，以及防御措施 3）熟练利用网络扫描工具扫描目标计算机安全漏洞 4）熟练利用网络嗅探工具进行网络监听 实验设备及环境 1）Windows XP操作系统

2）Windows Server 2003操作系统

3）工具软件：L0phtCrack、PortScan、Shed、X-Scan、Sniffer Pro、pswmonitor.实验任务及内容：

本实验的主要内容是利用常见的网络扫描工具、嗅探工具，扫描系统账号、开放端口、共享目录，探测网络系统的安全漏洞。1.网络扫描

（1）系统账号扫描及口令破解

L0phtCrack简称LC，是一款网络管理员必备的工具，可以用来检测Windows NT/2003/XP/UNIX管理员账号密码破解工具。事实证明，简单的或容易遭受破解的管理员密码是最大的安全威胁之一，因为攻击者往往以合法的身份登录计算机系统而不被察觉。L0phtCrack能直接从注册表、文件系统、备份磁盘，或是在网络传输的过程中找到的口令。L0phtCrack卡是破解的第一步是精简操作系统存储加密口令的哈希列表。之后才开始口令的破解，这个过程称为是cracking。它采用以下3中不同的方法来实现。

1）字典攻击。LophtCrack将字典中的词逐个与口令哈希表中的词作比较。当发现匹配的词时，显示结果，即用户口令。LophtCrack自带一个小型词库。如果需要其他字典资源可以从互联网上获得。这种破解方法，使用的字典容量越大，破解效果越好。

2）Hybrid方法。这是建立在字典破解基础上的。现在血多用户选择口令不再单单只是由字母组成的，常会使用诸如“mytest11”或“abcddd！”等添加了符号和数字的字符串作为口令。这类口令复杂了一些，但通过口令过滤器和一些方法，破解也不是很困难，Hybird就能快速地对这类口令进行破解。

3）最后一种也是最有效地方法就是“暴力破解”。现在所谓复杂的口令一般都能被破解，只是时间长短问题，且破解口令时间远远小于管理员设置的口令有效期。使用这种方法也能了解一个口令的安全使用期限。

LophtCrack5的主界面，利用该工具可以对计算机上用户进行账号扫描和破解。

首先选择【Session】--【Import】，选择右边的【Add】，输入虚拟机的IP地址（172.18.25.98），单击【OK】。然后，选择【Session】--【Bein Audit】，开始扫描用户和破解密码。在扫描结果中有Administrator权限的账号YJ和密码1234567，这样就得到了系统的权限。这种方法的缺点是，如果对方用户密码设置比较长而且怪，需要破解很长时间。

（2）开放端口扫描

获得对方开放了那些端口也是扫描的重要内容。使用工具软件PortScan可以到得到对方计算机开放了哪些端口。

对Windows Server 2003系统进行端口扫描，在Scan文本中输入IP地址，单击按钮【START】。

利用网络端口扫描工具软件可以将所有端口的开放情况做一探测，获知对方开放了哪些网络服务，进而对某些服务的漏洞进行攻击。（3）漏洞扫描

漏洞扫描时主动式防御策略的网络扫描，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。X-S惨。3是一款适用于Windows NT/2003/XP/2000系统的常见漏洞扫描软件。该软件采用多线程方式对制定IP地址段进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。扫描内容包括：远程操作系统类型以及版本；标准端口状态及端口Banner信息；SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞；SQL-SERVER、FTP-SERVER、POP3-SERRVER；NT-SERVER弱口令用户，NT服务器NETBIOS信息；注册表信息等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。1）选择菜单栏设置下的菜单项【扫描模块】。

2）利用X-Scan3.3可以对常用的网络以及系统的漏洞进行全面的扫描，选中复选框后，单击【确定】即可。3）确定要扫描主机的IP地址或者IP地址段。选择菜单栏设置下的菜单项【扫描参数】，若扫描一台主机，在指定IP范围框中输入：172.18.25.97。

4）设置完毕后，进行漏洞扫描，单击工具栏上的图标【开始】，开始对目标主机进行扫描。

结果显示发现了血多系统漏洞，利用这些漏洞可以试试系统入侵。选择【查看】--【扫描报告】，可以看到前面扫描的详细报告。

除了这些扫描工具外，比较著名的工具软件还有：活动主机探测程序QckPing、扫描全才scanlock、扫描经典工具【流光】及其他的一些扫描工具。

2．网络监听

利用监听工具Sniffer Pro进行网络监听。

1）进入Sniffer主界面，捕获数据包之前必须首先设置所要捕获的数据包类型。选择主菜单【Capture】下的【Define Filter】菜单。2）在捕获数据包的过滤器窗口中，选择【Address】选项卡，窗口中需要修改两个地方：在Address下拉列表中，选择数据包的类型为IP，在Station 1下面输入主机的IP地址，主机的IP 地址是172.18.25.99；在与之对应的Station 2下面输入虚拟机的IP 地址，虚拟机的IP地址是172.18.25.98.3）设置完毕后，单击该窗口的【Advanced】选项卡，拖动滚动条找到IP项，将IP和ICMP选中。4）这样的Sniffer的过滤器就设置完毕了。选择菜单栏【Capture】下【start】菜单项，启动捕获数据包；然后，在主机的DOS窗口中ping虚拟机。5）Ping指令执行完毕后，单击工具栏上的【停止并分析】按钮，在出现的窗口选择【Decode】选项卡，可以看到数据包在两台计算机间的传递过程。

实验报告：

1）描述使用网络扫描工具对系统进行系统账号扫描、网络端口扫描、共享目录扫描以及漏洞扫描的过程，分析扫描结果；并分析各自的技术原理和优缺点。

实验5 ARP欺骗攻击

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP协议并不只发送了ARP请求才接受ARP应答。当计算机接受到ARP应答数据包时，就会对本地的ARP缓存进行更新，将鹰大厦中IP和MAC地址存储在ARP混村中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答时B冒充C而伪造的，即IP地址为C的IP，而MAC地址是伪造的，则当A接受到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来的那个了。由于局域网的数据流并不是根据IP地址进行，而是按照MAC地址进行传输的。所以，那个伪造出来的MAC地址在A上呗改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能ping通C！这就是一个简单的ARP欺骗。实验目的：

1）了解欺骗攻击的原理和防范措施

2）理解ARP协议的工作原理，了解ARP欺骗攻击的实现过程。3）掌握利用工具软件实现ARP欺骗的方法 实验设备及环境： 1）Windows XP操作系统

2）Windows Server 2003操作系统 3）工具软件：NefFuke 实验任务及内容：

本实验使用NetFuke实现，并需要Winpap的支持。NetFuke是一款ARP欺骗工具，它的主要功能有：ARP欺骗、支持单向和双向欺骗、支持MAC指定、ICMP欺骗等。1.主机的ARP欺骗

1）首先配置NetFucke。选择【设置】--【嗅探设置】，打开【嗅探设置】对话框，选择网卡，并选择【启用ARP欺骗】和【主动转发】。

2）选择【设置】--【ARP欺骗】，打开【ARP欺骗设置】对话框，在其中设置各项参数

目标IP就是被欺骗主机的IP；来源IP指的就是NetFuke主机所伪装成的主机IP。在双向欺骗模式下，目标IP和来源IP没有区别，它们是通信的双方，被NetFuke主机进行中间人欺骗。中间人IP默认就是NetFuke主机的IP。3）在欺骗开始之前，先在来源主机分别ping目标IP和中间IP，然后通过arp命令获取目标机和中间人的IP地址。4）单击【开始】按钮，这时，程序的左侧将会出现已经设置好的配置信息，并且开始ARP欺骗。在欺骗开始之后，再在来源主机分别ping目标IP和中间IP，然后通过arp命令获取目标机和中间人的IP地址。

5）单击【停止】按钮，然后单击操作菜单中的【回显缓冲区】按钮。这是，程序右侧的列表当中就会显示出NetFuke主机向受骗双方发送的ARP数据包。

2.防范ARP欺骗

对于ARP欺骗攻击，有效地防范方法就是将IP地址与MAC地址进行静态绑定。

（1）将内网主机的IP与MAC地址进行绑定。

先进行静态绑定，然后再查看ARP欺骗的结果。在来源主机的命令行模式下，执行以下命令： 1）arp –d//清空arp缓存表

2）arp –s 172.18.25.98 00-1b-b9-70-40-73//将IP地址与MAC地址绑定 3）arp –a 这时，目标主机的MAC地址将又会变回00-1b-b9-70-40-73，并且状态变为静态。再重新开始一次相同的攻击，观察目标主机的MAC地址是否会再次因为ARP欺骗攻击而改变。

（2）对内网网关的IP与MAC地址进行绑定

1）在命令行下运行“ipconfig/all”命令，获取网关的IP地址；

2）运行“arp –a网关IP”，获取网关的MAC地址； 3）运行“arp –d”“arp –s 网关IP网关MAC”； 4）将第三部中的两个命令编辑保存到一个批处理文件中，文件类型为.bat文件； 5）打开注册表编辑器，找到【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCirremtVersopmRun】，在其中使用邮件添加“字符串值”，命令后双击该键，在【数值数据】框中添加该bat文件的全路径，就可实现开机时网关IP和网关MAC的自动绑定。

实验报告：

1）利用NetFuke对虚拟机进行ARP欺骗，然后通过Sniffer捕获数据包分析通信过程和ARP的欺骗过程。

在主机上编辑批处理文件，实现开机启动时自动实现IP和MAC的静态绑定，防范ARP欺骗攻击。入侵检测系统的搭建与配置 入侵检测系统是一种对网络传输进行及时监视，在发现可以传输时发出警报或者采取主动反应措施的挽留过安全设施。与其他网络安全设施不同，IDS是一种积极主动的安全防护措施。一个合格的入侵检测系统能大大地简化管理员的工作，保证网络安全运行。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。笨实验主要介绍在Ubuntu平台上，如何部署入侵检测工具OSSEC HIDS来实现入侵检测系统的方法。实验目的：

1）了解入侵检测系统的定义、功能、必要性和局限性 2）了解常见的入侵检测系统

3）掌握利用工具软件搭建和配置入侵检测系统的方法 实验设备及环境：

1）Ubuntu9.04 操作系统 2）Windows XP操作系统 3）OSSEC HIDS入侵检测系统 实验任务及内容：

笨实验通过在Ubuntu平台上部署入侵检测工具OSSEC HIDS来实现入侵检测。OSSEC是一款开源的入侵检测系统，包括了日志分析、全面检测、rook-kit检测。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中。如果有多台计算机都安装了OSSEC，那么久可以采用客户机/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。

OSSEC最大的有事在于它几乎可以运行在任何一种操作系统上，比如Windows、Linux、OpenBSD/FreeNSD以及MacOS。不过运行在Windows上的客户机无法实现root-kit检测，而其他系统上的客户机则没问题。1）首先，暂时获取root权限，在终端运行命令：#sudo su 2）下载最新版本的OSSEC源文件，在终端运行命令：#wget http://and yes to using my SMTP server;Yes to integrity check daemon;Yes to rootcheck;Active response enabled;Firewall-drop response enabled;No additions to the whitelist。设定好之后，OSSEC的编译就可以顺利进行了。安装脚本会自动检测到Ubuntu并建立正确的初始化脚本，下面测试OSSEC。6）首先建立新的系统用户user2，这个操作可以被立即检测到，打开OSSEC下的报警日志

7）输入错误的密码来测试SSHD检测功能：用su命令从用户yj切换到user1，输入错误的密码，这个操作也立刻检测到，并记录到报警日志去 实验报告：

从主机对虚拟机进行开放端口扫描的结果，观察OSSEC HIDS系统的反应，并做记录。

实验6 防火墙的安装与配置

防火墙是设置在呗保护网络与外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在的破坏性入侵。防火墙本身具有较强的抗攻击能力，它是提供网络安全服务、实现网络安全的基础设施。严峻的网络安全形势，促进了防火墙技术的不断发展，防火墙安全产品非常多。该实验主要讲解利用工具软件例如天网防火墙，搭建和配置防火墙安全策略的方法。实验目的：

1）了解防火墙的定义、功能、必要性和局限性 2）掌握利用工具软件搭建和配置防火墙安全策略的方法 实验设备及环境： 1）Windows XP操作系统

2）Windows Server 2003操作系统 3）天网防火墙软件 实验任务及内容：

天网防火墙个人版是由天网安全实验室面向个人计算机用户研究的网络安全工具。它根据系统管理者设定的安全规则把守网络，提供强大得访问控制、信息过滤等功能，抵挡网络入侵和攻击。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，适合于任何方式连接上网的个人用户。1.对应用程序的安全设置

1）在Windows Server 2003 操作系统中安装天网防火墙。通过【应用程序】按钮可以设定与外网进行连接的应用程序。2）单击工具栏中的【应用程序】按钮，出现【应用程序访问网络权限设置】界面，在界面中添加的应用程序，防火墙允许其与外网的连接，未添加的应用程序，不允许与外网连接。如果通过防火墙阻断了木马程序的外连请求，则计算机肿了木马也不会被远程控制。

3）对应用程序访问网络的规则做具体设置。2.包过滤规则的设置

包过滤规则作用在网络层和传输层，根据数据包报头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤规则的数据包才被转发到相应的目的地端口，其余的数据包则从数据流中丢弃。

1）单击工具栏中的【IP规则管理】按钮，出现【自定义IP规则】界面，在此界面中有大量安装时默认设置的IP规则。此处有【修改IP规则】和【添加IP规则】按钮

2）新建一条规则，用来禁止外部主机用ping命令连接本机。3）在虚拟机上安装一个FTP软件并启用FTP，然后修改原规则中的【禁止所有连接】，将其改为【禁止所有人访问本机FTP】，设置FTP相关的端口。确定之后，从主机尝试登陆虚拟机的FTP服务，将被拒绝。

4）最后，新建一条规则，禁止所有人连接其他程序的端口。它将与前两条规则联合作用，禁止外部计算机连接本机未经授权程序打开的端口。

以上三条规则在防火墙中必须按照上述顺序配置，才能发挥应有的作用；如果顺序不对，则不能实现上述的正常安全需求。

实验报告：

1）根据实验过程，描述配置天网防火墙的安全规则

构建网络实验室 篇3

我们需要的运行环境是:机房内的各个计算机处于相互联通状态;一台安装Windows Server 2003操作系统的计算机为服务器,并将本机的IP地址设置为(192.168.1.1),步骤如下:右键单击“网上邻居”“属性”,右键单击“本地连接”“属性”,然后选择Internet协议(TCP/IP)选项“属性”,选择“使用下面的IP地址项”,输入IP地址(如192.168.1.1),子网掩码(255.255.255.0),默认网关和首选DNS服务器地址都为(192.168.1.1),确定退出,完成设置。其他计算机可以使用Windows XP专业版或者更高版本。下面介绍如何对服务器进行配置。

一、WEB服务器配置

WEB服务器使用的是Windows系统组件IIS ,IIS是Internet Information Server(因特网信息服务器)的缩写,是一个World Wide Web 服务器。

1.安装IIS服务

进入“开始设置控制面板”,选择“添加/删除程序添加/删除Windows组件”,打开Web组件向导面板,勾选 “Internet信息服务(IIS)”选项,在光驱中放入系统安装盘,单击下一步即可完成IIS组件的添加。可以通过IE对其进行测试,在地址栏中输入“http://localhost”或直接输入IP地址“127.0.0.1”,如果出现IIS信息页面,说明IIS可以正常使用。

2.IIS的配置

IIS添加成功之后,进入“控制面板管理工具Internet信息服务”打开IIS管理器,停止默认网站,建立自己的网站,右键单击“网站新建/网站”在网站创建向导中输入网站描述(如:jsj503)作为网站名称;单击下一步,在“IP地址和端口设置面板”中设置网站IP地址为本机IP地址,端口默认80端口;单击下一步,在网站主目录位置选择网站路径。下面的步骤默认,完成配置。

二、FTP服务器配置

FTP(File Transfer Protocol文件传输协议)服务器,简单地说,支持FTP协议的服务器就是FTP服务器。

1.FTP服务器的选择

Serv-U是广泛运用的FTP服务器端软件,支持9x/ME/NT/2K/xp等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等,功能非常完备。通过使用Serv-U,用户能够将任何一台PC 设置成FTP 服务器。

2.Serv-U的安装和配置

Serv-U的安装非常简单,只要按其默认选项单击下一步直至完成软件安装。本实例使用7.2版,仍然安装在Windows Server 2003操作系统的计算机上。

首先启动Serv-U控制器,单击“新建域”选项,新建一个域并输入域名(如:jsj0726)。然后单击“用户”按钮,进入用户面板,点击“添加用户”,然后设置用户名、密码、访问权限、根目录。为了使学生能够独立使用自己的FTP空间,为每台计算机设置一个FTP文件夹、用户名和密码,并添加每个用户的访问路径到相对应的文件夹,例如:用户a1,其FTP文件夹也对应(D:jsj503a1),方便文件的统一管理。

三、网页制作工具

1.学习网页设计与制作需要的软件

(1)图像处理、动画制作软件: Photoshop、 FireWorks、Flash、 Ulead Gif等;

(2)声音处理软件:GoldWave等;

(3)网页编辑制作工具:FrontPage、Dreamweaver等;

(4)HTML语音编辑工具:记事本、UltraEdit等。

2.经验和不足

(1)经验是: Web服务器默认站点的路径一定要和FTP的用户上传路径相同,不然会出现上传后看不到自己网站的情况。

(2)不足之处有:本网站只支持一种ASP站点的发布,JSP站点、PHP站点等都还有待于服务器功能的扩展。

透视安全问题进行安全实验 篇4

1. 违反操作规定。

例如, 配置稀硫酸时, 应该把浓硫酸慢慢倒入水中, 并且用玻璃棒不断搅拌, 如果颠倒顺序, 就会发生硫酸溅出伤人事故。又如加热制取气体并用排水法收集完毕时, 应先把导管从水里撤出, 再撤酒精灯。如果上面的操作正好颠倒了, 水就会沿导管流入反应器, 引起仪器炸裂, 发生危险。

2. 实验用药过量。

一些实验的反应现象虽然剧烈, 但试剂量小并无危险, 只有用药量大了才会发生危险。因此, 教师应在保证实验效果的前提下做到用药量宁少勿多。例如, 做分组实验让学生观察钠、钾在水中反应的现象时, 如果钠、钾的量过大, 就有可能因反应剧烈发生伤人事件。又如用碳酸钠和浓盐酸反应做二氧化碳的灭火实验, 如果碳酸钠和浓盐酸用量大, 产生气压过大, 便可能冲开胶塞, 喷出酸液。如果这样, 就会发生烧坏衣服, 腐蚀操作者手的事故。

3. 药品不纯。

在做实验的过程中教师要注意反应物的纯度和反应过程中生成物的纯度, 如果粗心大意, 就可能造成危险。例如, 用氯酸钾和二氧化锰的混合物加热制取氧气时, 如果把木炭粉当作二氧化锰加入试管与氯酸钾混合, 使得药品中混入了杂质木炭粉, 加热就会发生爆炸事故。又如点燃氢气等可燃性气体时, 必须把空气排净才可点燃, 否则, 就可能发生气体爆炸事故。所以在点燃这些气体之前, 必须验纯, 杜绝爆炸现象的发生。

4. 使用标签失落的试剂。

在实验中对标签失落的试剂, 若仅凭主观认为, 没有经过检验确定就使用, 便很可能导致伤害事故的发生。例如, 配制溶液时错把浓硫酸当盐酸使用, 造成液体沸腾溅出伤人事故。

5. 实验室通风效果不好。

在演示氯气、硫化氢、一氧化碳等有毒气体的化学性质时, 或制氢气、乙烯、乙炔等可燃气体时, 如果实验室空气不流通, 这些气体逸散到空气中会越积越多, 达到一定浓度, 就可能引起师生中毒或其他意外事故。因此实验室应安置通风橱、换气扇等通风设施, 做到实验室的空气流通。

我们知道, 实验教学可以帮助学生形成化学概念, 理解和巩固化学知识, 培养他们观察问题、分析问题和解决问题的能力。因此, 加强实验安全是学生实验中尤为重要的一环。为能安全地进行化学实验, 实验时一定要做到以下几点:

首先, 实验一定要按照操作规定进行。教师要先在预备室准备好, 做到操作无误, 方可拿到教室或实验室做。其次, 当做有毒或可燃性气体的实验时, 教师一定要提醒学生打开门窗, 使空气流通。三是在做有可燃性气体参加的实验时, 在点燃或加热前切勿混入空气或氧化剂。四是用药量宁少勿多, 不要取用未经鉴定无标签的试剂, 随配随用, 不可久置。五是对没做过的实验要向能者请教或查清资料再做, 不要冒然实验, 对于步骤多的实验, 还要牢记操作顺序, 不可看一步做一步。最后还应注意, 实验室要有一定的安全设施, 教师必须熟悉实验室事故的急救方法和处理措施。只要我们了解各种化学实验事故的引发原因, 遵循操作规程, 认真仔细地进行操作, 就可避免各种事故的发生, 进行安全实验。

网络安全和管理实验报告 篇5

网络安全和管理实验指导书

电子与信息工程系网络工程教研室

2011-10-25

网络安全实验指导

实验一

一、实验目的

为WWW服务配置SSL 1．加深并消化授课内容，掌握SSL的基本概念； 2．了解并熟悉万维网服务器的配置； 3．掌握在万维网服务器上部署SSL协议；

二、实验要求

1．掌握Security Socket Layer在应用层的作用； 2．独立完成在万维网服务器上部署SSL；

3．实验结束后，用统一的实验报告用纸编写实验报告。

三、实验环境

Windows 2003 企业版服务器+IIS服务，Linux企业版服务器+Apache服务

四、实验内容

1．Windows系统上部署万维网服务，并配置SSL 2．Linux系统上部署万维网服务，并配置SSL

五、实验步骤

Windows系统上部署万维网服务，并配置SSL（1）颁发证书

1.从“管理工具”程序组中启动“证书颁发机构”工具。

2.展开证书颁发机构，然后选择“挂起的申请”文件夹。

3.选择刚才提交的证书申请。

4.在“操作”菜单中，指向“所有任务”，然后单击“颁发”。

5.确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。

6.在“详细信息”选项卡中，单击“复制到文件”，将证书保存为 Base-64 编码的 X.509 证书。7.关闭证书的属性窗口。

8.关闭“证书颁发机构”工具。

（2）在 Web 服务器上安装证书

1.如果 Internet 信息服务尚未运行，则启动它。

2.展开服务器名称，选择要安装证书的 Web 站点。

3.右键单击该 Web 站点，然后单击“属性”。

4.单击“目录安全性”选项卡。

5.单击“服务器证书”启动 Web 服务器证书向导。

6.单击“处理挂起的申请并安装证书”，然后单击“下一步”。

7.输入包含 CA 响应的文件的路径和文件名，然后单击“下一步”。

8.检查证书概述，单击“下一步”，然后单击“完成”。

现在，已在 Web 服务器上安装了证书。

网络安全实验指导

（3）将资源配置为要求 SSL 访问

此过程使用 Internet 服务管理器，将虚拟目录配置为要求 SSL 访问。为特定的文件、目录或虚拟目录要求使用 SSL。客户端必须使用 HTTPS 协议访问所有这类资源。

1.如果 Internet 信息服务尚未运行，则启动它。

2.展开服务器名称和 Web 站点。（这必须是已安装证书的 Web 站点）

3.右键单击某个虚拟目录，然后单击“属性”。

4.单击“目录安全性”选项卡。

5.单击“安全通信”下的“编辑”。

6.单击“要求安全通道(SSL)”。

7.单击“确定”，然后再次单击“确定”关闭“属性”对话框。

8.关闭 Internet 信息服务。

Linux系统上部署万维网服务，并配置SSL 安装并设置具备SSL的Apache网站服务器 1.创建rasref目录，在该目录提取文件。# mkdir rsaref-2.0 # cd rsaref-2.0 # gzip-d-c../rsaref20.tar.Z | tar xvfconnected, SIGRP, Rmobile, BEIGRP, EXOSPF, IAOSPF NSSA external type 1, N2OSPF external type 1, E2EGP

iIS-IS level-1, L2IS-IS inter area

*per-user static route, operiodic downloaded static route Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks O

10.1.1.1/32 [110/782] via 192.168.13.1, 00:04:45, Serial1/0

网络安全实验指导

O

10.2.2.2/32 [110/782] via 192.168.23.1, 00:04:09, Serial1/1 C

10.3.3.0/24 is directly connected, Loopback0 O

10.4.4.4/32 [110/782] via 192.168.34.2, 00:02:46, Serial1/2 C

192.168.13.0/24 is directly connected, Serial1/0 C

192.168.23.0/24 is directly connected, Serial1/1 C

192.168.34.0/24 is directly connected, Serial1/2

5．设置标准的ACL，禁止R1和10.2.2.2/24访问R4及其内部网络 提示：该标准ACL应用到R4的S1/2端口入口方向 R4(config)#access-list 1 deny 192.168.13.0 0.0.0.255 R4(config)#access-list 1 deny 10.2.2.0 0.0.0.255 R4(config)#access-list 1 permit any R4(config)#int s1/2 R4(config-if)#ip access-group 1 in R4(config-if)#end

6．设置扩展ACL，禁止R2 ping R4，禁止10.1.1.0/24网段ping或者telnet R4及10.4.4.0/24网段

提示：该标准ACL应用到R3的S1/2端口出口方向 R3(config)#access-list 1 deny 192.168.23.0 0.0.0.255 R3(config)#access-list 1 permit any R3(config)#int s1/2 R3(config-if)#ip access-group 1 out R3(config-if)#end

7．验证效果（将显示结果附在各命令的下面）① R1ping R4 R1#ping 192.168.34.2 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.34.2, timeout is 2 seconds:.....Success rate is 0 percent(0/5)

R1#ping 10.4.4.4 Type escape sequence to abort.网络安全实验指导

Sending 5, 100-byte ICMP Echos to 10.4.4.4, timeout is 2 seconds:.....Success rate is 0 percent(0/5)② R1 telnet R4

网络安全实验 篇6

【关键词】网络；安全；防火墙

在高校计算机实验室管理中网络安全防范是一项重要内容，网络的开放和共享方便了教师和学生的使用，但计算机信息和资源很容易受到攻击，在计算机实验室管理中网络安全也越来越受到重视，本文就高校网络安全、防火墙技术、确保网络安全的实现进行简要的介绍。

一、高校计算机实验室网络安全漏洞

高校计算机实验室网络的开放使得网络很容易受到攻击，而且受到攻击后的伤害是比较严重的，比如数据被人窃取，服务器不能正常提供服务等等，这是因为网络存在着如下漏洞：

1、协议

计算机实验室采用的互联网的某些协议，如TCP/IP或UDP协议存在着许多安全方面的漏洞，为了使信息在网络传输中不被窃取、替换、修改等，要求采取各种硬件及软件措施，如网关、传输协议等来保护FTP或E-mail文件。再就是黑客捕获目标IP地址不是一件复杂的事情，黑客可利用IP和客户软件的漏洞使远程用户瞬间死机，为了保证互联网上信息往来的安全，需要采用数字签名的措施来保证数据发送和来源的可靠。

2、口令

计算机实验室网络的口令系统非常脆弱，常常会被破译。破译者常常通过对信道的监测来截取口令或将加密的口令解密，获得对系统的访问权。特别是由于与内部局域网相连的互联网需要进行两类认证，一是需要用户进行TCP/IP注册认证，由用户输入IP地址和口令；二是对业务往来和电子邮件信息需要进行来源认证。这两类认证常常会受到攻击。例如当用户通过TELNET或FTP与远程主机联系时，由于在互联网上传输的口令没有加密，因而带有口令和用户名的IP包就有可能被攻击者截获，用此口令和用户名在系统上进行注册，并根据被窃取口令所具有的权限获得对系统相应的访问控制权，进而窃取用户的机密信息。

3、 操作系统和应用软件

在操作系统中发现了不少的漏洞，例如对可执行文件的访问控制不严就成为许多黑客攻击成功的原因之一。许多应用软件也都有安全漏洞，容易被黑客侵入，浏览器中的超级链接也很容易被攻击者利用而进入系统。为此，需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。

4、互联网

互联网既庞大又复杂，系统边界难以确定，用户难以监视，系统受到的威胁来自各方，许多访问控制措施配置起来十分困难也不易验证其正确性。为此，为确保安全，计算机实验室内部网与互联网的连接必须设立网关，以拦截和检查每一条从互联网来或去的信息，防止黑客、病毒之类的攻击，还要使互联网的网关成为防火墙的一部分。

二、防火墙技术

由于高校计算机实验室的网络存在着以上漏洞，所以受到了种类繁多的攻击，归纳起来主要有扫描类攻击、缓冲区溢出攻击、木马攻击、DOS攻击、碎片攻击等等。为了防止计算机实验室网络受到攻击，采取的有效手段是防火墙技术。防火墙是可在内部网和互联网之间，或者内部网的各部分之间实施安全防护的系统，通过防火墙可以在内部、外部两个网络之间建立起安全的控制点，来实施对进、出内部网络的服务和访问信息的审计和控制，以允许、拒绝或重新定向经过防火墙的数据流的方式，防止不希望、未授权的数据流进出被保护的内部网络。因此，防火墙计算机实验室是实现网络安全防范的重要组成部分。

1、防火墙要解决的安全问题

（1）被保护系统的安全问题

在访问控制安全方面，防火墙应能保护内部网络的资源不被非授权使用。在通信安全方面，防火墙应能提供数据保密性、完整性的认证，以及各种通信端不可否认的服务。

（2）自身的安全问题

在访问控制安全方面，防火墙应能保护防火墙自身与安全有关的数据不被非授权使用。在通信安全方面，在对防火墙进行管理时，包括远程管理，应能够提供数据保密性、完整性的认证，以及各种通信端不可否认的服务。

2、防火墙的关键技术

（1）包过滤技术

包过滤技术主要是基于路由的技术，即依据静态或动态的过滤逻辑，在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别，只能对整个网络提供保护。一般说来，包过滤必须使用两块网卡，即一块网卡连到公网，一块网卡连到内网，以实现对网上通信进行实时和双向的控制。包过滤技术具有运行速度快和基本不依赖于应用的优点，但包过滤只能依据现有数据包过滤的安全规则进行操作，而无法对用户在某些协议上进行各种不同要求服务的内容分别处理，即只是机械地允许或拒绝某种类型的服务，而不能对服务中的某个具体操作进行控制。因此，对于有些来自不安全的服务器的服务，仅依靠包过滤就不能起到保护内部网的作用了。

（2）代理服务技术

代理服务又称为应用级防火墙、代理防火墙或应用网关，一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成，其不仅能理解数据包头的信息，还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时，防火墙端的代理服务器即进行连接，IP报文即不再向前转发而进入内网。代理服务通常被认为是最安全的防火墙技术，因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。代理服务的代理工作在客户机和服务器之间，具有完全控制会话和提供详细日志、安全审计的功能，而且代理服务器的配置可以隐藏内网的IP地址，保护内部主机免受外部的攻击。此外，代理服务还可以过滤协议，以保证用户不将文件写到匿名的服务器上去。代理服务在转发网络数据包的方式与包过滤防火墙也不同，包过滤防火墙是在网络层转发网络数据包，而代理服务则在应用层转发网络访问。

以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用，因而在最近十多年里得到了较大的发展，已有四类防火墙在流行，即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。

防火墙是特定的计算机硬件和软件的组合，它在两个计算机网络之间实施相应的访问控制策略，使得内部网络与Internet或其他外部网络互相隔离、限制网络互访，禁止外部网络的客户直接进入内部网络进行访问，内部网络用户也必须经过授权才能访问外部网络。在内部网络与外部Internet的接口处，必须安装防火墙。内部网络规模较大且设置有VLAN时，则应该在各个VLAN之间设置防火墙。通过公共网络连接的总部与各分支机构之间也应该设置防火墙，并将总部与各分支机构组成VPN。

三、确保高校网络安全技术实现

1、安全策略

我们都需要一个安全策略，不要等到发生入侵之后才想起来制定这个策略；现在就开始制定一个，才能防患于未然。

2、防火墙必不可少

令人吃惊的是，现在大多数学校都在运行着没有防火墙保护的公共网络，让我们姑且忽略有关“硬件防火墙好，还是软件防火墙好”的争论，无论采用哪一种防火墙，总比没有防火墙好。使连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。虽然Windows XP SP2自带的防火墙也勉强可用，但为了满足您的特殊需要，市场上还存在着大量产品可供挑选，最主要的事情就是去使用它们。

3、补丁策略必不可少

从一个新的漏洞被发现开始，到新的大规模攻击工具问世为止，两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候，我们需要做出快速响应，访问和安装那些补丁应该成为工作内容和计划任务的一部分，不要事后才采取行动。

4、强化服务器

“强化”涉及两个简单的实践法则：购买商业软件时，删除您不需要的所有东西；如果不能删除，就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂，越有可能留下安全隐患，所以将您的安装精简到不能再精简的程度。除此之外，设备和软件通常配置了默认用户名/密码访问、来宾和匿名帐户以及默认共享，删除不需要的，并修改所有身份验证凭据的默认值。

5、随时更新防病毒系统

原来我们鼓励用户“每周”检查一次防病毒更新，如今都提供了自动的签名更新。只要一直都连在Internet上，它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。良好的安全性要求你在每个桌面都配备防病毒功能，并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题，但在整个防病毒战线中，您只能把网关防病毒视为一道附加的防线，而不能把它视为桌面防病毒的一个替代品。

总之，高校计算机实验室网络安全的问题已成为计算机实验室管理者必须重视的工作，必须随时做好网络安全准备工作，尤其要对重要的文件或机密信息采取安全防护措施。同时，要引入国际先进的计算机病毒防治的方法及标准，使用防火墙及杀毒软件等，防止网络黑客及网络计算机病毒的入侵，保证计算机实验室正常教学秩序，另外，还要进行安全意识及安全措施方面的培训，并在法律规范等诸多方面加强管理。

参考文献：

[1]李艇.《网络安全与认证》出版社：重庆大学出版社

[2]杨守君.《黑客技术与网络安全》中国对外翻译出版公司

[3]杨富国等 《网络设备安全与防火墙》出版社：北方交通大学出版社

网络安全实验 篇7

综合设计性实验的创新设计与实施是实验教学改革的重要内容。大学生创新训练项目注重“研究过程”而非“研究成果”,其主要是以项目为载体,充分调动学生学习的主动性、积极性,激发学生的创新思维和创新意识。

大学生创新训练项目完成的内容与实际应用相关,指导教师可以将项目分解,设计成多个综合设计性实验,学生在实验过程中能将多个知识点和技术有机结合起来,教师必须参与到实验中,复制指导项目的模式,针对学生在实验中出现的问题,采用提示和设疑的方法让学生运用所学的知识,查阅资料,解决问题,培养学生学习的自主性和创新能力。笔者尝试从实施的大学生创新训练项目出发,研究《网络安全技术》实验课程改革,将大学生创新训练项目落到实处,进行创新性实验的尝试。

1 实验教学的目的

实验教学实践能使学生真正理解网络安全的整体架构,掌握相应的网络攻防技术。运用不同的攻击技术和手段设计网络攻击方案、实施网络攻击;同时通过分析攻击原理,掌握网络防御体系的建立方法和攻击防范技术。具体来说,实验教学目的要求学生熟悉、掌握网络环境搭建(组网技术)、网络协议分析(TCP/IP协议分析、Wireshark的熟练应用)、网络编程(加密算法实现、端口扫描工具开发、网络数据包构造等)、网络渗透测试(Kali应用及设计个性化的攻防工具)。

2 实验设计实例

以《交换环境下网络嗅探与防范》实验项目为例,遵循由简入难,循序渐进的原则,将实验内容分为基础性、综合设计性、创新性这三个不同的层次。从网络环境搭建、软件使用、攻击实施、攻击防范为线索引导实验教学的设计思路,并从创新性角度出发,进行实验内容的扩展。

2.1 基础性内容

网络环境搭建。该部分为实验的基础内容,实现符合实验环境的网络规划,所有实验主机(被攻击者A、攻击者B)通过交换机构成局域网(Net1),并通过路由器互联另外一个局域网(Net2,该网络中配置一台Web服务器C,具有基本的用户登录及验证功能),要求学生掌握网线制作、交换机、路由器配置、Web网站开发及配置、主机TCP/IP参数配置等知识点。

命令行及常用扫描工具使用。命令行给系统管理员及开发人员带来的灵活性不是图形界面所能够替代的,通过ping、arp等命令了解本网段主机存活状态是一项基本技能,获取目标主机MAC地址等相关参数,同时结合常用扫描工具进行验证。

网络协议分析。通过wireshark进行网络数据包捕获,并分析HTTP与ARP协议报文。能够读懂HTTP报文,理解POST的功能;通过分析ARP请求和应答报文,分析其漏洞。

2.2 综合设计性内容

通过分析得到的ARP漏洞,尝试构造ARP欺骗报文。B发送ARP欺骗报文,将自己伪造成网关,主机A的ARP高速缓存中网关IP地址对应的MAC地址改变为B的MAC地址,因而B将转发A到服务器C的所有通信量,实现中间人攻击,达到交换环境下网络嗅探的目的,也就是B将获得A明文传输到C的信息(如账号、密码等),从而破坏数据传输的保密性。ARP欺骗报文的构造正确与否是实验的重点,要求学生有正确的理解和欺骗报文设计。因为实验第一阶段搭建的是完全真实的网络环境,学生能切身体会到该类攻击的危害性,更能激发学习兴趣。

以上谈到的是攻击实施,实验的另外一个核心是防范该类型攻击。要求学生给出恰当的方案解决,引导学生从三个角度进行分析:从被攻击者出发,实现ARP缓存静态绑定;从服务器出发,如何配置HTTPS,实现客户和服务器间数据的加密通信;从入侵检测出发,制定什么样的规则发现ARP欺骗攻击行为。

以上实验用到的网络环境为有线网络环境,能完成以上实验内容达到实验基本要求,但作为实验的扩展,要求学生将实验迁移到无线网络,设计并实现无线网络的中间人攻击及数据嗅探,将可移动设备(笔记本、手机、平板电脑等)接入网络,研究如何通过伪造热点、入侵路由器等方法控制Wi Fi局域网。

2.3 创新性内容

创新性内容宗旨是培养学生的团队合作精神、创新能力,提高学生网络安全技术水平和综合设计能力。给更高层次的学生准备的项目,这部分实验既要求学生掌握网络安全理论知识,同时还需具备一定的编程能力。要求学生在老师的指导下,自行组织团队,完成自己的设计并实现具体功能。结合本实验项目,在实验过程中用到很多开源免费软件,如Wireshark、科来数据包生成工具等,在熟悉使用这些软件后,逐步引导学生自行设计并实现功能类似的工具,同时为了提高学生对TCP/IP协议的理解,学习并提高Win Pcap编程、网络编程能力,结合笔者指导的大学生创新训练项目,本实验项目中设置了以下程序设计开发主题:网络数据报文构造工具、扫描器、基于网络入侵检测系统设计与实现等。该部分内容如果继续深入可以作为相关课程设计课题或者毕业设计课题,促进学生在某个知识点的深入学习和研究。

3 实验教学实施方案

在实验教学实施过程中,根据实验内容不同,采用的方案也不同。基础性内容采用单人独立完成,根据实验结果,提交实验报告。

综合设计性内容、创新性内容则以小组形式进行,如2到3人为一个实验小组,自行规划设计。实验报告要求涵盖网络环境搭建及配置、相关技术介绍、设计方案、具体实现等内容,以小组答辩方式进行验收,回答教师和同学的提问,相互交流。

4 结语

通过研究如何将大学生创新训练项目进行分解,融入到《网络安全技术》实验项目中,设计综合设计性、创新性实验,更新实验内容,促进学生在实验过程中能将多个知识点和技术有机结合起来,编制与实验相关的虚拟实验软件。研究教师参与实验的切入点,将指导大创项目的经验引入到实验教学过程,针对学生在实验中可能出现的问题,采用提示和设疑的方法,并将这些内容引入实验指导书,要求学生运用所学的知识,查阅资料,解决问题,培养学生学习的自主性和创新能力。实验小组模式实施实验,学生自己管理实验,能培养学生团队精神,提高协同工作的能力。

摘要：大学生创新训练项目完成的内容与实际应用相关,本文研究如何将其结合到《网络安全技术》实验课程改革中,将大学生创新训练项目落到实处。

关键词：大学生创新,实验教学

参考文献

[1]姚罡,王贵萱.大学生创新训练项目对学生创新能力的培养[J].科技视界,2015(35).

高校网络安全实验室建设研究 篇8

1.1 现代企业对信息安全人才的需求与日俱增

随着科技的发展,计算机网络技术也随之发展起来,其应用领域非常广泛,为人们的生产生活带来了极大的便利,人们在享受这种便利的同时还需要面对因网络信息安全问题而引发的一系列威胁。随着现代企业信息化进程的加快,企业每时每刻都有可能遭受黑客、钓鱼网站、木马、网络漏洞攻击等网络信息安全问题的困扰,如何有效解决企业内部网络信息安全问题已成为现代企业信息化建设首要考虑的问题。在企业信息化建设进程中,需要配备大量高专业水准的信息安全技术人才,使其维护并确保企业信息建设的安全,除此之外,企业还应该制定科学的安全防范策略,为企业网络的安全、稳定运行提供有力保障。

1.2 网络信息安全事件时有发生,社会因此遭受了严重损失

互联网在运行过程中会受到网络蠕虫、木马病毒等形式的攻击,给计算机用户造成了巨大损失。网络信息安全事件日渐频繁,社会因此遭受了严重损失,当前社会各界对网络信息安全问题都给与了足够重视,为提高网络信息安全投入了大量人力、物力和财力,但是收效甚微,面对多种形式的攻击仍是有心无力。

1.3 高校网络信息安全的实验教学要求

高校是各种专业人才培养的重要基地,是社会专业人才的主要来源。随着计算机技术的发展,对高校网络安全与网络技术实验教学提出了更高需求,但当前我国多数高校网络安全与网络技术实验教学硬件根本无法满足这一教学需求。高校只有不断提升网络信息安全实验的硬件条件,加强对网络信息和网络技术安全实验教学的建设,才能使学生的网络信息安全实践能力得到有效提高,满足当前社会发展对网络信息安全的人才需求,为社会输送更多具有高专业水准的信息安全技术人才。

2 高校网络安全实验室的建设目标及网络实验室的功能

2.1 网络安全实验室的建设目标

高校实验室主要包括以下三种类型 :中心实验室、研究实验室、公共基础实验室。专业基础课的训练是在公共基础实验室进行的,该实验室所面向的是专业基础课的学生。专项研究项目实验是在研究实验室进行的,该实验室所面向的是某一项目的研究人员,研究实验室建设具有较强的局限性及针对性。中心实验室

则是为专业课实验而设置的,该实验室所面向的是该专业的学生,中心实验室具有一定的普遍性和针对性。网络安全实验室被定位到了中心实验室当中,网络安全实验室所面向的是信息安全专业的学生,该实验室以网络安全类实验为主,具体实验内容主要包括 :网络防御实验、网络攻击实验、网络扫描实验、网络入侵检测实验、网络协议分析实验、网络安全通信实验、网络病毒实验、访问控制实验、身份验证实验等,并将网络攻击实验作为教学重点。

2.2 网络实验室功能分析

高校网络实验室应该具备以下几项功能 :(1)综合布线方面的主要功能 :1具有展示端接设备和步骤、光纤的端接方式的功能。2具有展示RJ45模块、双绞线的常用工具和打线方法。3实验室内的布线应该满足语言、数据要求,具有灵活多变的拓朴结构,能构成各种网络拓朴结构。(2)网络方面的主要功能 :1能够展示集线器、路由器、交换机等网络设备。2通过布线系统的跳线跳接能够实现局域网、广域网络、局域网与局域网互联等形式的网络拓朴结构。3通过配置DDN、拨号等方式能够连接广域网,进行交换机路由器的配置,可实现VIAN。(3)1能够安装、配置、维护Unix、Windows NT、Linux、Novell等操作系统。

2配置网络服务器的各种服务。3具有数据的备份和恢复功能。

3 高校网络安全实验室建设所需遵循的原则

高校在建设网络安全实验室过程中应该遵循以下几项原则 :(1)为满足不同层次、专业网络与信息安全课程要求,应遵循层次性原则,让更多层次的学生受益。(2)计算机信息技术更新速度飞快,为满足时代发展的需求,高校所构建的网络安全实验室应该具备较高的可扩充性,满足实验室的升级、更新需求,紧跟时代发展步伐。(3)网络安全实验室所配备的软硬件设备应该具备较高的使用性和先进性。(4)为确保实验室能够安全稳定的运行,高校所构建的网络安全实验室必须具备较高的可靠性能。(5)标准性与开放性相结合原则,采用符合国家标准的通讯协议和接口。(6)统一性和综合性相统一原则。最好采用一个厂家的设备来组建网络实验室,完成上面提到的众多网络实验。(7)安全性原则,制订统一的安全策略。(8)可管理性原则。对网络实行集中监测,分权管理,并统一分配宽带资源。

4 分析高校网络安全实验室的项目设计要求

为提高学生的网络安全技术水平,不仅要为学生安排常规的实验,在此基础上还应该为学生安排VPN技术以及相关配置、外侵检测实验、身份认证实验等高级实验,使学生具备较高层级的网络信息安全技术以及相关的实验能力。高校的网络信息安全实验室在完成一般实验教学的基础上,还可以为学生提供创新实验的平台,在进行实验建设时,要考虑到创新实验的需要,例如进行Linux防火墙设计与实现、Linux网络源代码分析等技术研究。在现有软硬件条件的基础上,优化软件的效果,对当前的软件进行创新和改进,使学生的网络信息安全创新能力得到进一步的提升。

5 总结

高校是网络安全技术人才的重要培养基地,必须加强自身的网络安全实验室建设,建设一个全方位、高水平的网络安全实验室提供指导性建议,使学生能够在不同环境、层面中全面掌握最主流的网络安全技术,加大网络安全人才的培养力度,为社会输送更多具有高专业水准的信息安全技术人才。

摘要：高校作为计算机人才培养的重要基地,面对计算机网络安全人才缺乏问题,必须加强高校自身的网络安全实验室建设,加大网络安全人才的培养力度,为社会输送更多具有高专业水准的信息安全技术人才。本文在分析高校建设网络安全实验室必要性的基础上,针对网络安全实验室的建设原则、建设目标、实验室功能、实验室设计项目进行了详细论述,旨在为高校建设一个全方位、高水平的网络安全实验室提供指导性建议。

对高校实验室网络安全的思考探析 篇9

计算机网络安全是高等院校实验室面临的重要内容,造成实验室网络不安全有众多原因,既有客观因素的局限又有很多主观操作的失误,大致有以下几点:(1)硬件原因:服务器是实验室网络安全的重中之重。(2)软件原因:无论是哪种系统软件和应用软件都或多或少存在安全漏洞和不足之处。(3)病毒破坏:病毒会给实验室网络安全带来一些问题,如系统瘫痪、数据丢失等。(4)为满足不同专业教学所需而安装各种软件,电脑反应慢,加之使用率高,超负荷下安全故障率也随之提高。(5)学生的使用不当或误操作,极易造成破坏或删除系统文件,修改CMOS设置、注册表等使计算机不能正常运转。(6)教学软件如极域、红蜘蛛等,在局域网环境下进行教学演示或传输文件时,使病毒速度快、范围广的传播,加大实验人员维护难度。

究其原因,主要归结为对计算机网络安全知识的掌握不系统、欠缺导致。因此,从源头出发培养学生的网络安全意识和加强网络知识体系的构建,是高校实验室及计算机教育的重点任务,高校开展计算机网络安全课程是很有必要的。

1 高等院校计算机网络安全体系与特点

高校实验室网络安全是要确保广域网和局域网以及计算机内部数据和软硬件不被破坏、泄露或攻击等,确保计算机的正常运行,保证计算机的内部资料安全。为了防止计算机网络受到威胁,需要我们的共同努力。所以,需要建立完善的高等院校计算机网络安全课程体系。

1.1 拓宽知识面,及时更新知识库

由于网络的出现,导致网络安全问题也随之产生,只要有网络存在,就有网络安全问题发生。网络问题不断加重,同时也促进了网络安全技术的发展。网络安全课程的内容也应该不断更新,尽可能与网络安全问题相一致,因此网络安全技术课程应包括以下内容:

(1)防火墙设置

防火墙是一道屏障,阻止外界的病毒和危险进入到计算机网络,阻止内部数据泄露,转换网络地址,严格监控网络数据的存取及访问程序,对于应用程序进行严格的筛选等。也就是控制用户的进入和离开程序,从而达到安全控制的目的。对于恶意的病毒攻击和入侵可以尽早发现,并阻止恶意行为的发生。

(2)入侵检测

对计算机中原始数据的工作流程进行细致的检查和分析,防止在某一个使用环节出现病毒入侵现象,并对数据的运行模式和特点进行判断,检测其中是否具有攻击现象发生。防火墙主要的保护方式就是对用户的身份进行验证,阻止未经授权用户的非法进入。然而对于黑客攻击和恶意软件的入侵就无可奈何了。而入侵检测系统刚好弥补了防火墙的不足,对于非法进入的用户开启全面阻止模式,一旦发现有非法入侵者就会立刻提醒人们,并采取保护措施。

(3)网络病毒防范

防止网络病毒入侵主要有三个阶段:预防阶段、检测阶段和杀毒阶段。预防阶段的主要任务就是提前做好病毒的监控工作,是防止病毒入侵的第一道防线;检测阶段的主要任务是根据计算机以往的各项特征判断是否有被病毒破坏或入侵的迹象,以此来判断是否有网络病毒的存在;杀毒阶段的主要工作是对入侵的病毒利用各种杀毒技术将病毒从计算机中删除,并恢复原始数据。

(4)发现系统的漏洞

及早发现系统中存在的漏洞,并做好安全防范措施,减少安全事故的发生。经常进行漏洞检查,一经发现马上修复,不给不法分子留下可乘之机。

1.2 要有先行课的知识基础

计算机网络安全是一门专业性较强的课程,在学习之前必须有相应的计算机知识才容易学习与理解,需具备扎实的知识基础体系,在学之前要对计算机基本原理、体系结构、操作系统等有一定的了解,掌握了这些知识内容才能更好地掌握这门课程。

1.3 实践性强,加强实践环节

计算机网络安全是一门有很强的实践性的课程,多数教学内容必须以实践的方式进行,很多知识内容需要学生亲自动手实践才能更好地理解和吸收,达到在“做中学与学中做”相结合。因此这是一门实践性很强的学科内容。对于这样一门实践性比较强的学科,在进行实践安排时也需要特殊对待。比如学生在进行模拟黑客入侵的实验时,需要利用黑客软件进行演习。如果学生将这些黑客软件带出实验室,将会给网络带来新的威胁,因此计算机实验教学需要在指定的实验室进行,并完善安全教育制度,对实验的学生做好严格的监控,防止黑客软件在实验室外随意使用传播。

2 高校计算机网络安全教育需克服的问题

2.1 教材需与技术发展同步

网络的迅速发展,导致网络安全问题层出不穷。而学校的教材更新比较慢,远远落后于网络的更新速度,学生学习的内容与现实的安全问题不相符。计算机安全是一门实践性很强的学科,而教材的内容理论性较强,需要学生亲自实践的不多。导致学生的理论与实践不能很好的结合,达不到预期的教学效果。所以教材内容首先前沿。

2.2 教学硬件设施需健全

很多高等院校由于受到观念、经费等主客观条件的限制,导致很多教学设备不齐全,无法满足教学要求。很多实验内容都是由老师进行演示给学生看,利用幻灯片或虚拟机等,然而虚拟机环境下的实验无法满足相应的要求。而且很多设备陈旧、多年未曾更新,与企业先进的工作设备不同,学生很难接轨,毕业后需要很长时间学习、适应新的设备。

2.3 教学方法与评价方式应科学

很多高等院校还是沿用传统的“教师讲授”教学方法,课堂氛围枯燥,学生上课积极性低、主动学习能力不高。多数的上课方式还是以老师讲为主,学生被动的在下面听,上课内容死板,容易弱化学生的动手能力。这样的上课方式使学生的注意力很快就会从课堂上转移,导致教师上课效率低,学生成绩差,这样的教学失去了他的现实意义。目前,高等院校对于计算机安全课程的考核还是以纸质笔试为主,主要考察的内容还是学生对理论知识的掌握程度。这样的考试方式对于计算机网络安全这样实践性比较强的学科而言,根本达不到真正的目的,对于应用型人才的培养,考知识还是考能力比较模糊。因此高等院校需要尽快变革考核方式,将实践也加入到考试范围内,全面衡量学生对网络安全知识的掌握情况。

3 提高计算机网络安全效果的建议

3.1 明确课程改革需求、知识覆盖

高等院校应该建立完善的课程体系,以增强学生动手能力为教学方向,以真实地教学任务为载体,做好课程设计工作。同时提高教师的职业素质和教学水平,教师也应不断的充电,做好基础教学规范,及时更新教学内容和教学的方法手段。科学的增加学生的实训课程,改善现有的教学条件。壮大学校的教师队伍,优化教学资源。充分利用现有的信息化手段进行教学,培养全面发展的高质量人才。同时考核评价体系也应该创新与完善,否则难以科学评价。

3.2 重在实践环节

可考虑采取教师主管相应实验室,目前存在教师实践水平不高的问题,存在理论与实践脱节的问题。让教师兼管实验室可以提升教师的实践能力,并促进与提升教师的理论知识水平,二者互相促进,相辅相成。这样在强化学生实践时,变为在教师指导下的学生动手实践,效果会更好。

3.3 增加校级精品课程的建设

目前我校正在鼓励教师进行课改,推出精品课程。对于精品课程的建立,可以参考国内其他高校及国外一些比较成功的经验,并根据学生的实际情况和计算机网络安全课程教学特色,通过与先进的教学方法和教学技术相结合,实现现代化网络教学。在实践中不断完善网络教学,优化网络设计,提高网络教学质量,确保教学目标的实现,从而实现学校培养应用型人才的目标,达到培养学生计算机网络安全的目的。

4 结束语

网络安全实验 篇10

但是,建立一间网络安全实验室,动辄数十万元,可能专门就是为一两门课程服务,投资较大、技术要求高、使用率低。对于一般高校而言,还是期望能在普通机房中来完成网络安全的教学实验。为了避免网络安全实验对计算机系统的影响,可以采用虚拟机软件来搭建虚拟的硬件、软件和网络环境,给学习者提供与真实环境完全一致的操作步骤和使用感受。基于虚拟机搭建的网络安全实验环境具有成本低、设备利用率高、安全可靠、管理方便等优点,适合在各层次的大专院校、职业学院中大量普及应用。

1 研究概况

虚拟机通过软件方法利用一台物理电脑的硬盘和内存虚拟出的若干台机器。顾名思义,“虚拟机”就是指虚拟的计算机。用于安装虚拟机的物理计算机又可称为宿主机。每台虚拟机有着独立的“硬件”系统,可以进行硬盘分区、格式化、安装操作系统和应用软件等操作,还可以将多个虚拟机联成一个网络。同一个宿主机上的多个虚拟机互不干扰,就像是物理上存在的多个计算机一样。虚拟机的使用步骤和操作界面与物理上真实存在的计算机是完全一致的,在网络上很难区分一台机到底是物理机还是虚拟机。而虚拟性还能带来更多的优点:虚拟机的系统中毒或崩溃之后可直接删除,不会影响宿主机系统的正常工作;宿主机系统崩溃后也不会影响虚拟机,可以在重装宿主机系统后重新加载保存在硬盘中的虚拟机。[1]

目前比较流行的虚拟机软件有三种:VMware公司的VMware Workstation,Microsoft公司的Virtual PC,SUN公司的Virtual Box。其中VMware的功能丰富,通常用于服务器和商用环境,使用最为广泛,支持几乎所有的常见操作系统,比如DOS、Windows、Linux、Novell Net Ware、Sun Solaris、Free BSD等,但是需要注册使用,占用硬盘空间较多。Virtual PC和Virtual Box都是免费软件,占用硬盘空间较少,但功能较为简单,主要在科研实验中应用。这几个软件都能满足多数情况下网络安全虚拟实验环境的建设要求,用户可根据自己的实际情况进行选用。

文献[2]用VMware构建高效的网络安全实验床,提出在虚拟机中回收内存的气球技术和基于内容的页面共享技术,客户操作系统调用自己的内存管理程序,减轻主系统负担,为虚拟机之间提供更多共享机会。文献[3]利用Vitual PC搭建了一个可以进行网络及安全实验的平台,演示了用Wire Shark作为包捕获和协议分析软件的实验工作过程。文献[4]介绍了WMware中网络安全工具包虚拟机(NST VM)的使用,该工具包集成了网络数据库、杀毒软件、防火墙、入侵检测、网络嗅探、数据加密等全套的免费开源工具。文献[5]基于VMware软件中利用蜜罐、网络嗅探等技术构建虚拟网络安全实验平台,能够进行网络攻击测试、对病毒驻留和传播、分布式拒绝服务模拟、黑客攻击跟踪等实验。文献[6]基于VMware软件完成了灰鸽子木马实验的设计与实现。文献[7]基于虚拟化技术设计并实现了一套软硬结合的信息安全综合实验平台,基于此平台开发了密码学及其应用、防火墙、入侵检测和漏洞扫描技术等多种实验内容。

2 虚拟实验环境的搭建

2.1 虚拟实验环境的优势

与传统实验环境相比,基于虚拟机技术构建的网络实验环境有如下优势:

1)成本低、设备利用率高。虚拟实验环境搭建在普通的计算机实验室中,不用专门建立网络安全实验室,也无需额外增加服务器、交换机、路由器等硬件设备。通过虚拟技术实现设备的复用,可在设备、软件、场地、人员等各方面为学校节省大量投资,提高实验设备的利用率。

2)运行环境独立。虚拟机的软硬件环境是独立的,对虚拟机的安装、使用、维护不会影响到物理计算机的软硬件环境。只要不启动虚拟机,就不会占用程序运行资源,不会影响计算机实验室进行其他课程实验教学,有利于实验室的日常管理和维护。

3)安全可靠。在虚拟实验环境中,每一台宿主机上的多台虚拟机可构成一个独立的虚拟局域网,对网络中甚至同一个机房中的其他主机和网络没有任何影响。虚拟实验网络和当中的主机能够安全可靠运行。

4)便于实验教学。一个虚拟实验网络IP地址规划、服务器设置可以按需求任意配置,便于课程实验的统一管理和实验结果的检查对照。在虚拟实验环境中,可以多个学生组成一组进行实验,也可以一个学生在一台计算机的不同虚拟机上扮演多个任务角色(比如同时扮演网络攻击者和防守者),有利于培养学生的全面实践能力。

5)容易普及应用。虚拟机软件的安装和使用方法简单,有一定计算机操作经验的用户无需专门培训就能轻易地进行虚拟机的安装和配置。一般的高等院校、职业学院都有大量的普通计算机实验室,只需增加一点软件成本就能搭建起虚拟实验环境,简单易行,可以大面积铺开应用,能够满足普及网络安全实验教学的需求。

2.2 虚拟实验环境的搭建

本文采用Vmware软件来搭建虚拟实验环境,在一台PC上模拟出多台虚拟机。普通的计算机机房同时提供给多门课程进行上机实验,上机用户更换频繁,每个用户在进行实验时都可能会对系统进行或多或少的更改。为了保证机房的正常运行,避免用户更改计算机的操作系统和应用软件,管理人员通常会在计算机机房中安装硬盘保护卡,对系统盘进行保护,只开放数据盘供用户存放工作资料。虚拟机文件应保存在可自由读写的数据盘中,这样装有硬盘保护卡的物理机即使重新启动也不会影响虚拟机。在虚拟机上可以安装DOS、Windows、Linux等操作系统。

将这些虚拟机进行适当的网络配置,可以连接成为一个虚拟的局域网。也可将同一个机房中的多个宿主机上的虚拟机都连接起来,在机房范围内形成一个较大的虚拟局域网。这个虚拟的局域网形成一个虚拟的实验环境,在这个虚拟环境中可以进行各种网络安全实验,其操作步骤和运行界面与在真实物理环境中是一致的。

2.3 虚拟机的网络设置

VMware提供了三种网络工作模式,它们分别是:

1)桥接网络(Bridge Networking)。桥接网络模式相当于虚拟机通过主机网卡架设了一条桥,直接连入到物理网络中。在这种工作模式下,虚拟机拥有一个独立的IP地址,在网络中主机与虚拟机具有同等的地位,它的所有网络特性和网络中的真实机器是完全一样的。

2)网络地址转换(Network Address Translation,NAT)。在NAT工作模式下,虚拟机访问网络的所有数据都由宿主机转发,宿主机相当于网关。虚拟机与网络中其他主机的通信必须经过宿主机。

3)主机网络(Host-only Networking)。虚拟网络是一个全封闭的网络,只允许访问主机和连接在同一主机上的其他虚拟机。主机网络与网络地址转换的区别是前者没有NAT服务,所以不能连接到Internet。主机网络的目的是建立一个与外界隔绝的内部网络,来提高内网的安全性。

根据网络安全实验的要求,我们可以灵活运用,对虚拟机设置不同的工作模式和IP地址,组建出所想要的任何一种虚拟网络环境。

3 虚拟实验环境下的教学案例

3.1 操作系统弱口令检测

实验目标:1)掌握Lopht Crack口令检测软件的安装过程;2)学会Lopht Crack软件的使用方法。

网络配置:网络结构如图1所示,两台虚拟机都工作在桥接网络模式,可以自由访问Internet。在虚拟机1、虚拟机2上均安装Windows 2000/XP操作系统。虚拟机1的IP地址设置为192.168.1.1,虚拟机2的IP地址设置为192.168.1.2,子网掩码均为255.255.255.0。

实验步骤:1)在虚拟机1上安装Lopht Crack;2)运行Lopht Crack,以虚拟机2为目标机,检测该计算机中系统用户的弱口令。

3.2 网络漏洞扫描

实验目标:1)学会在Linux环境下系统漏洞扫描与分析软件Nessus的安装和配置;2)学会使用Nessus客户端进行系统漏洞扫描;3)学会分析系统扫描日志。

网络配置:网络结构如图2所示,虚拟机工作在主机网络模式,主机与虚拟机、虚拟机与虚拟机的可以互相访问,但虚拟机不能访问Internet。这样网络漏洞扫描只在虚拟机内部网络,防止干扰外部网络。虚拟机1上安装Linux操作系统,虚拟机2上安装Windows XP操作系统,虚拟机3上安装Windows 2000/XP系统。分配以下IP地址:虚拟机1为192.168.2.1,虚拟机2为192.168.2.2,虚拟机3为192.168.2.3,宿主机为192.168.2.254,子网掩码均为255.255.255.0。

实验步骤:1)在虚拟机1上安装、配置系统漏洞扫描与分析软件Nessus;2)在虚拟机2上安装Nessus客户端;3)通过虚拟机2上的Nessus客户端登录到虚拟机1,对虚拟机3进行漏洞扫描;4)观察系统扫描日志并进行分析。[8]

3.3 局域网上网信息监控

实验目标:1)学会监听工具Win Sinffer的安装;2)使用Win Sniffer软件截取局域网内的密码。

网络配置:网络结构如图3所示。虚拟机1设置为双网卡,一张网卡为主机网络模式(IP地址为192.168.3.1)、另一张网卡为桥接网络模式(IP地址为192.168.3.253),充当网桥直接与Internet相连。虚拟机2、3、4均工作在主机网络模式,IP地址分别为192.168.3.2、192.168.3.3、192.168.3.4,网关设置为192.168.3.253,通过虚拟机1转发外部网络数据,实现与Internet的通信。

实验步骤:1)在虚拟机1上安装监听工具Win Sinffer并运行;2)在虚拟机2上连接远程FTP服务,观察虚拟机1上的监听记录;3)在虚拟机3上访问E-mail邮箱,观察虚拟机1上的监听记录。

4 结论

实践证明,利用虚拟机构建的网络安全实验环境与真实的网络环境一致,无论是操作步骤、命令、功能和响应界面都是一样的。虚拟的网络安全实验环境可以解决实验设备投入不足和实验场所缺乏的问题,提高计算机实验室的设备利用率,将实验过程产生的攻击性和破坏性限制在虚拟环境中,保障实验设施的安全可靠运行,有利于培养学生的实践操作能力,有利于在实验教学中进一步开展自主学习、任务驱动式学习,有效提高网络安全课程的教学质量。

参考文献

[1]王太成,蔡勇.利用虚拟机技术完成复杂网络实验[J].计算机技术与发展,2009,19(4):246-249,253.

[2]刘武,吴建平,段海新,等.用VMware构建高效的网络安全实验床[J].计算机应用研究,2005(2):212-214.

[3]李因易.用Vitual PC搭建一个网络安全实验平台[J].贵州大学学报:自然科学版,2008,24(1):70-72.

[4]丁昱,庄城山.虚拟机在网络安全实验教学中的应用[J].信息安全与通信保密,2009(10):71-72.

[5]翟继强,陈宜冬.虚拟网络安全实验平台[J].实验室研究与探索,2009,28(6):79-82,90.

[6]贺惠萍,荣彦,张兰.虚拟机软件在网络安全教学中的应用[J].实验技术与管理,2011,28(12):112-115.

[7]朱辉,刘北水,李晖,等.基于虚拟化技术的信息安全实验平台开发与应用[J].武汉大学学报:理学版,2012,58(S2):249-252.

浅谈实验安全预防与处理 篇11

关键词：实验安全；预防；处理

【中图分类号】G712

1.加强实验安全预防的重要性、必要性

发展是目的，改革是动力，安全是保证。随着教育教学改革的进一步发展，各高职院校在提高教学质量，培养社会高素质技能型合格人才动力的推动下，加强了实验教学力度.在各种实验改革同步进行的同时，实验安全预防将成为教师及教育工作者思考的新课题、新挑战。

2.实验教学中存在的安全隐患

实验室是学生密集的场所。因为人多实验用品药品仪器比较集中，在实验过程中存在着很多的危及学生人身安全的因素.如着火，触电，仪器的爆炸，气体或固体的燃烧爆炸，强酸强碱对皮肤的灼伤、实验过程中学生的烫伤和割伤，有毒药品、有毒气体以及刺激性气体的吸入而导致的中毒，食用实验后的动物、食品而引起的学生食物中毒等，这些隐患不提前预防，一旦发生会给学生身心带来伤害，严重的还会危及生命。

3.实验安全的预防与处理

3.1.着火：

3.1.1着火预防：（1）在操作易燃溶剂时，应远离火源，切勿将易燃溶剂放在敞口容器内用明火加热或放在密闭容器中加热。（2）在进行易燃物质实验时，应先将酒精灯等易燃物质搬开。（3）蒸馏易燃物质时，要检查好气密性；（4）切勿将易燃溶剂倒入费缸中，更不能用敞口容器存放易燃液体。倾倒易燃液体时应远离火源，最好在通风橱中进行。（5）酒精灯用毕，应立刻盖上灯盖把灯火熄灭，不准用嘴吹气熄火，不要用灯颈破损的酒精灯，不准用倾斜一盏酒精灯到另一盏酒精灯上接火。

3.1.2.着火处理：当实验室不慎着火时，先要冷静。由于物质燃烧需要一定的温度和氧气，所以灭火的原则是降温，或者是将燃烧的物体与空气隔绝。在灭火的同时要防止火势的蔓延。对于小火可用湿布、石棉布、或沙子覆盖燃烧物，用隔氧的方式灭火；火势大时要使用泡沫灭火器。如果衣服着火，不要到处乱跑，要立即把衣服脱掉、或者用大量的水扑灭，或者用就地打滚的方式让火熄灭。

3.2.触电

3.2.1.触电预防：使用电器时，应防止人体与电器导电部分直接接触，不能用湿的手或手握湿的物体接触电插头。装置和设备的金属外壳等都应该连接地线.实验后应切断电源，再将电器总电源的插头拔下.

3.2.2触电处理：在实验过程中如果发现触电现象，当即切断电源，或者用不导电物体将电源线挑开，使伤员尽快脱离电源。急救人员千万不可以接触触电者，也不可以用手直接拿开电线等。在伤员脱离电源后，立即检查伤员全身情况，发现呼吸、心跳停止时，马上做人工呼吸或做胸外心脏按压，并一定要坚持到底。直到医院医护人员接替。处理电击伤时，应注意有无其他损伤，如外伤、灼伤、四肢和骨盆骨折等。对于骨折不能随便移动，必须移动的应该先固定，最好是有专业医护人员到场帮助急救处理。

3.3.爆炸

3.3.1.爆炸预防：由于实验操作不规范，粗心大意或违反操作规程都能酿成爆炸事故。对于制备易燃易爆气体如：氢气、乙炔等，要保持室内空气畅通，严禁明火，并应防止一切火星的发生。对于有机溶剂如乙醚和汽油等的蒸汽与空气相混合时极为危险，当遇到火花、电花等易引起爆炸，使用时应该特别注意预防火原。对于易爆的固体，由些不能见火星，有些不能和氧化剂混合反应，有些是不能受外力重击，在使用时，要了解其性质、特点及注意事项，小心操作。

3.3.2爆炸处理：因为实验室制出的爆炸气体、以及提供固体易爆炸的药品数量有限，很少或者不会发生因爆炸而引起的楼房倒塌现象。如果实验过程中发生气体或者固体药品的爆炸事件，首先应该将受伤人员撤离现场，送往医院急救，然后组织没受伤的学生迅速离开现场，防止被炸飞的物体伤人或者气体中毒。在事态没有蔓延的情况下，立即切断电源和关闭煤气，防止其他着火、中毒等事故，可以隔离的，马上做隔离处理。

3.4中毒：

3.4.1中毒预防：实验室的药品，有些具有极强的毒性，当人体吸入时，轻的呕吐、头昏目眩，重的危机生命。使用如果不严格按照药品取用的操作规程，很容易导致中毒。在做有毒药品实验前，要戴口罩，戴手套、穿工作服.实验后要洗手。实验要在通风橱内操作完成，操作实验时不能把头伸进通风橱内。实验室有毒药品要专人负责收发，实验后的有毒残渣要妥善处理好，不准乱丢。对于实验用过的动物、食品，要清点数量，严格监督学生做深埋处理。

3.4.2中毒处理：对于吸入刺激性或有毒的气体情况较轻的，将患者转移到空气新鲜的地方，让患者大量呼吸新鲜空气排毒。为防止再度中毒，不能进行人工呼吸。对于非细菌性食物中毒，在毒物入口后，立即把手指伸入咽喉部，促使呕吐，吐出毒物。在毒物入胃时间短，毒物还没被大量吸收的情况下，可以通过灌入一些催吐剂入胃，使患者呕吐全部吐出毒物。然后再送医院观察治疗。对于中毒严重的患者，应及时送往医院进行排毒、解毒等对诊治疗。

3.5.常见外伤的处理

3.5.1.酸或碱灼伤：溅在皮肤上的酸或碱，先用大量的水冲洗，再用3%的NaHCO3溶液或肥皂水冲洗，然后再用水冲洗，最后涂上氧化锌软膏或硼酸软膏.如果是强酸强碱溅在皮肤上后，应该先擦掉强酸强碱后，再执行以上程序操作.

3.5.2切割伤：指刀刃玻璃等锐器划破皮肤所造成的外伤.为防止感染伤处不能用手抚摩、也不能用自来管里的水冲洗，应该先取出伤口中的玻璃碎片或固体物。小而浅的伤口，先用消毒的纱布或干净的毛巾布块盖在伤口上面按压、抬高止血。止血后用碘酒、酒精或1%的盐水擦拭伤口周围皮肤进行消毒，如伤口较脏可用凉开水冲洗，再用干净的布包扎。

3.5.3.烧伤和烫伤：烧、烫伤一般可以分为三度。对于只损坏表皮，创面发红，没有起泡，但较痛的一度烧伤，先立即将受伤部位浸泡在生理盐水、冷水或煤油中20分钟以上止痛，防止肿胀、起泡。然后再在患处涂一些食用油、凡士林等，不一定包扎。对局部起泡肿痛伤及真皮的二度烧伤，不要弄破水泡，可将水泡四周皮肤用酒精消毒，然后用干净纱布包扎。如果烧伤面积较大伤及表皮、真皮以及下面的脂肪、骨肉的三度烧伤时，要及时去医院就诊。

参考献：

王希谭，周彦新以人为本抓安全，依法治校促稳定《学校安全工作指南》2005，7

王长利，马安洁王立成《实验安全手册》[M]长春吉林大学出版社.2009

吕明来实验室化学危险品的安全知识与管理《实验技术与管理》2005.22（5）

计算机网络安全实验教学改革初探 篇12

实践出真知, 网络安全知识不能仅仅是停留在理论阶段, 只有从实用技术入手, 通过具体操作, 学生才能实际掌握和理解网络安全领域的精髓, 提高网络安全方面的动手能力和感性认识, 因此, 网络安全实验教学对于培养学生的创新精神和实践能力有着独特的不可替代的作用, 如何提高学生对实验课程的兴趣, 并能在课后能继续深入相关知识点, 是我们必须考虑的。

实验教学内容和模式改革

实验教学内容的改革, 是提高实验教学质量的重要途径。网络实验项目的设计由浅入深、由局部到整体。前期的实验项目是保密技术和网络基础知识, 让学生建立起网络安全的基本概念;接着从攻击到防御的思路, 从网络和计算机资源的探测以及网络攻防技术入手, 再过渡到对安全防范技术的介绍, 包括系统安全、网络和应用系统安全技术等;最后, 把前面的各个专项安全技术进行融合, 实现网络安全整体解决方案, 促使学生建立起对网络安全系统整体框架的认识。同时在逐步减少验证性、演示性实验的基础上, 增设一定数量的综合性、设计性实验, 使实验内容具有创新性、综合性、研究性。学生可以根据实验大纲要求, 可以自由组合实验小组, 甚至可以对实验内容进行深化或者合理修改, 使得实验教与学的互动性强, 有利于学生主动探索发现新问题, 深入研究。

实验教学模式改革, 就是从要逐步从教师先讲实验原理、步骤等内容, 然后学生照做的传统模式, 转变到采用“任务驱动”教学法, 充分调动学生的主观能动性, 提高自主学习的能力。

任务驱动教学法就是在教师指导下, 以学生为中心的学习, 在整个学习过程中教师起组织者、指导者、帮助者和促进者的作用, 利用情境、协助、会话等学习环境要素充分发挥学生的主动性、积极性和创造性, 最终达到使学生有效地实现对当前所学知识的意义建构的目的。建构即是对新知识的意义的建构, 同时又包含对原有经验的改造和重组。

网络安全问题的知识点更新很快, 不同的漏洞, 攻击方法层出不穷, 因此实验内容不可能完全跟上这些变化, 所以必须要求学生具有一定的自主学习能力与独立分析问题、解决问题能力, 才有可能能去解决日后碰到的实际问题, “任务驱动”教学法的主要特点就是任务驱动, 注重实践。

“任务驱动”教学模式的实现

“任务”直接影响教学效果, 因此, “任务”的设计至关重要。实验教师要在学习总体目标的框架上, 把总目标细分成一个个的小目标, 并把每一个学习模块的内容细化为一个个容易掌握的“任务”, 通过这些小的“任务”来体现总的学习目标。下面以实验项目《网络嗅探的实现、检测和防范》为例来谈谈这种教学模式的应用。

1.设计的任务必须紧紧围绕教学目标, 要能培养学生自主学习和协作能力

本实验项目的任务大致分为以下内容:分析集线器、交换机的工作原理;共享以太网、交换以太网嗅探的实现;嗅探的检测;Sniffer工具的使用;ARP相关软件的使用等。实验教师首先提出集线器和交换机工作原理不同的问题, 因而可以引导学生去思考这两种不同设备扩展的局域网的嗅探方法是否存在差异的问题, 更进一步的去思考检测方法的问题, 最终在完成对这些任务的基础上, 给出自己认为可行的针对不同扩展方式局域网的嗅探防范措施。每两个学生为一组, A充当攻击方, 进行针对被攻击方B的ARP欺骗, 同时运行sinffer实施嗅探, 获取B与外部网络之间的通信, 在整个实验过程中, 必须相互配合, 同时查看两台计算机上显示的信息。

2.创设情境, 导出“任务”

“兴趣是最好的老师”, 本实验项目设计的任务来源于现实网络的安全问题, 实验的首个任务就是让学生清楚口令等个人敏感信息以明文方式在网络上传输是存在一定风险的, 这样很快就引起学生的兴趣, 将会大大激起学生的求知欲望, 联系实际上网中的安全问题, 去思考如何去保护自己的利益, 这样也正是体现了任务的实用性原则。

如前面所谈到的, A通过实施欺骗和嗅探, 可以看到B与外部网络的通信, 而通信如果是以明文方式传递, A将能够读懂这些数据, 比如说口令信息。学生会去探讨如何防范的问题, 也就是说实验要完成的“任务”出现了, 首先, B能否发现A在实施嗅探, 其次ARP欺骗如何防范, 还会考虑数据可以先加密, 即使被嗅探, A也不能读懂, 达到保密的需求, 在研究这些问题的同时, 实验内容也很自然地过渡到下一个实验项目。

3.自主学习与协助学习实现任务是驱动教学的重点

设计的任务要给学生充分创造和发展的空间, 并使学生能举一反三、触类旁通, 思维得到发展。计算机网络安全实验大多需要学生之间的配合, 因而实验过程中大多是以实验小组组合学生, “个体学习方式”改变为“小组学习方式”。

自主学习是以自学为中心, 由学生自主探索学习, 独立完成任务, 要求学生充分发挥主动性, 比较简单或单一的任务学生可以采取这种学习方法, 如集线器、交换机的工作原理。

协作学习是为了在个人自主学习的基础上, 通过小组讨论、协商, 以进一步完成和深化对主体的意义建构。通过这种协作和沟通, 集思广益, 学生可以看到问题的不同侧面和解决途径, 开阔视野。在这个实验项目中, 涉及多个知识点, 并和日常实际应用结合非常紧密, 校园网中常常出现ARP病毒泛滥的问题, 这样就要求小组根据实验中用到的ARP欺骗, 进一步去讨论ARP病毒的工作原理, 从而去发现网络协议本身可能存在的问题, 对理论知识有透彻了解。

而协作学习也可以体现为Internet上的自主学习, 自主是协作的基础, 协作又会反过来促进自主。在具体实验过程中教师巡回辅导, 做好点拨、鼓励。例如:对于网络嗅探的防范措施, 教师可以提出ARP缓存静态绑定来达到防范的目的, 鼓励学生相互讨论、交流, 在教师给出的初步解决方案的基础上, 找到一个方便实用的方法, 对于最终方法并不需要在当堂实验课上给出, 而是让学生课后自主或协作学习, 以实现和完成任务。

实验教学的考核

实验教学的考核, 既是保证实验教学质量的条件之一, 也是检验实验教学质量的主要方法。学生以个人的实验报告或程序代码作为任务完成成果时, 教师不能简单批改后就置之不理, 对好的成果应进行展示、交流、讨论、分析、评点, 要不吝啬鼓励的话语。前面提到, 实验项目大多是小组协作完成的, 因而也要重视小组评价, 只有当小组所有成员都达到目标时, 才能算获得成功。这种共同的目标促进了学生互相帮助, 培养了学生的协作意识和能力。

结束语

通过教学内容和模式改革, 在实验教学过程中采用“任务驱动”方法, 提高了学生参与的程度和热情, 提高了学生实验课学习的自主性, 有利于学生探索发现网络安全新问题, 并进行网络安全解决方案的创新性设计, 是对传统教学的发展。

参考文献

[1]计算机安全原理与实践[M].机械工业出版社.2008.7.

[2]崔宝江等.信息安全实验指导[M].国防工业出版社.2005.5.