无线路由器的虚拟服务器等安全设置实验
实验报告
课程名称: 无线网络应用 指导老师: 张昱,史笑兴,李惠忠 成绩:________________ 实验名称: 无线路由器的虚拟服务器等安全设置实验 实验类型: 设计 同组学生姓名:_____++___ __ 一、实验目的和要求(必填) 二、实验内容和原理(必填) 三、主要仪器设备(必填) 四、操作方法和实验步骤(必填) 六、实验结果与分析(必填) 七、讨论、心得(必填)
一、实验目的和要求
(1)虚拟服务器实验
1、了解虚拟服务器的原理和应用
2、熟悉TP-LINK 无线路由器的虚拟服务器的设置方法
3、熟悉TP-LINK 无线路由器的WEP 安全模式的设置方法
(2)IP 过滤及DMZ 实验
1、了解防火墙IP 过滤的原理和应用
2、熟悉TP-LINK 无线路由器的DMZ 主机的设置方法
3、熟悉TP-LINK 无线路由器的WPA-PSK 安全模式和IP 过滤的设置方法
二、实验内容和原理
(1)虚拟服务器实验 设置内网(私有IP 地址)的Web Server 和FTP Server 为两个虚拟服务器,允许外网(本应为公有IP 地址,但这里以192.168.12.*为例)的客户机进去访问它们。并且无线路由器采用了WEP 安全模式(包括数据加密和身份验证)。
(2) IP 过滤及DMZ 实验
设置内网(私有IP 地址)的PC1为DMZ 主机,允许外网(本应为公有IP 地址,但这里以192.168.1.*为例)的客户机PC3进去访问PC1上面的Web 及FTP 等所有服务。并采用了WPA-PSK 安全模式(包括数据加密和身份验证)。
三、主要仪器设备
1、带无线网卡PC 机3台
2、无线路由1台,直通线1根
四、操作方法和实验步骤
本小组担任PC3的角色
专业:__++++_____ 姓名:___+++++_
学号:___+++++____ 日期:_+++++++= 地点:__东6教学楼_____
(1)虚拟服务器实验
PC1&PC2配置与上次实验PC3配置类似。在第一次的实验报告中已经有详细的记录这里不再赘述。
1.参考第三次课实验内容设置无线路由器的SSID和频段等无线参数
2.开启无线参数中的安全设置,选择安全类型为WEP,安全选项为自动选择,密钥格式选择一般选ASCII 码,然后根据文字提示设置密钥,
3.设置无线路由器上的LAN口,保存。
4.设置无线路由器上的LAN口后需重启路由器。
5.设置无线路由器上的WAN口,保存。
6.设置无线路由器上的虚拟服务器服务。
7.添加192.168.2.6上的Web Server为80端口的虚拟服务器(可选择“常用服务端口号”中的HTTP)。
8添加192.168.2.3上的FTP Server为21端口的虚拟服务器(可选择“常用服务端口号”中的FTP)。
配置好的虚拟服务器设置如图所示。
(2)IP过滤及DMZ实验1.启用“安全设置”,WPA型安全类型。
2.设置LAN口
3.DMZ主机配置。
4.防火墙配置
5.打开IP地址过滤页面
6.添加新条目来禁止PC2与外网的通信
设好的IP地址过滤页面如图所示。
五、实验结果与分析(1)虚拟服务器实验
IP过滤及DMZ实验
C1 ping PC3&PC2:均通P
PC2 ping PC1:能ping通
PC2 ping PC3:不能ping通
实验成功达到预期要求
六、讨论、心得
通过这次的学习以及实验使我对网络安全有了更深入的了解了。其中有老师的指导还有组员的帮助,在此我表示非常感激。同时通过学习以及实验的探讨使我了解到了虚拟服务器的有关知识,也了解了两种无线加密方式。对设置操作有了更熟练的了解。
服务器安全设置
目前流行的挂木马的基本步骤(可能有个别地方不准确): 1、利用杰奇系统的漏洞,上传具有一定危险功能的文件,表现为:zh.php、cmd.exe、*.asp, 这几个文件都具有不同的目的,只要被上传了这几个文件,相应的js文件就会被修改,然后就被挂马了。 2、上传了文件后,如果你的权限设置的不对,比如多给了运行权限,该黑客就可以利用这 几个文件进行提权,直接可以创建管理员账号,然后通过*.asp文件获得你的远程连接的端口,然后利用注入的管理员账号登录系统,进入系统了,那就随便改啦。 所以针对上面的步骤,我们可以这样做: 1、权限一定要设置好,大部分网站目录只给读取权限即可,个别的多给写入权限。 2、所有的js文件都改成只读的 3、删除系统的以下三个文件,执行脚本如下:(开始-运行里面就可以直接执行) regsvr32 /u %SystemRoot%\System32\wshom.ocx regsvr32 /u %SystemRoot%\System32\shell32.dll regsvr32 /u %SystemRoot%\System32\wshext.dll 4、修改远程链结默认的3389端口,改成12345 12323等等类似的。群共享里有软件直接修改重启机器生效。 设置好了以上的几步后,针对杰奇的漏洞产生的木马,基本上就能防止了。当然,其他的漏洞还是得需要好好设置,可以参考群共享里的一篇word文档,服务器安全设置 贴一下这次挂马的代码,请大家仔细检查自己的js文件中是否有下面的代码: 晕,我的都被我删除了,没了。谁能提供我一个被修改过的js文件。 已经中木马的人的找马步骤: 1、在杰奇网站的所有目录下寻找这样的文件zh.php、zp.php、*.asp、cmd.exe等文件,直 接删除即可。 2、检查你的所有js文件,如果发现下面这样的代码,那就是木马代码。删除这些木马代码。 本文档的服务器安全设置分三个部分 (一)服务器的基本安全设置 本配置仅适合Win2003,部分内容也适合于Win2000。很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
Windows服务器安全加固方案
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
2003服务器安全设置
一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002683 保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。 做FTP下载的用户看仔细,如果要关闭不必要的端口,在 \system32\drivers\etc\services中有列表,记事本就可以打开的。如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!
IE11浏览器安全设置在哪里怎么设置
IE11浏览器安全设置在哪里怎么设置 网络安全是目前互联网的热门话题之一,作为个人用户的我们同样需要关注,做好防护。浏览器的安全设置如果设置的过低,很容易导致病毒入侵,那么IE11浏览器的安全设置在哪里呢?又该如何进行设置?下面小编给大家揭晓答案! 方法步骤 1、首先打开IE浏览器,然后如下图所示,找到浏览器上方菜单栏上“工具”选项,单击点击此选项,点击工具选项之后在弹出的下拉列表中选择internet选项,进入到IE浏览器的设置选项; 2、进入下图之后,可以看到internet选项窗口,我们点击红框所示的安全按钮; 3、这时候就进入到浏览器的安全设置界面,然后点击下图所示的自定义级别按钮,可以对安全选项进行自定义设置,点击自定义级别之后,弹出右侧所示的窗口,这里可以进行各种安全设置;
4、滑动右侧的滑块,可以对浏览器各种拦截插件的功能进行设置,可以设置为启用或者提示或者禁用; 5、如果设置过多,自己感觉设置乱了,可以直接点击下图所示的重置按钮,然后在弹出的对话框中选择是,即可对安全设置进行重置了,以上就是IE浏览器的安全设置操作步骤。 相关阅读:2018网络安全事件: 一、英特尔处理器曝“Meltdown”和“Spectre漏洞” 2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统
和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。 二、GitHub 遭遇大规模Memcached DDoS 攻击 2018年2月,知名代码托管网站GitHub 遭遇史上大规模Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的Memcached 服务器进行攻击。网络安全公司Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万Memcached 服务器暴露在网上。 三、苹果iOS iBoot源码泄露 2018年2月,开源代码分享网站GitHub(软件项目托管平台)上有人共享了iPhone 操作系统的核心组件源码,泄露的代码属于iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是Windows 电脑的BIOS 系统。此次iBoot 源码泄露可
无线路由器加密方法大全
无线路由器加密方法大全 无线路由器主要提供了三种无线安全类型:WPA-PSK/WPA2-PSK、WPA/WPA2 以及WEP。不同的安全类型下,安全设置项不同。 1. WPA-PSK/WPA2-PSK WPA-PSK/WPA2-PSK安全类型其实是WPA/WPA2的一种简化版本,它是基于共享密钥的WPA模式,安全性很高,设置也比较简单,适合普通家庭用户和小型企业使用。 认证类型:该项用来选择系统采用的安全模式,即自动、WPA-PSK、WPA2-PSK。 自动:若选择该项,路由器会根据主机请求自动选择WPA-PSK或WPA2-PSK安全模式。 加密算法:该项用来选择对无线数据进行加密的安全算法,选项有自动、TKIP、AES。默认选项为自动,选择该项后,路由器将根据实际需要自动选择TKIP或AES加密方式。 注意11N模式不支持TKIP算法。 PSK密码:该项是WPA-PSK/WPA2-PSK的初始设置密钥,设置时,要求为8-63个 ASCII字 符或8-64个十六进制字符。 组密钥更新周期:该项设置广播和组播密钥的定时更新周期,以秒为单位,最小值为30,若该值为0,则表示不进行更新。 2. WPA/WPA2 WPA/WPA2是一种比WEP强大的加密算法,选择这种安全类型,路由器将采用Radius 服务器进行身份认证并得到密钥的WPA或WPA2安全模式。由于要架设一台专用的认证服 务器,代价比较昂贵且维护也很复杂,所以不推荐普通用户使用此安全类型。 3. WEP WEP是Wired Equivalent Privacy的缩写,它是一种基本的加密方法,其安全性不如另外两种安全类型高。选择WEP安全类型,路由器将使用802.11基本的WEP安全模式。 这里需要注意的是因为802.11N不支持此加密方式,如果您选择此加密方式,路由器可能 会工作在较低的传输速率上。 这里特别需要说明的是,三种无线加密方式对无线网络传输速率的影响也不尽相同。 由于IEEE 802.11n标准不支持以WEP加密或TKIP加密算法的高吞吐率,所以如果用户选 择了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的TKIP算法,无线传输速率将会自动限 制在11g水平理论值54Mbps,实际测试成绩在20Mbps左右。
服务器安全管理制度
服务器安全管理制度 1. 执行服务器管理制度目的 为安全有效地管理机房及服务器,促进网络系统安全的应用.高效运行,特制定本规章制度,请遵照执行。 2. 服务器管理 2.1 服务器监控 2.1.1 服务器日志监控 每天检查服务器系统日志,安全日志进行检查对错误、异常、警告等日志进行分析判断 并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.2 服务器面板信息监控 每天检查负责机房内所有服务器、存储、UPS及其他机房设备面板信息,对异常的指示信息及时作出分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.3 服务器操作系统信息监控 每天检查所有服务器系统信息,包括磁盘空间使用率、系统资源使用率、杀毒软件、服务器进程、必须启动的服务、用户访问记录、服务器时间。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。2.1.4 服务器数据库信息监控 每天检查服务器所有数据库运行状态。包括数据库定时代理运行、数据库备份计划、数据库日志及归档、数据库表空间使用率。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 若监控数据库时发现数据库文件或日志增长过快等情况及时与负责系统的程序员检查是否为程序异常导致。 2.1.5 服务器数据备份监控 每天检查服务器数据备份情况,定期维护备份空间,若有异常及时处理。 2.2 服务器日常维护及故障处理 2.2.1 服务器定期维护 根据《服务器管理方案表》定期对服务器进行维护,维护内容如下: 2.2.1.1 在停止所有用户会话的情况下进行重启服务器释放资源使用。 2.2.1.2 检查数据库使用状态、裸设备,清理僵死进程、临时表空间等。 2.2.1.3 清理过期的数据库归档日志释放数据库归档日志空间,并收缩数据库。 2.2.1.4 根据数据库每天监控得到的数据适当调整表空间大小、临时表空间大小、内存使用调整、归档日 志库大小等。 2.2.1.5 清除数据库中无效的索引、存储过程、定时代理等。 2.2.1.6 每月备份一次服务器及数据库系统文件、并清理一次系统及安全日志(先备份再清除)。 2.2.1.7 每月对服务器进行一次硬件检测维护,主要包括安全隐患、性能等方面、如机器温度、使用率等。 2.2.1.8 每周每台服务器杀毒软件至少升级一次、全盘杀毒一次。 2.2.1.9 服务器必须启动服务必须设置为自动启动,人为重启服务器后必须检查各项系统运行必须服务是 否启动正常。
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
互联网服务器安全解决方案
1.1.1服务器安全解决方案 Trend Micro Deep Security发大发发大发啊方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断,符合包括 PCI 在内的关键法规和标准,并有助于应当今经济形势之要求降低运营成本。Deep Security 解决方案使系统能够自我防御,并经过优化,能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制: 1.基于主机的IDS/IPS ●防护未知漏洞,被未知攻击 ●防护已知攻击 ●防护零日攻击,确保未知漏洞不会被利用 2.Web应用防护 ●防护web应用程序的弱点和漏洞 ●防护Web应用程序的历史记录 ●支持PCI规范。 3.应用程序控制 ●侦测通过非标准端口进行通讯相关协议 ●限制和设定哪些应用程序能通过网络被访问 ●侦测和阻断恶意软件通过网络进行访问 4.基于主机的防火墙 5.一致性检查和监控 ●重要的操作系统和应用程序文件控制(文件,目录,注册表以及键值等等) ●监控制定的目录 ●灵活并且主动实用的监控 ●审计日志和报表 6.日志检查和审计 ●搜集操作系统和应用程序的日志,便于安全检查和审计 ●可疑行为侦测
●搜集安全行为相关的管理员设定 1.1.1.1 产品特点 数据中心服务器安全架构必须解决不断变化的 IT 架构问题,包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式,Deep Security 解决方案可帮助: 1.1.1.1.1通过以下方式预防数据泄露和业务中断 ?在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器 ?针对 Web 和企业应用程序以及操作系统中的已知和未知漏洞进行防护,并阻止对这些系统的攻击 ?帮助您识别可疑活动及行为,并采取主动或预防性的措施 1.1.1.1.2通过以下方式实现合规性 ?满足六大 PCI 合规性要求(包括 Web 应用程序安全、文件完整性监控和服务器日志收集)及其他各类合规性要求 ?提供记录了所阻止的攻击和策略合规性状态的详细可审计报告,缩短了支持审计所需的准备时间 1.1.1.1.3通过以下方式支持降低运营成本 ?提供漏洞防护,以便能够对安全编码措施排定优先级,并且可以更具成本效益地实施未预定的补丁 ?为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供 必要的安全性 ?以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客 户端的必要性及相关成本 1.1.1.1.4全面易管理的安全性 Deep Security 解决方案使用不同的模块满足了关键服务器和应用程序的防护要求: