网络安全课程设计10

网络安全课程设计

辽 宁 工 业 大 学 网络安全技术专题（论文）

题目： 网络服务器防御方案

院（系）：

专业班级：

学 号：

学生姓名：

指导教师：

教师职称：

起止时间：2010.12.06-2010.12.19

网络安全课程设计

专题设计（论文）任务及评语

网络安全课程设计

目 录

第1章 专题的设计目的与要求 ................................................. 1

1.1 专题设计目的 ........................................................ 1

1.2 专题设计的实验环境 .................................................. 1

1.3 专题设计的预备知识 .................................................. 1

1.4 专题设计要求 ........................................................ 3

第2章 专题的设计内容 ....................................................... 5

2.1 背景描述 ............................................................ 5

2.2软件安装与工具使用 .................................................. 8

2.3结果显示 ........................................................... 13

第3章 设计总结 ............................................................ 14

参考文献 ................................................................... 15

网络安全课程设计

第1章 专题的设计目的与要求

1.1 专题设计目的

本技术专题实际是网络系统管理专业学生学习完《网络安全基础》课程后，进行的一次关于网络安全技术方面的训练，学生应该具有较系统的网络安全知识，并在实际应用时具备一定的防范非法入侵、维护网络、系统安全性的能力，其目的在于加深对网络安全知识的理解，掌握运用软件进行攻击和防御的基本方法。

1.2 专题设计的实验环境

硬件：Intel® Pentium ( R ) 4 CPU 2.4GHz 845P主板 DDR256M内存 软件：Windows 2000 操作平台

应用到的软件：天网防火墙，方正熊猫硬件安全网关

1.3 专题设计的预备知识

网络服务器防御方案比尔.盖茨先生弥补了大部分系统漏洞之后，开始转移方向，发现基于网站的各种脚本漏洞能非常轻易的使用， 而且能够通过提权来获取系统权限。于是，基于web的脚本漏洞成功黑客们的最爱。随后流氓软件开始在中国的互联网大地上盛行了起来，互联网的网站应用领域的黑客入侵技术开始流行了起来。最典型的就是黑客的网站挂马技术，这种技术就是利用网站的漏洞建立或者上传一个ASP木马的方式来获取网站的WEBSHELL权限，然后通过WEBSHELL权限通过提权获取系统权限，再接着就是在服务器的网站里面加入一些恶意的脚本代码，让你的电脑在访问网站的时候，不知不觉的中病毒和黑客程序，最后你电脑里面的重要资料，QQ号，网络游戏帐号，网上银行帐户里面的现金都会不翼而飞。 据专业权威机构统计，02年中国境内网站被入侵的比例不到10％，而到了06年，中国境内网站被入侵的比例是85％。黑客技术的普及化以及巨大商业利益的窃取网上银行的资金，QQ号码倒卖，网络游戏装备和帐号的倒卖等地下黑客产业链的形成是导致网站遭遇安全事件的主因。

WEB的各种攻击手段：

网络安全课程设计

1、SQL注入漏洞的入侵

这种是ASP+ACCESS的网站入侵方式，通过注入点列出数据库里面管理员的帐号和密码信息，然后猜解出网站的后台地址，然后用帐号和密码登录进去找到文件上传的地方，把ASP木马上传上去，获得一个网站的WEBSHELL。

2、ASP上传漏洞的利用

这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式，不少网站都限制了上传文件的类型，一般来说ASP为后缀的文件都不允许上传，但是这种限制是可以被黑客突破的，黑客可以采取COOKIE欺骗的方式来上传ASP木马，获得网站的WEBSHELL权限。

3、后台数据库备份方式获得WEBSHELL

这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能，备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP，那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马，然后用这个恢复库备 份和恢复的功能把这个木马恢复成ASP文件，从而达到能够获取网站WEBSHELL控制权限的目的。

4、 网站旁注入侵

这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站。

5、sa注入点利用的入侵技术

这种是ASP+MSSQL网站的入侵方式，找到有SA权限的SQL注入点，然后用SQL数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号，然后通过3389登录进去，或者在一台肉鸡上用NC开设一个监听端口，然后用VBS一句话木马下载一个NC到服务器里面，接着运行NC的反向连接命令，让服务器反向连接到远程肉鸡上，这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。

6、sa弱密码的入侵技术

这种方式是用扫描器探测SQL的帐号和密码信息的方式拿到SA的密码，然后用

SQLEXEC之类的工具通过1433端口连接到远程服务器上，然后开设系统帐号，通过3389登录。然后这种入侵方式还可以配合WEBSHELL来使用，一般的ASP+MSSQL网站通常会把MSSQL的连接密码写到一个配置文件当中，这个可以用WEBSHELL来读取配置文件里面的SA密码，然后可以上传一个SQL木马的方式来获取系统的控制权限。

7、提交一句话木马的入侵方式

这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版，论坛系统等功能提交一句话木马到数据库里面，然后在木马客户端里面输入这个网站的数据库地址并提交，就可以把一个ASP木马写入到网站里面，获取网站的WEBSHELL权限。

网络安全课程设计

8、 论坛漏洞利用入侵方式

这种技术是利用一些论坛存在的安全漏洞来上传ASP木马获得WEBSHELL权限，最典型的就是，动网6.0版本，7.0版本都存在安全漏洞，拿7.0版本来说，注册一个正常的用户，然后用抓包工具抓取用户提交一个ASP文件的COOKIE，然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP木马，获得网站的WEBSHELL。

1.4 专题设计要求 无意威胁：

健身房管理系统可能受到的无意威胁有软、硬件的失常，管理不善造成的信息丢失，安全设置不当而留下的安全漏洞，信息资源共享不当而被非法用户访问等。

故意威胁：

故意威胁也就是“人为攻击”，常见的攻击行为有：通过端口扫描来判断目标计算机哪些TCP或UDP端口是开放的；SYN和FIN同时设置，操作系统在收到这样的报文后处理方式也不同，攻击者利用这个特征来判断目标主机的操作系统类型，进行进一步的攻击；IP地址欺骗；路由协议攻击等。

人为攻击：社会工程、盗窃行为

物理攻击

数据攻击：信息获取、非法获取数据、篡改数据

身份冒充： IP欺骗、会话重放、会话劫持

非法使用：利用系统、网络的漏洞

拒绝服务

网络安全隐患的分析

传统的安全防护方法是：对网络进行风险分析，制订相应的安全策略，采取一种或多种安全技术作为防护措施。这种方案要取得成功主要依赖于系统正确的设置和完善的防御手段的建立，并且在很大程度上是针对固定的、静态的威胁和环境弱点。其忽略了因特网安全的重要特征，即因特网安全没有标准的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决，因此，安全是一个动态的、不断完善的过程。

企业网络安全可以从以下几个方面来分析：物理网络安全、平台网络安全、系统网络安全、应用网络安全、管理网络安全等方面。

物理网络安全风险 物理网络安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障、人为操作失误或错误，设备被盗、被毁，电磁干扰、线路截获等安全隐患；物理网络安全是整个网络系统安全的前提。

网络安全课程设计

平台网络的安全风险 平台网络的安全涉及到基于ISO/OSI模型三层路由平台的安全，包括网络拓扑结构、网络路由状况及网络环境等因素；企业网内公开服务器面临的威胁、网络结构和路由状况面临的困扰是问题的主要方面。

公开服务器是信息发布平台，由于承担了为外界信息服务的责任，因此极易成为网络黑客攻击的目标；伴随企业局域网与外网连接多样性的存在，安全、策略的路由显得愈加重要。

系统网络的安全风险 系统网络安全是建立在平台网络安全基础上，涉及到网络操作系统及网络资源基础应用的安全体系。操作系统的安全设置、操作和访问的权限、共享资源的合理配置等成为主要因素。

应用网络的安全风险 应用网络系统安全具有明显的个体性和动态性，针对不同的应用环境和不断变化发展应用需求，应用网络安全的内涵在不断的变化和发展之中。其安全性涉及到信息、数据的安全性。

管理网络的安全风险 管理网络安更多的涉及到人的因素，管理是网络中安全最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险；网络系统的实时检测、监控、报告与预警，是管理网络安全的另一方面。

通用网关接口（CGI）漏洞 有一类风险涉及通用网关接口（CGI）脚本。CGI脚本程序是搜索引擎通过超链接查找特定信息的基础，同时也使得通过修改CGI脚本执行非法任务成为可能，这就是问题之所在。

网络安全课程设计

第2章 专题的设计内容

2.1 背景描述

服务器英文名称为“Server”，指的是在网络环境中为客户机（Client）提供各种服务的、特殊的专用计算机。在网络中，服务器承担着数据的存储、转发、发布等关键任务，是各类基于客户机／服务器（C／S）模式网络中不可或缺的重要组成部分。其实对于服务器硬件并没有一定硬性的规定，特别是在中、小型企业，它们的服务器可能就是一台性能较好的PC机，不同的只是其中安装了专门的服务器操作系统，所以使得这样一台PC机就担当了服务器的角色，俗称PC服务器，由它来完成各种所需的服务器任务。当然由于PC机与专门的服务器在性能方面差距较远，所以可以想象由PC机担当的服务器无论是在网络连接性能，还是在稳定性等其它各方面都不能承担高负荷任务，只能适用于小型，且任务简单的网络。本文及后面各篇所介绍的不是这种PC服务器，而是各种专门的服务器。

不过，话又说回来，服务器说到底其实也是一种计算机，它也是由PC机发展过来的。在早期网络不是很普及的时候，并没有服务器这个名称，当时在整个计算机领域只有大型计算机和微型计算机两大类。只不过随着网络，特别是局域网的发展和普及，“服务器”这个中间层次的计算机开始得到业界的接受，并随着网络的普及和发展不断得到发展。尽管如此，服务器与我们普通所见的计算机又不完全一样，要不然，在我国这么多服务器厂商中竟然还没有几家能真正生产中、高档服务器，就连全球也只有像IBM、HP、SUN等那么少数几家有这个实力，DELL也只能生产一些中低档服务器，那都是因为服务器的特殊性要求所致，这就是服务器的四大主要特性（通常称之为“四性”）。虽然服务器也与PC机一样是诸如主板、CPU、内存、硬盘等组成，但这些硬件均不是普通PC机所用的，都是专门开发，用于服务器环境的，尽管外观上基本类似。也正因如此，服务器的价格通常非常高，中档的服务器都在几万元左右，高档的达几十、上百万。当然，目前我们也见到了许多标价仅几千元的名牌服务器，如DELL和HP都有这样的服务器。但这些服务器都属于入门级的服务器档次，在性能方面仅相当于一台高性能PC机，可以称之为“PC服务器”，这是为了满足一些小型企业对专用服务器的需求而开发的。正因如此，这些服务器也只具有很少部分服务器性能。

随着PC计算机技术的不断发展，服务器和PC技术之间出现了一些反常现象，原来

网络安全课程设计

一直以来都是PC技术落后服务器技术，PC机的许多技术都是从服务器中移植过来，但现在发生了一些改变。因为PC机中许多性能都得到了极大的提高，如CPU高主频、800MHz总线频率、SATA串行磁盘接口、PCI－Express接口和超线程技术等，这些新技术对于服务器来说同样是从未有过的，而且其相应性能要好于服务器原有对应性能，所以这些技术也很快在当前最新的服务器中得到广泛应用。当然，服务器仍还有许多其先进的特殊性能。

作为一台服务器首先要求的是它必须可靠，即“可用性”。因为服务器所面对的是整个网络的用户，而不是本机登录用户，只要网络中有用户，服务器就不能断。在一些特殊应用领域，即使没用户使用有些服务器也得不间断地工作，因为它必须持续地为用户提供连接服务，而不管是在上班，还是下班，也不管是工作日，还是休息、节假日，这就是为什么服务器首先必须要求具备极高的稳定性能的根本原因。一般来说专门的服务器都需要7X24小时不间断工作，特别是像一些大型的网络服务器，如大公司所用服务器、网站服务器以及提供公众服务器的Web服务器等。这些服务器也许真正工作开机的次数只有一次，那就是它刚买回来全面安装配置好后投入正式使用的那一次，一直到它彻底报废。如果动不动出毛病，这样的网络能保持长久正常运作吗？这可算是服务器的最关键性能，也是作为能担当服务器角色的前提，哪怕是一台PC机。

还有，服务器要为这么多用户提供服务，没有高的连接和运算性能是无法承受的，这就是指的服务器“可利用性”。我们平时一人用一台机都老是觉得慢，如果服务器也像我们平常所用的PC一样，那这么多用户请求又如何能及时得到计算机的响应和完成呢？所以服务器在性能和速度方面也是与普通PC机有很大区别的。为了实现高速，一般服务器是通过采用对称多处理器安装、插入大量的高速内存等方面来保证，这样也就决定服务器在硬件配置方面也与普通的计算机有着本质的区别。它的主板上可以同时安装几个甚至几十、上百个（如SUN的FIRE 15K可以支持到106个CPU）服务器专用CPU。这些CPU与普通PC机中的CPU是完全一样。我们知道普通CPU最重要的参数是主频，主频越高，运算速度越快，但在服务器CPU中却远不是这样的，通常服务器CPU的主频比较低，如现在Intel的服务器CPU主频通常在P4 2.0GHz左右，远低于PC机CPU快3.6GHz的主频，其它品牌的服务器CPU主频则更低了，但这些服务器CPU都具有非常好的运算性能。一则CPU主频越高，工作时所散发的热量就越高，给服务器带来最大的不稳定因素；另一方面，服务器运算性能的提高，不仅通过主频的提高来达到的，而是通常在其它参数方面加强得到的，而且多数中、高档服务器还可通过对称多处理器系统来大幅提高服务器的整体运算性能，根本没必要在单个CPU中通过主频的提高来提高运算性能。在CPU配置方面还要注意的一点就是，服务器的CPU个数一定是双数，即所谓的“对称多处理器系统”。在内存方面的配置也一样，无论是在内存容量，还是性能、技术等方面都与普通PC机所用内存有根本的区别，具体将在本教程后续篇中详细介绍。

另外，服务器还须具有一定的“可扩展性”，那是因为网络不可能长久不变，如果

网络安全课程设计

没有一定的可扩展性，当用户一增多，就不能胜任的话，一台几万，甚至几十万的服务器如果在短时间内就要遭到淘汰的话，这是许多企业都无法随的。为了保持高的可扩展性，通常需要在服务器上具备一定的可扩展空间和冗余件（如磁盘矩阵位、PCI和内存条插槽位等）。当然在硬件方面的配置远不止这些，具体我们将在后面的篇中具体介绍。 在服务器的主要特点方面，还有一个重要方面，那就是服务器必须具备一定的自动报警，并配有相应的冗余、备份、在线诊断和恢复系统，以备出现故障时及时恢复服务器的运作，那“可管理性”。虽然我们说服务器需要不间断持续工作，但再好的产品都有可能出现故障的一天，拿人们常说的一句话来说就是：不是不知道它可能坏，而是不知道它何时坏。服务器虽然在稳定性方面有足够的保障，但一旦出现故障的话怎么办，如果像我们平时所用的计算机一样停下进行维修，对于一个大型的服务器来说是不可能的事，这样就很可能造成整个网络的瘫痪，所带的损失是无法用金钱来衡量的。服务器生产厂商为了解决这一难题提出了许多新的技术，如冗余技术、系统备份、在线诊断技术、故障预报警技术、内存查纠错技术、热插拨技术和远程诊断技术等，使绝大多数故障能够在不停机的情况得到及时修复。

以上介绍的服务器“四性”，“可扩展性、可用性、可管理性和可利用性”，也即我们经常所见的服务器“SUMA”。具体这“四性”非常复杂，我们将在后面篇中具体介绍。

如图

网络安全课程设计

2.2软件安装与工具使用

一。天网防火墙

防火墙对于用户来说,只是一个安全网关.整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性. 作为一台防火墙,其最基本功能是保护网络不受非法入侵者所破坏的同时,还要保证网络的畅通无阻,天网防火墙的网络核心专门为TCP/IP及Firewall而设计,同时还针对CPU的计算核心进行了优化处理,能大大提升系统性能.网络底层的多个部分由汇编语言编写,比同类系统性能提高20%-60%.

快速安装功能

传统的防火墙在安装时极为麻烦,首先需要安装操作系统,调整网络参数,安装防火墙软件,然后进行网络参数设置,系统管理员如果没有经过专门的培训,在短时间内装好防火墙几乎是不可能的事情.天网防火墙具有快速安装特性,可以实现从上架安装,连接网线,上电,参数设置完毕整个过程不超过15分钟.

防火墙的设置：

1、系统设置

在防火墙的控制面板中点击“系统设置”按钮即可展开防火墙系统设置面板。天网个人版防火墙系统设置界面如下：

2、IP规则设置

网络安全课程设计

3、应用程序规划设置

4、查看日志

日志里记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应的对策。

网络安全课程设计

5、新建IP规则

当您需要开一些应用（比如开启FTP服务端服务），天网防火墙的默认设置将会带来些麻烦，别人连不上您的机器，这个时候我们就需要新建IP规则，来开放相应的端口。下面我们来看看怎么新建一个新的IP规则，在自定义IP规则里双击进行新规则设置, b出现如下图的界面。

6、点击增加规则后就会出现以下图的界面。

网络安全课程设计

1）图六1是新建IP规则的说明部分，你可以取有代表性的名字，如“打开FTP20-21端口”，说明详细点到你能看懂就行。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。

2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址种。

3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，FTP使用的是TCP协议等。

4）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还拦截还是继续下一规则，要不要记录。

如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶，这就完成了新的IP规则的建立，并立即发挥作用。

基于浏览器的Web管理界面

通常一个小型企业并没有一个防火墙专家来专门负责防火墙方面的工作,天网防火墙具有多语言支持简单易用的Web设置界面,令管理员熟练地掌握系统的时间大大减少,操作简单,管理方便,只要具有一定网络相关知识的人即可胜任.

完善的访问控制功能

天网防火墙灵活完善的网络访问控制,不仅包括现有的所有网络服务,同时可以兼顾将来各种新的网络服务,在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻.

MAC地址绑定

天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题.当内部主机设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的主机上使用,既可以防止IP地址冒用,而

网络安全课程设计

且大大方便了日常网络的IP地址管理.

二．方正熊猫硬件安全网关:

方正熊猫硬件安全网关是一款在全球范围内技术最为先进的多功能安全网关硬件，可在Internet网关处提供全方位立体防护，在病毒、垃圾邮件和不受欢迎的内容进入客户网络之前进行阻断，最大限度的保护了用户的网络免受侵袭，其5M－60Mbps的超强数据处理能力、支持七种通讯协议及反垃圾邮件、web内容过滤、基于web界面的管理模式、全透明的网桥模式、设备自动更新维护，使客户无需重新网络设置及路由，无需人工维护，一系列的高端技术确立了该产品在业界遥遥领先的地位，2003年中国网关硬件市场，PAGD产品以超过一半的市场占有率雄居中国第一。

新的PAGD8000系列产品在产品性能上有很大的提升，产品型号从针对中小企业的通用设备到电信级的高端设备皆可供客户选择，并且可根据用户的实际防护需要选择网关防护的功能模块，产品更加人性化和适应用户需要。

产品优势

安全：PAGD8000扫描7种网络协议，而其他网关产品仅能够扫描2到4种网络协议。在将PAGD8000安装在企业边界上时，所有收发邮件及其他的网络传输信息在抵达内部网之前就已被PAGD8000实时扫描过了。

表现性能：PAGD8000的最大性能是可以取得完全扫描及病毒防护。它的硬件及软件性能经过特殊优化处理，能够同时扫描7种网络协。且完全对企业网络透明，可优化网络资源利用率，使这些系统更加专注于核心任务。

扩展性：方正熊猫硬件安全网关专门针对自动负载均衡设计，使增加扫描的速度及增加网络防护可以随时达到用户要求；并可支持到大型电信级用户。

服务：方正熊猫硬件安全网关和所有熊猫其他防病毒产品一样，提供每日病毒库更新、24小时SOS紧急病毒清除服务、24小时技术支持等，目前能够查杀超过10万种病毒

网络安全课程设计

2.3结果显示