网络安全实验指导书

网络安全实验指导书（通用6篇）

篇1：网络安全实验指导书

实验1网络安全协议

一、实验目的:了解ISO/OSI七层参考模型各层有哪些网络安全协议；掌握各层安全协议的具体应用环境。二、实验软件：Windows XP 操作系统 三、实验步骤：

上Ineternet，利用各种搜索引擎搜索相关资料，并完成提交电子实验报告。

实验2 IPSec实验

一、实验目的：

掌握windows下IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理

二、实验软件：

Windows XP 操作系统2台。分别为主机xp1和主机xp2

三、实验步骤：

1.xp1和xp2均能互相ping通（关闭防火墙）。、2.在xp1下点击开始--->运行，输入“gpedit.msc”,运行组策略。

3.依次展开左侧的“本地计算机”策略—->“计算机配置”—->“windows设置”—->“安全设置”—->“IP安全策略”，点击右键，选择“创建IP安全策略”。

4.在“IP安全策略向导”中选择下一步，对其命名“IPSEC 加密”，选择下一步，在“默认相应规则验证方式”中选择第三个“此字符串用来保护密钥交换”，输入自己设定的密码。选择下一步，选择完成。

5.在“IPSec加密属性”中添加IP安全规则

6.“隧道终结点”选择“此规则不指定隧道”，点击下一步。7.“网络类型”选择“所有网络连接”，点击下一步 8.“身份验证方法”同步骤4，点击下一步。

9．“IP筛选器列表”选择“所有IP通信量”，点击下一步。10.“筛选器操作”选择添加，点击下一步。

11，“筛选器操作名称”输入“必须加密”，点击下一步。12，“筛选器操作常规选项”选择“协商安全”，点击下一步。13.选择“不和不支持Ipsec的计算机通信”，点击下一步。

14.“IP通信安全设施”选择“加密并保持完整性”，点击下一步，完成。15.在“筛选器操作中”选择“必须加密”，点击下一步。

点击下一步，完成。点击确定，并关闭对话框。

右键点击刚添加的IP安全策略，选择“指派”，使规则生效。测试此时xp1不能与xp2互相ping通。提示为“Negotiating IP Security”。Xp1的加密完成。

在xp2上重复进行上述操作，添加一条与xp1中一模一样的规则。测试此时xp1能够与xp2互相ping通。注意：xp1和xp2中规则必须一模一样，否则无法ping通。此时xp1和xp2的所有数据均加密通信。用ping命令测试两者之间的连接。如下图:显示出两台机子正在进行SA协商。

从协商到通信，这个之间的认证比较复杂，暂时还没有深入研究

20.在开始－>运行中输入命令ipsecmon，弹出IPSec的安全监视器界面，显示相关的安全属性。

实验3 SSL/TLS基本协议

一、实验目的：

通过实验深入理解 SSL 的工作原理，熟练掌握 Windows 2000 Server 环境下SSL 连接的配置和使用方法。

二、实验软件：

Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。

三、实验步骤：

为 Web 服务器申请证书

1)单击“开始”，选择“程序”→“管理工具”→“Internet 服务管理器”，如图 1。在弹出的如图 2 所示的窗口左侧菜单中右键单击“默认 Web 站点”，选择“属性”。

图 图 2

2)在如图 3 所示的窗口中选择“目录安全性”菜单，单击“安全通信”中的“服务器证书”

图 3

图 4 3)在出现的欢迎使用 Web 服务器证书向导中，单击“下一步”按钮，在图 4中，选中“创建一个新证书”，单击“下一步”按钮。

4)在弹出的如图 5 所示的窗口中输入证书的名称，单击“下一步”按钮。

图 5

5)根据图 6 窗口的提示输入如图 6 所示的组织信息，单击“下一步”按钮。

图 6

6)在图 7 中输入站点的公用名称，单击“下一步”按钮。

图 7 7)图8中接着输入站点的地理信息，单击“下一步”按钮。

图 8

8)接着输入证书请求文件的文件名和存放路径，单击“下一步”按钮。在这个证书请求文件中的存放着刚才输入的用户信息和系统生成的公钥，如图 9 所示。

图 9

9)在图 10 中出现的确认信息窗口，单击“下一步”，接着单击“完成”按钮，完成服务器证书申请。

图 10

提交 Web 服务器证书

1)在服务器所在的计算机上打开 IE 浏览器，在地址栏中输入 http://根 CA的 IP/certsrv，其中的 IP 指的是建立根 CA 的服务器 IP 地址。在出现的页面中选中“申请证书”，并单击“下一步”按钮。

2)在弹出的如图 11 所示的页面中选中“高级申请”，并单击“下一步”，按钮。高级申请可以由用户导入请求证书文件。

图 11 3)在弹出的页面中选中“Base64 编码方式”，并单击“下一步”按钮，如图12 所示。

图 12 4)单击“浏览”，找到证书请求文件，并把它插入在图 13 页面中的“证书申请”框内，单击“提交”按钮。这就将我们上面刚刚完成的这个证书请求文件（即含有个人信息和公钥的文件）提交。

图 13

5)将会弹出如图 14 所示的页面，表示提交成功。服务器证书的颁发和安装 实现步骤同实验 14.1。

客户端证书的申请，颁发和安装

在另一台计算机上重复实验 14.1 中的相关步骤，完成客户端证书的申请，颁发和安装。

未配置 SSL 的普通 Web 连接的安全性

1)在配置 SSL 设置前，在网络中另外一台计算机中打开网络监测工具Sniffer，监测 Web 服务器的网络流量。2)在客户端访问服务器的证书申请网页 http://根 CA 的 IP/certsrv，第 3方计算机的 Sniffer 工具监测到了，数据包（Sniffer 的使用参考其他实验）。

可以看出，在 SSL 配置之前，Web 访问信息是明文传输的，第 3 方可以利用相关的工具窃取信息，在截获的 POST 类型的数据包中可以获得连接的地址等相关信息。

在服务器上配置 SSL 1)单击“开始”按钮，选择“程序”→“管理工具”→“Internet 服务管理器”。在弹出的窗口左侧菜单中右键单击“默认 Web 站点”，选择“属性”。

2)在弹出的窗口中选择“目录安全性”菜单项，选择面板上的“安全通信”中“查看证书”项，查看第 2 步中的安装的证书，如图 14 所示。

图 143)单击“确定”按钮后返回到“目录安全性”面板，选择“安全通信”中的“编辑”项，在弹出的如图 15 所示的窗口中选择“申请安全通道（SSL）”，并在“客户证书”栏中选择“接受客户证书”，单击“确定”按钮。

注意：“忽略客户证书”表示服务器不要求验证客户端的身份，客户端不需要证书，但客户端可以验证服务器的身份：“接收客户证书”则表示双方均可以验证对方的身份。

图 15 4)返回到“目录安全性”面板，单击“应用”按钮及“确定”按钮，完成配置。

客户端通过 SSL 与服务器建立连接

1)在网络中第 3 方的计算机上打开网络监视工具 Sniffer，监测的服务器的数据包。

2)在客户端计算机上打开 IE 浏览器，若仍在地址栏里输入 http://根 CA的 IP/certsrv，则显示如图 16 所示的界面，要求采用 HTTPS（安全的 HTTP）协议连接服务器端。

图 16 3)输入 https://根 CA 的 IP/certsrv，页面中弹出如图 17 所示的提示窗口。

图 17

4)单击“确定”按钮，探出如图 18 所示的证书选择窗口。

图 18

在窗口中选择步骤 2）中申请的证书 Web Cert，单击“确定”按钮。5)之后将正确的弹出正常的证书申请页面，完成基于 SSL 的连接。

6)查看第 3 方计算机上 Sniffer 的监测结果，其中并未出现 POST 类型的有效信息包，截获的信息均为无效的乱码。这说明 SSL 很好的实现了 Web连接的安全性。

实验4 应用OPENSSH和PUTTY进行安全SSH连接

一、实验目的：

掌握windows下IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理

二、实验软件：

Windows XP 操作系统2台。分别为主机xp1和主机xp2

三、实验步骤：远程连接工具putty

随着linux在服务器端应用的普及，linux系统越来越依赖于远程管理，而Putty为常用的远程管理工具。用途：查看服务器端文件、查看进程、关闭进程等

配置：双击putty后，出现下图界面。按图提示步骤进行输入：（1）输入服务器的 IP 或主机名，（2）选择好登录协议，通常选SSH。（3）选择协议的端口，选择22。（4）如果希望把这次的输入保存起来，以后就不需要再重新输入了，就在第4步输入好会话保存的名称，比如：mail-server，或者干脆就是主机的地址，点击保存就可以了。最后点下面的 Open 按钮，输入正确的用户名和口令，就可以登录服务器了。

用法：

（1）保存了会话后，直接点击中下方的text框内的快捷方式即可进入登录界面。（2）进入界面后，按提示输入用户名和密码，比如之前我们进的是192.168.2.96。其对应的用户名和密码是：oracle，oracle123（3）成功登录之后即可对服务器端进行操作。可以查看文件，开启关闭服务等等。下面截图ls显示了当前服务器端的文件列表。红色框选部分是启动汽车板块服务的快捷键。输入start_auto.sh即可启动汽车板块的进程。

个案应用：

主题：关于SSH（或putty）里查看进程的问题 起因：192.168.2.96 前后台打不开

分析：payment服务打不开，首先pj | grep payment 查看payment进程存在与否，因为服务荡掉有两种情况，一种是对应的进程直接荡掉不存在，一种是进程仍在，但服务不能正常运行。第一种直接启动，第二种先kill-9 加对应进程号先将进程kill掉，再重新开启。个案应用：

查有时用putty界面会出现中文字符乱码问题，解决方案如下： 选择配置窗口左边的Translation，在右边的 Received data assumed to be in which character set 下拉列表中选择“UTF-8”

1.远程连接工具ssh

Ssh和putty用法类似，只是界面稍微有些差异。用法：

（1）如果第一次连接服务器，则点击“quick connect”

输入服务器地址，出现如图下所示界面，点击“yes”然后输入密码即可登录。

（2）如果需要创建快捷方式，在输入密码登录成功以后，可以点击“profiles”，然后选择“add profiles”。输入一个保存的名字即可，下次登录时点击profile然后选择保存的名字即

可登录。（3）登录进入后使用同putty。

实验5 Kerberos

一、实验目的：

在这个实验中，将创建一个Kerberos服务。在完成这一实验后，将能够:(1)在服务器端安装 “Kerberos服务”。(2)配置”Kerberos服务”。

(3)利用”Kerberos服务”进行认证，获取票据。

二、实验软件：

服务器运行Windows 2000 Server，并创建活动目录。

三、实验步骤：

步骤:在Windows 2000 Server上建立Kerberos认证服务器，客户端能从Kerberos认证服务器获取票据登录服务器。活动目录的安装：

Windows 2000活动目录和其安全性服务（Kerberos）紧密结合，共同完成任务和协同管理。活动目录存储了域安全策略的信息，如域用户口令的限制策略和系统访问权限等，实施了基于对象的安全模型和访问控制机制。活动目录中的每一个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。因此，在使用Windows 2000提供的安全服务前，首先应该在服务器上安装活动目录。操作步骤：

（１）在Windows 2000＂控制面板＂里，打开＂管理工具＂窗口，然后双击＂配置服务器＂，启动＂Windows 2000配置您的服务器＂对话框，如图A７—１所示。

（２）在左边的选项列表中，单击＂Active Directory＂超级链接，并拖动右边的滚动条到底部，单击＂启动＂超级链接，打开＂Active Directory安装向导＂对话框，出现＂欢迎使用Active Directory安装向导＂，按向导提示，单击＂下一步＂按钮，出现＂域控制器类型＂对话框。

（３）单击＂新域的域控制器＂单选按钮，使服务器成为新域的第一个域控制器。单击＂下一步＂按钮，出现＂创建目录树或子域＂对话框。

（４）如果用户不想让新域成为现有域的子域，单击＂创建一个新的域目录树＂单选按钮。单击＂下一步＂按钮，出现＂创建或加入目录林＂对话框。

（５）如果用户所创建的域为单位的第一个域，或者希望所创建的新域独立于现有的目录林，单击＂创建新的域或目录树＂单选按钮。单击＂下一步＂按钮，出现＂新的域名＂对话框。

（６）在＂新域的ＤＮＳ全名＂文本框中，输入新建域的DNS全名，例如:book.com。单击＂下一步＂按钮，出现”Net BIOS域名＂对话框。

（７）在”域Net BIOS名”文本框中，输入Net BIOS域名，或者接受显示的名称，单击＂下一步＂按钮，出现＂数据库和日志文件位置＂对话框。

（８）在”数据库位置”文本框中，输入保存数据库的位置，或者单击”浏览”按钮选择路径；在”日志位置”文本框中，输入保存日志的位置或单击”浏览”按钮选择路径； 如图A７—2所示。单击＂下一步＂按钮，出现＂共享的系统卷＂对话框。

（９）在”文件夹位置”文本框中输入Sysvol文件夹的位置，在Windows 2000中Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。或单击”浏览”按钮选择路径，如图A７—3所示。单击＂下一步＂按钮，出现＂权限＂对话框。

（１０）设置用户和组对象的默认权限，选择”与Windows 2000服务器之前的版本相兼容的权限”。单击＂下一步＂按钮，出现＂目录服务器恢复模式的管理员密码＂对话框。

（１１）在”密码”文本框中输入目录服务恢复模式的管理员密码，在”确认密码”文本框中重复输入密码。单击＂下一步＂按钮，出现＂摘要＂对话框。

（１２）可以看到前几步的设置，如果发现错误，可以单击＂上一步＂按钮重新设置。

（１３）单击＂下一步＂按钮，系统开始配置活动目录，同时打开”正在配置Active Directory”对话框，显示配置过程，经过几分钟之后配置完成。出现”完成Active Directory安装向导”对话框，单击＂完成＂按钮，即完成活动目录的安装，重新启动计算机，活动目录即会生效。

安全策略的设置：

安全策略的目标是制定在环境中配置和管理安全的步骤。Windows 2000组策略有助于在Active Directory域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU(单位组织)结构结合使用，为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。操作步骤:(1)在” Active Directory用户和计算机”窗口，右击域名”book.com ”，如图A７-4所示。在弹出的菜单中选择”属性”命令，出现”book.com属性”对话框, 如图A７-5所示。

(2)选择”组策略”标签页(见图A7-6)，系统提供了一系列工具。可以利用这些工具完成”组策略”的建立、添加、编辑、删除等操作。

(3)双击”Default Domain Policy”，出现” 组策略”对话框。在”组策略”窗口左侧”树”中，选择”Windows设置”并展开，在”安全设置”中打开”Kerberos策略”(见图A7-7)，进行安全策略的设置；一般情况下，选择默认设置就能达到系统安全的要求。

Windows 2000 Professional 版客户端Professional 版客户端设置：

Windows 2000 Professional 版客户端设置配置成使用Kerberos域，在这个域里使用单独的登录标记和基于Windows 2000 Professional 的本地客户端账号。操作步骤:(1)安装 Kerberos配置实用程序，在Windows 2000 安装光盘的supportreskitnetmgmtsecurity文件夹 中找到setup.exe 注意:启动Windows 2000时,必须以管理员组的成员身份登录才能安装这些工具。Windows 2000光盘中，打开SupportTools文件夹,双击Setup.exe图标,然后按照屏幕上出现的说明进行操作。

通过以上步骤，用户在本机上安装了Windows 2000 SupportTools，它可以帮助管理网络并解决疑难问题。在用户系统盘的Program FileSupport Tools文件夹中可以看到许多实用工具，其中与Kerberos配置有关的程序为ksetup.exe和kpasswd.exe。用于配置Kerberos域，KDC和Kpasswd服务器，Ktpass.exe用于配置用户口令、账号名映射并对使用Windows 2000 Kerberos KDC的Kerberos服务产生Keytab，如图A７--8所示。

(2)设置Kerberos域。因为Kerberos域不是一个Windows 2000域，所以客户端必须配置成为工作组中的一个成员。当设置Kerberos时，客户机会自动成为工作组的一个成员。

/setdomain参数的值BOOK.COM是指与本地计算机在同一域中的域控制器的DNS。如用户的域控制器的DNS名为puterpassword的参数用于指定本地计算机的密码，如图A７-11所示。(5)重新启动计算机使改变生效。这是一个必须的步骤，无论何时对外部KDC和域配置做了改变，都需要重新启动计算机。(6)使用Ksetup来配置单个注册到本地工作站的账户。/mapuser的第一个参数用于指定Kerberos的主体，第二个参数用于指定本机的用户账户(见图A7-12)。定义账户映射可以将一个 Kerberos域中的主体映射到一个本地账号身份上，将本地账号映射到Kerberos。

实验6 SHTTP

一、实验目的：

掌握windows下HTTPS应用的配置过程，理解主机到服务器的安全访问工作原理

二、实验软件：

Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。

三、实验步骤： 1.准备 web 网站

下面以管理员的身份登录到 web 服务器上创建名为：wanjiafu 的网站：然后停止：并设置默认网站为启动 在 C 盘下创建文件夹 web 用于存放网页文件 名为：index.htm 2.为 web 网站创建证书申请文件 右键网站 wanjiafu 打开属性页

点击服务器证书出现：欢迎使用 web 服务器证书向导：对话框：在服务器和客户端之间建立安全的 web 通道： 单击【下一步】按钮：出现服务器证书对话框：可以新建、分配、导入、复制及移动证书：在此选择：新建证书：

【下一步】

【下一步】键入证书的名称

【下一步】键入单位部门信息

【下一步】键入 公用名

【下一步】键入 国家 省份 市县 信息

【下一步】键入 存放 地点

【下一步】查看全部配置

【下一步】完成！

打开 C 盘 看见文件 certreq.txt 打开如下图：

3.为 web 网站申请证书

以域管理员的身份登录到 web 服务器上

打开 IE 浏览器：输入：http：//192.168.0.111/certsrv 单击 【申请一个证书】

单击红线选择区域

下面添加的内容为 C 盘下的 certsrv 文件

点击 【提交】见下图表示已经成功发送了申请 Id 为 2

4.在 CA 服务器上颁发证书

以域管理员的身份登录到 CA 服务器：打开：【证书颁发机构】【控制台】

展开服务器：单击【挂起的申请】可以看到 web 服务器申请的证书现在处于挂起状态

右击 【所有任务】【颁发】

打开【颁发的证书】查看已经颁发了

5.下载证书

以域管理员的身份登录到 web 服务器：

在 IE 浏览器中键入：http：//192.168.0.111/certsrv 打开【证书申请】欢迎界面

单击保存的证书

单击 【DER 编码】【下载证书】

下载后如下图

6.为 web 网站安装证书

打开后创建的 wanjiafu 网站

选择：处理挂起的请求并安装证书

下面是证书的路径：刚才我把保存在桌面了

SSL 端口为默认 443

下面为证书的内容

【下一步】完成 点击【查看证书】

7.为 web 站点设置安全通信 点击【编辑】

勾选 要求安全通道（SSL）和 忽略客户端证书

下面在登录客户端验证之前：需要将默认网站停止：把 wanjiafu 启动

下面以域管理员的身份登录到 web 客户端上：

在 IE 浏览器中输入：http：//192.168.0.111 访问 web 网站 发现这里已经不能用 HTTP 协议访问网站了

下面我们在 IE 浏览器中输入：https：//192.168.0.111 来访问 web 网站 出现安全警报信息：这表示 web 客户端没有安装证书

打开如下图：

成功访问！到这里你们终于知道我的名字了！

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 任务二：web 网站证书导出、导入和删除

为保存 web 网站证书可以将其导出：当误删除证书以后也可以将其导入：具体步骤如下： 1.导出 web 网站证书

打开 wanjiafu 属性 —— 服务器证书 —— 服务器证书向导 ——

【下一步】默认保存路径

【下一步】键入【证书密码】此密码将在【导入证书】时使用

【下一步】保存打开 C 盘查看文件

2.删除 web 网站证书

步骤同上：打开 IIS 证书向导：选择 【删除当前证书】

此时 【查看证书（V）】按钮已经变灰

3.导入 web 网站证书

步骤同上：打开 IIS 证书向导：选择 【 从.pfx 文件导入证书 】

【下一步】选择 路径（默认系统自动搜索）输入【密码】

网站端口

保存退出：此时查看如下图所见：

导入成功！

实验7-8 应用UDP或TCP控件编写简单的网络协议

一、实验目的：

通过编程熟悉协议的设计制作流程，理解协议发送接收报文的具体流程。

二、实验要求：

使用JAVA/C++/C#语言编写一个能简单通信的网络协议

篇2：网络安全实验指导书

2009-10-21

实验安排

1、推荐必做实验

网络扫描

计算机病毒及恶意代码 防火墙实验 入侵检测系统

2、推荐选作实验

VPN配置

证书的申请和使用 windows安全配置实验

实验一： 网络扫描实验

【实验目的】

了解扫描的基本原理，掌握基本方法，最终巩固主机安全

【实验内容】

1、学习使用Nmap的使用方法

2、学习使用漏洞扫描工具

【实验环境】

1、硬件 PC机一台。

2、系统配置：操作系统windows XP以上。

【实验步骤】

1、端口扫描

1）解压并安装ipscan15.zip，扫描本局域网内的主机 2）解压nmap-4.00-win32.zip，安装WinPcap

运行cmd.exe，熟悉nmap命令(详见“Nmap详解.mht”)。3）试图做以下扫描：

扫描局域网内存活主机，扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统

试图使用Nmap的其他扫描方式，伪源地址、隐蔽扫描等

2、漏洞扫描

解压X-Scan-v3.3-cn.rar，运行程序xscan_gui.exe，将所有模块选择扫描，扫描本机，或局域网内某一台主机的漏洞

【实验报告】

1、说明程序设计原理。

2、提交运行测试结果。

【实验背景知识】

1、扫描及漏洞扫描原理见

第四章黑客攻击技术.ppt

2、NMAP使用方法

象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信，端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法，不仅速度快，而且效果也很不错。

Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP，TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,X

mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。

一、安装Nmap

Nmap要用到一个称为―Windows包捕获库‖的驱动程序WinPcap——如果你经常从网上下载流媒体电影，可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的，侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这里的Nmap)捕获通过网卡传输的原始数据。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap，支持XP/2K/Me/9x全系列操作系统，下载得到的是一个执行文件，双击安装，一路确认使用默认设置就可以了，安装好之后需要重新启动。

接下来下载Nmap。下载好之后解开压缩，不需要安装。除了执行文件nmap.exe之外，它还有下列参考文档:

㈠ nmap-os-fingerprints:列出了500多种网络设备和操作系统的堆栈标识信息。

㈡ nmap-protocols:Nmap执行协议扫描的协议清单。

㈢ nmap-rpc:远程过程调用(RPC)服务清单，Nmap用它来确定在特定端口上监听的应用类型。

㈣ nmap-services:一个TCP/UDP服务的清单，Nmap用它来匹配服务名称和端口号。

除了命令行版本之外，还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样，GUI版本需要安装，图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样，鉴于许多人更喜欢用命令行版本，本文后面的说明就以命令行版本为主。

图一

二、常用扫描类型

解开Nmap命令行版的压缩包之后，进入Windows的命令控制台，再转到安装Nmap的目录(如果经常要用Nmap，最好把它的路径加入到PATH环境变量)。不带任何命令行参数运行Nmap，Nmap显示出命令语法，如图二所示。

图二

下面是Nmap支持的四种最基本的扫描方式:

⑴ TCP connect()端口扫描(-sT参数)。

⑵ TCP同步(SYN)端口扫描(-sS参数)。

⑶ UDP端口扫描(-sU参数)。

⑷ Ping扫描(-sP参数)。

如果要勾画一个网络的整体情况，Ping扫描和TCP SYN扫描最为实用。Ping扫描通过发送ICMP(Internet Control Message Protocol，Internet控制消息协议)回应请求数据包和TCP应答(Acknowledge，简写ACK)数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。

TCP SYN扫描一下子不太好理解，但如果将它与TCP connect()扫描比较，就很容易看出这种扫描方式的特点。在TCP connect()扫描中，扫描器利用操作系统本身的系统调用打开一个完整的TCP连接——也就是说，扫描器打开了两个主机之间的完整握手过程(SYN，SYN-ACK，和ACK)。一次完整执行的握手过程表明远程主机端口是打开的。

TCP SYN扫描创建的是半打开的连接，它与TCP connect()扫描的不同之处在于，TCP SYN扫描发送的是复位(RST)标记而不是结束ACK标记(即，SYN，SYN-ACK，或RST):如果远程主机正在监听且端口是打开的，远程主机用SYN-ACK应答，Nmap发送一个RST;如果远程主机的端口是关闭的，它的应答将是RST，此时Nmap转入下一个端口。

图三是一次测试结果，很明显，TCP SYN扫描速度要超过TCP connect()扫描。采用默认计时选项，在LAN环境下扫描一个主机，Ping扫描耗时不到十秒，TCP SYN扫描需要大约十三秒，而TCP connect()扫描耗时最多，需要大约7分钟。

图三

Nmap支持丰富、灵活的命令行参数。例如，如果要扫描192.168.7网络，可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范围。指定端口范围使用-p参数，如果不指定要扫描的端口，Nmap默认扫描从1到1024再加上nmap-services列出的端口。

如果要查看Nmap运行的详细过程，只要启用verbose模式，即加上-v参数，或者加上-vv参数获得更加详细的信息。例如，nmap-sS 192.168.7.1-255-p 20,21,53-110,30000--v命令，表示执行一次TCP SYN扫描，启用verbose模式，要扫描的网络是192.168.7，检测20、21、53到110以及30000以上的端口(指定端口清单时中间不要插入空格)。再举一个例子，nmap-sS 192.168.7.1/24-p 80扫描192.168.0子网，查找在80端口监听的服务器(通常是Web服务器)。

有些网络设备，例如路由器和网络打印机，可能禁用或过滤某些端口，禁止对该设备或跨越该设备的扫描。初步侦测网络情况时，-host_timeout<毫秒数>参数很有用，它表示超时时间，例如nmap sS host_timeout 10000 192.168.0.1命令规定超时时间是10000毫秒。

网络设备上被过滤掉的端口一般会大大延长侦测时间，设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时，这时你就可以对这些设备个别处理，保证大范围网络扫描的整体速度。当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤的端口数量决定。

Nmap的手册(man文档)详细说明了命令行参数的用法(虽然man文档是针对UNIX版Nmap编写的，但同样提供了Win32版本的说明)。

三、注意事项

也许你对其他端口扫描器比较熟悉，但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统，感觉一下Nmap的基本运行模式，熟悉之后，再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果，然后从一个外部IP地址扫描，注意防火墙、入侵检测系统(IDS)以及其他工具对扫描操作的反应。通常，TCP connect()会引起IDS系统的反应，但IDS不一定会记录俗称―半连接‖的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档，以便随后参考。

如果你打算熟悉和使用Nmap，下面几点经验可能对你有帮助:

㈠ 避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为，所以测试Nmap最好在内部网络进行。如有必要，应该告诉同事你正在试验端口扫描，因为扫描可能引发IDS警报以及其他网络问题。

㈡ 关闭不必要的服务。根据Nmap提供的报告(同时考虑网络的安全要求)，关闭不必要的服务，或者调整路由器的访问控制规则(ACL)，禁用网络开放给外界的某些端口。

㈢ 建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后，下一步是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或者服务器，就可以方便地根据这个安全基准执行。实验二：计算机病毒及恶意代码

【实验目的】

练习木马程序安装和攻击过程，了解木马攻击原理，掌握手工查杀木马的基本方法，提高自己的安全意识。

【实验内容】

安装木马程序NetBus，通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术

【实验步骤】

1、木马安装和使用

1)在菜单运行中输入cmd打开dos命令编辑器 2)安装netbus软件

3)在DOS命令窗口启动进程并设置密码

4)打开木马程序，连接别人主机

5)控制本地电脑打开学院网页

6)查看自己主机

7)查看任务管理器进程 移除木马控制程序进程

查看任务管理器（注意：Patch.exe进程已经关闭）

2、木马防御实验

在木马安装过程可以运行一下软件查看主机信息变化：

1）使用autoruns.exe软件，查看windows程序启动程序的位置，了解木马的自动加载技术。如自动运行进程（下图所示）、IE浏览器调运插件、任务计划等：

2）查看当前运行的进程，windows提供的任务管理器可以查看当前运行的进程，但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例

启动procexp.exe程序，查看当前运行进程所在位置，如图所示：

3）木马综合查杀练习

使用冰刃IceSword查看木马可能修改的位置： 主要进行以下练习：

1）查看当前通信进程开放的端口。

木马攻击

2）查看当前启动的服务

3）练习其他功能，如强制删除其他文件，SPI、内核模块等。

【实验报告】

1、分析木马传播、自启动、及隐藏的原理。

2、提交运行测试的结果，并分析。

【背景知识】

NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想―控制‖远程机器，必须先将服务器端程序安装到远程机器上－－这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。

NetBus服务器端程序是放在Windows的系统目录中的，它会在Windows启动时自动启动。该程序的文件名是patch.exe，如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore.exe（注意：不是explorer.exe！）或者简单地叫game.exe。同时，你可以检查Windows系统注册表，NetBus会在下面路径中加入其 自身的启动项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del，在任务列表中是看不到它的存在的。正确的去除方法如下：

1、运行regedit.exe；

2、找到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；

3、将patch项删除（或者explore项）；

4、重新启动机器后删除Windows系统目录下的patch.exe（或者explore.exe）即可。

实验三： 防火墙实验

【实验目的】

掌握个人防火墙的使用及规则的设置

【实验内容】

防火墙设置，规则的设置，检验防火墙的使用。

【实验环境】

3、硬件 PC机一台。

4、系统配置：操作系统windows XP以上。

【实验步骤】

(有两种可选方式，1、以天网防火墙为例，学习防火墙的规则设置，2、通过winroute防火墙学习使用规则设置，两者均需安装虚拟机)

一、虚拟机安装与配置

验证virtual PC是否安装在xp操作系统之上，如果没有安装，从获取相关软件并安装； 从教师机上获取windows 2000虚拟机硬盘

二、包过滤防火墙winroute配置（可选）

1、从教师机上获取winroute安装软件并放置在windows 2000上安装

2、安装默认方式进行安装，并按提示重启系统

3、登陆虚拟机,打开winroute 以管理员的身份登录，打开开始>WinRoute Pro>WinRoute Administration，输入IP地址或计算机名，以及WinRoute管理员帐号（默认为Admin）、密码（默认为空）

3、打开菜单

Setting>Advanced>Packet Filter

4、在Packet Filter对话框中，选中Any interface并展开 双击No Rule图标，打开Add Item对话框

在Protocol下拉列表框中选择ICMP，开始编辑规则

配置Destination：type为Host,IP Address为192.168.1.1(x为座位号)

5、在ICMP Types中，选中All复选项 在Action区域，选择Drop项

在Log Packet区域选中Log into Window 其他各项均保持默认值，单击OK 单击OK，返回主窗口

6、合作伙伴间ping对方IP，应该没有任何响应

打开菜单View>Logs>Security Log ,详细查看日志记录 禁用或删除规则

8、用WinRoute控制某个特定主机的访问（选作）

要求学生在虚拟机安装ftp服务器。

1)打开WinRoute,打开菜单Settings>Advanced>Packet Filter选择,Outgoing标签 2)选择Any Interface并展开，双击No Rule，然后选择TCP协议

3)配置Destination 框：type为 Host，IP Address为192.168.1.2(2为合作伙伴座位号)4)、在Source框中：端口范围选择Greater than(>)，然后输入1024 5)以21端口作为 Destination Port值 6)在Action区域，选择Deny选项 7)选择Log into window选项 8)应用以上设置，返回主窗口

9)合作伙伴间互相建立到对方的FTP连接，观察失败信息 10)禁用或删除FTP过滤

三、包过滤天网防火墙配置（可选）

1、安装

解压，单击安装文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安装按缺省的设置安装，注：破解

1）将两个文件[Cr-PFW.exe]和[PFW.bak]一起复制到软件安装目录中

2）运行破解补丁[Cr-PFW.exe]，覆盖原主程序即可

2、熟悉防火墙规则

启动防火墙并‖单击自定义规则‖如图

熟悉规则的设置： 双击如下选项： “允许自己用ping命令探测其他机器 “防止别人用ping命令探测”

“禁止互联网上的机器使用我的共享资源” “防止互联网上的机器探测机器名称”等选项，熟悉其中的IP地址、方向，协议类型、端口号、控制位等项的设置。试总结规则设置的顺序，5、增加设置防火墙规则

开放部分自己需要的端口。下图为对话框，各部分说明： 1）新建IP规则的说明部分，可以取有代表性的名字，如―打开BT6881-6889端口‖，说明详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。

2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。

3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，QQ使用的是UDP协议等。4）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，具体看后面的实例。

试设置如下规则：

1）禁止局域网的某一台主机和自己通信通信 2）禁止任何大于1023的目标端口于本机连接，3）允许任何新来的TCP与主机192.168.0.1的SMTP连接

4、查看各个程序使用及监听端口的情况

可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。

【实验报告】

1、说明包过滤放火墙的工作原理。

2、提交防火墙指定功能测试结果。

实验4 入侵检测系统安装和使用

【实验目的】

通过安装并运行一个snort系统，了解入侵检测系统的作用和功能

【实验内容】

安装并配置appahe，安装并配置MySQL，安装并配置snort；服务器端安装配置php脚本，通过IE浏览器访问IDS

【实验环境】

硬件 PC机一台。

系统配置：操作系统windows XP以上。

【实验步骤】

1、安装appache服务器

安装的时候注意，本机的80 端口是否被占用，如果被占用则关闭占用端口的程序。选择定制安装，安装路径修改为c:apache 安装程序会自动建立c:apache2 目录，继续以完成安装。

添加Apache 对PHP 的支持

1）解压缩php-5.2.6-Win32.zip至c:php 2）拷贝php5ts.dll文件到%systemroot%system32

3）拷贝php.ini-dist(修改文件名)至%systemroot%php.ini 修改php.ini

extension=php_gd2.dll

extension=php_mysql.dll

同时拷贝c:phpextension下的php_gd2.dll与php_mysql.dll 至%systemroot%

4）添加gd库的支持在C:apacheApache2confhttpd.conf中添加： LoadModule php5_module “c:/php5/php5apache2.dll”

AddType application这一行下面加入下面两行：

AddType application/x-httpd-php.php.phtml.php3.php4 AddType application/x-httpd-php-source.phps

5）添加好后，保存http.conf文件，并重新启动apache服务器。现在可以测试php脚本：

在c:apache2htdocs 目录下新建test.php

test.php 文件内容：

〈?phpinfo();?〉

使用http://localhost/test.php 测试php 是否安装成功

2、安装配置snort

安装程序WinPcap_4_0_2.exe；缺省安装即可 安装Snort_2_8_1_Installer.exe；缺省安装即可

将snortrules-snapshot-CURRENT目录下的所有文件复制(全选)到c:snort目录下。将文件压缩包中的snort.conf覆盖C:Snortetcsnort.conf

3、安装MySql配置mysql

解压mysql-5.0.51b-win32.zip，并安装。采取默认安装，注意设置root帐号和其密码 J检查是否已经启动mysql服务 在安装目录下运行命令：（一般为c:mysqlbin）mysql-u root –p 输入刚才设置的root密码

运行以下命令

c:>mysql-D mysql-u root-p < c:snort_mysql（需要将snort_mysql复制到c盘下，当然也可以复制到其他目录）运行以下命令：

c:mysqlbinmysql-D snort-u root-p < c:snortschemascreate_mysql

c:mysqlbinmysql-D snort_archive-u root-p < c:snortschemascreate_mysql

4、安装其他工具

1）安装adodb，解压缩adodb497.zip到c:phpadodb 目录下

2）安装jpgrapg 库，解压缩jpgraph-1.22.1.tar.gz到c:phpjpgraph，并且修改C:phpjpgraphsrcjpgraph.php，添加如下一行： DEFINE(“CACHE_DIR”,“/tmp/jpgraph_cache/”);

3)安装acid，解压缩acid-0.9.6b23.tar.gz 到c:apachehtdocsacid 目录下，并将C:Apachehtdocsacidacid_conf.php文件的如下各行内容修改为： $DBlib_path = “c:phpadodb”;$alert_dbname = “snort”;$alert_host = “localhost”;$alert_port = “3306”;$alert_user = “acid”;

$alert_password = “acid”;

$archive_dbname = “snort_archive”;$archive_host = “localhost”;$archive_port = “3306”;$archive_user = “acid”;

$archive_password = “acid”;

$ChartLib_path = “c:phpjpgraphsrc”;

4）、通过浏览器访问http:/127.0.0.1/acid/acid_db_setup.php，在打开页面中点取―Create ACID AG‖按钮，让系统自动在mysql中建立acid 运行必须的数据库

5、启动snort 测试snort是否正常：

c:>snort-dev，能看到一只正在奔跑的小猪证明工作正常 查看本地网络适配器编号： c:>snort-W 正式启动snort；

snort-c “c:snortetcsnort.conf”-i 2-l “c:snortlogs”-deX(注意其中-i 后的参数为网卡编号，由snort –W 察看得知)这时通过http://localhost/acid/acid_main.php 可以察看入侵检测的结果

6、利用扫描实验的要求扫描局域网，查看检测的结果

【实验报告】

1、简单分析网络入侵检测snort的分析原理

2、分析所安装的入侵检测系统对攻击的检测结果。附：

Appach启动动命令：

apache-k install | apache-k start

证书的申请和使用

【实验目的】

掌握数字证书的申请、安装，利用证书的使用通过Outlook发送和接受安全电子邮件

【实验内容】

1、申请免费使用证书，了解证书的结构

2、利用申请的证书，发送和接收具有加密和签名认证的电子邮件

【实验环境】

上网计算机，Windows操作系统（最好是Windows2000）。IE5.0以上浏览器

【实验步骤】

1、证书申请

（1）登录中国数字认证网网站：http://，如图1所示，图1 申请证书主页

(2)单击 ―用表格申请‖，进入申请网页，如图2：填写相关信息，注意证书用途选择，电子邮件保护证书。注意电子邮件部分填写随后测试邮件的自己电子邮件的邮件

图

2、申请表格

3）单击“提交并安装证书” 4）证书查询

打开IE浏览器，依次点击工具→Internet选项→内容→证书，如图8.11所示，点击证书按钮后出现证书目录，如图8.12，双击刚才申请的试用个人证书，如图8.13所示。需要说明的是，由于证书是试用证书，所以有该证书未生效信息，实际上，正式申请的付费证书是没有任何问题。

图3互联网选项

图4 已经安装好的数字证书

图5 证书信息

2、使用证书发送安全邮件

1）选择菜单-〉工具-〉选项

弹出对话框

选择安全属性页，复选“给待发邮件添加数字签名”“以明文签名发送邮件”

选择“设置”按钮，弹出“更改安全设置对话框”见图9

图6 选项属性页

2）选择 ―设置‖按钮 弹出“更改安全设置”对话框 图7 填写名称

“选择” 按钮选择刚才申请的证书，并选择哈希算法和加密算法。

图7安全设置对话框）选择一个通信联系人发送一个邮件(这里最好是相互发送)看看对方是不是收到了一个带证书的电子邮件

注意：这时只能发送签名电子邮件，因为不知道对方的公钥无法加密(why？),可以思考一下。

发送加密带签名的电子邮件方法如下：

需要知道收信人的公钥才能加密，因此需要导入收信人的证书。4）导出收信人证书

以刚才收到的带签名的和证书的油箱导入对方的证书

A）添加刚才收到信的发信人岛通信薄。B）从刚才收到的信中到处证书。

在信的右边单击红色飘带弹出对话框，并单击“详细信息”，弹出对话框，选择 “签字人：****”，并单击“查看信息” 按钮（如图8），弹出属性页，选择“查看证书按钮”，弹出属性页对话框，选择“详细信息”，及“复制到文件…”按钮（见图9）。把证书复制到文件

图8

图9 5）向通信薄中联系人添加证书。选择菜单“工具”-〉“通信薄”，选择上述接收到的邮件发件人作为联系人，并单击，选择证书属性页，（如图10），单击“导入”按钮，倒入刚才到处的文件。

图10 6）发送带签名和加密的电子邮件

选择菜单

工具-〉选项…

弹出对话框

选择安全属性页，复选“加密带发邮件的内容和附件”，“给待发邮件添加数字签名”，“以明文签名发送邮件”（如图11）

向对方发送一个电子邮件，看看是不会加密带签名的

图11 【实验报告】

1、提交运行测试结果

2、提交申请证书的分析说明

3、提交认证（签名）和加密邮件的分析说明 实验六： windows安全配置实验

【实验目的】

掌握windows的安全设置，加固操作系统安全

【实验内容】

1、账户与密码的安全设置

2、文件系统的保护和加密

3、启用 安全策略与安全模板

4、审核与日志查看

5、利用 MBSA 检查和配置系统安全

【实验环境】

7、硬件 PC机一台。

2、系统配置：操作系统windows XP专业版。

【实验步骤 】

任务一 账户和密码的安全设置

1、删除不再使用的账户，禁用 guest 账户

⑴ 检查和删除不必要的账户

右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户和密码”项； 在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。⑵ 禁用 guest 账户

打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击 guest 账户，在弹出的对话框中选择“属性”，在弹出的对话框中“帐户已停用”一栏前打勾。

确定后，观察 guest 前的图标变化，并再次试用 guest 用户登陆，记录显示的信息。２、启用账户策略

⑴ 设置密码策略

打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。⑵ 设置账户锁定策略

打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。

在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如 3 次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。

在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如 20 min）。

重启计算机，进行无效的登陆（如密码错误），当次数超过 3 次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。３．开机时设置为“不自动显示上次登陆账户”

右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效。４．禁止枚举账户名

右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”。此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。任务二 文件系统安全设置

⑴ 打开采用 NTFS 格式的磁盘，选择一个需要设置用户权限的文件夹。⑵ 右键单击该文件夹，选择“属性”，在工具栏中选择“安全”。

⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉，以去掉来自父系文件夹的继承权限（如不去掉则无法删除可对父系文件夹操作用户组的操作权限）。

⑷ 选中列表中的 Everyone 组，单击“删除”按钮，删除 Everyone 组的操作权限，由于新建的用户往往都归属于 Everyone 组，而 Everyone 组在缺省情况下对所有系统驱动器都有完全控制权，删除 Everyone 组的操作权限可以对新建用户的权限进行限制，原则上只保留允许访问此文件夹的用户和用户组。

⑸ 选择相应的用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。

⑹ 单击“高级”按钮，在弹出的窗口中，查看各用户组的权限。

⑺ 注销计算机，用不同的用户登陆，查看 刚才设置“桌面”文件夹的访问权限，将结果记录在实验报告中。任务三 启用审核与日志查看 1 ．启用审核策略

(1)打开“控制面板”中的“管理工具”，选择“本地安全策略”。(2)打开“本地策略”中的“审核策略”，在实验报告中记录当前系统的审核策略。

(3)双击每项策略可以选择是否启用该项策略，例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录，“审核登陆事件”将对每次用户的登陆进行记录；“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录，根据需要启用相关审核策略，审核策略启用后，审核结果放在各种事件日志中。2 ．查看事件日志

(1)打开“控制面板”中的“管理工具”，双击“事件查看器“，在弹出的窗口中查看系统的 3 种日志。(2)双击“安全日志”，可查看有效无效、登陆尝试等安全事件的具体记录，例如：查看用户登陆 / 注销的日志。任务四 启用安全策略与安全模块

1、启用安全模板

开始前，请记录当前系统的账户策略和审核日志状态，以便于同实验后的设置进行比较。

⑴ 单击“开始”按钮，选择“运行”按钮，在对话框中运行 mmc，打开系统控制台

⑵ 单击工具栏上“控制台”，在弹出的菜单中选择“添加 / 删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”、“安全设置和分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮。⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹，打开“安全模板”文件夹，可以看到系统中存在的安全模板。右键单击模板名称，选择“设置描述”，可以看到该模板的相关信息。选择“打开”，右侧窗口出现该模板的安全策略，双击每种安全策略可看到其相关配置。

⑷ 右键单击“安全设置与分析”，选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称，例如起名为 mycomputer.sdb，单击“打开”按钮，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。

⑸ 右键单击“安全设置与分析”，选择“立即分析计算机”，单击“确定”按钮，系统开始按照上一步中选定的安全模板，对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。

⑹ 右键单击“安全设置与分析”，选择“立即配置计算机”，则按照第（4）步中所选的安全模板的要求对当前系统进行配置。

⑺ 在实验报告中记录实验前系统的缺省配置，接着记录启用安全模板后系统的安全设置，记录下比较和分析的结果。2 ．建安全模板

⑴ 单击“开始”按钮，选择“运行”按钮，在对话框中运行 mmc，打开系统控制台。

⑵ 单击工具栏上“控制台”，在弹出的菜单中选择“添加 / 删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”、“安全设置和分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮。⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹，打开“安全模板”文件夹，可以看到系统中存在的安全模板。右键单击模板名称，选择“设置描述”，可以看到该模板的相关信息。选择“打开”，右侧窗口出现该模板的安全策略，双击每中安全策略可看到其相关配置。

⑷ 右键单击“安全设置与分析”，选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称，例如起名为 mycomputer.sdb，单击“打开”按钮，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。

⑸ 展开“安全模板”，右键单击模板所在路经 , 选择“新加模板”，在弹出的对话框中添如预加入的模板名称 mytem，在“安全模板描述“中填入“自设模板”。查看新加模板是否出现在模板列表中。

⑹ 双击 mytem，在现实的安全策略列表中双击“账户策略”下的“密码策略”，可发现其中任一项均显示“没有定义”，双击预设置的安全策略（如“密码长度最小值”），弹出窗口。

⑺ 在“在模板中定义这个策略设置”前打勾，在框中填如密码的最小长度为 7。

⑻ 依次设定“账户策略”、“本地策略”等项目中的每项安全策略，直至完成安全模板的设置。

任务5 MBSA 检查和配置系统安全

安装MBSA，利用说明文档（见附录，巧妙使用微软MBSA系统安全检测工具），学习其使用

【实验报告】

记录系统各项安全设置前后的变化，并结合截图进行说明。

实验七：VPN【实验目的】

配置和使用

了解VPN的概念、分类，掌握使用在windows上配置VPN服务器和VPN客户端

【实验内容】

虚拟机的安装与使用，vpn服务器的配置，vpn客户端的配置，给出配置过程的截图

【实验拓扑（可选）】

在宿主操作系统（如xp）上开启虚拟机软件，在该软件中运行windows server 2000；同伴之间设置为相同网段的地址，测试防火墙和VPN配置情况。

【实验环境】

1、虚拟机相关软件：virtual PC软件和虚拟机硬盘

2、winroute软件

3、xp系统主机一台

【实验步骤】

一、虚拟机安装与配置

1、验证virtual PC是否安装在xp操作系统之上，如果没有安装，从教师机上获取相关软件并安装；

2、从教师机或ftp://222.22.94.2上获取windows 2000虚拟机硬盘

二、在wiindows 2000 server中配置VPN服务端

1、要求，server中设置2块网卡。确保xp系统和server 2000能够通信（如通过ping验证是否通信）。

2、点击“开始”－>“管理工具”－>“路由和远程访问”；

3、开始配置，在左边窗口中选中服务器名，单击右键，选中“配置并启用路由和远程访问”

4、在“公共设置”中，选中“虚拟专用网（VPN）服务器”，点击“下一步”

5、在“远程客户协议”的对话框中，选中“是，所有可用的协议都在列表上”，点击“下一步”

6、选中服务器所使用的Internet连接，连接方式如通过指定网卡进行连接等；点击“下一步”

7、选中“来自一个指定的IP地址范围”，点击“下一步”

8、在“地址范围指定”中选中新建，给出IP地址起始情况，如192.168.0.1~192.168.0.200。注意，IP地址范围要同服务器本身的IP地址处于同一个网段中。“确定”后，在“下一步”。

9、最后选中“不，我现在不想设置此服务器使用RADIUS”

10、赋予用户拨入此服务器的权限，点击“开始”－>“管理工具”－> “计算机管理”，在“用户和计算机”添加一用户；如用户名test，密码123456

11、选中test用户，点击“右键”，选中“属性”，在该用户属性窗口中选中“拨入”项，然后单击“允许访问”。最后单击“确定”完成用户权限赋予工作。

12、到此VPN服务器端设置完备。

五、配置VPN客户端

1、在xp系统上点击“网上邻居”－>“属性”。打开窗口后，双击“新建连接”，单击“下一步”。在连接类型中选中“通过Internet连接到专用网络”，点击下一步。

2、在目标地址中输入VPN服务的IP地址，单击“下一步”。允许“所有用户使用此连接”，至此VPN客户端配置完成。

3、打开“虚拟专用连接”，输入服务器允许拨入的用户和密码（如刚才创建的用户名test、密码为123456），单击连接就可以连接上VPN服务器。

【实验报告】

1、2、提交通过本次实验学生最终心得体会？

篇3：初中地理实验指导与思考

下面笔者结合教学实践:制作雨量器, 谈谈自己的认识和体会。

一、制作雨量器

在一定时间内, 从云中降落到水平地面上的液态或固态 (经融化后) 降水, 在无渗透、蒸发、流失的情况 下积聚的 水层深度, 称为该地该时段内的降水量, 单位为毫米。

在这个实验中, 学生制作自己的雨量器, 并用这个雨量器测量降水量, 并测量降水的pH值。

1.实验准备

问题:怎样测量降水量? 怎样测量降水的酸碱性?

实验器材:一个1.25升的雪碧塑料瓶、剪刀、笔、纸、尺子 (量杯、pH试纸、比色卡、表面皿、玻璃棒) 。

2.实验步骤

①小心地用剪刀从塑料瓶的中部靠上剪去顶。

②把剪下来的顶部倒扣在瓶子中, 形成一个漏斗。用胶带将漏斗与瓶身固定好, 使其牢固, 盛水器口应保持水平。

③然后将雨量器收集的雨水倒入一个带有刻度 (毫升) 的量杯中, 读出雨水的体积, 即毫升数。

④测量雨量器漏斗的直径。

⑤根据公式进行换算。

⑥收听天气预报, 预测下雨时间, 提前放置好雨量器。

⑦雨量器应牢固安置在空旷平坦的地方, 注意避开建筑物、树木和其他会影响降雨量测量的障碍物。雨量器瓶底离地面为70厘米高, 防止雨水从其他表面溅入雨量器中。可以将雨量器放置在花盆中 (注意雨量器要放置在比花盆边缘高一些的位置, 防止溅入水) , 还可以用石子、砖头加固, 但要注意保持盛水器口水平。

⑧把试纸放在表面皿上, 用洁净的玻璃棒蘸取降水涂在试纸上, 然后用对照比色卡, 根据颜色记录下相应数值。

⑨记录每次降水量的状况。

3.实验分析

正常雨水的pH值是中性的么? 如果不是, 是偏酸性还是碱性呢? 为什么? 为什么会有酸雨? 酸雨有什么危害?

4.结论与应用

比较你自制的雨量器得到的读数和报纸网络气象图提供的数值。二者的差距大吗? 为什么?

5.补充知识点

pH试纸:测量pH值的方法有很多, 使用pH试纸是常见方法之一。pH试纸含有化学成分, 遇到酸碱溶液会出现不同颜色, 一般遇酸变红、遇碱变蓝, 通过对照比色卡, 就能读出相应的pH值。pH试纸分为广泛试纸和精密试纸。广泛pH试纸, 测试范围在1~14, 而精密pH试纸, 按测量不同区间划分, 如0.5~5.0, 5.4~7.0等, 通过对比相应的比色卡, 能够得到更为精确的pH数值。如果超过测量的范围, 精密pH试纸就无效了。

酸雨:pH小于5.6的降水, 统称为酸雨。干净的雨水因为溶解大气中的二氧化碳, 所以也呈酸性。而酸雨则是煤炭、石油产品燃烧及金属冶炼过程中产生的二氧化硫、氮氧化物, 溶解在雨水中, 使雨水酸度增加, 降到地面即成为酸雨。

碱雨:科学家把pH值大于7.0的降水叫“碱雨”。八十年代, 我国著名的化工城市吉林曾收集到碱雨。

二、总结与思考

1.选用身边的物品

身边物品是最简单也是最容易被大家接受的。初中地理实验应该简易, 具有可操作性, 学生可随手拿来, 教师也很方便地开展实验活动。利用身边常见的物品, 做一些地理实验是学生学习、研究地理的好方法, 是一种思考探究的过程。在这个制作雨量器的实验中, 需要学生准备的实验器材是一个1.25升的雪碧塑料瓶、剪刀、笔和纸 , 而正是这些 熟悉的材料在学生手里重新排列组合, 揭示一些地理现象的过程, 使学生兴趣盎然, 他们能够主动投入, 积极思考, 勇于创新。利用身边物品进行实验, 跳过了对物品的熟悉过程, 直接关注实验本身, 在实验过程中, 能更精细敏锐地观察到变化的现象和数据, 培养学生的观察能力。

2.选取和生活相关的内容

教育要回归生活世界, 倡导对学生现实生活的关照。它的课程意义在于:课程内容要联系生活、贴近生活, 寻求教材内容基础性与发展性、学术性与生活性、知识性与实践性、科学性与人文性的融合。注重让学生在现实与真实中体验、理解、反思、探索和创造, 从而感悟生活意义和生命价值, 促进人的全面发展。课程教学中要突出学生的主体地位, 倡导自由合作、探究体验的学习方式, 追求一种师生间平等互动、相互尊重的对话语境, 使师生真正实现“面对面、心与心”的交流。让学生的生命得到自然展现, 这是教育对人的最深层次的关怀。

教学服务于生活, 离开生活空谈理论, 课堂就会缺乏生命力。在地理实验教学中, 要善于寻找和生活相关的实验素材, 促进学生对地理规律的理解, 提高学生运用知识解决实际问题的能力, 进而探索未知领域。在自制雨量器的实验里, 通过学生动手制作仪器, 测量降雨量, 让学生了解气象观测过程, 通过pH值的测量, 让学生认识酸雨, 了解酸雨的危害, 进而关注环境问题。

3.选择适合初中学生的实验设计

初中学生做实验围绕一个主题进行, 提出问题, 然后通过实验验证、理解、分析和归纳, 并总结实验结果, 合作交流, 如果在验证过程中出现新问题, 就回到第一阶段, 重新验证。根据学生的这种学习思路设计地理实验操作, 把实验分成四部分:实验准备、实验步骤、实验分析、结论与应用。这是一种集中性思维的学习思路, 是创造性思维的前提, 在学习过程中拥有很大的实践探究空间:正常雨水是中性的么? 如果不是, 是偏酸性还是碱性呢? 为什么? 什么是酸雨? 为什么会有酸雨?酸雨有什么危害? 层层递进的“问题串”让学生在问题解答中体验思维过程, 在实验的检验中不断经历和成长, 形成自己的科学经验系统。

4.关注实验的科学性

新学期开学, 收到许多学生测量降水量和pH值的寒假作业, 其中有一位女生的作业引起了我的注意, 她在降水量的测量值旁边打了一个问号, 我找她来问了一下:“为什么要打这个问号? ”她说在家里进行降水量测算的时候数值很大, 于是就把测量值除以24小时, 这样数值比较“正常”, 但是不知道这么做是否对, 于是就打了个问号。我听完后建议她可以把家里测量的“仪器”拿到学校来, 和学校的测量仪器比较做一次测量, 对比分析问题在哪里, 那个女生听完后笑了笑说:“这就是科学。”

篇4：网络安全实验指导书

【关键词】信息安全 实验教学 重实践

【中图分类号】G642 【文献标识码】A 【文章编号】1006－9682（2012）02－0017－02

一、现状分析

“9•11事件”发生后，美、英等国对信息安全专业人才的培养非常重视，加大了对高校中信息安全专业人才培养的投入力度，我国也同样如此。华北电力大学信息安全本科专业2004年设置，通过几年的教学实践我们得出以下结论：

第一，信息安全课程的教学需要重视理论的讲授，使学生掌握解决问题的基本原理、方法，更要强调实验教学，培养学生解决安全问题的能力与技术。

第二，信息安全是一个整体概念，解决某一个安全问题常常要綜合考虑硬件、系统软件、应用软件、代码安全、协议安全等多个方面，因此需要培养学生的綜合安全技能，实验内容的系统性尤为重要。这里的系统是指实验内容自身的体系完整，也包括实验内容与其他计算机或安全专业课程的有机关联。

因此，为了适应实际应用的需要，华北电力大学计算机系信息安全专业本着“重实践”的指导思想，对实验教学开展了教学改革研究，重新设置了实验教学体系，购置了相应的实验设备、搭建了实验教学平台，并在之后的人才培养中取得了好的效果。

二、“信息安全”实验教学内容的组织与设置

实验教学内容的设置分为三个层次：实验课程、课程内实验、独立的綜合实验。

1．实验课程

此类课程涉及“信息安全实验课程”。

本课程是信息安全专业本科低年级的课程，以激发学生对信息安全学习的兴趣，以解决和分析具体安全问题为目的，按由浅入深、由局部到整体的思路，以实验为例，直接在实验室讲授，针对具体的不同安全问题，要求学生通过动手完成相应的实验，达到对信息保密技术、网络和系统安全知识的初步认识。课程共16学时，内容包括：①实验一：古典密码算法；②实验二：使用Sniffer工具嗅探；③实验三：账号口令破解；④实验四：Windows操作系统安全；⑤实验五：Linux操作系统安全。

2．课程内实验

此类课程涉及计算机病毒防治实验、计算机密码学实验、信息隐藏实验等，安排在课程内。

（1）计算机病毒防治实验。共10学时，内容包括：①文件型病毒的查杀（綜合性、设计性实验）；②宏病毒的清除（验证性实验）。

（2）计算机密码学实验。共10学时，实验内容包括：①实验一：古典密码实验；②实验二：LFSR及序列密码；③实验三：分组密码：任选其一，完整实现DES、AES、IDEA算法；④实验四：RSA密码体制中的若干算法；⑤实验五：散列算法实验；⑥綜合实验：计算机网络通信中的信息安全与认证技术。

本实验綜合应用对称密码体制来传送信息、非对称密码系统来交换密钥、信息摘要保证数据的完整性、数字签名技术保证信息的不可抵赖性。且利用以上技术来认证网络或通信双方的身份。进行实验时，可采用以下三种方法来具体实施：①利用本课程的一些基本实验所编写的算法，实现信息安全与认证的基本要求。但由于目前公钥密码体制的实现，采用自己的程序设计有一定的困难，因此在实现时，可适当地结合.NET或WinCryptoAPI所提供的功能。②利用Microsoft.NET所提供的加密、摘要、签名等函数，编写软件加密程序。用户可以使用它在不安全的通信链路上创建安全的消息和通信，例如，生成公/私钥对，交换会话密钥，加密文件及传输的信息，给文件及信息进行数字签名及验证对方的数字签名，认证通信的双方等。对于网络编程能力较强的学生，可考虑编写用于Internet上传送信息的端对端通信程序，制定自己的安全协议，用于完成以上所列功能。③利用Windows所提供的加密接口WinCryptoAPI来实现第二种方法所列功能。

3．独立的綜合实验

此类实验包括：网络信息安全綜合实验（1周），信息安全綜合实验（2周），PKI綜合实验（2周），网络攻防綜合实验（2周）等。

（1）实验环境建设。针对丰富的信息安全实验内容，为了增强同学们对信息安全课程中学过的相关理论的感性认识，学校拨出专款购置了信息安全綜合实验系统与信息安全实训教学系统。

（2）綜合实验内容

第一，网络信息安全綜合实验。本实验针对网络工程专业开设，通过本次实验增强对网络信息安全课程中学过的相关理论的感性认识。

使用信息安全实训系统和信息安全綜合实验系统提供的相关功能。系统提供的实验内容包括计算机密码学、信息隐藏、网络攻防实验、防火墙、入侵检测系统、VPN系统、漏洞扫描系统、无线网络系统、安全策略管理系统、路由器、交换机、PKI实验系统、PMI实验系统、安全审计实验等。要求完成系统提供实验中的任意4种。

第二，信息安全綜合实验。该实验针对信息安全专业开设，通过本次实验增强对信息安全类课程中学过的相关理论的感性认识。

实际使用信息安全实训系统和信息安全綜合实验系统提供的相关功能，可任选4种。要求完成对其中某部分功能的编程实现，编程工具任选，可以和同学配合，各自完成系统一部分功能。要求做好与同学之间的接口，功能可演示。

第三，网络攻防实验。该实验针对信息安全专业开设，内容包括：①RPCDCOM堆栈溢出实验；②端口扫描；③漏洞扫描实验；④Unix口令破解实验；⑤Windows口令破解实验；⑥远程控制实验；⑦灰鸽子远程控制实验。

实验时，内容可任选其一编程实现。

第四，PKI系统实验。该实验针对信息安全专业开设，内容包括：①证书申请实验；②用户申请管理实验；③证书管理实验；④信任管理实验；⑤交叉认证实验；⑥证书应用实验。

三、学生能力的培养

实验教学是一个系统工程，教师对设备的使用、对实验内容的把握、对学生学习过程的跟踪和指导都同样重要。我们在实验教学中，要求学生的实验报告注重实验小结与思考部分，即对实验有一个系统的思考、领会过程。通过前述实验，大大提高了学生的动手能力和编程能力。2010年，华北电力大学曾受邀选派3个竞赛队，参加“全国大学生电子设计竞赛信息安全技术专题邀请赛”。进一步提高竞赛成绩将是我们的后续工作目标。

四、结束语

信息安全的理论和技术在不断的发展和更新，且有广阔的应用前景。这就要求教师不断更新实验内容，使得信息安全教学真正做到使学生学以致用，更好地服务于社会。

参考文献

1 华北电力大学信息安全专业培养计划［D］.保定：华北电力大学，2008

2 信息安全綜合实验系统实验指导书［M］.上海：上海交通大学信息安全工程学院，2008

3 崔宝江.信息安全实验指导［M］.北京：国防工业出版社，2005

篇5：计算机网络实验(二)指导书

一、对等网连接设置

1、设置IP地址，网络地址要相同

2、设置工作组，工作组名相同

3、开启了GUEST账号；

控制面板→用户帐户→GUEST开启

4、安装NetBEUI协议：

打开网络连接属性，单击 “安装...” 按钮来安装 NetBEUI5、本地安全策略设置是否禁用了GUEST账号及GUEST设置：

1、控制面板→管理工具→本地安全策略→本地策略→用户权利指派 “从网络访问此计算机”中加入guest帐户，“拒绝从网络访问这台计算机”中删除guest帐户；

2、控制面板→管理工具→本地安全策略→本地策略→安全选项里，把“网络访问：本地帐户的共享和安全模 式”设为“仅来宾-本地用户以来宾的身份验证”（可选，此项设置可去除访问时要求输入密码的对话框，也可视情况设为“经典-本地用户以自己的身份验证”）

6、设置了共享文件夹：

资源管理器中选中文件夹→属性→共享和安全→设置文件夹共享

我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾；

7、网络的文件和打印机共享选中：

网上邻居→本地连接→属性里，“看是否安装了Microsoft网络的文件和打印机共享”

二、实验室网络调查

篇6：计算机网络上机指导书实验六

昆明理工大学信自学院

实验六：子网划分及路由综合实验 考试内容（1，VLAN 2，静态路由 3，动态路由 4，子网划分）

一、实验目的：

学习子网划分，并通过静态和动态路由实现网络互联。使用华为路由器交换机模拟器完成完成子网划分及路由网综合操作。

二、实验内容和步骤：

使用华为路由器交换机模拟器，根据实验指导书要求完成以下步骤： 注意;(主机号子网号不能重叠)

实验6.1 子网划分实验-静态路由

将一个C网地址按照以下要求进行子网划分，并通过静态路由实现网络互联

广域网地址：需要3对广域网地址

192.168.1.252255.255.255.252

可分配主机地址范围：192.168.1.253-192.168.1.254 192.168.1.252是子网号，192.168.1.255是子网广播号。实际可以分配主机地址为2个

192.168.1.248255.255.255.252

可分配主机地址范围：192.168.1.249-192.168.1.250 192.169.1.248是子网号，192.168.1.251是子网广播号。实际可以分配主机地址为2个

192.168.1.244255.255.255.252

可分配主机地址范围：192.168.1.245-192.168.1.246 192.169.1.244是子网号，192.168.1.247是子网广播号。实际可以分配主机地址为2个

服务器地址：

192.168.1.240255.255.255.252

可分配主机地址范围：192.168.1.241-192.168.1.242 192.169.1.240是子网号，192.168.1.243是子网广播号。实际可以分配主机地址为2个

第一个部门5台主机：

192.168.1.232255.255.255.248

可分配主机地址范围：192.168.1.233-192.168.1.238 192.169.1.232是子网号，192.168.1.239是子网广播号。实际可以分配主机地址为6个

第二个部门5台主机：

192.168.1.224255.255.255.248

可分配主机地址范围：192.168.1.225-192.168.1.230 192.169.1.224是子网号，192.168.1.231是子网广播号。实际可以分配主机地址为6个

第三个部门11台主机：

192.168.1.208255.255.255.240

可分配主机地址范围：192.168.1.209-192.168.1.222 192.169.1.208是子网号，192.168.1.223是子网广播号。实际可以分配主机地址为14个

第四个部门13台主机：

192.168.1.192255.255.255.240

可分配主机地址范围：192.168.1.193-192.168.1.206 192.169.1.192是子网号，192.168.1.207是子网广播号。实际可以分配主机地址为14个

第五个部门24台主机：

192.168.1.160255.255.255.224

可分配主机地址范围：192.168.1.161-192.168.1.190 192.169.1.160是子网号，192.168.1.191是子网广播号。实际可以分配主机地址为30个

第六个部门26台主机：

192.168.1.128255.255.255.224

可分配主机地址范围：192.168.1.129-192.168.1.158 192.169.1.128是子网号，192.168.1.159是子网广播号。实际可以分配主机地址为30个

第七个部门48台主机：

192.168.1.64255.255.255.192

可分配主机地址范围：192.168.1.65-192.168.1.126 192.169.1.64是子网号，192.168.1.127是子网广播号。实际可以分配主机地址为62个

第八个部门50台主机：

192.168.1.0255.255.255.192

可分配主机地址范围：192.168.1.1-192.168.1.62 192.169.1.0是子网号，192.168.1.63是子网广播号。实际可以分配主机地址为62个

实验6.2 子网划分实验-动态路由

将上面网络通过动态路由协议来实现网络互联

【实验报告要求】

61797072、根据上机指导书要求的步骤完成实践内容，并对记录执行结果在实验报告上并对结果进行分析。

61797073、对主要命令进行详细注释，要求注释命令的意义和本次配置的目的。

61797074、将实验过程中出现的问题做出描述,并将解决方法和体会写在实