【正文】 ：為了防范此類安全威脅，管理代理將監(jiān)控缺席或移動遲緩的代理，并對其進行重點檢測。：為了防范此類安全威脅，可以采用認證機制，移動代理定期的對移動代理遠行環(huán)境進行檢測，發(fā)送認證信息，移動代理只能在有認證信息的環(huán)境下移動和執(zhí)行，任何試圖修改認證信息的企圖，都將報告管理代理并采取防范措施。DIDS 實現(xiàn)：為了實現(xiàn)上述基于移動代理的入侵檢測系統(tǒng)，移動代理系統(tǒng)采用IBM的Aglets，主要使用其包含的一個移動代理服務器Tahiti，遠程計算機遠行Tahiti服務器以提供移動代理運行環(huán)境。為了平臺無關性，我們采用java作為開發(fā)語言。我們采用JPCAP（java package for libpcap）開發(fā)保來捕捉網(wǎng)絡鏈路上的數(shù)據(jù)包，移動代理之間消息的傳遞和處理采用SendMessage和HandleMessage機制；派遣代理的派發(fā)使用Dispatch方法；巡邏代理采用SeqPlanItinerary類的AddPlan方法來規(guī)定巡邏路線，用SeqPlanItinerary類的gotoNext方法實現(xiàn)巡邏。代理的防御方法主要有取消用戶連接和阻塞用戶賬號兩種方法，處理前要寫入用戶日志以便參考。模擬實驗表明，由于大量的計算分布到了客戶機上，所以安全管理器的負擔較輕，系統(tǒng)性能較好，實現(xiàn)分布入侵檢測。郵件服務器最基本的安全是保證操作系統(tǒng)的安全，由于操作系統(tǒng)安全涵蓋面比較大，本文主要是在假設操作系統(tǒng)安全的前提下，主要討論郵件安全，其系統(tǒng)安全建議采用以下措施： (1)及時更新操作系統(tǒng)漏洞補丁。 (2)安裝殺毒軟件和防火墻，及時更新病毒庫，定期定時查殺病毒，如果有條件可以使用郵件安全網(wǎng)關。 (3)設立安全checklist，定期按照安全策略進行安全檢查。 (4)嚴格限制IP地址訪問，除了郵件服務器提供的郵件服務外，如果能夠做IP安全限制，就針對維護的IP地址等進行信任網(wǎng)絡設置。 (5)安裝的任何軟件必須經(jīng)過安全測試，確保無插件，確保安裝的軟件是“干凈”的。對于郵件服務器，不管配置什么樣的郵件服務器，在配置服務器時，一定上網(wǎng)查找目前郵件服務器軟件版本是否存在漏洞，以及一些相關的安全配置文章，做好其相關安全風險評估和風險應對措施。除了郵件服務器的安全外，郵件客戶端是郵件木馬攻擊的主要對象，因此做好郵件客戶端的安全防范在郵件安全防范方面至關重要。郵件客戶端計算機應當安裝有防火墻、殺毒軟件，并及時更新病毒庫和操作系統(tǒng)安全補丁。建議使用具有郵件監(jiān)控的殺毒軟件，對于國內(nèi)普通用戶可使用“瑞星免費防火墻+avast!殺毒軟件”的組合，avast!具有較強的郵件和網(wǎng)頁木馬監(jiān)控能力，而且是免費的。對郵件木馬的防范建議采用以下四種方法： (1)一“查”主要是在收看郵件時，如果存在附件，先將附件保存到本地，然后使用殺毒軟件進行查殺。如果是可執(zhí)行文件，一定要通過物理通訊方式，詢問發(fā)件人，確保郵件的來源可靠。建議修改文件夾選項，取消“隱藏文件已經(jīng)文件后綴”選項，使其能夠查看文件的實際后綴名稱，防止入侵者修改文件后綴，以假亂真，誘使收件人執(zhí)行木馬程序。 (2)二“看”主要是指像看郵件標題，以及寄件人地址，如果郵件有附件，需要先查看附件屬性，附件文件是否隱藏了文件后綴。如果郵件客戶端程序提供文本查看方式，建議先采用文本查看方式進行查看。 (3)三“堵”就是在發(fā)現(xiàn)已經(jīng)感染病毒的情況下，要及時堵漏，采取相應的補救措施，如果發(fā)現(xiàn)系統(tǒng)感染了木馬程序，建議恢復系統(tǒng)或者重裝操作系統(tǒng)。 (4)使用雙向加密軟件查看和收發(fā)郵件，例如使用具有PGP加密功能的軟件來進行郵件的收發(fā)，通過個人簽名證書等可信任方式來保證郵件的安全，防止假冒、篡改電子郵件。如果在收看郵件時，不小心感染了郵件木馬程序，應當即刻斷掉網(wǎng)絡，查殺病毒，做好數(shù)據(jù)備份，如果條件允許，盡量重新恢復系統(tǒng)，并報告網(wǎng)管人員，再次進行系統(tǒng)安全檢查等，確保本地網(wǎng)絡完全。第4章 綜合實例演示企業(yè)網(wǎng)絡安全基本防護 實例演示配置防火墻策略防火墻具有包過濾，透明轉發(fā)，阻擋外部攻擊，記錄攻擊等等功能，這里要用到的就是防火墻的阻擋攻擊功能和轉發(fā)功能。簡略網(wǎng)絡拓撲圖41 基于防火墻的企業(yè)安全策略IP地址如圖41所示。例：左側為企業(yè)內(nèi)網(wǎng)，右側為公網(wǎng)。如公司內(nèi)部有一臺ftp、web服務器，為了保證企業(yè)內(nèi)部安全網(wǎng)絡安全，不允許外部網(wǎng)絡人員訪問公司內(nèi)部網(wǎng)絡，此時需要操作將內(nèi)部服務器做映射，將內(nèi)網(wǎng)服務器IP 映射到防火墻外網(wǎng)口即所謂的目的NAT配置步驟： 設置地址薄，在防火墻對象\地址薄中設置服務器地址如圖42所示圖42 防火墻地址薄成員設置服務簿，防火墻出廠自帶一些預定義服務，但是如果我們需要的服務在預定義中不包含時，需要在對象/服務簿中手工定義一般無需設置。 創(chuàng)建目的NAT配置目的NAT,為trust區(qū)域server映射FTP(TCP21)如圖43所示和HTTP(TCP80)端口如圖44所示圖43配置防火墻ftpserver目的NAT圖44 配置防火墻webserver目的NAT映射完成之后，介于防火墻性能需添加策略雙方才能通信即設置trust到untrust該策略所達到的效果是允許內(nèi)網(wǎng)用戶訪問外網(wǎng)，不允許公網(wǎng)用戶訪問內(nèi)網(wǎng)（此時映射出去的服務器所在區(qū)域，在策略上已經(jīng)處于外網(wǎng)位置，公網(wǎng)用戶可以直接訪問而不受防火墻限制）至此，基本的企業(yè)網(wǎng)絡安全大體實現(xiàn)，實例演示訪問控制策略，因學校機房設備有限模擬不便，路由交換對限制方面作用不大，因此并未添加。在禁止外部網(wǎng)絡訪問企業(yè)內(nèi)部局域網(wǎng)的時候，保證外部服務器的安全也同樣重要，現(xiàn)在的時代是信息化的時代，用戶所需要了解的所有資料也都在網(wǎng)上可以很方便的找到，而對于一個企業(yè)來講，網(wǎng)站就是一個企業(yè)對外的靈魂，網(wǎng)站的好壞，安全與否，對一個企業(yè)而言不可謂不重要。要對網(wǎng)站進行安全加固，首先就要了解網(wǎng)站有哪些安全隱患。圖45 入侵網(wǎng)站139cake主頁網(wǎng)絡上存在的很多網(wǎng)站漏洞信息都非常多，而很多管理員同時有不重視這些網(wǎng)站漏洞，因此也就給很多非法者以可乘之機，例如這個蛋糕網(wǎng)站，不得不說其漏洞之多，更別提其嚴重性，該網(wǎng)站很多的漏洞對于該企業(yè)來講都是致命的，甚至于，一個剛剛接觸網(wǎng)絡的，直接猜測，都能對應進行破解控制網(wǎng)站。方法：取出預先準備好的工具：啊D注入工具對該網(wǎng)站進行安全漏洞掃描檢測網(wǎng)站漏洞，檢測結果存在注入漏洞2個 如圖46所示（1）（2）圖46 掃描網(wǎng)站139cake注入漏洞任意選擇一個漏洞進行注入破解，經(jīng)檢測之后可以暴力破解其網(wǎng)站賬號密碼（如圖47所示）圖47 掃描表段字段破解賬號密碼至此網(wǎng)站賬號密碼已經(jīng)破解出來，距離控制網(wǎng)站已經(jīng)不算遙遠了，眾所周知，網(wǎng)站控制權限，是在后臺實現(xiàn)的，怎樣找到后臺，相對來說就比較重要，否則就算入侵者拿到后天登陸賬號密碼，一樣沒用。得到網(wǎng)站的后臺管理頁面有很多的方法這里介紹兩種：社會工程學，也就是社會工程學攻擊，社會工程攻擊，是一種利用社會工程學 來實施的網(wǎng)絡攻擊行為。簡單的來講就是猜，這需要一定的經(jīng)驗和相當豐厚的信息。也就是利用工具了，例如試驗中給出的啊D注入工具，工具內(nèi)部整合了很多的后臺登陸地址，可以直接對網(wǎng)站進行針對性檢測。根據(jù)一些網(wǎng)站信息進行猜測，工具的話速度上太慢，差強人意。網(wǎng)站后臺地址：（如圖48所示）圖48 網(wǎng)站后臺登陸界面輸入圖47破解的賬號密碼 admin admin 點擊登錄圖49 網(wǎng)站后臺管理界面至此對網(wǎng)站也算是掌控了絕對控制權限了（如圖49所示），可以執(zhí)行刪除、添加、修改等等操作，由于是企業(yè)公司網(wǎng)站，惡意操作會對一個公司造成難以彌補的損失，那么就到此為止。網(wǎng)站權限總體來說只是針對單獨的一個盤符或者單獨的一個目錄，但是總體上來講如何控制：打開DOS命令窗輸入ipconfig 查看本地IP（如圖410所示）圖410 查看本地IPPing對方IP成功，證明鏈路通暢（事先已知對方IP）（如圖411所示）圖411 ping查看連通性用xscan對對端計算機進行掃描暴力破解對端賬號密碼結果可以看到賬號 ： administrator 密碼 123（如圖412所示）圖412 xscan枚舉破解輸入IPC連接命令，IPC 連接成功（如圖413所示）圖413 IPC空連接對方以下可以進行一系列操作：首先映射對方盤符到本地（如圖414所示）圖414 映射對方盤符查看C$此盤符IP 是以前覆蓋使用的所以IP未變 （以前曾經(jīng)入侵一次留下未清除）（如圖41517所示）圖415 映射對方盤符圖416 映射對方盤符417圖 映射對方盤符 并開啟遠程3389遠程連接，（如圖418所示）圖418 輸入命令net user 123 123 /add net localgroup administrators 123 /addREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f如圖419所示 輸入 f:切換本地路徑圖419 遠程提權切換目錄如圖420 dir查看是否存在 圖420 查看本地當前目錄文件如圖421所示拷貝到遠程C盤或者任意一盤圖421 拷貝到遠程盤符如圖422所示 可以在本地查看是否拷貝到遠程盤符圖422 查看遠程是否存在bat文件1如圖423 將提權命令拷貝到遠程盤符之后下邊就該執(zhí)行操作啟動bat命令首先先要查看系統(tǒng)當前時間Net time 查看遠程系統(tǒng)時間圖423 查看遠程操作系統(tǒng)時間1如圖424執(zhí)行操作命令，查看系統(tǒng)當前時間后用at命令設置bat啟動時間（改時間一定要在系統(tǒng)時間之后）命令輸入完成后系統(tǒng)會提示：新加了一項作業(yè)，其作業(yè) ID = 1 如有第二個任務則以此類推可以看到系統(tǒng)當前時間已經(jīng)變?yōu)?2:30 證明bat 命令已經(jīng)啟用 遠程進行連接圖424 查看當前系統(tǒng)時間1如圖425 遠程連接圖425 遠程連接程序1如圖426 輸入提權在本地設置的賬號密碼 123 123 遠程登陸連接圖426 3389遠程連接1如圖427成功提權并遠程登錄圖427 遠程服務器連接參考文獻[1] 明月創(chuàng)作室.《局域網(wǎng)組建與維護DIY》[M].上海：人民郵電出版社,.[2] 黃偉.《》[M]. 北京：航空工業(yè)出版社,.[3] 黃建國.《現(xiàn)代遠程教育》[M].湖南：湖南人民出版社,.[5] 姜彬.《企業(yè)網(wǎng)絡安全制勝寶典》[M].北京：電子工業(yè)出版社，.[6] Michael T. Goodrich Roberto T.《Introduction to Computer Security》[M].北京：清華大學出版社，.[7] Joel Scambray / Mike Shema / Caleb Sima.《Hacking Exposed Web Applications, 2nd Ed.》[M].McGrawHill Osborne Media, 20060605.[8] 張開華.《黑客滲透筆記》[M].湖南：電子刊物,. [9] 亂雪.《綠色兵團年刊》[M].北京：電子刊物,. 致 謝經(jīng)過為期四個月的不斷努力，我終于順利完成了企業(yè)級網(wǎng)絡安全防護與策略研究的設計與開發(fā)，很由衷的感謝我的導師——王彥超老師，正是在老師的指導下我一步步的摸清方向，現(xiàn)在回想起來，來時給我們的每一條建議，知道我們走的每一步都是十分重要的，而且十分切入正題，往往可以一針見血只出我的不足，從初稿，一直到最后，老師都在認真的進行著批閱，嚴謹?shù)闹螌W態(tài)度，給予我們很大的感觸，再次感謝老師給予我的意見和建議，在此向老師致以最誠摯的敬意。畢業(yè)設計是我大學生活的最后一節(jié)課，也是我即將踏入工作的第一節(jié)課，對于我來說至關重要，完美的完成它不僅是看我們對待學習的態(tài)度，更是看我們以后對待工作的態(tài)度，值得慶幸的是雖然碰到了很多的困難，但是經(jīng)過不斷的努力和學習，這些問題最終都迎刃而解。同時感謝所有給我?guī)椭睦蠋熀屯瑢W們，大學生活因為你們而如此精彩，在我最困難的時候是你們給我勇氣，在我最高興的時候是你們陪我一起高興，難忘的時光歲月，只是因為有你們的存在而更加精彩。最后再一次向老師和同學致以誠摯的謝意。