網(wǎng)絡(luò)安全課程設(shè)計(jì)報(bào)告

實(shí)驗(yàn)一用X-SCAN進(jìn)行網(wǎng)絡(luò)安全掃描【課程設(shè)計(jì)目的】（1）掌握網(wǎng)絡(luò)掃描技術(shù)及涉及的相關(guān)基本知識(shí)（2）掌握使用流行的安全掃描工具X-SCAN進(jìn)行安全掃描（3）能夠分析安全報(bào)表并利用安全報(bào)表進(jìn)行安全加固【實(shí)驗(yàn)環(huán)境】硬件設(shè)備：PC、實(shí)驗(yàn)室小組局域網(wǎng)環(huán)境（建議有Internet環(huán)境）、NDIS3.0+驅(qū)動(dòng)的網(wǎng)絡(luò)接口卡軟件環(huán)境：Windows2000、WinXP、TCP/IP、X-SCAN【實(shí)驗(yàn)基礎(chǔ)】流行掃描工具x-csan介紹這是當(dāng)今常用的一款掃描工具，軟件的系統(tǒng)要求為：Windows9x/NT4/2000/XP/2003，NDIS3.0+驅(qū)動(dòng)的網(wǎng)絡(luò)接口卡。該軟件采用多線程方式對(duì)指定IP地址段(（或單機(jī)）進(jìn)行安全漏洞檢測(cè)，支持插件功能，提供了圖形界面和命令行兩種操作方式等……*掃描內(nèi)容包括：?遠(yuǎn)程操作系統(tǒng)類型及版本?標(biāo)準(zhǔn)端口狀態(tài)?SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞?SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER?NT-SERVER弱口令用戶，NT服務(wù)器NETBIOS信息?注冊(cè)表信息等?！緦?shí)驗(yàn)準(zhǔn)備】（1）了解網(wǎng)絡(luò)掃描技術(shù)、端口、漏洞的相關(guān)知識(shí)（2）學(xué)習(xí)X-SCAN使用方法（3）讀懂安全報(bào)表及明確相應(yīng)的加固工作六．實(shí)驗(yàn)內(nèi)容及步驟第一步：先在Windows2000手工查看已開放的服務(wù)及初步判斷安全漏洞第二步:安裝x-scan并完成參數(shù)配置1.對(duì)本地機(jī)進(jìn)行掃描（端口設(shè)置為TCP）掃描結(jié)果如下：對(duì)本地機(jī)進(jìn)行掃描（端口設(shè)置為SYN）掃描結(jié)果如下圖所示：第三步：分析掃描報(bào)表并登陸Internet進(jìn)行相應(yīng)加固比如TCP掃描時(shí)的警告login(513/tcp)遠(yuǎn)程主機(jī)正在運(yùn)行'rlogin'服務(wù),這是一個(gè)允許用戶登陸至該主機(jī)并獲得一個(gè)交互shell的遠(yuǎn)程登錄守護(hù)進(jìn)程。事實(shí)上該服務(wù)是很危險(xiǎn)的,因?yàn)閿?shù)據(jù)并未經(jīng)過加密-也就是說,任何人可以嗅探到客戶機(jī)與服務(wù)器間的數(shù)據(jù),包括登陸名和密碼以及遠(yuǎn)程主機(jī)執(zhí)行的命令.應(yīng)當(dāng)停止該服務(wù)而改用openssh解決方案:在/etc/inetd.conf中注釋掉'login'一行并重新啟動(dòng)inetd進(jìn)程.風(fēng)險(xiǎn)等級(jí):低又比如SYN掃描時(shí)的警告www(80/tcp)webserver支持TRACE和/或TRACK方式。TRACE和TRACK是用來調(diào)試web服務(wù)器連接的HTTP方式。支持該方式的服務(wù)器存在跨站腳本漏洞，通常在描述各種瀏覽器缺陷的時(shí)候，把"Cross-Site-Tracing"簡(jiǎn)稱為XST。攻擊者可以利用此漏洞欺騙合法用戶并得到他們的私人信息。解決方案:禁用這些方式。如果使用的是Apache,在各虛擬主機(jī)的配置文件里添加如下語(yǔ)句:

RewriteEngineon

RewriteCond%{REQUEST_METHOD}^(TRACE|TRACK)

RewriteRule.*-[F]如果使用的是MicrosoftIIS,使用URLScan工具禁用HTTPTRACE請(qǐng)求，或者只開放滿足站點(diǎn)需求和策略的方式。如果使用的是SunONEWebServerreleases6.0SP2或者更高的版本,在obj.conf文件的默認(rèn)objectsection里添加下面的語(yǔ)句:

<Clientmethod="TRACE">

AuthTransfn="set-variable"

remove-headers="transfer-encoding"

set-headers="content-length:-1"

error="501"

</Client>第四步：對(duì)局域網(wǎng)內(nèi)部主機(jī)進(jìn)行掃描，發(fā)現(xiàn)可利用主機(jī)掃描結(jié)果如下：根據(jù)掃描出來的漏洞，發(fā)現(xiàn)可以利用網(wǎng)絡(luò)執(zhí)法官對(duì)這兩臺(tái)主機(jī)進(jìn)行ARP攻擊。實(shí)驗(yàn)二網(wǎng)絡(luò)測(cè)試及監(jiān)測(cè)【實(shí)驗(yàn)?zāi)康摹浚?）了解和掌握網(wǎng)絡(luò)測(cè)試的一般方法（2）掌握用CHARIOT測(cè)試局域網(wǎng)的帶寬（3）在WinXP下進(jìn)行手工網(wǎng)絡(luò)加速，比較前后的異同。（4）在Win2000Sever下安裝并使用網(wǎng)絡(luò)監(jiān)視器【實(shí)驗(yàn)環(huán)境】硬件設(shè)備：整個(gè)實(shí)驗(yàn)室的局域網(wǎng)內(nèi)的每臺(tái)終端機(jī)上均可做此實(shí)驗(yàn)軟件環(huán)境：WindowsXP、Windows2000、TCP/IP【實(shí)驗(yàn)基礎(chǔ)】局域網(wǎng)速度測(cè)試?yán)鳎篊HARIOT是一款目前世界上唯一被廣泛認(rèn)可的應(yīng)用層IP網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的測(cè)試軟件，它可提供端到端、多操作系統(tǒng)、多協(xié)議測(cè)試、多應(yīng)用模擬測(cè)試，應(yīng)用范圍包括有線網(wǎng)、無線網(wǎng)、廣域網(wǎng)及各種網(wǎng)絡(luò)設(shè)備?？梢赃M(jìn)行網(wǎng)絡(luò)故障定位、用戶投訴分析、系統(tǒng)評(píng)估、網(wǎng)絡(luò)優(yōu)化等，能從用戶角度測(cè)試網(wǎng)絡(luò)或網(wǎng)絡(luò)參數(shù)。這款軟件的基本組成包括CHARIOT控制臺(tái)和Endpoint。CHARIOT控制臺(tái)主要負(fù)責(zé)監(jiān)視和統(tǒng)計(jì)工作，Endpoint負(fù)責(zé)流量測(cè)試工作，實(shí)際操作時(shí)Endpoint執(zhí)行CHARIOT控制臺(tái)發(fā)布的腳本命令，從而完成需要的測(cè)試(具體的工作流程圖見圖)。實(shí)例1:測(cè)量網(wǎng)絡(luò)中任意兩個(gè)節(jié)點(diǎn)間的帶寬任務(wù)描述：假設(shè)我們要測(cè)量網(wǎng)絡(luò)中A計(jì)算機(jī)與B計(jì)算機(jī)之間的實(shí)際帶寬。針對(duì)問題:局域網(wǎng)中的用戶經(jīng)常感到互訪速度緩慢，此時(shí)我們可使用CHARIOT來查看網(wǎng)絡(luò)連接情況。第一步:首先在A、B計(jì)算機(jī)上運(yùn)行CHARIOT的客戶端軟件Endpoint。運(yùn)行endpoint.exe后，任務(wù)管理器中多了一個(gè)名為endpoint的進(jìn)程。第二步:被測(cè)量的機(jī)器已經(jīng)準(zhǔn)備好了，這時(shí)需要運(yùn)行控制端CHARIOT，我們可以選擇網(wǎng)絡(luò)中的其他計(jì)算機(jī)，也可以在A或B計(jì)算機(jī)上直接運(yùn)行CHARIOT。第三步:在主界面中點(diǎn)擊“New”按鈕，接著點(diǎn)擊“ADDPAIR”第四步:在“AddanEndpointPair”窗口中輸入Pair名稱，然后在Endpoint1處輸入A計(jì)算機(jī)的IP地址，在Endpoint2處輸入B計(jì)算機(jī)的IP地址。按“selectscript”按鈕并選擇一個(gè)腳本，由于我們是在測(cè)量帶寬，所以可選擇軟件內(nèi)置的Throughput.scr腳本。第五步:點(diǎn)擊主菜單中的“RUN”啟動(dòng)測(cè)量工作。第六步:軟件會(huì)測(cè)試100個(gè)數(shù)據(jù)包從A計(jì)算機(jī)發(fā)送到B計(jì)算機(jī)的情況。由于軟件默認(rèn)的傳輸數(shù)據(jù)包很小所以測(cè)量工作很快就結(jié)束了。在結(jié)果中點(diǎn)擊“THROUGHPUT”可以查看具體測(cè)量的帶寬大小。下圖顯示了A與B計(jì)算機(jī)之間的實(shí)際最大帶寬為80.727Mbps。實(shí)例2:一次性測(cè)量?jī)蓚€(gè)方向任務(wù)描述:實(shí)例1中為大家介紹了單向測(cè)量的方法，也就是只檢測(cè)A到B的帶寬。然而，實(shí)際工作中，網(wǎng)絡(luò)是單工或雙工工作也是影響網(wǎng)絡(luò)速度的主要因素，因此用CHARIOT進(jìn)行測(cè)量時(shí)應(yīng)該盡量建立雙向PAIR而不是單向的，測(cè)量結(jié)果會(huì)顯示出A到B的速度以及B到A的速度。針對(duì)問題:A到B的傳輸速度很快，但B到A的速度卻很慢，特別是在A、B同時(shí)從對(duì)方計(jì)算機(jī)復(fù)制文件到本機(jī)時(shí)最為明顯。前三步跟實(shí)例1一樣；第四步：在“AddanEndpointPair”窗口中輸入Pair名稱，然后在Endpoint1處輸入B計(jì)算機(jī)的IP地址，在Endpoint2處輸入A計(jì)算機(jī)的IP地址。按“selectscript”按鈕并選擇一個(gè)腳本，由于是測(cè)量帶寬所以選擇軟件內(nèi)置的Throughput.scr腳本。第五步:現(xiàn)在，兩對(duì)PAIR已經(jīng)建立起來了（如圖），點(diǎn)擊主菜單中的“RUN”啟動(dòng)測(cè)量工作。第六步:軟件會(huì)將100個(gè)數(shù)據(jù)包從A計(jì)算機(jī)發(fā)送到B計(jì)算機(jī)，還會(huì)測(cè)量100個(gè)數(shù)據(jù)包從B發(fā)送到A的情況。在結(jié)果頁(yè)面中點(diǎn)擊“THROUGHPUT”標(biāo)簽可以查看具體測(cè)量的帶寬大小。如圖所示在下方圖表中：實(shí)例3:科學(xué)測(cè)量減小誤差任務(wù)描述:對(duì)于網(wǎng)絡(luò)情況不穩(wěn)定、經(jīng)常出現(xiàn)速度波動(dòng)的情況來說，在某一時(shí)刻測(cè)量速度存在一定的不確定因素，如何將誤差降低到最小呢?我們可以采用科學(xué)測(cè)量法來解決這個(gè)問題，即采用平均值的方法。將所有測(cè)量值匯總在一起可以得到更接近真實(shí)數(shù)值的結(jié)果。針對(duì)問題:網(wǎng)絡(luò)傳輸速度非常不穩(wěn)定，經(jīng)常一會(huì)兒十幾MB/s，一會(huì)兒只有幾MB/s。第一步:按照上面提到的方法安裝CHARIOT并將客戶端程序Endpoint安裝在A與B計(jì)算機(jī)上。啟動(dòng)CHARIOT，點(diǎn)擊“New”按鈕。第二步:點(diǎn)擊“ADDPAIR”按鈕建立一個(gè)新的EndpointPair。輸入PAIR名稱，然后在Endpoint1處輸入A計(jì)算機(jī)的IP地址，在Endpoint2處輸入B計(jì)算機(jī)的IP地址。按“selectscript”按鈕選擇Throughput.scr腳本。第三步:在Pair1上點(diǎn)鼠標(biāo)右鍵選擇Copy將該測(cè)量項(xiàng)復(fù)制，然后連續(xù)向下粘貼9個(gè)這樣的測(cè)量項(xiàng)。第四步:點(diǎn)擊“RUN”啟動(dòng)測(cè)量工作，我們?cè)赥HROUGHPUT標(biāo)簽頁(yè)中可以看出基本上每項(xiàng)帶寬測(cè)量數(shù)值在10Mbps左右，在總和處我們可以看到最終結(jié)果是94Mbps，基本接近100Mbps的真實(shí)值。實(shí)例4:大包測(cè)量法任務(wù)描述:雖然我們可以通過科學(xué)測(cè)量法減小誤差，但由于默認(rèn)數(shù)據(jù)包為100KB，所以總的數(shù)據(jù)檢測(cè)量相對(duì)較小。對(duì)于帶寬比較大的情況，例如100Mbps以上的網(wǎng)絡(luò)或ISP提供的傳輸速度較快的時(shí)候，使用100KB數(shù)據(jù)包進(jìn)行測(cè)量得出的結(jié)果不太準(zhǔn)確。這時(shí)就需要通過修改默認(rèn)數(shù)據(jù)包的大小以求測(cè)量結(jié)果更精確。針對(duì)問題:網(wǎng)絡(luò)帶寬比較大或使用CHARIOT默認(rèn)設(shè)置進(jìn)行測(cè)量時(shí)誤差過大。在這個(gè)實(shí)例中，大多數(shù)步驟和上面所介紹的實(shí)例基本一致，因此這里只介紹修改數(shù)據(jù)包的方法。在我們建立測(cè)量PAIR并選擇好Throughput.scr腳本后，點(diǎn)擊“editthisscript”按鈕。在彈出的窗口下方file_size處，將該值修改為你希望的數(shù)值即可。這樣在測(cè)量帶寬時(shí)就會(huì)用你設(shè)置好大小的數(shù)據(jù)包進(jìn)行傳輸了。根據(jù)實(shí)際環(huán)境設(shè)置數(shù)據(jù)包大小可以讓我們的結(jié)果更準(zhǔn)確。實(shí)驗(yàn)三ARP欺騙及網(wǎng)絡(luò)執(zhí)法官【實(shí)驗(yàn)?zāi)康摹浚?）掌握ARP欺騙的基本原理（2）了解流行的ARP欺騙工具網(wǎng)絡(luò)執(zhí)法官的使用方法及危害（3）能夠進(jìn)行基本ARP欺騙防范【實(shí)驗(yàn)環(huán)境】硬件設(shè)備：PC、實(shí)驗(yàn)室小組局域網(wǎng)環(huán)境、路由器取消IP/MAC綁定防欺騙功能軟件環(huán)境：Windows2000、WinXP、TCP/IP、網(wǎng)絡(luò)執(zhí)法官【實(shí)驗(yàn)準(zhǔn)備】（1）了解交換網(wǎng)絡(luò)嗅探技術(shù)及相關(guān)知識(shí)（2）學(xué)習(xí)ARP的基本原理（3）掌握網(wǎng)絡(luò)執(zhí)法官的使用方法【實(shí)驗(yàn)內(nèi)容及步驟】（這一步的數(shù)據(jù)由于當(dāng)時(shí)在機(jī)房沒有保存就丟失了，后來回宿舍后在自己電腦上補(bǔ)做的。）第一步：在中了ARP病毒的機(jī)子上使用“ping”命令發(fā)現(xiàn)不能ping通，在dos下鍵入命令“arp-d”清除所有arp，再鍵入靜態(tài)綁定命令，綁定正確MAC地址，綁定好后，再鍵入“ping”命令，發(fā)現(xiàn)可以ping通。結(jié)果如下圖所示：第二步：安裝網(wǎng)絡(luò)執(zhí)法官并使用網(wǎng)絡(luò)執(zhí)法官第三步：對(duì)局域網(wǎng)中的一臺(tái)主機(jī)進(jìn)行ARP攻擊在受到ARP攻擊之前該主機(jī)可以“ping”通第四步：檢查受到攻擊的主機(jī)的上網(wǎng)情況在DOS下使用“ping”命令不能ping通

ARP欺騙分析在OSI模型中，針對(duì)網(wǎng)絡(luò)第二層的攻擊可以使網(wǎng)絡(luò)癱瘓或者通過非法獲取密碼等敏感信息來危及網(wǎng)絡(luò)用戶的安全。由于任何一位合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問權(quán)限，而這些用戶都有可能成為黑客；同時(shí)，由于設(shè)計(jì)OSI模型時(shí)，允許不同通信層處于相對(duì)獨(dú)立的工作模式，而承載所有客戶關(guān)鍵應(yīng)用的網(wǎng)絡(luò)第二層，成為了被攻擊的目標(biāo)。ARP欺騙攻擊是針對(duì)網(wǎng)絡(luò)第二層攻擊中的一種。ARP用來實(shí)現(xiàn)MAC地址和IP地址的綁定，兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請(qǐng)求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。由于ARP無任何身份真實(shí)校驗(yàn)機(jī)制，黑客程序發(fā)送誤導(dǎo)的主動(dòng)式ARP使網(wǎng)絡(luò)流量重指經(jīng)過惡意攻擊者的計(jì)算機(jī)，變成某個(gè)局域網(wǎng)段IP會(huì)話的中間人，達(dá)到竊取甚至篡改正常傳輸?shù)墓π?。?jiǎn)單來講，ARP欺騙的目的是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也出于此目的。一旦懷疑有ARP攻擊,我們就可以使用抓包工具來抓包，如果發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在大量ARP應(yīng)答包，并且將所有的IP地址都指向同一個(gè)MAC地址，就說明存在ARP欺騙攻擊。該MAC地址就是用來進(jìn)行ARP欺騙攻擊的主機(jī)MAC地址，我們可以查出它對(duì)應(yīng)的真實(shí)IP地址，從而采取相應(yīng)的控制措施。另外，我們也可以到路由器或者網(wǎng)關(guān)交換機(jī)上查看IP地址與MAC地址的對(duì)應(yīng)表。如果發(fā)現(xiàn)某一個(gè)MAC地址對(duì)應(yīng)了大量的IP地址，就說明存在ARP欺騙攻擊，同時(shí)可通過這個(gè)MAC地址查出用來ARP欺騙攻擊的主機(jī)在交換機(jī)上所對(duì)應(yīng)的物理端口，進(jìn)行控制。如何防范ARP欺騙1.靜態(tài)ARP綁定網(wǎng)關(guān)（1）在能正常上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp－a，查看網(wǎng)關(guān)的IP對(duì)應(yīng)的正確MAC地址，并將其記錄下來。（2）手工綁定，可在MS-DOS窗口下運(yùn)行以下命令：arp－s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC00-01-02-03-04-05static這時(shí)，類型變?yōu)殪o態(tài)（static），就不會(huì)再受攻擊影響了。2.作批處理文件（1）查找本網(wǎng)段的網(wǎng)關(guān)地址，比如192．168．1．1，在正常上網(wǎng)時(shí)，“開始→運(yùn)行→cmd→確定”，輸入：arp－a，點(diǎn)回車，查看網(wǎng)關(guān)對(duì)應(yīng)的PhysicalAddress。比如：網(wǎng)關(guān)對(duì)應(yīng)00－01－02－03－04－05。（2）編寫一個(gè)批處理文件rarp.bat，內(nèi)容如下：@echooffarp－darp-s00－01－02－03－04－05保存為：rarp.bat。（3）運(yùn)行批處理文件將這個(gè)批處理文件拖到“Windows→開始→程序→啟動(dòng)”中，如果需要立即生效，請(qǐng)運(yùn)行此文件。注意：以上配置需要在網(wǎng)絡(luò)正常時(shí)進(jìn)行3.使用安全工具軟件下載AntiARPSniffer軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。如果已有病毒計(jì)算機(jī)的MAC地址，可使用NBTSCAN等軟件找出網(wǎng)段內(nèi)與該MAC地址對(duì)應(yīng)的IP，即感染病毒的計(jì)算機(jī)的IP地址，然后對(duì)其進(jìn)行查封。另外還可以利用木馬殺客等安全工具進(jìn)行查殺。實(shí)驗(yàn)四：網(wǎng)頁(yè)防篡改系統(tǒng)iGuard【實(shí)驗(yàn)?zāi)康摹繉?shí)驗(yàn)的目的在于了解網(wǎng)頁(yè)防篡改的原理，掌握Web網(wǎng)站的配置過程，熟悉iGuard網(wǎng)頁(yè)防篡改系統(tǒng)的配置過程并會(huì)正確使用iGuard網(wǎng)頁(yè)防篡改系統(tǒng)，從而使學(xué)生進(jìn)一步增強(qiáng)對(duì)于網(wǎng)頁(yè)防篡改保護(hù)機(jī)理的認(rèn)識(shí)?！緦?shí)驗(yàn)要求】（1）了解基本的HTML標(biāo)記及網(wǎng)頁(yè)防篡改的原理（2）熟悉Web網(wǎng)站的配置（3）掌握iGuard網(wǎng)頁(yè)防篡改系統(tǒng)的配置及使用【實(shí)驗(yàn)準(zhǔn)備】硬件PC機(jī)三臺(tái)軟件iGuard安裝系統(tǒng)【背景描述】外部網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上，因此容易成為黑客的攻擊目標(biāo)。雖然目前已有防火墻、入侵檢測(cè)等安全防范手段，但現(xiàn)代操作系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮、防不勝防，黑客入侵和篡改頁(yè)面的事件時(shí)有發(fā)生。iGuard網(wǎng)頁(yè)防篡改系統(tǒng)通過服務(wù)器內(nèi)嵌技術(shù)，使用密碼技術(shù)，為每個(gè)需保護(hù)的對(duì)象（靜態(tài)網(wǎng)頁(yè)、執(zhí)行腳本、二進(jìn)制文件）計(jì)算出具有唯一性的數(shù)字水印。公眾每次訪問網(wǎng)頁(yè)時(shí)，都將網(wǎng)頁(yè)內(nèi)容與數(shù)字水印進(jìn)行對(duì)比計(jì)算；一旦發(fā)現(xiàn)網(wǎng)頁(yè)被非法修改，則立即進(jìn)行自動(dòng)恢復(fù)，從而徹底地保證了非法網(wǎng)頁(yè)內(nèi)容不被公眾瀏覽。iGuard的組成由以下三個(gè)部件組成：發(fā)布服務(wù)器（StatgingServer）、同步服務(wù)器（SyncServer）和防篡改模塊（AntiTamperModule）。在物理上它們部署在兩臺(tái)機(jī)器上：發(fā)布服務(wù)器部署在內(nèi)部網(wǎng)中的一臺(tái)獨(dú)立服務(wù)器上，同步服務(wù)器和防篡改模塊部署在Web服務(wù)器上。通過各部件之間的協(xié)同工作，實(shí)現(xiàn)了網(wǎng)頁(yè)的自動(dòng)同步和篡改保護(hù)功能。iGuard工作流程在沒有使用iGuard網(wǎng)頁(yè)防篡改系統(tǒng)的情況下，用戶利用專門的網(wǎng)站發(fā)布系統(tǒng)或者使用FTP軟件或者直接使用文件拷貝將網(wǎng)頁(yè)文件放到網(wǎng)站W(wǎng)eb服務(wù)器上。在使用iGuard網(wǎng)頁(yè)防篡改系統(tǒng)的情況下，網(wǎng)頁(yè)文件的傳送由iGuard來完成。1.正常上傳網(wǎng)頁(yè)（1）用戶使用自己的網(wǎng)頁(yè)發(fā)布方式（如網(wǎng)站發(fā)布系統(tǒng)、FTP、RCP、文件拷貝等）將網(wǎng)頁(yè)發(fā)布到發(fā)布服務(wù)器上。（2）發(fā)布服務(wù)器對(duì)同步服務(wù)器進(jìn)行身份鑒別，鑒別無誤后使用安全散列函數(shù)計(jì)算出更新網(wǎng)頁(yè)的數(shù)字水印，將網(wǎng)頁(yè)和數(shù)字水印安全傳輸?shù)酵椒?wù)器。（3)同步服務(wù)器對(duì)發(fā)布服務(wù)器進(jìn)行身份鑒別，并對(duì)傳輸過來的內(nèi)容進(jìn)行完整性檢查；一切無誤后將數(shù)字水印密文存放在安全數(shù)據(jù)庫(kù)里，同時(shí)完成網(wǎng)頁(yè)的更新。2.內(nèi)容保護(hù)過程（1）瀏覽器發(fā)出網(wǎng)頁(yè)瀏覽請(qǐng)求，Web服務(wù)器取得網(wǎng)頁(yè)內(nèi)容后，交給防篡改模塊進(jìn)行監(jiān)測(cè)。（2)防篡改模塊使用安全散列函數(shù)計(jì)算出欲發(fā)出的網(wǎng)頁(yè)的數(shù)字水印，并與安全數(shù)據(jù)庫(kù)中的數(shù)字水印相比對(duì)。（3)如果沒找到數(shù)字水印或數(shù)字水印比對(duì)失敗，即是可疑或被非法篡改的網(wǎng)頁(yè)，防篡改模塊向發(fā)布服務(wù)器報(bào)警。（4)發(fā)布服務(wù)器向發(fā)送警告信息給管理員，并重新同步和恢復(fù)可疑網(wǎng)頁(yè)。（5)Web服務(wù)器將正確的網(wǎng)頁(yè)發(fā)送給網(wǎng)頁(yè)瀏覽者?！緦?shí)驗(yàn)步驟】第一步：安裝IIS系統(tǒng)1.在控制面板中選擇“添加/刪除程序”，在出現(xiàn)的對(duì)話框中選擇“添加/刪除Windows組件”。2.在出現(xiàn)的復(fù)選框中選擇安裝Internet信息服務(wù)(IIS)。第二步：上傳網(wǎng)頁(yè)到web服務(wù)器（假設(shè)ip地址為）第三步：配置Web服務(wù)器打開IIS服務(wù)器的配置窗口。選擇開始→控制面板→管理工具→Internet服務(wù)管理器。在打開的窗口中鼠標(biāo)右擊“默認(rèn)Web站點(diǎn)”，選擇“屬性”菜單。在出現(xiàn)的“默認(rèn)Web站點(diǎn)屬性”窗口中，選擇“網(wǎng)站”標(biāo)簽，設(shè)置Web服務(wù)器的IP地址。（4）“主目錄”標(biāo)簽，用以設(shè)置Web內(nèi)容在硬盤中的位置，默認(rèn)目錄為“C:\Inetpub\Wwwroo”，你可根據(jù)需要自己設(shè)置。（5）在屬性窗口處選擇“文檔”標(biāo)簽，添加自己默認(rèn)的網(wǎng)站首頁(yè)文件，例如“a.html”。確認(rèn)默認(rèn)的Web站點(diǎn)是否已經(jīng)啟動(dòng)，如果沒有可以鼠標(biāo)右鍵點(diǎn)擊“默認(rèn)Web站點(diǎn)”，選擇“啟動(dòng)”，在打開的IE地址欄中鍵入本機(jī)的IP地址，即可看到自己指定的主頁(yè)已經(jīng)開始在Internet上發(fā)布了。第四步：iGuard系統(tǒng)的安裝次序先在一臺(tái)單獨(dú)的服務(wù)器上（ip地址為）安裝發(fā)布服務(wù)器（StagingServer）軟件，然后再在Web服務(wù)器上（ip地址為）安裝同步服務(wù)器（SyncServer）軟件和防篡改模塊（AntiTamperModule）。發(fā)布服務(wù)器安裝時(shí)需要注意的幾個(gè)地方：1．選擇安裝目錄安裝程序會(huì)給出一個(gè)默認(rèn)的安裝目錄，用戶也可以自己指定別的目錄，需要注意的是目錄的名稱中不能使用空格或者漢字。2．生成數(shù)字證書在安裝的過程中，安裝程序會(huì)自動(dòng)為iGuard發(fā)布服務(wù)器生成一個(gè)數(shù)字證書，出現(xiàn)以下消息框后，請(qǐng)按“確定”等待數(shù)字證書簽發(fā)完成，這個(gè)過程可能需要2-5秒鐘。3．MySql數(shù)據(jù)庫(kù)。本系統(tǒng)的日志存儲(chǔ)需要MySql數(shù)據(jù)庫(kù)系統(tǒng)的支持。如果安裝程序檢測(cè)到機(jī)器上已經(jīng)安裝了MySql數(shù)據(jù)庫(kù)系統(tǒng)，提示用戶輸入root用戶的密碼。如果安裝程序沒有檢測(cè)到MySql數(shù)據(jù)庫(kù)系統(tǒng)，則會(huì)在本機(jī)上安裝并啟動(dòng)MySql數(shù)據(jù)庫(kù)系統(tǒng)。后續(xù)工作：安裝完發(fā)布服務(wù)器后，需要在Web服務(wù)器上安裝同步服務(wù)器。為保證通信體的身份鑒別，安裝同步服務(wù)器時(shí)需要發(fā)布服務(wù)器的證書摘要數(shù)據(jù)文件，這個(gè)文件的位置在：“發(fā)布服務(wù)器安裝目錄\iguard.dat”例：如果安裝在默認(rèn)安裝目錄下，則該文件的存放位置為：C:\Tercel\iGuard\StagingServer\iguard.dat。需要把這個(gè)文件拷貝到合適的載體（閃存或軟盤）中，供安裝同步服務(wù)器時(shí)使用。同步服務(wù)器和防篡改模塊的安裝同步服務(wù)器安裝時(shí)需要注意的幾個(gè)地方：1．選擇安裝目錄安裝程序會(huì)給出一個(gè)默認(rèn)的安裝目錄，用戶也可以自己指定別的目錄，需要注意的是目錄的名稱中不能使用空格或者漢字。2．發(fā)布服務(wù)器證書摘要數(shù)據(jù)文件為保證通信實(shí)體的身份鑒別，安裝同步服務(wù)器時(shí)需要發(fā)布服務(wù)器的證書摘要數(shù)據(jù)文件，這個(gè)文件在發(fā)布服務(wù)器的如下位置：“發(fā)布服務(wù)器安裝目錄\iguard.dat”例：如果發(fā)布服務(wù)器安裝時(shí)被安裝在默認(rèn)安裝目錄下，則該文件在發(fā)布服務(wù)器的存放位置為：C:\Tercel\iGuard\StagingServer\iguard.dat。需要把這個(gè)文件拷貝到合適的載體（閃存或軟盤）中，并在出現(xiàn)如下的窗口時(shí)給出該文件所在的路徑。后續(xù)工作：同步服務(wù)器及防篡改模塊安裝完畢后，同步服務(wù)器就已經(jīng)自動(dòng)運(yùn)行，但防篡改模塊還未正式工作。第五步：?jiǎn)?dòng)發(fā)布服務(wù)器時(shí)需注意以下幾個(gè)方面：1.網(wǎng)站網(wǎng)頁(yè)文件檢查在發(fā)布服務(wù)器的本地硬盤上是否已經(jīng)保存有整個(gè)網(wǎng)站的頁(yè)面文件的備份。2.數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行發(fā)布服務(wù)器的運(yùn)行需要MySql數(shù)據(jù)庫(kù)系統(tǒng)的支持，所以要確認(rèn)一下MySql是否在工作。MySql在安裝好后以系統(tǒng)服務(wù)的形式運(yùn)行，如果MySql不工作可以用系統(tǒng)的服務(wù)管理器來啟動(dòng)MySql。3同步服務(wù)器運(yùn)行，啟動(dòng)發(fā)布服務(wù)器運(yùn)行之前需檢查一下iGuard同步服務(wù)器是否已運(yùn)行。4最后啟動(dòng)發(fā)布服務(wù)器運(yùn)行“開始→程序→iGuard→發(fā)布服務(wù)器→啟動(dòng)發(fā)布服務(wù)器”。第六步：初次使用向?qū)Guard注冊(cè)第一次運(yùn)行發(fā)布服務(wù)器的時(shí)候，程序首先彈出“iGuard注冊(cè)”窗口，完成iGuard軟件的注冊(cè)。注冊(cè)信息分別為：注冊(cè)用戶名：中國(guó)地質(zhì)大學(xué)注冊(cè)