計算機網(wǎng)絡(luò)安全實訓(xùn)大綱

《計算機網(wǎng)絡(luò)安全實訓(xùn)大綱》實訓(xùn)一網(wǎng)絡(luò)安全解決方案實例目的：通過本次實訓(xùn)，掌握什么是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全的隱患，網(wǎng)絡(luò)安全的模型、機制和服務(wù)，網(wǎng)絡(luò)安全系統(tǒng)的等級標(biāo)準(zhǔn)，通過案例分析掌握網(wǎng)絡(luò)安全如何解決的。要求：1、掌握網(wǎng)絡(luò)安全隱患的產(chǎn)生原因，解決網(wǎng)絡(luò)安全的問題的途徑有哪些？2、掌握網(wǎng)絡(luò)安全的模型、機制和服務(wù)。3、掌握網(wǎng)絡(luò)安全等級標(biāo)準(zhǔn)，安全系統(tǒng)的運行和管理的方法。實驗課時：2課時。實驗內(nèi)容：校園網(wǎng)安全解決方案。（1）首先了解校園的結(jié)構(gòu)：校園網(wǎng)的內(nèi)網(wǎng)是典型的樹形結(jié)構(gòu)。第一層校園主干網(wǎng)采用了先進的1000MB以太網(wǎng)技術(shù)，以光纜相互聯(lián)通。第二層為100MB以太網(wǎng)，以超5類非屏蔽雙絞線聯(lián)通，第三層為10MB以太網(wǎng)，以超5類非屏蔽雙絞線交換到桌面。（2）防火墻有3個端口，一個端口聯(lián)結(jié)到內(nèi)網(wǎng)，另一個端口聯(lián)結(jié)到外網(wǎng)；第三個端口聯(lián)結(jié)到服務(wù)器群。這樣可以阻止外網(wǎng)發(fā)起的攻擊，也能阻止內(nèi)網(wǎng)出現(xiàn)的騷亂，保證服務(wù)器群的安全，也阻斷了內(nèi)網(wǎng)和外網(wǎng)的相互撕殺。（3）防火墻是通過路由器聯(lián)結(jié)到外網(wǎng)的。外網(wǎng)包括：使用光纜以100MB帶寬接入教育科研網(wǎng)，再聯(lián)接互聯(lián)網(wǎng)；以撥入服務(wù)器和Modem池通過公共電話網(wǎng)為在校外的散戶提供撥入服務(wù)；使用微波與海淀走讀大學(xué)的東校區(qū)、南校區(qū)、北校區(qū)和中關(guān)村校區(qū)聯(lián)網(wǎng)。某一大學(xué)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)示意圖互聯(lián)網(wǎng)路由器教育網(wǎng)DNS服務(wù)器互聯(lián)網(wǎng)路由器教育網(wǎng)DNS服務(wù)器WWW服務(wù)器東校區(qū)WWW服務(wù)器東校區(qū)防火墻防火墻微波FTP服務(wù)器南校區(qū)南校區(qū)北校區(qū)BBS服務(wù)器北校區(qū)BBS服務(wù)器Mail服務(wù)器Mail服務(wù)器中關(guān)村中關(guān)村電話網(wǎng)Proxy服務(wù)器電話網(wǎng)Proxy服務(wù)器散戶散戶Acc服務(wù)器Acc服務(wù)器散戶散戶散戶VOD服務(wù)器散戶VOD服務(wù)器一級交換機一級交換機一樓二樓辦公樓圖書館一樓二樓辦公樓圖書館二級交換機二級交換機二級交換機二級交換機二級交換機二級交換機二級交換機二級交換機三級交換機服務(wù)器三級交換機服務(wù)器三級交換機服務(wù)器三級交換機服務(wù)器三級交換機服務(wù)器三級交換機服務(wù)器三級交換機服務(wù)器三級交換機服務(wù)器計算機計算機計算機計算機計算機計算機計算機計算機計算機計算機計算機計算機計算機計算機虛擬私有網(wǎng)VPN解決方案。（1）首先了解什么是虛擬私有網(wǎng)VPN：就是借用四通八達的互聯(lián)網(wǎng)來營造自己的私有網(wǎng)絡(luò)，使用的是互聯(lián)網(wǎng)的廉價、廣泛的網(wǎng)絡(luò)服務(wù)，并采用了一定的技術(shù)，使得你的信息不被未被授權(quán)的人所解讀，也不能偽造和篡改。（2）虛擬私有網(wǎng)的建立方法。用一“VPN”網(wǎng)關(guān)把可信任的私網(wǎng)或私有的機器，聯(lián)結(jié)到公有的互聯(lián)網(wǎng)上。由“VPN網(wǎng)關(guān)”來保障經(jīng)由互聯(lián)網(wǎng)的信息的安全。（3）VPN網(wǎng)關(guān)的選擇：基于軟件的VPN網(wǎng)關(guān)；基于專用硬件平臺的VPN網(wǎng)關(guān)；輔助硬件平臺的VPN網(wǎng)關(guān)（4）虛擬私有網(wǎng)VPN的有關(guān)協(xié)議TCP/IP國際互聯(lián)網(wǎng)采用的協(xié)議，由到TCP/IP本身存在的缺陷導(dǎo)致了互聯(lián)網(wǎng)的不安全，主要表現(xiàn)在TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸、源地址欺騙、源路由選擇信息協(xié)議攻擊、鑒別攻擊等幾個方面，因此數(shù)據(jù)信息很容易被在線竊聽、篡改和偽造。實現(xiàn)VPN通常用到的安全協(xié)議主要包括：SocksV5、IPSec和PPTP/L2TP。PPTP/L2TP用到鏈路層，IPSec主要應(yīng)用于網(wǎng)絡(luò)層，SocksV5應(yīng)用于會話層。為了解決互聯(lián)網(wǎng)所面臨的不安全因素的威脅，實現(xiàn)在不信任通道上的數(shù)據(jù)安全傳輸，合安全功能模塊能兼容IPv4和下一代網(wǎng)絡(luò)協(xié)議IPv6，IPsec協(xié)議將會是主要的實現(xiàn)VPN的協(xié)議。（5）虛擬私有網(wǎng)VPN示意圖企業(yè)本部私網(wǎng)企業(yè)本部私網(wǎng)企業(yè)本部私網(wǎng)企業(yè)本部私網(wǎng)企業(yè)本部私網(wǎng)企業(yè)本部私網(wǎng)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)互聯(lián)網(wǎng)互聯(lián)網(wǎng)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)企業(yè)派出的雇員可信任的客戶企業(yè)派出的雇員可信任的客戶實訓(xùn)二網(wǎng)絡(luò)平臺的安全與漏洞目的：通過本次實訓(xùn)，讓學(xué)生了解漏洞的概念、類型，常見網(wǎng)絡(luò)平臺的漏洞及補救辦法。要求：1、掌握漏洞的概念，常見的漏洞有哪些。2、了解Netware系統(tǒng)的安全性及其存在的安全漏洞。3、掌握WindowNT系統(tǒng)的安全及其存在的安全漏洞。實驗課時：2課時。實驗內(nèi)容：一、NetWare系統(tǒng)的安全性及存在的安全漏洞。1、NetWare系統(tǒng)的安全性的表現(xiàn)（1）NetWare系統(tǒng)目錄服務(wù)在訪問控制方面，NetWare使用目錄服務(wù)（DNS）提供層次式的分配和管理網(wǎng)絡(luò)訪問權(quán)的方法。可以使用一個控制臺對整個網(wǎng)絡(luò)環(huán)境的管理。管理員可以指定子管理員，使之具有對目錄對一小部分的超級特權(quán)，網(wǎng)絡(luò)訪問活動是集中式的。用戶登錄進入時，可向整個DNS提出授權(quán)檢查，而不只是特定的服務(wù)器或者目錄樹的一部分。（2）賬戶管理器NetWare賬戶管理非常容易，可使用nwadmn32實用程序來完成。也可直接從服務(wù)器中使用ConsoleOne管理賬戶（3）文件系統(tǒng)NetWare系統(tǒng)對文件的管理是通過nwadmn32進行控制的，可以保證NDS管理員快速識別分配給每個用戶的訪問權(quán)限。（4）日志記錄和審核NetWare服務(wù)器可以生成兩類日志：一種是由console.nlm生成的控制臺日志，該日志記錄著所有控制臺活動和出錯的信息；另一種是由auditcon實用程序生成的審核日志。Auditcon程序允許系統(tǒng)管理員監(jiān)視包括從用戶登錄到口令修改和特定文件的訪問等一系列情況，可以監(jiān)視約束多達70個事件，還允許系統(tǒng)管理員指定的用戶監(jiān)視服務(wù)器的情況。（5）網(wǎng)絡(luò)安全NetWare系統(tǒng)本身具有一套較為完善的網(wǎng)絡(luò)安全體系，如對目錄和文件的控制就有以下安全規(guī)定：禁止刪除；隱藏；清除。除此之外，NetWare管理員還提供了對文件更為嚴(yán)格的管理，可設(shè)定文件的只讀屬性、只執(zhí)行屬性和禁止拷貝屬性。所有這些使得NetWare系統(tǒng)成為優(yōu)秀WEB服務(wù)器平臺的最佳選擇，即使有遠程黑客的侵入，它也只能危害系統(tǒng)的一個區(qū)域，很難訪問整個系統(tǒng)。2、NetWare系統(tǒng)的安全漏洞（1）獲取賬號剛安裝的NetWare系統(tǒng)中，有SUPERVISOR和GUEST兩個缺省賬號，在NetWare4.x中相應(yīng)的是ADMIN和USER_TEMPLATE。所有這些賬號在開始的時候都沒設(shè)口令。在安裝系統(tǒng)時，管理員會馬上給supervisor和admin口令，而忽視了GUESTT和USER_TEMPLATE，黑客連上該服務(wù)器后，就可以給這個用戶設(shè)置口令，使用這兩個賬號把自己隱藏起來。（2）查閱合法賬號黑客可以查閱合法賬號其方法有以下幾種：運行SYSCON；使用CHKNULL.exe程序（3）獲得超級用戶的賬號在NetWare系統(tǒng)剛剛安裝到服務(wù)器上，安全系統(tǒng)還沒有建立，超級用戶的口令是空的，可以隨便登錄。二、WindowsNT的安全性及存在的安全漏洞1、WindowsNT的安全性（1）WindowsNT安全性分析：凡是與互聯(lián)網(wǎng)相連的WindowsNT計算機都使用NTFS文件系統(tǒng)，主要是基于文件安全性能的考慮；對于試圖非法進入系統(tǒng)的用戶，由于口令的輸入是第一道關(guān)卡，所以WindowsNT的用戶管理員可以設(shè)置措施，在口令加上次數(shù)限制；作用WindowsNT的審計功能，可以跟蹤一些特殊或非法事件的進程，從事件的日志中分析可能遇到的侵襲或有可能即將遇到的攻擊。（2）Kerberos和WindowsNTKerberos是一種驗證協(xié)議，該驗證協(xié)議定義了一個客戶端和一個密鑰分配中心的網(wǎng)絡(luò)驗證服務(wù)之間的接口。Kerberos客戶端的運行是通過一個基于SSPI的WindowsNT安全性接口來實現(xiàn)的。Kerberos驗證過程的初始化集成到WinLogon單一登錄的結(jié)構(gòu)中。（3）加密文件系統(tǒng)WindowsNT5.0中提供一種基于新一代NTFSR的加密文件系統(tǒng)（EFS）。一個文件在使用之前不需要手工加密，因為加密和解密對用戶是透明的，加密和解密自動地發(fā)生在從硬盤中讀取數(shù)據(jù)以及向硬盤寫入數(shù)據(jù)時。同時WindowsNT5.0支持從單一文件到整個目錄的加密和解密功能。如對一個目錄進行加密，目錄中所有的文件都自動地進行加密。（4）WindowsIPSecurity安全性支持為了防止來自網(wǎng)絡(luò)內(nèi)部的攻擊，WindowsNT推出了一種新的網(wǎng)絡(luò)安全方案----IPSecurity(IP安全性)，它符合IETF宣布的IP安全性協(xié)議的標(biāo)準(zhǔn)，支持在網(wǎng)絡(luò)層一級的驗證、數(shù)據(jù)完整性和加密。它和WindowsNTServer內(nèi)置的安全性集成在一起，為維護安全的Internet和intranet通信，WindowsNT提供了一個理想的平臺。2、WindowsNT的安全漏洞（1）部分安全漏洞：第一個漏洞是建立域名的問題，域用戶可以不斷的建立新的用戶直到系統(tǒng)資源枯竭。WindowsNT能方便地建立組這個特性很容易遭到拒絕服務(wù)的攻擊。另一個漏洞為PPTP協(xié)議的缺口，可使WindowsNT虛擬專用網(wǎng)絡(luò)的默認(rèn)口令被破解（2）其他漏洞緊急修復(fù)盤產(chǎn)生的安全漏洞；被無限制地嘗試聯(lián)接；最近登錄用戶名顯示問題；打印機問題。實訓(xùn)三病毒和黑客攻擊的防范目的：通過本次實訓(xùn)，讓學(xué)生了解網(wǎng)絡(luò)病毒的防范，黑客如何攻擊及如何防備，了解黑客如何對口令進行破解，口令破解工具的使用。要求：1、了解Web站點安全性及如何保證。2、了解黑客進行系統(tǒng)常使用的方法及使用的工具。3、如何判斷機器有黑客闖入的跡像。4、如何正確的使用口令。實驗課時：8課時。實驗內(nèi)容：WEB的安全問題包括兩個方面的問題：WEB服務(wù)器端安全和客戶端安全。WEB服務(wù)器的安全：程序本身的錯誤；訪問權(quán)授給所有人；復(fù)雜的配置；CGI和表單客戶端的安全：用戶在不經(jīng)意的情況下泄露了自己的用戶名和口令，或者泄露了自己的電子郵件地址，都有可能為黑客提供作案信息。WEB站點面臨的威脅：WEB服務(wù)器的信息被破譯。WEB站點上的數(shù)據(jù)被非法訪問。遠程用戶向服務(wù)器傳輸?shù)男畔⒈唤孬@。系統(tǒng)中存在BUG。CGI腳本的危害。黑客攻擊的目的：竊取信息；獲取口令；控制中間站點；獲得超級用戶權(quán)限口令破解的過程：黑客在破解口令時首先尋找系統(tǒng)是否在存在沒有口令的戶頭，其次試探系統(tǒng)是否有容易猜出的口令，再次尋找存放口令的文件，最后使用口令破譯工具，可以得到加密的口令的明文。常見的口令破解工具：Unix平臺的Crack；NovellNetWare平臺的Crack；適用于WindowsNT平臺的scannt.exe實訓(xùn)四監(jiān)聽器與掃描器的使用目的：通過本次實訓(xùn)掌握在網(wǎng)上獲取的信息的方法及使用形式，掌握掃描器的使用。要求：1、掌握網(wǎng)絡(luò)監(jiān)聽在不同傳輸介質(zhì)上不同效果。2、了解常用的監(jiān)聽工具。3、了解常見的掃描器及使用方法。實驗課時：6課時。實驗內(nèi)容：網(wǎng)絡(luò)監(jiān)聽是指：獲取在網(wǎng)絡(luò)上傳輸?shù)男畔?。系統(tǒng)管理員為了在效地管理網(wǎng)絡(luò)、診斷網(wǎng)絡(luò)問題而進行網(wǎng)絡(luò)監(jiān)聽，也有黑客為達到某些目的而進行網(wǎng)絡(luò)監(jiān)聽。在不同的傳輸介質(zhì)上，信息監(jiān)聽的可能性不同：傳輸介質(zhì)監(jiān)聽的可能性原因Ethernet高Ethernet是一個廣播型網(wǎng)絡(luò)，互聯(lián)網(wǎng)的大多數(shù)包監(jiān)聽事件都是一些運行在一臺計算機中的包監(jiān)聽程序的結(jié)果。FDDIToken-ring較高令牌環(huán)網(wǎng)不是一個廣播型網(wǎng)絡(luò)，但帶有令牌的那些包在傳播過程中，平均要以過網(wǎng)絡(luò)上一半的計算機。電話線中等可被人搭線竊聽，在微波線路上的信息也會被截獲。IP通過有線電視信道高有線電視信道傳輸?shù)男畔]有加密，可以被一些可以從物理上訪問到的TV電纜的人截聽。微波和無線電高任何一個有無線電接收機的人都可以截獲那些傳輸?shù)男畔ⅰ３Ｓ玫谋O(jiān)聽工具Snoop：可以截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，并顯示這些包中的內(nèi)容。它可以以單行的形式只輸出數(shù)據(jù)包的總結(jié)信息，也可以以多行形式對包中信息詳細說明。Sniffit軟件：該軟件運行于Solaris、SGI、Linux等平臺的一種免費網(wǎng)絡(luò)監(jiān)聽軟件，具有功能強大且使用方便的特點。用戶可以選擇源、目標(biāo)地址或地址集合，還可以選擇監(jiān)聽的端口、協(xié)議和網(wǎng)絡(luò)接口。掃描器簡介：掃描器是自動檢測遠程或本地主機安全性漏洞的程序包。系統(tǒng)管理員使用有助于加強系統(tǒng)安全性，對于黑客，掃描器則是他們進行攻擊的入手點。但掃描器不能直接攻擊網(wǎng)絡(luò)漏洞。目前流行的掃描器有：NNS網(wǎng)絡(luò)安全掃描器，stroke超級優(yōu)化TCP端口檢測程序，SATAN安全管理員的網(wǎng)絡(luò)分析工具、JAKAL、XSCAN等。端口掃描端口：每個應(yīng)用程序被賦予一個唯一的地址，這個地址稱為端口。指定的應(yīng)用程序與特殊端口相連，當(dāng)任何聯(lián)接請求到達該端口時，對應(yīng)的應(yīng)用程序便被發(fā)送出去。修改視頻剪輯端口掃描：是一種獲取主機信息的好方法。不同的系統(tǒng)所提供的開放端口是不一樣，下表列出公共端口與對應(yīng)的服務(wù)或應(yīng)用程序。服務(wù)或應(yīng)用程序FTPSMTPTelnetGopherfingerHTTPNNTP端口212523707980119常見的幾種端口掃描：TCPconnect()的掃描；TCPSYN掃描；TCPFIN掃描；Fragmentation掃描；ICMP掃描；常見的掃描工具SATAN：安全管理員的網(wǎng)絡(luò)分析工具，是一個分析網(wǎng)絡(luò)的安全管理和測試、報告的工具，用來收集網(wǎng)絡(luò)上主機的許多信息，并可以識別且自動報告與網(wǎng)絡(luò)相關(guān)的安全問題。網(wǎng)絡(luò)安全掃描器NNS：網(wǎng)絡(luò)安全掃描器是一個非常隱蔽的掃描器，多數(shù)載有該掃描器的FTP的站點處暗處，或無法通過WWW搜索器找到它們。Strobe：超級優(yōu)化TCP端口檢測程序Strobe是一個TCP端口掃描器，具有在最大帶寬利用率和最小進程資源需求下，迅速地定位和掃描一臺遠程目標(biāo)主機或許多臺主機的所有TCP“監(jiān)聽”端口的能力。InternetScanner：可得到的最快和功能最全的安全掃描工具，用于Unix和WindowsNT，它容易配置，掃描速度快，并且能產(chǎn)生綜合報告。PortScanner：是一個運行到Windows95和WindowsNT上的端口掃描工具，其開始界面上顯示了兩個輸入框，上面的輸入框用于要掃描的開始主機的IP地址，下面的輸入框用于輸入要掃描的結(jié)束主機的IP地址，在這兩個IP地址之間的主機將被掃描。實訓(xùn)五利用ipchains構(gòu)建企業(yè)防火墻目的：通過本次實訓(xùn)，讓學(xué)生全面了解防火墻的種類、特點、配置及構(gòu)建。實驗課時：8課時。實驗內(nèi)容：防火墻：防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。是設(shè)置在在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻的優(yōu)劣點：優(yōu)點：能強化安全策略；能有效地記錄互聯(lián)網(wǎng)上的活動；防火墻限制暴露用戶點；防火墻是一個安全的策略的檢查站。缺點：不能防范惡意的知情者；不能防范不能通過它的聯(lián)接；無法防范數(shù)據(jù)驅(qū)動型的攻擊；不能防范病毒。二、防火墻的基本種類： 基于包過濾；另一種基于代理服務(wù)。包過濾防火墻（1）建立步驟：建立安全策略；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式；用相應(yīng)的句法重寫邏輯表達式并設(shè)置之。內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)互聯(lián)網(wǎng)互聯(lián)網(wǎng)包過濾防火墻包過濾防火墻包過濾防火墻的工作原理包過濾防火墻的工作原理（2）包過濾防火墻的特點： 對于用戶是透明的，不需要用戶名和密碼來登錄，這種防火墻速度快且易于維護，通常作為第一道防線。但由于它沒有用戶的記錄，不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。代理防火墻：也稱為應(yīng)用層網(wǎng)關(guān)防火墻，其核心技術(shù)是代理服務(wù)器技術(shù)，它以此參加一個TCP聯(lián)接的全過程。代理防火墻包含兩大類：一是電路級網(wǎng)關(guān)；另一類是應(yīng)用級網(wǎng)關(guān)。電路級網(wǎng)關(guān)：又稱線路級網(wǎng)關(guān)，工作在會話層。在兩主機首次建立TCP聯(lián)接時創(chuàng)立一個電子屏障。電路級網(wǎng)關(guān)常用于向外聯(lián)接，這時網(wǎng)絡(luò)管理員對其內(nèi)部用戶是信任的。但它不能不檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。應(yīng)用級網(wǎng)關(guān)：應(yīng)用級網(wǎng)關(guān)使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾防火墻更嚴(yán)格的安全策略。其工作原理如下圖所示。防火墻代理FTP 服務(wù)器防火墻代理FTP 服務(wù)器代理服務(wù)器訪問控制客戶代理請求應(yīng)答請求代理服務(wù)器訪問控制客戶代理請求應(yīng)答請求客戶FTP 服務(wù)器客戶FTP 服務(wù)器服務(wù)器轉(zhuǎn)發(fā)應(yīng)答服務(wù)器轉(zhuǎn)發(fā)應(yīng)答應(yīng)答FTP 服務(wù)器應(yīng)答FTP 服務(wù)器應(yīng)用級網(wǎng)關(guān)工作原理應(yīng)用級網(wǎng)關(guān)工作原理三、防火墻配置和訪問控制策略 1、設(shè)置防火墻的要素：網(wǎng)絡(luò)策略、服務(wù)訪問策略、增強的認(rèn)證。 2、防火墻的配置的種類：雙穴主機方式；屏蔽主機；屏蔽子網(wǎng)四、利用ipchains構(gòu)建企業(yè)防火墻 1、在/etc/rc/目錄下用touch命令建立firewall文件 2、刷新所有的ipchains #!/bin/sh(行首號有#號的為注釋行) Echo“Startingipchainsrules…” #Refreshallchains/sbin/ipchains-F 3、設(shè)置WWW包過濾 WWW端口為80，采用tcp或udp協(xié)議。 4、設(shè)置ftp包過濾 ftp端口為21，ftp-data端口為20，均采用tcp協(xié)議。 5、設(shè)置telenet包過濾 telnet端口為21，采用tcp協(xié)議。 6、設(shè)置smtp包過濾 Smtp端口為21，采用tcp協(xié)議。 7、設(shè)置POP-3包過濾 POP-3端口為110，采用tcp或udp協(xié)議。 8、設(shè)置缺省包過濾規(guī)則 除了以上所允許通過的包以外，禁止其他包通過。#Defineallrulesoninputchain/sbin/ipchains–Ainput–jDENY–l實訓(xùn)六數(shù)據(jù)庫備份的實例目的：通過本次實訓(xùn)，讓學(xué)生對數(shù)據(jù)庫有個全面的了解，數(shù)據(jù)庫的安全性和數(shù)據(jù)加密有如何設(shè)置，掌握對數(shù)據(jù)庫的備份和災(zāi)難恢復(fù)的方法。實驗課時：6課時。實驗內(nèi)容：一、有關(guān)數(shù)據(jù)庫的相關(guān)知識：網(wǎng)絡(luò)數(shù)據(jù)庫的要求：與服務(wù)器軟件的集成；性能；安全性；穩(wěn)定性；容錯性；擴展性；備份二、數(shù)據(jù)庫的安全性能和數(shù)據(jù)加密1、數(shù)據(jù)庫的安全性能：第一層指系統(tǒng)運行安全，它包括法律、政策的保護；第二層指系統(tǒng)信息安全，包括用戶口令字鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限，方式控制，審計跟蹤，數(shù)據(jù)加密。2、數(shù)據(jù)庫的數(shù)據(jù)加密 數(shù)據(jù)庫的數(shù)據(jù)加密是將明文數(shù)據(jù)經(jīng)過一定變換，變換成密文數(shù)據(jù)。數(shù)據(jù)的解密是加密的逆過程，重新將密文數(shù)據(jù)變成明文數(shù)據(jù)。三、數(shù)據(jù)庫的備份1、數(shù)據(jù)庫備份的內(nèi)容：網(wǎng)絡(luò)中安裝的應(yīng)用程序、數(shù)據(jù)庫管理系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)、環(huán)境參數(shù)。2、在線備份和離線備份： 在線備份是把數(shù)據(jù)和環(huán)境信息傳送到計算機系統(tǒng)或網(wǎng)絡(luò)上的另一個非實時工作的區(qū)域。離線備份：是把數(shù)據(jù)和環(huán)境信息下載到安全的存儲媒介中，這種存儲媒介和當(dāng)前運行的計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接的聯(lián)系。3、數(shù)據(jù)庫備份和冗余技術(shù) 數(shù)據(jù)庫的冗余技術(shù)與在線備份是有所不同的。在線備份的設(shè)備不參與實時的數(shù)據(jù)處理工作，而冗余設(shè)備卻是實時地在線工作的。冗余技術(shù)通常采用RAID技術(shù)，是把多個磁盤驅(qū)動器結(jié)合起來，通過數(shù)據(jù)冗余提高數(shù)據(jù)存儲的安全性。4、完全備份和增量備份、差額備份完全備份：是把所有的數(shù)據(jù)都毫不遺漏地備份下來。但完全備份的數(shù)據(jù)量較大。增量備份：增量備份是在上一次做了數(shù)據(jù)備份以來，對有了變化的數(shù)據(jù)進行備份。在做數(shù)據(jù)恢復(fù)的時候，從上一次完全備份開始，考慮以后的各次增量備份的修改，一直計算到需要恢復(fù)的那一天。增量備份的工作量比較小，可以每天做一次。差額備份：是考慮上一次完全備份以來發(fā)生的變化數(shù)據(jù)，把這種變化備份下來?；謴?fù)數(shù)據(jù)時需要一個完全備份和一個差額備份。計算量稍微小一些。四、利用自動備份Orcal數(shù)據(jù)庫進行數(shù)據(jù)庫備份的操作1、導(dǎo)出數(shù)據(jù)庫利用export命令將數(shù)據(jù)庫中的數(shù)據(jù)備份成一個二進制文件，采用用戶模式。在備份之前建一個備份目錄，以容納備份文件。接著可在Unix的Oracle目錄下分別建立兩個文件or-backup,tar-backup。在前一個文件中需要對Oracle的參數(shù)進行初始化，將初始化命令放到一