網(wǎng)絡(luò)操作系統(tǒng)配置與管理實(shí)訓(xùn)教程-第4章課件_第1頁
網(wǎng)絡(luò)操作系統(tǒng)配置與管理實(shí)訓(xùn)教程-第4章課件_第2頁
網(wǎng)絡(luò)操作系統(tǒng)配置與管理實(shí)訓(xùn)教程-第4章課件_第3頁
網(wǎng)絡(luò)操作系統(tǒng)配置與管理實(shí)訓(xùn)教程-第4章課件_第4頁
網(wǎng)絡(luò)操作系統(tǒng)配置與管理實(shí)訓(xùn)教程-第4章課件_第5頁
已閱讀5頁,還剩32頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、第4章 系統(tǒng)安全4.2 WSUS配置與管理問題描述問題分析問題描述為了滿足南方某電子信息集團(tuán)有限公司自建WSUS服務(wù)器的需求,WSUS服務(wù)器需要實(shí)現(xiàn)從Microsoft更新服務(wù)器下載更新信息,為公司內(nèi)部所有Microsoft應(yīng)用程序提供Windows操作系統(tǒng)、SQL Server及Office等更新服務(wù),節(jié)省出口帶寬,提高公司內(nèi)部Windows操作系統(tǒng)計(jì)算機(jī)的安全。問題分析無論是Windows 2000/XP/2003還是最新發(fā)布的Windows Server 2008,都不可避免地會(huì)存在系統(tǒng)漏洞,甚至是非常危險(xiǎn)的安全漏洞。因此,Microsoft公司也就不停地發(fā)布系統(tǒng)補(bǔ)丁。如果讓網(wǎng)絡(luò)內(nèi)所有的

2、計(jì)算機(jī)都從Microsoft的系統(tǒng)更新服務(wù)器同時(shí)下載補(bǔ)丁,既會(huì)浪費(fèi)大量寶貴的網(wǎng)絡(luò)帶寬,也是由于部分客戶端沒有及時(shí)更新而遭受網(wǎng)絡(luò)攻擊,因此,借且WSUS實(shí)現(xiàn)公司內(nèi)部的系統(tǒng)自動(dòng)更新就成為保障系統(tǒng)安全的必要手段。問題分析任務(wù)單1WSUS服務(wù)器的安裝2配置WSUS服務(wù)器3.利用組策略實(shí)現(xiàn)域WSUS更新任務(wù)一:WSUS服務(wù)器的安裝 雙擊下載的WSUS3.0安裝文件, “Windows Server Update Services3.0安裝向?qū)А薄?任務(wù)一:WSUS服務(wù)器的安裝打開“安裝模式選擇”對(duì)話框,默認(rèn)選擇“包括管理控制臺(tái)的完整服務(wù)器安裝”。 任務(wù)一:WSUS服務(wù)器的安裝打開 “網(wǎng)站選擇”對(duì)話框,安

3、裝程序在網(wǎng)站發(fā)布時(shí)使用80及8530兩個(gè)端口發(fā)布網(wǎng)站。選擇“使用現(xiàn)有IIS默認(rèn)網(wǎng)站”選項(xiàng),使用80端口發(fā)布。任務(wù)二:配置WSUS服務(wù)器依次單擊“開始”“管理工具”“Microsoft Windws Server Update Services 3.0”,啟動(dòng)WSUS3.0配置向?qū)?。配置向?qū)э@示配置前的準(zhǔn)備工作,查看并核實(shí)已經(jīng)完成準(zhǔn)備工作。任務(wù)二:配置WSUS服務(wù)器打開“選擇上游服務(wù)器”對(duì)話框,若直接從Microsoft服務(wù)器同步,請(qǐng)選擇“從Microsoft Update進(jìn)行同步”選項(xiàng)。任務(wù)二:配置WSUS服務(wù)器完成連接測(cè)試后,打開“選擇語言”對(duì)話框。此案例選擇“英語”和“中文(簡(jiǎn)體)” 。任

4、務(wù)二:配置WSUS服務(wù)器打開“選擇產(chǎn)品”對(duì)話框。在“所有產(chǎn)品”列表框中顯示目前WSUS支持的所有Microsoft應(yīng)用程序,選擇“Office”、“SQL Server”、“Windows” 。 任務(wù)二:配置WSUS服務(wù)器打開“選擇分類”對(duì)話框,勾選“安全更新程序”、“定義更新”及“關(guān)鍵更新程序” 。 任務(wù)二:配置WSUS服務(wù)器打開“設(shè)置同步計(jì)劃”,選擇“自動(dòng)同步”選項(xiàng),并設(shè)定同步時(shí)間為夜間1時(shí)11分,同步頻率每天一次。 任務(wù)二:配置WSUS服務(wù)器打開“完成”對(duì)話框,勾選“啟動(dòng)WSUS管理控制臺(tái)”和“開始初始同步”選項(xiàng),將在打開WSUS管理控制臺(tái)的同時(shí)進(jìn)行更新同步。 任務(wù)三:利用組策略實(shí)現(xiàn)域W

5、SUS更新 在域組策略中建立WSUS組策略,設(shè)置“產(chǎn)品生產(chǎn)部”所有Windows系統(tǒng)計(jì)算機(jī)更新服務(wù)器地址“0”,實(shí)現(xiàn)WSUS更新功能。任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新在域控制器中依次單擊“開始”“管理工具”“Active Directory用戶和計(jì)算機(jī)”右擊“產(chǎn)品生產(chǎn)部”選擇“屬性”命令。 任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新打開“產(chǎn)品生產(chǎn)部 屬性”對(duì)話框,單擊“新建”按鈕,更改組策略名為“WSUS” 。 任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新單擊“編輯”按鈕,打開“組策略編輯器”對(duì)話框,右擊“管理模板”選擇“添加/刪除模板” 。 任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新打開 “添加/刪除模板”

6、對(duì)話框。 任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新單擊“添加”按鈕,打開如所示“策略模板”文件選擇對(duì)話框,選中“wuau.adm”,單擊“打開”,完成WSUS管理模塊文件的添加。 任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新在“組策略編輯器”中依次展開“計(jì)算機(jī)配置”“管理模板”“Windows組件”“Windows Update” 。 任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新雙擊“配置自動(dòng)更新”,打開“配置自動(dòng)更新 屬性”對(duì)話框,選擇“已啟用”單選按鈕。 任務(wù)三:利用組策略實(shí)現(xiàn)域WSUS更新打開“指定Intranet Microsoft更新服務(wù)位置 屬性”對(duì)話框,選擇“已啟用”單選按鈕,并在“為檢測(cè)更新設(shè)置I

7、ntranet更新服務(wù)”及“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器”文本框中分別輸入WSUS服務(wù)器地址。4.3 Linux環(huán)境下的IPtables 南方某電子信息集團(tuán)有限公司現(xiàn)有網(wǎng)絡(luò)應(yīng)用系統(tǒng)平臺(tái)已基本搭建完成,恰當(dāng)?shù)姆阑饓浖肀WC系統(tǒng)的安全是必不可少的一部分,在Linux平臺(tái)下自帶的包過濾防火墻可為應(yīng)用系統(tǒng)的平穩(wěn)運(yùn)行提供保障,如何進(jìn)行管理與配置是需要解決的一個(gè)問題。問題描述 IPTABLES集成到linux內(nèi)核中,用戶通過IPTABLES,可以對(duì)計(jì)算機(jī)的進(jìn)出數(shù)據(jù)包進(jìn)行過濾。通過IPTABLES命令設(shè)置規(guī)則,來把守計(jì)算機(jī)網(wǎng)絡(luò)哪些數(shù)據(jù)允許通過,哪些不能通過,哪些通過的數(shù)據(jù)進(jìn)行記錄(log)。主要包括配i

8、ptables鏈的基本操作、配置基本的規(guī)則匹配、配置擴(kuò)展的規(guī)則匹配等。問題分析任務(wù)單序號(hào) 任務(wù)1主DNS服務(wù)器配置2反向DNS服務(wù)器的配置3輔助DNS服務(wù)器的配置4多域DNS服務(wù)器的配置5子域DNS服務(wù)器的配置 任務(wù)一:iptables鏈的基本操作1.清除規(guī)則(1)清除預(yù)設(shè)表filter中任何規(guī)則鏈中的規(guī)則。 # iptables -F (2)清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則。#iptables -X #iptables Z2.配置鏈的默認(rèn)策略(1)首先允許任何包通過,然后再禁止有危險(xiǎn)的包通過防火墻。#iptables -P INPUT ACCEPT#iptables -P OUT

9、PUT ACCEPT#iptables -P FORWARD ACCEPT (2)首先禁止任何包通過,然后根據(jù)需要的服務(wù)允許特定的包通過防火墻。#iptables -P INPUT DROP #iptables -P OUTPUT DROP #iptables -P FORWARD DROP3.列出表/鏈中的任何規(guī)則,默認(rèn)只列出filter表。#iptables L4.向鏈中添加規(guī)則,下面的語句用于開放網(wǎng)絡(luò)接口:#iptables -A INPUT -i lo -j ACCEPT#iptables -A OUTPUT -o lo -j ACCEPT#iptables -A INPUT -i e

10、th0 -j ACEPT#iptables -A OUTPUT -o eth1 -j ACCEPT#iptables -A FORWARD -i eth1 -j ACCEPT#iptables -A FORWARD -o eth1 -j ACCEPT5.使用者自定義鏈#iptables -N custom#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP#iptables -A INPUT -s 0/0 -d 0/0 -j DROP任務(wù)二:配置基本的規(guī)則匹配1.指定協(xié)議匹配(1)匹配指定協(xié)議#iptables -A INPUT -p tcp(2)

11、匹配指定協(xié)議之外的任何協(xié)議#iptables -A INPUT -p !tcp2.指定地址匹配(1)指定匹配的主機(jī)#iptables -A INPUT -s 8 (2)指定匹配的網(wǎng)絡(luò)#iptables -A INPUT -s /24(3)匹配指定主機(jī)之外的地址#iptables -A FORWARD -s !9 (4)匹配指定網(wǎng)絡(luò)之外的網(wǎng)絡(luò)#iptables -A FORWARD -s ! /24 3.指定網(wǎng)絡(luò)接口匹配(1)指定單一的網(wǎng)絡(luò)接口匹配#iptables -A INPUT -i eth0#iptables -A FORWARD -o eth0(2)指定同類型的網(wǎng)絡(luò)接口匹配#iptab

12、les -A FORWARD -o ppp 4.指定端口匹配(1)指定單一端口匹配#iptables -A INPUT -p tcp -sport www #iptables -A INPUT -p udp dport 53 (2)匹配指定端口之外的端口#iptables -A INPUT -p tcp dport !22 (3)匹配端口范圍#iptables -A INPUT -p tcp sport 22:80(4)匹配ICMP端口和ICMP類型#iptables -A INOUT -p icmp icimp-type 8任務(wù)三:配置擴(kuò)展的規(guī)則匹配1.多端口匹配(1)匹配多個(gè)源端口#ipt

13、ables -A INPUT -p tcp -m multiport sport 22,53,80,110(2)匹配多個(gè)目的端口#iptables -A INPUT -p tcp -m multiport dpoort 22,53,80(3)匹配多端口#iptables -A INPUT -p tcp -m multiport port 22,53,80,110 2.指定TCP匹配擴(kuò)展使用tcp-flags 選項(xiàng)能夠根據(jù)tcp包的標(biāo)志位進(jìn)行過濾#iptables -A INPUT -p tcp tcp-flags SYN,FIN,ACK SYN #iptables -A FROWARD -p

14、tcp tcp-flags ALL SYN,ACK 上實(shí)例中第一個(gè)表示SYN、ACK、FIN的標(biāo)志都檢查,但是只有SYN匹配。第二個(gè)表示ALL(SYN,ACK,F(xiàn)IN,RST,URG,PSH)的標(biāo)志都檢查,但是只有配置了SYN和ACK的匹配。#iptables -A FORWARD -p tcp -syn 選項(xiàng)-syn相當(dāng)于“-tcp-flags SYN,RST,ACK SYN”的簡(jiǎn)寫。3.limit速率匹配擴(kuò)展(1)指定單位時(shí)間內(nèi)允許通過的數(shù)據(jù)包個(gè)數(shù),單位時(shí)間能夠是/second、/minute、/hour、/day或使用第一個(gè)字母。#iptables -A INPUT -m limit -

15、limit 300/hour(2)指定觸發(fā)事件的閥值。 #iptables -A INPUT -m limit limit-burst 10(3)同時(shí)指定速率限制和觸發(fā)閥值#iptables -A INPUT -p icmp -m limit -limit 3/m limit-burst 3表示每分鐘允許的最大包數(shù)量為限制速率(本例為3)加上當(dāng)前的觸發(fā)閥值burst數(shù)。任何情況下,都可確保3個(gè)數(shù)據(jù)包通過,觸發(fā)閥值burst相當(dāng)于允許額外的包數(shù)量。4.基于狀態(tài)的匹配擴(kuò)展每個(gè)網(wǎng)絡(luò)連接包括以下信息:源地址、目標(biāo)地址、源端口、目的端口,稱為套接字對(duì)(socket pairs);協(xié)議類型、連接狀態(tài)(TCP協(xié)議)和超時(shí)時(shí)間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內(nèi)存中維護(hù)一個(gè)跟蹤狀態(tài)的表,比簡(jiǎn)單包過濾防火墻具備更大的安全性,命令格式如下:iptables -m state -state !state ,state,state,state其中,state是個(gè)逗號(hào)分割的列表,用來指定連接狀態(tài),4種:NEW:該包想要開始一個(gè)新的連接。RELATED:該包是屬于已連接的新建連接

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論