網(wǎng)絡(luò)安全設(shè)置實(shí)訓(xùn)

1、網(wǎng)絡(luò)安全實(shí)訓(xùn)報(bào)告課程名稱：網(wǎng)絡(luò)安全設(shè)置實(shí)訓(xùn)專業(yè)： 班級(jí)：姓名： 學(xué)號(hào)：指導(dǎo)教師：成 績(jī)：完成日期：2014年7月11日任務(wù)書題日：*網(wǎng)的安全與維護(hù)設(shè)計(jì)內(nèi)容及要求：要求熟練掌握計(jì)算機(jī)網(wǎng)絡(luò)安全相關(guān)知識(shí)，根據(jù)所學(xué)的計(jì)算 機(jī)網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)入侵檢測(cè)及計(jì)算機(jī)病毒與防范等相 關(guān)學(xué)科的知識(shí)，對(duì)設(shè)計(jì)好的網(wǎng)絡(luò)進(jìn)行安全維護(hù)。設(shè)計(jì)環(huán)境：PC機(jī)、交換機(jī)、路由器visio畫圖工具實(shí)現(xiàn)日標(biāo)：1、為*學(xué)校（企業(yè)）設(shè)計(jì)一套完善的網(wǎng)絡(luò)設(shè)計(jì)方案，重 點(diǎn)通過對(duì)該網(wǎng)絡(luò)的安全進(jìn)行設(shè)計(jì)與維護(hù)，并撰寫實(shí)訓(xùn)報(bào)告。2、鞏固學(xué)生對(duì)計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)知識(shí)的掌握，能夠綜合運(yùn)用 所學(xué)內(nèi)容解決實(shí)際問題，培養(yǎng)學(xué)生獨(dú)立分析問題與解決問 題的能力，并強(qiáng)化動(dòng)手和

2、寫作能力。1網(wǎng)絡(luò)設(shè)計(jì)1.1中小型企業(yè)網(wǎng)的基本概況在中型企業(yè)網(wǎng)的設(shè)計(jì)中，一般采用層次化模型來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化， 模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就 能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。“核心層-分布層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)：節(jié)省成本：在采用層次模型之后，各層次各司其職，不再在同一個(gè)平臺(tái)上考慮所有 的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對(duì)系 統(tǒng)資源的浪費(fèi)。易于理解：層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同難度 的管理，降低了管理成本。易于擴(kuò)展：在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的

3、特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠 限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計(jì)，任何一 個(gè)節(jié)點(diǎn)的變動(dòng)都將對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。易于排錯(cuò)：層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能 夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡(jiǎn)化了排錯(cuò)過程。1.1.1核心層核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。園區(qū)網(wǎng)的核心層連接所有的分布層設(shè)備，必須能夠盡可能高效地交換數(shù)據(jù)流。應(yīng)具 有如下特征：第2層和第3層的吞吐量非常高；不執(zhí)行高成本或不必要的分組處理（訪問列表、分組過濾）；支持高可用性的冗余和彈性；高級(jí)QoS功能。應(yīng)對(duì)園區(qū)網(wǎng)核心層中的設(shè)備進(jìn)行優(yōu)化

4、，以提供高性能的第2層或第3層交換。由于 核心層必須處理大量的園區(qū)網(wǎng)級(jí)數(shù)據(jù)，因此核心層設(shè)計(jì)必須簡(jiǎn)單、高效。在本設(shè)計(jì)的核心層中，采用兩臺(tái)Cisco Catalyst 4006交換機(jī)組成雙機(jī)熱備份的核心 交換機(jī)系統(tǒng)解決方案。為提高核心-網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的安全保障，本方案骨干 核心層中可以采用VRRP（熱備用路由器協(xié)議）。對(duì)于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛 擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用VRRP技術(shù)為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址， 以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主兩備，共用一個(gè)虛擬的IP 地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引 擎、

5、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。1.1.2分布層分布層將園區(qū)網(wǎng)的接入層和核心層連接起來。必須具備下述的功能：聚集多臺(tái)接入層設(shè)備；較高的第3層分組處理吞吐量；使用訪問列表和分組過濾器提供安全和基于策略的連接；QoS功能；連接到核心層和接入層的高速鏈接具有可擴(kuò)展性和彈性。在分布層中，來自接入層設(shè)備的上行鏈路被聚合在一起。分布層交換機(jī)必須能夠處 理來自所有連接的設(shè)備的總流量。這些交換機(jī)必須擁有能提供高速鏈路的端口密度，以 支持所有接入層交換機(jī)。VLAN和廣播域在分布層聚合在一起，需要支持路由選擇、過濾和安全。該層的交 換機(jī)還必須能夠執(zhí)行高吞吐量的多層交換。1.1.3接入層接入層

6、位于連接到網(wǎng)絡(luò)的最終用戶處。接入層交換機(jī)通常在用戶之間提供第2層 （VLAN）連接性。該層設(shè)備有時(shí)被稱為大樓介入交換機(jī)，必須具備下述功能：低交換機(jī)端口成本；高端口密度；連接到高層的可擴(kuò)展上行鏈路；用戶接入功能，如VLAN成員資格、數(shù)據(jù)流和協(xié)議過濾以及服務(wù)質(zhì)量（QoS）；1.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能 的互相配合和補(bǔ)充。該企業(yè)網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪 問模塊、服務(wù)器群。廣拄網(wǎng)接入榛塊* y *281P / Raut

7、erOCloud-PTCloudDRouterServer-PTServerO挪件.服務(wù)器核心層356CCore!4PS itchl T356( Core4PS itch 229604TDSflPC-PTPC-PTPCI 5網(wǎng)絡(luò)拓?fù)淙缦聢D所示：財(cái)務(wù)部點(diǎn)三-、 八PC-PT PC-PT PC-PT PC-PT PC-PT PC-PTPCOPCIPC2 PCSPC4PC5agaaPC-PTPC-PTPC-PTpc-PT PC-PTPC-PTPC-PTPC&PC?PCSPC9 PC10PC11PCI 2Server-PT Server32防火墻設(shè)計(jì)2.1防火墻概述防火墻指的是一個(gè)由軟件和硬件設(shè)備組合

8、而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與 公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算 機(jī)硬件和軟件的結(jié)合，使 Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證 工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò) 之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方 法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一

9、種訪問控制尺度， 它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外， 最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi) 部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。2.2防火墻在網(wǎng)絡(luò)中的實(shí)現(xiàn)2.2.1包過濾防火墻包過濾防火墻應(yīng)用包過濾防火墻是在IP層實(shí)現(xiàn)的，因此它可以只用路由器完成。 它對(duì)網(wǎng)絡(luò)、主機(jī)或端口的訪問控制方面有許多應(yīng)用。因?yàn)樗O(jiān)視網(wǎng)絡(luò)上流入和流出的IP 包，檢查所有通過防火墻的信息包的IP源地址、IP目標(biāo)地址、TCP或UDP包的目的 端口和源端口。主要應(yīng)用于：避免IP欺騙；封鎖不安全的

10、網(wǎng)絡(luò)服務(wù)；通過設(shè)置一些服務(wù) 或端口，只對(duì)需要這些功能的系統(tǒng)開放；新出現(xiàn)的包過濾技術(shù)防火墻通過分析報(bào)文數(shù)據(jù) 區(qū)內(nèi)容實(shí)現(xiàn)智能報(bào)文過濾。包過濾防火墻應(yīng)用非常廣泛的原因是因?yàn)镃PU用來處理報(bào)文過濾的時(shí)間可以忽略 不計(jì)。而且這種防護(hù)措施對(duì)用戶透明，合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí)，根本感覺不到它的存在, 使用起來很方便包過濾防火墻的弱點(diǎn)是不能在用戶級(jí)別上進(jìn)行過濾，即不能識(shí)別不同的用戶和 防止IP地址的盜用。如果攻擊者把自己主機(jī)的IP地址設(shè)成一個(gè)合法主機(jī)的IP地址，就 可以很輕易地通過報(bào)文過濾器。2.2.2代理技術(shù)防火墻代理技術(shù)工作在應(yīng)用層，能識(shí)別用戶使用的協(xié)議，因而能對(duì)用戶的行為進(jìn)行調(diào)控。 主要應(yīng)用于：只允許那些被

11、代理的服務(wù)，其它服務(wù)不能訪問；實(shí)現(xiàn)協(xié)議過濾；實(shí)現(xiàn)信息 隱藏；強(qiáng)壯的鑒別和日志功能。在實(shí)際應(yīng)用當(dāng)中主要有：應(yīng)用代理服務(wù)器在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。當(dāng)外部某臺(tái)主機(jī)試圖訪問受保護(hù)網(wǎng)絡(luò)時(shí)， 必須先在防火墻上經(jīng)過身份認(rèn)證。通過身份認(rèn)證后，防火墻運(yùn)行一個(gè)專門為該網(wǎng)絡(luò)設(shè)計(jì) 的程序，把外部主機(jī)與內(nèi)部主機(jī)連接。在這個(gè)過程中，防火墻可以限制用戶訪問的主機(jī)、 訪問時(shí)間及訪問的方式。同樣，受保護(hù)網(wǎng)絡(luò)內(nèi)部用戶訪問外部網(wǎng)時(shí)也需先登錄到防火墻 上，通過驗(yàn)證后，才可訪問。應(yīng)用網(wǎng)關(guān)代理的優(yōu)點(diǎn)是既可以隱藏內(nèi)部IP地址，也可以給 單個(gè)用戶授權(quán)，即使攻擊者盜用了一個(gè)合法的IP地址，也通不過嚴(yán)格的身份認(rèn)證。因此 應(yīng)用網(wǎng)關(guān)比報(bào)

12、文過濾具有更高的安全性。但是這種認(rèn)證使得應(yīng)用網(wǎng)關(guān)不透明，用戶每次 連接都要受到認(rèn)證，這給用戶帶來許多不便。這種代理技術(shù)需要為每個(gè)應(yīng)用寫專門的程 序。回路級(jí)代理服務(wù)器即通常意義的代理服務(wù)器，它適用于多個(gè)協(xié)議，但不能解釋應(yīng)用協(xié)議，需要通過其 他方式來獲得信息，所以，回路級(jí)代理服務(wù)器通常要求修改過的用戶程序。套接字服務(wù) 器(Socket s Server )就是回路級(jí)代理服務(wù)器。套接字(Sockets)是一種網(wǎng)絡(luò)應(yīng)用層的國(guó) 際標(biāo)準(zhǔn)。當(dāng)受保護(hù)網(wǎng)絡(luò)客戶機(jī)需要與外部網(wǎng)交互信息時(shí)，在防火墻上的套服務(wù)器檢查客 戶的User ID、IP源地址和IP目的地址，經(jīng)過確認(rèn)后，套服務(wù)器才與外部的服務(wù)器建立 連接。對(duì)用戶

13、來說，受保護(hù)網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那 是因?yàn)榫W(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“Socket stifled API”，受保護(hù)網(wǎng)絡(luò)用戶訪問公共網(wǎng)所使用的IP地址也都是防火墻的IP地址。代管服務(wù)器代管服務(wù)器技術(shù)是把不安全的服務(wù)如FTP、Telnet等放到防火墻上，使它同時(shí)充當(dāng) 服務(wù)器，對(duì)外部的請(qǐng)求做出回答。與應(yīng)用層代理實(shí)現(xiàn)相比，代管服務(wù)器技術(shù)不必為每種 服務(wù)專門寫程序。而且，受保護(hù)網(wǎng)內(nèi)部用戶想對(duì)外部網(wǎng)訪問時(shí)，也需先登錄到防火墻上, 再向外提出請(qǐng)求，這樣從外部網(wǎng)向內(nèi)就只能看到防火墻，從而隱藏了內(nèi)部地址，提高了 安全性。IP 通道(IP Tunn

14、els)如果一個(gè)大公司的兩個(gè)子公司相隔較遠(yuǎn)，通過Internet通信。這種情況下，可以采用 IP Tunnels來防止Inter net上的黑客截取信息，從而在Internet上形成一個(gè)虛擬的企業(yè) 網(wǎng)。(5 )網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT Network Address Translate)當(dāng)受保護(hù)網(wǎng)絡(luò)連到Internet上時(shí)，受保護(hù)網(wǎng)用戶若要訪問Inter net，必須使用一個(gè) 合法的IP地址。但由于合法Inter net IP地址有限，而且受保護(hù)網(wǎng)絡(luò)往往有自己的一套 IP地址規(guī)劃(非正式IP地址)。網(wǎng)絡(luò)地址轉(zhuǎn)換器就是在防火墻上裝一個(gè)合法IP地址集。 當(dāng)內(nèi)部某一用戶要訪問Internet時(shí)，防火墻

15、動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配 給該用戶，該用戶即可使用這個(gè)合法地址進(jìn)行通信。同時(shí)，對(duì)于內(nèi)部的某些服務(wù)器如 Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址。外部網(wǎng)絡(luò)的用戶就可 通過防火墻來訪問內(nèi)部的服務(wù)器。這種技術(shù)既緩解了少量的IP地址和大量的主機(jī)之間 的矛盾，又對(duì)外隱藏了內(nèi)部主機(jī)的IP地址，提高了安全性。隔離域名服務(wù)器(Split Domain Name Server )這種技術(shù)是通過防火墻將受保護(hù)網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)的域名服務(wù)器隔離，使 外部網(wǎng)的域名服務(wù)器只能看到防火墻的IP地址，無法了解受保護(hù)網(wǎng)絡(luò)的具體情況，這 樣可以保證受保護(hù)網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)知悉。郵件

16、技術(shù)(Mail Forwarding )當(dāng)防火墻采用上面所提到的幾種技術(shù)使得外部網(wǎng)絡(luò)只知道防火墻的IP地址和域名 時(shí)，從外部網(wǎng)絡(luò)發(fā)來的郵件，就只能送到防火墻上。這時(shí)防火墻對(duì)郵件進(jìn)行檢查，只有當(dāng) 發(fā)送郵件的源主機(jī)是被允許通過的，防火墻才對(duì)郵件的目的地址進(jìn)行轉(zhuǎn)換，送到內(nèi)部的 郵件服務(wù)器，由其進(jìn)行轉(zhuǎn)發(fā)。3網(wǎng)絡(luò)安全設(shè)計(jì)3.1規(guī)劃、實(shí)現(xiàn)、配置和部署安全客戶端計(jì)算機(jī)基線組策略編輯選項(xiàng)如圖3.1、3.2圖3.1組策略編輯- U. 4.TE TH .圖3.2設(shè)置屬性在客戶端完成如下配置如圖3.3為軟件限制策略創(chuàng)建一個(gè)獨(dú)立的組，策略對(duì)象如果遇到應(yīng)用的策略設(shè)置的問題，在安全模式下重 薪啟動(dòng)Windows在定義“不

17、被允許”默認(rèn)設(shè)置時(shí)的使用提醒為獲得最佳的安全性，可以連同軟件限制策略使用 耕問控制列表在對(duì)域應(yīng)用策略設(shè)置之前在刪試環(huán)境中全面測(cè)試新 策略設(shè)置根據(jù)安全組1的成員身份醐用戶策略設(shè)置圖3.3客戶端完成步驟在客戶機(jī)上配置cmd命令如圖3.4圖3.4 CMD配置命令3.2規(guī)劃、配置和部署服務(wù)器基線%規(guī)劃和控制域服務(wù)器的安全基線如圖3.5將DCBP (domain controllers baseline policy)鏈接到DC所在的OU優(yōu)先級(jí)高于默認(rèn)域控制器策略策略包括工用戶權(quán)限分配堅(jiān)持最小權(quán)限原則審核設(shè)置調(diào)整事件H志的大小圖3.5域配置項(xiàng)目針對(duì)DNS的安全威脅如圖3.6、3.7安全威脅解決方案攻擊者

18、可能使用IP電子欺騙配置路由器以丟棄受到欺騙 的IP數(shù)據(jù)包攻擊者可能看到組織中的所 有DNS記錄限制DNS區(qū)域傳輸限制對(duì)DNS服務(wù)器的外部 訪問發(fā)起S攻擊的攻擊者可能 改變合法DNS服務(wù)器中的DNS記錄限制對(duì)口NS服務(wù)器的外部訪 問DNS高速緩存受到污染確保啟用了默認(rèn)的“保護(hù)緩 存防止污染設(shè)置遭受攻擊后DNS服務(wù)器可能 丟失信息調(diào)整DNS事件日志文件大小圖3.6 DNS配置項(xiàng)目安全威脅描述數(shù)據(jù)修改,攻擊者可以訪問或修改存儲(chǔ)在服務(wù) 器上的機(jī)密信息此攻擊可阻止用戶訪問文件或打印服 文件共享使用NetBIOS,啟用NetBIOS增加的攻擊面會(huì)暴露更多極易受到攻擊的端口利服務(wù)圖3.7 DNS配置項(xiàng)目規(guī)

19、劃配置iis服務(wù)器的安全基線如圖3.8、3.9為IIS服務(wù)器設(shè)置用戶權(quán)限分配：I從“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”列表中刪除Guests 組I/ “拒絕從網(wǎng)絡(luò)訪間這臺(tái)計(jì)算機(jī)”包括AnonymousM Logon、Built-in Administrator. Support_388945a0和所有非操作系統(tǒng)服務(wù)賬戶圖3.8 IIS權(quán)限分配。在非系統(tǒng)帶區(qū)或帶區(qū)上和有鏡像的磁盤卷上存 凹 儲(chǔ)日志來提高服務(wù)器性能0留出充足的磁盤空間以存儲(chǔ)日志文件N 指定保存日志文件的目錄利應(yīng)該開始新建日志 凹文件的時(shí)間D 在日志文件目錄上設(shè)置適當(dāng)?shù)脑L問控制來保護(hù) 兇 日志數(shù)據(jù)，考慮僅允許管理員利IIS.WRG組訪 問日

20、志文件目錄圖3.9配置硬盤選項(xiàng):山三叫更加可管理3.3允許對(duì)Internet資源的訪問在ISA server中啟用的默認(rèn)網(wǎng)絡(luò)如圖3.10圖3.10網(wǎng)絡(luò)缺省項(xiàng)創(chuàng)建網(wǎng)絡(luò)和修改對(duì)象如圖3.11圖3.11創(chuàng)建網(wǎng)絡(luò)和修改對(duì)象訪問規(guī)則元素如圖3.12訪問規(guī)則兀素配置訪問規(guī)則元素的原因協(xié)議可以允許或拒絕通過,種或多種協(xié) 議的訪n用戶對(duì)該川戶集顯式應(yīng)用某條規(guī)則，或 苗將其排除在某條規(guī)則之外內(nèi)容類型提供了M能希望我用規(guī)則的提川內(nèi) 容類心計(jì)劃*允許指定在的:周應(yīng)用規(guī)則的時(shí)間網(wǎng)絡(luò)對(duì)象允許創(chuàng)建計(jì)算機(jī)集頊對(duì)這典計(jì)算 機(jī)集應(yīng)用某條規(guī)則.或者將其排除 在某條規(guī)則逍圖3.12訪問規(guī)則3.4 配置HTTP Web篩選器HTTP

21、 篩選器 Microsoft Internet Security and Acceleration (ISA) Server 2004 除了可 以執(zhí)行狀態(tài)篩選外，還可以執(zhí)行狀態(tài)檢查。狀態(tài)檢查使得ISA服務(wù)器可以檢查應(yīng)用層 的命令和數(shù)據(jù)。ISA服務(wù)器可以通過狀態(tài)篩選機(jī)制來阻止傳遞攻擊代碼，因?yàn)閿?shù)據(jù)包隨 后將被傳遞到狀態(tài)檢查機(jī)制。ISA服務(wù)器監(jiān)控狀態(tài)應(yīng)用層篩選器檢查超文本傳輸協(xié)議 (HTTP)命令和數(shù)據(jù)，并阻止數(shù)據(jù)包傳遞到公司網(wǎng)絡(luò)中的Web服務(wù)器上。這阻止了外 圍攻擊。HTTP篩選器是Web篩選器，它允許您基于內(nèi)容類型HTTP頭和以下條件來阻 止HTTP請(qǐng)求：請(qǐng)求負(fù)載的長(zhǎng)度。有關(guān)說明，請(qǐng)參閱限制請(qǐng)

22、求負(fù)載長(zhǎng)度。URL的長(zhǎng)度。有關(guān)說明， 請(qǐng)參閱限制可以在請(qǐng)求中指定的URL數(shù)量。HTTP請(qǐng)求方法。例如，可以使用POST、 GET或HEAD等請(qǐng)求方法。有關(guān)說明，請(qǐng)參閱阻止指定的HTTP方法。HTTP請(qǐng)求 文件擴(kuò)展名。例如，文件擴(kuò)展名可以是.exe、.asp或.dll。有關(guān)說明，請(qǐng)參閱阻止指定 的HTTP擴(kuò)展名。HTTP請(qǐng)求或響應(yīng)頭。例如，請(qǐng)求或響應(yīng)頭可以是Location、Server 或Via。有關(guān)說明，請(qǐng)參閱阻止指定的HTTP頭。在請(qǐng)求頭或響應(yīng)頭或正文中的簽名 或模式。有關(guān)說明，請(qǐng)參閱阻止指定的HTTP簽名。HTTP篩選器最初配置的是有助 于確保安全HTTP訪問的默認(rèn)設(shè)置。但是，應(yīng)該根據(jù)特

23、定的部署方案，自定義這些默 認(rèn)設(shè)置。例如，對(duì)于Web發(fā)布方案，應(yīng)允許下列方法：OPTIONS TRACE、GET、 HEAD 以及 POST。阻止特定簽名時(shí)，阻止的是通過HTTP建立隧道通訊以及可通過請(qǐng)求頭、響應(yīng) 頭和正文中的特定模式來描述的應(yīng)用程序（如Windows Messenger）o HTTP簽名阻止 不會(huì)阻止使用不同類型的內(nèi)容編碼或范圍請(qǐng)求的應(yīng)用程序。它假定所有HTTP請(qǐng)求和 響應(yīng)都采用UTF-8編碼。如果使用的是另一編碼方案，將不會(huì)執(zhí)行簽名阻止。HTTP篩 選器不支持折疊的HTTP頭，如RFC 2616中的定義。3.5實(shí)現(xiàn)安全的VPN解決方案NetEye VPN作為企業(yè)的一個(gè)網(wǎng)絡(luò)設(shè)

24、備放在企業(yè)的內(nèi)部網(wǎng)中，系統(tǒng)管理員通過集中 式的管理工具可以在不同的分支機(jī)構(gòu)之間建立安全隧道；并且設(shè)置不同用戶或用戶組的 訪問控制規(guī)則，從而對(duì)網(wǎng)絡(luò)中的信息流有選擇地處理，提高用戶網(wǎng)絡(luò)的性能。下圖是 NetEye VPN為企業(yè)提供VPN服務(wù)的拓樸結(jié)構(gòu)圖如圖3.13圖3.13 VPN拓?fù)浣Y(jié)構(gòu)圖從上圖可以看出，NetEye VPN提供了三種類型的VPN服務(wù):一種是企業(yè)內(nèi)部VPN， 即企業(yè)部與企業(yè)分支機(jī)構(gòu)之間建立的網(wǎng)絡(luò)到網(wǎng)絡(luò)的VPN；第二種是企業(yè)外部VPN，即 企業(yè)內(nèi)部網(wǎng)與其合作伙伴、供應(yīng)商、客戶之間建立的VPN；第三種就是遠(yuǎn)程訪問VPN， 即遠(yuǎn)程移動(dòng)用戶或在家工作的企業(yè)員工通過與本地ISP連接，并與企

25、業(yè)內(nèi)部網(wǎng)建立的VPN。3.6規(guī)劃和配置身份驗(yàn)證和授權(quán)策略項(xiàng)目管理安全組的工具如圖3.14工具功能ActiveDirectory 用戶和計(jì)算機(jī)用1 在Active Directory 吃，理用戶和當(dāng):的圖形丁 JIACL Editor用于管理資源的用戶和組的圖形工具WTioami命令窗1 1中訪叮令牌的完整內(nèi)容的C令打Dsadd創(chuàng)建組和管理組成員身份的命令行工具Ifmember列舉當(dāng)前成員所屬的所有組的命令行工具Getsid 比較兩個(gè)川戶賬尸的SID的命令行丁一具圖3.14管理安全組的工具在服務(wù)器操作系統(tǒng)中信任使用的身份驗(yàn)證方法如圖3.15信任類型驗(yàn)證協(xié)議父/子Kerberos1 NTLM樹/根

26、Kerberos, NTLM外部NTLM領(lǐng)域Kerberos林Kerberos, NTLM快捷方式Kerberos. NTLM圖3.15身份認(rèn)證方法與服務(wù)器操作系統(tǒng)相關(guān)的信任類型如圖3.16操作系統(tǒng)信任類型Windows Server 2003 林IE 的 身份驗(yàn)證林信任、單向或雙向外部倍有Windows Server 2003 知 Windows2000林間的身份驗(yàn)證.單向或雙向外部信任Windows Server 2003 林和Windows NT 4,0林間的身份驗(yàn)證叩向或雙向外部十任1運(yùn)行其他操作系統(tǒng)的服務(wù)器的 身份驗(yàn)狂領(lǐng)域信任圖3.16信任類型3.7安裝和配置證書頒發(fā)機(jī)構(gòu)及部署和管理

27、證書PKI和證書頒發(fā)機(jī)構(gòu)簡(jiǎn)介PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI是應(yīng)用程序和加密技術(shù)的組合，可以讓組織保護(hù)其通信和業(yè)務(wù)事務(wù)是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心 兀素是數(shù)字證書，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。管理證書應(yīng)用程序檢查證書狀態(tài)的方法、證書驗(yàn)證測(cè)試、多媒體演示：證書鏈引擎、吊銷證 書的原因碼、證書服務(wù)發(fā)布CRL的方式、CRL發(fā)布間隔的規(guī)劃標(biāo)準(zhǔn)、發(fā)布CRL發(fā) 布點(diǎn)的位置、修改發(fā)布位置的方法3.8加密文件系統(tǒng)的規(guī)劃、部署和故障排除EPS簡(jiǎn)介EFS能為NTFS磁盤卷上的文件提供文件級(jí)別的加密EFS的默認(rèn)配置無需管理工作一一用戶可以立即開始加密文件EFS使用對(duì)稱和非對(duì)稱加密算法來加密文件EFS的工作原理當(dāng)用戶初次加密文件時(shí)，EFS會(huì)在本地證書存儲(chǔ)區(qū)內(nèi)尋找供EFS使用的該用戶的證書(公鑰)如果證書可用，EFS為該文件生成一個(gè)隨機(jī)數(shù)，作為文件加密密鑰(FEK, File Encryption Key)，并用它加密文件，加密算法可用 DESX、3DES (Dat