計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理課件

1、計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理第8章 計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理教學(xué)目標(biāo)（1）了解網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理的概念；（2）了解網(wǎng)絡(luò)不安全的因素 ；（3）了解網(wǎng)絡(luò)安全的主要技術(shù) ；（4）熟悉Windows server 2003服務(wù)器的安全設(shè)置 ；（5）了解簡單網(wǎng)絡(luò)管理協(xié)議； （6）了解網(wǎng)絡(luò)管理的技術(shù)。 9/10/20222第8章 計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理教學(xué)目標(biāo)9/3/20224第8章 計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理教學(xué)內(nèi)容 8.1 計算機網(wǎng)絡(luò)安全概述 8.2 計算機網(wǎng)絡(luò)安全的主要技術(shù) 8.3 Windows Server 2003服務(wù)器的安全設(shè)置 8.4 網(wǎng)絡(luò)管理技術(shù)9/10/20223第

2、8章 計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理教學(xué)內(nèi)容9/3/20225計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理問題的提出 隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，在網(wǎng)絡(luò)給人們帶來便利的同時，人們也發(fā)現(xiàn)網(wǎng)絡(luò)中處處潛藏著安全的威脅，使計算機網(wǎng)絡(luò)面臨極大的挑戰(zhàn)，這就是計算機網(wǎng)絡(luò)的安全問題。 如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡(luò)管理必須考慮和必須解決的一個重要問題。9/10/20224計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理問題的提出 隨著計算機8.1 計算機網(wǎng)絡(luò)安全概述 計算機網(wǎng)絡(luò)安全（Computer Network Security）是一門涉及到計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息安全技術(shù)、密碼學(xué)、應(yīng)用數(shù)學(xué)、管

3、理學(xué)和信息論等多種學(xué)科的綜合性學(xué)科。9/10/202258.1 計算機網(wǎng)絡(luò)安全概述 計算機網(wǎng)絡(luò)安全（8.1 計算機網(wǎng)絡(luò)安全概述8.1.1 計算機網(wǎng)絡(luò)安全概念 1計算機網(wǎng)絡(luò)安全的含義 計算機網(wǎng)絡(luò)安全不是產(chǎn)品，也不是結(jié)果，而是一個過程。它由很多部分組成，包括硬件、軟件、網(wǎng)絡(luò)、接口、人以及之間相互關(guān)系等。 從廣義上說，計算機網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)硬件資源及網(wǎng)絡(luò)信息資源的安全性。 9/10/202268.1 計算機網(wǎng)絡(luò)安全概述8.1.1 計算機網(wǎng)絡(luò)安全概念9/8.1.1 計算機網(wǎng)絡(luò)安全概念 2計算機網(wǎng)絡(luò)安全的定義 國際標(biāo)準(zhǔn)化組織（ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安

4、全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。 由此，可以將計算機網(wǎng)絡(luò)的安全定義為：通過采用各種技術(shù)和管理措施，保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運行、網(wǎng)絡(luò)服務(wù)不中斷，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。9/10/202278.1.1 計算機網(wǎng)絡(luò)安全概念 2計算機網(wǎng)絡(luò)安全的定8.1.1 計算機網(wǎng)絡(luò)安全概念 3計算機網(wǎng)絡(luò)安全的屬性 在美國國家信息基礎(chǔ)設(shè)施（NII）的文獻(xiàn)中，給出了網(wǎng)絡(luò)安全的六個屬性：可用性、保密性、完整性、可靠性、不可抵賴性和可控性。 9/10/202288.1.1 計算機網(wǎng)絡(luò)安全概念

5、 3計算機網(wǎng)絡(luò)安全的屬8.1.2 計算機網(wǎng)絡(luò)面臨的安全威脅 所謂的網(wǎng)絡(luò)安全威脅是指某個實體（人、事件、程序等）對某一網(wǎng)絡(luò)資源的機密性、完整性、可用性及可靠性等可能造成的危害。 計算機網(wǎng)絡(luò)安全所面臨的威脅概括起來有兩種：一是對網(wǎng)絡(luò)中信息、數(shù)據(jù)的威脅，二是對網(wǎng)絡(luò)中設(shè)備的威脅。 9/10/202298.1.2 計算機網(wǎng)絡(luò)面臨的安全威脅 所謂的網(wǎng)8.1.2 計算機網(wǎng)絡(luò)面臨的安全威脅 1人為的惡意攻擊 來自機構(gòu)內(nèi)部威脅和來自入侵者的外部攻擊，是計算機網(wǎng)絡(luò)面臨的最大威脅。其一，以各種方式有選擇地破壞（篡改、偽造）對方信息的有效性和完整性，稱為主動攻擊；其二，在不影響網(wǎng)絡(luò)正常工作的情況下，以截獲、竊取、破譯

6、等手段獲得對方重要機密信息，稱為被動攻擊，如圖8-1所示。這兩種攻擊都會對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄露。9/10/2022108.1.2 計算機網(wǎng)絡(luò)面臨的安全威脅 1人為的惡意攻圖8-1 敵手對網(wǎng)絡(luò)通信過程中的攻擊手段9/10/202211圖8-1 敵手對網(wǎng)絡(luò)通信過程中的攻擊手段9/3/2022138.1.2 計算機網(wǎng)絡(luò)面臨的安全威脅 2人為的無意失誤 如用戶安全意識不高，設(shè)置口令不慎，容易被人破解；用戶把自己的賬號隨意轉(zhuǎn)借給別人或與他人共享；又如系統(tǒng)管理員對系統(tǒng)安全配置不當(dāng)形成的安全漏洞等，都會對計算機網(wǎng)絡(luò)安全造成威脅。9/10/2022128.1.2 計算機網(wǎng)絡(luò)面臨的安全

7、威脅 2人為的無意失8.1.2 計算機網(wǎng)絡(luò)面臨的安全威脅 3系統(tǒng)漏洞和缺陷 目前，不論是軟件還是硬件，不論是操作系統(tǒng)還是應(yīng)用軟件，都存在不同程度的漏洞和缺陷，這些都是導(dǎo)致網(wǎng)絡(luò)不安全的重要因素。 4實體摧毀 實體摧毀是計算機網(wǎng)絡(luò)安全面對的“硬殺傷”威脅。主要有電磁攻擊、兵力破壞和火力打擊三種。 9/10/2022138.1.2 計算機網(wǎng)絡(luò)面臨的安全威脅 3系統(tǒng)漏洞和缺陷98.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 由于網(wǎng)絡(luò)的各種操作系統(tǒng)和網(wǎng)絡(luò)通信的基本協(xié)議TCP/IP都存在著一定程度的漏洞，所以構(gòu)成網(wǎng)絡(luò)安全威脅主要有以下幾種因素，如圖8-2。 9/10/2022148.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 由

8、圖8-2 構(gòu)成網(wǎng)絡(luò)安全威脅的因素9/10/202215圖8-2 構(gòu)成網(wǎng)絡(luò)安全威脅的因素9/3/2022178.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素1操作系統(tǒng)的易被監(jiān)測性 使用Telnet或FTP連接遠(yuǎn)程主機上的賬戶，在網(wǎng)上傳輸?shù)目诹钍菦]有加密的。入侵者就可以通過監(jiān)視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令通過正常途徑登錄到系統(tǒng)。 9/10/2022168.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素1操作系統(tǒng)的易被監(jiān)測性98.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素2無法估計主機的安全性 主機系統(tǒng)的安全性無法很好地估計。隨著一個站點的主機數(shù)量的增加，確保每臺主機的安全性都處在高水平的能力卻在下降。只用管理

9、一臺主機的能力來管理如此多的系統(tǒng)就容易出錯。這些安全性較低的系統(tǒng)將成為薄弱環(huán)節(jié)，最終將破壞整個安全鏈。 9/10/2022178.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素2無法估計主機的安全性98.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素3有缺陷的局域網(wǎng)服務(wù) 主機的安全十分困難和繁瑣，有些站點為了降低管理要求并加強局域網(wǎng)，往往會使用諸如NIS和NFS類的服務(wù)，但卻帶來了不安全的因素，可以被有經(jīng)驗的入侵者利用而獲得訪問權(quán)。 9/10/2022188.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素3有缺陷的局域網(wǎng)服務(wù)9/8.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 4復(fù)雜的設(shè)置和控制 主機系統(tǒng)的訪問控制配置復(fù)雜且難以驗證，偶然的配置錯誤會使入

10、侵者獲取訪問權(quán)。 5易欺騙性 網(wǎng)絡(luò)通信協(xié)議的TCP或UDP服務(wù)相信主機的地址。如果使用“IP Source Routing”，那么入侵者的主機，就可以冒充一個被信任的主機或客戶的IP地址取代自己的地址，去對服務(wù)器進(jìn)行攻擊。 9/10/2022198.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 4復(fù)雜的設(shè)置和控8.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 6薄弱的認(rèn)證環(huán)節(jié) 網(wǎng)絡(luò)上的認(rèn)證通常是使用口令來實現(xiàn)的。由于口令多為靜態(tài)的，因此其薄弱環(huán)節(jié)眾人皆知，各種各樣的口令破解方式層出不窮。 7計算機病毒攻擊 計算機病毒是威脅網(wǎng)絡(luò)安全最重要的因素之一，由于網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備都是相互連接的，如果某一個設(shè)備（如服務(wù)器）受到病毒

11、的攻擊或系統(tǒng)受到病毒感染，它就可能危及到整個網(wǎng)絡(luò)。9/10/2022208.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 6薄弱的認(rèn)證環(huán)節(jié)9/8.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 8物理安全 網(wǎng)絡(luò)中包括了各種復(fù)雜的硬件、軟件和專用的通信設(shè)備，以及各種網(wǎng)絡(luò)傳輸介質(zhì)，大多數(shù)的網(wǎng)絡(luò)通信設(shè)備和連接都有可能存在安全隱患。即便是其中有任何一個出現(xiàn)問題，都會導(dǎo)致災(zāi)難性的后果。9/10/2022218.1.3 構(gòu)成網(wǎng)絡(luò)安全威脅的因素 8物理安全9/3/28.1.4 計算機網(wǎng)絡(luò)安全的目標(biāo) 計算機網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要是為了保護(hù)網(wǎng)絡(luò)信息系統(tǒng)，使其沒有危險、不受威脅、不出事故。從技術(shù)角度來說，網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要表現(xiàn)

12、在系統(tǒng)的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。9/10/2022228.1.4 計算機網(wǎng)絡(luò)安全的目標(biāo) 計算機網(wǎng)絡(luò)8.1.4 計算機網(wǎng)絡(luò)安全的目標(biāo)1可靠性 可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。2可用性 可用性是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用的特性。3保密性 保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。 9/10/2022238.1.4 計算機網(wǎng)絡(luò)安全的目標(biāo)1可靠性 9/3/20228.1.4 計算機網(wǎng)絡(luò)安全的目標(biāo)4完整性 完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。 5不可抵賴性 不可抵賴性也稱作不可否認(rèn)性，

13、在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。 6可控性 可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容進(jìn)行控制，保護(hù)其完整性和可用性。 9/10/2022248.1.4 計算機網(wǎng)絡(luò)安全的目標(biāo)4完整性9/3/202228.2 計算機網(wǎng)絡(luò)安全的主要技術(shù) 隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)威脅呈現(xiàn)多樣化。為了遏制各式各樣的網(wǎng)絡(luò)威脅，為網(wǎng)絡(luò)的發(fā)展?fàn)I造一個更安全的環(huán)境，已經(jīng)出現(xiàn)了許許多多的用于網(wǎng)絡(luò)安全的技術(shù)手段。 9/10/2022258.2 計算機網(wǎng)絡(luò)安全的主要技術(shù) 隨著計8.2.1 信息加密技術(shù)1對稱密碼體制 對稱密鑰體制的特點是無論加密還是解密都共用一把密鑰（Ke=Kd），或者雖不相同，但可

14、以由其中一個推導(dǎo)出另一個。其中最有影響的是1977年美國國家標(biāo)準(zhǔn)局頒布的DES算法（數(shù)據(jù)加密標(biāo)準(zhǔn)算法），加密解密過程如圖8-3所示。 9/10/2022268.2.1 信息加密技術(shù)1對稱密碼體制 9/3/2022明碼報文 密 碼密鑰密鑰明碼正文原文正本解密解密碼發(fā)送方接收方圖8-3 對稱加密使用相同的密鑰 9/10/202227明碼報文 密 碼密鑰密鑰解密解密碼發(fā)送方接收方圖8-38.2.1 信息加密技術(shù)2公開密鑰密碼體制 公開密鑰密碼體制的特點是加密鑰不等于解密鑰（KeKd），并且在計算上不能由加密鑰推出解密鑰。所以將加密鑰公開也不會危害解密鑰的安全。通常，把加密鑰稱為公鑰，解密鑰稱為私鑰。

15、其典型代表是1978年美國麻省理工學(xué)院RLRivest等人提出的RSA公開鑰密碼算法，它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。其加密解密過程如圖8-4所示。 9/10/2022288.2.1 信息加密技術(shù)2公開密鑰密碼體制9/3/2022 明碼報文 密 碼公鑰私鑰 明碼正文 原文正本解密解密碼發(fā)送方接收方圖8-4 公開密鑰碼算法 9/10/202229 明碼報文 密 碼公鑰私鑰解密解密碼發(fā)送方接收方圖88.2.1 信息加密技術(shù)3密鑰管理 根據(jù)近代密碼學(xué)的觀點，密碼系統(tǒng)的安全應(yīng)該只取決于密鑰的安全，而不取決于對算法的保密。這僅僅是在設(shè)計密碼算法時的要求，而

16、在實際應(yīng)用中對保密性要求高的系統(tǒng)仍必須對具體使用的算法實行保密。密鑰必須經(jīng)常更換，這是安全保密所要求的。因此無論是采用傳統(tǒng)密碼還是公鑰密碼，都存在密鑰管理問題。 9/10/2022308.2.1 信息加密技術(shù)3密鑰管理9/3/2022328.2.2 數(shù)字簽名技術(shù) 人們通常習(xí)慣于日常生活中的簽名，它對當(dāng)事人起到認(rèn)證、核準(zhǔn)與生效的作用。傳統(tǒng)的書面簽名形式有手簽、印章、指印等，而在計算機通信中則采用數(shù)字簽名。在此，簽名是證明當(dāng)事人身份與數(shù)據(jù)真實性的一種手段。9/10/2022318.2.2 數(shù)字簽名技術(shù) 人們通常習(xí)慣于日常生活中8.2.2 數(shù)字簽名技術(shù)1認(rèn)證技術(shù) 認(rèn)證又稱為鑒別或確認(rèn)，它用來證實被認(rèn)

17、證對象（人與事）是否名符其實或是否有效的一種過程。2數(shù)字簽名 盡管數(shù)字簽名與認(rèn)證都是用來保證數(shù)據(jù)的真實性，但二者有著明顯的區(qū)別，如圖8-5。 數(shù)字簽名必須保證以下3點：（1） 接收者能夠核實發(fā)送者對報文的簽名；（2）發(fā)送者事后不能抵賴對報文的簽名；（3）接收者不能偽造對報文的簽名。 9/10/2022328.2.2 數(shù)字簽名技術(shù)1認(rèn)證技術(shù)9/3/202234這是一條需要簽字的的信息這是一條需要簽字的的信息￥這是一條需要簽字的的信息這是一條需要的的信息A的私人密鑰A的簽名A的公開密鑰解密圖8-5 數(shù)字簽名9/10/202233這是一條需要簽字的的信息這是一條需要簽字的的信息8.2.3 防火墻技術(shù)

18、 防火墻（Firewall）技術(shù)假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù) 。防火墻是連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的橋梁，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)都可以訪問這臺主機，但內(nèi)部網(wǎng)絡(luò)上的主機不可以直接和外部網(wǎng)絡(luò)通信。 9/10/2022348.2.3 防火墻技術(shù) 防火墻（Firewa8.2.3 防火墻技術(shù)1包過濾技術(shù) 即在網(wǎng)絡(luò)的適當(dāng)位置對數(shù)據(jù)包實施有選擇的通過，可以防止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。2應(yīng)用網(wǎng)關(guān)技術(shù) 是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾、轉(zhuǎn)發(fā)技術(shù)，針對特別的網(wǎng)絡(luò)應(yīng)用協(xié)議指定數(shù)據(jù)過濾邏輯，并可以將數(shù)據(jù)包分析結(jié)果和采取措施進(jìn)行登記和統(tǒng)計，形成報告。3代理服務(wù)技術(shù) 代理服務(wù)是設(shè)置在Internet防火墻

19、網(wǎng)關(guān)的專用應(yīng)用級編碼。 9/10/2022358.2.3 防火墻技術(shù)1包過濾技術(shù)9/3/2022378.2.3 防火墻技術(shù)4防火墻的缺陷 限制服務(wù)類型和靈活性 防火墻最明顯的缺點是可能封鎖用戶所需的某些服務(wù)，如，Telnet、FTP、NFS等。 后門服務(wù)的可能性 防火墻不能防備從后門進(jìn)入Intranet，如不加限制的調(diào)制解調(diào)器仍然許可對防火墻禁止網(wǎng)點的服務(wù)，那么攻擊者就可以跳過防火墻。 制約信息傳輸?shù)乃俣取?防火墻也不能防備內(nèi)部人員的攻擊。 9/10/2022368.2.3 防火墻技術(shù)4防火墻的缺陷9/3/2022388.3 Windows Server 2003服務(wù)器的安全設(shè)置 要保障計算機

20、網(wǎng)絡(luò)的安全，首先要保障網(wǎng)絡(luò)服務(wù)器的安全運行。目前，Windows Server 2003是最流行的服務(wù)器操作系統(tǒng)之一，要使它能正常地運行還必須進(jìn)行正確的安全配置。 9/10/2022378.3 Windows Server 2003服務(wù)器的安全設(shè)8.3.1 定制Windows Server 20031版本的選擇 Windows Server 2003有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版。 2安裝組件的定制 Windows Server 2003系統(tǒng)在默認(rèn)情況下會安裝一些常用的組件，但是用戶應(yīng)該僅僅安裝確實需要的服務(wù)。根據(jù)安全原則：最少的服務(wù)最小的權(quán)限最大的安全。9/10/

21、2022388.3.1 定制Windows Server 20031版8.3.2 正確安裝Windows Server 20031分區(qū)和邏輯盤的分配 硬盤進(jìn)行分區(qū)時最少需要分為兩個以上的邏輯盤，分區(qū)格式全部采用NTFS格式：一個系統(tǒng)分區(qū)，一個應(yīng)用程序分區(qū)。 2安裝順序的選擇9/10/2022398.3.2 正確安裝Windows Server 20031 Windows Server 2003在安裝中有幾個順序一定注意： 何時接入網(wǎng)絡(luò) 系統(tǒng)補丁的更新 安裝MSSQL 分析計算機安全配置 備份系統(tǒng)8.3.2 正確安裝Windows Server 20038.3.2 正確安裝Windows Ser

22、ver 20039/10/202240 Windows Server 2003在安裝中有幾個順8.3.3 配置Windows Server 2003賬戶1系統(tǒng)管理員賬戶2陷阱帳號3Guest賬戶4登錄次數(shù)鎖定（如圖8-6所示 ）5安全設(shè)置（如圖8-7所示 ）6創(chuàng)建User賬戶 9/10/2022418.3.3 配置Windows Server 2003賬戶1圖8-6 登錄次數(shù)鎖定9/10/202242圖8-6 登錄次數(shù)鎖定9/3/202244圖8-7 安全設(shè)置9/10/202243圖8-7 安全設(shè)置9/3/2022458.3.4 網(wǎng)絡(luò)服務(wù)安全管理1禁止C$、D$、ADMIN$一類的缺省共享2解

23、除NetBios與TCP/IP協(xié)議的綁定3關(guān)閉不需要的服務(wù)4啟用防火墻9/10/2022448.3.4 網(wǎng)絡(luò)服務(wù)安全管理1禁止C$、D$、ADMIN$8.3.5 設(shè)置審核策略1本地安全策略設(shè)置（如下圖所示 ）9/10/2022458.3.5 設(shè)置審核策略1本地安全策略設(shè)置（如下圖所示 8.3.6 其它安全相關(guān)設(shè)置 1隱藏重要文件/目錄2防止SYN洪水攻擊3. 禁止響應(yīng)ICMP路由通告報文 4. 防止ICMP重定向報文的攻擊 5. 不支持IGMP協(xié)議 9/10/2022468.3.6 其它安全相關(guān)設(shè)置 1隱藏重要文件/目錄9/3/8.3.7 使用IPSec Internet 協(xié)議安全(Inter

24、net Protocol Security，簡稱IPSec)，是一種通過使用策略在 Internet 協(xié)議網(wǎng)絡(luò)上實現(xiàn)私密安全通訊的功能。使用 IPsec 可以限制對服務(wù)器的遠(yuǎn)程訪問。9/10/2022478.3.7 使用IPSec Intern1添加Web篩選器（如圖8-11所示 ）圖8-11 添加Web篩選器9/10/2022481添加Web篩選器（如圖8-11所示 ）圖8-11 添加W8.3.7 使用IPSec2添加所有入站篩選器3添加篩選器阻止4激活數(shù)據(jù)包篩選器5新IP安全策略操作6使用IPSec9/10/2022498.3.7 使用IPSec2添加所有入站篩選器9/3/28.3.8 使

25、用安全配置向?qū)?安全配置向?qū)?(Security Configuration Wizard，簡稱 SCW) 是Windows Server 2003的一個組件，利用它能確定服務(wù)器的一個或多個角色所需的最少功能，并禁用不必要的功能，從而縮小服務(wù)器的受攻擊面，提高服務(wù)器的安全性。 9/10/2022508.3.8 使用安全配置向?qū)?安全配置向?qū)?.4 網(wǎng)絡(luò)管理技術(shù) 隨著Inernet和Intranet應(yīng)用的普及，網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代社會正常運轉(zhuǎn)的支柱之一。由于網(wǎng)絡(luò)是一個非常復(fù)雜的分布式系統(tǒng)，網(wǎng)絡(luò)的狀態(tài)總是在不斷地變化。如何保證網(wǎng)絡(luò)安全、可靠、高效地運行，已成為一個重要的課題，而采用什么樣的網(wǎng)絡(luò)管理技術(shù)

26、才能對網(wǎng)絡(luò)進(jìn)行有效的管理和日常維護(hù)則是解決這個問題的關(guān)鍵。9/10/2022518.4 網(wǎng)絡(luò)管理技術(shù) 隨著Inerne8.4.1 網(wǎng)絡(luò)管理技術(shù)概念 網(wǎng)絡(luò)管理技術(shù)是計算機網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一，尤其在大型計算機網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理技術(shù)就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種計算機網(wǎng)絡(luò)控制技術(shù)。其目標(biāo)是確保計算機網(wǎng)絡(luò)的持續(xù)正常運行，并在計算機網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障。 9/10/2022528.4.1 網(wǎng)絡(luò)管理技術(shù)概念 網(wǎng)絡(luò)管理技8.4.1 網(wǎng)絡(luò)管理技術(shù)概念1系統(tǒng)的功能 即一個網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有哪些功能。 2網(wǎng)絡(luò)資源的表示 網(wǎng)絡(luò)管理很大一部分是對網(wǎng)絡(luò)中資源的管理。網(wǎng)

27、絡(luò)中的資源就是指網(wǎng)絡(luò)中的硬件、軟件以及所提供的服務(wù)等。3網(wǎng)絡(luò)管理信息的表示 網(wǎng)絡(luò)管理信息應(yīng)如何表示、怎樣傳遞、傳送的協(xié)議是什么？這些都是一個網(wǎng)絡(luò)管理系統(tǒng)必須考慮的問題。 4系統(tǒng)的結(jié)構(gòu) 即網(wǎng)絡(luò)管理系統(tǒng)的結(jié)構(gòu)是怎樣的。9/10/2022538.4.1 網(wǎng)絡(luò)管理技術(shù)概念1系統(tǒng)的功能9/3/202258.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能 網(wǎng)絡(luò)管理技術(shù)是伴隨著計算機、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的，二者相輔相成。 國際標(biāo)準(zhǔn)化組織（ISO）定義網(wǎng)絡(luò)管理技術(shù)有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。9/10/2022548.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能 網(wǎng)絡(luò)8.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功

28、能1網(wǎng)絡(luò)故障管理 需要有一個故障管理系統(tǒng)，科學(xué)地管理網(wǎng)絡(luò)中發(fā)生的所有故障，并記錄每個故障的產(chǎn)生及相關(guān)信息，最后確定并改正那些故障，保證網(wǎng)絡(luò)能提供連續(xù)可靠的服務(wù)。 9/10/2022558.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能1網(wǎng)絡(luò)故障管理9/3/28.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能2網(wǎng)絡(luò)配置管理 網(wǎng)絡(luò)系統(tǒng)常常處于動態(tài)變化中，如網(wǎng)絡(luò)系統(tǒng)本身要隨著用戶的增減、設(shè)備的維修或更新來調(diào)整網(wǎng)絡(luò)的配置。因此需要有足夠的技術(shù)手段來支持這種調(diào)整或改變，使網(wǎng)絡(luò)能更有效地工作。 9/10/2022568.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能2網(wǎng)絡(luò)配置管理9/3/28.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能3網(wǎng)絡(luò)性能管理 由于網(wǎng)絡(luò)資源的有限性，在使用最少的網(wǎng)絡(luò)資源和具有最少通信費用的前提下，網(wǎng)絡(luò)能提供持續(xù)、可靠的通信能力，并使網(wǎng)絡(luò)資源的使用達(dá)到最優(yōu)化的程度。 4網(wǎng)絡(luò)計費管理 當(dāng)計算機網(wǎng)絡(luò)系統(tǒng)中的信息資源是有償使用的情況下，需要能夠記錄和統(tǒng)計哪些用戶利用哪條通信線路傳輸了多少信息，以及做的是什么工作等。 9/10/2022578.4