局域網(wǎng)系統(tǒng)安全防范

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才

本章內(nèi)容7.1局域網(wǎng)安全分析與入侵檢測(cè)7.2局域網(wǎng)安全策略與實(shí)施7.3防火墻技術(shù)7.4局域網(wǎng)防病毒技術(shù)7.5虛擬專用網(wǎng)技術(shù)7.6課后小結(jié)與習(xí)題第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才【知識(shí)目標(biāo)】掌握網(wǎng)絡(luò)存在的安全威脅以及防范手段。掌握網(wǎng)絡(luò)防毒的基本知識(shí)。了解入侵檢測(cè)系統(tǒng)基礎(chǔ)知識(shí)。掌握防火墻的基本原理與典型應(yīng)用技術(shù)。了解漏洞掃描原理與常見(jiàn)的漏洞掃描軟件。了解VPN的具體應(yīng)用。第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才【技能目標(biāo)】能利用漏洞掃描工具檢測(cè)系統(tǒng)漏洞，分析漏洞掃描結(jié)果，并制定相應(yīng)的修補(bǔ)措施。能完成防火墻（硬件）以及網(wǎng)絡(luò)防病毒軟件的部署設(shè)計(jì)。能對(duì)服務(wù)器進(jìn)行安全設(shè)置。能建立配置VPN連接。第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才7.1局域網(wǎng)安全分析與入侵檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展已經(jīng)使全球信息化成為人類(lèi)發(fā)展的大趨勢(shì)，但是，由于計(jì)算機(jī)網(wǎng)絡(luò)的自身缺陷+開(kāi)放性+黑客攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。特別是對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)、國(guó)家安全系統(tǒng)和銀行系統(tǒng)等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，網(wǎng)絡(luò)安全措施應(yīng)是能全方位的，而且針對(duì)各種不同的威脅，只有這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才7.1.1網(wǎng)絡(luò)安全管理與安全威脅學(xué)習(xí)目標(biāo)：網(wǎng)絡(luò)安全的含義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不被偶然的或者惡意的攻擊而遭到破壞、更改和泄露，而且網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠地正常運(yùn)行。而實(shí)際上，網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)網(wǎng)絡(luò)安全模型

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才2.網(wǎng)絡(luò)安全的威脅第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才DDoS攻擊的過(guò)程

第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)網(wǎng)絡(luò)漏洞或系統(tǒng)漏洞攻擊

提升網(wǎng)絡(luò)技術(shù)打造網(wǎng)絡(luò)技能人才第7章局域網(wǎng)系統(tǒng)安全防范局域網(wǎng)組建與維護(hù)網(wǎng)絡(luò)安全策略（1）物理安全策略：物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器和打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊。這種安全策略需要驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。提升網(wǎng)網(wǎng)絡(luò)技技術(shù)打打造造網(wǎng)絡(luò)絡(luò)技能能人才才第7章章局局域網(wǎng)網(wǎng)系統(tǒng)統(tǒng)安全全防范范局域網(wǎng)網(wǎng)組建建與維維護(hù)（2））訪訪問(wèn)問(wèn)控制制策略略：訪訪問(wèn)問(wèn)控制制策略略是網(wǎng)網(wǎng)絡(luò)安安全防防范和和保護(hù)護(hù)的主主要策策略，，包括括入網(wǎng)網(wǎng)訪問(wèn)問(wèn)控制制、網(wǎng)網(wǎng)絡(luò)的的權(quán)限限控制制、目目錄級(jí)級(jí)安全全控制制、屬屬性安安全控控制、、網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)器安安全控控制、、網(wǎng)絡(luò)絡(luò)監(jiān)測(cè)測(cè)和鎖鎖定控控制、、網(wǎng)絡(luò)絡(luò)端口口和節(jié)節(jié)點(diǎn)的的安全全控制制，以以及防防火墻墻控制制等，，主要要任務(wù)務(wù)是保保證網(wǎng)網(wǎng)絡(luò)資資源不不被非非法使使用和和非正正常訪訪問(wèn)。。它也也是維維護(hù)網(wǎng)網(wǎng)絡(luò)系系統(tǒng)安安全、、保護(hù)護(hù)網(wǎng)絡(luò)絡(luò)資源源的重重要手手段。。各種種安全全策略略必須須相互互配合合才能能真正正起到到保護(hù)護(hù)作用用，但但訪問(wèn)問(wèn)控制制可以以說(shuō)是是保證證網(wǎng)絡(luò)絡(luò)安全全最重重要的的核心心策略略之一一。提升網(wǎng)網(wǎng)絡(luò)技技術(shù)打打造造網(wǎng)絡(luò)絡(luò)技能能人才才第7章章局局域網(wǎng)網(wǎng)系統(tǒng)統(tǒng)安全全防范范局域網(wǎng)網(wǎng)組建建與維維護(hù)（3））信信息加加密策策略：：信信息加加密策策略的的目的的是保保護(hù)網(wǎng)網(wǎng)絡(luò)中中的數(shù)數(shù)據(jù)、、文件件、密密碼和和控制制信息息，保保護(hù)網(wǎng)網(wǎng)上傳傳輸?shù)牡臄?shù)據(jù)據(jù)。網(wǎng)網(wǎng)絡(luò)加加密常常用的的方法法有鏈鏈路加加密、、端點(diǎn)點(diǎn)加密密和節(jié)節(jié)點(diǎn)加加密3種。。鏈路路加密密的目目的是是保護(hù)護(hù)網(wǎng)絡(luò)絡(luò)節(jié)點(diǎn)點(diǎn)之間間的鏈鏈路信信息安安全；；端點(diǎn)點(diǎn)加密密的目目的是是對(duì)源源端用用戶到到目的的端用用戶的的數(shù)據(jù)據(jù)提供供保護(hù)護(hù)；節(jié)節(jié)點(diǎn)加加密的的目的的是對(duì)對(duì)源節(jié)節(jié)點(diǎn)到到目的的節(jié)點(diǎn)點(diǎn)之間間的傳傳輸鏈鏈路提提供保保護(hù)。。信息息加密密過(guò)程程是由由形形形色色色的加加密算算法來(lái)來(lái)具體體實(shí)施施，它它以很很小的的代價(jià)價(jià)提供供很大大的安安全保保護(hù)。。用戶戶可根根據(jù)網(wǎng)網(wǎng)絡(luò)情情況酌酌情選選擇上上述加加密方方式。。提升網(wǎng)網(wǎng)絡(luò)技技術(shù)打打造造網(wǎng)絡(luò)絡(luò)技能能人才才第7章章局局域網(wǎng)網(wǎng)系統(tǒng)統(tǒng)安全全防范范局域網(wǎng)網(wǎng)組建建與維維護(hù)（4））網(wǎng)網(wǎng)絡(luò)安安全管管理策策略：：在在網(wǎng)絡(luò)絡(luò)安全全中，，除了了采用用上述述技術(shù)術(shù)措施施之外外，加加強(qiáng)網(wǎng)網(wǎng)絡(luò)的的安全全管理理，制制定有有關(guān)規(guī)規(guī)章制制度，，對(duì)于于確保保網(wǎng)絡(luò)絡(luò)安全全可靠靠地運(yùn)運(yùn)行將將起到到十分分有效效的作作用。。網(wǎng)絡(luò)絡(luò)的安安全管管理策策略包包括：：確定定安全全管理理等級(jí)級(jí)和安安全管管理范范圍；；制訂訂有關(guān)關(guān)網(wǎng)絡(luò)絡(luò)操作作使用用規(guī)程程和人人員出出入機(jī)機(jī)房管管理制制度；；制定定網(wǎng)絡(luò)絡(luò)系統(tǒng)統(tǒng)的維維護(hù)制制度和和應(yīng)急急措施施等。。提升網(wǎng)網(wǎng)絡(luò)技技術(shù)打打造造網(wǎng)絡(luò)絡(luò)技能能人才才7.2.2系系統(tǒng)安安全漏漏洞分分析1．什什么是是漏洞洞計(jì)算機(jī)機(jī)系統(tǒng)統(tǒng)是由由若干干描述述實(shí)體體配置置的當(dāng)當(dāng)前狀狀態(tài)所所組成成的，，這些些狀態(tài)態(tài)可分分為授授權(quán)狀狀態(tài)、、非授授權(quán)狀狀態(tài)以以及易易受攻攻擊狀狀態(tài)、、不易易受攻攻擊狀狀態(tài)。。容易易受攻攻擊的的狀態(tài)態(tài)是指指通過(guò)過(guò)授權(quán)權(quán)的狀狀態(tài)轉(zhuǎn)轉(zhuǎn)變從從非授授權(quán)狀狀態(tài)可可以到到達(dá)的的授權(quán)權(quán)狀態(tài)態(tài)。受受損狀狀態(tài)是是指已已完成成這種種轉(zhuǎn)變變的狀狀態(tài)，，攻擊擊是非非受損損狀態(tài)態(tài)到受受損狀狀態(tài)的的狀態(tài)態(tài)轉(zhuǎn)變變過(guò)程程。漏漏洞就就是指指區(qū)別別于所所有非非受損損狀態(tài)態(tài)的容容易受受攻擊擊的狀狀態(tài)特特征。。第7章章局局域網(wǎng)網(wǎng)系統(tǒng)統(tǒng)安全全防范范局域網(wǎng)網(wǎng)組建建與維維護(hù)提升網(wǎng)網(wǎng)絡(luò)技技術(shù)打打造造網(wǎng)絡(luò)絡(luò)技能能人才才漏洞特特點(diǎn)：：●編程程過(guò)程程中出出現(xiàn)邏邏輯錯(cuò)錯(cuò)誤是是很普普遍的的現(xiàn)象象，這這些錯(cuò)錯(cuò)誤絕絕大多多數(shù)都都是由由于疏疏忽造造成的的?！駭?shù)據(jù)據(jù)處理理例例如對(duì)對(duì)變量量賦值值比比數(shù)值值計(jì)算算更容容易出出現(xiàn)邏邏輯錯(cuò)錯(cuò)誤，，過(guò)小小和過(guò)過(guò)大的的程序序模塊塊都比比中等等程序序模塊塊更容容易出出現(xiàn)錯(cuò)錯(cuò)誤。?！衤┒炊春途呔唧w的的系統(tǒng)統(tǒng)環(huán)境境密切切相關(guān)關(guān)。在在不同同種類(lèi)類(lèi)的軟軟、硬硬件設(shè)設(shè)備中中，同同種設(shè)設(shè)備的的不同同版本本之間間，由由不同同設(shè)備備構(gòu)成成的不不同系系統(tǒng)之之間，，以及及同種種系統(tǒng)統(tǒng)在不不同的的設(shè)置置條件件下，，都會(huì)會(huì)存在在各自自不同同的安安全漏漏洞問(wèn)問(wèn)題。。●漏洞洞問(wèn)題題與時(shí)時(shí)間緊緊密相相關(guān)。。隨著著時(shí)間間的推推移，，舊的的漏洞洞會(huì)不不斷得得到修修補(bǔ)或或糾正正，新新的漏漏洞會(huì)會(huì)不斷斷出現(xiàn)現(xiàn)，因因而漏漏洞問(wèn)問(wèn)題會(huì)會(huì)長(zhǎng)期期存在在。第7章章局局域網(wǎng)網(wǎng)系統(tǒng)統(tǒng)安全全防范范局域網(wǎng)網(wǎng)組建建與維維護(hù)提升網(wǎng)網(wǎng)絡(luò)技技術(shù)打打造造網(wǎng)絡(luò)絡(luò)技能能人才才端口類(lèi)類(lèi)型一種是是TCP端端口，，一種種是UDP端口口。計(jì)計(jì)算機(jī)機(jī)之間間相互互通信信的時(shí)時(shí)候，，分為為兩種種方式式：一一種是是發(fā)送送信息息以后后，可可以確確認(rèn)信信息是是否到到達(dá)，，也就就是有有應(yīng)答答的方方式，，這種種方式式大多多采用用TCP協(xié)協(xié)議；；一種種是發(fā)發(fā)送以以后就就不管管了，，不去去確認(rèn)認(rèn)信息息是否否到達(dá)達(dá)，這這種方方式大大多采采用UDP協(xié)議議。對(duì)對(duì)應(yīng)這這兩種種協(xié)議議的服服務(wù)提提供的的端口口，也也就分分為T(mén)CP端口口和UDP端口口。第7章章局局域網(wǎng)網(wǎng)系統(tǒng)統(tǒng)安全全防范范局域網(wǎng)網(wǎng)組建建與維維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才常見(jiàn)TCP端口第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)常見(jiàn)UDP端口提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才2．漏洞掃掃描工具第一種針對(duì)對(duì)一個(gè)連續(xù)續(xù)網(wǎng)段掃描描特定端口口。這種工工具常用于于尋找特定定主機(jī)或者者特定服務(wù)務(wù)，比如WEB服務(wù)務(wù)器，也可可以用來(lái)檢檢測(cè)是否中中了木馬，，比如檢測(cè)測(cè)7626端口來(lái)檢檢測(cè)冰河。。這種工具具有NetBrute等。第二種針對(duì)對(duì)一臺(tái)特定定的服務(wù)器器掃描所有有端口。這這種工具常常用于攻擊擊一臺(tái)特定定主機(jī)以前前搜集此主主機(jī)的大致致信息，確確定攻擊方方案。這種種工具有SuperScan等。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才X-SCAN界面設(shè)設(shè)置第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才X-SCAN掃描網(wǎng)網(wǎng)段結(jié)果第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才補(bǔ)充：SuperScan軟軟件介紹：●小巧易用用，使用方方法比較簡(jiǎn)簡(jiǎn)單，而且且，軟件對(duì)對(duì)常用端口口有介紹；；●可以選擇擇需要掃描描的端口也也可以選擇擇所有端口口；●可以選擇擇掃描多個(gè)個(gè)網(wǎng)段；●其他功能能，比如取取得計(jì)算機(jī)機(jī)主機(jī)名計(jì)計(jì)算機(jī)，設(shè)設(shè)定掃描速速度。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才SuperScan界面組成成第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才SuperScan端口設(shè)置置第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才SuperScan端口掃描描結(jié)果第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才SuperScan使用注意意要點(diǎn)：1）明確確掃描目的的。任何對(duì)對(duì)目標(biāo)主機(jī)機(jī)的掃描都都會(huì)給目標(biāo)標(biāo)主機(jī)帶來(lái)來(lái)一定的額額外負(fù)載，，當(dāng)掃描端端口較多的的時(shí)候，掃掃描者就有有必要考慮慮掃描的目目的。如果果只是常規(guī)規(guī)維護(hù)，當(dāng)當(dāng)然掃描的的時(shí)候在主主機(jī)負(fù)載較較少的時(shí)候候最好；如如果為了攻攻擊作準(zhǔn)備備，最好掃掃描以前考考慮清除對(duì)對(duì)目標(biāo)計(jì)算算機(jī)產(chǎn)生的的影響同時(shí)時(shí)考慮是否否觸犯國(guó)家家有關(guān)法律律法規(guī)。2）掃描描結(jié)果的查查看。掃描描結(jié)束以后后，很多使使用者發(fā)現(xiàn)現(xiàn)目標(biāo)計(jì)算算機(jī)一個(gè)端端口也沒(méi)有有打開(kāi)！其其實(shí)不是這這樣的，軟軟件設(shè)計(jì)者者在設(shè)計(jì)軟軟件的時(shí)候候沒(méi)有注意意結(jié)果欄背背景色，所所以，在掃掃描的IP地址前面面有一個(gè)小小小的＋號(hào)號(hào)不能清楚楚地看見(jiàn)，，這時(shí)候，，我們點(diǎn)擊擊【Expandall】】展開(kāi)所有有接點(diǎn)才會(huì)會(huì)出現(xiàn)圖7-9所示示的結(jié)果。。3）掃描描速度的考考慮。如果果掃描目標(biāo)標(biāo)較多，建建議晚上進(jìn)進(jìn)行第二天天早上再看看結(jié)果，因因?yàn)閷?shí)在速速度不是很很快。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才３．服務(wù)器器端口的設(shè)設(shè)置（１）系統(tǒng)統(tǒng)設(shè)置：TCP/IP刪選界界面第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才(2)補(bǔ)補(bǔ)充軟軟件設(shè)置置1）阻止通通過(guò)Internet連接特特定端口的的PortBlockerPortBlocker設(shè)置置界面第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才2）IP地地址限制和和端口轉(zhuǎn)向向的PortMappingPortMapping設(shè)置界面第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才選擇【PortRedirection】，，出現(xiàn)端口口設(shè)置界面面,在圖中界界面我們可可以設(shè)置端端口、端口口對(duì)應(yīng)的協(xié)協(xié)議（TCP、UDP）、轉(zhuǎn)轉(zhuǎn)向的目標(biāo)標(biāo)（計(jì)算機(jī)機(jī)名或者IP地址））已經(jīng)接口口（來(lái)自局局域網(wǎng)還是是互聯(lián)網(wǎng)））。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才7.2.3網(wǎng)網(wǎng)絡(luò)安全防防御技術(shù)網(wǎng)絡(luò)的防御御措施應(yīng)是是能全方位位地針對(duì)各各種不同的的威脅和脆脆弱性，這這樣才能確確保網(wǎng)絡(luò)信信息的保密密性、完整整性和可用用性。安全問(wèn)題，，可分為兩兩種硬件系系統(tǒng)和軟件件系統(tǒng)的安安全問(wèn)題：：１、硬件系系統(tǒng)的安全全防護(hù)：分分為兩種：：物理安全和和設(shè)置安全全。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才（１）物理安全：：是指防止意意外事件或或人為破壞壞具體的物物理設(shè)備，，如服務(wù)器器、交換機(jī)機(jī)、路由器器等。要嚴(yán)嚴(yán)禁無(wú)關(guān)人人員進(jìn)入機(jī)機(jī)房，特別別是網(wǎng)絡(luò)中中心機(jī)房這這些敏感地地帶。（２２））設(shè)置置安安全全：：是指指在在設(shè)設(shè)備備上上進(jìn)進(jìn)行行必必要要的的設(shè)設(shè)置置（（如如服服務(wù)務(wù)器器、、交交換換機(jī)機(jī)的的密密碼碼等等）），，防防止止黑黑客客取取得得硬硬件件設(shè)設(shè)備備的的遠(yuǎn)遠(yuǎn)程程控控制制權(quán)權(quán)。。如如果果網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理員員沒(méi)沒(méi)有有在在服服務(wù)務(wù)器器或或可可網(wǎng)網(wǎng)管管的的交交換換機(jī)機(jī)上上設(shè)設(shè)置置必必要要的的密密碼碼口口令令，，那那么么就就會(huì)會(huì)使使懂懂得得網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備管管理理技技術(shù)術(shù)的的人人可可以以通通過(guò)過(guò)網(wǎng)網(wǎng)絡(luò)絡(luò)來(lái)來(lái)竊竊取取到到服服務(wù)務(wù)器器或或交交換換機(jī)機(jī)的的相相關(guān)關(guān)控控制制權(quán)權(quán)。。并并有有可可能能成成為為他他們們從從事事一一些些非非法法行行為為的的掩掩護(hù)護(hù)體體，，這這是是非非常常危危險(xiǎn)險(xiǎn)的的。。第7章章局局域域網(wǎng)網(wǎng)系系統(tǒng)統(tǒng)安安全全防防范范局域域網(wǎng)網(wǎng)組組建建與與維維護(hù)護(hù)提升升網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù)打打造造網(wǎng)網(wǎng)絡(luò)絡(luò)技技能能人人才才校園園網(wǎng)網(wǎng)的的網(wǎng)網(wǎng)絡(luò)絡(luò)結(jié)結(jié)構(gòu)構(gòu)第7章章局局域域網(wǎng)網(wǎng)系系統(tǒng)統(tǒng)安安全全防防范范局域域網(wǎng)網(wǎng)組組建建與與維維護(hù)護(hù)提升升網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù)打打造造網(wǎng)網(wǎng)絡(luò)絡(luò)技技能能人人才才２、、軟軟件件系系統(tǒng)統(tǒng)的的安安全全防防護(hù)護(hù)（１１））安安裝裝補(bǔ)補(bǔ)丁丁程程序序任何何操操作作系系統(tǒng)統(tǒng)都都有有漏漏洞洞，，網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)管管理理員員應(yīng)應(yīng)該該及及時(shí)時(shí)地地裝裝上上系系統(tǒng)統(tǒng)““補(bǔ)補(bǔ)丁丁””。。目目前前大大部部分分校校園園服服務(wù)務(wù)器器應(yīng)應(yīng)用用的的多多是是WindowsNT/2000操操作作系系統(tǒng)統(tǒng)，，由由于于微微軟軟的的操操作作系系統(tǒng)統(tǒng)經(jīng)經(jīng)常常被被人人作作為為攻攻擊擊的的對(duì)對(duì)象象，，所所以以被被找找出出漏漏洞洞也也特特多多，，為為彌彌補(bǔ)補(bǔ)操操作作系系統(tǒng)統(tǒng)的的安安全全漏漏洞洞，，微微軟軟公公司司也也會(huì)會(huì)不不定定時(shí)時(shí)地地在在其其網(wǎng)網(wǎng)站站上上提提供供了了許許多多補(bǔ)補(bǔ)丁丁程程序序。。第7章章局局域域網(wǎng)網(wǎng)系系統(tǒng)統(tǒng)安安全全防防范范局域域網(wǎng)網(wǎng)組組建建與與維維護(hù)護(hù)提升升網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù)打打造造網(wǎng)網(wǎng)絡(luò)絡(luò)技技能能人人才才（２２））安安裝裝和和設(shè)設(shè)置置防防火火墻墻現(xiàn)在在有有許許多多基基于于硬硬件件或或軟軟件件的的防防火火墻墻，，如如華華為為、、神神州州數(shù)數(shù)碼碼、、聯(lián)聯(lián)想想、、瑞瑞星星等等廠廠商商的的產(chǎn)產(chǎn)品品。。對(duì)對(duì)于于校校園園網(wǎng)網(wǎng)來(lái)來(lái)說(shuō)說(shuō)，，安安裝裝防防火火墻墻是是非非常常必必要要的的。。防防火火墻墻對(duì)對(duì)于于非非法法訪訪問(wèn)問(wèn)具具有有委委好好的的預(yù)預(yù)防防作作用用，，但但并并濁濁有有了了防防火火墻墻之之后后就就可可以以什什么么事事也也不不用用擔(dān)擔(dān)憂憂了了，，防防火火墻墻是是要要進(jìn)進(jìn)行行適適當(dāng)當(dāng)?shù)牡脑O(shè)設(shè)置置才才能能起起到到相相關(guān)關(guān)的的保保護(hù)護(hù)作作用用。。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才（３）安裝網(wǎng)網(wǎng)絡(luò)殺毒軟件件與網(wǎng)絡(luò)黑客的的攻擊相比，，網(wǎng)絡(luò)病毒也也同樣令人不不可小看。而而領(lǐng)教過(guò)“尼尼姆達(dá)”病毒毒和“CIH”病毒的厲厲害后，大家家都知道需要要在網(wǎng)絡(luò)服務(wù)務(wù)上安裝網(wǎng)絡(luò)絡(luò)版的殺毒軟軟件來(lái)扼殺病病毒的傳播。。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才（４）設(shè)置帳帳號(hào)和密碼保保護(hù)帳號(hào)和密碼保保護(hù)可以說(shuō)是是系統(tǒng)的第一一道防線，目目前網(wǎng)上大部部分對(duì)系統(tǒng)的的攻擊都是從從截獲或猜測(cè)測(cè)密碼開(kāi)始的的。一旦黑客客進(jìn)入了系統(tǒng)統(tǒng)，那么前面面的防衛(wèi)措施施就幾乎沒(méi)有有作用了，所所以對(duì)服務(wù)器器系統(tǒng)管理員員的帳號(hào)和密密碼進(jìn)行嚴(yán)格格管理是保證證系統(tǒng)安全是是非常重要的的措施。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才（５）監(jiān)測(cè)系系統(tǒng)日志通過(guò)運(yùn)行系統(tǒng)統(tǒng)日志程序，，系統(tǒng)會(huì)自動(dòng)動(dòng)記錄下所有有用戶訪問(wèn)系系統(tǒng)的使用資資源的情況。。這包括最近近登錄時(shí)間、、使用的帳號(hào)號(hào)、進(jìn)行的活活動(dòng)等。日志志程序會(huì)定期期生成報(bào)表，，通過(guò)對(duì)報(bào)表表進(jìn)行分析，，可以知道是是否有異?，F(xiàn)現(xiàn)象。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才（６）關(guān)閉不不需要的服務(wù)務(wù)和端口服務(wù)器操作系系統(tǒng)在安裝的的時(shí)候，會(huì)啟啟動(dòng)一些不需需要的服務(wù)，，這樣不僅浪浪費(fèi)系統(tǒng)的資資源，而且也也會(huì)令系統(tǒng)安安全性降低。。對(duì)于假期期期間不用的服服務(wù)器，可以以完全關(guān)閉；；對(duì)于假期期期間要使用的的服務(wù)器，應(yīng)應(yīng)關(guān)閉不需要要的服務(wù)，如如Telnet等。另外外，還要關(guān)掉掉沒(méi)有必要開(kāi)開(kāi)的TCP端端口。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才（７）定期對(duì)對(duì)服務(wù)器進(jìn)行行備份為防止不可預(yù)預(yù)料的系統(tǒng)故故障或用戶不不小心的非法法操作，必須須對(duì)系統(tǒng)進(jìn)行行安全備份。。除了對(duì)全系系統(tǒng)進(jìn)行每月月一次的備份份外，還應(yīng)對(duì)對(duì)修改過(guò)的數(shù)數(shù)據(jù)進(jìn)行每周周一次的備份份。同時(shí)，應(yīng)應(yīng)該將修改過(guò)過(guò)的重要文件件存放在不同同的服務(wù)器上上，以免出現(xiàn)現(xiàn)系統(tǒng)崩潰時(shí)時(shí)數(shù)據(jù)的損失失。這樣可地地將系統(tǒng)恢復(fù)復(fù)到正常狀態(tài)態(tài)。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才3.局域網(wǎng)網(wǎng)安全解決方法(1)網(wǎng)絡(luò)絡(luò)分段網(wǎng)絡(luò)分段是控控制網(wǎng)絡(luò)廣播播風(fēng)暴的一種種基本手段，，但同時(shí)也是是網(wǎng)絡(luò)安全采采用的一項(xiàng)重重要措施，其其目的是將非非法用戶與敏敏感的網(wǎng)絡(luò)資資源相互隔離離，防止其非非法偵聽(tīng)，網(wǎng)網(wǎng)絡(luò)分段可分分為物理分段段和邏輯分段段兩種方式。。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才(2)以交交換式集線器器代替共享式式集線器以局域網(wǎng)的中中心交換機(jī)進(jìn)進(jìn)行網(wǎng)絡(luò)分段段后，也并不不就是說(shuō)以太太網(wǎng)偵聽(tīng)的危危險(xiǎn)就沒(méi)有了了。這是因?yàn)闉榫W(wǎng)絡(luò)最終用用戶的接入往往往是通過(guò)分分支集線器而而不是中心交交換機(jī)，而使使用最廣泛的的分支集線器器通常是共享享式集線器。。這樣，當(dāng)用用戶與主機(jī)進(jìn)進(jìn)行通訊時(shí)，，兩臺(tái)機(jī)間的的數(shù)據(jù)包依然然會(huì)被同一臺(tái)臺(tái)集線器上的的其他用戶所所偵聽(tīng)。這里里有一種危險(xiǎn)險(xiǎn)的情況是：：當(dāng)用戶Telnet到到一臺(tái)主機(jī)后后，由于Telnet程程序本身缺乏乏加密功能，，用戶所鍵入入的每一個(gè)字字符（包括用用戶名、密碼碼等重要信息息）發(fā)布于在在這段網(wǎng)絡(luò)之之中。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才(3)VLAN的劃分分解決以太網(wǎng)的的廣播問(wèn)題，，使用VLAN技術(shù)是比比較有效的手手段。將以太太網(wǎng)通信變?yōu)闉辄c(diǎn)到點(diǎn)通信信，能夠防止止大部分基于于網(wǎng)絡(luò)偵聽(tīng)的的入侵。VLAN內(nèi)部部的連接采用用交換實(shí)現(xiàn)，，而VLAN與VLAN之間的連接接則采用路由由實(shí)現(xiàn)。目前前，大多數(shù)的的交換機(jī)都支支持RIP和和OSPF這這兩種國(guó)際標(biāo)標(biāo)準(zhǔn)的路由協(xié)協(xié)議。交換式式集線器和VLAN交換換機(jī)都是采用用交換技術(shù)作作為核心，它它們控制廣播播及防范黑客客非常有效，，但同時(shí)也給給一些基于廣廣播原理的入入侵監(jiān)控技術(shù)術(shù)和協(xié)議分析析技術(shù)造成麻麻煩。因此，，如果局域網(wǎng)網(wǎng)內(nèi)存在這樣樣的入侵監(jiān)控控設(shè)備或協(xié)議議分析設(shè)備，，就必須選用用特殊的帶有有SPAN(SwitchPortAnalyzer)功能能的交換機(jī)。。這種交換機(jī)機(jī)允許系統(tǒng)管管理員交全部部或某些交換換端口的數(shù)據(jù)據(jù)包映射到指指定的端口上上，提供給接接在這一端口口上的監(jiān)控設(shè)設(shè)備或協(xié)議分分析設(shè)備。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才4.廣域網(wǎng)網(wǎng)安全性主要包括：●除了發(fā)送方方和接收方外外，其他人是是無(wú)法知悉的的（隱私性））?！駛鬏斶^(guò)程中中不被篡改（（真實(shí)性）。?！癜l(fā)送方能確確知接收方不不是假冒的（（非偽裝性））?！癜l(fā)送方不能能否認(rèn)自己的的發(fā)送行為(不可抵賴性性)。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才廣域網(wǎng)安全方法：（１）加密技技術(shù)加密型網(wǎng)絡(luò)網(wǎng)網(wǎng)絡(luò)技術(shù)的基基本思想是不不依賴于網(wǎng)絡(luò)絡(luò)中數(shù)據(jù)通道道的安全性來(lái)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系系統(tǒng)的安全，，而是通過(guò)對(duì)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的的加密來(lái)保障障網(wǎng)絡(luò)的安全全可靠性。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才（２）VPN技術(shù)VPN（虛擬擬專網(wǎng)）技術(shù)術(shù)的核心是采采用隧道技術(shù)術(shù)，將企業(yè)專專網(wǎng)的數(shù)據(jù)加加密封裝后，，透過(guò)虛擬的的公網(wǎng)隧道進(jìn)進(jìn)行傳輸，從從而防止敏感感數(shù)據(jù)被竊。。VPN可以以在Internet、、服務(wù)提供商商的IP幀中中繼或ATM網(wǎng)上建立。。企業(yè)通過(guò)公公網(wǎng)建立VPN，就如同同通過(guò)自己的的專用網(wǎng)建立立內(nèi)部網(wǎng)一樣樣，享有較高高的安全性、、優(yōu)先性、可可靠性和可管管理性，而其其建立周期、、投入資金和和維護(hù)費(fèi)用卻卻大大降低，，同時(shí)還為移移動(dòng)計(jì)算提供供了可能。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才（３）身份認(rèn)認(rèn)證技術(shù)對(duì)于從外部撥撥號(hào)訪問(wèn)內(nèi)部部網(wǎng)的用戶，，由于使用公公共電話網(wǎng)進(jìn)進(jìn)行數(shù)據(jù)傳輸輸所帶來(lái)的風(fēng)風(fēng)險(xiǎn)，必須更更加嚴(yán)格控制制其安全性。。一種常見(jiàn)的的做法是采用用身份認(rèn)證技技術(shù)，對(duì)撥號(hào)號(hào)用戶的身份份進(jìn)行驗(yàn)證并并記錄完備的的登錄日志。。較常用的身身份認(rèn)證技術(shù)術(shù)有Cisco公司提出出的TACACS+以及及業(yè)界標(biāo)準(zhǔn)的的RADIUS。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才5.外外部網(wǎng)安全全對(duì)外部網(wǎng)安安全的威脅脅主要表現(xiàn)現(xiàn)在：非授授權(quán)訪問(wèn)、、冒充合法法用戶、破破壞數(shù)據(jù)完完整性、干干擾系統(tǒng)正正常運(yùn)行、、利用網(wǎng)絡(luò)絡(luò)傳播病毒毒、線路竊竊聽(tīng)等。而而外部網(wǎng)安安全解決辦辦法主要依依靠防火墻墻技術(shù)、入入侵檢測(cè)技技術(shù)和網(wǎng)絡(luò)絡(luò)防病毒技技術(shù)。在實(shí)實(shí)際的外部部網(wǎng)安全設(shè)設(shè)計(jì)中，往往往采取上上述三種技技術(shù)相結(jié)合合的方式。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才7.2.4入入侵檢測(cè)系系統(tǒng)1．入入侵檢測(cè)系系統(tǒng)簡(jiǎn)介入侵檢測(cè)（（IntrusionDetection）），顧名思思義，是對(duì)對(duì)入侵行為為的發(fā)覺(jué)。。它通過(guò)對(duì)對(duì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)或計(jì)算算機(jī)系統(tǒng)中中的若干關(guān)關(guān)鍵點(diǎn)收集集信息并對(duì)對(duì)其進(jìn)行分分析，從中中發(fā)現(xiàn)網(wǎng)絡(luò)絡(luò)或系統(tǒng)中中是否有違違反安全策策略的行為為和被攻擊擊的跡象。。進(jìn)行入侵侵檢測(cè)的軟軟件與硬件件的組合便便是入侵檢檢測(cè)系統(tǒng)（（IntrusionDetectionSystem,簡(jiǎn)簡(jiǎn)稱IDS）。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才防火墻與IDS結(jié)合合的整體模模型圖第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)模式庫(kù)匹配防火墻少量鉆入防火墻入侵者網(wǎng)站內(nèi)部網(wǎng)站外部外來(lái)入侵者被防火墻擋住的入侵報(bào)警提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才IDS防護(hù)護(hù)過(guò)程：當(dāng)有外來(lái)入入侵者的時(shí)時(shí)候，一部部分入侵由由于沒(méi)有獲獲得防火墻墻的信任，，首先就被被防火墻隔隔離在外，，而另一部部分騙過(guò)防防火墻的攻攻擊，或者者干脆是內(nèi)內(nèi)部攻擊沒(méi)沒(méi)經(jīng)過(guò)防火火墻的，再再一次受到到了入侵檢檢測(cè)系統(tǒng)的的盤(pán)查，受受到懷疑的的數(shù)據(jù)包經(jīng)經(jīng)預(yù)處理模模塊分檢后后，送到相相應(yīng)的模塊塊里去進(jìn)一一步檢查，，當(dāng)對(duì)規(guī)則則樹(shù)進(jìn)行掃掃描后，發(fā)發(fā)現(xiàn)某些數(shù)數(shù)據(jù)包與規(guī)規(guī)則庫(kù)中的的某些攻擊擊特征相符符，立即切切斷這個(gè)IP的訪問(wèn)問(wèn)請(qǐng)求，或或者報(bào)警。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才IDS具有有以下主要要作用：●通過(guò)檢測(cè)測(cè)和記錄網(wǎng)網(wǎng)絡(luò)中的安安全違規(guī)行行為，懲罰罰網(wǎng)絡(luò)犯罪罪，防止網(wǎng)網(wǎng)絡(luò)入侵事事件的發(fā)生生；●檢測(cè)其他他安全措施施未能阻止止的攻擊或或安全違規(guī)規(guī)行為；●檢測(cè)黑客客在攻擊前前的探測(cè)行行為，預(yù)先先給管理員員發(fā)出警報(bào)報(bào)；報(bào)告計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)或網(wǎng)絡(luò)中中存在的安安全威脅；；●提供有關(guān)關(guān)攻擊的信信息，幫助助管理員診診斷網(wǎng)絡(luò)中中存在的安安全弱點(diǎn)，，利于其進(jìn)進(jìn)行修補(bǔ)；；●在大型、、復(fù)雜的計(jì)計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)中布置入入侵檢測(cè)系系統(tǒng)，可以以顯著提高高網(wǎng)絡(luò)安全全管理的質(zhì)質(zhì)量。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才2．入入侵檢測(cè)系系統(tǒng)的分類(lèi)類(lèi)（1）一一般劃分為為：主機(jī)型型和網(wǎng)絡(luò)型型?！裰鳈C(jī)型入入侵檢測(cè)系系統(tǒng)（Host-basedIDS，HIDS）往往往以系統(tǒng)日日志、應(yīng)用用程序日志志等作為數(shù)數(shù)據(jù)源，當(dāng)當(dāng)然也可以以通過(guò)其他他手段（如如監(jiān)督系統(tǒng)統(tǒng)調(diào)用）從從所在的主主機(jī)收集信信息進(jìn)行分分析。主機(jī)機(jī)型入侵檢檢測(cè)系統(tǒng)保保護(hù)的一般般是所在的的系統(tǒng)。主主機(jī)型IDS的缺點(diǎn)點(diǎn)顯而易見(jiàn)見(jiàn)：必須為為不同平臺(tái)臺(tái)開(kāi)發(fā)不同同的程序、、增加系統(tǒng)統(tǒng)負(fù)荷、所所需安裝數(shù)數(shù)量眾多等等，但是內(nèi)內(nèi)在結(jié)構(gòu)卻卻沒(méi)有任何何束縛，同同時(shí)可以利利用操作系系統(tǒng)本身提提供的功能能、并結(jié)合合異常分析析，更準(zhǔn)確確的報(bào)告攻攻擊行為。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才●網(wǎng)絡(luò)型入入侵檢測(cè)系系統(tǒng)(Network-basedIDS，，NIDS)NIDS的的數(shù)據(jù)源則則是網(wǎng)絡(luò)上上的數(shù)據(jù)包包。往往將將一臺(tái)機(jī)子子的網(wǎng)卡設(shè)設(shè)于混雜模模式（promiscmode）,監(jiān)聽(tīng)所有有本網(wǎng)段內(nèi)內(nèi)的數(shù)據(jù)包包并進(jìn)行判判斷是否有有黑客/駭駭客試圖進(jìn)進(jìn)入系統(tǒng)(或者進(jìn)行行拒絕服務(wù)務(wù)攻擊DoS)。一一個(gè)典型的的例子是一一個(gè)系統(tǒng)觀觀察到一個(gè)個(gè)目標(biāo)主機(jī)機(jī)的很多不不同端口的的大量TCP連接請(qǐng)請(qǐng)求(SYN),來(lái)來(lái)發(fā)現(xiàn)是否否有人正在在進(jìn)行TCP的端口口掃描。一一個(gè)NIDS可以運(yùn)運(yùn)行在目標(biāo)標(biāo)主機(jī)上觀觀察他自己己的流量(通常集成成在協(xié)議棧棧或服務(wù)本本身),也也可以運(yùn)行行在獨(dú)立主主機(jī)上觀察察整個(gè)網(wǎng)絡(luò)絡(luò)的流量(集線器,路由器器,探測(cè)測(cè)器[probe])。注意意一個(gè)"網(wǎng)網(wǎng)絡(luò)"IDS監(jiān)視很很多主機(jī)。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才入侵檢測(cè)的的部署點(diǎn)可以劃分為為4個(gè)位置置：①DMZ區(qū)區(qū)、②外網(wǎng)網(wǎng)入口、③③內(nèi)網(wǎng)主干干、④關(guān)鍵鍵子網(wǎng)第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才IDS存在在的問(wèn)題(1)．誤誤/漏報(bào)率率高ids常用用的檢測(cè)方方法有特征征檢測(cè)、異異常檢測(cè)、、狀態(tài)檢測(cè)測(cè)、協(xié)議分分析等。而而這些檢測(cè)測(cè)方式都存存在缺陷。。比如異常常檢測(cè)通常常采用統(tǒng)計(jì)計(jì)方法來(lái)進(jìn)進(jìn)行檢測(cè)，，而統(tǒng)計(jì)方方法中的閾閾值難以有有效確定，，太小的值值會(huì)產(chǎn)生大大量的誤報(bào)報(bào)，太大的的值又會(huì)產(chǎn)產(chǎn)生大量的的漏報(bào)。而而在協(xié)議分分析的檢測(cè)測(cè)方式中，，一般的ids只簡(jiǎn)簡(jiǎn)單地處理理了常用的的如http、ftp、smtp等，，其余大量量的協(xié)議報(bào)報(bào)文完全可可能造成ids漏報(bào)報(bào)，如果考考慮支持盡盡量多的協(xié)協(xié)議類(lèi)型分分析，網(wǎng)絡(luò)絡(luò)的成本將將無(wú)法承受受。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才(2)．沒(méi)沒(méi)有主動(dòng)防防御能力ids技術(shù)術(shù)采用了一一種預(yù)設(shè)置置式、特征征分析式工工作原理，，所以檢測(cè)測(cè)規(guī)則的更更新總是落落后于攻擊擊手段的更更新。(3)．缺缺乏準(zhǔn)確定定位和處理理機(jī)制ids僅能識(shí)識(shí)別ip地地址，無(wú)法法定位ip地址，不不能識(shí)別數(shù)數(shù)據(jù)來(lái)源。。ids系系統(tǒng)在發(fā)現(xiàn)現(xiàn)攻擊事件件的時(shí)候，，只能關(guān)閉閉網(wǎng)絡(luò)出口口和服務(wù)器器等少數(shù)端端口，但這這樣關(guān)閉同同時(shí)會(huì)影響響其他正常常用戶的使使用。因而而其缺乏更更有效的響響應(yīng)處理機(jī)機(jī)制。(4)．性性能普遍不不足現(xiàn)現(xiàn)在市市場(chǎng)上像東東軟NetEyeIDS、瑞星、東東方龍馬等等公司提供供的NIDS產(chǎn)品大大多采用的的是特征檢檢測(cè)技術(shù)，，這種ids產(chǎn)品已已不能適應(yīng)應(yīng)交換技術(shù)術(shù)和高帶寬寬環(huán)境的發(fā)發(fā)展，在大大流量沖擊擊、多ip分片情況況下都可能能造成ids的癱瘓瘓或丟包，，形成dos攻擊。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才4.IDS產(chǎn)品品由于目前IDS產(chǎn)品品普遍存在在的問(wèn)題，，為提供給給客戶網(wǎng)絡(luò)絡(luò)安全保障障的一個(gè)高高效能且功功能完整的的網(wǎng)絡(luò)入侵侵偵測(cè)防御御系統(tǒng)，網(wǎng)網(wǎng)絡(luò)安全專專家們提出出了藍(lán)盾入入侵檢測(cè)系系統(tǒng)，它徹徹底解決了了其它IDS系統(tǒng)存存在的千兆兆丟包問(wèn)題題，是一種種積極主動(dòng)動(dòng)的安全防防護(hù)系統(tǒng)，，而且融合合了多種國(guó)國(guó)際先進(jìn)技技術(shù)和設(shè)計(jì)計(jì)，采用了了智能模式式匹配與復(fù)復(fù)雜協(xié)議分分析融合技技術(shù)、跨網(wǎng)網(wǎng)段檢測(cè)及及集中管理理技術(shù)、遠(yuǎn)遠(yuǎn)程在線升升級(jí)技術(shù)等等，具有千千兆網(wǎng)絡(luò)支支持，超大大背景流量量過(guò)濾功能能，提供了了對(duì)內(nèi)部攻攻擊、外部部攻擊和誤誤操作的實(shí)實(shí)時(shí)監(jiān)控。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才藍(lán)盾入侵檢檢測(cè)系統(tǒng)功功能界面：：第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才藍(lán)盾入侵檢檢測(cè)系統(tǒng)突突破傳統(tǒng)方方法，國(guó)際際首創(chuàng)“反反向拍照技技術(shù)”，不不但能捕捉捉到黑客的的IP和其其它入侵信信息，還能能給黑客拍拍一張“全全身照”，，為有關(guān)部部門(mén)進(jìn)一步步追蹤黑客客和取證提提供了有力力的依據(jù)。。已被各級(jí)級(jí)政府機(jī)關(guān)關(guān)、公安、、軍隊(duì)和大大、中企業(yè)業(yè)使用，用用戶反應(yīng)良良好。同類(lèi)著名產(chǎn)產(chǎn)品還有清清華紫光入入侵檢測(cè)系系統(tǒng)、硬件件入侵檢測(cè)測(cè)系統(tǒng)安全全、方通入入侵檢測(cè)系系統(tǒng)解決方方案、瑞星星入侵檢測(cè)測(cè)系統(tǒng)等。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才7.2局局域網(wǎng)網(wǎng)安全策略略與實(shí)施7.2.1服服務(wù)器安全全設(shè)置用戶安全設(shè)設(shè)置禁用Guest賬號(hào)號(hào)：在計(jì)計(jì)算機(jī)管理理的用戶里里面把Guest賬賬號(hào)禁用。。為了保險(xiǎn)險(xiǎn)起見(jiàn)，最最好給Guest加加一個(gè)復(fù)雜雜的密碼。。你可以打打開(kāi)記事本本，在里面面輸入一串串包含特殊殊字符、數(shù)數(shù)字、字母母的長(zhǎng)字符符串，然后后把它作為為Guest用戶的的密碼拷進(jìn)進(jìn)去。(2)限限制不必要要的用戶：：去掉所所有的DuplicateUser用戶、測(cè)測(cè)試用戶、、共享用戶戶等等。用用戶組策略略設(shè)置相應(yīng)應(yīng)權(quán)限，并并且經(jīng)常檢檢查系統(tǒng)的的用戶，刪刪除已經(jīng)不不再使用的的用戶。這這些用戶很很多時(shí)候都都是黑客們們?nèi)肭窒到y(tǒng)統(tǒng)的突破口口。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才(3)創(chuàng)創(chuàng)建兩個(gè)管管理員賬號(hào)號(hào)：創(chuàng)建建一個(gè)一般般權(quán)限用戶戶用來(lái)收信信以及處理理一些日常常事物，另另一個(gè)擁有有Administrators權(quán)權(quán)限的用戶戶只在需要要的時(shí)候使使用。(4)把把系統(tǒng)Administrator賬賬號(hào)改名：：大家都都知道，Windows2003的的Administrator用戶戶是不能被被停用的，，這意味著著別人可以以一遍又一一遍地嘗試試這個(gè)用戶戶的密碼。。盡量把它它偽裝成普普通用戶，，比如改成成Guesycludx。(5)創(chuàng)創(chuàng)建一個(gè)陷陷阱用戶：：即創(chuàng)建一一個(gè)名為““Administrator”的本本地用戶，，把它的權(quán)權(quán)限設(shè)置成成最低，什什么事也干干不了的那那種，并且且加上一個(gè)個(gè)超過(guò)10位的超級(jí)級(jí)復(fù)雜密碼碼。這樣可可以讓那些些Hacker們們忙上一段段時(shí)間，借借此發(fā)現(xiàn)它它們的入侵侵企圖。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才(6)把把共享文件件的權(quán)限從從Everyone組改成授授權(quán)用戶：：任何時(shí)時(shí)候都不要要把共享文文件的用戶戶設(shè)置成““Everyone”組，包包括打印共共享，默認(rèn)認(rèn)的屬性就就是“Everyone”組組的，一定定要改。(7)開(kāi)開(kāi)啟用戶策策略：使使用用戶策策略，分別別設(shè)置復(fù)位位用戶鎖定定計(jì)數(shù)器時(shí)時(shí)間為20分鐘，用用戶鎖定時(shí)時(shí)間為20分鐘，用用戶鎖定閾閾值為3次次。(8)不不讓系統(tǒng)顯顯示上次登登錄的用戶戶名：默默認(rèn)情況下下，登錄對(duì)對(duì)話框中會(huì)會(huì)顯示上次次登錄的用用戶名。這這使得別人人可以很容容易地得到到系統(tǒng)的一一些用戶名名，進(jìn)而做做密碼猜測(cè)測(cè)。修改注注冊(cè)表可以以不讓對(duì)話話框里顯示示上次登錄錄的用戶名名。方法為：打打開(kāi)注冊(cè)表表編輯器并并找到注冊(cè)冊(cè)表項(xiàng)“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把把REG_SZ的鍵鍵值改成1第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才密碼安全設(shè)設(shè)置(1)使使用安全密密碼：一些些公司的管管理員創(chuàng)建建賬號(hào)的時(shí)時(shí)候往往用用公司名、、計(jì)算機(jī)名名做用戶名名，然后又又把這些用用戶的密碼碼設(shè)置得太太簡(jiǎn)單，比比如“welcome”等等等。因此，，要注意密密碼的復(fù)雜雜性，還要要記住經(jīng)常常改密碼。。(2)設(shè)設(shè)置屏幕保保護(hù)密碼：：這是一個(gè)個(gè)很簡(jiǎn)單也也很有必要要的操作。。設(shè)置屏幕幕保護(hù)密碼碼也是防止止內(nèi)部人員員破壞服務(wù)務(wù)器的一個(gè)個(gè)屏障。(3)開(kāi)開(kāi)啟密碼策策略：注意意應(yīng)用密碼碼策略，如如啟用密碼碼復(fù)雜性要要求，設(shè)置置密碼長(zhǎng)度度最小值為為6位，，設(shè)置強(qiáng)制制密碼歷史史為5次，，時(shí)間為42天。(4)考考慮使用智智能卡來(lái)代代替密碼：：對(duì)于密碼碼，總是使使安全管理理員進(jìn)退兩兩難，密碼碼設(shè)置簡(jiǎn)單單容易受到到黑客的攻攻擊，密碼碼設(shè)置復(fù)雜雜又容易忘忘記。如果果條件允許許，用智能能卡來(lái)代替替復(fù)雜的密密碼是一個(gè)個(gè)很好的解解決方法。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才系統(tǒng)安全設(shè)設(shè)置(1)使使用NTFS格式分分區(qū)：最最好把服務(wù)務(wù)器的所有有分區(qū)都改改成NTFS格式，，NTFS文件系統(tǒng)統(tǒng)要比FAT、FAT32的的文件系統(tǒng)統(tǒng)安全得多多。(2)運(yùn)運(yùn)行防毒軟軟件：殺殺毒軟件不不僅能殺掉掉一些著名名的病毒，，還能查殺殺大量木馬馬和后門(mén)程程序，因此此要注意經(jīng)經(jīng)常運(yùn)行程程序并升級(jí)級(jí)病毒庫(kù)。。(3)到到微軟網(wǎng)站站下載最新新的補(bǔ)丁程程序：很很多網(wǎng)絡(luò)管管理員沒(méi)有有訪問(wèn)安全全站點(diǎn)的習(xí)習(xí)慣，以至至于一些漏漏洞都出現(xiàn)現(xiàn)很久了，，還放著服服務(wù)器的漏漏洞不補(bǔ)給給人家當(dāng)靶靶子用。經(jīng)經(jīng)常訪問(wèn)微微軟和一些些安全站點(diǎn)點(diǎn)，下載最最新的ServicePack和漏漏洞補(bǔ)丁，，是保障服服務(wù)器長(zhǎng)久久安全的惟惟一方法。。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才(4)關(guān)關(guān)閉默認(rèn)共共享：Windows2003安安裝好以后后，系統(tǒng)會(huì)會(huì)創(chuàng)建一些些隱藏的共共享，你可可以在Cmd下打““NetShare”查查看他們們。網(wǎng)上有有很多關(guān)于于IPC入入侵的文章章，都利用用了默認(rèn)共共享連接。。要禁止這這些共享，，打開(kāi)““管理工具具\(yùn)計(jì)算機(jī)機(jī)管理\共共享文件夾夾\共享””在相應(yīng)的的共享文件件夾上按右右鍵，點(diǎn)[停止共享享]即可。。(5)鎖鎖住住注注冊(cè)冊(cè)表表：：在在Windows2003中中，，只只有有Administrators和和BackupOperators才才有有從從網(wǎng)網(wǎng)絡(luò)絡(luò)上上訪訪問(wèn)問(wèn)注注冊(cè)冊(cè)表表的的權(quán)權(quán)限限。。如如果果你你覺(jué)覺(jué)得得還還不不夠夠的的話話，，可可以以進(jìn)進(jìn)一一步步設(shè)設(shè)定定注注冊(cè)冊(cè)表表訪訪問(wèn)問(wèn)權(quán)權(quán)限限。。第7章章局局域域網(wǎng)網(wǎng)系系統(tǒng)統(tǒng)安安全全防防范范局域域網(wǎng)網(wǎng)組組建建與與維維護(hù)護(hù)提升升網(wǎng)網(wǎng)絡(luò)絡(luò)(6)禁禁止止用用戶戶從從軟軟盤(pán)盤(pán)和和光光驅(qū)驅(qū)啟啟動(dòng)動(dòng)系系統(tǒng)統(tǒng)：：一一些些第第三三方方的的工工具具能能通通過(guò)過(guò)引引導(dǎo)導(dǎo)系系統(tǒng)統(tǒng)來(lái)來(lái)繞繞過(guò)過(guò)原原有有的的安安全全機(jī)機(jī)制制。。如如果果你你的的服服務(wù)務(wù)器器對(duì)對(duì)安安全全要要求求非非常常高高，，可可以以考考慮慮使使用用可可移移動(dòng)動(dòng)軟軟盤(pán)盤(pán)和和光光驅(qū)驅(qū)。。當(dāng)當(dāng)然然，，把把機(jī)機(jī)箱箱鎖鎖起起來(lái)來(lái)仍仍不不失失為為一一個(gè)個(gè)好好方方法法。。(7)利利用用Windows2003的的安安全全配配置置工工具具來(lái)來(lái)配配置置安安全全策策略略：：微微軟軟提提供供了了一一套套基基于于MMC（（管管理理控控制制臺(tái)臺(tái)））安安全全配配置置和和分分析析工工具具，，利利用用它它們們你你可可以以很很方方便便地地配配置置你你的的服服務(wù)務(wù)器器以以滿滿足足你你的的要要求求。。第7章章局局域域網(wǎng)網(wǎng)系系統(tǒng)統(tǒng)安安全全防防范范局域域網(wǎng)網(wǎng)組組建建與與維維護(hù)護(hù)提升升網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù)打打造造網(wǎng)網(wǎng)絡(luò)絡(luò)技技能能人人才才服務(wù)安全全設(shè)置(1)關(guān)關(guān)閉不不必要的的端口：：關(guān)閉閉端口意意味著減減少功能能，在安安全和功功能上面面需要你你做一點(diǎn)點(diǎn)決策。。如果服服務(wù)器安安裝在防防火墻的的后面，，冒險(xiǎn)就就會(huì)少些些。但是是，永遠(yuǎn)遠(yuǎn)不要認(rèn)認(rèn)為你可可以高枕枕無(wú)憂了了。用端端口掃描描器掃描描系統(tǒng)已已開(kāi)放的的端口，，確定系系統(tǒng)開(kāi)放放的哪些些服務(wù)可可能引起起黑客入入侵。在在系統(tǒng)目目錄中的的\system32\drivers\etc\services文件件中有知知名端口口和服務(wù)務(wù)的對(duì)照照表可供供參考。。具體方方法為：：打開(kāi)““網(wǎng)上上鄰居/屬性/本地連連接/屬屬性/internet協(xié)協(xié)議(TCP/IP)/屬性性/高級(jí)級(jí)/選項(xiàng)項(xiàng)/TCP/IP篩選選/屬性性”打打開(kāi)“TCP/IP篩篩選”，，添加需需要的TCP、、UDP協(xié)議即即可。第7章局局域網(wǎng)網(wǎng)系統(tǒng)安安全防范范局域網(wǎng)組組建與維維護(hù)提升網(wǎng)絡(luò)絡(luò)技術(shù)打打造網(wǎng)網(wǎng)絡(luò)技能能人才(2)設(shè)設(shè)置好好安全記記錄的訪訪問(wèn)權(quán)限限：安安全記錄錄在默認(rèn)認(rèn)情況下下是沒(méi)有有保護(hù)的的，把它它設(shè)置成成只有Administrators和系系統(tǒng)賬戶戶才有權(quán)權(quán)訪問(wèn)。。(3)把把敏感感文件存存放在另另外的文文件服務(wù)務(wù)器中：：雖然然現(xiàn)在服服務(wù)器的的硬盤(pán)容容量都很很大，但但是你還還是應(yīng)該該考慮是是否有必必要把一一些重要要的用戶戶數(shù)據(jù)（（文件、、數(shù)據(jù)表表、項(xiàng)目目文件等等）存放放在另外外一個(gè)安安全的服服務(wù)器中中，并且且經(jīng)常備備份它們們。(4)禁禁止建建立空連連接：默默認(rèn)情情況下，，任何用用戶都可可通過(guò)空空連接連連上服務(wù)務(wù)器，進(jìn)進(jìn)而枚舉舉出賬號(hào)號(hào)，猜測(cè)測(cè)密碼。。我們可可以通過(guò)過(guò)修改注注冊(cè)表來(lái)來(lái)禁止建建立空連連接：即即把“Local_Machine\System\CurrentControlSet\Control\LSA\RestrictAnonymous””的值值改成““1”即即可。第7章局局域網(wǎng)網(wǎng)系統(tǒng)安安全防范范局域網(wǎng)組組建與維維護(hù)提升網(wǎng)絡(luò)絡(luò)技術(shù)打打造網(wǎng)網(wǎng)絡(luò)技能能人才7.2.2.客客戶戶端安全全策略實(shí)實(shí)施啟動(dòng)“本本地安全全策略””：?jiǎn)螕魮簟翱刂浦泼姘濉芾砉すぞ摺颈镜匕踩呗浴薄焙?，?huì)會(huì)進(jìn)入入“本地地安全策策略”的的主界面面。在此此可通過(guò)過(guò)菜單欄欄上的命命令設(shè)置置各種安安全策略略，并可可選擇查查看方式式，導(dǎo)出出列表及及導(dǎo)入策策略等操操作。第7章局局域網(wǎng)網(wǎng)系統(tǒng)安安全防范范局域網(wǎng)組組建與維維護(hù)提升網(wǎng)絡(luò)絡(luò)技術(shù)打打造網(wǎng)網(wǎng)絡(luò)技能能人才１、加固固系統(tǒng)賬賬戶(1)禁禁止枚枚舉賬號(hào)號(hào)：在在“本地地安全策策略”左左側(cè)列表表的“安安全設(shè)置置”目錄錄樹(shù)中，，逐層展展開(kāi)“本本地策略略→安全全選項(xiàng)””。查看看右側(cè)的的相關(guān)策策略列表表，在此此找到““網(wǎng)絡(luò)訪訪問(wèn):不不允許SAM賬賬戶和共共享的匿匿名枚舉舉”，用用鼠標(biāo)標(biāo)右鍵單單擊，在在彈出菜菜單中選選擇“屬屬性”，，而后會(huì)會(huì)彈出一一個(gè)對(duì)話話框，在在此激活活“已啟啟用”選選項(xiàng)，最最后點(diǎn)擊擊“應(yīng)用用”按鈕鈕使設(shè)置置生效。。(2)賬賬戶管管理：在在“本地地策略→→安全選選項(xiàng)”分分支中，，找到““賬戶:來(lái)賓賬賬戶狀態(tài)態(tài)”策略略，點(diǎn)右右鍵彈出出菜單中中選擇““屬性””，而后后在彈出出的屬性性對(duì)話框框中設(shè)置置其狀態(tài)態(tài)為“已已停用””，最后后“確定定”退出出。第7章局局域網(wǎng)網(wǎng)系統(tǒng)安安全防范范局域網(wǎng)組組建與維維護(hù)提升網(wǎng)絡(luò)絡(luò)技術(shù)打打造網(wǎng)網(wǎng)絡(luò)技能能人才查看“賬賬戶:重重命名系系統(tǒng)管理理員賬戶戶”這項(xiàng)項(xiàng)策略，，調(diào)出其其屬性對(duì)對(duì)話框第7章局局域網(wǎng)網(wǎng)系統(tǒng)安安全防范范局域網(wǎng)組組建與維維護(hù)提升網(wǎng)絡(luò)絡(luò)技術(shù)打打造網(wǎng)網(wǎng)絡(luò)技能能人才２、指派派本地用用戶權(quán)利利如果你是是系統(tǒng)管管理員身身份，可可以指派派特定權(quán)權(quán)利給組組賬戶或或單個(gè)用用戶賬戶戶。在““安全設(shè)設(shè)置”中中，定位位于“本本地策略略→用戶戶權(quán)利指指派”，，而后在在其右側(cè)側(cè)的設(shè)置置視圖中中，可針針對(duì)其下下的各項(xiàng)項(xiàng)策略分分別進(jìn)行行安全設(shè)設(shè)置第7章局局域網(wǎng)網(wǎng)系統(tǒng)安安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才3．活活用IP策策略我們知道，，無(wú)論是木木馬、后門(mén)門(mén)，還是漏漏洞、嗅探探，大多都都是通過(guò)端端口作為通通道。因此此，我們需需要關(guān)閉那那些可能成成為入侵通通道的端口口。你可以以上網(wǎng)查詢?cè)円幌孪嚓P(guān)關(guān)危險(xiǎn)端口口的資料，，以做到有有備而戰(zhàn)。。4．加強(qiáng)密密碼安全在“安全設(shè)設(shè)置”中，，先定位于于“賬戶策策略→密碼碼策略”，，在其右側(cè)側(cè)設(shè)置視圖圖中，可酌酌情進(jìn)行相相應(yīng)的設(shè)置置，以使我我們的系統(tǒng)統(tǒng)密碼相對(duì)對(duì)安全，不不易破解。。如防破解解的一個(gè)重重要手段就就是定期更更新密碼，，大家可據(jù)據(jù)此進(jìn)行如如下設(shè)置:鼠標(biāo)右鍵鍵單擊“密密碼最長(zhǎng)存存留期”，，在彈出菜菜單中選擇擇“屬性””，在彈出出的對(duì)話框框中，大家家可自定義義一個(gè)密碼碼設(shè)置后能能夠使用的的時(shí)間長(zhǎng)短短(限定于于1至999之間)。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才7.2.3組組策略實(shí)施施組策略是管管理員為用用戶和計(jì)算算機(jī)定義并并控制程序序、網(wǎng)絡(luò)資資源及操作作系統(tǒng)行為為的主要工工具。通過(guò)過(guò)使用組策策略可以設(shè)設(shè)置各種軟軟件、計(jì)算算機(jī)和用戶戶策略。例例如，可使使用“組策策略”從桌桌面刪除圖圖標(biāo)、自定定義“開(kāi)始始”菜單并并簡(jiǎn)化“控控制面板””。此外,還可添加加在計(jì)算機(jī)機(jī)上（在計(jì)計(jì)算機(jī)啟動(dòng)動(dòng)或停止時(shí)時(shí)，以及用用戶登錄或或注銷(xiāo)時(shí)））運(yùn)行的腳腳本，甚至至可配置InternetExplorer第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才1)啟啟動(dòng)活動(dòng)目目錄服務(wù):在“程程序→管理理工具→配配置服務(wù)器器”選項(xiàng)中中，選定左左邊的“ActiveDirectory””，啟動(dòng)活活動(dòng)目錄安安裝向?qū)?。。設(shè)置過(guò)程程中關(guān)鍵是是要將服務(wù)務(wù)器設(shè)置為為第一個(gè)域域目錄樹(shù)，，DNS域域名輸入ISP提供供的域名，，若不連接接國(guó)際互聯(lián)聯(lián)網(wǎng)，也可可任意設(shè)定定。2)打打開(kāi)組策略略控制臺(tái):啟動(dòng)““ActiveDirectory目錄和用用戶”項(xiàng)，，在右面對(duì)對(duì)象容器樹(shù)樹(shù)中的根目目錄上單擊擊右鍵，然然后單擊““屬性”項(xiàng)項(xiàng)，在新打打開(kāi)的窗口口中單擊““組策略””選項(xiàng)卡，，即可打開(kāi)開(kāi)組策略控控制臺(tái)。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才3)設(shè)設(shè)置組策略略:Windows組策策略有100多個(gè)與與安全有關(guān)關(guān)的設(shè)置和和450多多個(gè)基于注注冊(cè)表的設(shè)設(shè)置，為管管理用戶計(jì)計(jì)算機(jī)環(huán)境境提供了眾眾多的選項(xiàng)項(xiàng)，某一選選項(xiàng)一旦被被設(shè)置將會(huì)會(huì)作用于登登錄到域上上的所有用用戶和工作作站。這里里將幾個(gè)常常用策略的的設(shè)置步驟驟介紹一下下，作為策策略設(shè)置的的參考。①啟用用“登錄屏屏幕”上不不顯示上次次登錄的用用戶名:這這一選項(xiàng)可可以保護(hù)用用戶賬號(hào)的的安全，阻阻止賬號(hào)盜盜用行為的的發(fā)生。該該選項(xiàng)所處處位置按照照“計(jì)算機(jī)機(jī)配置→安安全設(shè)置→→本地策略略→安全選選項(xiàng)”的順順序查找，，雙擊該選選項(xiàng)，選擇擇“啟用””。當(dāng)用戶戶下次登錄錄域時(shí)，該該項(xiàng)策略將將被應(yīng)用在在用戶操作作的工作站站上。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才②啟動(dòng)動(dòng)“活動(dòng)桌桌面墻紙””:使用此此選項(xiàng)，局局域網(wǎng)上登登錄域的所所有計(jì)算機(jī)機(jī)將使用同同一桌面墻墻紙，并且且不能被更更改。因此此，可以通通過(guò)這一項(xiàng)項(xiàng)策略的設(shè)設(shè)置，防止止臨時(shí)用戶戶隨意更換換桌面墻紙紙，使局域域網(wǎng)中的工工作站具有有相同的界界面。該選選項(xiàng)所處的的位置是““用戶配置置→管理模模板→桌面面→活動(dòng)桌桌面”第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才7.2.4內(nèi)內(nèi)網(wǎng)安全策策略在保護(hù)內(nèi)網(wǎng)網(wǎng)時(shí)要注意意內(nèi)網(wǎng)安全全與網(wǎng)絡(luò)邊邊界安全的的不同，網(wǎng)網(wǎng)絡(luò)邊界安安全技術(shù)防防范來(lái)自Internet上上的攻擊，，內(nèi)網(wǎng)安全全威脅主要要源于企業(yè)業(yè)內(nèi)部。惡惡性的黑客客攻擊事件件一般都會(huì)會(huì)先控制局局域網(wǎng)絡(luò)內(nèi)內(nèi)部的一臺(tái)臺(tái)Server，然然后以此為為基地，對(duì)對(duì)Internet上其他主主機(jī)發(fā)起惡惡性攻擊。。因此，應(yīng)應(yīng)在邊界展展開(kāi)黑客防防護(hù)措施，，同時(shí)建立立并加強(qiáng)內(nèi)內(nèi)網(wǎng)防范策策略。第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才對(duì)于VPN的訪問(wèn)，，可以利用用登錄控制制權(quán)限列表表來(lái)限制VPN用戶戶的登錄權(quán)權(quán)限的級(jí)別別；為限制合作作企業(yè)網(wǎng)訪訪問(wèn)內(nèi)部資資源可以將將他們所需需要訪問(wèn)的的資源放置置在相應(yīng)的的DMZ中中，不允許許他們對(duì)內(nèi)內(nèi)網(wǎng)其他資資源的訪問(wèn)問(wèn)；實(shí)施智能的的自動(dòng)執(zhí)行行；關(guān)掉無(wú)無(wú)用的網(wǎng)絡(luò)絡(luò)服務(wù)器；；保護(hù)重要要資源；在無(wú)線網(wǎng)絡(luò)絡(luò)中排除無(wú)無(wú)意義的無(wú)無(wú)線訪問(wèn)點(diǎn)點(diǎn)，確保無(wú)無(wú)線網(wǎng)絡(luò)訪訪問(wèn)的強(qiáng)制制性和可利利用性，并并提供安全全的無(wú)線訪訪問(wèn)接口，，建立可可靠的無(wú)線線訪問(wèn)；第7章局局域網(wǎng)系統(tǒng)統(tǒng)安全防范范局域網(wǎng)組建建與維護(hù)提升網(wǎng)絡(luò)技技術(shù)打造造網(wǎng)絡(luò)技能能人才在邊界防火火墻之外建建立過(guò)客訪訪問(wèn)網(wǎng)絡(luò)塊塊，限制過(guò)過(guò)客訪問(wèn)內(nèi)內(nèi)網(wǎng)的權(quán)限限；創(chuàng)建虛虛擬邊界防防護(hù)，使攻攻擊者無(wú)法法通過(guò)受攻攻擊的主機(jī)機(jī)來(lái)攻擊內(nèi)內(nèi)網(wǎng)；有的的用戶或許許對(duì)網(wǎng)絡(luò)安安全知識(shí)非非常欠缺可可靠的安全全決策，企企業(yè)網(wǎng)要引引導(dǎo)用戶自自動(dòng)的響應(yīng)應(yīng)網(wǎng)絡(luò)安全全策略消消除網(wǎng)絡(luò)絡(luò)用戶中存存在的安全全隱患。在技術(shù)上，，采用安全全交換機(jī)、、重要數(shù)據(jù)據(jù)的備份、、使用代理理網(wǎng)關(guān)、確確保操作系系統(tǒng)的安全全、使用主主機(jī)防護(hù)系系統(tǒng)和入侵侵檢測(cè)系統(tǒng)統(tǒng)等等措施施也不可缺缺少。第7章局域域網(wǎng)系統(tǒng)安全全防范局域網(wǎng)組建與與維護(hù)提升網(wǎng)絡(luò)技術(shù)術(shù)打造網(wǎng)絡(luò)絡(luò)技能人才7.3防防火墻技術(shù)術(shù)7.3.1防防火墻墻技術(shù)