生產(chǎn)性實(shí)訓(xùn)報(bào)告

PAGE第23頁共23頁實(shí)訓(xùn)學(xué)員生產(chǎn)性實(shí)訓(xùn)項(xiàng)目報(bào)告編號(hào)：JS/GC-03-JL04北京信息職業(yè)技術(shù)學(xué)院 北京信息職業(yè)技術(shù)學(xué)院生產(chǎn)性實(shí)訓(xùn)項(xiàng)目報(bào)告項(xiàng)目名稱：企業(yè)網(wǎng)安全評(píng)估與運(yùn)維系別：計(jì)算機(jī)工程系專業(yè)：信息安全技術(shù)班級(jí)：1222241學(xué)生姓名：朱良帥項(xiàng)目經(jīng)理：盧海2014年11月5日項(xiàng)目名稱企業(yè)網(wǎng)安全評(píng)估與運(yùn)維起止時(shí)間2014年9月1日2014年11月20日生產(chǎn)性實(shí)訓(xùn)地點(diǎn)14#樓4層西側(cè)軟件園成果形式審計(jì)報(bào)告及實(shí)施方案、風(fēng)險(xiǎn)評(píng)估報(bào)告、企業(yè)網(wǎng)安全評(píng)估與運(yùn)維方案、用戶培訓(xùn)文檔及PPT、項(xiàng)目總結(jié)論文、項(xiàng)目答辯PPT項(xiàng)目簡介項(xiàng)目背景，項(xiàng)目主要功能，項(xiàng)目用途：某企業(yè)隨著企業(yè)網(wǎng)絡(luò)建設(shè)和信息化應(yīng)用程度的不斷提高,企業(yè)網(wǎng)的安全性已成為制約公司信息化建設(shè)與發(fā)展的重要因素。只有構(gòu)筑符合實(shí)際需要的企業(yè)網(wǎng)安全防護(hù)體系，才能為企業(yè)網(wǎng)安全提供保障。從企業(yè)網(wǎng)安全防護(hù)的組織管理、安全規(guī)章、安全策略和技術(shù)防護(hù)四個(gè)方面，參考我國的信息安全管理標(biāo)準(zhǔn)（如GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、GB/Z24364《信息安全風(fēng)險(xiǎn)管理規(guī)范》、GB/Z20985《信息安全事件管理指南》、GB/T20988《信息安全災(zāi)難恢復(fù)規(guī)范》）對(duì)企業(yè)網(wǎng)的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，按照風(fēng)險(xiǎn)評(píng)估的過程確定風(fēng)險(xiǎn)，編制風(fēng)險(xiǎn)評(píng)估報(bào)告和推薦安全控制措施，并對(duì)系統(tǒng)進(jìn)行加固處理。生產(chǎn)性實(shí)訓(xùn)準(zhǔn)備知識(shí)準(zhǔn)備，技能準(zhǔn)備，參加相關(guān)培訓(xùn)，包括技術(shù)培訓(xùn)和職業(yè)素質(zhì)培訓(xùn)，環(huán)境搭建（簡述，突出重點(diǎn)，不必面面具到）：入職培訓(xùn)：1、計(jì)算機(jī)工程系生產(chǎn)性實(shí)訓(xùn)啟動(dòng)大會(huì) 徐院長—生產(chǎn)性實(shí)訓(xùn)的目的、意義、價(jià)值 陸老師-入職及工作講解，提出具體要求 史老師-生產(chǎn)性實(shí)訓(xùn)安排，過程及成果 簽訂實(shí)習(xí)協(xié)議面試分組到崗進(jìn)行設(shè)備交接，領(lǐng)取胸卡。2、學(xué)生崗前培訓(xùn)培訓(xùn)方：北京康拓科技開發(fā)總公司 社會(huì)需要什么樣的人才？ 復(fù)合型人才-T型知識(shí)結(jié)構(gòu) 如何實(shí)現(xiàn)復(fù)合型人才培養(yǎng)你的職業(yè)風(fēng)范 自我管理 時(shí)間管理 T型分析 多叉樹 橄欖球定律人際管理 出四準(zhǔn)則 7Yes步驟3、入職培訓(xùn)培訓(xùn)方：中盛永信公司 職業(yè)基本技能清楚的認(rèn)知作為職業(yè)人應(yīng)該具備的職業(yè)意識(shí)掌握作為一個(gè)職業(yè)人應(yīng)該具備的基本職業(yè)技能學(xué)會(huì)打造一個(gè)職業(yè)人正確的職業(yè)通道 職業(yè)人的工作觀創(chuàng)新與遵守仔細(xì)了解自己的職務(wù)深刻把握工作關(guān)系重視自己的工作業(yè)績提升自己的環(huán)境適應(yīng)力看重自己的工作4、納賢培訓(xùn)機(jī)構(gòu)全天培訓(xùn)技能培訓(xùn)：學(xué)習(xí)掌握啊D、明小子的使用學(xué)習(xí)掌握nessus評(píng)估軟件的使用熟練使用linux的基本命令以及掌握linux上web、ftp等服務(wù)的搭建熟練掌握cisco設(shè)備的配置，應(yīng)用環(huán)境搭建：采用VMware虛擬機(jī)環(huán)境，對(duì)于企業(yè)服務(wù)器進(jìn)行模擬，此虛擬機(jī)鏡像分別為Windows2003與Redhat6.5操作系統(tǒng)，每個(gè)系統(tǒng)中都安裝有WWW，F(xiàn)TP，DNS，SMTP，DHCP，數(shù)據(jù)庫等應(yīng)用服務(wù)，較為真實(shí)的模擬企業(yè)中服務(wù)器的工作環(huán)境，既練習(xí)了技術(shù)水平，又避免了對(duì)企業(yè)服務(wù)器造成故障的風(fēng)險(xiǎn)。生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果本人在項(xiàng)目中承擔(dān)的角色,完成的具體工作，項(xiàng)目相關(guān)方案，實(shí)現(xiàn)成果的具體內(nèi)容，專業(yè)技能提高的具體內(nèi)容，職業(yè)素質(zhì)提高的具體內(nèi)容（不少于8000字）：本人在項(xiàng)目中擔(dān)任的角色：加固工程師本人完成的具體工作：對(duì)企業(yè)機(jī)房和辦公環(huán)境做出改進(jìn)方案參與整體網(wǎng)絡(luò)的組建對(duì)整體網(wǎng)絡(luò)中的防火墻、路由器、交換機(jī)進(jìn)行相關(guān)的安全配置通過審計(jì)工程師的審計(jì)報(bào)告和滲透測試工程師的滲透測試報(bào)告對(duì)企業(yè)網(wǎng)物理網(wǎng)絡(luò)進(jìn)行安全加固通過審計(jì)工程師的審計(jì)報(bào)告和滲透測試工程師的滲透測試報(bào)告對(duì)企業(yè)網(wǎng)操作系統(tǒng)進(jìn)行安全加固通過審計(jì)工程師的審計(jì)報(bào)告和滲透測試工程師的滲透測試報(bào)告對(duì)企業(yè)網(wǎng)應(yīng)用服務(wù)進(jìn)行安全加固項(xiàng)目方案：一、項(xiàng)目簡介某企業(yè)隨著企業(yè)網(wǎng)絡(luò)建設(shè)和信息化應(yīng)用程度的不斷提高,企業(yè)網(wǎng)的安全性已成為制約公司信息化建設(shè)與發(fā)展的重要因素。只有構(gòu)筑符合實(shí)際需要的企業(yè)網(wǎng)安全防護(hù)體系，才能為企業(yè)網(wǎng)安全提供保障。企業(yè)網(wǎng)安全防護(hù)體系建設(shè)要求:安全管理方面:從企業(yè)網(wǎng)安全防護(hù)的組織管理和安全規(guī)章兩個(gè)方面提出，分為:管理制度管理機(jī)構(gòu)安全從事人員管理安全防護(hù)系統(tǒng)建設(shè)和運(yùn)維管理必須遵循和制定的安全規(guī)章制度安全技術(shù)方面:從安全策略和技術(shù)防護(hù)兩個(gè)方面提出,包括:物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果二、需求分析系統(tǒng)硬件：通過本項(xiàng)目對(duì)搭建企業(yè)信息中心管理平臺(tái)所需要的設(shè)備進(jìn)行采購，改進(jìn)和完善企業(yè)信息中心現(xiàn)有的內(nèi)部和外部網(wǎng)絡(luò)系統(tǒng)，為信息的傳遞鋪平“道路”，為企業(yè)網(wǎng)建設(shè)與環(huán)境的管理打下基礎(chǔ)。系統(tǒng)軟件：系統(tǒng)的軟件分為三部分，第一部分為系統(tǒng)基礎(chǔ)軟件如：操作系統(tǒng)，數(shù)據(jù)庫等，通過本項(xiàng)目進(jìn)行采購；第二部分為各科室已有的專業(yè)業(yè)務(wù)處理軟件，通過整合使這些系統(tǒng)的業(yè)務(wù)數(shù)據(jù)為系統(tǒng)數(shù)據(jù)庫提供數(shù)據(jù)來源；第三部分為通過本項(xiàng)目新開發(fā)的各個(gè)子系統(tǒng)。系統(tǒng)網(wǎng)絡(luò)：系統(tǒng)的網(wǎng)絡(luò)由企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng)兩部分組成。企業(yè)網(wǎng)內(nèi)網(wǎng)是學(xué)校信息中心各部門內(nèi)部辦公業(yè)務(wù)網(wǎng)；企業(yè)網(wǎng)外網(wǎng)是全區(qū)建設(shè)部門的對(duì)外業(yè)務(wù)專網(wǎng)和信息發(fā)布平臺(tái)。信息安全：通過建立健全的管理措施和安全設(shè)備采購相結(jié)合的方法，在管理和技術(shù)兩個(gè)方面加強(qiáng)信息網(wǎng)絡(luò)資源的安全保障和保密，增強(qiáng)網(wǎng)絡(luò)的可靠性、安全性、保密性和穩(wěn)定性。三、項(xiàng)目實(shí)施機(jī)房管理加固a）機(jī)房安全管理的基本要求：應(yīng)明確機(jī)房安全管理的責(zé)任人，機(jī)房出入應(yīng)有指定人員負(fù)責(zé)，未經(jīng)允許的人員不準(zhǔn)進(jìn)入機(jī)房；獲準(zhǔn)進(jìn)入機(jī)房的來訪人員，其活動(dòng)范圍應(yīng)受到限制，并有接待人員陪同；機(jī)房鑰匙由專人管理，未經(jīng)批準(zhǔn)，不準(zhǔn)任何人私自復(fù)制機(jī)房鑰匙或服務(wù)器開機(jī)鑰匙；沒有指定管理人員的明確準(zhǔn)許，任何記錄介質(zhì)、文件材料及各種被保護(hù)品均不準(zhǔn)帶出機(jī)房，與工作無關(guān)的物品均不準(zhǔn)帶入機(jī)房；機(jī)房內(nèi)嚴(yán)禁吸煙及帶入火種和水源；

b）加強(qiáng)對(duì)來訪人員的控制：在a）的基礎(chǔ)上，要求所有來訪人員應(yīng)經(jīng)過正式批準(zhǔn)，登記記錄應(yīng)妥善保存以備查；獲準(zhǔn)進(jìn)入機(jī)房的來訪人員，一般應(yīng)禁止攜帶個(gè)人計(jì)算機(jī)等電子設(shè)備進(jìn)入機(jī)房，其活動(dòng)范圍和操作行為應(yīng)受到限制，并有機(jī)房接待人員負(fù)責(zé)和陪同；

c）增強(qiáng)門禁控制手段：在b）的基礎(chǔ)上，任何進(jìn)出機(jī)房的人員應(yīng)經(jīng)過門禁設(shè)施的監(jiān)控和記錄，應(yīng)有防止繞過門禁設(shè)施的手段；門禁系統(tǒng)的電子記錄應(yīng)妥善保存以備查；進(jìn)入機(jī)房的人員應(yīng)佩戴相應(yīng)證件；未經(jīng)批準(zhǔn)，禁止任何物理訪問；未經(jīng)批準(zhǔn)，禁止任何人移動(dòng)計(jì)算機(jī)相關(guān)設(shè)備或帶離機(jī)房；生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果d）使用視頻監(jiān)控和專職警衛(wèi)：在c）的基礎(chǔ)上，機(jī)房所在地應(yīng)有專職警衛(wèi)，通道和入口處應(yīng)設(shè)置視頻監(jiān)控點(diǎn)，24小時(shí)值班監(jiān)視；所有來訪人員的登記記錄、門禁系統(tǒng)的電子記錄以及監(jiān)視錄像記錄應(yīng)妥善保存以備查；禁止攜帶移動(dòng)電話、電子記事本等具有移動(dòng)互連功能的個(gè)人物品進(jìn)入機(jī)房；e）采取防止電磁泄漏保護(hù)：在d）的基礎(chǔ)上，對(duì)需要防止電磁泄漏的計(jì)算機(jī)設(shè)備配備電磁干擾設(shè)備，在被保護(hù)的計(jì)算機(jī)設(shè)備工作時(shí)電磁干擾設(shè)備不準(zhǔn)關(guān)機(jī)；必要時(shí)可以使用屏蔽機(jī)房。屏蔽機(jī)房應(yīng)隨時(shí)關(guān)閉屏蔽門；不得在屏蔽墻上打釘鉆孔，不得在波導(dǎo)管以外或不經(jīng)過過濾器對(duì)屏蔽機(jī)房內(nèi)外連接任何線纜；應(yīng)經(jīng)常測試屏蔽機(jī)房的泄漏情況并進(jìn)行必要的維護(hù)。辦公環(huán)境加固a）辦公環(huán)境安全管理基本要求：設(shè)置有網(wǎng)絡(luò)終端的辦公環(huán)境，是信息系統(tǒng)環(huán)境的組成部分，應(yīng)防止利用終端系統(tǒng)竊取敏感信息或非法訪問；工作人員下班后，終端計(jì)算機(jī)應(yīng)關(guān)閉；存放敏感文件或信息載體的文件柜應(yīng)上鎖或設(shè)置密碼；工作人員調(diào)離部門或更換辦公室時(shí)，應(yīng)立即交還辦公室鑰匙；設(shè)立獨(dú)立的會(huì)客接待室，不在辦公環(huán)境接待來訪人員；

b）辦公環(huán)境安全管理增強(qiáng)要求：在a）的基礎(chǔ)上，工作人員離開座位應(yīng)將桌面上含有敏感信息的紙件文檔放在抽屜或文件柜內(nèi)；工作人員離開座位，終端計(jì)算機(jī)應(yīng)退出登錄狀態(tài)、采用屏幕保護(hù)口令保護(hù)或關(guān)機(jī)；

c）關(guān)鍵部位辦公環(huán)境的要求：在b）的基礎(chǔ)上，在關(guān)鍵區(qū)域或部位，應(yīng)使相應(yīng)的辦公環(huán)境與機(jī)房的物理位置在一起，以便進(jìn)行統(tǒng)一的物理保護(hù)。維護(hù)具體要求1)每季度一次設(shè)備的除塵、清理，掃凈監(jiān)控設(shè)備顯露的塵土，對(duì)攝像機(jī)、防護(hù)罩、門禁、監(jiān)控采集模塊等部件要卸下徹底吹風(fēng)除塵，之后用無水酒精棉將各個(gè)擦干凈，調(diào)整攝像頭清晰度，防止由于機(jī)器運(yùn)轉(zhuǎn)、靜電等因素將塵土吸入監(jiān)控設(shè)備機(jī)體內(nèi)，確保機(jī)器正常運(yùn)行。同時(shí)檢查監(jiān)控機(jī)房通風(fēng)、散熱、凈塵、供電等設(shè)施。室外溫度應(yīng)在－20℃～＋60℃，相對(duì)濕度應(yīng)在10％～100％；室內(nèi)溫度應(yīng)控制在＋5℃～＋35℃，相對(duì)濕度應(yīng)控制在10％～80％，留給機(jī)房監(jiān)控設(shè)備一個(gè)良好的運(yùn)行環(huán)境。2)根據(jù)監(jiān)控系統(tǒng)各部份設(shè)備的使用說明，每月檢測其各項(xiàng)技術(shù)參數(shù)及監(jiān)控系統(tǒng)傳輸線路質(zhì)量，處理故障隱患，協(xié)助監(jiān)控主管設(shè)定使用級(jí)別等各種數(shù)據(jù)，確保各部份設(shè)備各項(xiàng)功能良好，能夠正常運(yùn)行。3)對(duì)容易老化的監(jiān)控設(shè)備部件每月一次進(jìn)行全面檢查，一旦發(fā)現(xiàn)老化現(xiàn)象應(yīng)及時(shí)更換、維修，如視頻頭、采集模塊等。生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果4)對(duì)易吸塵部份每季度定期清理一次，如監(jiān)視器、漏水檢測主機(jī)、門禁主機(jī)等暴露在空氣中，由于屏幕的靜電作用，會(huì)有許多灰塵被吸附在監(jiān)視器表面，影響畫面的清晰度，要定期擦拭監(jiān)視器，校對(duì)監(jiān)視器的顏色及亮度。5)對(duì)長時(shí)間工作的監(jiān)控設(shè)備每月定期維護(hù)一次，如硬盤錄像機(jī)長時(shí)間工作會(huì)產(chǎn)生較多的熱量，一旦其電風(fēng)扇有故障，會(huì)影響排熱，以免硬盤錄像機(jī)工作不正常。6)對(duì)監(jiān)控系統(tǒng)及設(shè)備的運(yùn)行情況進(jìn)行監(jiān)控，分析運(yùn)行情況，及時(shí)發(fā)現(xiàn)并排除故障。如：網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、監(jiān)控終端及各種終端外設(shè)。桌面系統(tǒng)的運(yùn)行檢查，網(wǎng)絡(luò)及桌面系統(tǒng)的病毒防御。7)每月定期對(duì)監(jiān)控系統(tǒng)和設(shè)備進(jìn)行優(yōu)化：合理安排監(jiān)控中心的監(jiān)控網(wǎng)絡(luò)需求，如帶寬、IP地址等限制。提供每月一次的監(jiān)控系統(tǒng)網(wǎng)絡(luò)性能檢測，包括網(wǎng)絡(luò)的連通性、穩(wěn)定性及帶寬的利用率等；實(shí)時(shí)檢測所有可能影響監(jiān)控網(wǎng)絡(luò)設(shè)備的外來網(wǎng)絡(luò)攻擊，實(shí)時(shí)監(jiān)控各服務(wù)器運(yùn)行狀態(tài)、流量及入侵監(jiān)控等。對(duì)異常情況，進(jìn)行核查，并進(jìn)行相關(guān)的處理。根據(jù)用戶需要進(jìn)行監(jiān)控網(wǎng)絡(luò)的規(guī)劃、優(yōu)化；協(xié)助處理服務(wù)器軟硬件故障及進(jìn)行相關(guān)硬件軟件的拆裝等。8)提供每月一次的定期信息服務(wù)：每月第一個(gè)工作日，將上月?lián)屝?、維修、維護(hù)、保養(yǎng)記錄表以電子文檔的形式報(bào)送監(jiān)控中心負(fù)責(zé)人。物理網(wǎng)絡(luò)加固將公司網(wǎng)絡(luò)設(shè)置為三個(gè)主要區(qū)域：隔離區(qū)（DMZ）、內(nèi)部網(wǎng)和外部網(wǎng)隔離區(qū)隔離區(qū)(DMZ)是在安全網(wǎng)絡(luò)半徑以外的單獨(dú)網(wǎng)絡(luò)。外界用戶可以訪問DMZ，但不能進(jìn)入安全網(wǎng)絡(luò)。在拓?fù)鋱D中，在安全網(wǎng)絡(luò)外設(shè)置了DMZ。DMZ包含網(wǎng)頁服務(wù)和郵件服務(wù)，外界不斷訪問這兩個(gè)服務(wù)，但他們并沒有進(jìn)入安全網(wǎng)絡(luò)。在DMZ中設(shè)置這種服務(wù)就限制了外界用戶對(duì)安全網(wǎng)絡(luò)的訪問。生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果設(shè)置的理念就是外部用戶不能訪問內(nèi)部防火墻，因?yàn)樗赡軙?huì)存在漏洞。攻擊者要沖破兩重防火墻才可以進(jìn)入安全網(wǎng)絡(luò)。)在DMZ中設(shè)置的服務(wù)有以下幾種:web服務(wù);郵件服務(wù);數(shù)據(jù)庫服務(wù);FTP服務(wù)(雙向)。內(nèi)部網(wǎng)內(nèi)部網(wǎng)(不要與互聯(lián)網(wǎng)混淆)也使用同樣的協(xié)議(HTTP,HTTPS等)，但只有內(nèi)部授權(quán)用戶可以登錄。例如，組織向員工公布人力資源信息，他們可以查看病假情況或改變郵箱地址。如果將這些信息公布在DMZ的公開網(wǎng)頁服務(wù)上，它就可能成為攻擊目標(biāo)。然而，在安全的內(nèi)部網(wǎng)上就減少了攻擊威脅。內(nèi)部網(wǎng)的一個(gè)缺點(diǎn)是它不允許遠(yuǎn)程登錄。如果需要為外部授權(quán)用戶提供信息，就需要在DMZ中安裝一個(gè)提供這些信息的子集服務(wù)。外部網(wǎng)有時(shí)將外部網(wǎng)稱為內(nèi)部網(wǎng)和互聯(lián)網(wǎng)的交叉，外部網(wǎng)是由授權(quán)的外部用戶提供的。不是所有的外部用戶都可以登錄外部網(wǎng)，而是允許公司的供應(yīng)商和合作伙伴登錄。外部網(wǎng)是利用互聯(lián)網(wǎng)技術(shù)與供應(yīng)商、顧客或其他具有共同目標(biāo)的業(yè)務(wù)伙伴連接的合作網(wǎng)站。外部網(wǎng)是業(yè)務(wù)伙伴交換信息的普遍途徑。路由器加固為路由器配置特權(quán)模式口令，設(shè)置密碼為控制臺(tái)連接配置口令，設(shè)置密碼為所有vty連接配置口令，設(shè)置line0-2的密碼配置console口超時(shí)參數(shù)，這里是兩分鐘生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果配置NAT“你不能攻擊看不見的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)系統(tǒng)的背后邏輯。NAT隱藏網(wǎng)絡(luò)設(shè)備的IP地址。在使用NAT的網(wǎng)絡(luò)中，將計(jì)算機(jī)賦予特殊的IP地址稱為私人地址。NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用（PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT，PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。本次實(shí)訓(xùn)中，我們主要使用的是靜態(tài)NAT，將服務(wù)器的ip地址進(jìn)行了轉(zhuǎn)換，即轉(zhuǎn)換成生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果交換機(jī)加固端口隔離端口隔離是為了實(shí)現(xiàn)報(bào)文之間的二層隔離，主要有兩種方式，一種是將不同的端口加入不同的VLAN，即PVLAN；另外一種是采用端口隔離特性，創(chuàng)建隔離組，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。第一種方式會(huì)浪費(fèi)有限的VLAN資源，故本次實(shí)訓(xùn)中采取第二種方式。用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。Switch(config)#intrangef0/1-8Switch(config-if-range)#Switchitchportprotected

通過以上兩條命令，將交換機(jī)的1-8口開啟端口保護(hù)模式，實(shí)現(xiàn)端口隔離。端口綁定端口綁定指的是二層接口的綁定功能，屬于安全范疇，能增強(qiáng)網(wǎng)絡(luò)安全性。利用交換機(jī)端口安全功能下的MAC動(dòng)態(tài)地址鎖(限制端口最大連接數(shù))，可以限定交換機(jī)某個(gè)端口上可以學(xué)習(xí)的源MAC數(shù)量，可以防范MAC洪水攻擊。利用交換機(jī)端口安全功能下的端口靜態(tài)綁定MAC，可以防止ARP欺騙和DHCP攻擊本次實(shí)訓(xùn)中，將交換機(jī)的f0/1口與管理PC的mac地址綁定命令提示：switchportport-securitymac-addressMAC

生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果操作系統(tǒng)加固賬戶與本地策略加固加固名稱：賬戶策略目的：加強(qiáng)密碼策略，提升安全性實(shí)施方案：開始，運(yùn)行，secpol.msc，開啟密碼復(fù)雜性要求，密碼最小值為8字符，最長使用期限為30天，其他均為默認(rèn)加固名稱：賬戶鎖定策略目的：加強(qiáng)密碼策略，提升安全性實(shí)施方案：開始，運(yùn)行，secpol.msc，賬戶鎖定次數(shù)為3次，鎖定時(shí)間為20，計(jì)數(shù)器為10分鐘加固名稱：審核策略目的：加強(qiáng)審核策略，提升安全性實(shí)施方案：開始，運(yùn)行，secpol.msc生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果刪除可匿名訪問的共享路徑、命名管道以及注冊表路徑和子路徑 生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果限制匿名訪問命名管道和共享禁用來賓賬戶重命名來賓賬戶和系統(tǒng)管理員賬戶生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果加固名稱：管理員密碼設(shè)置，禁用多余的賬戶目的：設(shè)置復(fù)雜管理密碼，禁用多余的賬戶，提升安全性實(shí)施方案：右鍵我的電腦管理，本地用戶和組注冊表加固加固名稱：關(guān)閉ipc$，admin$，c$，d$目的：關(guān)閉默認(rèn)共享，提升安全性實(shí)施方案：開始，運(yùn)行，regedithkey_local_machine\system\currentcontrolset\control\lsa\restrictanonymousHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果加固名稱：關(guān)閉cd-rom自動(dòng)運(yùn)行目的：關(guān)閉自動(dòng)運(yùn)行，提升安全性實(shí)施方案：開始，運(yùn)行，regeditHKLM\System\CurrentControlSet\Services\CDrom\Autorun加固名稱：防止SYN攻擊目的：開啟SYN防攻擊功能，提升安全性實(shí)施方案：開始，運(yùn)行，regedit加固名稱：防止碎片攻擊。實(shí)施目的：開啟碎片防攻擊功能，提升安全性。實(shí)施方案：開始，運(yùn)行，regedit。具體配置如下生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果加固名稱：防止IGMP攻擊。實(shí)施目的：開啟igmp防攻擊功能，提升安全性。實(shí)施方案：開始，運(yùn)行，regedit。加固名稱：禁止系統(tǒng)藍(lán)屏后自動(dòng)重啟。實(shí)施目的：禁用自動(dòng)重啟，提升安全性。實(shí)施方案：開始，運(yùn)行，regedit。hkey_local_machine\System\CurrentControlSet\Control\CrashControl\AutoReboot加固名稱：禁止自動(dòng)登錄。實(shí)施目的：禁用自動(dòng)登錄，提升安全性。實(shí)施方案：開始，運(yùn)行，regedit。加固名稱：禁止所有設(shè)備自動(dòng)運(yùn)行。實(shí)施目的：禁用所有設(shè)備自動(dòng)運(yùn)行功能，提升安全性。實(shí)施方案：開始，運(yùn)行，regedit。加固名稱：更改3389默認(rèn)端口號(hào)。實(shí)施目的：更改默認(rèn)終端端口號(hào)，提升安全性。實(shí)施方案：開始，運(yùn)行，regedit。網(wǎng)絡(luò)配置的安全加固加固名稱：查詢網(wǎng)卡狀態(tài)，禁用多余的網(wǎng)卡實(shí)施目的：禁用多余的網(wǎng)卡，提升安全性。實(shí)施方案：開始，運(yùn)行，cmd。運(yùn)行命令ipconfig生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果加固名稱：禁用NETBIOS實(shí)施目的：禁用NETBIOS，提升安全性。實(shí)施方案：右鍵屬性網(wǎng)上鄰居，右鍵屬性本地連接，IPV4協(xié)議屬性，高級(jí)，WINS加固名稱：設(shè)置IP策略實(shí)施目的：設(shè)置IP策略，提升系統(tǒng)安全性。實(shí)施方案：開始運(yùn)行，secpol.msc，IP安全策略

生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果文件系統(tǒng)權(quán)限設(shè)置加固名稱：檢查磁盤系統(tǒng)，全部設(shè)置成NTFS實(shí)施目的：使用NTFS磁盤系統(tǒng)，提升安全性。實(shí)施方案：右鍵磁盤，屬性。查看磁盤系統(tǒng)是否為NTFS，如果是FAT32系統(tǒng)，用此命令轉(zhuǎn)換convertx:/fs:ntfsx代表盤符加固名稱：設(shè)置關(guān)鍵文件夾權(quán)限實(shí)施目的：加強(qiáng)文件夾的權(quán)限，提升安全性。實(shí)施方案：右鍵需要設(shè)定的文件夾，選擇安全，去掉多余的用戶。生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果組件的安全加固加固名稱：刪除危險(xiǎn)組件實(shí)施目的：刪除危險(xiǎn)組件，提升安全性。實(shí)施方案：開始，運(yùn)行命令：regsvr32/uc:\windows\system32\wshom.ocxregsvr32/uc:\windows\system32\shell32.dllFTP服務(wù)器加固FTP服務(wù)是IIS的一個(gè)重要組件，主要用來搭建FTP服務(wù)器和FTP客戶端之間的文件傳輸。通過FTP服務(wù)，客戶端既可以從服務(wù)器下載文件到客戶端，也可以上傳文件到服務(wù)器中去，利用FTP可以實(shí)現(xiàn)軟件的下載、文件的交換與共享，以及Web站點(diǎn)的內(nèi)容維護(hù)等。1）更改FTP默認(rèn)端口號(hào)ftp服務(wù)器的默認(rèn)端口是21端口，但是在實(shí)際應(yīng)用中如果被黑客掃描到21端口號(hào)開啟，很可能使用暴力破解的方式對(duì)主機(jī)的ftp服務(wù)進(jìn)行攻擊。而我們在應(yīng)用過程中為了方便又必須使用ftp服務(wù)器，所以為了安全起見我們對(duì)ftp服務(wù)器進(jìn)行修改端口操作，防止黑客輕易掃描到ftp的真實(shí)端口。實(shí)施為了防止更改的端口與系統(tǒng)應(yīng)用的端口沖突，我們選擇1024之后的沒有使用的端口號(hào)，比如：2000端口。生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果2）設(shè)置隔離用戶使用用戶隔離，每個(gè)用戶訪問的文件夾都是不一樣的，防止用戶資料或隱私泄露。3）用戶權(quán)限設(shè)置為防止用戶對(duì)文件進(jìn)行更改，只給用戶讀取權(quán)限。在設(shè)置FTP訪問權(quán)限后，還必須為該主目錄設(shè)置NTFS訪問權(quán)限，以確保用戶擁有相應(yīng)的訪問權(quán)限。同時(shí)，還應(yīng)當(dāng)設(shè)置磁盤配額，以防止被授予寫權(quán)限的用戶濫用磁盤空間。4）防止匿名連接匿名連接ftp服務(wù)器不利于服務(wù)器的安全所以要使用指定的賬號(hào)進(jìn)行訪問。5）設(shè)置最大連接數(shù)由于公司人數(shù)為100人所以設(shè)置最大連接數(shù)為100。生產(chǎn)性實(shí)訓(xùn)內(nèi)容和成果6）FTP站點(diǎn)連接限制7）授權(quán)訪問通過對(duì)IP地址的限制，可以只允許或拒絕某些特定范圍內(nèi)的計(jì)算機(jī)訪問該FTP站點(diǎn)，從而可以在很大程度上避免來自外界的惡意攻擊，并且將授權(quán)用戶限制在某一個(gè)范圍。將IP地址限制與用戶驗(yàn)證訪問結(jié)合在一起，將進(jìn)一步提高FTP站點(diǎn)訪問的