網絡管理與安全第7章網絡安全管理

第7章網絡安全管理鄧浩網絡工程師hdengwh@126.com主要內容Server2003的安全設置本地策略Server2003中常規(guī)網絡服務的安全管理IP安全策略路由器、交換機及VLAN對安全控制的作用防火墻計算機病毒與黑客攻擊SERVER2003的安全設置用戶管理與賬戶策略密碼策略賬戶鎖定策略用戶管理與賬戶策略建立新用戶建立賬號賬號管理“常規(guī)”選項卡“隸屬于”選項卡“配置文件”選項卡密碼策略密碼必須符合復雜性要求密碼長度最小值密碼最長使用期限密碼最短使用期限強制密碼歷史用可還原的加密來儲存密碼賬戶鎖定策略復位賬戶鎖定計數(shù)器該設置用于定義在失敗嘗試登錄多長時間后計數(shù)重新開始。賬戶鎖定時間該設置用于定義賬戶鎖定的時間間隔。賬戶鎖定閾值該數(shù)值用于定義用戶不成功登錄允許的次數(shù)，之后賬戶就會被鎖定。本地策略審核策略用戶權限分配審核策略其中包含審核策略更改、審核登錄事件、審核對象訪問等多個審核策略。當對應的事件發(fā)生時，系統(tǒng)將根據(jù)設置對相應的事件進行記錄。用戶權限分配用戶權限分配內容的設置可以基于用戶或組來設定用戶所具備的權限。常見權限分配的設定及安全選項通過設置安全選項，可以提高每個用戶的安全性。SERVER2003中常規(guī)網絡服務的安全管理Web服務器的安全問題FTP服務器的安全問題郵件服務器的安全問題Web服務器的安全問題用戶身份驗證IP地址和域名限制訪問控制審核與加密FTP服務器的安全問題取消匿名訪問功能啟用日志記錄正確設置用戶訪問權限啟用磁盤配額管理TCP/IP訪問限制增強賬號密碼的復雜性賬號登錄限制郵件服務器的安全問題垃圾郵件的威脅（1）侵占網絡和系統(tǒng)資源。（2）對網絡和系統(tǒng)安全產生了極大的危害。（3）對社會穩(wěn)定和個人生活將產生不良影響和危害。（4）使企業(yè)用戶直接遭受了巨大的經濟損失。常見的反垃圾郵件措施（1）使用郵件客戶端產品自身的反垃圾郵件功能。（2）使用郵件系統(tǒng)或殺毒軟件提供的反垃圾郵件模塊。（3）使用專業(yè)的軟件或硬件反垃圾郵件網關設備。（4）接受專業(yè)第三方反垃圾郵件服務。IP安全策略IPSec1．啟用本地IPSec安全策略2．IPSec安全策略的組成IP篩選器決定哪些報文應引起IPSec安全策略的關注篩選器操作是指允許還是拒絕報文的通過要新建一個IPSec安全策略，一般需要新建IP篩選器和篩選器操作3．IPSec安全策略應用實例4．IPSec安全策略驗證使用gpupdate/force命令強行刷新IPSec安全策略輸入netshipsecdynamicshowALL命令查看是否生效路由器、交換機及VLAN對安全控制的作用路由器與三層交換機的訪問控制列表的安全機制（略）交換機的VLAN配置對安全的作用（略）防火墻防火墻概述防火墻的種類防火墻部署模式各類防火墻的優(yōu)缺點防火墻概述什么是防火墻防火墻的基本功能什么是防火墻防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，有效地監(jiān)控內部網和Internet之間的任何活動，保證內部網絡的安全。防火墻的基本功能(1)防火墻是網絡安全的屏障。(2)防火墻可以強化網絡安全策略。(3)對網絡存取和訪問進行監(jiān)控審計。(4)防止內部信息的外泄。除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內部網絡技術體系VPN。防火墻的種類分組過濾(PacketFiltering)作用在網絡層和傳輸層，它根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。應用代理(ApplicationProxy)也叫應用網關(ApplicationGateway)，它作用在應用層，其特點是完全阻隔了網絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現(xiàn)。防火墻部署模式1．路由模式2．透明模式3．混合模式路由模式透明模式混合模式各類防火墻的優(yōu)缺點包過濾防火墻狀態(tài)/動態(tài)檢測防火墻應用程序代理防火墻使用防火墻中的NAT包過濾防火墻優(yōu)點（1）防火墻對每個傳入和傳出網絡的包實行低水平控制。（2）每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等，防火墻將基于這些信息應用過濾規(guī)則。

（3）防火墻可以識別和丟棄帶欺騙性源IP地址的包。（4）包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是很困難的。（5）包過濾通常被包含在路由器數(shù)據(jù)包中，所以不需要額外的系統(tǒng)來處理這個特征。缺點（1）配置困難。（2）為特定服務開放的端口存在危險，可能會被用于其他傳輸。（3）可能還有其他方法繞過防火墻進入網絡。狀態(tài)/動態(tài)檢測防火墻優(yōu)點（1）檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。（2）識別帶有欺騙性源IP地址包的能力。（3）基于應用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經建立的FTP連接，允許返回的FTP包通過，或允許一個先前認證過的連接繼續(xù)與被授予的服務通信。（4）記錄有關通過的每個包的詳細信息的能力。缺點所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者有大量的過濾網絡通信的規(guī)則存在時。應用程序代理防火墻優(yōu)點（1）指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者允許或拒絕基于用戶所請求連接的IP地址的訪問。（2）通過限制某些協(xié)議的傳出請求，來減少網絡中不必要的服務。（3）大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。這些信息對追蹤攻擊和發(fā)生的未授權訪問的事件是很有用的。缺點（1）必須在一定范圍內定制用戶的系統(tǒng)，這取決于所用的應用程序。（2）一些應用程序可能根本不支持代理連接。使用防火墻中的NAT優(yōu)點（1）所有內部的IP地址對外面的用戶來說是隱蔽的，因此，網絡之外沒有人可以通過指定IP地址的方式直接對網絡內的任何一臺特定的計算機發(fā)起攻擊。（2）如果因為某種原因而使公共IP地址資源比較短缺，NAT可以使整個內部網絡共享一個IP地址。（3）可以啟用基本的包過濾防火墻安全機制，因為所有傳入的包如果沒有專門指定配置到NAT，那么就會被丟棄，內部網絡的計算機就不可能直接訪問外部網絡。缺點和包過濾防火墻的缺點是一樣的。計算機病毒與黑客攻擊計算機病毒概述病毒與黑客攻擊計算機病毒概述計算機病毒的定義計算機病毒的特點計算機病毒的分類病毒和黑客的關系網絡病毒的防治方法常見殺毒軟件介紹計算機病毒的定義計算機病毒(computerVirus)是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒的特點（1）隱蔽性是指病毒的存在、傳染和對數(shù)據(jù)的破壞過程不易被計算機操作人員發(fā)現(xiàn)。（2）寄生性是指計算機病毒通常是依附于其他文件而存在的。（3）傳染性是指計算機病毒在一定條件下可以自我復制，能對其他文件或系統(tǒng)進行一系列非法操作，并使之成為一個新的傳染源。（4）觸發(fā)性是指病毒的發(fā)作一般都需要一個激發(fā)條件，可以是日期、時間、特定程序的運行或程序的運行次數(shù)等。（5）破壞性是指病毒在觸發(fā)條件滿足時，立即對計算機系統(tǒng)的文件、資源等的運行進行干擾破壞。（6）不可預見性是指病毒相對于防毒軟件永遠是超前的，理論上講，沒有任何殺毒軟件能將所有的病毒殺除。計算機病毒的分類（1）病毒存在的媒體網絡病毒/文件病毒/引導型病毒（2）病毒傳染的方法駐留型病毒/非駐留型病毒（3）病毒破壞的能力無害型/無危險型/危險型/非常危險型（4）病毒特有的算法伴隨型病毒/蠕蟲型病毒/寄生型病毒病毒和黑客的關系黑客通常利用病毒將惡意代碼寫入公司內部網。從這一點看來，病毒編寫人員和黑客之間的關系似乎越來越密切，而這種關系在幾年以前是根本不可能的事