網(wǎng)絡(luò)管理與安全第7章網(wǎng)絡(luò)安全管理

第7章網(wǎng)絡(luò)安全管理鄧浩網(wǎng)絡(luò)工程師hdengwh@126.com主要內(nèi)容Server2003的安全設(shè)置本地策略Server2003中常規(guī)網(wǎng)絡(luò)服務(wù)的安全管理IP安全策略路由器、交換機及VLAN對安全控制的作用防火墻計算機病毒與黑客攻擊SERVER2003的安全設(shè)置用戶管理與賬戶策略密碼策略賬戶鎖定策略用戶管理與賬戶策略建立新用戶建立賬號賬號管理“常規(guī)”選項卡“隸屬于”選項卡“配置文件”選項卡密碼策略密碼必須符合復(fù)雜性要求密碼長度最小值密碼最長使用期限密碼最短使用期限強制密碼歷史用可還原的加密來儲存密碼賬戶鎖定策略復(fù)位賬戶鎖定計數(shù)器該設(shè)置用于定義在失敗嘗試登錄多長時間后計數(shù)重新開始。賬戶鎖定時間該設(shè)置用于定義賬戶鎖定的時間間隔。賬戶鎖定閾值該數(shù)值用于定義用戶不成功登錄允許的次數(shù)，之后賬戶就會被鎖定。本地策略審核策略用戶權(quán)限分配審核策略其中包含審核策略更改、審核登錄事件、審核對象訪問等多個審核策略。當(dāng)對應(yīng)的事件發(fā)生時，系統(tǒng)將根據(jù)設(shè)置對相應(yīng)的事件進行記錄。用戶權(quán)限分配用戶權(quán)限分配內(nèi)容的設(shè)置可以基于用戶或組來設(shè)定用戶所具備的權(quán)限。常見權(quán)限分配的設(shè)定及安全選項通過設(shè)置安全選項，可以提高每個用戶的安全性。SERVER2003中常規(guī)網(wǎng)絡(luò)服務(wù)的安全管理Web服務(wù)器的安全問題FTP服務(wù)器的安全問題郵件服務(wù)器的安全問題Web服務(wù)器的安全問題用戶身份驗證IP地址和域名限制訪問控制審核與加密FTP服務(wù)器的安全問題取消匿名訪問功能啟用日志記錄正確設(shè)置用戶訪問權(quán)限啟用磁盤配額管理TCP/IP訪問限制增強賬號密碼的復(fù)雜性賬號登錄限制郵件服務(wù)器的安全問題垃圾郵件的威脅（1）侵占網(wǎng)絡(luò)和系統(tǒng)資源。（2）對網(wǎng)絡(luò)和系統(tǒng)安全產(chǎn)生了極大的危害。（3）對社會穩(wěn)定和個人生活將產(chǎn)生不良影響和危害。（4）使企業(yè)用戶直接遭受了巨大的經(jīng)濟損失。常見的反垃圾郵件措施（1）使用郵件客戶端產(chǎn)品自身的反垃圾郵件功能。（2）使用郵件系統(tǒng)或殺毒軟件提供的反垃圾郵件模塊。（3）使用專業(yè)的軟件或硬件反垃圾郵件網(wǎng)關(guān)設(shè)備。（4）接受專業(yè)第三方反垃圾郵件服務(wù)。IP安全策略IPSec1．啟用本地IPSec安全策略2．IPSec安全策略的組成IP篩選器決定哪些報文應(yīng)引起IPSec安全策略的關(guān)注篩選器操作是指允許還是拒絕報文的通過要新建一個IPSec安全策略，一般需要新建IP篩選器和篩選器操作3．IPSec安全策略應(yīng)用實例4．IPSec安全策略驗證使用gpupdate/force命令強行刷新IPSec安全策略輸入netshipsecdynamicshowALL命令查看是否生效路由器、交換機及VLAN對安全控制的作用路由器與三層交換機的訪問控制列表的安全機制（略）交換機的VLAN配置對安全的作用（略）防火墻防火墻概述防火墻的種類防火墻部署模式各類防火墻的優(yōu)缺點防火墻概述什么是防火墻防火墻的基本功能什么是防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的基本功能(1)防火墻是網(wǎng)絡(luò)安全的屏障。(2)防火墻可以強化網(wǎng)絡(luò)安全策略。(3)對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。(4)防止內(nèi)部信息的外泄。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。防火墻的種類分組過濾(PacketFiltering)作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。應(yīng)用代理(ApplicationProxy)也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway)，它作用在應(yīng)用層，其特點是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。防火墻部署模式1．路由模式2．透明模式3．混合模式路由模式透明模式混合模式各類防火墻的優(yōu)缺點包過濾防火墻狀態(tài)/動態(tài)檢測防火墻應(yīng)用程序代理防火墻使用防火墻中的NAT包過濾防火墻優(yōu)點（1）防火墻對每個傳入和傳出網(wǎng)絡(luò)的包實行低水平控制。（2）每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等，防火墻將基于這些信息應(yīng)用過濾規(guī)則。

（3）防火墻可以識別和丟棄帶欺騙性源IP地址的包。（4）包過濾防火墻是兩個網(wǎng)絡(luò)之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是很困難的。（5）包過濾通常被包含在路由器數(shù)據(jù)包中，所以不需要額外的系統(tǒng)來處理這個特征。缺點（1）配置困難。（2）為特定服務(wù)開放的端口存在危險，可能會被用于其他傳輸。（3）可能還有其他方法繞過防火墻進入網(wǎng)絡(luò)。狀態(tài)/動態(tài)檢測防火墻優(yōu)點（1）檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。（2）識別帶有欺騙性源IP地址包的能力。（3）基于應(yīng)用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的FTP連接，允許返回的FTP包通過，或允許一個先前認證過的連接繼續(xù)與被授予的服務(wù)通信。（4）記錄有關(guān)通過的每個包的詳細信息的能力。缺點所有這些記錄、測試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時有許多連接激活的時候，或者有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。應(yīng)用程序代理防火墻優(yōu)點（1）指定對連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者允許或拒絕基于用戶所請求連接的IP地址的訪問。（2）通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。（3）大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。這些信息對追蹤攻擊和發(fā)生的未授權(quán)訪問的事件是很有用的。缺點（1）必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。（2）一些應(yīng)用程序可能根本不支持代理連接。使用防火墻中的NAT優(yōu)點（1）所有內(nèi)部的IP地址對外面的用戶來說是隱蔽的，因此，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機發(fā)起攻擊。（2）如果因為某種原因而使公共IP地址資源比較短缺，NAT可以使整個內(nèi)部網(wǎng)絡(luò)共享一個IP地址。（3）可以啟用基本的包過濾防火墻安全機制，因為所有傳入的包如果沒有專門指定配置到NAT，那么就會被丟棄，內(nèi)部網(wǎng)絡(luò)的計算機就不可能直接訪問外部網(wǎng)絡(luò)。缺點和包過濾防火墻的缺點是一樣的。計算機病毒與黑客攻擊計算機病毒概述病毒與黑客攻擊計算機病毒概述計算機病毒的定義計算機病毒的特點計算機病毒的分類病毒和黑客的關(guān)系網(wǎng)絡(luò)病毒的防治方法常見殺毒軟件介紹計算機病毒的定義計算機病毒(computerVirus)是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒的特點（1）隱蔽性是指病毒的存在、傳染和對數(shù)據(jù)的破壞過程不易被計算機操作人員發(fā)現(xiàn)。（2）寄生性是指計算機病毒通常是依附于其他文件而存在的。（3）傳染性是指計算機病毒在一定條件下可以自我復(fù)制，能對其他文件或系統(tǒng)進行一系列非法操作，并使之成為一個新的傳染源。（4）觸發(fā)性是指病毒的發(fā)作一般都需要一個激發(fā)條件，可以是日期、時間、特定程序的運行或程序的運行次數(shù)等。（5）破壞性是指病毒在觸發(fā)條件滿足時，立即對計算機系統(tǒng)的文件、資源等的運行進行干擾破壞。（6）不可預(yù)見性是指病毒相對于防毒軟件永遠是超前的，理論上講，沒有任何殺毒軟件能將所有的病毒殺除。計算機病毒的分類（1）病毒存在的媒體網(wǎng)絡(luò)病毒/文件病毒/引導(dǎo)型病毒（2）病毒傳染的方法駐留型病毒/非駐留型病毒（3）病毒破壞的能力無害型/無危險型/危險型/非常危險型（4）病毒特有的算法伴隨型病毒/蠕蟲型病毒/寄生型病毒病毒和黑客的關(guān)系黑客通常利用病毒將惡意代碼寫入公司內(nèi)部網(wǎng)。從這一點看來，病毒編寫人員和黑客之間的關(guān)系似乎越來越密切，而這種關(guān)系在幾年以前是根本不可能的事