網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成(3)第8章

網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成楊威

人民郵電出版社

（第3版）NetworkEngineeringDesignandSystemIntegration（3ndEdition）“十二五”普通高等教育本科國家級規(guī)劃教材

普通高等教育“十一五”國家級規(guī)劃教材

1山西師范大學(xué)網(wǎng)絡(luò)信息中心問題思考你的電腦安全？

電腦訪問Internet時(shí)，受到安全威脅怎么辦？如何解決防御病毒、黑客攻擊？

學(xué)習(xí)目標(biāo)：（1）了解網(wǎng)絡(luò)安全面臨的問題，解決問題的技術(shù)與方法。識別802.1x+Radius及其他的網(wǎng)絡(luò)準(zhǔn)入/準(zhǔn)出控制技術(shù)的差異，熟悉防止IP地址盜用方法。能夠按照網(wǎng)絡(luò)準(zhǔn)入/準(zhǔn)出控制需求，設(shè)計(jì)網(wǎng)絡(luò)準(zhǔn)入/準(zhǔn)出控制技術(shù)方案。（2）熟悉WindowsServer2008的安全功能，會安裝與配置WindowsServer2008操作系統(tǒng)的安全機(jī)制。理解IIS的安全機(jī)制，熟悉Web服務(wù)器安全設(shè)置方法，能夠充分運(yùn)用WindowsServer2008的安全機(jī)制，設(shè)置Web服務(wù)器的安全機(jī)制。（3）識別防火墻、路由器在網(wǎng)絡(luò)邊界安全中的作用，理解建立網(wǎng)絡(luò)DMZ的方法。會使用路由器的標(biāo)準(zhǔn)、擴(kuò)展訪問控制列表，建立網(wǎng)絡(luò)邊界安全規(guī)則及保護(hù)內(nèi)網(wǎng)服務(wù)器的安全。能夠根據(jù)中小型網(wǎng)絡(luò)安全的需求，設(shè)計(jì)中小型網(wǎng)絡(luò)安全技術(shù)方案。第8章網(wǎng)絡(luò)安全技術(shù)與應(yīng)用本章重點(diǎn)：802.1x協(xié)議及工作機(jī)制常用的網(wǎng)絡(luò)安全技術(shù)措施防止IP地址盜用，網(wǎng)絡(luò)防病毒技術(shù)使用路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界擴(kuò)展訪問列表與應(yīng)用,NAT協(xié)議保護(hù)內(nèi)網(wǎng)的安全WindowsServer2008操作系統(tǒng)安全加固技術(shù)，Web服務(wù)器安全設(shè)置技術(shù)本章難點(diǎn)：使用路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界擴(kuò)展訪問列表與應(yīng)用第8章網(wǎng)絡(luò)安全技術(shù)與應(yīng)用網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)準(zhǔn)入與準(zhǔn)出控制操作系統(tǒng)安全設(shè)置Web網(wǎng)站安全設(shè)置保護(hù)網(wǎng)絡(luò)邊界安全第8章網(wǎng)絡(luò)安全技術(shù)與應(yīng)用源碼類目標(biāo)碼類一對一攻擊兌變式攻擊非法權(quán)限類蠕蟲類(侵占資源)傳染類操作系統(tǒng)類文件類攻擊手段一對一攻擊兌變式攻擊蠕蟲類(侵占資源)源碼類操作系統(tǒng)類文件類傳染類目標(biāo)碼類系統(tǒng)欺騙拒絕服務(wù)入侵特洛伊木馬竊取非法權(quán)限類系統(tǒng)欺騙特洛伊木馬拒絕服務(wù)入侵竊取8.1.1網(wǎng)絡(luò)安全威脅

非法權(quán)限類特洛伊木馬系統(tǒng)欺騙拒絕服務(wù)入侵竊取

一種未經(jīng)授權(quán)的程序，或在合法程序中有一段未經(jīng)授權(quán)的程序代碼，或在合法程序中包含有一段用戶不了解的程序功能。上述程序?qū)τ脩魜碚f具有惡意的行為。PKZIP300特洛伊木馬非法權(quán)限類信息竊取類邏輯炸彈類陷阱入口類功能欺騙類木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針對以上各種現(xiàn)象的危害越來越多，木馬病毒已成為威脅數(shù)字娛樂的大敵根據(jù)木馬病毒的特點(diǎn)與其危害范圍來講，木馬病毒又分為以下五大類別：針對網(wǎng)游的木馬病毒、針對網(wǎng)上銀行的木馬病毒、針對即時(shí)通訊工具的木馬病毒、給計(jì)算機(jī)開后門的木馬病毒、推廣廣告的木馬病毒。木馬程序網(wǎng)站掛馬從“掛馬”這個(gè)詞中可以知道，這和木馬脫離不了關(guān)系。掛馬就是黑客入侵了一些網(wǎng)站后，將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中，利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬傳播開去，以達(dá)到自己不可告人的目的。掛馬使用的木馬大致可以分為兩類。一類是以遠(yuǎn)程控制為目的的木馬，黑客使用這種木馬進(jìn)行掛馬攻擊，其目的是對某些網(wǎng)站實(shí)施拒絕服務(wù)攻擊或達(dá)到其他目的。另一類是鍵盤記錄木馬，通常稱其為盜號木馬，這類木馬用于盜取用戶的游戲賬號或者銀行賬號。信息竊取類

攻擊系統(tǒng)權(quán)限對任意用戶進(jìn)行FINGER請求對一般用戶正常響應(yīng)，保持原功能wldfingerD對FANG用戶進(jìn)行FINGER請求識別是用戶FANG，將之賦予ROOT權(quán)限wldfingerD擁有ROOT權(quán)限信息竊取類—攻擊系統(tǒng)權(quán)限-1LOGOUT前釋放權(quán)限wldfingerDLOGOUTLOGOUTLOGOUTFANG在退出前注銷ROOT權(quán)限，以免被系統(tǒng)人員查出取消ROOT權(quán)限信息竊取類—攻擊系統(tǒng)權(quán)限-2攻擊口令信息竊取類偽造登錄現(xiàn)場LOGIN特洛伊木馬指示輸入錯(cuò)誤，重輸入捕獲口令退出LOGIN特洛伊木馬信息竊取類——攻擊口令-1真實(shí)登錄現(xiàn)場PaleRider密碼被竊取采用TSR技術(shù)也可達(dá)到同樣的目的輸入正確進(jìn)入系統(tǒng)信息竊取類——攻擊口令-2偽造ATM是典型的欺騙類特洛伊木馬案件。信息竊取類——攻擊口令-3邏輯炸彈

邏輯炸彈是程序中的一部分，滿足一定條件時(shí)激活某種特定的程序，并產(chǎn)生系統(tǒng)自毀，并附帶破壞。邏輯炸彈-1潛伏代碼滿足條件否？監(jiān)視滿足而爆炸滿足而爆炸危害程序陷阱正常正常正常正常正常陷阱入口正常路徑限制路徑Internet攻擊模式WORM_SASSER.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染撥號用戶B撥號用戶C撥號用戶A撥號用戶DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全信息丟失未授權(quán)接入非法外聯(lián)監(jiān)控安全事件處理IT系統(tǒng)運(yùn)維面臨的問題導(dǎo)致這些問題的原因是什么？

病毒泛濫：計(jì)算機(jī)病毒的感染率比例非常高，高達(dá)89.73%

軟件漏洞：軟件系統(tǒng)中的漏洞也不斷被發(fā)現(xiàn)，從漏洞公布到出現(xiàn)攻擊代碼的時(shí)間為5.8天黑客攻擊：世界上目前有20多萬個(gè)黑客網(wǎng)站，各種黑客工具隨時(shí)都可以找到，攻擊方法達(dá)幾千種之多。

移動用戶越來越多：網(wǎng)絡(luò)用戶往往跨越多個(gè)工作區(qū)域以上相關(guān)數(shù)據(jù)來自Symantec?，F(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL（規(guī)則控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey資料來源： ComputerSecurityInstitute移動用戶D廣域網(wǎng)如何進(jìn)行信息系統(tǒng)的等級化保護(hù)？各信息系統(tǒng)依據(jù)重要程度的等級需要?jiǎng)澐植煌踩珡?qiáng)度的安全域，采取不同的安全控制措施和制定安全策略完成安全設(shè)施的重新部署或響應(yīng)如何從全局角度對安全狀況分析、評估與管理獲得全局安全視圖制定安全策略指導(dǎo)或自動Internetp用戶如何管理現(xiàn)有安全資源并執(zhí)行策略機(jī)制？補(bǔ)丁服務(wù)器p打補(bǔ)丁了嗎？更新補(bǔ)丁了嗎？ppppppppppp困境無法知道哪些機(jī)器沒有安裝漏洞補(bǔ)丁知道哪些機(jī)器但是找不到機(jī)器在哪里機(jī)器太多不知如何做起Internet用戶如何防止內(nèi)部信息的泄露？未經(jīng)安全檢查與過濾，違規(guī)接入內(nèi)部網(wǎng)絡(luò)私自撥號上網(wǎng)Internet用戶如何實(shí)現(xiàn)積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實(shí)時(shí)監(jiān)控病毒與攻擊我們怎么辦?語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段教學(xué)網(wǎng)段1網(wǎng)站OA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群Internet保戶網(wǎng)絡(luò)與基礎(chǔ)設(shè)施的安全1、網(wǎng)絡(luò)設(shè)備2、通訊設(shè)備3、通訊線路4、可用性5、機(jī)密性6、完整性保護(hù)邊界與外部連接邊界進(jìn)出數(shù)據(jù)流保護(hù)計(jì)算環(huán)境操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)保護(hù)應(yīng)用業(yè)務(wù)系統(tǒng)辦公自動化系統(tǒng)其他應(yīng)用系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)需求教學(xué)網(wǎng)段5內(nèi)部辦公NIntranet2邊界處的訪問控制4邊界處的病毒與惡意代碼防護(hù)5邊界內(nèi)部的網(wǎng)絡(luò)掃描與撥號監(jiān)控3邊界處的網(wǎng)絡(luò)入侵檢測1邊界處的認(rèn)證與授權(quán)網(wǎng)絡(luò)邊界與外部連接的保護(hù)需求6邊界處的垃圾郵件和內(nèi)容過濾計(jì)算環(huán)境的保護(hù)需求1基于主機(jī)的入侵檢測2基于主機(jī)的惡意代碼和病毒檢測3主機(jī)脆弱性掃描4主機(jī)系統(tǒng)加固5主機(jī)文件完整性檢查6主機(jī)用戶認(rèn)證與授權(quán)7主機(jī)數(shù)據(jù)存儲安全8主機(jī)訪問控制看不懂進(jìn)不來拿不走改不了跑不了可審查信息安全的目的打不垮33山西師范大學(xué)網(wǎng)絡(luò)信息中心采取的解決辦法一對于非法訪問及攻擊類-----在非可信網(wǎng)絡(luò)接口處安裝訪問控制防火墻、蠕蟲墻、Dos/DDos墻、IPsecVPN、SSLVPN、內(nèi)容過濾系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段Internet防火墻、IPSECVPN、SSLVPN、內(nèi)容過濾等防DOS/DDOS設(shè)備個(gè)人安全套件語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法二對于病毒、蠕蟲、木馬類-----實(shí)施全網(wǎng)絡(luò)防病毒系統(tǒng)對于垃圾郵件類-----在網(wǎng)關(guān)處實(shí)施防垃圾郵件系統(tǒng)Internet郵件過濾網(wǎng)關(guān)、反垃圾郵件系統(tǒng)在MAIL系統(tǒng)中郵件病毒過濾系統(tǒng)、反垃圾郵件系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法三對于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類-----在各網(wǎng)絡(luò)中安裝IDS系統(tǒng)-----在系統(tǒng)中安裝安全隱患掃描系統(tǒng)-----在系統(tǒng)中安裝事件分析響應(yīng)系統(tǒng)-----在主機(jī)中安裝資源管理系統(tǒng)-----在主機(jī)中安裝防火墻系統(tǒng)-----在重要主機(jī)中安裝內(nèi)容過濾系統(tǒng)

-----在重要主機(jī)中安裝VPN系統(tǒng)人事商務(wù)網(wǎng)段Internet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法四對于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng)-----在網(wǎng)絡(luò)中配置管理系統(tǒng)-----在網(wǎng)絡(luò)中配置信息審計(jì)系統(tǒng)-----在網(wǎng)絡(luò)中配置日志審計(jì)系統(tǒng)-----在網(wǎng)絡(luò)中補(bǔ)丁分發(fā)系統(tǒng)-----在網(wǎng)絡(luò)中配置安全管理中心銷售體系網(wǎng)段NInternet安全審計(jì)中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5安全管理中心專家?guī)霫nternet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3安服網(wǎng)段教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5問題時(shí)間8.2網(wǎng)絡(luò)安全接入與認(rèn)證802.1x協(xié)議及工作機(jī)制基于RADIUS的認(rèn)證基于802.1x的認(rèn)證幾種認(rèn)證方式比較防止IP地址盜用

802.1x+RADIUS的應(yīng)用案例

8.2.1802.1x協(xié)議及工作機(jī)制802.1x協(xié)議稱為基于端口的訪問控制協(xié)議（PortBasedNetworkAccessControlProtocol），該協(xié)議的核心內(nèi)容如下圖所示?？拷脩粢粋?cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP（ExtensibleAuthenticationProtocol，可擴(kuò)展的認(rèn)證協(xié)議）代理，用戶PC機(jī)運(yùn)行EAPoE（EAPoverEthernet）的客戶端軟件與交換機(jī)通信。802.1x協(xié)議包括三個(gè)重要部分：客戶端請求系統(tǒng)（SupplicantSystem）認(rèn)證系統(tǒng)（AuthenticatorSystem）認(rèn)證服務(wù)器（AuthenticationServerSystem）8.2.1802.1x協(xié)議及工作機(jī)制上圖描述了三者之間的關(guān)系以及互相之間的通信?？蛻魴C(jī)安裝一個(gè)EAPoE客戶端軟件，該軟件支持交換機(jī)端口的接入控制，用戶通過啟動客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過程。認(rèn)證系統(tǒng)通常為支持802.1x協(xié)議的交換機(jī)。該交換機(jī)有兩個(gè)邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoE協(xié)議幀，保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過之后才導(dǎo)通，用于傳遞網(wǎng)絡(luò)信息。如果用戶未通過認(rèn)證，受控端口處于非導(dǎo)通狀態(tài)，則用戶無法訪問網(wǎng)絡(luò)信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。8.2.2基于RADIUS的認(rèn)證衡量RADIUS的標(biāo)準(zhǔn)

RADIUS的性能是用戶該關(guān)注的地方，比如，能接受多少請求以及能處理多少事務(wù)。同時(shí)遵循標(biāo)準(zhǔn)，并具備良好的與接入控制設(shè)備的互操作性是RADIUS服務(wù)器好壞的重要指標(biāo)。安全性也是關(guān)注的重點(diǎn)，服務(wù)器在和網(wǎng)絡(luò)接入服務(wù)器（NAS，NetworkAccessServers）通信的過程中是如何保證安全和完整性的。另外，RADIUS是否能夠讓管理員實(shí)現(xiàn)諸多管理安全特性和策略是非常重要的一環(huán)。是否支持強(qiáng)制時(shí)間配額，這種功能使網(wǎng)絡(luò)管理員可以限制用戶或用戶組能夠通過RADIUS服務(wù)器接入網(wǎng)絡(luò)多長時(shí)間。RADIUS服務(wù)器是否都通過ODBC或JDBC，利用SQLServer數(shù)據(jù)庫保存和訪問用戶配置文件。

RADIUS認(rèn)證系統(tǒng)的組成RADIUS是一種C/S結(jié)構(gòu)的協(xié)議。RadiusClient一般是指與NAS通信的、處理用戶上網(wǎng)驗(yàn)證的軟件；RadiusServer一般是指認(rèn)證服務(wù)器上的計(jì)費(fèi)和用戶驗(yàn)證軟件。Server與Client通信進(jìn)行認(rèn)證處理，這兩個(gè)軟件都是遵循RFC相關(guān)Radius協(xié)議設(shè)計(jì)的。RADIUS的客戶端最初就是NAS，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。如下圖。

RADIUS的工作原理用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、口令等相關(guān)信息。其中用戶口令是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播。RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對用戶認(rèn)證，也可以對NAS進(jìn)行類似的認(rèn)證。如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問。如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。8.2.3基于802.1x的認(rèn)證（1）用戶開始上網(wǎng)時(shí)，啟動802.1x客戶端軟件。該軟件查詢網(wǎng)絡(luò)上能處理EAPoE數(shù)據(jù)包的交換機(jī)。當(dāng)支持802.1x協(xié)議的交換機(jī)接收到EAPoE數(shù)據(jù)包時(shí)，就會向請求者發(fā)送響應(yīng)的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機(jī)的響應(yīng)后，提供身份標(biāo)識給認(rèn)證服務(wù)器。由于此時(shí)客戶端還未經(jīng)過驗(yàn)證，因此認(rèn)證流只能從交換機(jī)未受控邏輯端口經(jīng)過。交換機(jī)通過EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證。（3）如果認(rèn)證通過，則認(rèn)證系統(tǒng)的交換機(jī)的受控邏輯端口打開。（4）客戶端軟件發(fā)起DHCP請求，經(jīng)認(rèn)證交換機(jī)轉(zhuǎn)發(fā)到DHCPServer。（5）DHCPServer為用戶分配IP地址。（6）DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng)的服務(wù)器，服務(wù)器記錄用戶的相關(guān)信息，如用戶ID，MAC，IP地址等信息，并建立動態(tài)的ACL訪問列表，以限制用戶的權(quán)限。（7）當(dāng)認(rèn)證交換機(jī)檢測到用戶的上網(wǎng)流量，就會向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息，開始對用戶計(jì)費(fèi)。（8）當(dāng)用戶退出網(wǎng)絡(luò)時(shí)間，可用鼠標(biāo)點(diǎn)擊客戶端軟件（在用戶上網(wǎng)期間，該軟件處于運(yùn)行狀態(tài)）的“退出”按鈕。認(rèn)證系統(tǒng)檢測到該數(shù)據(jù)包后，會通知AAA（Authentication，Authorization，Accounting）服務(wù)器停止計(jì)費(fèi)，并刪除用戶的相關(guān)信息（如MAC和IP地址），受控邏輯端口關(guān)閉。用戶進(jìn)入再認(rèn)證狀態(tài)。（9）如果上網(wǎng)的PC機(jī)異常死機(jī)，當(dāng)驗(yàn)證設(shè)備檢測不到PC機(jī)在線狀態(tài)后，則認(rèn)為用戶已經(jīng)下線，即向認(rèn)證服務(wù)器發(fā)送終止計(jì)費(fèi)的信息。8.2.4幾種認(rèn)證方式比較

PPPoE+Radius：

PPPoE的本質(zhì)就是在以太網(wǎng)上運(yùn)行PPP協(xié)議。由于PPP協(xié)議認(rèn)證過程的第一階段是發(fā)現(xiàn)階段，廣播只能在二層網(wǎng)絡(luò)，才能發(fā)現(xiàn)寬帶接入服務(wù)器。因此，也就決定了在客戶機(jī)和服務(wù)器之間，不能有路由器或三層交換機(jī)。另外，由于PPPoE點(diǎn)對點(diǎn)的本質(zhì)，在客戶機(jī)和服務(wù)器之間，限制了組播協(xié)議存在。這樣，將會在一定程度上，影響視頻業(yè)務(wù)的開展。除此之外，PPP協(xié)議需要再次封裝到以太網(wǎng)中，所以效率較低。

Web＋RadiusWeb＋Radius認(rèn)證是網(wǎng)絡(luò)用戶連接Internet時(shí)常采用的一種技術(shù)方案。如圖8.8所示。這種認(rèn)證方式是通過IE瀏覽器訪問Radius服務(wù)器，用戶在登錄界面輸入“用戶名+口令”。Radius服務(wù)器檢查用戶名、口令是否正確，若認(rèn)證通過，用戶即可訪問外網(wǎng)。該技術(shù)方案的優(yōu)點(diǎn)是客戶機(jī)無需配置認(rèn)證協(xié)議，用戶賬號可以在局域網(wǎng)內(nèi)漫游。其缺點(diǎn)是賬號可能被盜用，也不能防止IP地址盜。與PPPoE一樣，用戶連接外網(wǎng)的性能受制于Radius服務(wù)器的性能。802.1x+Radius802.1x+Radius技術(shù)方案與前兩種不同。Radius服務(wù)器連接在核心交換機(jī)，通過支持802.1x協(xié)議的交換機(jī)，在PC機(jī)連接網(wǎng)絡(luò)時(shí)進(jìn)行認(rèn)證。如圖8.9所示。這種認(rèn)證方式也稱為安全可信接入認(rèn)證.8.2.5IP地址設(shè)置與防盜用IP地址自動設(shè)置8.2.5防止IP地址盜用2.使用ARP命令（1）使用操作系統(tǒng)的ARP命令進(jìn)入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會出現(xiàn)客戶機(jī)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況發(fā)生。ARP命令僅對局域網(wǎng)的上網(wǎng)服務(wù)器、客戶機(jī)的靜態(tài)IP地址有效。當(dāng)被綁定IP地址的計(jì)算機(jī)宕機(jī)后，地址幫綁定關(guān)系解除。如果采用Modem撥號上網(wǎng)或是動態(tài)IP地址就不起作用。ARP命令的參數(shù)的功能如下：ARP-s-d-a-s：將相應(yīng)的IP地址與物理地址的捆綁，如以上所舉的例子。-d：刪除相應(yīng)的IP地址與物理地址的捆綁。-a：通過查詢ARP協(xié)議表顯示IP地址和對應(yīng)物理地址的情況。（2）使用交換機(jī)的ARP命令例如，Cisco的二層和三層交換機(jī)。在二層交換機(jī)只能綁定與該交換機(jī)IP地址具有相同網(wǎng)絡(luò)地址的IP地址。在三層交換機(jī)可以綁定該設(shè)備所有VLAN的IP地址。交換機(jī)支持靜態(tài)綁定和動態(tài)幫綁定，一般采用靜態(tài)綁定。其綁定操作過程是：采用Telnet命令或Console口連接交換機(jī)，進(jìn)入特權(quán)模式；輸入config，進(jìn)入全局配置模式；輸入綁定命令：arp0010.5CAD.72E3arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：noarp即可。8.2.5防止IP地址盜用3.使用802.1x的安全接入防止IP盜用

（1）采用IP和賬號綁定，防止靜態(tài)IP沖突

用戶進(jìn)行802.1x認(rèn)證時(shí)，用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會與別的用戶IP沖突。當(dāng)用戶使用賬號密碼試圖通過認(rèn)證時(shí)，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號和其IP做了綁定，認(rèn)證服務(wù)器對其不予通過認(rèn)證，從而同樣不會造成IP沖突。當(dāng)用戶使用正確的賬號IP通過認(rèn)證后，再更改IP時(shí)，Radius客戶端軟件能夠檢測到IP的更改，即刻剔除用戶下線，從而不會造成IP沖突。（2）采用客戶IP屬性校驗(yàn)，防止動態(tài)IP沖突

用戶進(jìn)行802.1X認(rèn)證前不用動態(tài)獲得IP，而是靜態(tài)指定。認(rèn)證前用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會與別的用戶IP沖突。當(dāng)用戶使用賬號密碼試圖通過認(rèn)證，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號的IP屬性是動態(tài)IP，認(rèn)證報(bào)文中該用戶的IP屬性確是靜態(tài)IP，則認(rèn)證服務(wù)器對其不予通過認(rèn)證，從而同樣不會造成IP沖突。8.3加固操作系統(tǒng)的安全

操作系統(tǒng)是Web服務(wù)器的基礎(chǔ)，雖然操作系統(tǒng)本身在不斷完善，對攻擊的抵抗能力日益提高，但是要提供完整的系統(tǒng)安全保證，仍然有許多安全配置和管理工作要做。

8.3操作系統(tǒng)安全設(shè)置系統(tǒng)服務(wù)包和安全補(bǔ)丁系統(tǒng)賬戶安全配置文件系統(tǒng)安全設(shè)置安全模板創(chuàng)建與使用使用安全配置和分析使用安全配置向?qū)?.3.1系統(tǒng)服務(wù)包和安全補(bǔ)丁微軟提供的安全補(bǔ)丁有兩類：服務(wù)包（ServicePack）和熱補(bǔ)?。℉otfixes）。服務(wù)包已經(jīng)通過回歸測試，能夠保證安全安裝。每一個(gè)Windows的服務(wù)包都包含著在此之前所有的安全補(bǔ)丁。微軟公司建議用戶及時(shí)安裝服務(wù)包的最新版。安裝服務(wù)包時(shí)，應(yīng)仔細(xì)閱讀其自帶的Readme文件并查找已經(jīng)發(fā)現(xiàn)的問題，最好先安裝一個(gè)測試系統(tǒng)，進(jìn)行試驗(yàn)性安裝。安全熱補(bǔ)丁的發(fā)布更及時(shí)，只是沒有經(jīng)過回歸測試。

在安裝之前，應(yīng)仔細(xì)評價(jià)每一個(gè)補(bǔ)丁，以確定是否應(yīng)立即安裝還是等待更完整的測試之后再使用。在Web服務(wù)器上正式使用熱補(bǔ)丁之前，最好在測試系統(tǒng)上對其進(jìn)行測試。

使用360安全衛(wèi)士修復(fù)漏洞8.3.2系統(tǒng)賬戶安全配置

禁止或刪除不必要的賬戶（如Guest）設(shè)置增強(qiáng)的密碼策略·密碼長度至少9個(gè)字符?！ぴO(shè)置一個(gè)與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最短密碼存留期（典型的為1～7天）?！ぴO(shè)置一個(gè)與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最長密碼存留期（典型的不超過42天）?！ぴO(shè)置密碼歷史至少6個(gè)。這樣可強(qiáng)制系統(tǒng)記錄最近使用過的幾個(gè)密碼。設(shè)置賬戶鎖定策略

（1）復(fù)位賬戶鎖定計(jì)數(shù)器。用來設(shè)置連續(xù)嘗試的時(shí)限。（2）賬戶鎖定時(shí)間。用于定義賬戶被鎖定之后，保持鎖定狀態(tài)的時(shí)間。（3）賬戶鎖定閾閥值。用于設(shè)置允許用戶連續(xù)嘗試登錄的次數(shù)。

加強(qiáng)管理員賬戶的安全性（1）將Administrator重命名，改為一個(gè)不易猜測的名字。（2）為Administrator賬戶設(shè)置一個(gè)復(fù)雜密碼，由多種字符類型（字母、數(shù)字和標(biāo)點(diǎn)符號等）構(gòu)成，密碼長度不能少于9個(gè)字符。（3）建立一個(gè)偽賬戶，其名字雖然是Administrator，但是沒有任何權(quán)限。定期審查事件日志，查找對該賬戶的攻擊企圖。（4）使用Passprop.exe工具設(shè)置管理員賬戶的鎖定閥值。（5）除管理員賬戶外，有必要再增加一個(gè)屬于管理員組（Administrators）的賬戶，作為備用賬戶?？墒褂帽镜匕踩呗裕ɑ蛴虬踩呗裕┕芾砥鱽碓O(shè)置用戶權(quán)限指派，檢查、授予或刪除用戶賬戶特權(quán)、組成員以及組特權(quán)。Web服務(wù)器的用戶賬戶盡可能少

嚴(yán)格控制賬戶特權(quán)

8.3.3文件系統(tǒng)安全設(shè)置確保使用NTFS文件系統(tǒng)

安裝Windows2000服務(wù)器時(shí)，最好將硬盤的所有分區(qū)設(shè)置為NTFS分區(qū)，而不要先使用FAT分區(qū)，再轉(zhuǎn)換為NTFS分區(qū)。Web服務(wù)器軟件應(yīng)該安裝在NTFS分區(qū)上。設(shè)置NTFS權(quán)限保護(hù)文件和目錄

要使用NTFS權(quán)限來保護(hù)目錄或文件，必須具備兩個(gè)條件。①要設(shè)置權(quán)限的目錄或文件必須位于NTFS分區(qū)中。②對于要授予權(quán)限的用戶或用戶組，應(yīng)設(shè)立有效的Windows賬戶。

禁用NTFS的8.3文件名生成

禁用某項(xiàng)系統(tǒng)服務(wù)操作：在“計(jì)算機(jī)管理”控制臺中打開“服務(wù)”項(xiàng)目，停止某項(xiàng)系統(tǒng)服務(wù)，并更改啟動類型，最好設(shè)置為“已禁用”。刪除某組件操作：

要徹底清除某些服務(wù)，可通過刪除Windows組件的方式來實(shí)現(xiàn)。從控制面板中選擇“添加/刪除程序”→“添加/刪除Windows組件”，啟動Windows組件向?qū)韯h除某些組件禁止或刪除不必要的網(wǎng)絡(luò)協(xié)議

Web服務(wù)器系統(tǒng)只保留TCP/IP協(xié)議，刪除NetBEUI、IPX/SPX協(xié)議。卸載“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”。從“網(wǎng)絡(luò)和撥號連接”文件夾中打開任一連接的屬性設(shè)置對話框，鼠標(biāo)單擊“卸載”按鈕刪除該組件。

卸載“文件和打印機(jī)共享”禁用TCP/IP上的NetBIOS盡可能減少不必要的應(yīng)用程序如果不是絕對需要，就應(yīng)該避免在服務(wù)器上安裝應(yīng)用程序。例如，不要安裝E-mail客戶端、Office產(chǎn)品及工具；或者對于服務(wù)器正常運(yùn)行并不必需的工具。如果已經(jīng)計(jì)劃用服務(wù)器提供Web服務(wù)，那么不必為服務(wù)器添加外部應(yīng)用程序。然而，當(dāng)配置Web服務(wù)器以及開發(fā)Web站點(diǎn)時(shí)，為了實(shí)現(xiàn)其功能，可能會為其添加必要的工具。

刪除不必要的OS/2和POSIX子系統(tǒng)OS/2和POSIX子系統(tǒng)分別支持為OS/2和POSIX開發(fā)的應(yīng)用程序。在安裝Windows2000的同時(shí)這些子系統(tǒng)也會被安裝，應(yīng)刪除這些子系統(tǒng)。操作系統(tǒng)的任何部分都存在弱點(diǎn)，可能被攻擊，刪除這些額外的部分可以堵住可能出現(xiàn)的漏洞。

8.3.4安全模板創(chuàng)建與使用WindowsServer2008的安全模板是一種用文件形式定義安全策略的方法。安全模板能夠配置賬戶策略、本地策略、事件日志、受限制的組、文件系統(tǒng)、注冊表和系統(tǒng)服務(wù)等項(xiàng)目的安全設(shè)置。安全模板采用.inf格式的文件，將操作系統(tǒng)安全屬性集合成文檔。管理員可以方便地復(fù)制、粘貼、導(dǎo)入和導(dǎo)出安全模板，以及快速批量修改安全選項(xiàng)。1.添加安全配置管理單元單擊“開始”→“運(yùn)行”→“打開”→“MMC”，進(jìn)入操作系統(tǒng)管理控制臺（MMC），如圖5.5所示。單擊MMC菜單欄中的“文件”→“添加/刪除管理單元”，打開“添加/刪除管理單元”對話框。選擇“可用的管理單元”列表中的“安全配置”項(xiàng)，單擊“添加”按鈕，將“安全配置”添加到“所選管理單元”列表中，接著單擊“確定”按鈕。返回控制臺界面，可看到在MMC中已經(jīng)添加了“安全配置”管理單元。2.創(chuàng)建與保存安全模板在MMC中展開“安全模板”項(xiàng)，右鍵單擊準(zhǔn)備創(chuàng)建安全模板的路徑“C:\Users\Administrator\Documents\Security\Templantes”，在彈出菜單中選擇“新添模板”命令，打開創(chuàng)建模板對話框，在對話框內(nèi)輸入模板名稱（如anquan_1）和描述，單擊“確定”按鈕，完成安全模板的創(chuàng)建，如圖5.6所示。8.3.5使用安全配置和分析“安全配置和分析”是配置與分析本地計(jì)算機(jī)系統(tǒng)安全性的一個(gè)工具。該工具可以將“安全模板”應(yīng)用效果與本地計(jì)算機(jī)定義的安全設(shè)置進(jìn)行比較。該工具允許管理員進(jìn)行快速安全分析。在安全分析過程中，在其視窗中顯示當(dāng)前配置與建議，包括不安全區(qū)域。也可以使用該工具配置本地計(jì)算機(jī)系統(tǒng)的安全。1.添加安全配置和分析管理單元單擊“開始”→“運(yùn)行”→“打開”→“MMC”，進(jìn)入操作系統(tǒng)管理控制臺（MMC）。單擊MMC菜單欄中的“文件”→“添加/刪除管理單元”，打開“添加/刪除管理單元”對話框。選擇“可用的管理單元”列表中的“安全配置和分析”項(xiàng)，單擊“添加”按鈕，將“安全配置”添加到“所選管理單元”列表中，接著單擊“確定”按鈕。2.安全分析與配置計(jì)算機(jī)（1）打開數(shù)據(jù)庫，導(dǎo)入安全模板。在MMC中，右鍵單擊“安全配置與分析”項(xiàng)，在彈出菜單中選擇“打開數(shù)據(jù)庫”命令，出現(xiàn)“打開數(shù)據(jù)庫”對話框。在默認(rèn)路徑“C:\Users\Administrator\Documents\Security\Database”下創(chuàng)建數(shù)據(jù)庫“aqsjk_1”。單擊“打開”按鈕，出現(xiàn)“導(dǎo)入模板”對話框。再次選擇安全模板文件“anquan_1”，單擊“打開”按鈕，導(dǎo)入模板，如圖5.8所示。計(jì)算機(jī)系統(tǒng)安全分析結(jié)果（2）安全分析，查看結(jié)果。在MMC中，右鍵單擊“安全配置和分析”項(xiàng)，在彈出菜單中選擇“立即分析計(jì)算機(jī)”命令。打開“進(jìn)行分析”對話框，指定錯(cuò)誤文件保存位置。單擊“確定”按鈕，開始分析計(jì)算機(jī)系統(tǒng)的安全配置。分析內(nèi)容包括用戶權(quán)限配置、受限的組、注冊表、文件系統(tǒng)、系統(tǒng)服務(wù)及安全策略等。（3）配置計(jì)算機(jī)右鍵單擊“安全配置和分析”項(xiàng)，在彈出菜單中選擇“立即配置計(jì)算機(jī)”命令。打開“配置系統(tǒng)”對話框，指定錯(cuò)誤日志文件保存位置。單擊“確定”按鈕，開始配置計(jì)算機(jī)系統(tǒng)的安全。該配置內(nèi)容包括用戶權(quán)限配置、受限制的組、文件系統(tǒng)、系統(tǒng)服務(wù)及安全策略等。8.3.6使用安全配置向?qū)?．使用安全配置向?qū)?yīng)注意的問題使用SCW可禁用不需要的服務(wù)，支持高安全性的Windows防火墻。SCW創(chuàng)建的安全策略與安全模板不同，SCW不會安裝或卸載服務(wù)器執(zhí)行角色需要的組件。運(yùn)行SCW時(shí)，所有使用IP協(xié)議和端口的應(yīng)用程序必須在服務(wù)器上運(yùn)行。使用安全配置向?qū)В⊿CW）創(chuàng)建、編輯、應(yīng)用安全策略后，如果安全策略無法正常工作，可以回滾上一次應(yīng)用的安全策略。2．啟動安全配置向?qū)В?）配置操作。單擊“開始”→“管理工具”→“安全配置向?qū)А保霈F(xiàn)“歡迎使用安全配置向?qū)А表撁?，單擊“下一步”按鈕，進(jìn)入“配置操作”頁面。在該頁面中選擇“新建安全策略”單選鈕，在計(jì)算機(jī)上創(chuàng)建新的安全策略，如圖5.10所示。（2）選擇服務(wù)器單擊“下一步”按鈕，出現(xiàn)“選擇服務(wù)器”頁面，在其中指定一臺服務(wù)器作為安全策略的基準(zhǔn)。在“服務(wù)器”文本框中輸入服務(wù)器主機(jī)名，如圖5.11所示。（3）處理安全配置數(shù)據(jù)庫單擊“下一步”按鈕，開始處理安全配置數(shù)據(jù)庫。對服務(wù)器進(jìn)行掃描，確定服務(wù)器上已經(jīng)安裝的角色、服務(wù)器正在執(zhí)行的角色，以及服務(wù)器配置的IP地址和子網(wǎng)掩碼等內(nèi)容。如圖5.12所示。（4）查看安全配置數(shù)據(jù)庫處理安全配置數(shù)據(jù)庫完成后，單擊“查看配置數(shù)據(jù)庫”按鈕，打開SCW查看器，查看安全配置數(shù)據(jù)庫，可以查看服務(wù)器角色、客戶端功能、管理和其他選項(xiàng)、服務(wù)及Windows防火墻設(shè)置信息等內(nèi)容，如圖5.13所示。3．基于角色的服務(wù)配置基于角色的服務(wù)配置功能項(xiàng)，可以依據(jù)所選服務(wù)器的角色和功能配置服務(wù)器。配置內(nèi)容包括服務(wù)器角色、客戶端功能、管理選項(xiàng)和其他選項(xiàng)、其他服務(wù)器，以及處理未指定的服務(wù)器及確認(rèn)服務(wù)更改等。（1）服務(wù)器角色關(guān)閉SCW查看器，單擊“下一步”按鈕，進(jìn)入“基于角色的服務(wù)器配置”頁面。接著單擊“下一步”按鈕，進(jìn)入“選擇服務(wù)器角色”頁面，如圖5.14所示（2）客戶端功能進(jìn)入“選擇客戶端功能”頁面，如圖5.15所示。該服務(wù)器可以是其他服務(wù)器的客戶端，客戶端功能必須啟用角色特定服務(wù)。安全配置向?qū)В⊿CW）啟用所選服務(wù)器，執(zhí)行在此頁面上選擇的客戶端功能時(shí)所需的服務(wù)，禁用不需要的服務(wù)。（3）管理項(xiàng)和其他選項(xiàng)此頁面上，可以選擇管理選項(xiàng)（如遠(yuǎn)程管理和備份）及使用服務(wù)和端口的其他應(yīng)用程序選項(xiàng)與Windows功能。安全配置向?qū)Ц鶕?jù)管理員在“選擇服務(wù)器角色”頁面中選擇的角色啟用服務(wù)器所需的服務(wù)，將禁用不需要的服務(wù)。如果在SCW的“網(wǎng)絡(luò)安全”部分配置了設(shè)置，將刪除不需要的防火墻規(guī)則。任何依賴于以前未選擇的角色的選項(xiàng)將自動從列表中排除，并且不會出現(xiàn)。（4）選擇其他服務(wù)所選服務(wù)器執(zhí)行的角色可能在安全配置數(shù)據(jù)庫中找不到已安裝服務(wù)。如果出現(xiàn)這種情況，安全配置向?qū)⒃凇斑x擇其他服務(wù)”頁面上提供已安裝服務(wù)的列表。（5）處理未指定的服務(wù)未指定的服務(wù)是指未出現(xiàn)在安全配置數(shù)據(jù)庫中的服務(wù)，這些服務(wù)當(dāng)前未安裝在所選服務(wù)器上，但是可能已安裝在要應(yīng)用安全策略的其他服務(wù)器上。這些服務(wù)也可能在以后安裝在所選服務(wù)器上。任何未知服務(wù)均將出現(xiàn)在安全配置向?qū)У摹疤幚砦粗付ǖ姆?wù)”頁面上。在繼續(xù)操作之前，要決定如何處理這些服務(wù)?？捎眠x項(xiàng)說明如下。①不更改此服務(wù)的啟動模式。如果選擇此選項(xiàng)，要應(yīng)用此安全策略的服務(wù)器上已啟用的未指定服務(wù)仍會啟用，已禁用的未指定服務(wù)仍會禁用。②禁用此服務(wù)。如果選擇此選項(xiàng)，未在安全配置數(shù)據(jù)庫中或未安裝在所選服務(wù)器上的所有服務(wù)均將禁用。（6）確認(rèn)服務(wù)變更在“確認(rèn)服務(wù)更改”頁面上，可以看到此安全策略將對所選服務(wù)器上的服務(wù)進(jìn)行的所有更改的列表。該列表將所選服務(wù)器上的服務(wù)的當(dāng)前啟動模式與策略中定義的啟動模式進(jìn)行比較。啟動模式可以是“禁用”、“手動”或“自動”。在應(yīng)用安全策略之前，不會對所選服務(wù)器進(jìn)行任何更改。4．設(shè)置網(wǎng)絡(luò)安全在安全配置向?qū)В⊿CW）的“網(wǎng)絡(luò)安全”部分，可以添加、刪除或編輯與具有高級安全性的Windows防火墻有關(guān)的規(guī)則。具有高級安全性的Windows防火墻將主機(jī)防火墻和Internet協(xié)議安全性（IPSec）組合在一起，運(yùn)行于Windows

Server

2008服務(wù)器上，并對可能穿越外圍網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。它還可要求對通信進(jìn)行身份驗(yàn)證和數(shù)據(jù)保護(hù)，從而幫助保護(hù)計(jì)算機(jī)到計(jì)算機(jī)的連接。（1）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全規(guī)則5．注冊表設(shè)置（1）要求SMB安全簽名。在此頁面中提供有關(guān)所選服務(wù)器，以及與其進(jìn)行通信的客戶端的信息。SMB協(xié)議為Microsoft文件和打印共享及許多其他網(wǎng)絡(luò)操作（如遠(yuǎn)程Windows管理）提供基礎(chǔ)。為了避免受到修改傳輸中的SMB數(shù)據(jù)包的攻擊，SMB協(xié)議支持SMB數(shù)據(jù)包的數(shù)字簽名。此策略設(shè)置確定在允許與SMB客戶端進(jìn)行進(jìn)一步通信之前，是否必須協(xié)商SMB數(shù)據(jù)包簽名。（2）要求LDAP簽名。LDAP是輕量目錄訪問協(xié)議。在“選擇服務(wù)器角色”頁面上選擇“域控制器（ActiveDirectory）”角色時(shí)，將出現(xiàn)此頁面。在“要求LDAP簽名”頁面上，收集域控制器的域中其他計(jì)算機(jī)的有關(guān)信息。（3）出站/入站身份驗(yàn)證方法。在此頁面上，收集有關(guān)用戶可能嘗試從其所選服務(wù)器進(jìn)行身份驗(yàn)證的計(jì)算機(jī)的信息。這些安全設(shè)置將確定用于網(wǎng)絡(luò)登錄的質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議。此選擇將影響客戶端使用的身份驗(yàn)證協(xié)議級別、協(xié)商的會話安全級別，以及服務(wù)器接受的身份驗(yàn)證級別。（4）注冊表設(shè)置摘要。通過“注冊表設(shè)置摘要”頁面可以查看此安全策略應(yīng)用于所選服務(wù)器時(shí)，對特定注冊表設(shè)置進(jìn)行的所有更改。SCW顯示每個(gè)注冊表值的當(dāng)前設(shè)置及策略定義的設(shè)置值。在應(yīng)用安全策略之前，不會對所選服務(wù)器進(jìn)行任何更改。如果一個(gè)或多個(gè)注冊表設(shè)置更改不正確，可以通過在此部分的前面幾頁更改選擇，修改這些設(shè)置。要確定需要修改哪個(gè)選擇以獲得所需的結(jié)果，可查看“注冊表值”列。通過選擇修改的注冊表值將列在此部分的各頁面中。返回配置該設(shè)置的頁面并進(jìn)行相應(yīng)的更改。6．設(shè)置審核策略（1）系統(tǒng)審核策略。可以使用此頁面為組織中的服務(wù)器創(chuàng)建審核策略。審核是跟蹤用戶活動并在安全日志中記錄所選類型的事件的過程。審核策略定義要收集的事件類型。（2）審核策略摘要。此頁面提供在應(yīng)用策略后，將對所選服務(wù)器上的審核策略進(jìn)行的所有更改的列表。其中顯示每個(gè)審核策略設(shè)置的當(dāng)前設(shè)置及策略定義的設(shè)置。在應(yīng)用安全策略之前，不會對所選服務(wù)器進(jìn)行任何更改。7．保存并應(yīng)用安全策略（1）安全策略文件名。為保存安全策略選擇位置以及擴(kuò)展名為.xml的文件名。應(yīng)將安全策略保存在將通過運(yùn)行SCW應(yīng)用該策略的管理員可以訪問的位置。（2）查看安全策略?？梢詥螕簟安榭窗踩呗浴表?xiàng)打開SCW查看器。通過SCW查看器可以在保存之前瀏覽策略的詳細(xì)信息。（3）包括安全模板。除了使用SCW創(chuàng)建的策略設(shè)置之外，還可以在安全策略中（包括其他策略）設(shè)置。單擊“包括安全模板”項(xiàng)可以包含其他策略設(shè)置的安全模板。如果任何模板設(shè)置與SCW中創(chuàng)建的策略設(shè)置發(fā)生沖突，則SCW優(yōu)先。（4）應(yīng)用安全策略?？梢栽趧?chuàng)建或編輯策略之后，通過單擊此頁面上的“現(xiàn)在應(yīng)用”項(xiàng)立即應(yīng)用安全策略。如果希望更改策略，或不希望將安全策略應(yīng)用于所選服務(wù)器，則單擊“稍后應(yīng)用”項(xiàng)。如果選擇稍后應(yīng)用策略，則不會對所選服務(wù)器進(jìn)行任何更改。如果希望應(yīng)用安全策略，運(yùn)行SCW，并在“配置操作”頁面上單擊“應(yīng)用現(xiàn)有安全策略”項(xiàng)。問題時(shí)間8.4設(shè)置Web服務(wù)器的安全I(xiàn)IS的安全機(jī)制設(shè)置IP地址限制設(shè)置用戶身份驗(yàn)證設(shè)置授權(quán)規(guī)則設(shè)置SSL證書驗(yàn)證設(shè)置文件的NTFS權(quán)限審核IIS日志記錄8.4.1IIS的安全機(jī)制IIS7.0是一種應(yīng)用級的安全機(jī)制，它以WindowsServer2008和NTFS文件系統(tǒng)安全性為基礎(chǔ)的，與WindowsServer系統(tǒng)安全性的緊密集成，從而提供了強(qiáng)大的安全管理和控制功能。訪問控制可以說是IIS安全機(jī)制中最主要內(nèi)容，從用戶和資源（站點(diǎn)、目錄、文件）兩個(gè)方面來限制訪問。當(dāng)用戶訪問Web服務(wù)器時(shí)，IIS利用其本身及Windows操作系統(tǒng)的多層安全檢查和控制，來實(shí)現(xiàn)有效的訪問控制。Web服務(wù)器訪問控制過程如圖5.20所示。8.4.2設(shè)置IP地址限制通常，Web網(wǎng)站允許匿名訪問時(shí)，IIS7.0設(shè)置為允許所有IP地址、計(jì)算機(jī)和域均可訪問該網(wǎng)站。為了增強(qiáng)網(wǎng)站的安全性，有些Web網(wǎng)站不允許匿名訪問，如基于Web的身份認(rèn)證、工作流計(jì)劃系統(tǒng)等。使用“IPv4地址和域限制”功能頁，可以為特定IP地址、IP地址范圍或域名設(shè)置允許或拒絕訪問內(nèi)容的規(guī)則IPv4地址和域限制8.4.3設(shè)置用戶身份驗(yàn)證IIS7.0支持匿名訪問、基本驗(yàn)證、摘要式驗(yàn)證，以及Windows驗(yàn)證等多種身份驗(yàn)證方法。此外，還支持證書驗(yàn)證。

8.4.4設(shè)置授權(quán)規(guī)則（1）模式，表示規(guī)則的類型。其值可以是“允許”和“拒絕”?！澳Ｊ健敝当砻髟撘?guī)則是允許對內(nèi)容的訪問，還是拒絕對它的訪問。如果某個(gè)角色、用戶或組已經(jīng)被某條規(guī)則明確拒絕了訪問權(quán)限，則它不能由另一條規(guī)則授予訪問權(quán)限。（2）用戶，表示規(guī)則應(yīng)用于的用戶類型（可選擇所有用戶、所有匿名用戶、指定用戶或角色三種類型其中之一）、用戶名或用戶組。（3）角色，表示規(guī)則應(yīng)用于的MicrosoftWindows角色，如管理員角色或用戶角色。（4）謂詞，表示該規(guī)則應(yīng)用于的HTTP謂詞，例如，GET或POST。（5）條目類型，表示項(xiàng)目是本地項(xiàng)目還是繼承的項(xiàng)目。本地項(xiàng)目是從當(dāng)前配置文件中讀取的，繼承的項(xiàng)目是從父配置文件中讀取的。8.4.5設(shè)置SSL證書驗(yàn)證8.4.6設(shè)置文件的NTFS權(quán)限IIS利用NTFS文件系統(tǒng)的安全特性來為特定用戶設(shè)置Web服務(wù)器目錄和文件的訪問權(quán)限，以確保特定的目錄或文件不被未經(jīng)授權(quán)的用戶訪問。NTFS權(quán)限Web服務(wù)器權(quán)限用于擁有Windows賬戶的特定用戶或用戶組面向所有用戶，用于所有訪問Web站點(diǎn)的用戶控制對服務(wù)器物理目錄的訪問控制對Web站點(diǎn)虛擬目錄的訪問由Windows操作系統(tǒng)設(shè)置由Internet服務(wù)管理器設(shè)置8.4.7審核IIS日志記錄日志格式和字段設(shè)置2．日志審核日志文件摘錄，如圖5.26所示。由#Software開始的一行是IIS版本，#Version表示日志使用的是W3C日志文件格式，#Date是日志創(chuàng)建日期。s-ip表示服務(wù)器IP地址，cs-method表示客戶端要求通過HTTP協(xié)議連接到服務(wù)器上，cs-uri-stem表示訪問的資源，其他字段內(nèi)容參見圖5.25中的“W3C日志記錄字段”列表框。8.4.8高級安全Windows防火墻高級安全Windows防火墻概述設(shè)置入站規(guī)則保護(hù)Web補(bǔ)充高級安全Windows防火墻概述高級安全Windows防火墻是一種狀態(tài)防火墻，檢查并篩選IPv4和IPv6流量的所有數(shù)據(jù)包。在默認(rèn)情況下阻止傳入流量，除非是對主機(jī)請求（請求的流量）的響應(yīng)，或者被特別允許（即創(chuàng)建了防火墻規(guī)則允許該流量）。通過配置高級安全Windows防火墻的指定端口號、應(yīng)用程序名稱、服務(wù)名稱或其他標(biāo)準(zhǔn)，數(shù)據(jù)流允許通過。1．Windows防火墻工作原理規(guī)則配置時(shí)，可以從各種“入站”或“出站”的“訪問控制”屬性頁中進(jìn)行選擇，例如，應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的訪問控制對象組合在一起，形成一條控制策略，如圖5.27所示。訪問控制對象組合得越多，高級安全Windows防火墻控制網(wǎng)絡(luò)行為越精細(xì)。2．防火墻配置文件防火墻配置文件是一種分組設(shè)置的方法，如防火墻規(guī)則和連接安全規(guī)則，根據(jù)服務(wù)器連接到的位置，將其應(yīng)用于該服務(wù)器。在運(yùn)行WindowsServer2008的服務(wù)器上，高級安全Windows防火墻有三個(gè)配置文件（域、專用、公用）。一次只能應(yīng)用其中一個(gè)配置文件。配置文件中的“域”表示當(dāng)服務(wù)器連接到其域賬戶所在的網(wǎng)絡(luò)。“專用”表示當(dāng)服務(wù)器連接到不包括其域賬戶的網(wǎng)絡(luò)時(shí)，如家庭網(wǎng)絡(luò)。專用配置文件設(shè)置，比域配置文件設(shè)置更為嚴(yán)格。“公用”表示當(dāng)服務(wù)器通過公用網(wǎng)絡(luò)（如Internet）連接到域時(shí)的應(yīng)用。由于服務(wù)器所連接到的公用網(wǎng)絡(luò)無法像IT環(huán)境中一樣嚴(yán)格控制安全，因此，公用配置文件設(shè)置應(yīng)該最為嚴(yán)格。3．防火墻規(guī)則高級安全Windows防火墻規(guī)則，支持服務(wù)器向程序、系統(tǒng)服務(wù)、服務(wù)器及用戶發(fā)送通信，或者從程序、系統(tǒng)服務(wù)、服務(wù)器及用戶接收通信。防火墻規(guī)則，支持匹配“訪問控制（標(biāo)準(zhǔn)）”行為的所有連接。執(zhí)行以下三個(gè)操作之一：允許連接、只允許通過Internet協(xié)議安全（IPSec）保護(hù)的連接，或者明確阻止連接。4．連接安全規(guī)則連接安全規(guī)則與單方面操作的防火墻規(guī)則不同，連接安全規(guī)則要求通信雙方計(jì)算機(jī)均采用連接安全規(guī)則的策略或其他兼容的IPSec策略。連接安全包括：在兩臺計(jì)算機(jī)開始通信之前，對它們進(jìn)行身份驗(yàn)證，并確保在兩臺計(jì)算機(jī)之間正在發(fā)送信息的安全性。高級安全Windows防火墻包含了Internet協(xié)議安全（IPSec）技術(shù)，通過使用密鑰交換、身份驗(yàn)證、數(shù)據(jù)完整性和數(shù)據(jù)加密（可選）來實(shí)現(xiàn)連接安全。5．監(jiān)視高級安全Windows防火墻Windows防火墻“監(jiān)視”功能頁，顯示活動的配置文件（域、專用或公用）及該配置文件的設(shè)置。使用“監(jiān)視”功能可以監(jiān)視高級安全Windows防火墻管理單元?jiǎng)?chuàng)建的防火墻規(guī)則和連接安全規(guī)則，但無法查看使用IP安全策略管理單元?jiǎng)?chuàng)建的策略。8.4.9設(shè)置入站規(guī)則保護(hù)Web站點(diǎn)一個(gè)Web網(wǎng)站安裝就緒后，會有一些服務(wù)端口處于開放狀態(tài)，例如，允許匿名訪問Web網(wǎng)站的HTTP服務(wù)端口80處于開放狀態(tài)。合法用戶和攻擊者都使用這些開放端口連接系統(tǒng)。Web網(wǎng)站開放的端口越多，意味著Web網(wǎng)站系統(tǒng)存在更多的安全威脅。為了最大限度地避免黑客攻擊Web網(wǎng)站，可以使用安全高級Windows防火墻，建立一條允許訪問HTTP匿名訪問的“入站”規(guī)則，使客戶機(jī)只能訪問Web網(wǎng)站的80端口。補(bǔ)充（1）設(shè)置入站規(guī)則類型（2）設(shè)置協(xié)議和端口（3）設(shè)置允許連接（4）設(shè)置配置文件類型（5）指定該規(guī)則的名稱和描述（6）設(shè)置禁止出站規(guī)則問題時(shí)間8.5保護(hù)網(wǎng)絡(luò)邊界安全網(wǎng)絡(luò)邊界防火墻和路由器應(yīng)用使用網(wǎng)絡(luò)DMZ構(gòu)建入侵檢測系統(tǒng)路由器認(rèn)證技術(shù)及應(yīng)用

防火墻和路由器應(yīng)用-1邊界安全設(shè)備叫做防火墻。防火墻阻止試圖對組織內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，阻止企圖闖入網(wǎng)絡(luò)的活動，防止外部進(jìn)行拒絕服務(wù)（DoS，DenialofService）攻擊，禁止一定范圍內(nèi)黑客利用Internet來探測用戶內(nèi)部網(wǎng)絡(luò)的行為。阻塞和篩選規(guī)則由網(wǎng)管員所在機(jī)構(gòu)的安全策略來決定。防火墻也可以用來保護(hù)在Intranet中的資源不會受到攻擊。不管在網(wǎng)絡(luò)中每一段用的是什么類型的網(wǎng)絡(luò)（公共的或私有的）或系統(tǒng)，防火墻都能把網(wǎng)絡(luò)中的各個(gè)段隔離開并進(jìn)行保護(hù)。

雙防火墻體系結(jié)構(gòu)

防火墻和路由器應(yīng)用-2防火墻通常與連接兩個(gè)圍繞著防火墻網(wǎng)絡(luò)中的邊界路由器一起協(xié)同工作（下圖），邊界路由器是安全的第一道屏障。通常的做法是，將路由器設(shè)置為執(zhí)報(bào)文篩選和NAT，而讓防火墻來完成特定的端口阻塞和報(bào)文檢查，這樣的配置將整體上提高網(wǎng)絡(luò)的性能。根據(jù)這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置防火墻，最安全也是最簡單的方法就是：首先阻塞所有的端口號并且檢查所有的報(bào)文，然后對需要提供的服務(wù)有選擇地開放其端口號。通常來說，要想讓一臺Web服務(wù)器在Internet上僅能夠被匿名訪問，只開放80端口（http協(xié)議）或443端口（https–SSL協(xié)議）即可。使用網(wǎng)絡(luò)DMZ

把Web服務(wù)器放在DMZ中，必須保證Web服務(wù)器與的Intranet處于不同的子網(wǎng)。這樣當(dāng)網(wǎng)絡(luò)流量進(jìn)入路由器時(shí)，連接到Internet上的路由器和防火墻就能對網(wǎng)絡(luò)流量進(jìn)行篩選和檢查了。這樣，就證實(shí)了DMZ是一種安全性較高的措施；所以除了Web服務(wù)器，還應(yīng)該考慮把E-mail（SMTP/POP）服務(wù)器和FTP服務(wù)器等，也一同放在DMZ中。8.5.3ACL的作用與分類ACL概貌ACL配置擴(kuò)展ACLACL應(yīng)用什么是ACL?ACL是針對路由器處理數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)的一組規(guī)則，路由器利用這組規(guī)則來決定數(shù)據(jù)報(bào)允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā)如果不設(shè)置ACL路由器將轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路上所有數(shù)據(jù)報(bào)，當(dāng)網(wǎng)絡(luò)管理設(shè)置了ACL以后可以決定哪些數(shù)據(jù)報(bào)可以轉(zhuǎn)發(fā)那些不可以可以利用下列參數(shù)允許或拒絕發(fā)送數(shù)據(jù)報(bào)：源地址目的地址上層協(xié)議(例如：TCP&UDP端口號)ACL可以應(yīng)用于該路由器上所有的可路由協(xié)議，對于一個(gè)接口上的不同網(wǎng)絡(luò)協(xié)議需要配置不同的ACL使用ACL檢測數(shù)據(jù)報(bào)為了決定是轉(zhuǎn)發(fā)還是拒絕數(shù)據(jù)報(bào)，路由器按照ACL中各條語句的順序來依次匹配該數(shù)據(jù)報(bào)當(dāng)數(shù)據(jù)報(bào)與一條語句的條件匹配了，則將忽略ACL中的剩余所有語句的匹配處理，該數(shù)據(jù)報(bào)將按照當(dāng)前語句的設(shè)定來進(jìn)行轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實(shí)時(shí)的創(chuàng)建，即實(shí)時(shí)有效的；因此不能單獨(dú)修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個(gè)大型的ACL，最好使用文字編輯器編寫好整個(gè)ACL后傳送到路由器上，傳送的方法有多種：TFTP、HyperTerm軟件的“PastetoHost”功能路由器如何使用ACL（出站）檢查數(shù)據(jù)報(bào)是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數(shù)據(jù)報(bào)交換到出站的接口如果有ACL，按照ACL語句的次序檢測數(shù)據(jù)報(bào)直至有了匹配條件，按照匹配條件的語句對數(shù)據(jù)報(bào)進(jìn)行數(shù)據(jù)報(bào)的允許轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句出站標(biāo)準(zhǔn)ACL處理流程出站數(shù)據(jù)報(bào)進(jìn)行路由表的查詢接口有ACL?源地址匹配？列表中的下一項(xiàng)更多的項(xiàng)目？執(zhí)行條件允許Permit拒絕Deny否否無是是有向源站發(fā)送ICMP信息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個(gè)基本的步驟（標(biāo)準(zhǔn)ACL）access-list-number參數(shù)ACL有多種類型，access-list-number與ACL的類型有關(guān)下表顯示了主要的一些ACL類型與access-list-number的關(guān)系A(chǔ)CL類型access-list-number標(biāo)準(zhǔn)IP1to99擴(kuò)展IP100to199AppleTalk600to699標(biāo)準(zhǔn)IPX800to899擴(kuò)展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}permit/deny參數(shù)在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數(shù)來選擇希望路由器采取的動作PermitDeny向源站發(fā)送ICMP消息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}{test-conditions}參數(shù)在ACL的{testconditions}部分，需要根據(jù)存取列表的不同輸入不同的參數(shù)使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網(wǎng)、一組地址或單一節(jié)點(diǎn)地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時(shí)檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的0二進(jìn)制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習(xí)處理通配符掩碼，類似于子網(wǎng)掩碼，這需要一段時(shí)間掌握計(jì)算表示下列網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的通配符掩碼：

答案：55這個(gè)通配符掩碼與C類地址的子網(wǎng)掩碼正好相反注意：針對整個(gè)網(wǎng)絡(luò)或子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼一般都是這樣的通配符掩碼練習(xí)計(jì)算表示下列子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼：224答案是：211與24正好相反二進(jìn)制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請看.32子網(wǎng)中的節(jié)點(diǎn)地址——511000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習(xí)在下面的例子中，藍(lán)色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)報(bào)的源地址和控制的IP地址中相關(guān)的各個(gè)位，當(dāng)每位都相同時(shí)，說明兩者匹配針對掩碼為92的4子網(wǎng)的控制IP地址和通配符掩碼?答案：43通配符掩碼練習(xí)針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55通配符掩碼練習(xí)計(jì)算控制的IP地址和通配符掩碼是比較復(fù)雜的，尤其是控制網(wǎng)絡(luò)中的一部分節(jié)點(diǎn)時(shí)為了控制網(wǎng)絡(luò)中一部分節(jié)點(diǎn)往往需要在二進(jìn)制方式下進(jìn)行計(jì)算例如：學(xué)生使用到27地址范圍，教師使用28到55地址范圍。這些地址處在相同的網(wǎng)絡(luò)中/24怎樣來計(jì)算？控制一段地址范圍內(nèi)的節(jié)點(diǎn)對于學(xué)生使用的地址范圍首先，以二進(jìn)制方式寫出第一個(gè)和最后一個(gè)節(jié)點(diǎn)地址。由于前三個(gè)8位組是相同的，所以可以忽略它們，在通配符掩碼中相應(yīng)的位必須為“0”第一個(gè)地址：00000000最后一個(gè)地址：01111111其次，查找前面的兩者相同的位(下圖的藍(lán)色部分)0000000001111111這些相同的位將與前面的網(wǎng)絡(luò)地址部分(192.5.5)一樣進(jìn)行匹配檢驗(yàn)例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)第三，計(jì)算剩余節(jié)點(diǎn)地址部分的十進(jìn)制值(127)最后，決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內(nèi)的任何一個(gè)節(jié)點(diǎn)地址，但約定俗成的使用所控制范圍的第一個(gè)節(jié)點(diǎn)地址相對于上述相同的位在通配符掩碼中為“0”27對于教師部分地址：28(10000000)到55(11111111)答案：2827請思考兩者的不同例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)控制網(wǎng)絡(luò)/24中的所有偶數(shù)地址的控制IP地址和通配符掩碼？答案：54控制網(wǎng)絡(luò)/24中的所有奇數(shù)地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內(nèi)的節(jié)點(diǎn)由于ACL末尾都有一個(gè)隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學(xué)生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網(wǎng)絡(luò)功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令眾多情況下，網(wǎng)絡(luò)管理員需要在ACL處理單獨(dú)節(jié)點(diǎn)的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令標(biāo)準(zhǔn)ACL不處理目的地相關(guān)參數(shù)，因此，標(biāo)準(zhǔn)ACL應(yīng)該放置在最接近目的地的地點(diǎn)請參考下圖來考慮上述放置地點(diǎn)的原因，如果將語句“deny55”放置在Lab-A路由器的E0接口上時(shí)，網(wǎng)絡(luò)中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡(luò)向外的通訊數(shù)據(jù)全部被拒絕標(biāo)準(zhǔn)ACL的正確放置位置擴(kuò)展ACL的編號為100–199，擴(kuò)展ACL增強(qiáng)了標(biāo)準(zhǔn)ACL的功能增強(qiáng)ACL可以基于下列參數(shù)進(jìn)行網(wǎng)絡(luò)傳輸?shù)倪^濾目的地址IP協(xié)議可以使用協(xié)議的名字來設(shè)定檢測的網(wǎng)絡(luò)協(xié)議或路由協(xié)議，例如：icmp、rip和igrpTCP/IP協(xié)議族中的上層協(xié)議可以使用名稱來表示上層協(xié)議，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)來處理部分協(xié)議例如：希望允許除了http之外的所有通訊，其余語句是permitipanyanyneg80擴(kuò)展ACL概貌在全局配置模式下逐條輸入ACL語句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個(gè)ACL中(與標(biāo)準(zhǔn)ACL的語法一樣)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out兩個(gè)步驟（擴(kuò)展ACL）access-list-number

從100到199中選擇一個(gè){protocol|protocol-number}

對于CCNA，僅僅需要了解ip和tcp——實(shí)際上有更多的參數(shù)選項(xiàng){sourcesource-wildcard}與標(biāo)準(zhǔn)ACL相同{destinationdestination-wildcard}與標(biāo)準(zhǔn)ACL相同，但是是指定傳輸?shù)哪康腫protocol-specificoptions]本參數(shù)用來指定需要過濾的協(xié)議擴(kuò)展的參數(shù)請復(fù)習(xí)TCP和UDP的端口號也可以使用名稱來代替端口號，例如：使用telnet來代替端口號23端口號協(xié)議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號由于擴(kuò)展ACL可以控制目的地地址，所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源放置擴(kuò)展ACL的正確位置放置擴(kuò)展ACL的正確位置在下圖中，需要設(shè)定網(wǎng)絡(luò)中的所有節(jié)點(diǎn)不能訪問地址為4服務(wù)器在哪個(gè)路由器的哪個(gè)接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機(jī)器訪問4，但是他們可以繼續(xù)訪問InternetRouter-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL在CiscoIOS可以命名ACL；當(dāng)在一個(gè)路由器上使用多于99個(gè)ACL時(shí)這個(gè)功能特別有用當(dāng)輸入一個(gè)命名的ACL，不需要緊接著輸入access-list和access-list-number參數(shù)下例中，ACL的名字是over_and，并被使用在接口的出站處理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0.........Lab-A(config-if)#ipaccess-groupover_andout命名的ACLShow命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當(dāng)前的路由器的整個(gè)配置驗(yàn)證ACLACL不檢查路由器本身自己產(chǎn)生的數(shù)據(jù)報(bào)ACL只檢查其他來源的數(shù)據(jù)報(bào)ACL的特點(diǎn)8.5.6擴(kuò)展ACL的應(yīng)用

某企業(yè)網(wǎng)絡(luò)信息中心拓?fù)浣Y(jié)構(gòu)下圖所示。非軍事區(qū)（DMZ）包括交換機(jī)、企業(yè)WWW服務(wù)器、E-Mail服務(wù)器、防火墻、路由器（Cisco2651）和Internet專線連接設(shè)施。企業(yè)內(nèi)網(wǎng)包括認(rèn)證和計(jì)費(fèi)系統(tǒng)（RADIUS）、網(wǎng)絡(luò)OA系統(tǒng)、ERP系統(tǒng)、核心交換機(jī)（Catalyst4506）和匯聚交換機(jī)（Catalyst2950G）等設(shè)施。外網(wǎng)擴(kuò)展訪問控制列表/*僅允許DMZ區(qū)服務(wù)器的匿名端口開放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護(hù)內(nèi)網(wǎng)主機(jī)的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyanyeq135access-list110denyudpanyanyeq135access-list110denyudpanyanyeqnetbios-nsaccess-list110denyudpanyanyeqnetbios-dgmaccess-list110denyudpanyanyeq445access-list110denytcpanyanyeq593access-list110denyudpanyanyeq593access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110denyudpanyanyeq6667access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany/*將此訪問控制列表應(yīng)