组网技术与配置(第3版)-(第13章)7-302-34697-5

1、计算机网络组网技术与配置组网技术与配置（第（第3版）版）清华大学出版社清华大学出版社 ISBN 978-7-302-34697-5计算机网络第第13章章 Intranet安全与管理安全与管理清华大学出版社清华大学出版社 ISBN 978-7-302-34697-5计算机网络第第13章章 Intranet安全与管理安全与管理 13.1 Intranet安全安全 13.2 IIS安全安全 13.3 Intranet管理管理计算机网络13.1 Intranet安全安全 13.1.1 Intranet的安全策略的安全策略 13.1.2 网络安全的层次划分网络安全的层次划分 13.1.3 网络防火墙技术

2、网络防火墙技术 13.1.4 防火墙的结构防火墙的结构 13.1.5 Intranet网防火墙的方案网防火墙的方案计算机网络13.1.1 Intranet的安全策略的安全策略 Intranet的安全策略有的安全策略有 1）用户身份认证）用户身份认证 2）访问控制）访问控制 3）数据加密）数据加密 4）审计）审计 网络管理用到网络管理用到SNMP协议协议计算机网络13.1.2 网络安全的层次划分网络安全的层次划分 国际标准国际标准ISO 7498-2定义了定义了OSI安全体系结构的网安全体系结构的网络安全层次络安全层次计算机网络13.1.3 网络防火墙技术网络防火墙技术 防火墙防火墙(firew

3、all)用来作为内网和外网之间的屏障用来作为内网和外网之间的屏障 防火墙是在两个网络之间强制执行访问控制策略的一个或防火墙是在两个网络之间强制执行访问控制策略的一个或多个系统多个系统 防火墙是由软件、硬件构成的系统防火墙是由软件、硬件构成的系统 防火墙遵循的规则是：未经说明允许的就是拒绝；未说明防火墙遵循的规则是：未经说明允许的就是拒绝；未说明拒绝的均为许可的拒绝的均为许可的计算机网络防火墙的要点防火墙的要点 1. 防火墙的作用防火墙的作用 2. 防火墙的分类防火墙的分类 1）包过滤型）包过滤型(Packet Filter) 2）代理服务型）代理服务型(Proxy Service) 3. 代理

4、服务器参数的设置方法代理服务器参数的设置方法 代理服务通常由两部分组成：代理服务器端程序代理服务通常由两部分组成：代理服务器端程序和客户端程序。客户端程序与中间节点和客户端程序。客户端程序与中间节点(Proxy Server)连接，中间节点再与要访问的外部服务连接，中间节点再与要访问的外部服务器实际连接器实际连接计算机网络 代理服务器参数的代理服务器参数的设置方法设置方法计算机网络13.1.4 防火墙的结构防火墙的结构 1. 屏蔽主机结构屏蔽主机结构 屏蔽主机结构由屏蔽路由器与壁垒主机构成屏蔽主机结构由屏蔽路由器与壁垒主机构成 2. 屏蔽子网结构屏蔽子网结构 屏蔽子网结构是在屏蔽主机的结构上，

5、增加一个周边防屏蔽子网结构是在屏蔽主机的结构上，增加一个周边防御网段御网段 周边防御网段所构成的安全网称为周边防御网段所构成的安全网称为“停火区停火区”DMZ 3. 壁垒主机壁垒主机/代理服务器构成的防火墙代理服务器构成的防火墙 在物理上并不隔离成内、外两个网络在物理上并不隔离成内、外两个网络 这种代理服务设备称为壁垒主机这种代理服务设备称为壁垒主机 在逻辑上具有防火墙的作用在逻辑上具有防火墙的作用计算机网络防火墙的图示防火墙的图示计算机网络13.1.5 Intranet网防火墙的方案网防火墙的方案 1）屏蔽路由器）屏蔽路由器Cisco 3600 2）代理服务器）代理服务器-堡垒主机堡垒主机计

6、算机网络13.2 IIS安全安全 13.2.1 用用Windows实现网络地址转换实现网络地址转换 13.2.2 IIS中的安全性设置中的安全性设置 13.2.3 IIS 安全检查表安全检查表 13.2.4 为为Web内容设置访问权限内容设置访问权限 13.2.5 设置计算机的访问权限设置计算机的访问权限计算机网络13.2.1 用用Windows实现网络地址转换实现网络地址转换 Windows 2003提供两种方法解决提供两种方法解决Intranet IP地址地址转换转换 一种为一种为Internet连接共享连接共享ICS(Internet Connection Sharing ) 另一种为另

7、一种为NAT 若若Intranet上的其他计算机通过共享计算机与上的其他计算机通过共享计算机与Internet通信，需要进行两步设置通信，需要进行两步设置计算机网络13.2.2 IIS中的安全性设置中的安全性设置安全配置的步骤如下：安全配置的步骤如下： 1）配置）配置 Windows 管理员帐户管理员帐户 2）创建并管理用户帐户）创建并管理用户帐户 3）创建并管理组）创建并管理组 4）定义）定义 Windows 安全策略安全策略 对对Windows安全检查表设置的表项安全检查表设置的表项计算机网络13.2.3 IIS 安全检查表安全检查表可以建立的可以建立的IIS 安全检查表有：安全检查表有：

8、 1)nWindows 安全安全 2)nInternet 信息服务安全信息服务安全 3）物理安全）物理安全 4）人员安全）人员安全 5）关于安全的详细信息）关于安全的详细信息计算机网络13.2.4 为为Web内容设置访问权限内容设置访问权限 为为Web内容设置访问权限的方法是，在内容设置访问权限的方法是，在Internet信息服务器管理单元中，选择信息服务器管理单元中，选择 Web 站点、虚拟目录或文件，并打开其【属性】站点、虚拟目录或文件，并打开其【属性】对话框对话框 在【目录】、【虚拟目录】或【文件】选项在【目录】、【虚拟目录】或【文件】选项卡中，选中或取消选中下面可能存在的复选卡中，选中

9、或取消选中下面可能存在的复选框，选中时，在复选框中出现框，选中时，在复选框中出现“”标识标识计算机网络13.2.5 设置计算机的访问权限设置计算机的访问权限 1. 授予计算机、计算机组或域访问权限的方法授予计算机、计算机组或域访问权限的方法 2. 取消计算机、计算机组或域的访问权限的方法取消计算机、计算机组或域的访问权限的方法 3. 使用网络标识和子网掩码使用网络标识和子网掩码 使用网络标识和子网掩码，可以拒绝或授予一组计算机使用网络标识和子网掩码，可以拒绝或授予一组计算机的访问权限的访问权限 子网掩码决定子网掩码决定 IP 地址的哪一部分是子网标识而哪一部分地址的哪一部分是子网标识而哪一部分

10、是主机标识是主机标识 在子网中的所有计算机有相同的子网标识和自己的主机在子网中的所有计算机有相同的子网标识和自己的主机标识标识计算机网络13.3 Intranet管理管理 13.3.1 Intranet中的网络管理技术中的网络管理技术 13.3.2 网络管理软件的应用网络管理软件的应用 13.3.3 实现系统管理的实现系统管理的NET命令程序命令程序 13.3.4 实现系统管理的方法实现系统管理的方法计算机网络13.3.1 Intranet中的网络管理技术中的网络管理技术包括三个部分：包括三个部分： 1）管理信息库）管理信息库MIB，在，在RFC 1212中说明中说明 2）管理信息结构）管理信

11、息结构SMI，在，在RFC 1155中说明中说明 3）SNMP协议协议SNMP的设计目标如下：的设计目标如下： 1）尽可能简单，使研制网管代理的软件成本低、周期短）尽可能简单，使研制网管代理的软件成本低、周期短 2）支持远程管理，充分利用）支持远程管理，充分利用Internet资源资源 3）协议有扩充的余地）协议有扩充的余地 4）保持）保持SNMP的独立性，不依赖具体的硬件，不依赖具的独立性，不依赖具体的硬件，不依赖具体的传输层协议体的传输层协议计算机网络网管系统的分布式框架网管系统的分布式框架 网络管理工具可以分为以主机厂商为主和以网络厂商为主网络管理工具可以分为以主机厂商为主和以网络厂商为

12、主 通用式网管平台系统较大，尽管可以裁剪、挑选和组合通用式网管平台系统较大，尽管可以裁剪、挑选和组合计算机网络13.3.2 网络管理软件的应用网络管理软件的应用 Cisco Works提供的主要功能有：提供的主要功能有： 1）允许利用邻近的路由器远程地安装新的路由器）允许利用邻近的路由器远程地安装新的路由器 2）审计和记录配置文件的改变情况，探测出网络上非授权）审计和记录配置文件的改变情况，探测出网络上非授权配置改变方便网络中相似路由器的配置配置改变方便网络中相似路由器的配置 3）记录某一特定设备的联系人的详细信息）记录某一特定设备的联系人的详细信息 4）查看一个设备的状态信息，包括缓冲内存，

13、）查看一个设备的状态信息，包括缓冲内存，CPU的负载的负载，可用内存，正使用的接口和协议，可用内存，正使用的接口和协议 5）收集网络的历史数据，分析网络的流量和性能趋势，并）收集网络的历史数据，分析网络的流量和性能趋势，并以图形方式显示出来以图形方式显示出来 6）建立授权检查程序以保护）建立授权检查程序以保护Cisco Works应用和网络设备应用和网络设备不受非授权用户的访问不受非授权用户的访问计算机网络13.3.3 实现系统管理的实现系统管理的NET命令程序命令程序 1. NET命令程序的功用命令程序的功用 提供的管理功能包括：提供的管理功能包括： 1）管理网络环境。）管理网络环境。 2）运行和配置各种服务程序。）运行和配置各种服务程序。 3）进行用户和登录管理等。）进行用户和登录管理等。 4）查看服务器的本地信息。）查看服务器的本地信息。 NET/？ NET HELP 2. NET命令的基本用法命令的基本用法计算机网络13.3.4 实现系统管理的方法实现系统管理的方法 1. 停止对注册表的修改停止对注册表的修改 2. 数据备份数据备份 3. 网络监视和管理网络监视和管理 4. 日志文件和事件查看日志文件和事件查看计算机网络停止对注册表的修改的设置停止