第8章-网络安全管理-教案(共24页)

1、精选优质文档-倾情为你奉上第8章 网络安全管理学习目标：了解系统安全的概念，了解Windows 2000 Server所提供的安全机制；掌握实现计算机安全管理的安全策略配置；掌握实现计算机网络安全保护的防火墙配置；掌握实现远程客户安全访问本地局域网的RAS和VPN配置；掌握终端服务的配置和系统性能的监视及优化；了解Windows 2000 Server安全检查和评估的基本内容。本章主要内容：l 网络安全概述l 网络安全配置与分析l RAS配置与管理l VPN配置与管理l 终端服务l 系统性能及安全评估教学难点：安全策略配置，防火墙配置，RAS和VPN配置，终端服务的配置和系统性能的监视及优化。

2、本章项目概述： 1、“本地安全策略”的配置了解Windows 2000 Server的安全机制和“本地安全策略”配置的主要内容，掌握基本的“本地安全策略”配置和“事件查看器”的使用，2、Windows 2003“防火墙”的配置（可选）了解Windows 2003 的“Internet连接防火墙”的配置。3、RAS的配置与管理了解远程访问的概念和作用，掌握Windows 2000 Server 的RAS远程访问服务器的配置与管理，掌握RAS远程访问客户机的配置。4、VPN配置了解VPN的概念、使用的安全协议，掌握VPN服务的配置和管理。5、终端服务的安装和使用了解终端服务的概念和作用，掌握终端服

3、务的安装和使用。第一节 网络安全概述了解网络安全的总体目标和Windows 2000 Server在那些方面提供了相应的安全机制。网络安全一般是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，确保系统能连续可靠正常地运行，网络服务不中断。网络安全包括物理安全、逻辑安全、操作系统安全和联网安全等，Windows 2000 Server为保证系统的安全提供了各种相应的安全机制，主要包括：l 分布式环境下的用户身份验证l 访问控制机制l 动态目录服务（Active Directory Service）l 数据加密服务l 统一的安全策略l 安全部署应用程

4、序（确保运行在其上的应用程序的安全性）l 辅助日常管理任务l 其他总的来说，计算机系统安全的目标主要在于提供完整性、控制、可用性和审核。l 完整性：计算机系统必须保证准确性、可靠性以及机密性，系统存储的数据是可靠的和安全的，并且用户所要求进行的任何数据操作都必须准确执行并且不会被篡改。l 控制：对计算机系统的访问以及对其资源的分配都是在管理控制下进行的。l 可用性：当用户试图对一个系统、应用程序或数据文件进行访问时，它总是准备好的、可使用的。l 审核：检查某件事是否按照它被期望的方式进行的过程。第二节 网络安全配置与分析一、认证认证是一个实体（一台计算机、一个人或其他任何东西）向另外的实体证明

5、其身份的能力。其他的认证系统l 相互认证（如客户和服务器的相互认证）l 计算机到计算机的认证l 认证算法（如Kerberos,可以使得口令信息在被输入系统后更能抵抗电子攻击）l 证书的使用（在密钥分配中起辅助作用的数据结构）l 某些特殊设备u 智能卡（如信用卡般大小的设备，上面有嵌入式的芯片，芯片中包含认证信息）u 生理特征识别设备（它依靠人体的某些生理特征来进行认证）二、授权授权是用来发现用户是否有权进行他所请求进行的活动的过程。三、审核审核是检查某件事是否按照它被期望的方式进行的过程。Windows 2000 Server在默认情况下并不起用审核功能，但可以通过设定一种审核策略来启用。审核

6、可追踪的事件：l 用户的登录与注销l 验证用户帐户l 文件、文件夹与打印机的访问l 用户帐户与组的变更l 访问Active Directory对象l 关机与重新启动四、安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包含当规则不被遵守时会激发的规程动作的一个表达。IPSec是一个标准的网络协议，用来保护网络上的两台计算机之间的通讯。它被用于加密虚拟专用网（VPN）中传递的数据，还用于协商一条安全的连接，和对两个计算机间传输的数据进行加密。表8-1：IPSec的三种默认策略服务器（要求安全性）这种服务器会请求加密的通讯，但它也不会拒绝一条来自不能加入此机密

7、通讯的客户的连接安全服务器（要求安全性）这种策略要求安全、加密的通讯，它不会加入任何不加密的通讯。客户机（只响应）具有这个策略集合的计算机不会要求协商或加密的通信。如果它被邀请加入，它就会加入。五、病毒防治计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。病毒具有传染和破坏的作用，Internet 的发展孕育了网络病毒。反病毒技术包括检测病毒和杀病毒两方面，而病毒的清除都是以有效的病毒探测为基础的。对病毒的防治主要通过安装杀毒软件和良好的系统管理运行机制来实现。六、放火墙防火墙主要是通过防止对网络进行未授权访问来保

8、证网络的安全性，防火墙一般既可以由硬件设备也可以由软件来实现。项目一：“本地安全策略”的配置项目环境：操作环境要求一台运行Windows 2000 Server的计算机，网络地址为192.168.1.x，配置“本地安全策略”须具有Administrator组权限。Windows 2003 提供的防火墙称为Internet连接防火墙，它允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。1、单击“开始”“程序”“管理工具”“本地安全策略”单击“树”窗口中“帐户策略”下的“密码策略”双击“密码长度最小值”条目输入需要设定的最小密码长度确定双击“密码必须符合复杂性要求

9、”条目启用“密码必须符合复杂性要求”策略确定。 图8-1 “本地安全设置”窗口 图8-2 “密码长度最小值”对话框2、单击“审核策略”双击“审核登录事件”勾选要审核的操作“确定”。 图8-3 “本地安全设置”窗口 图8-4 “审核登录事件”对话框3、单击“用户权利指派”双击“备份文件和目录”条目单击“添加”增加想赋予此权限的用户。 图8-5 “本地安全设置”窗口 图8-6 “备份文件和目录”对话框4、单击“安全选项”双击“登录屏幕上不要显示上次登录的用户名”选择“已启用”确定。 图8-7 “本地安全设置”窗口 图8-8 “不显示登录用户名”对话框5、单击“IP安全策略，在本地机器”设置IP安全

10、的三种策略，分别为“安全服务器（要求安全设置）”、“客户端（只响应）”和“服务器（请求安全设置）”。图8-9 “本地安全设置”窗口示例查看 “安全日志”，1、 管理员注销退出系统；2、 用户A169身份登录系统（先输入错误的密码，然后再正确登录）；3、 管理员重新登录系统；单击“开始”“程序”“管理工具”“事件查看器”单击“安全日志”查看所发生的登录事件。 项目二：Windows 2003“防火墙”的配置（可选）项目环境：本实训需要在一台运行Windows 2003的计算机上进行。图8-10 “事件查看器”窗口 图8-11 “事件详细信息”对话框打开“网络连接”右键单击需要保护的连接选择“属性

11、”单击“高级”选项卡勾选“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框，单击“设置”单击“服务”选项卡勾选“FTP服务器”单击“安全日志”选项卡勾选要记录的项目单击“ICMP”选项卡勾选“允许传入响应请求”“确定”。 图8-12 “网络连接属性”对话框 图8-13 “高级设置”对话框 图8-14 “安全日志”选项卡 图8-15 “ICMP” 选项卡第三节 RAS配置与管理Windows 2000 Server的远程访问提供了两种不同类型的远程访问连接。在远程拨号连接方式中，远程访问客户机采用公用交换电话网络（PSTNPublic Switched Tele

12、phone NetWork）创建一个物理连接，来连接到公司内部专用网络中远程访问服务器的一个端口。项目三（1）：RAS服务端配置项目环境：计算机名提供的网络服务IP地址子网掩码FirewallRAS外网54内网54远程访问客户机192.168.1.xRAS服务器扮演着RAS客户端与本地网络之间的路由器或网关的角色，让RAS客户端能够通过它来连接公司内部网络，访问网络资源，就好像它们是在本地直接连接着网络。比如RAS客户端可以通过网络邻居访问网络中其他计算机上的共享文件夹。步骤一：安装Modem 单

13、击“开始”“控制面板”双击“电话和调制解调器选项”单击“添加”按钮勾选“不要检测我的调制解调器，我从列表中选择”单击“下一步”选择Modem类型单击“下一步”选择“通讯端口COM1”单击“下一步”安装步骤二：配置RAS服务器单击“开始”“程序”“管理工具”“路由和远程访问”右键单击“Firewall（本地）”选择“配置并启用路由和远程访问”项，单击“下一步”选择“远程访问服务器”“下一步”选择“设置一个高级远程访问服务器”“下一步”选择现有协议或者添加新的远程客户协议“下一步”选择“来自一个指定的地址范围”“下一步”单击“新建”在“起始IP地址”文本框中输入“60”在“结

14、束IP地址”文本框中输入“99”“确定”“下一步”选择不使用RADIUS“下一步”完成 图8-16 “路由和远程访问”窗口 图8-17 “公共设置”对话框 图8-18 “远程访问服务器设置”对话框 图8-19 “地址范围指定”对话框 图8-20 “新建地址范围”对话框 图8-21“管理多个远程访问服务器”对话框图8-22 “路由和远程访问”窗口步骤三：配置授权用户拨入属性单击“开始”“程序”“管理工具”“计算机管理”单击“用户”双击要设置的用户“A168”单击“拨入”选项卡设置属性如图所示。 图8-23 “用户和计算机”控制台 图8-24 “用户属性”对话框项目三（2）：

15、配置RAS客户机右键单击“网上邻居”“属性”双击“新建连接”“下一步”选择“拨号到专用网络”“下一步”输入远程访问服务器的电话号码“下一步”选择“只是我自己使用此连接”“下一步”“完成”登录。 图8-25 “网络和拨号连接”窗口 图8-26 “网络连接类型”对话框 项目三（3）：管理RAS服务器（设置用户的RAS使用权限，新建远程访问策略） 图8-27 “拨出电话号码”对话框 图8-28 “可用连接”对话框打开“路由和远程访问”窗口右键单击“远程访问策略”选择“新建远程访问策略”为策略起一个便于识别的名字“下一步”设定要匹配的条件，如图8-40所示单击“添加”选择“允许用户连接的时间和日期”项

16、目“添加”设置“时间限制”如图所示“确定”“下一步”选择“授予远程访问权限”“下一步”单击“编辑配置文件”进行用户拨入限制、身份验证等设置“完成”。 图8-29 “选择属性”对话框 图8-30 “时间限制”对话框 图8-31 “决定授予或拒绝访问权限”对话框 图8-32 “用户配置文件”对话框图8-33 “编辑拨入配置文件”对话框第四节 VPN配置与管理虚拟专网（VPN-VIRTUAL PRIVATE NETWORK）指的是在公用网络上建立专用网络的技术，是架构在公用网络服务商所提供的网络平台（如INTERNET、ATM和FRAME RELAY等）之上的逻辑网络，用户数据在逻辑链路中传输。l

17、虚拟专用网络的优点 Ø 降低企业的管理成本：一般管理成本是大企业主要关注的问题之一，而且话费是企业一笔相当大的开销。Ø 使用Internet：作为连接媒体以代替长途电话服务可以降低话费并减少硬件需求。例如，客户只需呼叫本地ISP，然后，L2TP 和 IPSec允许用户获得与 Internet 相联的 Windows 2000 VPN服务器的安全连接，该服务器提供路由和远程访问服务。 Ø 减少一般管理费用：因为本地电话公司拥有并管理支持 VPN 连接的电话线，这样就减少了网络管理员的管理工作。 Ø 更多的安全： Windows 2000 使用标准的、交互性

18、的身份验证和加密协议，这些协议保证数据在Internet上不安全的环境中是隐藏的，而企业用户则可通过VPN对这些数据进行访问。而且，如果使用IPSec对VPN隧道进行加密，Internet将只能看到外部IP地址，而内部地址将得到保护，这样，电脑黑客很难破译通过VPN隧道发送的数据。 一：VPN的功能l 通过隧道（TUNNEL）或虚电路（VIRTUAL CIRCUIT）实现网络互联l 支持用户安全管理l 能够进行网络监控、故障诊断二：VPN技术原理l VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。l VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过

19、。l 对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。l VPN设备加上新的数据包头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。l VPN设备对加密后的数据、鉴别包和源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。l 当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。三：远程访问协议l Point-to-Point Tunneling Protocol（PPTP）：这是在NT 4.0中使用的VPN技术，建立在PPP协议基础上，具有验证和握手功能，缺点是只能应用在拨号连接线路上。l Laye

20、r 2 Tunneling Protocol（L2TP）是PPTP的增强版。相比PPTP的一个主要优点是支持MPPP（Multilink Point-to-Point Protocol），并且可以在许多Internet连接线路上运行，如帧中继、X.25和ATM，支持帧头压缩，可以比PPTP消耗更少的带宽。l IP Security（IPSec）：IPSec是下一代的隧道协议，相比PPTP和L2TP其最大优势在于标准化，它处于TCP/IP协议下层，首先验证访问请求者的IP地址和端口地址的合法性，过滤掉不合法的请求，同时在访问双方之间建立安全会话，并对传输的数据进行加密。IPSec通过通信双方身份

21、验证和数据加密，使信息能更安全地在公共网络上传输。项目四：VPN配置项目环境：计算机名提供的网络服务IP地址子网掩码FirewallVPN外网54内网54远程访问客户机192.168.1.x步骤一：配置VPN服务器（Firewall）1单击“开始”“程序”“管理工具”“路由和远程访问”右键单击 “Firewall（本地）”选择“配置并启用路由和远程访问”项“下一步”选择“虚拟专用网络（VPN）”“下一步”选择现有协议或者添加新的远程客户协议“下一步”选择“Internet连接”“下一步”选择“来自

22、一个指定的地址范围”“下一步”“新建”设置允许VPN接入的远程客户端的静态IP地址范围，如图所示“确定”“下一步”选择不使用RADIUS“下一步”“完成”。 图8-34 “公共设置” 对话框 图8-35 “远程客户协议”对话框 图8-35 “Internet连接” 对话框 图8-36 “IP地址指定”对话框步骤二：配置授权用户拨入属性（和配置RAS的拨入权限相同）步骤三：配置RAS客户机右键单击“网上邻居”“属性”双击“新建连接”“下一步”选择“通过Internet连接到专用网络”“下一步”选择“自动拨此初始连接”（此前已建好的拨号连接）“下一步”输入提供VPN服务计算机的公网IP地址或域名“

23、下一步”选择“只是我自己使用此连接”“下一步”在“输入名称”对话框中为此连接取一个名字“完成” 图8-37 “网络连接类型”对话框 图8-38 “公用网络”对话框 图8-39 “目标地址”对话框 图8-40 “可用连接”对话框第五节 终端服务利用终端服务，终端仿真软件将键击和鼠标操作发送到服务器。终端服务器在本地完成所有的数据操作，并将显示结果传回。这种方法实现了对服务器的远程控制和集中的应用程序管理，可以将服务器和客户机之间的网络带宽要求减到最低。一、终端服务的两种具体实现模式：l 应用程序服务器。在应用程序服务器模式下，可以从中心位置部署和管理应用程序，从而节约管理员开发和部署时间以及维护

24、和升级所需要的时间和人力。l 远程管理模式。远程管理给系统管理员提供一种强有力的方法。远程管理模式只安装终端服务的远程访问组件，它不安装应用程序共享组件，这样可以用非常小的开销在任务关键的服务器中使用远程管理。，二：终端服务的优点：l 降低客户端计算机的硬件成本 l 集中管理应用程序 l 远程管理三：Windows 2000 Server的终端服务的组成l Windows 2000 服务器多用户内核l 远程桌面协议l 终端服务客户端软件l 终端服务许可服务l 终端服务系统管理工具项目五（1）：终端服务的安装和使用项目环境：实训操作在两台联网的计算机上进行，其中一台是Windows 2000 S

25、erver，负责提供终端服务，操作须具有Administrator组权限，另一台计算机则模拟使用终端服务（网络地址均为192.168.1.x，子网掩码为）。步骤一：服务端添加“终端服务”组件1、“控制面板”双击“添加/删除程序”单击“添加/删除Windows组件”按钮勾选“终端服务”选项“下一步”选择“应用程序服务器模式”“下一步”选择“跟Terminal Server 4.0 用户兼容的权限”“下一步”“下一步”按提示重新启动。 图8-41“添加/删除Windows组件”对话框 图8-42 “终端服务安装程序”对话框2、单击“开始”“程序”“管理工具”“终端服务客户

26、端生成器”保持默认选项不变随着提示依次把两张软盘（注意作好顺序标记）插进软驱以完成客户端安装盘的制作。 图8-43 “开始”菜单 图8-44 “创建安装盘”对话框步骤二：客户端安装1、运行第一张安装软盘中的“setup.exe”单击“继续”输入用户名和单位名称“确定”单击“我同意”单击“更改文件夹”选择安装路径单击图左上方的安装按钮。 项目五（2）：“终端服务”服务器端的设置图8-45 “安装界面”对话框 图8-46 “开始安装”对话框步骤一：终端用户属性设置“开始”“程序”“管理工具”“计算机管理”选中“本地用户和组”选择用户并双击单击“终端服务配置文件”选项卡勾选“允许登录到终端服务器”“

27、确定”。图8-47 “用户属性”对话框步骤二：终端服务器的设置“开始”“程序”“管理工具”“终端服务配置”选择“连接”双击 “RDP-Tcp”列表项单击“权限”选项卡单击“添加”选择用户的名称“添加”“确定”修改用户的终端服务访问权限。 图8-48 “终端服务配置”窗口 图8-49 “RDP-Tcp属性”对话框项目五（3）：客户机连接及管理步骤一：客户机登录到终端服务器“开始”程序“终端服务客户端”“客户端连接管理器”“文件”“新建连接”“下一步”输入连接名（任意）单击“浏览”选择服务器名或输入IP地址“下一步”选中“用此信息自动登录”输入相应的用户名、密码及域名“下一步”屏幕区域选“800*

28、600”，并选中“全屏”单击多次“下一步”直至完成向导。 图8-50 “客户端连接管理器”窗口 图8-51 终端服务客户端界面步骤二：服务器端的管理“开始”“程序”“管理工具”“终端服务管理器”查看相应连接的状态、发送消息或断开连接等操作。 图8-52 “终端服务管理器”窗口 图8-53 “终端服务管理器”窗口第六节 系统性能及安全评估性能监视是对计算机系统进行防护性维护的必要部分。通过监视，可以获得对诊断系统问题以及对规划系统资源的增长需求有用的性能数据。一般来说，性能监视着重于操作系统，监视着为收集性能数据而装备的应用和服务是如何使用系统资源的，如磁盘、内存、处理器和网络部件。一、服务器性

29、能监视服务器性能监视通常需要收集的性能数据包括：内存、CPU、磁盘和网络l 日志监视l 实时监视（1）应用程序选项卡：显示了计算机上正在运行程序的状态，可以结束、切换或启动相关程序。（2）进程选项卡：显示了计算机上正在运行进程的相关信息。如CPU和内存的使用情况、页面错误等信息。（3）性能选项卡：显示了计算机性能的动态变化。如CPU和内存的使用情况的图表、物理内存、内核内存等。 图8-54 “Windows任务管理器” 对话框 图8-55 “网络监视器” 窗口二、网络性能监视通过分析网络性能，比如监视网络吞吐量和那些影响软硬件的资源使用，可以优化系统的性能。“网络监视器”是Windows 20

30、00 Server中的一个监视网络通讯状况的服务器组件（如图8-79所示），它可以细致到监视一个数据包的具体内容，以供用户详细了解服务器的数据流动情况，使用“网络监视器”可以帮助查看网络故障，检测黑客攻击。常用的网络计数器有%Network Utilization、Byte Sent/sec、Bytes Received/sec、Bytes Total/sec等。三、系统优化措施l 系统性能优化 图8-56 “系统特性” 对话框 图8-57 “性能选项”对话框l 环境变量优化 图8-58 “环境变量” 对话框 图8-59 “Web站点属性”对话框四、几项安全配置l 设置好IIS 删除系统盘下的

31、Inetpub目录在另一分区中新建一个Inetpub在IIS管理器中将主目录指向它将新的Web目录的本地路径权限设置为只读把IIS安装时默认的scripts等虚拟目录也一概删除在“应用程序映射”列表框中把除了“.asp”、“.shtml”和“.asa”之外其他的映射全部删除在“应用程序调试”选项卡内，将“脚本错误消息”改为“发送文本错误消息给客户”使用IIS的备份功能将刚做好的设定全部备份下来 图8-60 “应用程序配置”对话框 图8-61 “组件服务”窗口l 禁止不必要服务在“组件服务”窗口中，双击不需要的服务名称，可以停止不需要的服务。l 设置“本地安全策略”项目六：系统性能监视项目环境：

32、实训操作可在任意一台联网的计算机进行（网络地址为192.168.1.x，子网掩码为），操作须具有Administrator组权限。在“本地安全策略”的“安全选项”中“对匿名连接的额外限制”，改变设置为“不允许枚举Sam 账号和共享”，将“登录屏幕上不要显示上次登陆的用户名”设置为启用。步骤一：利用日志方式来监视服务器性能单击“开始”“程序”“管理工具”“性能”选择“计数器日志”单击右键选择“新建日志设置”在名称框中输入所取的日志名称“确定”“添加”“选择计数器”对话框中，单击“性能对象”下拉列表框选择Processor单击“从列表选择计数器”单选框选择“%Proces

33、sor Time”计数器“添加”“关闭”设置数据采样间隔单击“日志文件”选项卡选择“二进制文件”和“最大限度值”单击“计划”选项卡设置启动日志的时间和停止日志的方式“确定”。 图8-62 “性能控制台” 窗口 图8-63 “新建日志”对话框 图8-64 “选择计数器”对话框 图8-65 “日志文件”选项卡 图8-66 “计划”选项卡 图8-67 “性能控制台” 窗口步骤二：利用日志方式来监视网络性能打开“性能控制台”窗口“系统监视器”单击右键选择“添加计数器”单击“性能对象”下拉列表框选择Network Interface单击“从列表选择计数器”单选框选择“Byte Sent/sec”计数器“添加”选择“Bytes Received/sec”“添加Bytes Received/sec”计