网络安全方案设计服务器模块

1、在在Windows Server 2003环境中规划环境中规划IPSec谢立靖谢立靖 导入导入为什么为什么TCP/IP是不安全的？是不安全的？漏洞威胁风险漏洞威胁风险 漏洞：硬件漏洞，操作系统漏洞，应用程序漏洞，管理漏洞 威胁1）窃听 2）数据篡改 3）身份欺骗（IP地址欺骗） 4）盗用口令攻击（Password-Based Attacks） 5）拒绝服务攻击（Denial-of-Service Attack）6）中间人攻击（Man-in-the-Middle Attack） 7）盗取密钥攻击（Compromised-Key Attack） 8）Sniffer 攻击（Sniffer Attac

2、k） 9）应用层攻击（Application-Layer Attack） 提要提要默认默认 IPSec 策略策略规划规划 IPSecIPSec 故障排除故障排除Lesson:默认默认 IPSec 策略策略默认默认 IPSec 策略策略客户端（仅响应）服务器（请求安全）安全服务器（需要安全）IPSec 连接规则连接规则对所有对所有 IP IP 通讯总是使用通讯总是使用 Kerberos Kerberos 信信任请求安全。允许与不响应请求的客户任请求安全。允许与不响应请求的客户端的不安全通讯端的不安全通讯正常通讯正常通讯 ( (不安全的不安全的) )。使用默认的响应。使用默认的响应规则与请示安全的

3、服务器协商。只有与服规则与请示安全的服务器协商。只有与服务器的请求协议和端口通讯是安全的务器的请求协议和端口通讯是安全的对所有对所有 IP IP 通讯总是使用通讯总是使用 Kerberos Kerberos 信任请求安全。信任请求安全。不允许与不被信任的客户端的不安全通讯不允许与不被信任的客户端的不安全通讯IPSec 连接规则连接规则规则规则描述描述IP筛选器列表筛选器列表通过出站和入站筛选器来指定安全通信类型筛选器操作筛选器操作指定处理通信的方式（允许、阻止、加密等）身份验证方法身份验证方法Kerberos、预共享密钥、CA练习：使用策略练习：使用策略练习中使用到的拓扑图练习中使用到的拓扑图

4、客户端（VMware虚拟机，OS为XP） IP Address:192.168.1.1/24网关：192.168.1.254虚拟网卡：VMnet4虚拟内存：128M服务器端（VMware虚拟机，OS为Windows server 2003企业版）IP Address:192.168.1.254/24虚拟网卡：VMnet4虚拟内存：256M以以“客户端（仅响应）客户端（仅响应）”为例，测试默认策略为例，测试默认策略开始管理工具本地安全策略开始管理工具本地安全策略服务器端的操作右键单击右键单击“客户端（仅响应）客户端（仅响应）”指指派派服务器端的操作客户端的操作控制面板管理工具本地安全策略控制面板

5、管理工具本地安全策略客户端的操作右键单击右键单击“客户端（仅响应）客户端（仅响应）”指指派派在客户端的测试使用使用Ping命令进行测试命令进行测试自定义策略。可以完全自定义策略，也可在默认策自定义策略。可以完全自定义策略，也可在默认策略基础上自定义，以下练习中使用完全自定义策略略基础上自定义，以下练习中使用完全自定义策略服务器端的操作打开打开“本地安全设置本地安全设置”右键单击右键单击“IP安全策略安全策略，在本地计算机，在本地计算机”创建创建IP安全策略安全策略服务器端的操作单击单击“下一步下一步”在在“名称名称”栏内填写恰当的策略名，在栏内填写恰当的策略名，在“描述描述栏内填写能够说明该策

6、略功能的说明性文字栏内填写能够说明该策略功能的说明性文字，然后单击，然后单击“下一步下一步”服务器端的操作服务器端的操作单击单击“下一步下一步”单击单击“下一步下一步”服务器端的操作服务器端的操作单击单击“是是”服务器端的操作单击单击“完成完成”服务器端的操作单击单击“添加添加”服务器端的操作单击单击“下一下一步步”单击单击“下一下一步步”服务器端的操作服务器端的操作单击单击“下一下一步步”服务器端的操作选中选中“控制控制139端口的访问端口的访问”，然后单击，然后单击“编辑编辑”在在“描述描述”栏内填写能恰当描述筛选器功能的说栏内填写能恰当描述筛选器功能的说明性文字，然后单击明性文字，然后单

7、击“编辑编辑”服务器端的操作服务器端的操作源地址：一个特定的源地址：一个特定的IP地址，地址，192.168.1.1目标地址：我的目标地址：我的IP地址地址单击单击“协议协议”选项卡选项卡服务器端的操作选择协议类型：选择协议类型：TCP设置设置IP协议端口：从任意端口、到此端口（协议端口：从任意端口、到此端口（139）单击单击“确定确定”服务器端的操作单击单击“确定确定”服务器端的操作单击单击“下一下一步步”服务器端的操作然后单击然后单击“下一步下一步”服务器端的操作选择选择“使用此字符串保护密钥交换（预共享密钥）使用此字符串保护密钥交换（预共享密钥）”，在文本框中填入，在文本框中填入“123

8、”，然后单击，然后单击“下一步下一步”单击单击“完成完成”服务器端的操作服务器端的操作将将“”前的勾去掉，然后单击前的勾去掉，然后单击“确确定定”客户端的操作控制面板管理工具本地安全策略控制面板管理工具本地安全策略客户端的操作右键单击右键单击“IP安全策略，在本地计算机安全策略，在本地计算机”创建创建IP安全策安全策略略客户端的操作单击单击“下一步下一步”客户端的操作在在“名称名称”栏内填写适当的策略名称，在栏内填写适当的策略名称，在“描述描述”栏栏内填写可以说明该策略功能的文字，然后单击内填写可以说明该策略功能的文字，然后单击“下下一步一步”客户端的操作单击单击“下一步下一步”客户端的操作单

9、击单击“下一步下一步”客户端的操作单击单击“是是”客户端的操作去掉去掉“编辑属性编辑属性”前的勾，然后单击前的勾，然后单击“完成完成”客户端的操作双击双击“访问访问139端口端口”客户端的操作去掉去掉“”前的勾，然后单击前的勾，然后单击“添添加加”客户端的操作单击单击“添加添加”客户端的操作按图所示填写，去掉按图所示填写，去掉“使用使用添加向导添加向导”前面的勾，然后单击前面的勾，然后单击“添加添加”客户端的操作选择选择“协议协议”选项卡选项卡客户端的操作按图所示选择、填写，然后按图所示选择、填写，然后“确定确定”客户端的操作单击单击“确定确定”客户端的操作选中选中“访问访问139端口端口”，

10、然后选择，然后选择“筛选器操筛选器操作作”客户端的操作选中选中“需要安全需要安全”，然后选择，然后选择“身份验证身份验证方法方法”选项卡选项卡客户端的操作单击单击“编辑编辑”客户端的操作按图所示选择、填写，然后按图所示选择、填写，然后“确定确定”客户端的操作单击单击“应用应用”，然后，然后“确确定定”单击单击“应用应用”，然后，然后“确确定定”客户端的操作客户端的操作右键单击右键单击“访问访问139端口端口”，然后单击，然后单击“指指派派”测试测试在命令提示符中输入命令：在命令提示符中输入命令：netstat -an，红框部分表示，红框部分表示服务器在服务器在139端口侦听传入的连接端口侦听传

11、入的连接服务器端的操作客户端的操作在命令提示符中输入命令：在命令提示符中输入命令：telnet 192.168.1.254 139，然，然后回车后回车客户端的操作如果如图显示，表示此时客户端已经通过如果如图显示，表示此时客户端已经通过139端口端口与服务器相连与服务器相连服务器端的操作在命令提示符中输入命令：在命令提示符中输入命令：netstat -an，红框部分表示，红框部分表示服务器此时已经与服务器此时已经与192.168.1.1 建立了连接建立了连接Lesson: 规划规划 IPSec确定确定 IPSec 策略部署方式策略部署方式确定验证模式确定验证模式确定确定 IPSec 策略必要性策

12、略必要性规划规划 IPSec 最佳方案最佳方案本地策略部署本地策略部署 IPSec 指导方针指导方针确定确定 IPSec 策略部署方式策略部署方式在一个异构环境中在一个异构环境中Active DirectoryActive Directory使用本地策略使用本地策略使用使用Active Directory确定验证模式确定验证模式认证方式认证方式环境环境Kerberos V5 安安全协议全协议客户端和服务器端是Windows 2000版本以上，并且做为AD域的一部分证书证书Internet访问远程访问资源外部业务合作伙伴未运行Kerberos V5安全协议的计算机需要证书授权中心预共享密钥预共享密钥通信双方的计算机必须手动配置IPSec密钥以明文方式存储，因此安全性较差确定确定 IPSec 策略必要性策略必要性确定企业的需要确定企业的需要评估潜在的安全风险以确定IPSec是否可以减轻这些风险确定规则和策略创建一个新策略或者修改一个已经存在的策略创建一个新策略或者修改一个已经存在的策略规划规划 IPSec 最佳方案最佳方案最佳实践最佳实践评估发往网络上的信息类型评估发往网络上的信息类型确定信息的存储地确定信息的存储地评估网络攻击的弱点评估网络攻击的弱点设计企业网络安全规划设计企业网络安全规划在安全规划下测试在安全规划下测试IPSec策略策略本地