No2.1 网络安全基础防护课件

1、No2.1 网络安全基础防护第1章内容回顾 网络安全面临的威胁网络设备（路由器、交换机）面临威胁操作系统面临威胁应用程序面临威胁 针对企业网络面临的安全威胁制定解决方案 网络攻击的常见手法介绍端口扫描安全漏洞口令入侵木马程序邮件攻击等本章目标掌握路由器与交换机安全设置的方法掌握Windows系统安全设置的方法掌握RHEL 4安全设置的方法掌握Web服务与数据库基本安全设置方法本章结构网络安全基础防护Web安全防护数据库安全防护Linux安全防护Windows安全防护路由器安全管理交换机安全管理设备安全防护操作系统安全防护应用程序安全防护1、路由器安全管理针对路由器攻击类型直接侵入到系统内部远程

2、攻击使路由器崩溃或是运行效率显著下降Internet路由器安全管理8-2面临的威胁Telnet信息为明文HTTP存在漏洞Console口SNMP协议缺省设置telnet信息、SNMP信息等路由器安全管理8-3及时更新IOS/public/sw-center/下载IOS路由器安全管理8-5设置远程登录控制Router(config)# line vty 0 4Router(config-line)# loginRouter(config-line)# password ciscoRouter(config-line)# exec-timeout 10Router(config)# line co

3、nsole 0Router(config-line)# transport input noneRouter(config-line)# password ciscoRouter(config)# line aux 0Router(config-line)# transport input noneRouter(config-line)# no exec设置控制台与AUX登录控制路由器安全管理8-6应用强密码策略Router(config)# enable password cisco-Router(config)#service password-encryptionRouter(confi

4、g)#enable secret ciscociscoRouter(config)#no ip http server关闭基于Web的配置路由器安全管理8-7利用ACL禁止Ping相关接口Router(config)# access-list 101 deny icmp any 55 echoRouter(config)# access-list 101 permit any anyRouter(config-if)# ip access group 101 outRouter(config)# no cdp runRouter(config-if)# no cdp enable关闭CDP2、

5、交换机安全管理及时下载新IOS使用管理访问控制系统禁用未使用的端口 关闭危险服务 利用VLAN加强内部网络安全阶段总结 针对路由器的攻击直接侵入到系统内部远程攻击使路由器崩溃或是运行效率显著下降网络管理协议 路由器安全管理登录控制应用强密码策略关闭不必要的服务利用ACL等3、Windows安全2-1关闭不必要的服务Remote Registry ServiceMessenger关闭不必要的端口telnetNetbiosFTPWebWindows安全2-2打开审计策略重要文件安全存放登录时不显示上次登录名禁止建立空连接关闭默认共享操作系统安全加固使用MBSA查看系统漏洞查看扫描结果启动检查4、L

6、inux安全Linux面临的威胁DoS攻击本地用户获取非授权的文件的读写权限 远程用户获得特权文件的读写权限 远程用户获得root权限Linux安全设置9-1使用GRUB口令编辑 /boot/grub/grub.conf，加入以下语句 password 12345删除所有的特殊帐户包括lp，shutdown，halt，news，uucp，operator，games，gopher等 rootredhat root# userdel lp rootredhat root# groupdel lpLinux安全设置9-2修改默认root密码长度默认root密码长度是5位，建议修改为8位 编辑/et

7、c/login.defs，修改 PASS_MIN_LEN 5 为 PASS_MIN_LEN 8Linux安全设置9-4取消所有不需要的服务 telnet、http等默认启动的服务关闭telnet，编辑/etc/xinetd.d/telnet，修改 disable = no 为 disable = yes更改/etc/xinetd.conf的权限为600，只允许root来读写该文件 rootredhat root# chmod 600 /etc/xinetd.conf Linux安全设置9-5小练习要关闭HTTP、FTP等服务应该如何实现？Linux安全设置9-7不允许root从不同的控制台进行

8、登录 编辑/etc/securetty，在不需要登录的TTY设备前添加#，禁止从该TTY设备进行root登录使用SSH进行远程连接 通过SSH客户端软件连接Linux在Linux下利用以下命令连接其他Linux rootredhat root# ssh l root 80 Linux安全设置9-8禁止随意通过su命令将普通用户变为root用户编辑/etc/pam.d/su，加入以下内容auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel(whe

9、el为系统中隐含的组，只有wheel组的成员才能用su命令成为root） Linux安全设置9-9配置防火墙利用iptables防火墙保持最新的系统内核随时关注Linux网站上内核更新应用程序安全设置2-1Web安全随时下载安全补丁只开放80端口放置在专门的区域中利用SSL安全访问将IIS的安装目录和数据与系统磁盘分开设置WWW目录的访问权限 5、应用程序安全设置2-2SQL Server的安全安装SQL Server的最新补丁程序使用安全的帐号策略选择正确的身份验证模式加强数据库日志记录除去不需要的网络协议本章总结网络安全基础防护Web安全防护数据库安全防护Linux安全防护Windows安全防护路由器安全管理交换机安全管理设备安全防护操作系统安全防护应用程序安全防护通过设置路由器（交换机）控制台、远程登录以及AUX接口安全，设置强密码策略，设置ACL等设置GRUB口令，删除特殊帐号，修改密码长度，取消不需要的服务，屏蔽登录信息等实验背景随着某公司的网络设备和服务器越来越多，应用越来越复杂。提出了新的需求：实施路由器与交换机安全管理 实施操作系统安全任务1背景利用MBSA进行Windows安全扫描完成目标安装MBSA利用MBSA进行Windows安全扫描查看扫描结果任务2背景通过