网络管理与安全第7章网络安全管理

第7章网络安全管理邓浩网络工程师hdengwh@126.com主要内容Server2003的安全设置本地策略Server2003中常规网络服务的安全管理IP安全策略路由器、交换机及VLAN对安全控制的作用防火墙计算机病毒与黑客攻击SERVER2003的安全设置用户管理与账户策略密码策略账户锁定策略用户管理与账户策略建立新用户建立账号账号管理“常规”选项卡“隶属于”选项卡“配置文件”选项卡密码策略密码必须符合复杂性要求密码长度最小值密码最长使用期限密码最短使用期限强制密码历史用可还原的加密来储存密码账户锁定策略复位账户锁定计数器该设置用于定义在失败尝试登录多长时间后计数重新开始。账户锁定时间该设置用于定义账户锁定的时间间隔。账户锁定阈值该数值用于定义用户不成功登录允许的次数，之后账户就会被锁定。本地策略审核策略用户权限分配审核策略其中包含审核策略更改、审核登录事件、审核对象访问等多个审核策略。当对应的事件发生时，系统将根据设置对相应的事件进行记录。用户权限分配用户权限分配内容的设置可以基于用户或组来设定用户所具备的权限。常见权限分配的设定及安全选项通过设置安全选项，可以提高每个用户的安全性。SERVER2003中常规网络服务的安全管理Web服务器的安全问题FTP服务器的安全问题邮件服务器的安全问题Web服务器的安全问题用户身份验证IP地址和域名限制访问控制审核与加密FTP服务器的安全问题取消匿名访问功能启用日志记录正确设置用户访问权限启用磁盘配额管理TCP/IP访问限制增强账号密码的复杂性账号登录限制邮件服务器的安全问题垃圾邮件的威胁（1）侵占网络和系统资源。（2）对网络和系统安全产生了极大的危害。（3）对社会稳定和个人生活将产生不良影响和危害。（4）使企业用户直接遭受了巨大的经济损失。常见的反垃圾邮件措施（1）使用邮件客户端产品自身的反垃圾邮件功能。（2）使用邮件系统或杀毒软件提供的反垃圾邮件模块。（3）使用专业的软件或硬件反垃圾邮件网关设备。（4）接受专业第三方反垃圾邮件服务。IP安全策略IPSec1．启用本地IPSec安全策略2．IPSec安全策略的组成IP筛选器决定哪些报文应引起IPSec安全策略的关注筛选器操作是指允许还是拒绝报文的通过要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作3．IPSec安全策略应用实例4．IPSec安全策略验证使用gpupdate/force命令强行刷新IPSec安全策略输入netshipsecdynamicshowALL命令查看是否生效路由器、交换机及VLAN对安全控制的作用路由器与三层交换机的访问控制列表的安全机制（略）交换机的VLAN配置对安全的作用（略）防火墙防火墙概述防火墙的种类防火墙部署模式各类防火墙的优缺点防火墙概述什么是防火墙防火墙的基本功能什么是防火墙防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙的基本功能(1)防火墙是网络安全的屏障。(2)防火墙可以强化网络安全策略。(3)对网络存取和访问进行监控审计。(4)防止内部信息的外泄。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。防火墙的种类分组过滤(PacketFiltering)作用在网络层和传输层，它根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则从数据流中丢弃。应用代理(ApplicationProxy)也叫应用网关(ApplicationGateway)，它作用在应用层，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。防火墙部署模式1．路由模式2．透明模式3．混合模式路由模式透明模式混合模式各类防火墙的优缺点包过滤防火墙状态/动态检测防火墙应用程序代理防火墙使用防火墙中的NAT包过滤防火墙优点（1）防火墙对每个传入和传出网络的包实行低水平控制。（2）每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等，防火墙将基于这些信息应用过滤规则。

（3）防火墙可以识别和丢弃带欺骗性源IP地址的包。（4）包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是很困难的。（5）包过滤通常被包含在路由器数据包中，所以不需要额外的系统来处理这个特征。缺点（1）配置困难。（2）为特定服务开放的端口存在危险，可能会被用于其他传输。（3）可能还有其他方法绕过防火墙进入网络。状态/动态检测防火墙优点（1）检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。（2）识别带有欺骗性源IP地址包的能力。（3）基于应用程序信息验证一个包的状态的能力，例如基于一个已经建立的FTP连接，允许返回的FTP包通过，或允许一个先前认证过的连接继续与被授予的服务通信。（4）记录有关通过的每个包的详细信息的能力。缺点所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者有大量的过滤网络通信的规则存在时。应用程序代理防火墙优点（1）指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者允许或拒绝基于用户所请求连接的IP地址的访问。（2）通过限制某些协议的传出请求，来减少网络中不必要的服务。（3）大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件是很有用的。缺点（1）必须在一定范围内定制用户的系统，这取决于所用的应用程序。（2）一些应用程序可能根本不支持代理连接。使用防火墙中的NAT优点（1）所有内部的IP地址对外面的用户来说是隐蔽的，因此，网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。（2）如果因为某种原因而使公共IP地址资源比较短缺，NAT可以使整个内部网络共享一个IP地址。（3）可以启用基本的包过滤防火墙安全机制，因为所有传入的包如果没有专门指定配置到NAT，那么就会被丢弃，内部网络的计算机就不可能直接访问外部网络。缺点和包过滤防火墙的缺点是一样的。计算机病毒与黑客攻击计算机病毒概述病毒与黑客攻击计算机病毒概述计算机病毒的定义计算机病毒的特点计算机病毒的分类病毒和黑客的关系网络病毒的防治方法常见杀毒软件介绍计算机病毒的定义计算机病毒(computerVirus)是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒的特点（1）隐蔽性是指病毒的存在、传染和对数据的破坏过程不易被计算机操作人员发现。（2）寄生性是指计算机病毒通常是依附于其他文件而存在的。（3）传染性是指计算机病毒在一定条件下可以自我复制，能对其他文件或系统进行一系列非法操作，并使之成为一个新的传染源。（4）触发性是指病毒的发作一般都需要一个激发条件，可以是日期、时间、特定程序的运行或程序的运行次数等。（5）破坏性是指病毒在触发条件满足时，立即对计算机系统的文件、资源等的运行进行干扰破坏。（6）不可预见性是指病毒相对于防毒软件永远是超前的，理论上讲，没有任何杀毒软件能将所有的病毒杀除。计算机病毒的分类（1）病毒存在的媒体网络病毒/文件病毒/引导型病毒（2）病毒传染的方法驻留型病毒/非驻留型病毒（3）病毒破坏的能力无害型/无危险型/危险型/非常危险型（4）病毒特有的算法伴随型病毒/蠕虫型病毒/寄生型病毒病毒和黑客的关系黑客通常利用病毒将恶意代码写入公司内部网。从这一点看来，病毒编写人员和黑客之间的关系似乎越来越密切，而这种关系在几年以前是根本不可能的事