局域网的安全与管理精讲课件

学习目标：了解网络威胁与对策，服务器威胁与对策，802.1x+RADIUS的应用，以及几种认证方式比较和DMZ的概念。基本掌握802.1x协议及工作机制，基于RADIUS的认证计费，防止IP地址盗用的技术，网络防病毒技术。基本掌握路由器+防火墙保护网络边界的方法，标准访问列表和扩展访问列表的应用。掌握Windows2003Server操作系统安全加固的技术，Web服务器安全设置技术。第五章局域网安全设置与管理5.1网络安全威胁与对策网络的组成元素网络节点网络节点网络节点网络节点网络节点网络终端

设备网络终端

设备元素说明：该元素由网络交换机、路由器、防火墙等网络传输设备组成，进行用户网络数据的交换处理。元素说明：该元素由网络服务器，用户网络客户端等网络终端设备组成。网络传输网络终端

设备网络终端

设备现有网络中存在的问题导致这些问题的原因是什么现有网络安全体制网络安全的演化病毒的演化趋势木马程序、黑客应用安全网络安全保护需求网络安全保护对策拨号用户B拨号用户C拨号用户A拨号用户DInternet垃圾邮件病毒破坏黑客攻击资源滥用信息泄密DOS攻击不良信息终端安全信息丢失未授权接入非法外联监控安全事件处理IT系统面临的问题导致这些问题的原因是什么？

病毒泛滥：计算机病毒的感染率比例非常高，高达89.73%

软件漏洞：软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为5.8天黑客攻击：世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。

移动用户越来越多：网络用户往往跨越多个工作区域以上相关数据来自Symantec。现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL（规则控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey资料来源： ComputerSecurityInstitute网络安全的演化第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快病毒的演化趋势

攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战IDC,2004邮件/互联网CodeRedNimdafunloveKlez20012002邮件Melissa19992000LoveLetter1969物理介质Brain19861998CIHSQLSlammer20032004冲击波震荡波Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒，可以感染360K软盘的病毒，该病毒会填充满软盘上未用的空间，而导致它不能再被使用。

CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS，导致主板损坏。Melissa是最早通过电子邮件传播的病毒之一，当用户打开一封电子邮件的附件，病毒会自动发送到用户通讯簿中的前50个地址，因此这个病毒在数小时之内传遍全球。

Lovebug也通过电子邮件附近传播，它利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内，这个小小的计算机程序征服了全世界范围之内的计算机系统。“红色代码”（2001年）

被认为是史上最昂贵的计算机病毒之一，这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。

“冲击波”（2003年）

冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃．“震荡波”（2004年）

震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重启。

“熊猫烧香”（2007年）

熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用“木马下载器”(2009年)

本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首)“鬼影病毒”（2010年）

该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。“极虎病毒”（2010年）

该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况：计算机进程中莫名其妙的有ping.exe

和rar.exe进程，并且cpu占用很高，风扇转的很响很频繁（手提电脑），并且这两个进程无法结束。极虎病毒最大的危害是造成系统文件被篡改，无法使用杀毒软件进行清理，一旦清理，系统将无法打开和正常运行，同时基于计算机和网络的帐户信息可能会被盗，如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等。病毒发展史1990199119941996199819992000200120022003主流病毒形态木马、蠕虫Internet攻击模式WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染不被感染被感染被感染不被感染不被感染网络病毒的特征通过攻击操作系统或应用软件的已知安全漏洞来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作，可能会引起严重的网络负载如果攻击是属于常规的应用，例如SQL,IIS等就可能穿过防火墙木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作中发现,越来越多的木马程序植入到我国重要信息系统中,根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题.中国地区危害最为严重的十种木马病毒，分别是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马系统漏洞就像给了木马病毒一把钥匙，使它能够很轻易在电脑中埋伏下来，而木马病毒又会欺骗用户伪装成“好人”，达到其偷取隐私信息的险恶目的木马程序木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。木马程序

黑客攻击愈加猖獗据国家计算机应急处理协调中心（CNCERT/CC）统计：2003年，我国互联网内共有272万台主机受到攻击，造成的损失数以亿计；攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流垃圾邮件成为公害据中国互联网中心统计，现在，我国用户平均每周受到的垃圾邮件数超过邮件总数的60%，部分企业每年为此投入上百万元的设备和人力，垃圾邮件泛滥造成严重后果它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容应用安全设计阶段开发阶段实施阶段使用阶段管理制度监督机制使用方法在应用安全问题中,在Windows平台上利用Windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关移动用户D广域网如何进行信息系统的等级化保护？各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图制定安全策略指导或自动Internetp用户如何管理现有安全资源并执行策略机制？补丁服务器p打补丁了吗？更新补丁了吗？ppppppppppp困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起Internet用户如何防止内部信息的泄露？未经安全检查与过滤，违规接入内部网络私自拨号上网Internet用户如何实现积极防御和综合防范？怎样定位病毒源或者攻击源，怎样实时监控病毒与攻击我们怎么办?语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段教学网段1网站OA网段教学网段3教学网段2教学网段4网管网段校园网服务器群Internet保户网络与基础设施的安全1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性保护边界与外部连接边界进出数据流保护计算环境操作系统数据库系统保护应用业务系统办公自动化系统其他应用系统网络基础设施保护需求教学网段5内部办公NIntranet2边界处的访问控制4边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控3边界处的网络入侵检测1边界处的认证与授权网络边界与外部连接的保护需求6边界处的垃圾邮件和内容过滤计算环境的保护需求1基于主机的入侵检测2基于主机的恶意代码和病毒检测3主机脆弱性扫描4主机系统加固5主机文件完整性检查6主机用户认证与授权7主机数据存储安全8主机访问控制看不懂进不来拿不走改不了跑不了可审查信息安全的目的打不垮29山西师范大学网络信息中心采取的解决办法一对于非法访问及攻击类-----在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsecVPN、SSLVPN、内容过滤系统领导网段Internet防火墙、IPSECVPN、SSLVPN、内容过滤等防DOS/DDOS设备个人安全套件语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法二对于病毒、蠕虫、木马类-----实施全网络防病毒系统对于垃圾邮件类-----在网关处实施防垃圾邮件系统Internet邮件过滤网关、反垃圾邮件系统在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法三对于内部信息泄露、非法外联、内部攻击类-----在各网络中安装IDS系统-----在系统中安装安全隐患扫描系统-----在系统中安装事件分析响应系统-----在主机中安装资源管理系统-----在主机中安装防火墙系统-----在重要主机中安装内容过滤系统

-----在重要主机中安装VPN系统人事商务网段Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法四对于系统统一管理、信息分析、事件分析响应-----在网络中配置管理系统-----在网络中配置信息审计系统-----在网络中配置日志审计系统-----在网络中补丁分发系统-----在网络中配置安全管理中心销售体系网段NInternet安全审计中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段537山西师范大学网络信息中心安全管理中心专家库Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3安服网段教学网段4网管网段校园网服务器群教学网段55.2网络安全接入与认证AAARADIUS802.1x基本概念AAAAuthentication、Authorization、Accounting验证、授权、记费PAP PasswordAuthenticationProtocol密码验证协议CHAPChallenge-HandshakeAuthenticationProtocol盘问握手验证协议NAS NetworkAccessServer网络接入服务器RADIUSRemoteAuthenticationDialInUserService远程验证拨入用户服务（远程拨入用户验证服务）AAA介绍AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架AAA是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。AAA主要解决的是网络安全访问控制的问题相对与其他的本地身份认证、端口安全等安全策略，AAA能够提供更高等级的安全保护。AAA介绍-cont.Authentication：认证模块可以验证用户是否可获得访问权。Authorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。Accounting：计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。AAA基本模型AAA基本模型中分为用户、NAS、认证服务器三个部分用户向NAS设备发起连接请求NAS设备将用户的请求转发给认证服务器认证服务器返回认证结果信息给NAS设备NAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作RADIUS(RemoteAuthenticationDialInUserService远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议RADIUS协议特点客户/服务器模型：网络接入设备（NAS）通常作为RADIUS服务器的客户端。安全性：RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密，该密钥不会在网络上传输。可扩展的协议设计：RADIUS使用属性-长度-值（AVP，Attribute-Length-Value）数据封装格式，用户可以自定义其他的私有属性，扩展RADIUS的应用。灵活的鉴别机制：RADIUS服务器支持多种方式对用户进行认证，支持PAP、CHAP、UNIXlogin等多种认证方式。RADIUS:Basics

AuthenticationDataFlowISPUserDatabaseISPModemPoolUserdialsmodempoolandestablishesconnectionUserID:bob

Password:ge55gepUserID:bob

Password:ge55gep

NAS-ID:SelectUserID=bobBob

password=ge55gep

Timeout=3600

[otherattributes]Access-Accept

User-Name=bob

[otherattributes]Framed-Address=TheInternetISPRADIUSServerInternetPPPconnectionestablishedRADIUS:Basics

AuthenticationDataFlowISPAccounting

DatabaseISPModemPoolAcct-Status-Type=Start

User-Name=bob

Framed-Address=

…

...SunMay1020:47:411998

Acct-Status-Type=Start

User-Name=bob

Framed-Address=

…

...

TheInternetISPRADIUSServerInternetPPPconnectionestablishedAcknowledgementTheAccounting“Start”RecordRADIUS:Basics

AuthenticationDataFlowISPAccounting

DatabaseISPModemPoolTheInternetISPRADIUSServerInternetPPPconnectionestablishedAcct-Status-Type=Stop

User-Name=bob

Acct-Session-Time=1432

…

...

SunMay1020:50:491998

Acct-Status-Type=Stop

User-Name=bob

Acct-Session-Time=1432

…

...

AcknowledgementTheAccounting“Stop”RecordUserDisconnects验证当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和记账信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。本地（NAS）验证——PAP方式：PAP（PasswordAuthenticationProtocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。本地（NAS）验证——CHAP方式CHAP（ChallengeHandshakeAuthenticationProtocol）是盘问握手验证协议的简称，是我们使用的另一种认证协议。SecretPassword=MD5（ChapID+Password+challenge）本地（NAS）验证——CHAP方式当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地路由器的hostname）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个SecretPassword传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与SecretPassword作比较，如果相同表明验证通过，如果不相同表明验证失败。SecretPassword=MD5（ChapID+Password+challenge）远端（Radius）验证——PAP方式：远端认证——PAPSecretpassword=PasswordXORMD5（Challenge＋Key）(Challenge就是Radius报文中的Authenticator)我查……我算……我验……远端（Radius）验证——CHAP方式：远端认证——CHAPSecretpassword=MD5（ChapID+Password+challenge）我查……我算……我验……802.1x协议及工作机制802.1x协议称为基于端口的访问控制协议（PortBasedNetworkAccessControlProtocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（ExtensibleAuthenticationProtocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAPoverEthernet）的客户端软件与交换机通信。802.1x协议包括三个重要部分：客户端请求系统（SupplicantSystem）认证系统（AuthenticatorSystem）认证服务器（AuthenticationServerSystem）5.2.1802.1x协议及工作机制上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件发起802.1x协议的认证过程。认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoE协议帧，保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通，用于传递网络信息。如果用户未通过认证，受控端口处于非导通状态，则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。5.2.3基于802.1x的认证计费（1）用户开始上网时，启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时，就会向请求者发送响应的包，要求用户输入登录用户名及口令。（2）客户端收到交换机的响应后，提供身份标识给认证服务器。由于此时客户端还未经过验证，因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器，进行认证。（3）如果认证通过，则认证系统的交换机的受控逻辑端口打开。（4）客户端软件发起DHCP请求，经认证交换机转发到DHCPServer。（5）DHCPServer为用户分配IP地址。（6）DHCPServer分配的地址信息返回给认证系统的服务器，服务器记录用户的相关信息，如用户ID，MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。（7）当认证交换机检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。（8）当用户退出网络时间，可用鼠标点击客户端软件（在用户上网期间，该软件处于运行状态）的“退出”按钮。认证系统检测到该数据包后，会通知AAA（Authentication，Authorization，Accounting）服务器停止计费，并删除用户的相关信息（如MAC和IP地址），受控逻辑端口关闭。用户进入再认证状态。（9）如果上网的PC机异常死机，当验证设备检测不到PC机在线状态后，则认为用户已经下线，即向认证服务器发送终止计费的信息。5.2.5防止IP地址盗用1.使用ARP命令（1）使用操作系统的ARP命令进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆绑在一起。这样，就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后，地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的参数的功能如下：ARP-s-d-a-s：将相应的IP地址与物理地址的捆绑，如以上所举的例子。-d：删除相应的IP地址与物理地址的捆绑。-a：通过查询ARP协议表显示IP地址和对应物理地址的情况。（2）使用交换机的ARP命令例如，Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定，一般采用静态绑定。其绑定操作过程是：采用Telnet命令或Console口连接交换机，进入特权模式；输入config，进入全局配置模式；输入绑定命令：arp0010.5CAD.72E3arpa；至此，即可完成绑定。绑定的解除，在全局配置模式下输入：noarp即可。5.2.5防止IP地址盗用2.使用802.1x的安全接入与Radius认证（1）采用IP和账号绑定，防止静态IP冲突

用户进行802.1x认证时，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用非正确账号密码试图通过认证时，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后，再更改IP时，Radius客户端软件能够检测到IP的更改，即刻剔除用户下线，从而不会造成IP冲突。（2）采用客户IP属性校验，防止动态IP冲突

用户进行802.1X认证前不用动态获得IP，而是静态指定。认证前用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用非正确账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。常用的认证计费技术/方式PPPoE+RadiusWEBPortal+Radius802.1X+RadiusPPPoE认证计费技术Internet核心三层交换机PPPoE的BAS设备二层的楼栋交换机PPPoE的客户端软件Radius服务器瓶颈！！DHCP+Web认证计费技术Internet核心交换机WebPortal的BAS设备Radius服务器普通的接入交换机用户瓶颈！！802.1X认证计费技术802.1X交换机认证报文流业务数据流InternetRadius服务器核心交换机汇聚交换机高效！！汇聚交换机某公司总部和分公司之间通过PPP链路连接，为了提高接入网络的安全性，公司要求各分公司通过PPP链路接入公司总部时都要进行认证，为了不影响路由器的性能，考虑通过RADIUS服务器进行AAA认证。某企业网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。某企业网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。网络管理员考虑在分布层部署802.1x，安全网络接入。5.3操作系统安全设置与管理

操作系统是Web服务器的基础，虽然操作系统本身在不断完善，对攻击的抵抗能力日益提高，但是要提供完整的系统安全保证，仍然有许多安全配置和管理工作要做。

5.3.1系统服务包和安全补丁微软提供的安全补丁有两类：服务包（ServicePack）和热补丁（Hotfixes）。服务包已经通过回归测试，能够保证安全安装。每一个Windows的服务包都包含着在此之前所有的安全补丁。微软公司建议用户及时安装服务包的最新版。安装服务包时，应仔细阅读其自带的Readme文件并查找已经发现的问题，最好先安装一个测试系统，进行试验性安装。安全热补丁的发布更及时，只是没有经过回归测试。

在安装之前，应仔细评价每一个补丁，以确定是否应立即安装还是等待更完整的测试之后再使用。在Web服务器上正式使用热补丁之前，最好在测试系统上对其进行测试。

安全补丁下载WindowsUpdate自动更新服务Windows自动更新是Windows的一项功能，当适用于您的计算机的重要更新发布时，它会及时提醒您下载和安装。使用自动更新可以在第一时间更新您的操作系统，修复系统漏洞，保护您的计算机安全。WindowsUpdate自动更新服务WindowsUpdate自动更新服务一、选择“开始”，“运行”，输入gpedit.msc，打开组策略窗口。WindowsUpdate自动更新服务二、选择“管理模板”，然后从菜单中选择“操作”，“添加/删除模板”。WindowsUpdate自动更新服务三、在“添加/删除模板”窗口中选择“添加”。WindowsUpdate自动更新服务四、在“策略模板”中选择“wuau.adm”，并选择“打开”。WindowsUpdate自动更新服务五、选择“关闭”，关闭“添加/删除模板”窗口。WindowsUpdate自动更新服务六、选择“计算机配置”->“管理模板”->“Windows组件”->“WindowsUpdate”，并选择“配置自动更新”。WindowsUpdate自动更新服务七、在“配置自动更新”的属性窗口中，选择“启用”，并选择“确定”。WindowsUpdate自动更新服务八、在“指定IntranetMicrosoft更新服务器位置”的属性窗口中，选择“启用”，并在“设置检测更新的Intranet更新服务：”框中输入“http://服务器域名或IP地址”，在“设置Intranet统计服务器：”框中输入“http://服务器域名或IP地址”，并选择确定。九、关闭组策略窗口。注意：一般运行完更新脚本后更新并不会立刻开始，需要等待一段时间(30min以内)，请放心，您的电脑一旦发现有新的更新存在会立刻自动给出下载安装的提示以及各种更新的详细说明(屏幕右下角会冒出来一个图标)。以下系统直接支持自动更新：MicrosoftWindows2000SP2或更高版本MicrosoftWindowsXPSP2或更高版本MicrosoftWindowsServer(tm)2003使用此更新同微软的在线升级并无冲突，您仍然可以随时访问来进行在线升级。WindowsUpdate自动更新服务5.3.2限制用户权限-1禁止或删除不必要的账户（如Guest）设置增强的密码策略·密码长度至少9个字符。·设置一个与系统或网络相适应的最短密码存留期（典型的为1～7天）。·设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天）。·设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。5.3.2限制用户权限-2设置账户锁定策略

（1）复位账户锁定计数器。用来设置连续尝试的时限。（2）账户锁定时间。用于定义账户被锁定之后，保持锁定状态的时间。（3）账户锁定阈阀值。用于设置允许用户连续尝试登录的次数。

5.3.2限制用户权限-3加强管理员账户的安全性（1）将Administrator重命名，改为一个不易猜测的名字。（2）为Administrator账户设置一个复杂密码，由多种字符类型（字母、数字和标点符号等）构成，密码长度不能少于9个字符。（3）建立一个伪账户，其名字虽然是Administrator，但是没有任何权限。定期审查事件日志，查找对该账户的攻击企图。（4）使用Passprop.exe工具设置管理员账户的锁定阀值。（5）除管理员账户外，有必要再增加一个属于管理员组（Administrators）的账户，作为备用账户。Web服务器的用户账户尽可能少严格控制账户特权

可使用本地安全策略（或域安全策略）管理器来设置用户权限指派，检查、授予或删除用户账户特权、组成员以及组特权。5.3.2限制用户权限-4

5.3.3加固文件系统的安全确保使用NTFS文件系统

安装Windows2000服务器时，最好将硬盘的所有分区设置为NTFS分区，而不要先使用FAT分区，再转换为NTFS分区。Web服务器软件应该安装在NTFS分区上。设置NTFS权限保护文件和目录

要使用NTFS权限来保护目录或文件，必须具备两个条件。①要设置权限的目录或文件必须位于NTFS分区中。②对于要授予权限的用户或用户组，应设立有效的Windows账户。

禁用NTFS的8.3文件名生成

5.3.4删除或禁用不必要的组件和服务禁止或删除不必要的系统服务

①ClipBookSewer。该服务允许通过网络取得系统剪贴板内容的访问权。该服务很容易被非法滥用，应禁止这项服务。②ComputerBrowser。该服务会引起网络性能的下降以及名字解析的问题。对于Web服务器来说没有必要使用该服务，可以考虑禁止。③NetLogon。用于网络认证。对于Web服务器来说没有必要，可以考虑禁止。④NetworkDDEandDDEDSDM。如果不需要动态数据交换，应禁止该项服务。⑤RemoteRegistorService。该服务允许进行远程注册表操作，应禁止该项服务。⑥RoutingandRemoteAccessService。用于支持远程访问及路由功能。对于Web服务器可考虑禁止该项服务。⑦Schedule。运行计划作业所需的服务。如果不用高度任务，应禁止该服务。⑧Server。用于将本系统的资源共享。对于Web服务器来说，不应当提供文件及打印共享，应禁止该服务。⑨ElephonyServer。用于支持RAS。如果不使用RAS，应禁止该服务。⑩TimeService。进行时钟同步的服务，可以将本地时钟校准成选定的某个远程主机上的当前时钟。如果不需要时钟同步，可以禁止该服务。⑾UPS。用于支持不间断电源系统。如果服务器不监控UPS，则禁止该服务。⑿WorkStation。用于访问其他Windows2000系统的共享资源。如果服务器不需要访问其他Windows2000系统的共享资源，可考虑禁止该服务。

禁用某项系统服务操作：在“计算机管理”控制台中打开“服务”项目，停止某项系统服务，并更改启动类型，最好设置为“已禁用”。删除某组件操作：

要彻底清除某些服务，可通过删除Windows组件的方式来实现。从控制面板中选择“添加/删除程序”→“添加/删除Windows组件”，启动Windows组件向导来删除某些组件

禁止或删除不必要的网络协议

Web服务器系统只保留TCP/IP协议，删除NetBEUI、IPX/SPX协议。卸载“Microsoft网络的文件和打印机共享”。从“网络和拨号连接”文件夹中打开任一连接的属性设置对话框，鼠标单击“卸载”按钮删除该组件。

卸载“文件和打印机共享”禁用TCP/IP上的NetBIOS尽可能减少不必要的应用程序如果不是绝对需要，就应该避免在服务器上安装应用程序。例如，不要安装E-mail客户端、Office产品及工具；或者对于服务器正常运行并不必需的工具。如果已经计划用服务器提供Web服务，那么不必为服务器添加外部应用程序。然而，当配置Web服务器以及开发Web站点时，为了实现其功能，可能会为其添加必要的工具。

删除不必要的OS/2和POSIX子系统OS/2和POSIX子系统分别支持为OS/2和POSIX开发的应用程序。在安装Windows2000的同时这些子系统也会被安装，应删除这些子系统。操作系统的任何部分都存在弱点，可能被攻击，删除这些额外的部分可以堵住可能出现的漏洞。

5.3.5网络共享控制Web服务是通过HTTP或FTP而不是文件共享来进行文件访问。默认情况下，Windows2000提供不少网络共享资源，这对局域网内部的网络管理和网络通信很方便；但对Web服务器系统却是一个重大的安全隐患。应该删除掉所有不必要的文件共享，以避免造成重要信息的泄漏。应该取消默认隐藏的管理性共享（如C＄、D＄等），其办法是修改注册表。在注册表键HKEY

LOCAL

MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下面增加一个键值。对于Server版，添加键值“AutoShareServer”，类型为“REG

DWORD”，值为“0”。

保护注册表系统注册表存储了关于系统的重要数据，这些数据关系到系统正常运行和安全。必须有效地保护注册表，防止攻击者非法存取和修改注册表，导致的系统崩溃或重要信息被窃取。注册表安全设置（1）阻止SYN泛洪攻击（2）禁止空连接访问（3）禁止Internet打印（4）禁止匿名登录5.3.6保护注册表及安全设置5.3.7日志和审核对于系统安全来说，应当启用日志和审核功能，以记录攻击者入侵安全事件，便于管理员审查和跟踪。Windows2000的安全日志可以记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录事件。例如，如果已启用登录审核，登录系统的尝试将记录在安全日志里。设置审核策略定义审核的事项

安全事件查看

对审核结果，要通过事件查看器来查看。打开事件查看器窗口，鼠标双击大目录树中的“安全日志”，详细信息窗格中显示安全日志，如下图所示。

5.3.8文件系统加密EPS在Windows2000中可通过一个高级文件属性使得对文档加密有效。要加密一个文件夹的内容，在Windows资源管理器中定位到该文件夹，鼠标右键单击文件夹，鼠标左键单击“属性”打开“属性”窗口，如左图所示。

加密文件或文件夹窗口

5.3.9系统防病毒策略与案例系统防病毒策略病毒是系统中最常见的安全威胁，提供有效的病毒防范措施是系统安全的一项重要任务。对于Web服务器来说，安装防病毒软件并对病毒库进行及时更新显然是非常必要的。在为Web服务器选择病毒解决方案时，应考虑以下几个方面。①尽可能选择服务器专用版本的防病毒软件，如瑞星杀毒软件（网络）服务器版。②注意网络病毒的实时预防和查杀功能。③考虑是否提供对软盘启动后NTFS分区病毒的查杀功能，这样可以解决因系统恶性病毒而导致系统不能正常启动的问题。应用案例-分布式病毒防御系统

5.5保护网络边界网络边界防火墙和路由器应用使用网络DMZ构建入侵检测系统路由器认证技术及应用

防火墙什么是防火墙防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机。简单的防火墙可以由Router，3LayerSwitch的ACL（accesscontrollist）来充当，也可以用一台主机，甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。防火墙的功能1、过滤掉不安全服务和非法用户2、控制对特殊站点的访问3、提供监视Internet安全和预警的方便端点防火墙的分类包过滤防火墙代理服务防火墙(应用级网关)状态检测防火墙包过滤防火墙包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感知——也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。它的不足之处也显而易见，包过滤防火墙配置困难，且无法满足各种安全要求，缺少审计和报警机制。包过滤防火墙的优缺点应用代理型防火墙（ApplicationProxy）工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。2.应用代理型状态检测防火墙是在包过滤防火墙的基础上，采取抽取相关数据的方法，既检查应用层协议信息，也监控并且维护每一个连接的状态信息。状态检测防火墙将每个数据包看成是一个独立单元的同时，也考虑前后报文的历史关联性，动态地决定是否允许通过防火墙。3.状态检测型状态检测防火墙具有高效率、高安全性、可伸缩，易扩展、应用范围广的特点。状态检测防火墙的特点防火墙在网络中的位置

1.安装防火墙以前的网络

2.安装防火墙后的网络

DMZ(demilitarizedzone，也称非军事区)是一个非安全系统与安全系统之间的缓冲区。它的设立是为了解决安装防火墙后，外部网络不能访问内部网络服务器的问题。DMZ位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域，更加有效地保护了内部网络。3.DMZ区防火墙的应用环境一般情况下防火墙网络可划分为三个不同级别的安全区域：

内部网络：这是防火墙要保护的对象，包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域.

外部网络：这是防火墙要防护的对象，包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域.

DMZ（非军事区）：它是从企业内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等，它们都是为互联网提供某种信息服务。应用一：控制来自互联网对内部网络的访问应用二：控制第三方网络（子网）访问内部网络应用三控制内部网络不同部门之间的访问应用四：控制对服务器中心的网络访问防火墙不能做什么1、防火墙可以阻断攻击，但不能消灭攻击源。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。防火墙不能做什么防火墙不能抵抗最新的未设置策略的攻击漏洞如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了你的网络，那么防火墙也无能为力。防火墙不能做什么防火墙对服务器合法开放的端口的攻击大多无法阻止。某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。防火墙不能做什么防火墙对待内部主动发起连接的攻击一般无法阻止防火墙内部各主机间的攻击行为，防火墙只有如旁观者一样冷视而爱莫能助。防火墙不能做什么防火墙本身也会出现问题和受到攻击防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。防火墙不能做什么防火墙不处理病毒在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。总结防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。5.5.3ACL的作用与分类ACL概貌ACL配置扩展ACLACL应用什么是ACL?ACL是针对路由器处理数据报转发的一组规则，路由器利用这组规则来决定数据报允许转发还是拒绝转发如果不设置ACL路由器将转发网络链路上所有数据报，当网络管理设置了ACL以后可以决定哪些数据报可以转发那些不可以可以利用下列参数允许或拒绝发送数据报：源地址目的地址上层协议(例如：TCP&UDP端口号)ACL可以应用于该路由器上所有的可路由协议，对于一个接口上的不同网络协议需要配置不同的ACL使用ACL检测数据报为了决定是转发还是拒绝数据报，路由器按照ACL中各条语句的顺序来依次匹配该数据报当数据报与一条语句的条件匹配了，则将忽略ACL中的剩余所有语句的匹配处理，该数据报将按照当前语句的设定来进行转发或拒绝转发的处理在ACL的最后都有一条缺省的“denyany”语句如果ACL中的所有显式语句没有匹配上，那么将匹配这条缺省的语句ACL可以实时的创建，即实时有效的；因此不能单独修改其中的任何一条或几条，只能全部重写因此，不要在路由器上直接编写一个大型的ACL，最好使用文字编辑器编写好整个ACL后传送到路由器上，传送的方法有多种：TFTP、HyperTerm软件的“PastetoHost”功能路由器如何使用ACL（出站）检查数据报是否可以被路由，可路由地将在路由表中查询路由检查出站接口的ACL如果没有ACL，将数据报交换到出站的接口如果有ACL，按照ACL语句的次序检测数据报直至有了匹配条件，按照匹配条件的语句对数据报进行数据报的允许转发或拒绝转发如果没有任何语句匹配，将怎样？——使用缺省的“denyany”(拒绝所有)语句出站标准ACL处理流程出站数据报进行路由表的查询接口有ACL?源地址匹配？列表中的下一项更多的项目？执行条件允许Permit拒绝Deny否否无是是有向源站发送ICMP信息转发数据报在全局配置模式下按序输入ACL语句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out两个基本的步骤（标准ACL）access-list-number参数ACL有多种类型，access-list-number与ACL的类型有关下表显示了主要的一些ACL类型与access-list-number的关系ACL类型access-list-number标准IP1to99扩展IP100to199AppleTalk600to699标准IPX800to899扩展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}permit/deny参数在输入了access-list命令并选择了正确的

access-list-number后，需要使用permit或

deny参数来选择希望路由器采取的动作PermitDeny向源站发送ICMP消息转发数据报Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}{test-conditions}参数在ACL的{testconditions}部分，需要根据存取列表的不同输入不同的参数使用最多的是希望控制的IP地址和通配符掩码IP地址可以是子网、一组地址或单一节点地址路由器使用通配符掩码来决定检查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩码通配符掩码通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的0二进制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩码)通配符掩码之后若干张幻灯片中将练习处理通配符掩码，类似于子网掩码，这需要一段时间掌握计算表示下列网络中的所有节点的通配符掩码：答案：55这个通配符掩码与C类地址的子网掩码正好相反注意：针对整个网络或子网中所有节点的通配符掩码一般都是这样的通配符掩码练习计算表示下列子网中所有节点的通配符掩码：224答案是：211与24正好相反二进制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)为了证明通配符掩码的工作，请看.32子网中的节点地址——511000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩码通配符掩码练习在下面的例子中，蓝色的位是必须匹配检查的位11000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩码必须牢记：通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位在本例中，根据通配符掩码中为0的位，比较数据报的源地址和控制的IP地址中相关的各个位，当每位都相同时，说明两者匹配针对掩码为92的4子网的控制IP地址和通配符掩码?答案：43通配符掩码练习针对掩码为的子网的控制IP地址和通配符掩码?答案：55针对掩码为的子网的控制IP地址和通配符掩码?答案：55针对掩码为的子网的控制IP地址和通配符掩码?答案：55通配符掩码练习计算控制的IP地址和通配符掩码是比较复杂的，尤其是控制网络中的一部分节点时为了控制网络中一部分节点往往需要在二进制方式下进行计算例如：学生使用到27地址范围，教师使用28到55地址范围。这些地址处在相同的网络中/24怎样来计算？控制一段地址范围内的节点对于学生使用的地址范围首先，以二进制方式写出第一个和最后一个节点地址。由于前三个8位组是相同的，所以可以忽略它们，在通配符掩码中相应的位必须为“0”第一个地址：00000000最后一个地址：01111111其次，查找前面的两者相同的位(下图的蓝色部分)0000000001111111这些相同的位将与前面的网络地址部分(192.5.5)一样进行匹配检验例子：地址区域到.127和.128到.255控制一段地址范围内的节点第三，计算剩余节点地址部分的十进制值(127)最后，决定控制的IP地址和通配符掩码控制的IP地址可以使用所控制范围内的任何一个节点地址，但约定俗成的使用所控制范围的第一个节点地址相对于上述相同的位在通配符掩码中为“0”27对于教师部分地址：28(10000000)到55(11111111)答案：2827请思考两者的不同例子：地址区域到.127和.128到.255控制一段地址范围内的节点控制网络/24中的所有偶数地址的控制IP地址和通配符掩码？答案：54控制网络/24中的所有奇数地址的控制IP地址和通配符掩码？答案：54控制一段地址范围内的节点由于ACL末尾都有一个隐含的“denyany”语句，需要在ACL前面部分写入其他“允许”的语句使用上面的例子，如果不允许学生访问而其他的访问都允许，需要如下两条语句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一条语句通常用来防止由于隐含语句使得所有网络功能失效，为了方便输入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令众多情况下，网络管理员需要在ACL处理单独节点的情况，可以使用两种命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令标准ACL不处理目的地相关参数，因此，标准ACL应该放置在最接近目的地的地点请参考下图来考虑上述放置地点的原因，如果将语句“deny55”放置在Lab-A路由器的E0接口上时，网络中的数据通讯情况这样所有网络向外的通讯数据全部被拒绝标准ACL的正确放置位置扩展ACL的编号为100–199，扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议，例如：icmp、rip和igrpTCP/IP协议族中的上层协议可以使用名称来表示上层协议，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)来处理部分协议例如：希望允许除了http之外的所有通讯，其余语句是permitipanyanyneg80扩展ACL概貌在全局配置模式下逐条输入ACL语句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中将接口划分到各个ACL中(与标准ACL的语法一样)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out两个步骤（扩展ACL）access-list-number

从100到199中选择一个{protocol|protocol-number}

对于CCNA，仅仅需要了解ip和tcp——实际上有更多的参数选项{sourcesource-wildcard}与标准ACL相同{destinationdestination-wildcard}与标准ACL相同，但是是指定传输的目的[protocol-specificoptions]本参数用来指定需要过滤的协议扩展的参数请复习TCP和UDP的端口号也可以使用名称来代替端口号，例如：使用telnet来代替端口号23端口号协议名称21FTP23Telnet25SMTP53DNS6980TFTPWWW端口号由于扩展ACL可以控制目的地地址，所以应该放置在尽量接近数据发送源放置扩展ACL的正确位置