《网络系统安全运行与维护》课件项目三 任务二 加强Windows系统DHCP服务的安全防御

项目三Windows服务器系统安全运行与维护项目主要内容：任务一提高Windows系统活动目录服务的安全任务二加强Windows系统DHCP服务的安全防御任务三加强Windows系统IIS服务的安全防御任务四加强Windows系统DNS服务的安全防御任务提出

在小型网络中，可以对网络中的计算机通过静态配置IP地址使得计算机能够上网。但是随着网络规模的扩大，如果采用静态IP地址分配的方法，将增加网络管理的难度，而且会经常遇到IP地址冲突的情况。通过上一个项目的实施，我们已经将网络环境提升到域环境下，在域环境下网络的规模一般都是比较庞大的，因此，必须解决计算机上网的问题。DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）可以集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、网关地址、DNS服务器地址等信息，并能够提升地址的使用率。这就解决了网络中IP地址自动分配问题。为避免安装在网络中DHCP服务器遭到攻击，网络中需要保障DHCP服务器的安全。本任务需要完成的配置有：1．安装和配置DHCP服务在WindowsServer2008系统中安装DHCP服务，对于拥有大型网络的企业，可以实现对企业中计算机IP地址的统一管理。2．安全管理DHCP服务在DHCP服务器上实施安全管理策略，保护DHCP服务的安全，避免遭受网络攻击。任务分析1．安装和配置DHCP服务DHCP通过本地网络上的DHCP服务器中的IP地址数据库，为客户端动态指派IP地址。DHCP工作流程共分为4个阶段，分别是发现阶段、提供阶段、选择阶段和确认阶段。在发现阶段，DHCP客户端会以四个0为自己的源地址，广播DHCPdiscover数据包以发现DHCP服务器，之后服务器又会以广播数据包向客户端提供上网信息，整个过程中，客户端和服务器之间的交流都是通过发送广播数据包实现的。因此，客户端和服务器必须在同一网络，如果网络中没有DHCP服务器，就必须通过使用DHCP中继帮助客户端获取上网信息。DHCP是基于BOOTP发展起来的，它使用与BOOTP相同的UDP传输协议和端口号。从DHCP客户端到达DHCP服务器的报文使用目的端口67，从DHCP服务器到达DHCP客户端的报文使用目的端口68。2．安全管理DHCP服务DHCP服务器通过开启DHCPSnooping，对DHCP报文进行侦听。DHCPSnooping（DHCP监听)是交换机的一种安全特性，它提供了以下几种措施保护DHCP过程的安全可靠。（1）通过过滤网络中接入的伪DHCP(非法的、不可信的）服务器发送的DHCP报文来增强网络的安全性。（2）可以检查DHCP客户端发送的DHCP报文的合法性，防止DHCPDoS攻击。（3）通过建立和维护DHCPSnooping绑定表，实现对可信任DHCP信息的过滤。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。（4）当DHCP服务器开启了DHCPSnooping后，会对DHCP报文进行侦听，从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。（5）DHCPSnooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCP服务器的屏蔽作用，确保客户端从合法的DHCP服务器获取IP地址。除了DHCP协议自身的安全防范措施，本任务还将通过启用DHCP服务审核、为DHCP服务指定专门的管理用户等方法保障DHCP服务的安全。任务实施1．安装和配置DHCP服务操作步骤如下：步骤1：实验准备阶段，根据项目一中任务一知识点，在VMwareWorkstation中部署两台WindowsServer2008R2虚拟机Server和PC，并将两台虚拟机实现网络连通。Server和PC的IP地址规划如表所示。设备名称设备角色操作系统IP地址ServerDHCP服务器WindowsServer2008/24PCDHCP客户端WindowsServer2008自动获取IP步骤2：在Server上安装DHCP服务依次选择“开始”-“管理工具”-“服务器管理器”，打开服务器管理器窗口，如图1所示。在服务器管理器窗口，选择“角色”-“添加角色”，进入添加角色向导，如图2所示。图1图2单击“下一步”按钮，在服务器角色选项中选择“DHCP服务器”，如图3所示。依次单击“下一步”按钮，在“添加或编辑DHCP作用域”对话框中，点击“添加”按钮，填写添加作用域的信息，如图4所示。图3图4依次单击“下一步”按钮，在“确认安装选择”对话框中确认安装信息，信息无误后点击“安装”按钮即可开始安装DHCP服务器程序，如图5所示。点击“安装”按钮，完成DCHP服务器的安装。图5步骤3授权DHCP服务选择“管理工具”-“DHCP”，打开DHCP窗口，如图6所示。右键单击“DHCP”，在快捷菜单中选择“管理授权的服务器”，如图7所示。图6图7点击“授权”，在“授权DHCP服务器”对话框中填写要授权的DHCP服务器的名称或IP地址，如图8所示。单击“确定”按钮，确认授权信息，进行确定，如图9所示。图8图9

步骤4

创建DHCP作用域选择“管理工具”-“DHCP”，打开DHCP窗口，展开，右击左侧窗口中的IPv4节点，在弹出的快捷菜单中选择“新建作用域”命令，打开“新建作用域向导”对话框，如图10所示。单击“下一步”按钮，打开“作用域名”对话框，输入作用域名称，如图11所示。图10图11单击“下一步”按钮，输入IP地址范围，如图12所示。单击“下一步”按钮，进入添加排除地址界面，如果有需要排除的IP地址，可以在此处进行添加，如图13所示。图12图13单击“下一步”按钮，设置租约期限，如图14所示。单击“下一步”按钮，选择稍后配置DHCP选项，如图15所示。单击“下一步”-“完成”按钮，完成DHCP作用域的创建。图14图15步骤5

配置DHCP作用域在DHCP窗口，右击创建的作用域，在弹出的快捷菜单中选择“激活”命令，激活该作用域，如图16所示。在DHCP窗口，右击“作用域选项”选项，在弹出的快捷菜单中选择“配置选项”命令，打开“作用域选项”对话框，选中“003路由器”复选框，配置路由器作用域选项，输入网关的IP地址，单击“添加”按钮，如图17所示。图16图17选中“006DNS服务器”复选框，配置DNS服务器地址，如图18所示。单击“应用”-“确定”按钮，完成网关地址和DNS地址的设置。在DHCP窗口中，右击左侧窗口中的“保留”选项，在弹出的快捷菜单中选择“新建保留”命令，打开“新建保留”对话框，输入保留地址和MAC地址，如图19所示。图18图19步骤6在客户端上验证地址在PC机上，将IPv4属性设置为“自动获得IP地址”，如图20所示。为避免PC机接受VMwareWorkstation分配的IP地址，需在VMwareWorkstation工具栏中，单击“编辑”-“虚拟网络编辑器”，取消“使用本地DHCP服务将IP地址分配给虚拟机”选项，如图21所示。进行应用和确定。图20图21在PC机的命令提示符中输入ipconfig/all，可以看到PC机已经获取到了DHCP服务器上作用域中的第一个IP地址，并且配置了子网掩码、默认网关、DNS等信息，如图22所示。图222．安全管理DHCP服务步骤7在Server上添加DHCP管理用户为了加强对DHCP服务的管理，网络管理员要指定一个或若干个用户对DHCP服务进行管理。下面在操作系统中创建一个aaa用户，由aaa用户专门管理DHCP服务。在Server上打开ActiveDirectory用户和计算机窗口，右键单击“users”节点，在弹出的快捷菜单中选择“新建”-“用户”，输入用户信息和密码等，完成创建用户，如图23所示。图23在users列表中，右键单击aaa用户，在快捷菜单中选择“添加到组”，将aaa用户加入DHCPAdministrators管理组中，如图24所示，用户aaa便具有了管理DHCP服务的权限。图24步骤8在交换机上配置DHCPSnooping功能在实际的网络连接中，可以登录到交换机上，使用命令行来配置DHCPSnooping，对交换机进行如下配置：switch#configureterminalswitch(config)#ipdhcpsnoopingswitch(config)#interfacefastethernet0/2switch(config-if)#ipdhcpsnoopingtrustswit