局域网的安全与管理精讲课件.ppt

2023/3/30,学习目标：了解网络威胁与对策，服务器威胁与对策，802.1x+RADIUS的应用，以及几种认证方式比较和DMZ的概念。基本掌握802.1x协议及工作机制，基于RADIUS的认证计费，防止IP地址盗用的技术，网络防病毒技术。基本掌握路由器+防火墙保护网络边界的方法，标准访问列表和扩展访问列表的应用。掌握Windows 2003 Server操作系统安全加固的技术，Web服务器安全设置技术。,第五章局域网安全设置与管理,2023/3/30,5.1 网络安全威胁与对策,网络的组成元素,网络节点,网络节点,网络节点,网络节点,网络节点,网络终端设备,网络终端设备,元素说明：该元素由网络交换机、路由器、防火墙等网络传输设备组成，进行用户网络数据的交换处理。,元素说明：该元素由网络服务器，用户网络客户端等网络终端设备组成。,网络传输,网络终端设备,网络终端设备,现有网络中存在的问题导致这些问题的原因是什么现有网络安全体制网络安全的演化病毒的演化趋势木马程序、黑客应用安全网络安全保护需求网络安全保护对策,2023/3/30,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄密,DOS攻击,不良信息,终端安全,信息丢失,未授权接入,非法外联监控,安全事件处理,IT 系统面临的问题,2023/3/30,导致这些问题的原因是什么？,病毒泛滥：计算机病毒的感染率比例非常高，高达89.73%软件漏洞：软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为5.8天黑客攻击：世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。移动用户越来越多：网络用户往往跨越多个工作区域,以上相关数据来自Symantec。,2023/3/30,现有网络安全防御体制,现有网络安全体制,IDS68%,杀毒软件99%,防火墙98%,ACL（规则控制）71%,*2004 CSI/FBI Computer Crime and Security Survey资料来源：Computer Security Institute,2023/3/30,网络安全的演化,第一代引导性病毒,第二代宏病毒DOS电子邮件有限的黑客攻击,第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击,下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫,波及全球的网络基础架构地区网络多个网络单个网络单台计算机,周,天,分钟,秒,影响的目标和范围,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,2023/3/30,病毒的演化趋势,攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战,IDC,2004,邮件/互联网,Code RedNimda,funloveKlez,2001,2002,邮件,Melissa,1999,2000,LoveLetter,1969,物理介质,Brain,1986,1998,CIH,SQL Slammer,2003,2004,冲击波震荡波,2023/3/30,Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒，可以感染360K软盘的病毒，该病毒会填充满软盘上未用的空间，而导致它不能再被使用。CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS，导致主板损坏。Melissa是最早通过电子邮件传播的病毒之一，当用户打开一封电子邮件的附件，病毒会自动发送到用户通讯簿中的前50个地址，因此这个病毒在数小时之内传遍全球。,2023/3/30,Love bug也通过电子邮件附近传播，它利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内，这个小小的计算机程序征服了全世界范围之内的计算机系统。“红色代码”（2001年）被认为是史上最昂贵的计算机病毒之一，这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。,2023/3/30,“冲击波”（2003年）冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃“震荡波”（2004年）震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重启。“熊猫烧香”（2007年）熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用,2023/3/30,“木马下载器”(2009年)本年度的新病毒,中毒后会产生10002000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首)“鬼影病毒”（2010年）该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。“极虎病毒”（2010年）该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况：计算机进程中莫名其妙的有ping.exe 和rar.exe进程，并且cpu占用很高，风扇转的很响很频繁（手提电脑），并且这两个进程无法结束。极虎病毒最大的危害是造成系统文件被篡改，无法使用杀毒软件进行清理，一旦清理，系统将无法打开和正常运行，同时基于计算机和网络的帐户信息可能会被盗，如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等。,2023/3/30,病毒发展史,1990,1991,1994,1996,1998,1999,2000,2001,2002,2003,主流病毒形态 木马、蠕虫,2023/3/30,2023/3/30,Internet,攻击模式,WORM_SASSER.A,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,2023/3/30,网络病毒的特征,通过攻击操作系统或应用软件的已知安全漏洞来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作，可能会引起严重的网络负载如果攻击是属于常规的应用，例如SQL,IIS等就可能穿过防火墙,2023/3/30,木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作中发现,越来越多的木马程序植入到我国重要信息系统中,根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题.中国地区危害最为严重的十种木马病毒，分别是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马 系统漏洞就像给了木马病毒一把钥匙，使它能够很轻易在电脑中埋伏下来，而木马病毒又会欺骗用户伪装成“好人”，达到其偷取隐私信息的险恶目的,木马程序,2023/3/30,木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌 根据木马病毒的特点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。,木马程序,2023/3/30,黑客攻击愈加猖獗,据国家计算机应急处理协调中心（CNCERT/CC）统计：2003年，我国互联网内共有272万台主机受到攻击，造成的损失数以亿计；,攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流,2023/3/30,垃圾邮件成为公害,据中国互联网中心统计，现在，我国用户平均每周受到的垃圾邮件数超过邮件总数的60%，部分企业每年为此投入上百万元的设备和人力，垃圾邮件泛滥造成严重后果它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容,2023/3/30,应用安全,设计阶段开发阶段实施阶段使用阶段管理制度监督机制使用方法,在应用安全问题中,在Windows平台上利用Windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关,2023/3/30,移动用户D,广域网,如何进行信息系统的等级化保护？,各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略,2023/3/30,完成安全设施的重新部署或响应,如何从全局角度对安全状况分析、评估与管理,获得全局安全视图,制定安全策略指导或自动,Internet,p,用户如何管理现有安全资源并执行策略机制？,补丁服务器,p,打补丁了吗？,更新补丁了吗？,p,p,p,p,p,p,p,p,p,p,p,困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起,2023/3/30,Internet,用户如何防止内部信息的泄露？,未经安全检查与过滤，违规接入内部网络,私自拨号上网,2023/3/30,Internet,用户如何实现积极防御和综合防范？,怎样定位病毒源或者攻击源，怎样实时监控病毒 与攻击,2023/3/30,我,们,怎,么,办,?,2023/3/30,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,教学网段1,网站,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,Internet,保户网络与基础设施的安全,1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性7、可管理性,保护边界与外部连接,边界进出数据流的有效控制与监视,保护计算环境,操作系统数据库系统终端,保护应用业务系统,办公自动化系统其他应用系统.,网络基础设施保护需求,教学网段5,内部办公N,2023/3/30,Intranet,边界处的访问控制,边界处的病毒与恶意代码防护,边界内部的网络扫描与拨号监控,边界处的网络入侵检测,边界处的认证与授权,网络边界与外部连接的保护需求,边界处的垃圾邮件和内容过滤,2023/3/30,计算环境的保护需求,基于主机的入侵检测,基于主机的恶意代码和病毒检测,主机脆弱性扫描,主机系统加固,主机文件完整性检查,主机用户认证与授权,主机数据存储安全,主机访问控制,看不懂,进不来,改不了,跑不了,可审查,信息安全的目的,打不垮,2023/3/30,采取的解决办法一,对于非法访问及攻击类-在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统,2023/3/30,领导网段,Internet,防火墙、IPSEC VPN、SSL VPN、内容过滤等,防DOS/DDOS设备,个人安全套件,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2023/3/30,采取的解决办法二,对于病毒、蠕虫、木马类-实施全网络防病毒系统对于垃圾邮件类-在网关处实施防垃圾邮件系统,2023/3/30,Internet,邮件过滤网关、反垃圾邮件系统,在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2023/3/30,采取的解决办法三,对于内部信息泄露、非法外联、内部攻击类-在各网络中安装IDS系统-在系统中安装安全隐患扫描系统-在系统中安装事件分析响应系统-在主机中安装资源管理系统-在主机中安装防火墙系统-在重要主机中安装内容过滤系统-在重要主机中安装VPN系统,2023/3/30,人事商务网段,Internet,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2023/3/30,采取的解决办法四,对于系统统一管理、信息分析、事件分析响应-在网络中配置管理系统-在网络中配置信息审计系统-在网络中配置日志审计系统-在网络中补丁分发系统-在网络中配置安全管理中心,销售体系网段N,Internet,安全审计中心,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2023/3/30,Internet,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,安服网段,教学网段4,网管网段,校园网服务器群,教学网段5,2023/3/30,5.2 网络安全接入与认证,AAARADIUS802.1x,2023/3/30,基本概念,AAA Authentication、Authorization、Accounting验证、授权、记费 PAPPassword Authentication Protocol 密码验证协议 CHAP Challenge-Handshake Authentication Protocol盘问握手验证协议 NASNetwork Access Server 网络接入服务器 RADIUS Remote Authentication Dial In User Service远程验证拨入用户服务（远程拨入用户验证服务）,2023/3/30,AAA介绍,AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架AAA 是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。AAA主要解决的是网络安全访问控制的问题相对与其他的本地身份认证、端口安全等安全策略，AAA能够提供更高等级的安全保护。,2023/3/30,AAA介绍-cont.,Authentication：认证模块可以验证用户是否可获得访问权。Authorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。Accounting：计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。,2023/3/30,AAA基本模型,AAA基本模型中分为用户、NAS、认证服务器三个部分用户向NAS设备发起连接请求NAS设备将用户的请求转发给认证服务器认证服务器返回认证结果信息给NAS设备NAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作,2023/3/30,RADIUS(Remote Authentication Dial In User Service 远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议,2023/3/30,RADIUS协议特点,客户/服务器模型：网络接入设备（NAS）通常作为RADIUS服务器的客户端。安全性：RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密，该密钥不会在网络上传输。可扩展的协议设计：RADIUS使用属性-长度-值（AVP，Attribute-Length-Value）数据封装格式，用户可以自定义其他的私有属性，扩展RADIUS的应用。灵活的鉴别机制：RADIUS服务器支持多种方式对用户进行认证，支持PAP、CHAP、UNIX login等多种认证方式。,2023/3/30,RADIUS:BasicsAuthentication Data Flow,ISP User Database,ISP Modem Pool,User dials modem pool and establishes connection,UserID:bobPassword:ge55gep,UserID:bobPassword:ge55gepNAS-ID:207.12.4.1,Select UserID=bob,Bobpassword=ge55gepTimeout=3600other attributes,Access-AcceptUser-Name=bobother attributes,Framed-Address=217.213.21.5,The Internet,ISP RADIUS Server,Internet PPP connection established,2023/3/30,RADIUS:BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,Acct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5.,Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5.,The Internet,ISP RADIUS Server,Internet PPP connection established,Acknowledgement,The Accounting“Start”Record,2023/3/30,RADIUS:BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,The Internet,ISP RADIUS Server,Internet PPP connection established,Acct-Status-Type=StopUser-Name=bobAcct-Session-Time=1432.,Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432.,Acknowledgement,The Accounting“Stop”Record,User Disconnects,2023/3/30,验证,当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。,2023/3/30,本地（NAS）验证PAP方式：,PAP（Password Authentication Protocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。,2023/3/30,本地（NAS）验证CHAP方式,CHAP（Challenge Handshake Authentication Protocol）是盘问握手验证协议的简称，是我们使用的另一种认证协议。Secret Password=MD5（Chap ID+Password+challenge）,2023/3/30,本地（NAS）验证CHAP方式,当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地路由器的 host name）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Secret Password作比较，如果相同表明验证通过，如果不相同表明验证失败。Secret Password=MD5（Chap ID+Password+challenge）,2023/3/30,远端（Radius）验证PAP方式：,远端认证PAP,Secret password=Password XOR MD5（Challenge Key）(Challenge就是Radius报文中的Authenticator),我查我算我验,2023/3/30,远端（Radius）验证CHAP方式：,远端认证CHAP,Secret password=MD5（Chap ID+Password+challenge）,我查我算我验,2023/3/30,802.1x协议及工作机制,802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。,2023/3/30,802.1x协议包括三个重要部分：客户端请求系统（Supplicant System）认证系统（Authenticator System）认证服务器（Authentication Server System）,5.2.1 802.1x协议及工作机制,上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件发起802.1x协议的认证过程。,认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoE协议帧，保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通，用于传递网络信息。如果用户未通过认证，受控端口处于非导通状态，则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。,2023/3/30,5.2.3 基于802.1x的认证计费,（1）用户开始上网时，启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时，就会向请求者发送响应的包，要求用户输入登录用户名及口令。（2）客户端收到交换机的响应后，提供身份标识给认证服务器。由于此时客户端还未经过验证，因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器，进行认证。（3）如果认证通过，则认证系统的交换机的受控逻辑端口打开。（4）客户端软件发起DHCP请求，经认证交换机转发到DHCP Server。（5）DHCP Server为用户分配IP地址。,（6）DHCP Server分配的地址信息返回给认证系统的服务器，服务器记录用户的相关信息，如用户ID，MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。（7）当认证交换机检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。（8）当用户退出网络时间，可用鼠标点击客户端软件（在用户上网期间，该软件处于运行状态）的“退出”按钮。认证系统检测到该数据包后，会通知AAA（Authentication，Authorization，Accounting）服务器停止计费，并删除用户的相关信息（如MAC和IP地址），受控逻辑端口关闭。用户进入再认证状态。（9）如果上网的PC机异常死机，当验证设备检测不到PC机在线状态后，则认为用户已经下线，即向认证服务器发送终止计费的信息。,2023/3/30,5.2.5 防止IP地址盗用,1.使用ARP命令（1）使用操作系统的ARP命令进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP s 202.207.176.3 00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址202.207.176.3捆绑在一起。这样，就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后，地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的参数的功能如下：ARP-s-d-a-s：将相应的IP地址与物理地址的捆绑，如以上所举的例子。-d：删除相应的IP地址与物理地址的捆绑。-a：通过查询ARP协议表显示IP地址和对应物理地址的情况。,（2）使用交换机的ARP命令例如，Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定，一般采用静态绑定。其绑定操作过程是：采用Telnet命令或Console口连接交换机，进入特权模式；输入config，进入全局配置模式；输入绑定命令：arp 202.207.176.3 0010.5CAD.72E3 arpa；至此，即可完成绑定。绑定的解除，在全局配置模式下输入：no arp 202.207.176.3即可。,2023/3/30,5.2.5 防止IP地址盗用,2.使用802.1x的安全接入与Radius认证（1）采用IP和账号绑定，防止静态IP冲突 用户进行802.1x认证时，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用非正确账号密码试图通过认证时，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后，再更改IP时，Radius客户端软件能够检测到IP的更改，即刻剔除用户下线，从而不会造成IP冲突。,（2）采用客户IP属性校验，防止动态IP冲突 用户进行802.1X认证前不用动态获得IP，而是静态指定。认证前用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用非正确账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。,2023/3/30,常用的认证计费技术/方式,PPPoE+RadiusWEB Portal+Radius802.1X+Radius,2023/3/30,PPPoE认证计费技术,Internet,核心三层交换机,PPPoE的BAS设备,二层的楼栋交换机,PPPoE的客户端软件,Radius服务器,瓶颈！,2023/3/30,DHCP+Web认证计费技术,Internet,核心交换机,Web Portal的BAS设备,Radius服务器,普通的接入交换机,用户,瓶颈！,2023/3/30,802.1X认证计费技术,802.1X交换机,认证报文流,业务数据流,Internet,Radius服务器,核心交换机,汇聚交换机,高效！,汇聚交换机,2023/3/30,2023/3/30,某公司 总部和分公司之间通过PPP链路连接，为了提高接入网络的安全性，公司要求各分公司通过PPP链路接入公司总部时都要进行认证，为了不影响路由器的性能，考虑通过RADIUS服务器进行AAA认证。,2023/3/30,某企业 网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。,2023/3/30,某企业 网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。网络管理员考虑在分布层部署802.1x，安全网络接入。,2023/3/30,5.3 操作系统安全设置与管理,操作系统是Web服务器的基础，虽然操作系统本身在不断完善，对攻击的抵抗能力日益提高，但是要提供完整的系统安全保证，仍然有许多安全配置和管理工作要做。,2023/3/30,5.3.1系统服务包和安全补丁,微软提供的安全补丁有两类：服务包（Service Pack）和热补丁（Hot fixes）。服务包已经通过回归测试，能够保证安全安装。每一个Windows的服务包都包含着在此之前所有的安全补丁。微软公司建议用户及时安装服务包的最新版。安装服务包时，应仔细阅读其自带的Readme文件并查找已经发现的问题，最好先安装一个测试系统，进行试验性安装。安全热补丁的发布更及时，只是没有经过回归测试。在安装之前，应仔细评价每一个补丁，以确定是否应立即安装还是等待更完整的测试之后再使用。在Web服务器上正式使用热补丁之前，最好在测试系统上对其进行测试。,2023/3/30,安全补丁下载,2023/3/30,Windows Update自动更新服务,Windows 自动更新是 Windows 的一项功能，当适用于您的计算机的重要更新发布时，它会及时提醒您下载和安装。使用自动更新可以在第一时间更新您的操作系统，修复系统漏洞，保护您的计算机安全。,2023/3/30,Windows Update自动更新服务,2023/3/30,Windows Update自动更新服务,一、选择“开始”，“运行”，输入gpedit.msc，打开组策略窗口。,2023/3/30,Windows Update自动更新服务,二、选择“管理模板”，然后从菜单中选择“操作”，“添加/删除模板”。,2023/3/30,Windows Update自动更新服务,三、在“添加/删除模板”窗口中选择“添加”。,2023/3/30,Windows Update自动更新服务,四、在“策略模板”中选择“wuau.adm”，并选择“打开”。,2023/3/30,Windows Update自动更新服务,五、选择“关闭”，关闭“添加/删除模板”窗口。,2023/3/30,Windows Update自动更新服务,六、选择“计算机配置”-“管理模板”-“Windows 组件”-“Windows Update”，并选择“配置自动更新”。,2023/3/30,Windows Update自动更新服务,七、在“配置自动更新”的属性窗口中，选择“启用”，并选择“确定”。,2023/3/30,Windows Update自动更新服务,八、在“指定Intranet Microsoft更新服务器位置”的属性窗口中，选择“启用”，并在“设置检测更新的Intranet更新服务：”框中输入“http:/服务器域名或IP地址”，在“设置Intranet统计服务器：”框中输入“http:/服务器域名或IP地址”，并选择确定。九、关闭组策略窗口。,2023/3/30,注意：一般运行完更新脚本后更新并不会立刻开始，需要等待一段时间(30min以内)，请放心，您的电脑一旦发现有新的更新存在会立刻自动给出下载安装的提示以及各种更新的详细说明(屏幕右下角会冒出来一个图标)。以下系统直接支持自动更新：Microsoft Windows 2000 SP2 或更高版本 Microsoft Windows XP SP2 或更高版本 Microsoft Windows Server(tm)2003 使用此更新同微软的在线升级并无冲突，您仍然可以随时访问 http:/来进行在线升级。,Windows Update自动更新服务,2023/3/30,5.3.2 限制用户权限-1,禁止或删除不必要的账户（如Guest）设置增强的密码策略密码长度至少9个字符。设置一个与系统或网络相适应的最短密码存留期（典型的为17天）。设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天）。设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。,2023/3/30,5.3.2 限制用户权限-2,设置账户锁定策略,（1）复位账户锁定计数器。用来设置连续尝试的时限。（2）账户锁定时间。用于定义账户被锁定之后，保持锁定状态的时间。（3）账户锁定阈阀值。用于设置允许用户连续尝试登录的次数。,2023/3/30,5.3.2 限制用户权限-3,加强管理员账户的安全性（1）将Administrator重命名，改为一个不易猜测的名字。（2）为Administrator账户设置一个复杂密码，由多种字符类型（字母、数字和标点符号等）构成，密码长度不能少于9个字符。（3）建立一个伪账户，其名字虽然是Administrator，但是没有任何权限。定期审查事件日志，查找对该账户的攻击企图。（4）使用Passprop.exe工具设置管理员账户的锁定阀值。（5）除管理员账户外，有必要再增加一个属于管理员组（Administrators）的账户，作为备用账户。,2023/3/30,Web服务器的用户账户尽可能少严格控制账户特权 可使用本地安全策略（或域安全策略）管理器来设置用户权限指派，检查、授予或删除用户账户特权、组成员以及组特权。,5.3.2 限制用户权限-4,2023/3/30,5.3.3加固文件系统的安全,确保使用NTFS文件系统 安装Windows 2000服务器时，最好将硬盘的所有分区设置为NTFS分区，而不要先使用FAT分区，再转换为NTFS分区。Web服务器软件应该安装在NTFS分区上。设置NTFS权限保护文件和目录 要使用NTFS权限来保护目录或文件，必须具备两个条件。要设置权限的目录或文件必须位于NTFS分区中。对于要授予权限的用户或用户组，应设立有效的Windows账户。,禁用NTFS的8.3文件名生成,2023/3/30,5.3.4删除或禁用不必要的组件和服务,禁止或删除不必要的系统服务 ClipBookSewer。该服务允许通过网络取得系统剪贴板内容的访问权。该服务很容易被非法滥用，应禁止这项服务。Computer Browser。该服务会引起网络性能的下降以及名字解析的问题。对于Web服务器来说没有必要使用该服务，可以考虑禁止。Net Logon。用于网络认证。对于Web服务器来说没有必要，可以考虑禁止。Network DDE and DDE DSDM。如果不需要动态数据交换，应禁止该项服务。Remote Registor Service。该服务允许进行远程注册表操作，应禁止该项服务。Routing and Remote Access Service。用于支持远程访问及路由功能。对于Web服务器可考虑禁止该项服务。Schedule。运行计划作业所需的服务。如果不用高度任务，应禁止该服务。Server。用于将本系统的资源共享。对于Web服务器来说，不应当提供文件及打印共享，应禁止该服务。Elephony Server。用于支持RAS。如果不使用RAS，应禁止该服务。Time Service。进行时钟同步的服务，可以将本地时钟校准成选定的某个远程主机上的当前时钟。如果不需要时钟同步，可以禁止该服务。UPS。用于支持不间断电源系统。如果服务器不监控UPS，则禁止该服务。WorkStation。用于访问其他Windows 2000系统的共享资源。如果服务器不需要访问其他Windows 2000系统的共享资源，可考虑禁止该服务。,2023/3/30,禁用某项系统服务操作：,在“计算机管理”控制台中打开“服务”项目，停止某项系统服务，并更改启动类型，最好设置为“已禁用”