1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,提升网络技术打造网络技能人才,本章内容,7.1 局域网安全分析与入侵检测,7.2 局域网安全策略与实施,7.3 防火墙技术,7.4 局域网防病毒技术,7.5 虚拟专用网
2、技术,7.6 课后小结与习题,第7章,局域网系统安全防范,局域网组建与维护,第1页,提升网络技术打造网络技能人才,【知识目标】,掌握网络存在安全威胁以及防范伎俩。,掌握网络防毒基本知识。,了解入侵检测系统基础知识。,掌握防火墙基本原理与经典应用技术。,了解漏洞扫描原理与常见漏洞扫描软件。,了解VPN详细应用。,第7章局域网系统安全防范,局域网组建与维护,第2页,提升网络技术打造网络技能人才,【技能目标】,能利用漏洞扫描工具检测系统漏洞,分析漏洞扫描结果,并制订对应修补办法。,能完成防火墙(硬件)以及网络防病毒软件布署设计。,能对服务器进行安全设置。,能建立配置VPN连接。,第7章局域网系统安全
3、防范,局域网组建与维护,第3页,提升网络技术打造网络技能人才,7.1 局域网安全分析与入侵检测,计算机网络不停发展已经使全球信息化成为人类发展大趋势,不过,因为计算机网络本身缺点+开放性+黑客攻击,所以网上信息安全和保密是一个至关主要问题。尤其是对于军用自动化指挥网络、国家安全系统和银行系统等传输敏感数据计算机网络系统而言,其网上信息安全和保密尤为主要。所以,网络安全办法应是能全方位,而且针对各种不一样威胁,只有这么才能确保网络信息保密性、完整性和可用性。,第7章局域网系统安全防范,局域网组建与维护,第4页,提升网络技术打造网络技能人才,7.1.1 网络安全管理与安全威胁学习目标:,网络安全含
4、义,网络安全是指网络系统硬件、软件及其系统中数据受到保护,不被偶然或者恶意攻击而遭到破坏、更改和泄露,而且网络系统连续可靠地正常运行。而实际上,网络安全是一门包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等各种学科综合性学科。,第7章局域网系统安全防范,局域网组建与维护,第5页,提升网络技术打造网络技能人才,第7章局域网系统安全防范,局域网组建与维护,网络安全模型,第6页,提升网络技术打造网络技能人才,2.网络安全威胁,第7章局域网系统安全防范,局域网组建与维护,第7页,提升网络技术打造网络技能人才,DDoS攻击过程,第7章局域网系统安全防范,局域网组建与维
5、护,第8页,提升网络技术打造网络技能人才,第7章局域网系统安全防范,局域网组建与维护,网络漏洞或系统漏洞攻击,第9页,提升网络技术打造网络技能人才,第7章局域网系统安全防范,局域网组建与维护,网络安全策略,(1)物理安全策略:物理安全策略目标是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。这种安全策略需要验证用户身份和使用权限、预防用户越权操作;确保计算机系统有一个良好电磁兼容工作环境;建立完备安全管理制度,预防非法进入计算机控制室和各种偷窃、破坏活动发生。,第10页,提升网络技术打造网络技能人才,第7章局域网系统安全防范,局域网组建与维护,(2)访问
6、控制策略:访问控制策略是网络安全防范和保护主要策略,包含入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制,以及防火墙控制等,主要任务是确保网络资源不被非法使用和非正常访问。它也是维护网络系统安全、保护网络资源主要伎俩。各种安全策略必须相互配合才能真正起到保护作用,但访问控制能够说是确保网络安全最主要关键策略之一。,第11页,提升网络技术打造网络技能人才,第7章局域网系统安全防范,局域网组建与维护,(3)信息加密策略:信息加密策略目标是保护网络中数据、文件、密码和控制信息,保护网上传输数据。网络加密惯用方法有链路加密、端点加
7、密和节点加密3种。链路加密目标是保护网络节点之间链路信息安全;端点加密目标是对源端用户到目标端用户数据提供保护;节点加密目标是对源节点到目标节点之间传输链路提供保护。信息加密过程是由形形色色加密算法来详细实施,它以很小代价提供很大安全保护。用户可依据网络情况酌情选择上述加密方式。,第12页,提升网络技术打造网络技能人才,第7章局域网系统安全防范,局域网组建与维护,(4)网络安全管理策略:在网络安全中,除了采取上述技术办法之外,加强网络安全管理,制订相关规章制度,对于确保网络安全可靠地运行将起到十分有效作用。网络安全管理策略包含:确定安全管理等级和安全管理范围;制订相关网络操作使用规程和人员出入
8、机房管理制度;制订网络系统维护制度和应急办法等。,第13页,提升网络技术打造网络技能人才,7.2.2 系统安全漏洞分析,1什么是漏洞,计算机系统是由若干描述实体配置当前状态所组成,这些状态可分为授权状态、非授权状态以及易受攻击状态、不易受攻击状态。轻易受攻击状态是指经过授权状态转变从非授权状态能够抵达授权状态。受损状态是指已完成这种转变状态,攻击是非受损状态到受损状态状态转变过程。漏洞就是指区分于全部非受损状态轻易受攻击状态特征。,第7章局域网系统安全防范,局域网组建与维护,第14页,提升网络技术打造网络技能人才,漏洞特点:,编程过程中出现逻辑错误是很普遍现象,这些错误绝大多数都是因为疏忽造成
9、数据处理 比如对变量赋值 比数值计算更轻易出现逻辑错误,过小和过大程序模块都比中等程序模块更轻易出现错误。,漏洞和详细系统环境亲密相关。在不一样种类软、硬件设备中,同种设备不一样版本之间,由不一样设备组成不一样系统之间,以及同种系统在不一样设置条件下,都会存在各自不一样安全漏洞问题。,漏洞问题与时间紧密相关。伴随时间推移,旧漏洞会不停得到修补或纠正,新漏洞会不停出现,因而漏洞问题会长久存在。,第7章局域网系统安全防范,局域网组建与维护,第15页,提升网络技术打造网络技能人才,端口类型,一个是TCP端口,一个是UDP端口。计算机之间相互通信时候,分为两种方式:一个是发送信息以后,能够确认信息
10、是否抵达,也就是有应答方式,这种方式大多采取TCP协议;一个是发送以后就不论了,不去确认信息是否抵达,这种方式大多采取UDP协议。对应这两种协议服务提供端口,也就分为TCP端口和UDP端口。,第7章局域网系统安全防范,局域网组建与维护,第16页,提升网络技术打造网络技能人才,常见TCP端口,第7章局域网系统安全防范,局域网组建与维护,常见UDP端口,第17页,提升网络技术打造网络技能人才,2漏洞扫描工具,第一个针对一个连续网段扫描特定端口。这种工具惯用于寻找特定主机或者特定服务,比如WEB服务器,也能够用来检测是否中了木马,比如检测7626端口来检测冰河。这种工含有NetBrute等。,第二种
11、针对一台特定服务器扫描全部端口。这种工具惯用于攻击一台特定主机以前搜集此主机大致信息,确定攻击方案。这种工含有SuperScan等。,第7章局域网系统安全防范,局域网组建与维护,第18页,提升网络技术打造网络技能人才,X-SCAN界面设置,第7章局域网系统安全防范,局域网组建与维护,第19页,提升网络技术打造网络技能人才,X-SCAN扫描网段结果,第7章局域网系统安全防范,局域网组建与维护,第20页,提升网络技术打造网络技能人才,补充:SuperScan软件介绍,:,小巧易用,使用方法比较简单,而且,软件对惯用端口有介绍;,能够选择需要扫描端口也能够选择全部端口;,能够选择扫描多个网段;,其它
12、功效,比如取得计算机主机名计算机,设定扫描速度。,第7章局域网系统安全防范,局域网组建与维护,第21页,提升网络技术打造网络技能人才,SuperScan界面组成,第7章局域网系统安全防范,局域网组建与维护,第22页,提升网络技术打造网络技能人才,SuperScan端口设置,第7章局域网系统安全防范,局域网组建与维护,第23页,提升网络技术打造网络技能人才,SuperScan端口扫描结果,第7章局域网系统安全防范,局域网组建与维护,第24页,提升网络技术打造网络技能人才,SuperScan使用注意关键点:,1)明确扫描目标。任何对目标主机扫描都会给目标主机带来一定额外负载,当扫描端口较多时候,扫
13、描者就有必要考虑扫描目标。假如只是常规维护,当然扫描时候在主机负载较少时候最好;假如为了攻击作准备,最好扫描以前考虑去除对目标计算机产生影响同时考虑是否触犯国家相关法律法规。,2)扫描结果查看。扫描结束以后,很多使用者发觉目标计算机一个端口也没有打开!其实不是这么,软件设计者在设计软件时候没有注意结果栏背景色,所以,在扫描IP地址前面有一个小小号不能清楚地看见,这时候,我们点击【Expand all】展开全部接点才会出现图7-9所表示结果。,3)扫描速度考虑。假如扫描目标较多,提议晚上进行第二天早上再看结果,因为实在速度不是很快。,第7章局域网系统安全防范,局域网组建与维护,第25页,提升网络
14、技术打造网络技能人才,服务器端口设置,()系统设置,:,TCP/IP删选界面,第7章局域网系统安全防范,局域网组建与维护,第26页,提升网络技术打造网络技能人才,(2)补充 软件设置,1)阻止经过Internet连接特定端口PortBlocker,PortBlocker设置界面,第7章局域网系统安全防范,局域网组建与维护,第27页,提升网络技术打造网络技能人才,2)IP地址限制和端口转向PortMapping,PortMapping,设置界面,第7章局域网系统安全防范,局域网组建与维护,第28页,提升网络技术打造网络技能人才,选择【Port Redirection】,出现端口设置界面,在图中界
15、面我们能够设置端口、端口对应协议(TCP、UDP)、转向目标(计算机名或者IP地址)已经接口(来自局域网还是互联网)。,第7章局域网系统安全防范,局域网组建与维护,第29页,提升网络技术打造网络技能人才,7.2.3 网络安全防御技术,网络防御办法应是能全方位地针对各种不一样威胁和脆弱性,这么才能确保网络信息保密性、完整性和可用性。,安全问题,可分为两种硬件系统和软件系统安全问题:,、硬件系统安全防护:分为两种:,物理安全和设置安全。,第7章局域网系统安全防范,局域网组建与维护,第30页,提升网络技术打造网络技能人才,(),物理安全:,是指预防意外事件或人为破坏详细物理设备,如服务器、交换机、路
16、由器等。要禁止无关人员进入机房,尤其是网络中心机房这些敏感地带。,(),设置安全:,是指在设备上进行必要设置(如服务器、交换机密码等),预防黑客取得硬件设备远程控制权。假如网络管理员没有在服务器或可网管交换机上设置必要密码口令,那么就会使知道网络设备管理技术人能够经过网络来窃取到服务器或交换机相关控制权。并有可能成为他们从事一些非法行为掩护体,这是非常危险。,第7章局域网系统安全防范,局域网组建与维护,第31页,提升网络技术打造网络技能人才,校园网网络结构,第7章局域网系统安全防范,局域网组建与维护,第32页,提升网络技术打造网络技能人才,、软件系统安全防护,()安装补丁程序,任何操作系统都有
17、漏洞,网络系统管理员应该及时地装上系统“补丁”。当前大部分校园服务器应用多是WindowsNT/操作系统,因为微软操作系统经常被人作为攻击对象,所以被找出漏洞也特多,为填补操作系统安全漏洞,微软企业也会不定时地在其网站上提供了许多补丁程序。,第7章局域网系统安全防范,局域网组建与维护,第33页,提升网络技术打造网络技能人才,()安装和设置防火墙,现在有许多基于硬件或软件防火墙,如华为、神州数码、联想、瑞星等厂商产品。对于校园网来说,安装防火墙是非常必要。防火墙对于非法访问含有委好预防作用,但并浊有了防火墙之后就能够什么事也不用担忧了,防火墙是要进行适当设置才能起到相关保护作用。,第7章局域网系
18、统安全防范,局域网组建与维护,第34页,提升网络技术打造网络技能人才,()安装网络杀毒软件,与网络黑客攻击相比,网络病毒也一样令人不可小看。而领教过“尼姆达”病毒和“CIH”病毒厉害后,大家都知道需要在网络服务上安装网络版杀毒软件来扼杀病毒传输。,第7章局域网系统安全防范,局域网组建与维护,第35页,提升网络技术打造网络技能人才,()设置帐号和密码保护,帐号和密码保护能够说是系统第一道防线,当前网上大部分对系统攻击都是从截获或猜测密码开始。一旦黑客进入了系统,那么前面防卫办法就几乎没有作用了,所以对服务器系统管理员帐号和密码进行严格管理是确保系统安全是非常主要办法。,第7章局域网系统安全防范,
19、局域网组建与维护,第36页,提升网络技术打造网络技能人才,()监测系统日志,经过运行系统日志程序,系统会自动统计下全部用户访问系统使用资源情况。这包含最近登录时间、使用帐号、进行活动等。日志程序会定时生成报表,经过对报表进行分析,能够知道是否有异常现象。,第7章局域网系统安全防范,局域网组建与维护,第37页,提升网络技术打造网络技能人才,()关闭不需要服务和端口,服务器操作系统在安装时候,会开启一些不需要服务,这么不但浪费系统资源,而且也会令系统安全性降低。对于假期期间不用服务器,能够完全关闭;对于假期期间要使用服务器,应关闭不需要服务,如Telnet等。另外,还要关掉没有必要开TCP端口。,
20、第7章局域网系统安全防范,局域网组建与维护,第38页,提升网络技术打造网络技能人才,()定时对服务器进行备份,为预防不可预料系统故障或用户不小心非法操作,必须对系统进行安全备份。除了对全系统进行每个月一次备份外,还应对修改过数据进行每七天一次备份。同时,应该将修改过主要文件存放在不一样服务器上,以免出现系统瓦解时数据损失。这么可地将系统恢复到正常状态。,第7章局域网系统安全防范,局域网组建与维护,第39页,提升网络技术打造网络技能人才,3.局域网安全,处理方法,(1)网络分段,网络分段是控制网络广播风暴一个基本伎俩,但同时也是网络安全采取一项主要办法,其目标是将非法用户与敏感网络资源相互隔离,
21、预防其非法侦听,网络分段可分为物理分段和逻辑分段两种方式。,第7章局域网系统安全防范,局域网组建与维护,第40页,提升网络技术打造网络技能人才,(2)以交换式集线器代替共享式集线器,以局域网中心交换机进行网络分段后,也并不就是说以太网侦听危险就没有了。这是因为网络最终用户接入往往是经过分支集线器而不是中心交换机,而使用最广泛分支集线器通常是共享式集线器。这么,当用户与主机进行通讯时,两台机间数据包依然会被同一台集线器上其它用户所侦听。这里有一个危险情况是:当用户Telnet到一台主机后,因为Telnet程序本身缺乏加密功效,用户所键入每一个字符(包含用户名、密码等主要信息)公布于在这段网络之中
22、第7章局域网系统安全防范,局域网组建与维护,第41页,提升网络技术打造网络技能人才,(3)VLAN划分,处理以太网广播问题,使用VLAN技术是比较有效伎俩。将以太网通信变为点到点通信,能够预防大部分基于网络侦听入侵。,VLAN内部连接采取交换实现,而VLAN与VLAN之间连接则采取路由实现。当前,大多数交换机都支持RIP和OSPF这两种国际标准路由协议。交换式集线器和VLAN交换机都是采取交换技术作为关键,它们控制广播及防范黑客非常有效,但同时也给一些基于广播原理入侵监控技术和协议分析技术造成麻烦。所以,假如局域网内存在这么入侵监控设备或协议分析设备,就必须选取特殊带有SPAN(Switc
23、h Port Analyzer)功效交换机。这种交换机允许系统管理员交全部或一些交换端口数据包映射到指定端口上,提供给接在这一端口上监控设备或协议分析设备。,第7章局域网系统安全防范,局域网组建与维护,第42页,提升网络技术打造网络技能人才,4.广域网安全,性,主要包含:,除了发送方和接收方外,其它人是无法知悉(隐私性)。,传输过程中不被篡改(真实性)。,发送方能确知接收方不是假冒(非伪装性)。,发送方不能否定自己发送行为(不可抵赖性)。,第7章局域网系统安全防范,局域网组建与维护,第43页,提升网络技术打造网络技能人才,广域网安全,方法:,()加密技术,加密型网络网络技术基本思想是不依赖于网
24、络中数据通道安全性来实现网络系统安全,而是经过对网络数据加密来保障网络安全可靠性。,第7章局域网系统安全防范,局域网组建与维护,第44页,提升网络技术打造网络技能人才,()VPN技术,VPN(虚拟专网)技术关键是采取隧道技术,将企业专网数据加密封装后,透过虚拟公网隧道进行传输,从而预防敏感数据被窃。VPN能够在Internet、服务提供商IP帧中继或ATM网上建立。企业经过公网建立VPN,就如同经过自己专用网建立内部网一样,享受较高安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。,第7章局域网系统安全防范,局域网组建与维护,第45页,提
25、升网络技术打造网络技能人才,()身份认证技术,对于从外部拨号访问内部网用户,因为使用公共电话网进行数据传输所带来风险,必须愈加严格控制其安全性。一个常见做法是采取身份认证技术,对拨号用户身份进行验证并统计完备登录日志。较惯用身份认证技术有Cisco企业提出TACACS+以及业界标准RADIUS,。,第7章局域网系统安全防范,局域网组建与维护,第46页,提升网络技术打造网络技能人才,5.外部网安全,对外部网安全威胁主要表现在:非授权访问、冒充正当用户、破坏数据完整性、干扰系统正常运行、利用网络传输病毒、线路窃听等。而外部网安全处理方法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际外部网
26、安全设计中,往往采取上述三种技术相结合方式。,第7章局域网系统安全防范,局域网组建与维护,第47页,提升网络技术打造网络技能人才,7.2.4 入侵检测系统,1 入侵检测系统介绍,入侵检测(Intrusion Detection),顾名思义,是对入侵行为发觉。它经过对计算机网络或计算机系统中若干关键点搜集信息并对其进行分析,从中发觉网络或系统中是否有违反安全策略行为和被攻击迹象。进行入侵检测软件与硬件组合便是入侵检测系统(Intrusion Detection System,简称IDS)。,第7章局域网系统安全防范,局域网组建与维护,第48页,提升网络技术打造网络技能人才,防火墙与IDS结合整体
27、模型图,第7章局域网系统安全防范,局域网组建与维护,模式库,匹配,防火墙,少许钻入防火墙入侵者,网 站 内 部,网 站 外 部,外来入侵者,被防火墙挡住入侵,报警,第49页,提升网络技术打造网络技能人才,IDS防护过程:,当有外来入侵者时候,一部分入侵因为没有取得防火墙信任,首先就被防火墙隔离在外,而另一部分骗过防火墙攻击,或者干脆是内部攻击没经过防火墙,再一次受到了入侵检测系统盘查,受到怀疑数据包经预处理模块分检后,送到对应模块里去深入检验,当对规则树进行扫描后,发觉一些数据包与规则库中一些攻击特征相符,马上切断这个IP访问请求,或者报警。,第7章局域网系统安全防范,局域网组建与维护,第50
28、页,提升网络技术打造网络技能人才,IDS含有以下主要作用:,经过检测和统计网络中安全违规行为,处罚网络犯罪,预防网络入侵事件发生;,检测其它安全办法未能阻止攻击或安全违规行为;,检测黑客在攻击前探测行为,预先给管理员发出警报;汇报计算机系统或网络中存在安全威胁;,提供相关攻击信息,帮助管理员诊疗网络中存在安全弱点,利于其进行修补;,在大型、复杂计算机网络中布置入侵检测系统,能够显著提升网络安全管理质量。,第7章局域网系统安全防范,局域网组建与维护,第51页,提升网络技术打造网络技能人才,2 入侵检测系统分类,(1)普通划分为:主机型和网络型。,主机型入侵检测系统(Host-based IDS,
29、HIDS)往往以系统日志、应用程序日志等作为数据源,当然也能够经过其它伎俩(如监督系统调用)从所在主机搜集信息进行分析。主机型入侵检测系统保护普通是所在系统。主机型IDS缺点显而易见:必须为不一样平台开发不一样程序、增加系统负荷、所需安装数量众多等,不过内在结构却没有任何束缚,同时能够利用操作系统本身提供功效、并结合异常分析,更准确汇报攻击行为。,第7章局域网系统安全防范,局域网组建与维护,第52页,提升网络技术打造网络技能人才,网络型入侵检测系统(Network-based IDS,NIDS),NIDS数据源则是网络上数据包。往往将一台机子网卡设于混杂模式(promisc mode),监听全
30、部本网段内数据包并进行判断是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个经典例子是一个系统观察到一个目标主机很多不一样端口大量TCP连接请求(SYN),来发觉是否有些人正在进行TCP端口扫描。一个NIDS能够运行在目标主机上观察他自己流量(通常集成在协议栈或服务本身),也能够运行在独立主机上观察整个网络流量(集线器,路由器,探测器probe)。注意一个网络IDS监视很多主机。,第7章局域网系统安全防范,局域网组建与维护,第53页,提升网络技术打造网络技能人才,入侵检测布署点,能够划分为4个位置:,DMZ区、外网入口、内网主干、关键子网,第7章局域网系统安全防范,局域网组建与维
31、护,第54页,提升网络技术打造网络技能人才,IDS存在问题,(1)误/漏报率高,ids惯用检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺点。比如异常检测通常采取统计方法来进行检测,而统计方法中阈值难以有效确定,太小值会产生大量误报,太大值又会产生大量漏报。而在协议分析检测方式中,普通ids只简单地处理了惯用如http、ftp、smtp等,其余大量协议报文完全可能造成ids漏报,假如考虑支持尽可能多协议类型分析,网络成本将无法承受。,第7章局域网系统安全防范,局域网组建与维护,第55页,提升网络技术打造网络技能人才,(2)没有主动防御能力,ids技术采取了一个预设置式
32、特征分析式工作原理,所以检测规则更新总是落后于攻击伎俩更新。,(3)缺乏准确定位和处理机制 ids仅能识别ip地址,无法定位ip地址,不能识别数据起源。ids系统在发觉攻击事件时候,只能关闭网络出口和服务器等少数端口,但这么关闭同时会影响其它正惯用户使用。因而其缺乏更有效响应处理机制。,(4)性能普遍不足 现在市场上像东软,NetEye IDS,、瑞星、东方龙马等企业提供NIDS产品大多采取是特征检测技术,这种ids产品已不能适应交换技术和高带宽环境发展,在大流量冲击、多ip分片情况下都可能造成ids瘫痪或丢包,形成dos攻击。,第7章局域网系统安全防范,局域网组建与维护,第56页,提升网络
33、技术打造网络技能人才,4.IDS产品,因为当前IDS产品普遍存在问题,为提供给客户网络安全保障一个高效能且功效完整网络入侵侦测防御系统,网络安全教授们提出了蓝盾入侵检测系统,它彻底处理了其它IDS系统存在千兆丢包问题,是一个主动主动安全防护系统,而且融合了各种国际先进技术和设计,采取了智能模式匹配与复杂协议分析融合技术、跨网段检测及集中管理技术、远程在线升级技术等,含有千兆网络支持,超大背景流量过滤功效,提供了对内部攻击、外部攻击和误操作实时监控。,第7章局域网系统安全防范,局域网组建与维护,第57页,提升网络技术打造网络技能人才,蓝盾入侵检测系统功效界面:,第7章局域网系统安全防范,局域网组
34、建与维护,第58页,提升网络技术打造网络技能人才,蓝盾入侵检测系统突破传统方法,国际首创“反向拍照技术”,不但能捕捉到黑客IP和其它入侵信息,还能给黑客拍一张“全身照”,为相关部门深入追踪黑客和取证提供了有力依据。已被各级政府机关、公安、军队和大、中企业使用,用户反应良好。,同类著名产品还有清华紫光入侵检测系统、硬件入侵检测系统安全、方通入侵检测系统处理方案、瑞星入侵检测系统等。,第7章局域网系统安全防范,局域网组建与维护,第59页,提升网络技术打造网络技能人才,7.2 局域网安全策略与实施,7.2.1 服务器安全设置,用户安全设置,禁用Guest账号:在计算机管理用户里面把Guest账号禁用
35、为了保险起见,最好给Guest加一个复杂密码。你能够打开记事本,在里面输入一串包含特殊字符、数字、字母长字符串,然后把它作为Guest用户密码拷进去。,(2)限制无须要用户:去掉全部Duplicate User用户、测试用户、共享用户等等。用户组策略设置对应权限,而且经常检验系统用户,删除已经不再使用用户。这些用户很多时候都是黑客们入侵系统突破口。,第7章局域网系统安全防范,局域网组建与维护,第60页,提升网络技术打造网络技能人才,(3)创建两个管理员账号:创建一个普通权限用户用来收信以及处理一些日常事物,另一个拥有Administrators 权限用户只在需要时候使用。,(4)把系统Adm
36、inistrator账号更名:大家都知道,Windows Administrator用户是不能被停用,这意味着他人能够一遍又一遍地尝试这个用户密码。尽可能把它伪装成普通用户,比如改成Guesycludx。,(5)创建一个陷阱用户:即创建一个名为“Administrator”当地用户,把它权限设置成最低,什么事也干不了那种,而且加上一个超出10位超级复杂密码。这么能够让那些 Hacker们忙上一段时间,借此发觉它们入侵企图。,第7章局域网系统安全防范,局域网组建与维护,第61页,提升网络技术打造网络技能人才,(6)把共享文件权限从Everyone组改成授权用户:任何时候都不要把共享文件用户设置成
37、Everyone”组,包含打印共享,默认属性就是“Everyone”组,一定要改。,(7)开启用户策略:使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。,(8)不让系统显示上次登录用户名:默认情况下,登录对话框中会显示上次登录用户名。这使得他人能够很轻易地得到系统一些用户名,进而做密码猜测。修改注册表能够不让对话框里显示上次登录用户名。,方法为:打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_
38、SZ键值改成1,第7章局域网系统安全防范,局域网组建与维护,第62页,提升网络技术打造网络技能人才,密码安全设置,(1)使用安全密码:一些企业管理员创建账号时候往往用企业名、计算机名做用户名,然后又把这些用户密码设置得太简单,比如“welcome”等等。所以,要注意密码复杂性,还要记住经常改密码。,(2)设置屏幕保护密码:这是一个很简单也很有必要操作。设置屏幕保护密码也是预防内部人员破坏服务器一个屏障。,(3)开启密码策略:注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。,(4)考虑使用智能卡来代替密码:对于密码,总是使安全管理员进退两难
39、密码设置简单轻易受到黑客攻击,密码设置复杂又轻易忘记。假如条件允许,用智能卡来代替复杂密码是一个很好处理方法。,第7章局域网系统安全防范,局域网组建与维护,第63页,提升网络技术打造网络技能人才,系统安全设置,(1)使用NTFS格式分区:最好把服务器全部分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32文件系统安全得多。,(2)运行防毒软件:杀毒软件不但能杀掉一些著名病毒,还能查杀大量木马和后门程序,所以要注意经常运行程序并升级病毒库。,(3)到微软网站下载最新补丁程序:很多网络管理员没有访问安全站点习惯,以至于一些漏洞都出现很久了,还放着服务器漏洞不补给人家当靶子用。经常访问微
40、软和一些安全站点,下载最新Service Pack和漏洞补丁,是保障服务器长久安全惟一方法。,第7章局域网系统安全防范,局域网组建与维护,第64页,提升网络技术打造网络技能人才,(4)关闭默认共享:Windows 安装好以后,系统会创建一些隐藏共享,你能够在Cmd下打“Net Share”查看他们。网上有很多关于IPC入侵文章,都利用了默认共享连接。要禁止这些共享,打开“管理工具计算机管理共享文件夹共享”在对应共享文件夹上按右键,点停顿共享即可。,(5)锁住注册表:在Windows 中,只有Administrators和Backup Operators才有从网络上访问注册表权限。假如你以为还不
41、够话,能够深入设定注册表访问权限。,第7章局域网系统安全防范,局域网组建与维护,第65页,提升网络技术打造网络技能人才,(6)禁止用户从软盘和光驱开启系统:一些第三方工具能经过引导系统来绕过原有安全机制。假如你服务器对安全要求非常高,能够考虑使用可移动软盘和光驱。当然,把机箱锁起来仍不失为一个好方法。,(7)利用Windows 安全配置工具来配置安全策略:微软提供了一套基于MMC(管理控制台)安全配置和分析工具,利用它们你能够很方便地配置你服务器以满足你要求。,第7章局域网系统安全防范,局域网组建与维护,第66页,提升网络技术打造网络技能人才,服务安全设置,(1)关闭无须要端口:关闭端口意味着
42、降低功效,在安全和功效上面需要你做一点决议。假如服务器安装在防火墙后面,冒险就会少些。不过,永远不要认为你能够高枕无忧了。用端口扫描器扫描系统已开放端口,确定系统开放哪些服务可能引发黑客入侵。在系统目录中system32driversetcservices 文件中有著名端口和服务对照表可供参考。详细方法为:打开“网上邻居/属性/当地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性”打开“TCP/IP筛选”,添加需要TCP、UDP协议即可。,第7章局域网系统安全防范,局域网组建与维护,第67页,提升网络技术打造网络技能人才,(2)设置好安全统计访问权限
43、安全统计在默认情况下是没有保护,把它设置成只有Administrators和系统账户才有权访问。,(3)把敏感文件存放在另外文件服务器中:即使现在服务器硬盘容量都很大,不过你还是应该考虑是否有必要把一些主要用户数据(文件、数据表、项目文件等)存放在另外一个安全服务器中,而且经常备份它们。,(4)禁止建立空连接:默认情况下,任何用户都可经过空连接连上服务器,进而枚举出账号,猜测密码。我们能够经过修改注册表来禁止建立空连接:即把“Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous”值改成“1”即可。,第7章局域网系统安全
44、防范,局域网组建与维护,第68页,提升网络技术打造网络技能人才,7.2.2.客户端安全策略实施,开启“当地安全策略”:单击“控制面板管理工具当地安全策略”后,会进入“当地安全策略”主界面。在此可经过菜单栏上命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。,第7章局域网系统安全防范,局域网组建与维护,第69页,提升网络技术打造网络技能人才,、加固系统账户,(1)禁止枚举账号:在“当地安全策略”左侧列表“安全设置”目录树中,逐层展开“当地策略安全选项”。查看右侧相关策略列表,在此找到“网络访问:不允许SAM账户和共享匿名枚举”,用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出
45、一个对话框,在此激活“已启用”选项,最终点击“应用”按钮使设置生效。,(2)账户管理:在“当地策略安全选项”分支中,找到“账户:宾客账户状态”策略,点右键弹出菜单中选择“属性”,而后在弹出属性对话框中设置其状态为“已停用”,最终“确定”退出。,第7章局域网系统安全防范,局域网组建与维护,第70页,提升网络技术打造网络技能人才,查看“账户:重命名系统管理员账户”这项策略,调出其属性对话框,第7章局域网系统安全防范,局域网组建与维护,第71页,提升网络技术打造网络技能人才,、指派当地用户权利,假如你是系统管理员身份,能够指派特定权利给组账户或单个用户账户。在“安全设置”中,定位于“当地策略用户权利
46、指派”,而后在其右侧设置视图中,可针对其下各项策略分别进行安全设置,第7章局域网系统安全防范,局域网组建与维护,第72页,提升网络技术打造网络技能人才,3 活用IP策略,我们知道,不论是木马、后门,还是漏洞、嗅探,大多都是经过端口作为通道。所以,我们需要关闭那些可能成为入侵通道端口。你能够上网查询一下相关危险端口资料,以做到有备而战。,4加强密码安全,在“安全设置”中,先定位于“账户策略密码策略”,在其右侧设置视图中,可酌情进行对应设置,以使我们系统密码相对安全,不易破解。如防破解一个主要伎俩就是定时更新密码,大家可据此进行以下设置:鼠标右键单击“密码最长存留期”,在弹出菜单中选择“属性”,在
47、弹出对话框中,大家可自定义一个密码设置后能够使用时间长短(限定于1至999之间)。,第7章局域网系统安全防范,局域网组建与维护,第73页,提升网络技术打造网络技能人才,7.2.3 组策略实施,组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为主要工具。经过使用组策略能够设置各种软件、计算机和用户策略。比如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。另外,还可添加在计算机上(在计算机开启或停顿时,以及用户登录或注销时)运行脚本,甚至可配置Internet Explorer,第7章局域网系统安全防范,局域网组建与维护,第74页,提升网络技术打造网络技能人
48、才,1)开启活动目录服务:在“程序管理工具配置服务器”选项中,选定左边“Active Directory”,开启活动目录安装向导。设置过程中关键是要将服务器设置为第一个域目录树,DNS域名输入ISP提供域名,若不连接国际互联网,也可任意设定。,2)打开组策略控制台:开启“Active Directory目录和用户”项,在右面对象容器树中根目录上单击右键,然后单击“属性”项,在新打开窗口中单击“组策略”选项卡,即可打开组策略控制台。,第7章局域网系统安全防范,局域网组建与维护,第75页,提升网络技术打造网络技能人才,3)设置组策略:Windows 组策略有100多个与安全相关设置和450多个基于
49、注册表设置,为管理用户计算机环境提供了众多选项,某一选项一旦被设置将会作用于登录到域上全部用户和工作站。这里将几个惯用策略设置步骤介绍一下,作为策略设置参考。,启用“登录屏幕”上不显示上次登录用户名:这一选项能够保护用户账号安全,阻止账号盗用行为发生。该选项所处位置按照“计算机配置安全设置当地策略安全选项”次序查找,双击该选项,选择“启用”。当用户下次登录域时,该项策略将被应用在用户操作工作站上。,第7章局域网系统安全防范,局域网组建与维护,第76页,提升网络技术打造网络技能人才,开启“活动桌面墙纸”:使用此选项,局域网上登录域全部计算机将使用同一桌面墙纸,而且不能被更改。所以,能够经过这一项
50、策略设置,预防暂时用户随意更换桌面墙纸,使局域网中工作站含有相同界面。该选项所处位置是“用户配置管理模板桌面活动桌面”,第7章局域网系统安全防范,局域网组建与维护,第77页,提升网络技术打造网络技能人才,7.2.4 内网安全策略,在保护内网时要注意内网安全与网络边界安全不一样,网络边界安全技术防范来自Internet上攻击,内网安全威胁主要源于企业内部。恶性黑客攻击事件普通都会先控制局域网络内部一台Server,然后以此为基地,对Internet上其它主机发起恶性攻击。所以,应在边界展开黑客防护办法,同时建立并加强内网防范策略。,第7章局域网系统安全防范,局域网组建与维护,第78页,提升网络技






