项目13 使用安全策略和防火墙实现访问安全.ppt

1、Click to edit Master title style,一,Second level,Second level,Windows,Server 2008,网络组建项目化教程,*,第,*,页,Windows,Server 2008,网络组建项目化教程,课程标准,(,教学大纲,),教学设计方案,(,教案,),PPT,电子课件,教材习题参考答案,模拟试卷及参考答案,(4,套,),IT,认证,+,全国技能大赛资料,知识拓展,&,网络工程解决,方案,主编,：,夏笠芹 方颂,“,十二五,”,职业教育国家规划教材选题立项,教材附带的,光盘资源,为了减少网络攻击行为的威胁,保障服务器的安全,迅达公司

2、网络管理员小刘,采取了以下措施来加固服务器,:,对,Windows Server 2008,本身安装了最新的补丁程序修复系统漏洞,;,设置帐户策略以防止密码被盗,;,添加审核策略来跟踪资源访问者,;,启用并配置,Windows Server 2008,自带的防火墙对进、出服务器的数据包进行筛选。,项目背景,项目,13,使用安全策略和防火墙实现访问安全,知识目标,了解：,安全策略的含义；,熟悉：,安全策略,掌握：,常见安全策略的配置，高级安全,Windows,防火墙的配置,能力目标,会进行账户策略、审核策略的安全设置,会进行用户权限分配、安全选项的安全设置,会进行,Windows,防火墙入站和出

3、站规则的配置,教学目标,项目,13,使用安全策略和防火墙实现访问安全,13.2,项目知识准备,13.2.1,安全策略及类型,安全策略,(security policy),规定了用户在使用计算机、运行应用程序和访问网络等方面的行为约束规则。合理运用和设定安全策略,可以使计算机受到的安全威胁大大降低。根据影响范围的不同,Windows Server 2008,支持以下,4,种类型的安全策略,:,本地安全策略,:,实现本地计算机的安全。包括帐户策略、本地策略、公钥策略、软件限制策略和,IP,安全策略。,域控制器安全策略,:,实现域控制器的安全。,域安全策略,:,实现整个域的安全。,组策略,:,实现整

4、个网络的安全。,13.2,项目知识准备,13.2.2,认识高级安全,Windows,防火墙,“高级安全,Windows,防火墙”,(,简称,WFAS),。,WFAS,的优势有：,支持双向保护,可以对出站、入站通信进行过滤。,实现了更高级的出站和入站规则,(,防火墙规则,),的创建与配置。,它将防火墙和,Internet,协议安全,(IPSec),功能实现了集成。用户可以设置连接安全规则请求或要求计算机在通信之前互相进行身份验证,还可以配置通信时的密钥交换、数据保护,(,完整性和加密,),。,13.3,项目实施,任务,13-1,帐户策略的设置,1.,密码策略设置步骤如下：,步骤,1,步骤,7,任

5、务,13-1,帐户策略的设置,2.,帐户锁定策略的设置,账户锁定,是指在某些情况下（如账户受到采用密码词典或暴力破解方式等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用，从而使破解失败。,设置账户锁定策略的步骤如下：,步骤,1,步骤,4,任务,13-2,审核策略的设置,审核,就是通过在计算机的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。,配置审核策略,就是确定把哪些事件写入计算机的安全日志中。,设置步骤：,步骤,1,步骤,6,任务,13-3,用户权限分配的设置,用户权限,是允许用户在计算机系统或域中执行的任务。,有两种类型的用户权限：,登录权限,控制为谁授予

6、登录计算机的权限以及他们的登录方式，比如拒绝本地登录、允许本地登录等；,特权,控制对计算机上系统范围的资源的访问，比如关闭系统、更改系统时间等。,任务,13-3,用户权限分配的设置,用户权限名称,说明,从网络访问此计算机,默认情况下任何用户均可从网络访问计算机，根据实际需要可以撤销某组账户从网络访问的权限。,拒绝从网络访问这台计算机,有些用户只在本地使用，不允许通过网络访问此计算机，就可以将此用户加入到该策略中。,允许在本地登录,此登录权限确定了可交互式登录到该计算机的用户，通过在连接的键盘上按,Ctrl+Alt+Del,组合键启动登录，该操作需要用户拥有此登录权限。另外，一些能使用户进行登录

7、的服务或管理应用程序可能也需要此登录权限。,拒绝本地登录,此安全设置确定阻止哪些用户登录到该计算机。如果一个账户同时受上述策略的制约，则此策略设置将取代允许本地登录策略。,关闭系统,让普通用户具有关闭计算机的权限。,表,13-2,常用的用户权限分配,任务,13-3,用户权限分配的设置,用户权限分配的设置步骤如下：,进入,【,本地安全策略,】,窗口在左窗格中展开,【,本地策略,】,单击,【,用户权限分配,】,在右窗格中双击,【,从网络访问此计算机,】,策略,打开,【,从网络访问此计算机 属性,】,对话框,从此可以看出,Everyone,组也允许通过网络连接到此计算机,即网络中的所有用户都可以访问

8、到这台计算机,基于安全的考虑,可以把,Everyone,组删除。单击,【,添加用户和组,】/【,删除,】,按钮,可以添加或删除具有从网络访问此计算机的用户和组,任务,13-4,“,安全选项,”,的设置,在“安全选项”中的安全策略，是一些和操作系统安全有关的设置。下表列出了几个常用的安全选项：,安全选项名称,说明,关机：允许系统在未登录前关机,正常情况下，只有登录系统后具有权限的用户才能关机，如果有时需要在未登录前关机，可将此策略启用,账户：使用空白密码的本地账户只允许进行控制台登录,密码为空的用户不能通过网络访问此计算机，此策略禁用后，密码为空的用户将不会受到限制。,交互式登录：用户试图登录时

9、消息文字,该安全设置指定用户登录时显示的文本消息。使用该文本通常作用是用于警告。例如警告用户登录后哪些操作不被允许等。,网络访问：不允许,SAM,账户和共享的匿名枚举,禁止通过共享会话猜测管理员系统口令,账户：来宾账户状态,禁用来宾账户,任务,13-4,“,安全选项,”,的设置,“安全选项”的设置步骤如下：,步骤,1,步骤,4,任务,13-5,高级安全,Windows,防火墙的配置,防火墙,是通过检查传入的数据包并将其与一组规则进行比较,从而决定是否让数据包进入到服务器或网络的功能组件。,Windows,防火墙,工作在服务器的与外界连接的网络适配器、,DSL,适配器或者拨号调制解调器等接口上。

10、防火墙将哪些数据包拒之门外,又允许哪些数据包通过,则取决于防火墙的配置。,任务,13-5,高级安全,Windows,防火墙的配置,1,启动,/,关闭,Windows,防火墙,在桌面上单击,【,开始,】【,控制面板,】,在打开的,【,控制面板,】,窗口中双击,【Windows,防火墙,】,图标在打开的,【Windows,防火墙,】,窗口中单击,【,启用或关闭,Windows,防火墙,】,链接,打开,【Windows,防火墙设置,】,对话框在,【,常规,】,选项卡中选中,【,启用,】,单选按钮单击,【,确定,】,后系统便启动“,Windows,防火墙”,如图,13-22,所示。,任务,13-5,高

11、级安全,Windows,防火墙的配置,2,入站规则的设置,非标准的,8080,端口访问防火墙所在的,Web,服务器。,步骤,1-,步骤,8,任务,13-5,高级安全,Windows,防火墙的配置,3,出站规则的设置,阻止当前服务器主机访问其他,Web,服务器的设置,步骤,1,步骤,9,项目,13,使用安全策略和防火墙实现访问安全,项目知识准备,安全策略及类型,认识高级安全,Windows,防火墙,项目实施,帐户策略的设置,密码策略的设置,账户锁定策略的设置,审核策略的设置,用户权限分配的设置,安全选项的设置,高级安全,Windows,防火墙的配置,小结,项目,13,使用安全策略和防火墙实现访问安全,实训,（交实训报告书）,实训,13,安全策略与防火墙的配置,习题,（课堂小组活动）,一、选择题：,1,8,二、简答题：,作业,