《公司网络安全管理方案.doc》由会员分享,可在线阅读,更多相关《公司网络安全管理方案.doc(42页珍藏版)》请在三一办公上搜索。
1、天津电子信息职业技术学院暨国家示范性软件职业技术学院实 训 报 告实训题目: 公司网络安全管理方案 姓 名: 汤彬彬 37 系 别: 计算机网络系 专 业: 计算机网络 班 级: 网络S10-1班 指导教师: 林俊桂 设计时间:2012年 6 月 4 日 至 2012年 6 月 15 日目录第1章 概述41.1 国内外网络发展情况及安全现状41.2 网络对企业的重要性61.3 网络安全问题的产生61.4 公司网络的主要安全隐患7第2章 公司网络安全设计72.1 网络设计原则82.1.1 公司需求92.1.2 结构图92.2 公司网络分析102.2.1 网络安全需求分析102.2.2 网络内容方
2、案112.2.3 项目设计图11第3章 公司项目实施133.1 VLAN的功能和作用133.1.1 VLAN介绍133.1.3 VLAN分类143.1.4 公司VLAN划分143.2 VPN功能和作用173.2.1 VPN介绍173.2.3 公司配置VPN服务器183.3 操作系统的安全配置203.4 防火墙的安装与管理273.4.1 防火墙的安装283.4.2 防火墙的管理293.4.3 安装证书313.4.4 远程监控台的安装333.5 防火墙的配置33第4章 公司网络安全维护384.1 公司管理的安全性384.2 服务器防毒技术394.3 网络环境下的病毒防护39结 论41致 谢42参考
3、文献42 摘要随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生
4、,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一
5、项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。关键字: 计算机网络;病毒入侵;网络威胁;安全防范措施第1章 概述1.1 国内外网络发展情况及安全现状计算机网络发展很快,经历了一个从简单到复杂的演变过程。计算机的应用也不断地发展,渗透在人们生活的方方面面。在全球网络革命如火如荼、飞速发展的时代潮流面前,中国的网络业也不甘居人之后。我国政府从20 世纪90 年代初开始,便相继实施了“金桥”、“
6、金卡”等一系列金字工程。在发达国家建设“信息高速公路”的世界背景下,我国的一批信息技术专家根据中国国情,提出了我们自己的“高速信息网计划(CHINA) ”,1993 年10 月15 日,当时世界上最长的通信光缆,纵贯中国南北的京汉广通信“大动脉”全线开通,拉开了我国网络基础设施建设的序幕。我国企业从1994 年开始涉足电子商务,并取得了喜人的成绩。1998 年是世界电子商务年,中国也掀起了一股电子商务热,我国的“中国商品市场”从当年7 月1 日起,正式进入Internet 。1999 年在上海举行的“99财富全球论坛”年会又传出消息:到2003 年,中国将成为世界上最大的信息网络市场。由此不难
7、推断,中国经济也必将融入全球网络经济的大潮之中。随着计算机网络技术的广泛应用和飞速发展,计算机信息网络已成为现代信息社会的基础设施。它作为进行信息交流、开展各种社会活动的基础工具,已深入人们工作和生活当中。同时,网络安全问题也成为信息时代人们共同面临的挑战,国内的网络安全问题也日益突出。具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已成为重要威胁;信息基础设施面临网络安全的挑战;网络政治颠覆活动频繁等,为了更好地应对这些网络安全问题。网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。国
8、家科技部部长徐冠华曾在某市信息安全工作会议上说:“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来,随着国际政治形势的发展,以及经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全。因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度,上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。I
9、nternet是各行各业的展示与和另一种发展平台,同时必须建立一个安全稳定的环境维护产业的可持续快速发展。衷心希望在不久的将来,我国信息安全工作能跟随信息化发展,上一个新台阶。1.2 网络对企业的重要性随着经济的飞速发展和社会信息化建设的大力推进,网络平台已经成为企业进行业务拓展、经营管理和进行形象宣传的一个独特的窗口。建立企业网络,早已不再是为了赶潮流或是博取好听的名声,而是把网络技术同企业管理体系、工作流程和商务运作等紧密地联系在了一起,充分利用互联网不受时空限制的信息平台,建立最直接、丰富、快捷的商务沟通平台和管理平台,从而搭建高效的经营管理机制和商务运作平台。1.3 网络安全问题的产生
10、可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题: a)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息
11、安全的技术难点。b)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。 C)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。d)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。1.4 公司网络的主要安全隐患现在网络安全系统所要防范的不再仅是
12、病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。1.病毒、木马和恶意软件的入侵。2.网络黑客的攻击。3.重要文件或邮件的非法窃取、访问与操作。4.关键部门的非法访问和敏感信息外泄。5.外网的非法入侵。6.备份数据和存储媒体的损坏、丢失。针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装
13、网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。第2章 公司网络安全设计2.1.1 公司需求建材公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。公司已经完成了综合布线工程的施工与网络设备的架设。企业分为财务部门和业务部门,需要他们之间相互隔离。网络管理员在实际维护公司网络的过程中,常遇到各种网络安全问题,例如:
14、网络黑客攻击、网络蠕虫病毒泛滥、各种木马程序等等。由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。需要在防火墙设置相关的策略和其他一些安全策略。网络管理员需要随时排除企业网络在日常运转中出现的各种网络安全问题,保证企业网络的稳定工作。2.1.2 结构图根据建材公司的整体网络情况,简单的网络结构图如图2-1所示:图 2-1 网络结构图2.2 公司网络分析2.2.1 网络安全需求分析我们针对建材公司的网络安全状况和网络结构来进行需求分析。建材公司的第一个网络安全需求是根据部门需要划分VLAN,使用VPN技术。建材公司的第二个网络安全需求是要安装一个基于安全的操作
15、系统平台的高级通信保护控制系统-网络防火墙,保护公司内部网络的计算机免遭来自国际互联网的黑客攻击、病毒侵扰。建材公司的第三个网络安全需求是企业内部的计算机网络安全问题。建材公司网内有很多计算机均有上网需求,这就导致常出现网络黑客攻击、网络蠕虫病毒泛滥、各种木马程序盗取密码等网络安全问题。因此,依据建材公司内计算机的使用状况,分别安装软件防火墙、杀毒软件、网络安全软件。2.2.2 网络内容方案1、为了提高了网络的利用率,确保了网络的安全保密性。建材公司建立虚拟局域网实现数据安全和共享,提高建材公司主要两大部门顺利实效。2、通过多方调研,建材公司决定采用国内网络安全行业的领先企业-远东网安科技有限
16、公司的远东网安防火墙。 使用该防火墙隔离公司内部网络和国际互联网。在不改变网络拓扑结构的情况下,使公司内部的计算机访问国际互联网的时候,经过包过滤安全设置。3、针对建材公司各个部门计算机的应用环境,分别安装网络安全软件、杀毒软件、软件防火墙等。网络管理员的须知。4、对建材公司计算机操作系统进行研究,操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,其变现为装了很多用不到的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。 目前的操作系统无论是windows还是Unix操作系统以及其他厂商开发的应用系统,某开发厂商必然有其Back
17、Door。而且系统本身必然存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有很大关系,操作系统如果进行安全配置,填补安全漏洞,关闭一些不常用的服务,禁止开发一些不常用而又比较敏感的端口等,那么入侵者要成功进入内部网是不容易的,这需要相当高的技术水平及相当长时间。2.2.3 项目设计图图 2-2 项目设计图企业VLAN划分企业主要分两个部门,所以只要划分两个VLAN,分别为:财务部门 VLAN 10 交换机S0接入交换机(华为S5700-24TP-SI-AC)业务部门 VLAN 20 交换机S1接入交换机(华为S5700-24TP-SI-AC)核心交换机
18、 S2核心交换机(华为S5700-24TP-SI-AC)图 2-3 网络拓扑图客户机的地址范围:192.168.2.2 - 192.168.2.254建材公司内网中管理远东网安防火墙主机的计算机地址:192.168.1.2外网的网关:192.168.2.254 防火墙的LAN(eth0)口的IP:192.168.2.1(默认)直接管理远东网安防火墙的计算机地址:192.168.0.11第3章 公司项目实施3.1 VLAN的功能和作用3.1.1 VLAN分类1、基于端口的VLAN;2、基于MAC地址的VLAN;3、基于第3层的VLAN;4、基于策略的VLAN;3.1.2 VLAN 作用VLAN(
19、Virtual Local Area Network,虚拟局域网)的目的非常的多。通过认识VLAN的本质,将可以了解到其用处究竟在哪些地方。 第一,要知道192.168.1.2/30和192.168.2.6/30都属于不同的网段,都必须要通过路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。 第二,VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。 下面,给予说明。比如一个路由器只有一个用于终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门,一个销售
20、部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为192.168.1.0-127/25、192.168.1.128-255/25。但是路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同网段了?这就可以在这个物理端口下,创建两个子接口-逻辑接口实现。 比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。这样就等于用一个物理端口确实现了两个逻辑接口的功能,这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下
21、创建的,所以称之为虚拟局域网VLAN。 这是在路由器的层次上阐述了VLAN的目的。 第三,将在交换机的层次上阐述VLAN的目的。 在现实中,由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机,然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。这种情况是LAN.然而正如上面所说,如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建VLAN. 同样,比如两个交换机,如果你想要每个交换机上的端口都分别属于不同的
22、网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分VLAN,使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。 综上,当一个交换机上的所有端口中有至少一个端口属于不同网段的时候,当路由器的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。3.1.3组建VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN
23、间进行相互通信时,需要路由的支持,这时就需要增加路由设备要实现路由功能,既可采用路由器,也可采用三层交换机来完成。同时还严格限制了用户数量.3.1.4 VLAN 基本配置命令1、创建vlan方法一 switch#vlan database switch(vlan)#vlan 10 name wz switch(vlan)#exit 2、创建vlan方法二 switch(config)#vlan 10 switch(config-vlan)#name wz 3、删除vlan方法一 switch(vlan)#no vlan 10 switch(vlan)#exit 4、删除vlan方法二 swit
24、ch(config)# no interface vlan 10 switch(config)#no vlan 10 5、删除vlan方法三 switch#delete vlan.dat 6、将端口加入到vlan中 switch(config-if)#switchport access vlan 10 7、将一组连续的端口加入到vlan中 switch(config)# interface range f0/1 5 switch(config)#interface range f0/6-8,0/9-11,0/22 (将不连续多个端口加入到Vlan中) switch(config-if-rang
25、e)#switchport access vlan 10 8、将端口从vlan中删除 switch(config-if)#no switchport access vlan 10 switch(config-if)#switchport access vlan 1 switch(config-if-range)#no switchport access vlan 10 switch(config-if-range)#switchport access vlan 1 9、查看所有vlan的摘要信息 switch#show vlan brief 10、查看指定vlan的信息 switch#show
26、 vlan id 10 11、指定端口成为trunk switch(config-if)#switchport mode trunk 12、Trunk的自动协商 switch(config-if)#switchport mode dynamic desirable switch(config-if)#switchport mode dynamic auto 注意:如果中继链路两端都设置成auto将不能成为trunk 13、查看端口状态 switch#show interface f0/2 switchport 14、在trunk上移出vlan switch(config-if)#switchp
27、ort trunk allowed vlan remove 20 15、在trunk上添加vlan switch(config-if)#switchport trunk allowed vlan add 203.1.5 公司VLAN划分财务部门 VLAN 10 交换机S0接入交换机(华为S5700-24TP-SI-AC)业务部门 VLAN 20 交换机S1接入交换机(华为S5700-24TP-SI-AC)核心交换机 S2核心交换机(华为S5700-24TP-SI-AC)3.1.6 VLAN 其他划分1.根据端口来划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在
28、同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。2.根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分
29、VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。3.根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,
30、虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。 这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。4.根据IP组播划分VLANIP 组播实际上也是一种VLAN的
31、定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。3.2 VPN的功能和作用3.2.1公司配置VPN服务器公司VPN服务器端使用Win2000;客户机端使用Win98来设置VPN。(1)尚未配置:Win2K中的VPN包含在路由和远程访问服务中。当Win2K服务器安装好之后,它也就随之自动存在了!不过此时当打开管理工具中的路由和远程访问项进入其主窗口后,在左边的树栏中选中服务器准状态,即可从右边看到其状态正处于已停止(未配置)的情况下。(2)开始配置:要想让计算机
32、能接受客户机的VPN拨入,必须对VPN服务器进行配置。在左边窗口中选中SERVER(服务器名),在其上单击右键,选配置并启用路由和远程访问。配置并启用路由和远程访问,如图3-1所示。图3-1 设置路由和远程访问(3)如果以前已经配置过这台服务器,现在需要重新开始,则在SERVER(服务器名)上单击右键,选禁用路由和远程访问,即可停止此服务,以便重新配置!(4)当进入配置向导之后,在公共设置中,点选中虚拟专用网络(VPN)服务器,以便让用户能通过公共网络(比如Internet)来访问此服务器。虚拟专用网络(VPN)服务器,如图3-2所示。图3-2 设置虚拟专用网(5)在远程客户协议的对话框中,一
33、般来说,这里面至少应该已经有了TCP/IP协议,则只需直接点选是,所有可用的协议都在列表上再下一步即可。(6)之后系统会要求你再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等)再下一步。(7)接着在回答您想如何对远程客户机分配IP地址的询问时,除非你已在服务器端安装好了DHCP服务器,否则请在此处选来自一个指定的IP地址范围(推荐)。(8)然后再根据提示输入你要分配给客户端使用的起始IP地址,添加进列表中,比如此处为192.168.1.80192.168.1.90。(请注意,此IP地址范围要同服务器本身的IP地址
34、处在同一个网段中,即前面的192.168.1部分一定要相同!)(9)最后再选不,现在不想设置此服务器使用RADIUS即可完成最后的设置。此时屏幕上将自动出现一个正在开户路由和远程访问服务的小窗口,当它消失之后,打开管理工具中的服务,即可以看到RoutingandRemoteAccess(路由和远程访问)项自动处于已启动状态了!已启动状态,如图3-3所示。图3-3 启动状态3.3 操作系统的安全配置操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”,主界面如图
35、3-4所示。图3-4 本地安全设置主界面可配置四类安全策略:帐户策略、本地策略、公钥策略和IP安全策略。默认的情况下,这些策略都没有开启。关闭不必要的服务Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞。为了能够远程方便的管理服务器,很多机器的终端服务都是开着,如果开了,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。方法一:程序-运行-打开services.msc方法二:我的电脑-鼠标右键下拉菜单-管理方法三:控制面板-性能
36、和维护-管理工具-服务图3-5 计算机管理关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但不可认为高枕无忧了。用端口扫描器扫描系统所开放的端口,在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图3-6所示。图3-6 端口扫描表设置本机开放的端口和服务,在IP地址设置窗口中点击按钮“高级”,在出现的对话框中选择选项卡“选项”,选中“TCP/IP筛选”,点击按钮“属性”,设置端口界面如图图3-7所示。图3-7 TCP/IP筛选一台Web服务器只允许TCP的80端口通过就可以了
37、。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。开启审核策略安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。审核策略在默认的情况下都是没有开启的。如图3-8所示。图3-8 审核策略双击审核列表的某一项,出现设置对话框,将复选框“成功”和“失败”都选中,如图3-9所示。图3-9 本地安全策略设置开启密码策略密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。设置选项如图3-10所示。图3-10 密码策略设置
38、开启帐户策略开启帐户策略可以有效的防止字典式攻击。设置选项如图3-11所示。图3-11 账户策略设置备份敏感文件把敏感文件存放在另外的文件服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。不显示上次登录名默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码猜测。修改注册表,在HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon。
39、将DontDisplayLastUserName键值改成1,如图3-12所示。图3-12 注册表编辑器打开管理工具-本地安全策略-本地策略-安全选项,在打开窗口右侧列表中选择“登录屏幕上不要显示上次登录的用户名”选项,在弹出对话框选择“已启用”,如图3-13所示。图3-13 安全选项备份注册表注册表是不能随便改动的,除非特别有把握。注册表更改处理不好的话,可能会导致计算机不能正常启动或计算机某些功能不能用,甚至当将原来的更改还原回去也一样不能用。所以在更改注册表的任何一项之前,最好将注册表备份。当系统因为更改注册表而出问题时,可以采用恢复注册表的方式来恢复系统。禁止建立空连接默认情况下,任何用
40、户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。修改注册表,在HKEY_LOCAL_MACHINESystem CurrentControlSetControlLSA,将RestrictAnonymous键值改成“1”即可。如图3-14所示。图3-14 修改注册表下载最新的补丁很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久,还放着服务器的漏洞未打补丁。谁也不敢保证数百万行以上代码的Windows 2000不出一 点安全漏洞。经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的唯一方法。可以使用一些常用的漏洞扫描软件!先扫描出漏洞
41、。3.4 防火墙的安装与管理防火墙是计算机网络上一类防范措施的总称,它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访,用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的则可以用主机甚至一个子网来实现,设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视 Internet安全和预警的方便端点。实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在IP层实现的,它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文
42、通过,因此它可以只用路由器完成。在建材公司内部网络的出口处,放置防火墙,通过包过滤安全设置,保护建材公司内部网络的计算机免遭来自国际互联网的黑客攻击、病毒侵扰。3.4.1 防火墙的安装安装防火墙的WEB管理终端远东网安防火墙的管理操作主要在WEB管理终端提供。安装WEB管理终端不需要特殊的附加软件,只要具有管理权限并安装了WEB浏览器,任何一台内部主机都可以作为WEB管理终端来使用。安装远东网安防火墙WEB管理终端: 使用一台基于Windows XP平台或Linux平台的计算机 A 。 在计算机 A上安装WEB浏览器可以是任何标准的客户端软件,如: Internet Explorer ( Wi
43、ndows );Netscape ( Windows, UNIX );Mozilla ( UNIX )。 配置计算机 A的网络地址,使其与远东网安防火墙中心系统的某个网口E的网址在同个网段(如果计算机 A的网络接口与远东网安防火墙中心系统的网口E(eth0)连接,则网络地址可以设置为192.168.0.11/255.255.255.0)。防火墙初始网址为:eth0: 192.168.0.1/255.255.255.0eth1: 192.168.1.1/255.255.255.0eth2: 192.168.2.1/255.255.255.0eth3: 192.168.3.1/255.255.25
44、5.0 将计算机 A的网络接口与远东网安防火墙中心系统的网口E(eth0)连接起来,如果是直接相连则必须使用反接的双绞线(背对背线)。 在计算机 A上打开WEB浏览器,在地址栏输入E的网址:http:/192.168.0.1/。 (或者另外三个防火墙的初始网址) 注意WEB浏览器的地址栏中是以https开头而不是http,表示加密的http通信。如果网络连接配置无误,就可以在计算机 A上访问远东网安防火墙中心系统的WEB管理界面了,如图3-15所示。图3-15 WEB管理界面3.4.2 防火墙的管理管理权限:通过WEB管理终端对远东网安防火墙进行管理操作需要有管理权限。防火墙的出厂缺省配置给予
45、内部网保留地址的主机所有管理权限。防火墙的管理权限是按功能范围划分的。获得管理权限可以在客户端运行用户认证客户端SecureKey,,然后输入用户名/口令,验证成功后即获得该用户的管理权限。用户认证客户端SecureKey用户登录远东网安防火墙使用用户认证客户端SecureKey。SecureKey是随远东网安防火墙附带的登录认证软件。使用SecureKey登录到防火墙后,就可以访问防火墙的WEB管理终端并利用登录用户的管理权限范围执行若干功能模块的管理操作。安装了SecureKey之后,就可以在程序菜单中点击SecureKey或者直接执行桌面的快捷方式打开SecureKey,如图3-16所示
46、。图3-16 一次性口令认证输入远东网安防火墙的IP信息、登录用户名、用户密码,然后点击“连接”按钮,SecureKey就会与防火墙建立加密的SSL通道,进行用户名和口令验证。如果用户登录有错误,比如防火墙IP无法连接、用户不存在、用户密码错误、超过最大用户登录人数、该用户已登录、本主机已由其他用户登录等等错误时,SecureKey会弹出提示框显示相应的错误信息。如果各参数无误,成功登录后SecureKey窗口会自动最小化并在系统任务栏中显示图标,双击该图标可以重新打开SecureKey窗口,此时显示已登录状态,如图3-17所示。图3-17 一次性口令认证使用SecureKey登录,有几点注意事项:
