网络工程设计与安装
This presentation is the property of its rightful owner.
Sponsored Links
1 / 146

网络工程设计与安装 PowerPoint PPT Presentation


  • 67 Views
  • Uploaded on
  • Presentation posted in: General

网络工程设计与安装. 网络安全设计与安装. 电子工业 出版社. 第 7 章 网络安全设计与安装. 知识目标 : 了解网络威胁与对策,服务器威胁与对策, 802.1x+ RADIUS 的应用,以及几种认证方式比较和 DMZ 的概念。 基本掌握 802.1x 协议及工作机制,基于 RADIUS 的认证计费,防止 IP 地址盗用的技术,网络防病毒技术。 基本掌握路由器 + 防火墙保护网络边界的方法,标准访问列表和扩展访问列表的应用。 掌握 Windows 2000 Advanced Server 操作系统安全加固的技术, Web 服务器安全设置技术。.

Download Presentation

网络工程设计与安装

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


6033493

网络工程设计与安装

网络安全设计与安装

电子工业出版社


6033493

第7章 网络安全设计与安装

  • 知识目标:

  • 了解网络威胁与对策,服务器威胁与对策,802.1x+ RADIUS的应用,以及几种认证方式比较和DMZ的概念。

  • 基本掌握802.1x协议及工作机制,基于RADIUS的认证计费,防止IP地址盗用的技术,网络防病毒技术。

  • 基本掌握路由器+防火墙保护网络边界的方法,标准访问列表和扩展访问列表的应用。

  • 掌握Windows 2000 Advanced Server操作系统安全加固的技术,Web服务器安全设置技术。


6033493

第7章 网络安全设计与安装

  • 情感目标:

  • 亲历网络安全需求分析的过程,获得中小型网络安全设计的感性认识。

  • 关注用户组网安全需求,关注身边网络的安全,具有一定的价值判断能力和网络安全保障能力。

  • 技能目标:

  • 尝试、模仿网络安全专家分析问题、解决问题的行为,能按照用户网络安全需求,设计简单的网络安全方案。

  • 在路由器上能够正确设置标准访问列表和扩展访问列表,尤其是会采用扩展访问列表保护网络服务器的安全。

  • 能够采用安全策略加固Windows 2000 Advanced Server的安全,以及Web服务器的安全。


6033493

第7章 网络安全设计与安装

  • 本章重点:

  • 802.1x协议及工作机制

  • 基于RADIUS的认证计费

  • 防止IP地址盗用

  • 网络防病毒技术

  • 使用路由器+防火墙保护网络边界

  • 扩展访问列表与应用

  • Windows 2000 Advanced Server操作系统安全加固的技术,Web服务器安全设置技术

    本章难点:

  • 基于RADIUS的认证计费

  • 扩展访问列表与应用


6033493

7.1 网络安全威胁与对策

网络的组成元素

  • 现有网络中存在的问题

  • 导致这些问题的原因是什么

  • 现有网络安全体制

  • 网络安全的演化

  • 病毒的演化趋势

  • 木马程序、黑客

  • 应用安全

  • 网络安全保护需求

  • 网络安全保护对策

元素说明: 该元素由网络交换机、路由器、防火墙等网络传输设备组成, 进行用户网络数据的交换处理。

网络节点

网络节点

网络节点

网络终端设备

网络传输

网络节点

网络节点

网络终端设备

网络终端设备

元素说明:

该元素由网络服务器,用户网络客户端等网络终端设备组成。

网络终端设备


6033493

IT 系统运维面临的问题

Internet

垃圾邮件

病毒破坏

黑客攻击

资源滥用

信息泄密

DOS攻击

拨号用户 D

拨号用户 A

拨号用户 B

拨号用户 C

不良信息

终端安全

信息丢失

未授权

接入

非法外

联监控

安全事

件处理


6033493

导致这些问题的原因是什么?

  • 病毒泛滥:计算机病毒的感染率比例非常高,高达89.73%

  • 软件漏洞:软件系统中的漏洞也不断被发现,从漏洞公布到出现攻击代码的时间为5.8天

  • 黑客攻击:世界上目前有20多万个黑客网站,各种黑客工具随时都可以找到,攻击方法达几千种之多。

  • 移动用户越来越多:网络用户往往跨越多个工作区域

以上相关数据来自Symantec。


6033493

现有网络安全体制

  • IDS

  • 68%

现有网络安全

防御体制

  • 防火墙

  • 98%

  • 杀毒软件

  • 99%

  • ACL(规则控制)71%

*2004 CSI/FBI Computer Crime and Security Survey

资料来源:Computer Security Institute


6033493

网络安全的演化

影响的目标和范围

安全事件对我们的威胁越来越快

波及全球的网络基础架构

地区网络

多个网络

单个网络

单台计算机

分钟

  • 下一代

  • 网络基础设施黑客攻击

  • 瞬间威胁

  • 大规模蠕虫

  • DDoS

  • 破坏有效负载的病毒和蠕虫

  • 第三代

  • 网络DOS攻击

  • 混合威胁(蠕虫+病毒+特洛伊)

  • 广泛的系统黑客攻击

  • 第二代

  • 宏病毒

  • DOS

  • 电子邮件

  • 有限的黑客攻击

  • 第一代

  • 引导性病毒

1980s

1990s

今天

未来


6033493

病毒的演化趋势

邮件/互联网

邮件

物理介质

Brain

CIH

Melissa

Love

Letter

Code Red

Nimda

funlove

Klez

SQL

Slammer

冲击波

震荡波

2004

1969

1986

1998

1999

2000

2003

2001

2002

攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战

IDC, 2004


6033493

病毒发展史

主流病毒行态

木马、蠕虫

1991

1994

1996

1998

1999

2000

2001

2002

2003

1990


6033493

基于文件的病毒

邮件群发病毒

引导区病毒

互联网

LAN服务器

防毒墙

台式电脑

电子邮件服务器墙

台式电脑

笔记本电脑

台式电脑

台式电脑

台式电脑

台式电脑

第2代

第3代

第1代

网络病毒

网络拥堵

服务器

台式电脑

服务器

笔记本电脑

互联网

已打补丁的机器

防毒墙

第4代

台式电脑

服务器

台式电脑

服务器

病毒发展史(续1)


6033493

攻击模式

随机攻击

随机攻击

随机攻击

WORM_SASSER.A

不被感染

Internet

被感染

被感染

未修补漏洞的系统

不被感染

被感染

已修补漏洞的系统

不被感染

不被感染

染毒电脑


6033493

补丁:MS03-026

2003年7月16日

补丁:MS04-011

2004年4月13日

2003年8月11日

2004年5月1日

冲击波

震荡波

补丁:MS02-039

2002年7月24日

2003年1月25日

蠕虫王

补丁:MS00-078

2000年10月17日

2001年9月18日

尼姆达

病毒出现越来越快

时间间隔

18天

26 天

185 天

336 天


6033493

网络病毒的特征

  • 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权

  • 在本地硬盘上并不留下文件

  • 由于其在网络上进行扫描的动作,可能会引起严重的网络负载

  • 如果攻击是属于常规的应用,例如SQL, IIS等就可能穿过防火墙


6033493

木马程序

  • 木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作中发现,越来越多的木马程序植入到我国重要信息系统中,根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题.

  • 中国地区危害最为严重的十种木马病毒,分别是:QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马

  • 系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下来,而木马病毒又会欺骗用户伪装成“好人”,达到其偷取隐私信息的险恶目的


6033493

木马程序

木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌

根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。


6033493

黑客攻击愈加猖獗

据国家计算机应急处理协调中心(CNCERT/CC)统计:2003年,我国互联网内共有272万台主机受到攻击,造成的损失数以亿计;

攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流


6033493

垃圾邮件成为公害

  • 据中国互联网中心统计,现在,我国用户平均每周受到的垃圾邮件数超过邮件总数的60%,部分企业每年为此投入上百万元的设备和人力,垃圾邮件泛滥造成严重后果

  • 它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容


6033493

垃圾邮件的发展速度和趋势

数据来源:Radicati,2004.6


6033493

应用安全

在应用安全问题中,在Windows平台上利用Windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关

  • 设计阶段

  • 开发阶段

  • 实施阶段

  • 使用阶段

  • 管理制度

  • 监督机制

  • 使用方法


6033493

广域网

如何进行信息系统的等级化保护?

移动用户D

各信息系统依据重要程度的等级需要划分不同安全强度的安全域,采取不同的安全控制措施和制定安全策略


6033493

用户如何管理现有安全资源并执行策略机制?

Internet

补丁服务器

p

p

p

p

p

p

p

p

p

p

p

p

p

打补丁了吗?

更新补丁了吗?

完成安全设施的重新部署或响应

制定安全策略指导或自动

  • 困境

    • 无法知道哪些机器没有安装漏洞补丁

    • 知道哪些机器但是找不到机器在哪里

    • 机器太多不知如何做起

  • 系统安全漏洞

    • 微软每周都有数个修正档需要更新

    • 2003年Windows 2000 Server有50个漏洞补丁

获得全局安全视图

如何从全局角度对安全状况分析、评估与管理


6033493

用户如何防止内部信息的泄露?

Internet

未经安全检查与过滤,

违规接入内部网络

私自拨号上网


6033493

用户如何实现积极防御和综合防范?

Internet

怎样定位病毒源

或者攻击源,怎

样实时监控病毒

与攻击


6033493

?


6033493

网络基础设施保护需求

Internet

语音教室网段

校园网服务器群

网站

教学网段3

教学网段4

教学网段2

教学网段5

教学网段1

网管网段

财务网段

数字图书馆网段

内部办公

网段1

多媒体教室网段

内部办公N

OA网段

1、网络设备

2、通讯设备

3、通讯线路

4、可用性

5、机密性

6、完整性

7、可管理性

办公自动化系统

其他应用系统

......

边界进出数据流

的有效控制与监视

操作系统

数据库系统

终端

保护应用业务系统

保护边界与外部连接

保护计算环境

保户网络与基础设施的安全


6033493

2

4

5

3

1

6

Intranet

网络边界与外部连接的保护需求

边界处的认证与授权

边界处的病毒与恶意代码防护

边界处的垃圾邮件和内容过滤

边界处的访问控制

边界内部的网络扫描与拨号监控

边界处的网络入侵检测


6033493

计算环境的保护需求

6

5

8

7

3

2

1

4

主机脆弱性扫描

基于主机的恶意代码和病毒检测

基于主机的入侵检测

主机文件完整性检查

主机系统加固

主机用户认证与授权

主机数据存储安全

主机访问控制


6033493

添加所有

操作系统Patch

DMZ

? E-Mail? File Transfer

? HTTP

关闭安全维护

“后门”

更改缺省的

系统口令

教学区

Internet

中继

教务区

入侵检测

实时监控

路由

用户安全培训

数据文件加密

财务部

Intranet

人事部

授权复查

外部/个体

内部/个体

内部/组织

外部/组织

学校网络

安装认证 & 授权

安 全 隐 患

管理分析 & 实施策略

Modem


6033493

信息安全的目的

看不懂

跑不了

可审查

进不来

拿不走

改不了

打不垮


6033493

采取的解决办法一

对于非法访问及攻击类

-----在非可信网络接口处安装

访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统


6033493

Internet

防火墙、IPSEC VPN、SSL VPN、内容过滤等

防DOS/DDOS设备

教学网段4

个人安全套件

校园网服务器群

教学网段3

语音教室网段

教学网段2

教学网段5

网管网段

财务网段

数字图书馆网段

内部办公

网段1

多媒体教室网段

内部办公N

OA网段

领导网段


6033493

采取的解决办法二

对于病毒、蠕虫、木马类

-----实施全网络防病毒系统

对于垃圾邮件类

-----在网关处实施防垃圾邮件系统


6033493

Internet

邮件过滤网关、反垃圾邮件系统

教学网段4

校园网服务器群

教学网段3

在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统

语音教室网段

教学网段2

教学网段5

网管网段

内部办公

网段1

内部办公N

财务网段

多媒体教室网段

OA网段

数字图书馆网段

领导网段


6033493

采取的解决办法三

对于内部信息泄露、非法外联、内部攻击类

-----在各网络中安装IDS系统

-----在系统中安装安全隐患扫描系统

-----在系统中安装事件分析响应系统

-----在主机中安装资源管理系统

-----在主机中安装防火墙系统

-----在重要主机中安装内容过滤系统

-----在重要主机中安装VPN系统


6033493

Internet

教学网段4

校园网服务器群

教学网段3

语音教室网段

教学网段2

教学网段5

网管网段

人事商务网段

内部办公

网段1

内部办公N

财务网段

多媒体教室网段

OA网段

数字图书馆网段

领导网段


6033493

采取的解决办法四

对于系统统一管理、信息分析、事件分析响应

-----在网络中配置管理系统

-----在网络中配置信息审计系统

-----在网络中配置日志审计系统

-----在网络中补丁分发系统

-----在网络中配置安全管理中心


6033493

Internet

教学网段4

01010100

01010100

01010100

校园网服务器群

教学网段3

语音教室网段

安全审计中心

01010100

01010100

教学网段2

教学网段5

网管网段

01010100

01010100

01010100

01010100

01010100

01010100

销售体系

网段N

内部办公

网段1

内部办公N

财务网段

多媒体教室网段

OA网段

数字图书馆网段

01010100

领导网段


6033493

Internet

专家库

安全管理中心

教学网段4

校园网服务器群

教学网段3

语音教室网段

安服网段

教学网段5

网管网段

内部办公

网段1

内部办公N

财务网段

多媒体教室网段

OA网段

数字图书馆网段

领导网段


6033493

问题时间


6033493

7.2 网络安全接入与认证

  • 802.1x协议及工作机制

  • 基于RADIUS的认证计费

  • 基于802.1x的认证计费

  • 几种认证方式比较

  • 防止IP地址盗用

  • 802.1x+RADIUS的应用案例


7 2 1 802 1x

7.2.1 802.1x协议及工作机制

  • 802.1x协议称为基于端口的访问控制协议(Port Based Network Access Control Protocol),该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP(Extensible Authentication Protocol,可扩展的认证协议)代理,用户PC机运行EAPoE(EAP over Ethernet)的客户端软件与交换机通信。


7 2 1 802 1x1

7.2.1 802.1x协议及工作机制

  • 802.1x协议包括三个重要部分:

  • 客户端请求系统(Supplicant System)

  • 认证系统(Authenticator System)

  • 认证服务器(Authentication Server System)

认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoE协议帧,保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通,用于传递网络信息。如果用户未通过认证,受控端口处于非导通状态,则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式,以适应不同的应用环境。

上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件发起802.1x协议的认证过程。


7 2 2 radius

7.2.2 基于RADIUS的认证计费

  • 衡量RADIUS的标准

    RADIUS的性能是用户该关注的地方,比如,能接受多少请求以及能处理多少事务。同时遵循标准,并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点,服务器在和网络接入服务器(NAS,Network Access Servers)通信的过程中是如何保证安全和完整性的。另外,RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额,这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC,利用SQL Server数据库保存和访问用户配置文件。

  • RADIUS认证系统的组成

  • RADIUS是一种C/S结构的协议。Radius Client一般是指与NAS通信的、处理用户上网验证的软件;Radius Server一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理,这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。如下图。

  • RADIUS的工作原理

  • 用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、口令等相关信息。其中用户口令是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证。如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问。如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。


7 2 3 802 1x

7.2.3 基于802.1x的认证计费

(1)用户开始上网时,启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时,就会向请求者发送响应的包,要求用户输入登录用户名及口令。

(2)客户端收到交换机的响应后,提供身份标识给认证服务器。由于此时客户端还未经过验证,因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器,进行认证。

(3)如果认证通过,则认证系统的交换机的受控逻辑端口打开。

(4)客户端软件发起DHCP请求,经认证交换机转发到DHCP Server。

(5)DHCP Server为用户分配IP地址。

(6)DHCP Server分配的地址信息返回给认证系统的服务器,服务器记录用户的相关信息,如用户ID,MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。

(7)当认证交换机检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。

(8)当用户退出网络时间,可用鼠标点击客户端软件(在用户上网期间,该软件处于运行状态)的“退出”按钮。认证系统检测到该数据包后,会通知AAA(Authentication,Authorization,Accounting)服务器停止计费,并删除用户的相关信息(如MAC和IP地址),受控逻辑端口关闭。用户进入再认证状态。

(9)如果上网的PC机异常死机,当验证设备检测不到PC机在线状态后,则认为用户已经下线,即向认证服务器发送终止计费的信息。


7 2 4

7.2.4 几种认证方式比较

PPPoE:

PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在客户机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在客户机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率较低。

Web+DHCP:

采用旁路方式网络架构时,不能对用户进行类似带宽管理。另外,DHCP是动态分配IP地址,但其本身的成熟度加上设备对这种方式支持力度还较小,故在防止用户盗用IP地址等方面,还需要额外的手段来控制。除此之外,用户连接性差,易用性不够好。

802.1x:

802.1x协议为二层协议,不需要到达三层,而且接入交换机无须支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。在认证过程中,802.1x不用封装帧到以太网中,效率相对较高。


7 2 5 ip

7.2.5 防止IP地址盗用

1. 使用ARP命令

(1)使用操作系统的ARP命令

进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP –s 202.207.176.3 00-10-5C-AD-72-E3,即可把MAC地址00-10-5C-AD-72-E3和IP地址202.207.176.3捆绑在一起。这样,就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。

ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后,地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。

ARP命令的参数的功能如下:ARP -s -d -a

-s:将相应的IP地址与物理地址的捆绑,如以上所举的例子。

-d:删除相应的IP地址与物理地址的捆绑。

-a:通过查询ARP协议表显示IP地址和对应物理地址的情况。

(2)使用交换机的ARP命令

例如,Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定,一般采用静态绑定。其绑定操作过程是:采用Telnet命令或Console口连接交换机,进入特权模式;输入config,进入全局配置模式;输入绑定命令:arp 202.207.176.3 0010.5CAD.72E3 arpa;至此,即可完成绑定。绑定的解除,在全局配置模式下输入:no arp 202.207.176.3即可。


7 2 5 ip1

7.2.5 防止IP地址盗用

2. 使用802.1x的安全接入与Radius认证

(1)采用IP和账号绑定,防止静态IP冲突

用户进行802.1x认证时,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时,因为认证服务器端该用户账号和其IP做了绑定,认证服务器对其不予通过认证,从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后,再更改IP时,Radius客户端软件能够检测到IP的更改,即刻剔除用户下线,从而不会造成IP冲突。

(2)采用客户IP属性校验,防止动态IP冲突

用户进行802.1X认证前不用动态获得IP,而是静态指定。认证前用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证,因为认证服务器端该用户账号的IP属性是动态IP,认证报文中该用户的IP属性确是静态IP,则认证服务器对其不予通过认证,从而同样不会造成IP冲突。


7 2 6 802 1x radius

7.2.6 802.1x+RADIUS的应用案例


6033493

7.3 加固操作系统的安全

操作系统是Web服务器的基础,虽然操作系统本身在不断完善,对攻击的抵抗能力日益提高,但是要提供完整的系统安全保证,仍然有许多安全配置和管理工作要做。


7 3 1

7.3.1系统服务包和安全补丁

微软提供的安全补丁有两类:服务包(Service Pack)和热补丁(Hot fixes)。

服务包已经通过回归测试,能够保证安全安装。每一个Windows的服务包都包含着在此之前所有的安全补丁。微软公司建议用户及时安装服务包的最新版。安装服务包时,应仔细阅读其自带的Readme文件并查找已经发现的问题,最好先安装一个测试系统,进行试验性安装。

安全热补丁的发布更及时,只是没有经过回归测试。

在安装之前,应仔细评价每一个补丁,以确定是否应立即安装还是等待更完整的测试之后再使用。在Web服务器上正式使用热补丁之前,最好在测试系统上对其进行测试。


6033493

安全补丁下载


6033493

Windows Update自动更新服务

Windows 自动更新是 Windows 的一项功能,当适用于您的计算机的重要更新发布时,它会及时提醒您下载和安装。

使用自动更新可以在第一时间更新您的操作系统,修复系统漏洞,保护您的计算机安全。


6033493

Windows Update自动更新服务


6033493

Windows Update自动更新服务

一、选择“开始”,“运行”,输入gpedit.msc,打开组策略窗口。


6033493

Windows Update自动更新服务

二、选择“管理模板”,然后从菜单中选择“操作”,“添加/删除模板”。


6033493

Windows Update自动更新服务

三、在“添加/删除模板”窗口中选择“添加”。


6033493

Windows Update自动更新服务

四、在“策略模板”中选择“wuau.adm”,并选择“打开”。


6033493

Windows Update自动更新服务

五、选择“关闭”,关闭“添加/删除模板”窗口。


6033493

Windows Update自动更新服务

六、选择“计算机配置”->“管理模板”->“Windows 组件”->“Windows Update”,并选择“配置自动更新”。


6033493

Windows Update自动更新服务

七、在“配置自动更新”的属性窗口中,选择“启用”,并选择“确定”。


6033493

Windows Update自动更新服务

八、在“指定Intranet Microsoft更新服务器位置”的属性窗口中,选择“启用”,并在“设置检测更新的Intranet更新服务:”框中输入“http://服务器域名或IP地址”,在“设置Intranet统计服务器:”框中输入“http://服务器域名或IP地址”,并选择确定。

九、关闭组策略窗口。


6033493

Windows Update自动更新服务

注意:一般运行完更新脚本后更新并不会立刻开始,需要等待一段时间(30min以内),请放心,您的电脑一旦发现有新的更新存在会立刻自动给出下载安装的提示以及各种更新的详细说明(屏幕右下角会冒出来一个图标)。

此更新服务目前不提供对 Windows9x/Windows Me/Windows NT 更新的支持,以下系统直接支持自动更新:

Microsoft Windows 2000 SP3 或更高版本

Microsoft Windows XP SP1 或更高版本

Microsoft Windows Server(tm) 2003

使用此更新同微软的在线升级并无冲突,您仍然可以随时访问 http://www.windowsupdate.com 来进行在线升级。


7 3 2 1

7.3.2 限制用户权限-1

  • 禁止或删除不必要的账户 (如Guest )

  • 设置增强的密码策略

    ·密码长度至少9个字符。·设置一个与系统或网络相适应的最短密码存留期(典型的为1~7天)。

    ·设置一个与系统或网络相适应的最长密码存留期(典型的不超过42天)。·设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。


7 3 2 2

7.3.2 限制用户权限-2

  • 设置账户锁定策略

(1)复位账户锁定计数器。用来设置连续尝试的时限。

(2)账户锁定时间。用于定义账户被锁定之后,保持锁定状态的时间。

(3)账户锁定阈阀值。用于设置允许用户连续尝试登录的次数。


7 3 2 3

7.3.2 限制用户权限-3

  • 加强管理员账户的安全性

  • (1)将Administrator重命名,改为一个不易猜测的名字。

  • (2)为Administrator账户设置一个复杂密码,由多种字符类型(字母、数字和标点符号等)构成,密码长度不能少于9个字符。

  • (3)建立一个伪账户,其名字虽然是Administrator,但是没有任何权限。定期审查事件日志,查找对该账户的攻击企图。

  • (4)使用Passprop.exe工具设置管理员账户的锁定阀值。

  • (5)除管理员账户外,有必要再增加一个属于管理员组(Administrators)的账户,作为备用账户。


7 3 2 4

7.3.2 限制用户权限-4

  • Web服务器的用户账户尽可能少

  • 严格控制账户特权

    可使用本地安全策略(或域安全策略)管理器来设置用户权限指派,检查、授予或删除用户账户特权、组成员以及组特权。


6033493

7.3.3加固文件系统的安全

  • 确保使用NTFS文件系统

    安装Windows 2000服务器时,最好将硬盘的所有分区设置为NTFS分区,而不要先使用FAT分区,再转换为NTFS分区。Web服务器软件应该安装在NTFS分区上。

  • 设置NTFS权限保护文件和目录

    要使用NTFS权限来保护目录或文件,必须具备两个条件。

    ① 要设置权限的目录或文件必须位于NTFS分区中。

    ② 对于要授予权限的用户或用户组,应设立有效的Windows账户。

  • 禁用NTFS的8.3文件名生成


6033493

7.3.4删除或禁用不必要的组件和服务

  • 禁止或删除不必要的系统服务

  • ① ClipBookSewer。该服务允许通过网络取得系统剪贴板内容的访问权。该服务很容易被非法滥用,应禁止这项服务。

  • ② Computer Browser。该服务会引起网络性能的下降以及名字解析的问题。对于Web服务器来说没有必要使用该服务,可以考虑禁止。

  • ③ Net Logon。用于网络认证。对于Web服务器来说没有必要,可以考虑禁止。

  • ④ Network DDE and DDE DSDM。如果不需要动态数据交换,应禁止该项服务。

  • ⑤ Remote Registor Service。该服务允许进行远程注册表操作,应禁止该项服务。

  • ⑥ Routing and Remote Access Service。用于支持远程访问及路由功能。对于Web服务器可考虑禁止该项服务。

  • ⑦ Schedule。运行计划作业所需的服务。如果不用高度任务,应禁止该服务。

  • ⑧ Server。用于将本系统的资源共享。对于Web服务器来说,不应当提供文件及打印共享,应禁止该服务。

  • ⑨ Elephony Server。用于支持RAS。如果不使用RAS,应禁止该服务。

  • ⑩ Time Service。进行时钟同步的服务,可以将本地时钟校准成选定的某个远程主机上的当前时钟。如果不需要时钟同步,可以禁止该服务。

  • ⑾ UPS。用于支持不间断电源系统。如果服务器不监控UPS,则禁止该服务。

  • ⑿ WorkStation。用于访问其他Windows 2000系统的共享资源。如果服务器不需要访问其他Windows 2000系统的共享资源,可考虑禁止该服务。


6033493

  • 禁用某项系统服务操作:

在“计算机管理”控制台中打开“服务”项目,停止某项系统服务,并更改启动类型,最好设置为“已禁用” 。


6033493

  • 删除某组件操作:

要彻底清除某些服务,可通过删除Windows组件的方式来实现。从控制面板中选择“添加/删除程序”→“添加/删除Windows组件”,启动Windows组件向导来删除某些组件


6033493

  • 禁止或删除不必要的网络协议

  • Web服务器系统只保留TCP/IP协议,删除NetBEUI、IPX/SPX协议。卸载“Microsoft网络的文件和打印机共享”。从“网络和拨号连接”文件夹中打开任一连接的属性设置对话框,鼠标单击“卸载”按钮删除该组件。

禁用TCP/IP上的NetBIOS

卸载“文件和打印机共享”


6033493

  • 尽可能减少不必要的应用程序

如果不是绝对需要,就应该避免在服务器上安装应用程序。例如,不要安装E-mail客户端、Office产品及工具;或者对于服务器正常运行并不必需的工具。如果已经计划用服务器提供Web服务,那么不必为服务器添加外部应用程序。然而,当配置Web服务器以及开发Web站点时,为了实现其功能,可能会为其添加必要的工具。

  • 删除不必要的OS/2和POSIX子系统

    OS/2和POSIX子系统分别支持为OS/2和POSIX开发的应用程序。在安装Windows 2000的同时这些子系统也会被安装,应删除这些子系统。操作系统的任何部分都存在弱点,可能被攻击,删除这些额外的部分可以堵住可能出现的漏洞。


6033493

7.3.5网络共享控制

Web服务是通过HTTP或FTP而不是文件共享来进行文件访问。默认情况下,Windows 2000提供不少网络共享资源,这对局域网内部的网络管理和网络通信很方便;但对Web服务器系统却是一个重大的安全隐患。应该删除掉所有不必要的文件共享,以避免造成重要信息的泄漏。

应该取消默认隐藏的管理性共享(如C$、D$等),其办法是修改注册表。在注册表键HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下面增加一个键值。对于Server版,添加键值“AutoShareServer”,类型为“REGDWORD”,值为“0”。


6033493

7.3.6 保护注册表及安全设置

  • 保护注册表

    系统注册表存储了关于系统的重要数据,这些数据关系到系统正常运行和安全。必须有效地保护注册表,防止攻击者非法存取和修改注册表,导致的系统崩溃或重要信息被窃取。

  • 注册表安全设置

    (1)阻止SYN泛洪攻击

    (2)禁止空连接访问

    (3)禁止Internet打印

    (4)禁止匿名登录


7 3 7

7.3.7 日志和审核

对于系统安全来说,应当启用日志和审核功能,以记录攻击者入侵安全事件,便于管理员审查和跟踪。Windows 2000的安全日志可以记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录事件。例如,如果已启用登录审核,登录系统的尝试将记录在安全日志里。

定义审核的事项

设置审核策略


6033493

安全事件查看

对审核结果,要通过事件查看器来查看。打开事件查看器窗口,鼠标双击大目录树中的“安全日志”,详细信息窗格中显示安全日志,如下图所示。


6033493

7.3.8 文件系统加密

EPS在Windows 2000中可通过一个高级文件属性使得对文档加密有效。要加密一个文件夹的内容,在Windows资源管理器中定位到该文件夹,鼠标右键单击文件夹,鼠标左键单击“属性”打开“属性”窗口,如左图所示。

文件夹属性窗口

加密文件或文件夹窗口


6033493

7.3.9 系统防病毒策略与案例

  • 系统防病毒策略

  • 病毒是系统中最常见的安全威胁,提供有效的病毒防范措施是系统安全的一项重要任务。对于Web服务器来说,安装防病毒软件并对病毒库进行及时更新显然是非常必要的。在为Web服务器选择病毒解决方案时,应考虑以下几个方面。

  • ① 尽可能选择服务器专用版本的防病毒软件,如瑞星杀毒软件(网络)服务器版。

  • ② 注意网络病毒的实时预防和查杀功能。

  • ③ 考虑是否提供对软盘启动后NTFS分区病毒的查杀功能,这样可以解决因系统恶性病毒而导致系统不能正常启动的问题。


6033493

  • 应用案例-分布式病毒防御系统

瑞星网络版的防杀毒系统


6033493

7.4 设置Web服务器的安全

7.4.1 IIS的安全机制

(1)客户端Web服务器提出请求。

(2)如果服务器需要进行身份验证,则向客户端提出身份验证请求信息。浏览器既可以提示用户输入用户名和密码,也可以自动提供这些信息。

(3)服务器将接收的客户IP地址同限制访问的IP地址进行比较,如果IP地址是禁止访问的,则请求失败;同时用户收到“403禁止访问”消息,否则继续下面的审查。

(4)IIS检查用户是否拥有有效的Windows用户账户。如果用户没有,则请求失败;同时用户收到“403访问禁图4.15 IIS访问控制过程

止”消息。否则继续下面的审查。

(5)IIS检查用户是否具有请求资源的Web权限。如果用户没有,则请求失败;同时用户将得到“403访问禁止”消息。否则继续下面的审查。

(6)IIS检查资源的NTFS权限。如果用户不具备资源的NTFS权限,则请求失败,同时用户将得到“401访问被拒绝”消息。

(7)如果用户具有NTFS权限,则可完成该请求。


6033493

7.4.2 设置IP地址限制

IIS可以通过设置IP地址访问限制,来防止或者允许某些特定的计算机、计算机组甚至整个网络访问Web站点。

当用户的计算机通过代理服务器或地址转换服务器(NAT)访问远程Web服务器时,IIS接受到的是代理服务器或地址转换服务器的IP地址,而不是用户计算机的IP地址。

IP地址及域名限制


6033493

验证方法

安全级别

对服务器的要求

对客户端的要求

注释

匿名

IUSR计算机名账户

任何浏览器

Internet 上的公共区域

基本

有效账户

输入用户名和密码

发送未加密的密码

简要

所有密码的纯文本文件、有效账户

兼容性

可跨代理服务器和其他防火墙使用

集成

有效账户

浏览器支持

证书

获取服务器证书,配置证书信任列表

浏览器支持

广泛用于Interner 上的安全交易

7.4.3 设置用户身份验证


6033493

7.4.3 设置用户身份验证

IIS验证用户身份有三种方式:


6033493

7.4.3 设置用户身份验证

设置匿名账号

要更改匿名用户账户,在“验证方法”对话框中,单击“匿名访问”区域中的“编辑”,打开如下图所示的“匿名用户账户”对话框,输入要用于匿名访问的有效Windows用户账户。


6033493

7.4.4 设置Web服务器权限

应慎重设置Web站点目录的访问权限,防止攻击者利用。不要对目录授予“写入”和“目录浏览”的权限,更不要授予“脚本资源访问”权限,以防止攻击者从ASP应用程序的脚本中查看敏感信息。对于脚本应用程序目录,不要选中“索引此资源”。


6033493

7.4.5 控制IIS应用程序

  • 设置执行许可

只有在有执行文件(如DLL文件)时,才选择“脚本和可执程序”。

对于ASP文件目录,在“执行许可”中只授予“纯脚本”的权限,不要授予“执行”权限。


6033493

应用程序映射属性页

可以,

我在这里。

使用应用程序映射属性页可以将文件扩展名映射到处理这些文件的程序或解释器。映射的应用程序包括ASP应用程序、IDC应用程序等。例如,当Web服务器收到扩展名为.asp的页的请求时,将通过应用程序映射,调用可执行文件asp.dll 来处理.asp的页。


6033493

删除不必要的IIS扩展名映射

一般应删除.htr、.idc、.stm、shtm、shtml、.printer、.htw、.ida和.idp等脚本映射。

右图中列出了与可执行文件和可执行文件名相关联的文件扩展名。如果“(all)”显示在列表中,则所有动作都将发送到应用程序。“(all)”不是动作。


6033493

禁止父路径选项

因为该选项允许用户在调用函数(如MapPath)时使用“..”,这样会带来安全隐患。


6033493

NTFS权限

Web服务器权限

针对特定用户账户或用户组的,用于拥有Windows账户的特定用户或用户组

针对所有用户的,用于所有访问Web站点的用户

控制对服务器物理目录的访问

控制对Web站点虚拟目录的访问

由Windows操作系统设置

由Internet服务管理器设置

7.4.6 设置目录或文件的NTFS权限

表7.2 NTFS权限与Web服务器权限的比较


6033493

设置目录或文件的NTFS权限

① 对于根目录,应拒绝匿名用户账户的访问,并选中“允许将来自父系的可继承权限传播给该对象”选项,将此访问权限覆盖子目录中的设置;然后再根据不同子目录中数据的类型为其设置访问权限,这样可进一步保障Web站点的安全。

② 最好将不同类型的文件存放在不同的目录中,授予不同的NTFS权限。例如,将可执行程序和脚本文件分离。

③ 对于包含可执行程序(如CGI程序)的目录,只授予“运行”权限,不要授予“读取”权限,并拒绝匿名用户访问。

④ 对于包含脚本文件(ASP页面)的目录,只授予“运行”权限,不要授予“读取”权限,并拒绝匿名用户访问。

⑤ 对于服务器端包含指令的文件(如INC、SHTM和SHTML等)的目录,只授予“运行”权限,并拒绝匿名用户访问。

SHTML是一种用于SSI(Server Side Include)技术的文件。一些Web Server若有SSI功能,则会对SHTML文件特殊处理。先扫描一次SHTML文件看没有特殊的SSI指令存在,若有就按Web Server设定规则解释SSI指令,解释完后与一般HTML一起调去客户端。

⑥ 对于包含静态页面文件(如HTML、JPG和GIF等)的目录,只允许匿名用户有“读取”权限。

⑦ 最好为每个文件类型创建一个新目录,在每个目录上设置NTFS权限,并允许权限传递给各个文件。例如,静态页面单独一个目录,图形、像单独一个目录,脚本文件单独一个目录。


6033493

7.4.7 审核IIS日志记录

  • 设置日志审核步骤

选择日志格式和创建策略

在“日志文件目录”框中设置日志的文件路径。为安全起见,最好不要使用缺省的目录。应更换默认的日志路径,并设置日志文件目录的访问权限。只允许管理员和System账号具有完全控制权限,只允许对Everyone组账户授予读写权限。


6033493

日志记录扩充属性设置

  • 对于单个计算机上有多个Web站点的情况,服务器IP地址和服务器端口这两个日志选项很有用。Win32状态选项有利于调试。例如,检查日志发现有错误代码,可通过执行命令net help msg err_no(err_no代表错误代号)来了解更多的Win32错误。


6033493

日志审核示例

  • Web-IA网站分析与管理操作界面


7 4 8 iis

7.4.8 IIS选项或相关组件筛选

  • 删除Web服务之外的其他IIS服务

  • 例如,只保留HTTP,删除SMTP、NNTP、FTP和Indexing Service(索引服务)等。

  • 删除FrontPage服务扩展

  • FrontPage服务器扩展用于支持通过FrontPage开发的、具有某些特殊功能的Web页面,以及通过FrontPage Web站点工具发布Web内容。如果Web站点不是通过FrontPage开发的,或者不需要这些特殊功能,Web服务器就不需要FrontPage支持,应当删除FrontPage服务器扩展。

  • 停止或删除默认站点

  • 在新的目录下新建Web站点,该目录不要放在Inetpub\wwwroot下,最好放在与它不同的分区下 。

  • 禁止或删除IIS的所有示例程序

  • 禁止或删除不必要的COM组件

图 1.5 Web系统的组成结构


7 4 9

名称

位置

HisecwebSecurity Template(Hisecweb.inf)

Support.micosoft.com/support/misc/kblookup.asp?id=Q316347

IIS Lockdown Wizard, V2.1

www.microsoft.com./downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en

IIS 5.0 Baseline Security Checklist

www.microsoft.com/technet/security/

Secure Internet Information Services 5 Checklist

www.microsoft.com/technet/security/

NSA Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0

http.//nsa2.www.conxion.com/win2k/download.htm

7.4.9 安全加固工具及应用

图1.8 Browser/Server三层体系结构


6033493

使用IIS锁定向导加固系统安全

  • ① 执行下载的文件iislockd.exe,启动向导进行配置,根据提示进行操作。

  • ② 当出现如右图所示的对话框时,选择所需的服务器模板。这里选择“Dynamic Web Server(ASP enabled)”。再选中“View template settings”复选框,出现更为详细的配置窗口。

选择服务器模板


6033493

使用IIS锁定向导加固系统安全

③ 鼠标单击“下一步”,出现对话框后,选择要启动的IIS服务。

④ 鼠标单击“下一步”,出现对话框后,设置要关闭的脚本映射。

⑤ 鼠标单击“下一步”,出现对话框后,设置其他安全选项(右图)。


6033493

使用IIS锁定向导加固系统安全

⑥ 鼠标单击“下一步”,出现对话框后,决定是否安装URLScan。默认选中“Install URLScan filter on the server”复选框。

⑦ 鼠标单击“下一步”,出现“IIS Lockdown Wizard要改变内容”的提示。如果要改变选项,可单击“上一步”,重新设置。如果设置符合要求,即单击“下一步”,执行IIS锁定处理过程。如果要查看处理细节,可单击“View Report”按钮。

⑧ 执行IIS锁定处理过程结束后,出现“Completing the Internet Information Services Lockdown Wizard”的对话框后,鼠标单击“完成”。

URLScan安装为ISAPI筛选器


7 4 10 ssl

7.4.10 SSL安全机制

  • SSL是一种安全性很高的认证方式,是通过SSL安全机制使用的数字证书。SSL位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。

  • 使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端。客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器;而会话密钥只有在服务器端用私人密钥才能解密。这样,客户端和服务器端就建立了一个惟一的安全通道。

  • 建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入https://,而不是http://。


6033493

7.5 保护网络边界

网络边界

  • 防火墙和路由器应用

  • 使用网络DMZ

  • 构建入侵检测系统

  • 路由器认证技术及应用


6033493

防火墙和路由器应用-1

边界安全设备叫做防火墙。防火墙阻止试图对组织内部网络进行扫描,阻止企图闯入网络的活动,防止外部进行拒绝服务(DoS,Denial of Service)攻击,禁止一定范围内黑客利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。不管在网络中每一段用的是什么类型的网络(公共的或私有的)或系统,防火墙都能把网络中的各个段隔离开并进行保护。

双防火墙体系结构


6033493

防火墙和路由器应用-2

  • 防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作(下图),边界路由器是安全的第一道屏障。通常的做法是,将路由器设置为执报文筛选和NAT,而让防火墙来完成特定的端口阻塞和报文检查,这样的配置将整体上提高网络的性能。

  • 根据这个网络结构设置防火墙,最安全也是最简单的方法就是:首先阻塞所有的端口号并且检查所有的报文,然后对需要提供的服务有选择地开放其端口号。通常来说,要想让一台Web服务器在Internet上仅能够被匿名访问,只开放80端口(http协议)或443端口(https–SSL协议)即可。


6033493

使用网络DMZ

  • 把Web服务器放在DMZ中,必须保证Web服务器与的Intranet处于不同的子网。这样当网络流量进入路由器时,连接到Internet上的路由器和防火墙就能对网络流量进行筛选和检查了。这样,就证实了DMZ是一种安全性较高的措施;所以除了Web服务器,还应该考虑把E-mail(SMTP/POP)服务器和FTP服务器等,也一同放在DMZ中 。


7 5 3 acl

7.5.3 ACL的作用与分类

  • ACL概貌

  • ACL配置

  • 扩展ACL

  • ACL应用


6033493

什么是ACL?

  • ACL是针对路由器处理数据报转发的一组规则,路由器利用这组规则来决定数据报允许转发还是拒绝转发

    • 如果不设置ACL路由器将转发网络链路上所有数据报,当网络管理设置了ACL以后可以决定哪些数据报可以转发那些不可以

    • 可以利用下列参数允许或拒绝发送数据报:

      • 源地址

      • 目的地址

      • 上层协议(例如:TCP & UDP端口号)

    • ACL可以应用于该路由器上所有的可路由协议,对于一个接口上的不同网络协议需要配置不同的ACL


6033493

使用ACL检测数据报

  • 为了决定是转发还是拒绝数据报,路由器按照ACL中各条语句的顺序来依次匹配该数据报

    • 当数据报与一条语句的条件匹配了,则将忽略ACL中的剩余所有语句的匹配处理,该数据报将按照当前语句的设定来进行转发或拒绝转发的处理

  • 在ACL的最后都有一条缺省的“deny any”语句

    • 如果ACL中的所有显式语句没有匹配上,那么将匹配这条缺省的语句

  • ACL可以实时的创建,即实时有效的;因此不能单独修改其中的任何一条或几条,只能全部重写

    • 因此,不要在路由器上直接编写一个大型的ACL,最好使用文字编辑器编写好整个ACL后传送到路由器上,传送的方法有多种:TFTP、HyperTerm软件的“Paste to Host”功能


6033493

路由器如何使用ACL(出站)

  • 检查数据报是否可以被路由,可路由地将在路由表中查询路由

  • 检查出站接口的ACL

  • 如果没有ACL,将数据报交换到出站的接口

  • 如果有ACL,按照ACL语句的次序检测数据报直至有了匹配条件,按照匹配条件的语句对数据报进行数据报的允许转发或拒绝转发

  • 如果没有任何语句匹配,将怎样?——使用缺省的“deny any”(拒绝所有)语句


6033493

出站标准ACL处理流程

进行路由表的查询

接口有ACL?

出站数据报

源地址匹配?

列表中的下一项

更多的项目?

执行条件

拒绝Deny

允许Permit

向源站发送ICMP信息

转发数据报


6033493

两个基本的步骤(标准ACL)

  • 在全局配置模式下按序输入ACL语句

    Router(config)#access-list access-list-number{permit/deny} {test-conditions}

    Lab-D(config)#access-list 1 deny 192.5.5.10 0.0.0.0

  • 在接口配置模式中配置接口使用的ACL

    Router(config-if)#{protocol} access-groupaccess-list-number {in/out}

    Lab-D(config-if)#ip access-group 1 out


Access list number

access-list-number参数

  • ACL有多种类型,access-list-number与ACL的类型有关

  • 下表显示了主要的一些ACL类型与access-list-number的关系

Router(config)#access-list access-list-number{permit/deny}{test-conditions}


Permit deny

Permit

Deny

转发数据报

向源站发送ICMP消息

permit/deny参数

  • 在输入了access-list命令并选择了正确的access-list-number后,需要使用permit或deny参数来选择希望路由器采取的动作

Router(config)#access-list access-list-number{permit/deny}{test-conditions}


Test conditions

{test-conditions}参数

  • 在ACL的{test conditions}部分,需要根据存取列表的不同输入不同的参数

  • 使用最多的是希望控制的IP地址和通配符掩码

  • IP地址可以是子网、一组地址或单一节点地址

  • 路由器使用通配符掩码来决定检查地址的哪些位

通配符掩码

IP地址

Lab-A(config)#access-list 1 deny 192.5.5.10 0.0.0.0

Router(config)#access-list access-list-number{permit/deny}{test-conditions}


6033493

通配符掩码

  • 通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位

  • 通配符掩码中为“0”的位表示需要检查的位,为“1”的位表示忽略检查的位,这与子网掩码中的意义是完全不同的

  • 192.5.5.10 0.0.0.0二进制方式的表示如下:

    11000000.00000101.00000101.00001010 (源地址)

    00000000.00000000.00000000.00000000 (通配符掩码)


6033493

通配符掩码


6033493

通配符掩码练习

  • 之后若干张幻灯片中将练习处理通配符掩码,类似于子网掩码,这需要一段时间掌握

  • 计算表示下列网络中的所有节点的通配符掩码:192.5.5.0 255.255.255.0

  • 答案:192.5.5.0 0.0.0.255

    • 这个通配符掩码与C类地址的子网掩码正好相反

    • 注意:针对整个网络或子网中所有节点的通配符掩码一般都是这样的


6033493

通配符掩码练习

  • 计算表示下列子网中所有节点的通配符掩码: 192.5.5.32 255.255.255.224

    • 答案是:192.5.5.32 0.0.0.31

    • 0.0.0.31与255.255.255.224正好相反

    • 二进制的形式

      • 11111111.11111111.11111111.11100000 (255.255.255.224)

      • 00000000.00000000.00000000.00011111 (0.0.0.31)

    • 为了证明通配符掩码的工作,请看.32子网中的节点地址——192.5.5.55

      • 11000000.00000101.00000101.00110111 (192.5.5.55) 节点地址

      • 11000000.00000101.00000101.00100000 (192.5.5.32) IP地址

      • 00000000.00000000.00000000.00011111 (0.0.0.31)通配符掩码


6033493

通配符掩码练习

  • 在下面的例子中,蓝色的位是必须匹配检查的位

    • 11000000.00000101.00000101.00110111 (192.5.5.55) 节点地址

    • 11000000.00000101.00000101.00100000 (192.5.5.32) 控制的ip地址

    • 00000000.00000000.00000000.00011111 (0.0.0.31) 通配符掩码

  • 必须牢记:通配符掩码中为“0”的位表示需要检查的位,为“1”的位表示忽略检查的位

  • 在本例中,根据通配符掩码中为0的位,比较数据报的源地址和控制的IP地址中相关的各个位,当每位都相同时,说明两者匹配

  • 针对掩码为255.255.255.192的192.5.5.64子网的控制IP地址和通配符掩码?

    • 答案:192.5.5.64 0.0.0.63


  • 6033493

    通配符掩码练习

    • 针对掩码为255.255.127.0的172.16.127.0子网的控制IP地址和通配符掩码?

      • 答案:172.16.127.0 0.0.127.255

    • 针对掩码为255.255.252.0的172.16.16.0子网的控制IP地址和通配符掩码?

      • 答案:172.16.16.0 0.0.3.255

    • 针对掩码为255.255.247.0的10.0.7.0子网的控制IP地址和通配符掩码?

      • 答案:10.0.7.0 0.0.7.255


    6033493

    控制一段地址范围内的节点

    • 计算控制的IP地址和通配符掩码是比较复杂的,尤其是控制网络中的一部分节点时

    • 为了控制网络中一部分节点往往需要在二进制方式下进行计算

    • 例如:学生使用192.5.5.0到192.5.5.127地址范围,教师使用192.5.5.128到192.5.5.255地址范围。这些地址处在相同的网络中192.5.5.0/24

    • 怎样来计算?


    6033493

    控制一段地址范围内的节点

    • 对于学生使用的地址范围

      • 首先,以二进制方式写出第一个和最后一个节点地址。由于前三个8位组是相同的,所以可以忽略它们,在通配符掩码中相应的位必须为“0”

        第一个地址:00000000

        最后一个地址:01111111

      • 其次,查找前面的两者相同的位(下图的蓝色部分)

        • 00000000

        • 01111111

        • 这些相同的位将与前面的网络地址部分(192.5.5)一样进行匹配检验

    例子:地址区域192.5.5.1到.127和.128到.255


    6033493

    控制一段地址范围内的节点

    • 第三,计算剩余节点地址部分的十进制值(127)

    • 最后,决定控制的IP地址和通配符掩码

      • 控制的IP地址可以使用所控制范围内的任何一个节点地址,但约定俗成的使用所控制范围的第一个节点地址

      • 相对于上述相同的位在通配符掩码中为“0”

      • 192.5.5.0 0.0.0.127

  • 对于教师部分地址:

    • 192.5.5.128 (10000000) 到 192.5.5.255 (11111111)

    • 答案:192.5.5.128 0.0.0.127

    • 请思考两者的不同

  • 例子:地址区域192.5.5.1到.127和.128到.255


    6033493

    控制一段地址范围内的节点

    • 控制网络202.112.10.0/24中的所有偶数地址的控制IP地址和通配符掩码?

      • 答案:202.112.10.0 0.0.0.254

    • 控制网络202.112.10.0/24中的所有奇数地址的控制IP地址和通配符掩码?

      • 答案:202.112.10.1 0.0.0.254


    6033493

    any命令

    • 由于ACL末尾都有一个隐含的“deny any”语句,需要在ACL前面部分写入其他“允许”的语句

    • 使用上面的例子,如果不允许学生访问而其他的访问都允许,需要如下两条语句:

      • Lab-A(config)#access-list 1 deny 192.5.5.0 0.0.0.127

      • Lab-A(config)#access-list 1 permit 0.0.0.0 255.255.255.255

    • 由于最后的一条语句通常用来防止由于隐含语句使得所有网络功能失效,为了方便输入,可以使用any命令:

      • Lab-A(config)#access-list 1 permit any


    6033493

    host命令

    • 众多情况下,网络管理员需要在ACL处理单独节点的情况,可以使用两种命令:

      • Lab-A(config)#access-list 1 permit 192.5.5.10 0.0.0.0

    • 或...

      • Lab-A(config)#access-list 1 permit host 192.5.5.10


    6033493

    标准ACL的正确放置位置

    • 标准ACL不处理目的地相关参数,因此,标准ACL应该放置在最接近目的地的地点

    • 请参考下图来考虑上述放置地点的原因,如果将语句“deny 192.5.5.0 0.0.0.255”放置在Lab-A路由器的E0接口上时,网络中的数据通讯情况

      • 这样所有192.5.5.0网络向外的通讯数据全部被拒绝


    6033493

    扩展ACL概貌

    • 扩展ACL的编号为100 – 199,扩展ACL增强了标准ACL的功能

    • 增强ACL可以基于下列参数进行网络传输的过滤

      • 目的地址

      • IP协议

        • 可以使用协议的名字来设定检测的网络协议或路由协议,例如:icmp、rip和igrp

      • TCP/IP协议族中的上层协议

        • 可以使用名称来表示上层协议,例如:“tftp”或“http”

        • 也可以使用操作符eq、gt、lt和neg (equal to, greater than, less than和not equal to)来处理部分协议

        • 例如:希望允许除了http之外的所有通讯,其余语句是permit ip any any neg 80


    6033493

    两个步骤(扩展ACL)

    • 在全局配置模式下逐条输入ACL语句

      Router(config)# access-listaccess-list-number{permit|deny} {protocol|protocol-keyword}{source source-wildcard} {destination destination-wildcard} [protocol-specific options] [log]

      Lab-A(config)#access-list 101 deny tcp 192.5.5.0 0.0.0.255 210.93.105.0 0.0.0.255 eq telnet log

    • 在接口配置中将接口划分到各个ACL中(与标准ACL的语法一样)

      Router(config-if)#{protocol} access-groupaccess-list-number{in/out}

      Lab-A(config-if)#ip access-group 101 out


    6033493

    扩展的参数

    • access-list-number

      • 从100到199中选择一个

    • {protocol | protocol-number}

      • 对于CCNA,仅仅需要了解ip和tcp——实际上有更多的参数选项

    • {source source-wildcard}

      • 与标准ACL相同

    • {destination destination-wildcard}

      • 与标准ACL相同,但是是指定传输的目的

    • [protocol-specific options]

      • 本参数用来指定需要过滤的协议


    6033493

    端口号

    • 请复习TCP和UDP的端口号

    • 也可以使用名称来代替端口号,例如:使用telnet来代替端口号23


    6033493

    放置扩展ACL的正确位置

    • 由于扩展ACL可以控制目的地地址,所以应该放置在尽量接近数据发送源


    6033493

    放置扩展ACL的正确位置

    • 在下图中,需要设定网络221.23.123.0中的所有节点不能访问地址为197.150.13.34服务器

    • 在哪个路由器的哪个接口上放置ACL?

      • 在Router C的E0接口上放置

      • 这将防止221.23.123.0中的所有机器访问197.150.13.34,但是他们可以继续访问Internet


    6033493

    使用ACL

    Router-C(config)#access-list 100 deny ip 221.23.123.0 0.0.0.255 197.150.13.34 0.0.0.0

    Router-C(config)#access-list 100 permit ip any any

    Router-C(config)#int e0

    Router-C(config-if)#ip access-group 100 in


    6033493

    命名的ACL

    • 在Cisco IOS可以命名ACL;当在一个路由器上使用多于99个ACL时这个功能特别有用

    • 当输入一个命名的ACL,不需要紧接着输入access-list和access-list-number参数

    • 下例中,ACL的名字是over_and,并被使用在接口的出站处理上

    Lab-A(config)# ip access-list standard over_and

    Lab-A(config-std-nacl)#deny host 192.5.5.10

    .........

    Lab-A(config-if)#ip access-group over_and out


    6033493

    验证ACL

    • Show命令

      • show access-lists

        • 显示在路由器上的所有配置好的ACL

      • show access-lists {name | number}

        • 显示指定的ACL

      • show ip interface

        • 显示接口上使用的ACL——入站和出站

      • show running-config

        • 显示当前的路由器的整个配置


    6033493

    ACL的特点

    • ACL不检查路由器本身自己产生的数据报

    • ACL只检查其他来源的数据报


    7 5 6 acl

    7.5.6扩展ACL的应用

    某企业网络信息中心拓扑结构下图所示。非军事区(DMZ)包括交换机、企业WWW服务器、E-Mail服务器、防火墙、路由器(Cisco2651)和Internet专线连接设施。企业内网包括认证和计费系统(RADIUS)、网络OA系统、ERP系统、核心交换机(Catalyst 4506)和汇聚交换机(Catalyst 2950G)等设施。


    6033493

    外网扩展访问控制列表

    /*仅允许DMZ区服务器的匿名端口开放*/

    access-list 101 permit tcp any host 217.207.160.2 eq pop3

    access-list 101 permit tcp any host 217.207.160.2 eq smtp

    access-list 101 permit tcp any host 202.207.160.2 eq www

    access-list 101 permit tcp any host 202.207.160.3 eq www

    access-list 102 permit tcp any host 192.167.1.6 eq ftp

    access-list 102 deny ip any host 217.207.160.2

    access-list 102 deny ip any host 202.207.160.3

    /*保护内网主机的敏感端口,防止病毒、特洛伊木马和蠕虫的攻击*/

    access-list 110 deny icmp any any echo

    access-list 110 deny tcp any any eq 4444

    access-list 110 deny udp any any eq tftp

    access-list 110 deny udp any any eq 1434

    access-list 110 deny tcp any any eq 445

    access-list 110 deny tcp any any eq 139

    access-list 110 deny udp any any eq netbios-ss

    access-list 110 deny tcp any any eq 135

    access-list 110 deny udp any any eq 135

    access-list 110 deny udp any any eq netbios-ns

    access-list 110 deny udp any any eq netbios-dgm

    access-list 110 deny udp any any eq 445

    access-list 110 deny tcp any any eq 593

    access-list 110 deny udp any any eq 593

    access-list 110 deny tcp any any eq 5800

    access-list 110 deny tcp any any eq 5900

    access-list 110 deny udp any any eq 6667

    access-list 110 deny 255 any any

    access-list 110 deny 0 any any

    access-list 110 permit ip any any

    /*将此访问控制列表应用于边界路由器的外网接口*/

    interface s0/0

    ip access-group 110 in


    6033493

    内网扩展访问控制列表

    为了防止内网用户攻击或网络病毒攻击内网服务器和主机的敏感端口,在三层交换机设置第二道安全屏障。扩展访问控制列表配置如下:

    /*仅允许内网服务器的匿名端口开放*/

    access-list 102 permit tcp any host 192.167.1.4 eq www

    access-list 102 permit tcp any host 192.167.1.5 eq www

    access-list 102 permit tcp any host 192.167.1.6 eq ftp

    access-list 102 deny ip any host 192.167.1.4

    access-list 102 deny ip any host 192.167.1.5

    access-list 102 deny ip any host 192.167.1.6

    /*保护内网主机的敏感端口,防止病毒、特洛伊木马和蠕虫的攻击*/

    以下部分与路由器配置相同。

    /*将此访问控制列表应用于三层交换机的各个VLAN接口*/

    interface Vlan20

    description vlan20

    ip address 202.207.173.1 255.255.255.0

    ip access-group 102 in


    6033493

    问题时间


    6033493

    思考与练习

    7.1 画图描述802.1x协议及工作机制。

    7.2 画图描述基于RADIUS的认证计费。

    7.3 某学校最近一段时间,常发生IP地址盗用事件,用户非常抱怨。为此,网管员小军十分郁闷。假如你是网管员,应如何防止IP地址盗用?

    7.4 某企业新建了企业网,大部分用户防网络病毒意识不够,导致许多新投入使用的Windows 2000计算机连接外网后,发生病毒感染事件。为了处理这些“中毒”的电脑,使网管员小王和小张忙得不可开交。请设计企业网络防御病毒技术方案,将事后被动处理变为事前主动预防。

    7.5 某企业网门户网站WWW服务器有一天早上,网管员发现首页被别人篡改了。检查日志文件也没有找出黑客的痕迹。为此,网管员决定使用路由器保护网络边界的安全。假如,你就是该网管员,请设计网络边界安全技术方案,并说明如何保护WWW服务器的安全。


    6033493

    实验1:加固操作系统的安全

    (1)实训目的。了解Windows 2000 Server系统弱点和漏洞,掌握加固操作系统安全技术。

    (2)实训资源、工具和准备工作。安装与配置好的Windows 2000 Server服务器。连接中国教育和科研安全网站http://www.ccert.edu.cn,下载Windows 2000中文版SP4和其他安全补丁。

    (3)实训内容。安装SP4系统服务包和安全补丁,限制用户权限,设置NTFS权限保护文件和目录,删除或禁用不必要的组件和服务,设置日志和审核,文件系统加密。

    (4)实训步骤。(参照7.3节进行,实训结束,写出实训总结报告。)


    2 web

    实验2:设置Web服务器的安全

    (1)实训目的。了解IIS系统漏洞及IIS的安全机制,掌握Web服务器的安全设置技术。

    (2)实训资源、工具和准备工作。安装与配置好的Windows 2000 Server服务器,该服务器安装与配置好了IIS服务。连接微软下载服务网址(表7.3),下载IIS Lockdown Wizard, V2.1安全加固工具。连接般若网络科技公司网址http://www.banruo.net/,下载Web-IA试用版。

    (3)实训内容。设置IP地址限制,设置用户身份验证,设置Web服务器权限,控制IIS应用程序,设置目录或文件的NTFS权限,采用Web-IA工具审核IIS日志记录,IIS选项或相关组件筛选,安全加固工具IIS Lockdown Wizard的使用。

    (4)实训步骤。(参照7.4节进行,实训结束,写出实训总结报告。)


    6033493

    实验3:使用访问控制列表建立防火墙

    (1)实验目的,了解路由器的访问控制列表配置与使用过程,会运用标准、扩展访问控制列表建立基于路由器的防火墙,保护网络边界。

    (2)实验资源、工具和准备工作。Catalyst2621路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接参考和子网地址分配可参考图7.15。

    (3)实验内容。设置图7.37中各台路由器名称、IP地址、一般用户口令、特权用户口令、静态路由,保存配置文件。安装与配置IIS服务器,设置WWW服务器的IP地址。安装与配置客户机,设置客户机的IP地址。分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。

    (4)实验步骤

    ① 配置路由器名称、IP地址、一般用户口令、特权用户口令、静态路由,保存配置文件。

    ② 安装与配置IIS服务器,设置WWW服务器的IP地址。安装与配置客户机,设置客户机的IP地址。

    ③ 路由器设置扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。

    ④写出实验报告。


  • Login