局域网组建、管理与维护 教学课件 作者 杨威 贾祥福 杨陟卓 第7章.pptVIP

局域网组建、管理与维护 杨 威 山西师范大学网络信息中心 网络的组成元素 现有网络中存在的问题 导致这些问题的原因是什么 现有网络安全体制 网络安全的演化 病毒的演化趋势 木马程序、黑客 应用安全 网络安全保护需求 网络安全保护对策 导致这些问题的原因是什么？ 现有网络安全体制 网络安全的演化 病毒的演化趋势 病毒发展史 病毒发展史（续1） 网络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 在本地硬盘上并不留下文件 由于其在网络上进行扫描的动作，可能会引起严重的网络负载 如果攻击是属于常规的应用，例如SQL, IIS等就可能穿过防火墙 管理分析 实施策略 7.2 网络安全接入与认证 802.1x协议及工作机制 基于RADIUS的认证计费 基于802.1x的认证计费 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例 7.2.1 802.1x协议及工作机制 802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。 7.2.1 802.1x协议及工作机制 802.1x协议包括三个重要部分： 客户端请求系统（Supplicant System） 认证系统（Authenticator System） 认证服务器（Authentication Server System） 7.2.2 基于RADIUS的认证计费 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点，服务器在和网络接入服务器（NAS，Network Access Servers）通信的过程中是如何保证安全和完整性的。另外，RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额，这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC，利用SQL Server数据库保存和访问用户配置文件。 7.2.3 基于802.1x的认证计费 7.2.4 几种认证方式比较 7.2.5 防止IP地址盗用 7.2.5 防止IP地址盗用 7.2.6 802.1x+RADIUS的应用案例 7.3 操作系统安全设置与管理 操作系统是Web服务器的基础，虽然操作系统本身在不断完善，对攻击的抵抗能力日益提高，但是要提供完整的系统安全保证，仍然有许多安全配置和管理工作要做。 7.3.1系统服务包和安全补丁 7.3.2 限制用户权限-1 禁止或删除不必要的账户 （如Guest ） 设置增强的密码策略 ·密码长度至少9个字符。·设置一个与系统或网络相适应的最短密码存留期（典型的为1～7天）。 ·设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天）。·设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。 7.3.2 限制用户权限-2 7.3.2 限制用户权限-3 7.3.2 限制用户权限-4 Web服务器的用户账户尽可能少 严格控制账户特权 可使用本地安全策略（或域安全策略）管理器来设置用户权限指派，检查、授予或删除用户账户特权、组成员以及组特权。 7.3.7 日志和审核 对于系统安全来说，应当启用日志和审核功能，以记录攻击者入侵安全事件，便于管理员审查和跟踪。Windows 2000的安全日志可以记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录事件。例如，如果已启用登录审核，登录系统的尝试将记录在安全日志里。 安全事件查看 对审核结果，要通过事件查看器来查看。打开事件查看器窗口，鼠标双击大目录树中的“安全日志”，详细信息窗格中显示安全日志，如下图所示。 设置目录或文件的NTFS权限 ① 对于根目录，应拒绝匿名用户账户的访问，并选中“允许将来自父系的可继承权限传播给该对象”选项，将此访问权限覆盖子目录中的设置；然后再根据不同子目录中数据的类型为其设置访问权限，这样可进一步保障Web站点的安全。 ② 最好将不同类型的文件存放在不同的目录中，授予不同的NTFS权限。例如，将可执行程序和脚本