003网络信息安全手段解析.pptVIP

第三章 网络信息安全技术手段 本章目标 掌握如何保证操作系统帐户的安全 掌握NTFS文件系统的安全 了解如何加固操作系统 了解防火墙和VPN技术 了解审计方法和入侵检测系统 学习内容 设置NTFS权限保证文件的安全 介绍VPN服务器和防火墙 介绍审计及入侵方法 内容回顾 典型的黑客攻击方法有暴力攻击、木马、拒绝服务、病毒和蠕虫以及社会学工程等 木马是后门程序的一种，也是杀伤力最大的一种攻击方式 加密技术包括对称加密、非对称加密和单向加密 非对称加密使用密钥对实现加密和解密，私钥在网络中不传递 在电子邮件的传输中通常综合运用了对称加密、非对称加密和单向加密来实现邮件的安全 帐户的安全 工作组中的计算机上的帐户数据库为SAM 域中的帐户数据库为ntds.dit “强壮”的密码应该遵守如下的规则 密码中混合了大写字母、小写字母、数字、非字母数字的字符，如标点符号等 不要使用普通的名字或呢称 不要使用个人信息作为密码，如生日日期或者电话号码等 至少八个字符以上 不要把密码写在纸条上或者放在容易被人获得的地方 常见的保障帐户安全的措施 帐号重命名 一些默认的帐户很容易成为黑客攻击的目标，例如administrator、guest等。对它们重命名可以减少受到暴力和字典工具的可能性 在密码策略中，可以启用密码的复杂性要求，设置密码长度的最小值，强制密码历史等 帐户锁定策略 使用帐户锁定策略，可以在黑客用“穷举法”尝试密码时失效 帐户策略和密码策略 Windows使用的文件系统 FAT FAT支持的分区大小上限为4GB。在大空间的情况下空间的使用效率比较差 FAT32 FAT32分区大小可以达到2TB NTFS NTFS是专为Windows NT设计的文件系统，Windows Server 2003使用的是NTFS5.2版，Windows 2000是NTFS5.0，Windows NT使用的是NTFS4.0。NTFS分区的理论大小可以达到224TB（1TB=1024GB） NTFS分区的好处 文件存储效率高 支持文件和文件夹级的访问控制 支持文件和文件夹的加密和压缩 支持磁盘配额管理 支持卷影复本功能（在Windows Server 2003中） 磁盘配额 卷影复本 操作系统加固 主机应该是放置于物理上安全的地点，不能为可疑人员所触及到。例如，主机放在上锁的机房中；机箱使用密码锁；移除主机的键盘、鼠标和显示器；封闭所有串口、并口、红外线接口及USB接口 无论是本地还是远程，管理主机时的认证过程一定要安全。例如，使用强的密码策略；使用智能卡登录；使用指纹或者虹膜识别技术；网络的传输要用128位以上的加密算法等 操作系统加固(Cont.) 操作系统的漏洞需要不停地修补，随时留意操作系统厂商的安全站点，在第一时间把必威体育精装版的安全补丁打上。可以使用微软的Windows Updates来及时更新系统 主机的默认配置是不安全的，而且是为黑客们所熟知的，所以需要修改默认的堡垒主机的操作系统配置及防火墙软件的默认配置。例如，修改系统文件夹的路径；重命名管理员账号；取消隐藏的共享文件夹等 服务器应该做到专机专用，不要在一台计算机上运行多个服务，也不要在主机上运行其他无关的程序。例如，删除Web服务、终端服务；禁用NetBIOS；禁止安装无关的客户端应用程序，如QQ、MSN等 操作系统加固(Cont.) 基线安全分析器MBSA 防火墙的体系架构 单一路由器的防火墙 单宿主（Single-Homed）堡垒主机 双宿主堡垒主机 DMZ区方案 单一路由器的防火墙 在路由器上需要配置大量的包过滤的规则，任何配置上的错误都可能导致安全策略不能正确实施而引发安全危机。这就要求安全管理员精通TCP/IP协议，并具有丰富的经验 路由器并没有隐藏内部IP地址，也就是说暴露在Internet中 大多数的路由器都没有很好的监控和日志功能。一旦有了入侵，也不容易通过审计发现问题。另外，报警和报告的功能也十分有限 单宿主（Single-Homed）堡垒主机 包过滤路由器必须配置为只接收堡垒主机发来的出站数据包，从Internet来的入站数据包也只发到堡垒主机上 增加了设备成本并降低了网络性能。应用级网关会检查数据包中的应用层信息，处理的速度比包过滤要慢 双宿主堡垒主机 双宿主堡垒主机使用双网卡实现物理隔离，克服了单宿主堡垒主机的缺点 双宿主堡垒主机可以通过NAT来隐藏内部地址 DMZ区方案 DMZ（DeMilitarized Zone）也称为周边网络或者屏蔽子网（ScreenedSubnet），就是把需要发布到Internet中的服务器放置在单独的子网当中，实现与内部网络和外部网络的物理隔离 通常放置到DMZ区的服务器有Web服务器、邮件服务器等 使用ISA