《网络安全和防火墙技术.doc》由会员分享,可在线阅读,更多相关《网络安全和防火墙技术.doc(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品文档,仅供学习与交流,如有侵权请联系网站删除 网络安全与防火墙技术一、在用户安全设置方面1. 禁用Guest账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。2. 限制不必要的用户。此时需注意:(1)在工作组模式中,默认账号有Administrator、Guest。如果要用IIS(Internet Information Server)建设各类站点,则IUSERcomputername和IWAMcomputername也是默认账号,不能停用。因前者是IIS匿名访问账号,后者是IIS匿
2、名执行脚本的账号。这两个账号默认有密码,是由系统分配的,用户不要更改其密码,更不要删除,否则IIS不能匿名访问和执行脚本;如果有终端服务则TsInternetUser也是默认账号,不能停用。(2)在域模式中,Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员,另外还会有Krbtgt账号,默认是被禁用的,这个账号是密钥分发账号。3. 开启用户策略。其中有用户锁定阀值设置,将它设置为多少才合适呢?用户在登录时,Windows会采用加密协议加密用户的用户名和密码。在域环境中,如果只是单纯的系统(即什么软件都不装),用户进行登录时,Wind
3、ows会尝试用Kerbos协议验证,不成功则会再用Ntlm验证,此时的验证的方式有两种;如果该账户同时又是Outlook的用户,验证的方式将有6种之多,也就是说用户在登录时如果密码输入错误,一次登录就要浪费掉6次账户锁定值。因此,微软技术支持中心的工程师建议将这个锁定值设置为13,这样才可以实现错误输入密码3次再锁定账户的目的。二、在密码安全设置方面在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上,7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的,它是由密码所采用的加密算法决定的。有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的
4、情况下,利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个“屏幕保护程序”一运行,Cmd窗口就会弹出且以系统身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是网管员离开工位时要锁定计算机(Windows 2000下,按CtrlAltDel,在弹出的“关机”菜单中选择“锁定计算机”即可)。三、在系统安全设置方面 1. 使用NTFS格式分区。NTFS分区要比FAT分区安全很多,且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符
5、下执行Convert x /FSNTFS(x为所要转换的盘符),执行时如果转换的是非操作系统所在分区,则立即执行分区转换;如果转换的是操作系统所在分区,则重启后执行分区转换。注意:此转换过程是单向不可逆的,即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致分区不可用,所以建议只用Convert命令来转换分区格式;如果非要用第三方工具,一定要事先做好备份。另外,据我个人经验,并不需要将所有分区都做成NTFS分区,而应保留一个分区为FAT32,用于存放一些常用工具,并可方便Ghost备份。2. 到微软网站下载最新的补丁程序。强烈建议!
6、这是每一个网络管理员都应该有的好习惯。这里说明一点:微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合,如果你经常做Hotfix补丁,那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的,而测试阶段可能又有新的Hotfix推出,当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。3. 关闭默认共享。这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表“HKEYLOCALMACHINE/SOFTWARE/Microsoft/Windows/Curre
7、ntVersion/Run”下,在右栏空白位置点击鼠标右键,选择“新建”,再选“字符串值”,名称中输入:“delipc”,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输入:“net share ipc /del”,下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN。4. 锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具,它也是一个注册表编辑器。与Regedit.exe不同的是它有一个“安全”选项,可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有Administrator才能读取和修改
8、,不给其他人可乘之机。四、在服务安全设置方面1. 关闭不必要的端口。可惜Windows 2000并不支持关闭端口的选项,我们只好选用第三方工具,关闭一些关键端口,比如Telnet等。2. 设置好安全记录的访问。Windows 2000操作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志,里面会有详细的审核记录,审核通常为成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安
9、全日志,就可以看到审核的消息。3.把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑,建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开,即不要用同一台服务器运行多种服务。同时,一定要进行及时、有效的备份,最好有一个详尽的备份计划。基本设置篇一、在线安全的四个误解Internet实际上是个有来有往的世界,你可以很轻松地连接到你喜爱的站点,而其他人,例如黑客也很方便地连接到你的机器。实际上,很多机器都因为自己很糟糕的在线安全设置无意间在机器和系统中留下了“后门”,也就相当于给黑客打开了大门。你上网的时间越多,被别人通过网络侵入机器的可能性也就越大。如果黑客们在
10、你的设置中发现了安全方面的漏洞,就会对你发起攻击,可能是一般的骚扰,如降低你的速度或者让你的机器崩溃;也可能更严重,例如打开你的机密文件、偷窃口令和信用卡密码。但是很多人并不以为然,因为他们在网络安全方面还存在四个误区:误区一:我没有连接其他网络,所以我很安全。对,连接INTERNET是要上网的,但是可以上网的独立机器,与一台商业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相同,而一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是一些用于家庭、办公室、小公司的个人用机确是门户大开,完全没有防范黑客的能力。这种威胁是很现实的:如果你使用了cabl
11、e modem或是DSL连接上网,而且在网上的时间很长,一天里也许就会有2-4个卑鄙的黑客企图攻击你。误区二:我是用拨号上网,所以我的机器是安全的。每次当你开始拨号上网,你使用的IP地址都会不同,也就是动态IP,所以相比静态IP的用户而言。黑客是很难找到你,但是有一些黑客软件已经发展到可以在1个小时以内逐个扫描上万个IP地址的能力,所以只要黑客使用了这些工具,即使是拨号上网的用户也可能受到攻击。误区三:我使用了防病毒软件,所以我很安全。一个好的病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你,但是它们对防范黑客、对带有恶意的“合法”程序却无能为
12、力。误区四:我使用了防火墙,所以我很安全。防火墙是很有用处,但是如果你的机器总是采用一些不够安全的方式接收和发送数据,而你又仅仅依靠一些附加的程序提供安全,这就等于把所有的蛋放在一个篮子里,一旦防火墙软件出现bug或者有漏洞,那你很危险了。另外,防火墙对于病毒一类的软件完全没有防范能力,尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后,一些防火墙软件还可能帮倒忙,因为它们的厂商在广告中把产品的特点介绍出去,可能招致一些专门针对它们弱点的攻击。但是解决方法是有的,你可以使用你已经有的工具,而且本文也会告诉你怎样才是安全的设置和怎样选择安全软件。二、一分钟的网络基础知识看到这个内容,
13、你可能想一眼扫过或者直接跳过去,但是这只需要一分钟,而且对你理解下面的内容很有帮助。简单地说,你可以将你和网络的连接分为三层。最深的一层是你和网络的物理连接方式,包括硬件。例如拨号上网,要使用“拨号适配器”才能和你的MODEM“交谈”;如果是局域网,需要网卡和驱动程序,以便你的PC和网卡交换数据,而DSL、cable等也需要网卡。一个PC可以同时使用多个硬件适配器,例如可以即用cable modem上网,也连接拨号上网的MODEM,还在局域网中,这样系统的网络设置中就有两个网络适配器和一个拨号适配器。中间的一层连接由你的机器所使用的和网络其他机器交流的通讯协议和语言组成,例如TCP/IP协议,
14、其他还有NetBEUI和IPX/SPX,这些协议也可以并行工作,一个协议可以被同时捆绑到多个硬件设备上,而一个硬件设备也可以同时捆绑多个协议。最顶层的连接是网络设备,登录上网、文件与打印共享和以及位于最顶层的客户程序,为你完成需要在网络上完成的任务,但不幸的是,它是双向的,也可以让黑客对你执行他们的操作。所以,保证安全的窍门在于确保没有那些危险的设置和设备,例如如果不需要从网上进行访问,“文件与打印共享”就完全没有必要,这也是黑客经常利用的地方。换句话说,仔细地设置哪些要进行捆绑,可以确保你的机器不那么轻易被访问,尽管存在一些本身安全性较差的设备和协议。三、怎样确保连接安全在按照我下面提到的建
15、议对系统设置进行修改以前,最好先将你系统中的关键数据备份,或者记下你原来的设置,以便在需要的时候恢复。如果你是在局域网或是有特殊的网络要求,请先和管理员商量。 我们先检查你的网络设置:右击“网络邻居”,选择“属性”,现在我们要删除一些很容易就能够让别人通过INTERNET连接到你的INTERNET协议:TCP/IP。如果你没有使用拨号上网,可以直接跳到下一段。双击“拨号适配器”、“绑定”,把除TCP/IP以外的内容都选掉,回到主界面,双击“TCP/IP - 拨号适配器”,你可能看到一个警告,说明如果修改将有危险,不管它,不修改才会有危险呢!单击“绑定”,如果选择了“microsoft 网络用户
16、”和“文件和打印共享”,把它们选掉,这样就只剩下TCP/IP了,你会得到这样一个警告:TCO/IP已经没有绑定到任何驱动程序“,回答NO。如果你使用了网卡,单击每个卡对应的TCP/IP,例如我就用了一块便宜的Realtek 网卡,则单击“TCP/IP - Realtek RT8029(as) PCI Ethernet NIC.”,单击“绑定”,确认没有选择“micrcosoft 网络用户”和“文件和打印共享”。但是如果你是在局域网上,希望在本地共享文件和打印机,也有办法呀,添加一个非INTERNET协议IPX/SPX 或者 NetBEUI都可以。添加适当的“micrcosoft 网络用户”,选
17、择“文件和打印共享”,就可以共享文件和打印了!现在倒回去检查系统中的每个适配器和协议,确保“micrcosoft 网络用户”和“文件和打印共享”只在IPX/SPX and/或 NetBEUI 中被选择了。同时,也确认在TCP/IP中没有选择这两项。然后对局域网中的所有机器重复这个检查过程。用这种方法,你的机器在INTERNET上就只使用TCP/IP,而在局域网上使用非INTERNET协议以便共享打印机和文件。因为黑客必须使用TCP/IP,这样他们就需要花费更多的时间来访问被共享的打印机和文件。需要注意的是你对网络设置的任何变动都可能重新设置绑定和其他设置,甚至包括你不曾接触的内容,而当你或者是
18、你所安装的软件修改了网络设置,都要执行上面介绍的步骤检查TCP/IP连接以确保它保持“干净”,没有与“micrcosoft 网络用户”和“文件和打印共享”绑定。AOL(美国在线)有一点是令人厌恶的:它把它自己的(通常是没有必要的)适配器加入到你的网络设置中,而且可能会不正确地修改你的绑定设置,一些用户在安装AOL后报告,他们的“文件和打印共享”被绑定在TCP/IP上,意味着对任何想连接的人都提供打印机和文件,上面的介绍的窍门对避免出现AOL的这个情况也很有效。要改善你的网络安全性你可以作很多工作,我们将在下面讨论,但是上面的设置将消除WINDOWS PC的最常见和突出的网络安全问题,把最明显的
19、漏洞给你堵上,让你拥有一个更安全的线上操作基础。一旦你学会了上面的方法,只用几分钟进行检查,基本就不需要其他的辅助软件,这样做的好处在于不用花钱哟!防火墙技术当前,每天都有数不清的公司和个人加入到Internet中,而Internet本身也成为世界上空前庞大以至于无法确切统计的网络系统。它是一部真正的百科全书,信息的海洋令人们沉浸其中而流连忘返,它给人们带来了无尽的便捷,拉近了每个人的距离,把地球缩成一个村落,大大提高了工作效率。但是每个网络用户又都面临着严峻的安全性问题,如存在网上的信息可能被非法调用、复制和篡改等。怎么样才能既充分利用Internet,同时又不受外来的各种侵犯呢?这就要采用
20、防火墙技术。所谓防火墙,是指一种将内部网和公众访问网如Internet分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你同意的人和数据进入你的网络,同时将你不同意的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。一、防火墙的基本类型实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。1.网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个传统
21、的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。下面是某一网络级防火墙的访问控制规则
22、:(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上;(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;(4)允许任何WWW数据(80口)通过;(5)不允许其他数据包进入。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。2.应用级网关应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
23、应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。常用的应用级防火墙已有了相应的代理服务器,例如:HTTP、NNTP、FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏透明度。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Intern
24、et或Intranet。3.电路级网关电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,如TrustInformation Systems公司的Gauntlet Internet Firewall;DEC公司的Alta Vista Firewall等产品。另外,电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server),代理服务器是个防火墙,在其上运行一个叫做地
25、址转移的进程,来将所有你公司内部的IP地址映射到一个安全的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。4.规则检查防火墙该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样 ,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则 。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级
26、网关的是,它并不打破客户机/服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一On Technology软件公司生产的On Guard和Check Point软件公司生产的FireWa
27、ll-1防火墙都是一种规则检查防火墙。未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能上则向透明、低级方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。二、防火墙的配置防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最简单。Dual-homed Gateway放置在两个网络之间,这个Dual-homed Gateway又称为bastionhost。这种结构成本低,但
28、是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受黑客攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost 的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。 Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称
29、之为停火区(DMZ,即DemilitarizedZone ), Bastionhost放置在停火区内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。三、防火墙的安全措施各种防火墙的安全性能不尽相同。下面以目前市场的主导产品-CheckPoint公司的FireWall-1为例,来说明防火墙的一些安全措施。1.防电子欺骗术FireWall-1的防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。FireWall-1还会对可疑信息进行鉴别,并向网络管理员报警。2.网络地址转移FireWall-1的地址转移是对Internet
30、隐藏内部地址,防止内部地址公开。这一功能克服了IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。3.开放式结构设计FireWall-1的开放式结构设计使得它与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。4.路由器安全管理程序(选择)FireWall-1的网络安全管理器是一个供选择的模块,它为Bay和Cisco的路由器提供集中管理和访问列表控制。FireWall-1的图形界面和功能强大的工具软件使得制定安全政策、管理、 审查和报表等工作都很简单直观。四、关于防火墙设计首先明确目的,想要
31、如何操作这个系统,亦即只允许想要的工作通过,比如某企业只需要电子邮件服务,则该企业将防火墙设置为只允许电子邮件服务通过,而禁止FTP、WWW等服务,还是允许多种业务通过防火墙,但要设置相应的监测、计量、注册和稽核等。其次,是想要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单。再根据清单的要求来设置防火墙的各项功能。第三是费用问题。安全性越高,实现越复杂,费用也相应的越高,反之费用较低。这就需要对网络中需保护的信息和数据进行详细的经济性评估。防火墙是网间重要的安全性措施,有的完整的防火墙要高达10万美元。一般网络安全防护系统的造价
32、占需保护的资源价值的1% 左右。所以在装配防火墙时,费用与安全性的折衷是不可避免的,这也就决定了绝对安全 的防火墙是不存在的。但是可以在现有经济条件下尽可能科学的配置各种防御措施,使防火墙充分地发挥作用。五、结束语防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。防火墙技术的致命弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。额外的管理负担是另外一个弱点。此外 ,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。一个普通路由器不足4000美元,而一个高速路由器的价格可能在20,000美元以上,这使滤波器无法广泛应用。而且,只装有滤波器往往还不足以保证安全,尤其无法防止防火墙内侧的攻击。因此,防火墙技术往往只作为辅助安全策略。【精品文档】第 11 页