《[精选]局域网系统安全防范教材.pptx》由会员分享,可在线阅读,更多相关《[精选]局域网系统安全防范教材.pptx(119页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、提升网络技术打造网络技能人才 本章内容本章内容7.3 防火墙技术防火墙技术 7.5 虚拟专用网技术虚拟专用网技术 7.6 课后小结与习题课后小结与习题第7章提升网络技术打造网络技能人才【知识目标】【知识目标】1.掌握网络存在的安全威胁以及防范手段。掌握网络存在的安全威胁以及防范手段。2.掌握网络防毒的基本知识。掌握网络防毒的基本知识。3.了解入侵检测系统基础知识。了解入侵检测系统基础知识。4.掌握防火墙的基本原理与典型应用技术。掌握防火墙的基本原理与典型应用技术。5.了解漏洞扫描原理与常见的漏洞扫描软件。了解漏洞扫描原理与常见的漏洞扫描软件。6.了解了解VPN的具体应用。的具体应用。第7章局域
2、网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才【技能目标】【技能目标】1.能利用漏洞扫描工具检测系统漏洞,分析漏洞扫描结果,并制定相应的修补措施。2.能完成防火墙硬件以及网络防病毒软件的部署设计。3.能对效劳器进行安全设置。4.能建立配置VPN连接。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.1 局域网安全分析与入侵检测局域网安全分析与入侵检测 计算机网络的不断开展已经使全球信息化成为人类开展的大趋势,但是,由于计算机网络的自身缺陷+开放性+黑客攻击,所以网上信息的安全和保密是一个至关重要的问题。特别是对于 用的自动化指挥
3、网络、系统和银行系统等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,网络安全措施应是能全方位的,而且针对各种不同的威胁,只有这样才能确保网络信息的保密性、完整性和可用性。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.1.1 网络安全管理与安全威胁学习目标:网络安全管理与安全威胁学习目标:1.网络安全的含义网络安全的含义2.网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不被偶然的或者恶意的攻击而遭到破坏、更改和泄露,而且网络系统连续可靠地正常运行。而实际上,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、
4、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护网络安全模型网络安全模型提升网络技术打造网络技能人才2.网络安全的威胁网络安全的威胁第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才DDoS攻击的过程攻击的过程 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护网络漏洞或系统漏洞攻击网络漏洞或系统漏洞攻击 提升网络技术打造
5、网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护3.网络安全策略网络安全策略 1 物理安全策略:物理安全策略的目的是保护计算机系统、网络效劳器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。这种安全策略需要验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护2 访问控制策略:访问控制策略是网络安全防范和保护的主要策略,包括入网访问控制、网络的权限控制、目录级安全控制、
6、属性安全控制、网络效劳器安全控制、网络监测和锁定控制、网络端口和节点的安全控制,以及防火墙控制等,主要任务是保证网络资源不被非法使用和非正常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护3 信息加密策略:信息加密策略的目的是保护网络中的数据、文件、密码和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用
7、户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。用户可根据网络情况酌情选择上述加密方式。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护4 网络安全管理策略:在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络安全可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。提升网络技术打造网络
8、技能人才7.2.2 系统安全漏洞分析系统安全漏洞分析1什么是漏洞什么是漏洞 计算机系统是由假设干描述实体配置的当前状态所组成的,这些状态可分为授权状态、非授权状态以及易受攻击状态、不易受攻击状态。容易受攻击的状态是指通过授权的状态转变从非授权状态可以到达的授权状态。受损状态是指已完成这种转变的状态,攻击是非受损状态到受损状态的状态转变过程。漏洞就是指区别于所有非受损状态的容易受攻击的状态特征。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才漏洞特点:漏洞特点:编程过程中出现逻辑错误是很普遍的现象,这些错误绝大多数都是由于疏忽造成的。数据处理 例如对变量赋值
9、比数值计算更容易出现逻辑错误,过小和过大的程序模块都比中等程序模块更容易出现错误。漏洞和具体的系统环境密切相关。在不同种类的软、硬件设备中,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。漏洞问题与时间紧密相关。随着时间的推移,旧的漏洞会不断得到修补或纠正,新的漏洞会不断出现,因而漏洞问题会长期存在。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才端口类型端口类型一种是一种是TCP端口,一种是端口,一种是UDP端口。计算机之间相端口。计算机之间相互通信的时候,分为两种方式:一种是发送信息以
10、互通信的时候,分为两种方式:一种是发送信息以后,可以确认信息是否到达,也就是有应答的方式,后,可以确认信息是否到达,也就是有应答的方式,这种方式大多采用这种方式大多采用TCP协议;一种是发送以后就不协议;一种是发送以后就不管了,不去确认信息是否到达,这种方式大多采用管了,不去确认信息是否到达,这种方式大多采用UDP协议。对应这两种协议的效劳提供的端口,也协议。对应这两种协议的效劳提供的端口,也就分为就分为TCP端口和端口和UDP端口。端口。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才常见常见TCP端口端口 第7章局域网系统安全防范局域网组建与维护局域网组
11、建与维护常见常见UDP端口端口 提升网络技术打造网络技能人才2漏洞扫描工具漏洞扫描工具 第一种针对一个连续网段扫描特定端口。这种工具常用于寻找特定主机或者特定效劳,比方WEB效劳器,也可以用来检测是否中了木马,比方检测7626端口来检测冰河。这种工具有NetBrute等。第二种针对一台特定的效劳器扫描所有端口。这种工具常用于攻击一台特定主机以前搜集此主机的大致信息,确定攻击方案。这种工具有SuperScan等。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才X-SCAN界面设置界面设置 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造
12、网络技能人才X-SCAN扫描网段结果扫描网段结果 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才补充:补充:SuperScan软件介绍软件介绍:小巧易用,使用方法比较简单,而且,软件对常用端口有介绍;可以选择需要扫描的端口也可以选择所有端口;可以选择扫描多个网段;其他功能,比方取得计算机主机名计算机,设定扫描速度。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 SuperScan界面组成界面组成 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 SuperScan端口设置端口设置 第
13、7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 SuperScan端口扫描结果端口扫描结果 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才SuperScan使用注意要点:使用注意要点:1 明确扫描目的。任何对目标主机的扫描都会给目标主机带来一定的额外负载,当扫描端口较多的时候,扫描者就有必要考虑扫描的目的。如果只是常规维护,当然扫描的时候在主机负载较少的时候最好;如果为了攻击作准备,最好扫描以前考虑去除对目标计算机产生的影响同时考虑是否触犯国家有关法律法规。2 扫描结果的查看。扫描结束以后,很多使用者发现目标计算机一个端
14、口也没有翻开!其实不是这样的,软件设计者在设计软件的时候没有注意结果栏背景色,所以,在扫描的IP地址前面有一个小小的号不能清楚地看见,这时候,我们点击【Expand all】展开所有接点才会出现图7-9所示的结果。3 扫描速度的考虑。如果扫描目标较多,建议晚上进行第二天早上再看结果,因为实在速度不是很快。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才效劳器端口的设置效劳器端口的设置 系统设置系统设置:TCP/IP删选界面删选界面 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 2 补充补充 软件设置软件设置 1阻止通过
15、Internet连接特定端口的PortBlocker PortBlocker设置界面 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 2IP地址限制和端口转向的地址限制和端口转向的PortMapping PortMapping设置界面 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才选择【选择【Port Redirection】,出现端口设置界面】,出现端口设置界面,在图中界面我们可以设置端口、端口对应的协议TCP、UDP、转向的目标计算机名或者IP地址已经接口来自局域网还是互联网。第7章局域网系统安全防范局域网组建与维
16、护局域网组建与维护提升网络技术打造网络技能人才7.2.3 网络安全防御技术网络安全防御技术 网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。安全问题,可分为两种硬件系统和软件系统的安全问题:、硬件系统的安全防护:分为两种:物理安全和设置安全。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才物理安全:物理安全:是指防止意外事件或人为破坏具体的物理设备,如效劳器、交换机、路由器等。要严禁无关人员进入机房,特别是网络中心机房这些敏感地带。设置安全:设置安全:是指在设备上进行必要的设置如效劳器、交换机的密码等,防
17、止黑客取得硬件设备的远程控制权。如果网络管理员没有在效劳器或可网管的交换机上设置必要的密码口令,那么就会使懂得网络设备管理技术的人可以通过网络来窃取到效劳器或交换机的相关控制权。并有可能成为他们从事一些非法行为的掩护体,这是非常危险的。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才校园网的网络结构 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才、软件系统的安全防护、软件系统的安全防护安装补丁程序安装补丁程序任何操作系统都有漏洞,网络系统管理员应该及任何操作系统都有漏洞,网络系统管理员应该及时地装上系统时地装上系统“补丁
18、。目前大局部校园效劳器应补丁。目前大局部校园效劳器应用的多是用的多是WindowsNT/2000操作系统,由于微软的操作系统,由于微软的操作系统经常被人作为攻击的对象,所以被找出漏操作系统经常被人作为攻击的对象,所以被找出漏洞也特多,为弥补操作系统的安全漏洞,微软公司洞也特多,为弥补操作系统的安全漏洞,微软公司也会不定时地在其网站上提供了许多补丁程序。也会不定时地在其网站上提供了许多补丁程序。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才安装和设置防火墙安装和设置防火墙现在有许多基于硬件或软件的防火墙,如华现在有许多基于硬件或软件的防火墙,如华为、神州数码
19、、联想、瑞星等厂商的产品。对为、神州数码、联想、瑞星等厂商的产品。对于校园网来说,安装防火墙是非常必要的。防于校园网来说,安装防火墙是非常必要的。防火墙对于非法访问具有委好的预防作用,但并火墙对于非法访问具有委好的预防作用,但并浊有了防火墙之后就可以什么事也不用担忧了,浊有了防火墙之后就可以什么事也不用担忧了,防火墙是要进行适当的设置才能起到相关的保防火墙是要进行适当的设置才能起到相关的保护作用。护作用。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才安装网络杀毒软件安装网络杀毒软件与网络黑客的攻击相比,网络病毒也同样令人与网络黑客的攻击相比,网络病毒也同样
20、令人不可小看。而领教过不可小看。而领教过“尼姆达病毒和尼姆达病毒和“CIH病毒的厉害后,大家都知道需要在网络效劳上病毒的厉害后,大家都知道需要在网络效劳上安装网络版的杀毒软件来扼杀病毒的传播。安装网络版的杀毒软件来扼杀病毒的传播。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才设置帐号和密码保护设置帐号和密码保护帐号和密码保护可以说是系统的第一道防线,目帐号和密码保护可以说是系统的第一道防线,目前网上大局部对系统的攻击都是从截获或猜测密前网上大局部对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统,那么前面的防码开始的。一旦黑客进入了系统,那么前面的
21、防卫措施就几乎没有作用了,所以对效劳器系统管卫措施就几乎没有作用了,所以对效劳器系统管理员的帐号和密码进行严格管理是保证系统安全理员的帐号和密码进行严格管理是保证系统安全是非常重要的措施。是非常重要的措施。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才监测系统日志监测系统日志通过运行系统日志程序,系统会自动记录下所通过运行系统日志程序,系统会自动记录下所有用户访问系统的使用资源的情况。这包括最有用户访问系统的使用资源的情况。这包括最近登录时间、使用的帐号、进行的活动等。日近登录时间、使用的帐号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,志程
22、序会定期生成报表,通过对报表进行分析,可以知道是否有异常现象。可以知道是否有异常现象。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才关闭不需要的效劳和端口关闭不需要的效劳和端口效劳器操作系统在安装的时候,会启动一些不需要的效劳器操作系统在安装的时候,会启动一些不需要的效劳,这样不仅浪费系统的资源,而且也会令系统安效劳,这样不仅浪费系统的资源,而且也会令系统安全性降低。对于假期期间不用的效劳器,可以完全关全性降低。对于假期期间不用的效劳器,可以完全关闭;对于假期期间要使用的效劳器,应关闭不需要的闭;对于假期期间要使用的效劳器,应关闭不需要的效劳,如效劳,如T
23、elnet等。另外,还要关掉没有必要开的等。另外,还要关掉没有必要开的TCP端口。端口。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才定期对效劳器进行备份定期对效劳器进行备份为防止不可预料的系统故障或用户不小心的非为防止不可预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改正的数据统进行每月一次的备份外,还应对修改正的数据进行每周一次的备份。同时,应该将修改正的重进行每周一次的备份。同时,应该将修改正的重要文件存放在不同的效劳器上,以免出现系统崩要文件存放在不
24、同的效劳器上,以免出现系统崩溃时数据的损失。这样可地将系统恢复到正常状溃时数据的损失。这样可地将系统恢复到正常状态。态。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3.局域网安全局域网安全解决方法 1 网络分段网络分段是控制网络播送风暴的一种基本手段,但同时也是网络安全采用的一项重要措施,其目的是将非法用户与敏感的网络资源相互隔离,防止其非法侦听,网络分段可分为物理分段和逻辑分段两种方式。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才2 以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器以局域网的中心交换机
25、进行网络分段后,也并不就是说以太网侦听的危险就没有了。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行通讯时,两台机间的数据包依然会被同一台集线器上的其他用户所侦听。这里有一种危险的情况是:当用户Telnet到一台主机后,由于Telnet程序本身缺乏加密功能,用户所键入的每一个字符包括用户名、密码等重要信息发布于在这段网络之中。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3 VLAN的划分的划分解决以太网的播送问题,使用VLAN技术是比较有效的手段。将以太网通信变为点到点通
26、信,能够防止大局部基于网络侦听的入侵。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机都支持RIP和OSPF这两种国际标准的路由协议。交换式集线器和VLAN交换机都是采用交换技术作为核心,它们控制播送及防范黑客非常有效,但同时也给一些基于播送原理的入侵监控技术和协议分析技术造成麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPANSwitch Port Analyzer功能的交换机。这种交换机允许系统管理员交全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的监控设备或协议分析设备。第7章局域
27、网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才4.广域网安全广域网安全性主要包括:除了发送方和接收方外,其他人是无法知悉的隐私性。传输过程中不被篡改真实性。发送方能确知接收方不是假冒的非伪装性。发送方不能否认自己的发送行为不可抵赖性。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 广域网安全广域网安全方法:加密技术加密型网络网络技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才VP
28、N技术技术VPN虚拟专网技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据被窃。VPN可以在Internet、效劳提供商的IP帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才身份认证技术身份认证技术对于从外部拨号访问内部网的用户,由于使用公共 网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是
29、采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术有Cisco公司提出的TACACS+以及业界标准的RADIUS。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才5.外部网安全外部网安全对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。而外部网安全解决方法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中,往往采取上述三种技术相结合的方式。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2.4
30、 入侵检测系统入侵检测系统1 入侵检测系统简介入侵检测系统简介入侵检测Intrusion Detection,顾名思义,是对入侵行为的觉察。它通过对计算机网络或计算机系统中的假设干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统Intrusion Detection System,简称IDS。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才防火墙与防火墙与IDS结合的整体模型图结合的整体模型图 第7章局域网系统安全防范局域网组建与维护局域网组建与维护模式库模式库匹配防火墙
31、少量钻入防火墙入侵者网 站 内 部网 站 外 部外来入侵者被防火墙挡住的入侵报警提升网络技术打造网络技能人才IDS防护过程:防护过程:当有外来入侵者的时候,一局部入侵由于没有获得防火墙的信任,首先就被防火墙隔离在外,而另一局部骗过防火墙的攻击,或者干脆是内部攻击没经过防火墙的,再一次受到了入侵检测系统的盘查,受到疑心的数据包经预处理模块分检后,送到相应的模块里去进一步检查,当对规则树进行扫描后,发现某些数据包与规则库中的某些攻击特征相符,立即切断这个IP的访问请求,或者报警。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才IDS具有以下主要作用:具有以下主要
32、作用:通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生;检测其他安全措施未能阻止的攻击或安全违规行为;检测黑客在攻击前的探测行为,预先给管理员发出警报;报告计算机系统或网络中存在的安全威胁;提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才2 入侵检测系统的分类入侵检测系统的分类1 一般划分为:主机型和网络型。一般划分为:主机型和网络型。主机型入侵检测系统Host-based IDS,HID
33、S往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段如监督系统调用从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才网络型入侵检测系统Network-based IDS,NIDSNIDS的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式promisc mode,监听所有本网段
34、内的数据包并进行判断是否有黑客/骇客试图进入系统或者进行拒绝效劳攻击DoS。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP连接请求SYN,来发现是否有人正在进行TCP的端口扫描。一个NIDS可以运行在目标主机上观察他自己的流量通常集成在协议栈或效劳本身,也可以运行在独立主机上观察整个网络的流量集线器,路由器,探测器probe。注意一个网络IDS监视很多主机。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才入侵检测的部署点入侵检测的部署点可以划分为4个位置:DMZ区、外网入口、内网主干、关键子网 第7章局域网系统安全防范局域网组建与维护局
35、域网组建与维护提升网络技术打造网络技能人才3.IDS存在的问题存在的问题4.1误/漏报率高 5.ids常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比方异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的ids只简单地处理了常用的如 、ftp、smtp等,其余大量的协议报文完全可能造成ids漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才2没有主动防御能力没有
36、主动防御能力 ids技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。3缺乏准确定位和处理机制 ids仅能识别ip地址,无法定位ip地址,不能识别数据来源。ids系统在发现攻击事件的时候,只能关闭网络出口和效劳器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。4性能普遍缺乏 现在市场上像东软NetEye IDS、瑞星、东方龙马等公司提供的NIDS产品大多采用的是特征检测技术,这种ids产品已不能适应交换技术和高带宽环境的开展,在大流量冲击、多ip分片情况下都可能造成ids的瘫痪或丢包,形成dos攻击。第7章局域网系统安全
37、防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才4.IDS产品产品 由于目前IDS产品普遍存在的问题,为提供给客户网络安全保障的一个高效能且功能完整的网络入侵侦测防御系统,网络安全专家们提出了蓝盾入侵检测系统,它彻底解决了其它IDS系统存在的千兆丢包问题,是一种积极主动的安全防护系统,而且融合了多种国际先进技术和设计,采用了智能模式匹配与复杂协议分析融合技术、跨网段检测及集中管理技术、远程在线升级技术等,具有千兆网络支持,超大背景流量过滤功能,提供了对内部攻击、外部攻击和误操作的实时监控。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才蓝盾入
38、侵检测系统功能界面:第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 蓝盾入侵检测系统突破传统方法,国际首创“反向拍照技术,不但能捕捉到黑客的IP和其它入侵信息,还能给黑客拍一张“全身照,为有关部门进一步追踪黑客和取证提供了有力的依据。已被各级政府机关、队和大、中企业使用,用户反响良好。同类著名产品还有清华紫光入侵检测系统、硬件入侵检测系统安全、方通入侵检测系统解决方案、瑞星入侵检测系统等。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2 局域网安全策略与实施7.2.1 效劳器安全设置效劳器安全设置用户安全设置用户安
39、全设置(1)禁用Guest账号:在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以翻开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。(2)2限制不必要的用户:去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3创立两个管理员账号:创立一个一般权限用户用来收信以及处理一些日常事物,另
40、一个拥有Administrators 权限的用户只在需要的时候使用。4把系统Administrator账号改名:大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比方改成Guesycludx。5创立一个陷阱用户:即创立一个名为“Administrator的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络
41、技能人才6把共享文件的权限从Everyone组改成授权用户:任何时候都不要把共享文件的用户设置成“Everyone组,包括打印共享,默认的属性就是“Everyone组的,一定要改。7开启用户策略:使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。8不让系统显示上次登录的用户名:默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:翻开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentV
42、ersionWinlogonDont-DisplayLastUserName,把REG_SZ的键值改成1第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才密码安全设置密码安全设置 1使用安全密码:一些公司的管理员创立账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比方“wel e等等。因此,要注意密码的复杂性,还要记住经常改密码。2设置屏幕保护密码:这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏效劳器的一个屏障。3开启密码策略:注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史
43、为5次,时间为42天。4考虑使用智能卡来代替密码:对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 系统安全设置1 使用NTFS格式分区:最好把效劳器的所有分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32的文件系统安全得多。2 运行防毒软件:杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,因此要注意经常运行程序并升级病毒库。3 到微软网站下载最新的补丁程序:很多网络管理员没有访问安
44、全站点的习惯,以至于一些漏洞都出现很久了,还放着效劳器的漏洞不补给人家当靶子用。经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,是保障效劳器长久安全的惟一方法。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才4 关闭默认共享:Windows 2003安装好以后,系统会创立一些隐藏的共享,你可以在Cmd下打“Net Share 查看他们。网上有很多关于IPC入侵的文章,都利用了默认共享连接。要禁止这些共享,翻开“管理工具计算机管理共享文件夹共享在相应的共享文件夹上按右键,点停止共享即可。5 锁住注册表:在Windows 2003中,只
45、有Administrators和Backup Operators才有从网络 问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才6 禁止用户从软盘和光驱启动系统:一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的效劳器对安全要求非常高,可以考虑使用可移动软盘和光驱。当然,把机箱锁起来仍不失为一个好方法。7 利用Windows 2003的安全配置工具来配置安全策略:微软提供了一套基于MMC管理控制台安全配置和分析工具,利用它们你可以很方便地配置你的效劳器以满足你的要求。第7章局域网系统安
46、全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 效劳安全设置效劳安全设置1 关闭不必要的端口:关闭端口意味着减少功能,在安全和功能上面需要你做一点决策。如果效劳器安装在防火墙的后面,冒险就会少些。但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口,确定系统开放的哪些效劳可能引起黑客入侵。在系统目录中的system32driversetcservices 文件中有知名端口和效劳的对照表可供参考。具体方法为:翻开“网上邻居/属性/本地连接/属性/internet 协议TCP/IP/属性/高级/选项/TCP/IP筛选/属性 翻开“TCP/IP筛选,添加需要的TC
47、P、UDP协议即可。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才2 设置好安全记录的访问权限:安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统账户才有权访问。3 把敏感文件存放在另外的文件效劳器中:虽然现在效劳器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据文件、数据表、工程文件等存放在另外一个安全的效劳器中,并且经常备份它们。4 禁止建立空连接:默认情况下,任何用户都可通过空连接连上效劳器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接:即把“Local_MachineSystem
48、CurrentControlSetControlLSARestrictAnonymous 的值改成“1即可。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2.2.客户端安全策略实施客户端安全策略实施 启动“本地安全策略:单击“控制面板管理工具本地安全策略后,会进入“本地安全策略的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才、加固系统账户1禁止枚举账号:在“本地安全策略左侧列表的“安全设置目录树中,逐层展开“本地策略安全选
49、项。查看右侧的相关策略列表,在此找到“网络访问:不允许SAM账户和共享的匿名枚举,用鼠标右键单击,在弹出菜单中选择“属性,而后会弹出一个对话框,在此激活“已启用选项,最后点击“应用按钮使设置生效。2账户管理:在“本地策略安全选项分支中,找到“账户:来宾账户状态策略,点右键弹出菜单中选择“属性,而后在弹出的属性对话框中设置其状态为“已停用,最后“确定退出。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才查看“账户:重命名系统管理员账户这项策略,调出其属性对话框 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才、指派本地用户权
50、利如果你是系统管理员身份,可以指派特定权利给组账户或单个用户账户。在“安全设置中,定位于“本地策略用户权利指派,而后在其右侧的设置视图中,可针对其下的各项策略分别进行安全设置 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3 活用活用IP策略策略我们知道,无论是木马、后门,还是漏洞、嗅探,大多都是通过端口作为通道。因此,我们需要关闭那些可能成为入侵通道的端口。你可以上网查询一下相关危险端口的资料,以做到有备而战。4加强密码安全在“安全设置中,先定位于“账户策略密码策略,在其右侧设置视图中,可酌情进行相应的设置,以使我们的系统密码相对安全,不易破解。如防破解