《项目13使用安全策略和防火墙构筑访问安全.ppt》由会员分享,可在线阅读,更多相关《项目13使用安全策略和防火墙构筑访问安全.ppt(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第1 页页Windows Server 2008网络组建项目化教程网络组建项目化教程l课程标准课程标准(教学大纲教学大纲)l教学设计方案教学设计方案(教案教案)lPPTPPT电子课件电子课件l教材习题参考答案教材习题参考答案l模拟试卷及参考模拟试卷及参考答案答案lITIT认证认证+全国技能大赛资料全国技能大赛资料l知识知识拓展拓展l l主编主编主编主编:夏笠芹夏笠芹夏笠芹夏笠芹 “十二五十二五”职业教育国家规划教材职业教育国家规划教材教材附赠教材附赠光盘光
2、盘光盘光盘Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第2 页页l为为了减少网了减少网了减少网了减少网络络攻攻攻攻击击行行行行为为的威的威的威的威胁胁,保障服保障服保障服保障服务务器的安全器的安全器的安全器的安全,迅达公司网迅达公司网迅达公司网迅达公司网络络管理管理管理管理员员小刘小刘小刘小刘,采取了以下措施来加固采取了以下措施来加固采取了以下措施来加固采取了以下措施来加固服服服服务务器器器器:l对对Windows Server 2008Windows Server 2008本身安装了最新的本身安装
3、了最新的本身安装了最新的本身安装了最新的补补丁丁丁丁程序修复系程序修复系程序修复系程序修复系统统漏洞漏洞漏洞漏洞;l设设置置置置帐户帐户策略以防止密策略以防止密策略以防止密策略以防止密码码被盗被盗被盗被盗;添加添加添加添加审审核策略来跟核策略来跟核策略来跟核策略来跟踪踪踪踪资资源源源源访问访问者者者者;l启用并配置启用并配置启用并配置启用并配置Windows Server 2008Windows Server 2008自自自自带带的防火的防火的防火的防火墙墙对进对进、出服、出服、出服、出服务务器的数据包器的数据包器的数据包器的数据包进进行行行行筛选筛选。项目背景项目背景项目项目13 13 使用
4、安全策略和防火墙实现访问安全使用安全策略和防火墙实现访问安全Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第3 页页l l知识目标知识目标知识目标知识目标了解:了解:了解:了解:安全策略的含义;安全策略的含义;安全策略的含义;安全策略的含义;熟悉:熟悉:熟悉:熟悉:安全策略安全策略安全策略安全策略掌握:掌握:掌握:掌握:常见安全策略的配置,高级安全常见安全策略的配置,高级安全常见安全策略的配置,高级安全常见安全策略的配置,高级安全WindowsWindowsWindowsWindows防火墙的配置防火
5、墙的配置防火墙的配置防火墙的配置l l能力目标能力目标能力目标能力目标会进行账户策略、审核策略的安全设置会进行账户策略、审核策略的安全设置会进行账户策略、审核策略的安全设置会进行账户策略、审核策略的安全设置会进行用户权限分配、安全选项的安全设置会进行用户权限分配、安全选项的安全设置会进行用户权限分配、安全选项的安全设置会进行用户权限分配、安全选项的安全设置会进行会进行会进行会进行WindowsWindowsWindowsWindows防火墙入站和出站规则的配置防火墙入站和出站规则的配置防火墙入站和出站规则的配置防火墙入站和出站规则的配置教学目标教学目标项目项目13 13 使用安全策略和防火墙实
6、现访问安全使用安全策略和防火墙实现访问安全Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第4 页页13.2 项目知识准备项目知识准备13.2.1 安全策略及类型安全策略及类型l安全策略安全策略(security policy)规定了用户在使用计算机、运规定了用户在使用计算机、运行应用程序和访问网络等方面的行为约束规则。合理运用和行应用程序和访问网络等方面的行为约束规则。合理运用和设定安全策略设定安全策略,可以使计算机受到的安全威胁大大降低。可以使计算机受到的安全威胁大大降低。l根据影响范围的不同根据影
7、响范围的不同,Windows Server 2008支持以下支持以下4种种类型的安全策略类型的安全策略:本地安全策略本地安全策略:实现本地计算机的安全。包括帐户策略、实现本地计算机的安全。包括帐户策略、本地策略、公钥策略、软件限制策略和本地策略、公钥策略、软件限制策略和IP安全策略。安全策略。域控制器安全策略域控制器安全策略:实现域控制器的安全。实现域控制器的安全。域安全策略域安全策略:实现整个域的安全。实现整个域的安全。组策略组策略:实现整个网络的安全。实现整个网络的安全。Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27
8、四月四月 2023第第5 页页13.2 项目知识准备项目知识准备13.2.2 认识高级安全认识高级安全Windows防火墙防火墙高级安全高级安全高级安全高级安全WindowsWindows防火墙防火墙防火墙防火墙(简称简称简称简称WFAS)WFAS)。WFASWFAS的优势有:的优势有:的优势有:的优势有:支持双向保护支持双向保护,可以对出站、入站通信进行过滤。可以对出站、入站通信进行过滤。实现了更高级的出站和入站规则实现了更高级的出站和入站规则(防火墙规则防火墙规则)的创的创建与配置。建与配置。它将防火墙和它将防火墙和InternetInternet协议安全协议安全(IPSec)(IPSec
9、)功能实现了功能实现了集成。用户可以设置连接安全规则请求或要求计算机集成。用户可以设置连接安全规则请求或要求计算机在通信之前互相进行身份验证在通信之前互相进行身份验证,还可以配置通信时的还可以配置通信时的密钥交换、数据保护密钥交换、数据保护(完整性和加密完整性和加密)。Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第6 页页13.3 项目实施项目实施任务任务13-1 帐户策略的设置帐户策略的设置1.1.密码策略设置步骤如下:密码策略设置步骤如下:密码策略设置步骤如下:密码策略设置步骤如下:步骤步骤步骤
10、步骤1 1步骤步骤步骤步骤7 7Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第7 页页任务任务13-1 13-1 帐户策略的设置帐户策略的设置2.2.帐户锁定策略的设置帐户锁定策略的设置帐户锁定策略的设置帐户锁定策略的设置l l账户锁定账户锁定账户锁定账户锁定是指在某些情况下(如账户受到采用密码词典或暴力是指在某些情况下(如账户受到采用密码词典或暴力是指在某些情况下(如账户受到采用密码词典或暴力是指在某些情况下(如账户受到采用密码词典或暴力破解方式等),为保护该账户的安全而将此账户进行锁定,破解方式
11、等),为保护该账户的安全而将此账户进行锁定,破解方式等),为保护该账户的安全而将此账户进行锁定,破解方式等),为保护该账户的安全而将此账户进行锁定,使其在一定时间内不能再次使用,从而使破解失败。使其在一定时间内不能再次使用,从而使破解失败。使其在一定时间内不能再次使用,从而使破解失败。使其在一定时间内不能再次使用,从而使破解失败。l l设置账户锁定策略的步骤如下:设置账户锁定策略的步骤如下:设置账户锁定策略的步骤如下:设置账户锁定策略的步骤如下:步骤步骤步骤步骤1 1步骤步骤步骤步骤4 4Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项
12、目化教程27 四月四月 2023第第8 页页任务任务13-2 审核策略的设置审核策略的设置 l l审核审核审核审核就是通过在计算机的安全日志中记录选定类型的事件来就是通过在计算机的安全日志中记录选定类型的事件来就是通过在计算机的安全日志中记录选定类型的事件来就是通过在计算机的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。跟踪用户和操作系统的活动。跟踪用户和操作系统的活动。跟踪用户和操作系统的活动。l l配置审核策略配置审核策略配置审核策略配置审核策略就是确定把哪些事件写入计算机的安全日志中。就是确定把哪些事件写入计算机的安全日志中。就是确定把哪些事件写入计算机的安全日志中。就是确定把
13、哪些事件写入计算机的安全日志中。l l设置步骤:设置步骤:设置步骤:设置步骤:步骤步骤步骤步骤1 1步骤步骤步骤步骤6 6Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第9 页页任务任务13-3 13-3 用户权限分配的设置用户权限分配的设置l用户权限用户权限是允许用户在计算机系统或域中是允许用户在计算机系统或域中执行的任务。执行的任务。l有两种类型的用户权限:有两种类型的用户权限:登录权限登录权限登录权限登录权限控制为谁授予登录计算机的权限以控制为谁授予登录计算机的权限以控制为谁授予登录计算机的权限
14、以控制为谁授予登录计算机的权限以及他们的登录方式,比如拒绝本地登录、允及他们的登录方式,比如拒绝本地登录、允及他们的登录方式,比如拒绝本地登录、允及他们的登录方式,比如拒绝本地登录、允许本地登录等;许本地登录等;许本地登录等;许本地登录等;特权特权特权特权控制对计算机上系统范围的资源的访问,控制对计算机上系统范围的资源的访问,控制对计算机上系统范围的资源的访问,控制对计算机上系统范围的资源的访问,比如关闭系统、更改系统时间等。比如关闭系统、更改系统时间等。比如关闭系统、更改系统时间等。比如关闭系统、更改系统时间等。Windows Windows Server 2008 Server 2008网
15、络组建项目化教程网络组建项目化教程27 四月四月 2023第第10 页页任务任务13-3 13-3 用户权限分配的设置用户权限分配的设置用户权限名称用户权限名称用户权限名称用户权限名称 说明说明说明说明 从网络访问此计从网络访问此计从网络访问此计从网络访问此计算机算机算机算机 默认情况下任何用户均可从网络访问计算机,根据实际需默认情况下任何用户均可从网络访问计算机,根据实际需默认情况下任何用户均可从网络访问计算机,根据实际需默认情况下任何用户均可从网络访问计算机,根据实际需要可以撤销某组账户从网络访问的权限。要可以撤销某组账户从网络访问的权限。要可以撤销某组账户从网络访问的权限。要可以撤销某组
16、账户从网络访问的权限。拒绝从网络访问拒绝从网络访问拒绝从网络访问拒绝从网络访问这台计算机这台计算机这台计算机这台计算机 有些用户只在本地使用,不允许通过网络访问此计算机,有些用户只在本地使用,不允许通过网络访问此计算机,有些用户只在本地使用,不允许通过网络访问此计算机,有些用户只在本地使用,不允许通过网络访问此计算机,就可以将此用户加入到该策略中。就可以将此用户加入到该策略中。就可以将此用户加入到该策略中。就可以将此用户加入到该策略中。允许在本地登录允许在本地登录允许在本地登录允许在本地登录 此登录权限确定了可交互式登录到该计算机的用户,通过此登录权限确定了可交互式登录到该计算机的用户,通过此
17、登录权限确定了可交互式登录到该计算机的用户,通过此登录权限确定了可交互式登录到该计算机的用户,通过在连接的键盘上按在连接的键盘上按在连接的键盘上按在连接的键盘上按Ctrl+Alt+DelCtrl+Alt+Del组合键启动登录,该操作需组合键启动登录,该操作需组合键启动登录,该操作需组合键启动登录,该操作需要用户拥有此登录权限。另外,一些能使用户进行登录的要用户拥有此登录权限。另外,一些能使用户进行登录的要用户拥有此登录权限。另外,一些能使用户进行登录的要用户拥有此登录权限。另外,一些能使用户进行登录的服务或管理应用程序可能也需要此登录权限。服务或管理应用程序可能也需要此登录权限。服务或管理应用
18、程序可能也需要此登录权限。服务或管理应用程序可能也需要此登录权限。拒绝本地登录拒绝本地登录拒绝本地登录拒绝本地登录 此安全设置确定阻止哪些用户登录到该计算机。如果一个此安全设置确定阻止哪些用户登录到该计算机。如果一个此安全设置确定阻止哪些用户登录到该计算机。如果一个此安全设置确定阻止哪些用户登录到该计算机。如果一个账户同时受上述策略的制约,则此策略设置将取代允许本账户同时受上述策略的制约,则此策略设置将取代允许本账户同时受上述策略的制约,则此策略设置将取代允许本账户同时受上述策略的制约,则此策略设置将取代允许本地登录策略。地登录策略。地登录策略。地登录策略。关闭系统关闭系统关闭系统关闭系统 让
19、普通用户具有关闭计算机的权限。让普通用户具有关闭计算机的权限。让普通用户具有关闭计算机的权限。让普通用户具有关闭计算机的权限。表表13-2 常用的用常用的用户权户权限分配限分配Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第11 页页任务任务13-3 13-3 用户权限分配的设置用户权限分配的设置l l用用用用户户户户权权权权限限限限分分分分配配配配的的的的设设设设置置置置步步步步骤骤骤骤如如如如下下下下:进进进进入入入入【本本本本地地地地安安安安全全全全策策策策略略略略】窗窗窗窗口口口口在在在在左左
20、左左窗窗窗窗格格格格中中中中展展展展开开开开【本本本本地地地地策策策策略略略略】单单单单击击击击【用用用用户户户户权权权权限限限限分分分分配配配配】在在在在右右右右窗窗窗窗格格格格中中中中双双双双击击击击【从从从从网网网网络络络络访访访访问问问问此此此此计计计计算算算算机机机机】策策策策略略略略,打打打打开开开开【从从从从网网网网络络络络访访访访问问问问此此此此计计计计算算算算机机机机 属属属属性性性性】对对对对话话话话框框框框,从从从从此此此此可可可可以以以以看看看看出出出出EveryoneEveryone组组组组也也也也允允允允许许许许通通通通过过过过网网网网络络络络连连连连接接接接到到到
21、到此此此此计计计计算算算算机机机机,即即即即网网网网络络络络中中中中的的的的所所所所有有有有用用用用户户户户都都都都可可可可以以以以访访访访问问问问到到到到这这这这台台台台计计计计算算算算机机机机,基基基基于于于于安安安安全全全全的的的的考考考考虑虑虑虑,可可可可以以以以把把把把EveryoneEveryone组组组组删删删删除除除除。单单单单击击击击【添添添添加加加加用用用用户户户户和和和和组组组组】/【删删删删除除除除】按按按按钮钮钮钮,可可可可以以以以添添添添加加加加或或或或删删删删除除除除具具具具有有有有从从从从网络访问此计算机的用户和组网络访问此计算机的用户和组网络访问此计算机的用户
22、和组网络访问此计算机的用户和组Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第12 页页任务任务13-4 13-4 安全选项的设置安全选项的设置l在在在在“安全选项安全选项安全选项安全选项”中的安全策略,是一些和操作系统中的安全策略,是一些和操作系统中的安全策略,是一些和操作系统中的安全策略,是一些和操作系统安全有关的设置。下表列出了几个常用的安全选项:安全有关的设置。下表列出了几个常用的安全选项:安全有关的设置。下表列出了几个常用的安全选项:安全有关的设置。下表列出了几个常用的安全选项:安全选项名称
23、安全选项名称安全选项名称安全选项名称说明说明说明说明关机:允关机:允许许系系统统在未登在未登录录前前关机关机正常情况下,只有登正常情况下,只有登录录系系统统后具有后具有权权限的用限的用户户才能关机,如果有才能关机,如果有时时需要在未登需要在未登录录前关机,前关机,可将此策略启用可将此策略启用账户账户:使用空白密:使用空白密码码的本地的本地账户账户只允只允许进许进行控制台登行控制台登录录密密码为码为空的用空的用户户不能通不能通过过网网络访问络访问此此计计算机,算机,此策略禁用后,密此策略禁用后,密码为码为空的用空的用户户将不会受到将不会受到限制。限制。交互式登交互式登录录:用:用户试图户试图登登
24、录录时时消息文字消息文字该该安全安全设设置指定用置指定用户户登登录时显录时显示的文本消息。示的文本消息。使用使用该该文本通常作用是用于警告。例如警告文本通常作用是用于警告。例如警告用用户户登登录录后哪些操作不被允后哪些操作不被允许许等。等。网网络访问络访问:不允:不允许许SAMSAM账户账户和和共享的匿名枚共享的匿名枚举举禁止通禁止通过过共享会共享会话话猜猜测测管理管理员员系系统统口令口令账户账户:来:来宾账户宾账户状状态态禁用来禁用来宾账户宾账户Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第13
25、页页任务任务13-4 13-4 安全选项的设置安全选项的设置l安全选项的设置步骤如下:安全选项的设置步骤如下:安全选项的设置步骤如下:安全选项的设置步骤如下:l l步骤步骤步骤步骤1 1步骤步骤步骤步骤4 4Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第14 页页任务任务13-5 13-5 高级安全高级安全WindowsWindows防火墙的配置防火墙的配置l防火防火防火防火墙墙是通是通是通是通过检查传过检查传入的数据包并将入的数据包并将入的数据包并将入的数据包并将其与一其与一其与一其与一组规则进组
26、规则进行比行比行比行比较较,从而决定是否从而决定是否从而决定是否从而决定是否让让数据包数据包数据包数据包进进入到服入到服入到服入到服务务器或网器或网器或网器或网络络的功能的功能的功能的功能组组件。件。件。件。lWindowsWindows防火防火防火防火墙墙工作在服工作在服工作在服工作在服务务器的与外器的与外器的与外器的与外界界界界连连接的网接的网接的网接的网络络适配器、适配器、适配器、适配器、DSLDSL适配器或适配器或适配器或适配器或者者者者拨拨号号号号调调制解制解制解制解调调器等接口上。防火器等接口上。防火器等接口上。防火器等接口上。防火墙墙将哪些数据包拒之将哪些数据包拒之将哪些数据包拒
27、之将哪些数据包拒之门门外外外外,又允又允又允又允许许哪些数哪些数哪些数哪些数据包通据包通据包通据包通过过,则则取决于防火取决于防火取决于防火取决于防火墙墙的配置。的配置。的配置。的配置。Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第15 页页任务任务13-5 13-5 高级安全高级安全WindowsWindows防火墙的配置防火墙的配置1启启动/关关闭Windows防火墙 在桌面上在桌面上单击单击【开开始始】【控制面板控制面板】在打开的在打开的【控制面板控制面板】窗口中双窗口中双击击【Windows
28、Windows防火防火墙墙】图标图标在打开的在打开的【WindowsWindows防火防火墙墙】窗口中窗口中单击单击【启用或关启用或关闭闭WindowsWindows防火防火墙墙】链链接接,打开打开【WindowsWindows防火防火墙设墙设置置】对话对话框框在在【常常规规】选项选项卡中卡中选选中中【启用启用】单选单选按按钮钮单击单击【确定确定】后系后系统统便启便启动动“WindowsWindows防防火火墙墙”,如如图图13-2213-22所示。所示。Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第
29、第16 页页任务任务13-5 13-5 高级安全高级安全WindowsWindows防火墙的配置防火墙的配置2 2入站入站入站入站规则规则的的的的设设置置置置非非非非标标准的准的准的准的80808080端口端口端口端口访问访问防火防火防火防火墙墙所在的所在的所在的所在的WebWeb服服服服务务器。器。器。器。步步步步骤骤1-1-步步步步骤骤8 8Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第17 页页任务任务13-5 13-5 高级安全高级安全WindowsWindows防火墙的配置防火墙的配置3出
30、站规则的设置出站规则的设置l阻止当前服务器主机访问其他阻止当前服务器主机访问其他阻止当前服务器主机访问其他阻止当前服务器主机访问其他WebWeb服务器的设置服务器的设置服务器的设置服务器的设置步骤步骤步骤步骤1 1步骤步骤步骤步骤9 9Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第18 页页项目项目13 13 使用安全策略和防火墙实现访问安全使用安全策略和防火墙实现访问安全l项目知目知识准准备安全策略及安全策略及安全策略及安全策略及类类型型型型认识认识高高高高级级安全安全安全安全WindowsWin
31、dows防火防火防火防火墙墙l项目目实施施帐户策略的策略的设置置n密密码策略的策略的设置置n账户锁定策略的定策略的设置置审核策略的核策略的设置置用用户权限分配的限分配的设置置安全安全选项的的设置置高高级安全安全Windows防火防火墙的配置的配置小结小结Windows Windows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程27 四月四月 2023第第19 页页项目项目13 13 使用安全策略和防火墙实现访问安全使用安全策略和防火墙实现访问安全l实训实训(交实训报告书)(交实训报告书)实训13 安全策略与防火安全策略与防火墙的配置的配置l习题习题(课堂小组活动)(课堂小组活动)一、一、选择题:18二、二、简答答题:作业作业