1、宁夏分公司宁夏分公司中国电信集团系统集成有限责任公司宁夏分公司中国电信集团系统集成有限责任公司宁夏分公司20102010年年0808月月宁夏分公司宁夏分公司实训一 网络系统安全设置宁夏分公司宁夏分公司实训目的与要求 由于用户名和密码是对网络用户进行验证的由于用户名和密码是对网络用户进行验证的第一道防线,所以作为网络安全工作人员,就可第一道防线,所以作为网络安全工作人员,就可以采取一系列的措施防止非法访问。以采取一系列的措施防止非法访问。 (1) 了解网络安全的有关知识。了解网络安全的有关知识。 (2) 了解用户账号安全配置的作用,掌握用户账了解用户账号安全配置的作用,掌握用户账号安全配置的方法
2、。号安全配置的方法。 (3) 掌握如何选择、设置一个安全的口令。掌握如何选择、设置一个安全的口令。宁夏分公司宁夏分公司1.网络安全的概念网络安全的概念 计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据,不会发生增加络安全保护措施的目的是确保经过网络传输和交换的数据,不会发生增加、修改、丢失和泄露等。、修改、丢失和泄露等。 2. 网络安全的概念的
3、发展过程网络安全的概念的发展过程 网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性。当网络仅仅用来传送一般性信息的时候,当网络的覆盖面网络的安全性。当网络仅仅用来传送一般性信息的时候,当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现出来积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现出来。但是,当在网络上运行关键性的如银行业务等,当企业的主要业务运行。但是,当在网络上运行关键性的如银行业务等,当企业的主要业务运行在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就
4、成在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就成为了一个不容忽视的问题。为了一个不容忽视的问题。 背景知识宁夏分公司宁夏分公司v 3. 常见的网络攻击手段常见的网络攻击手段 1) 服务拒绝攻击服务拒绝攻击 2) 利用型攻击利用型攻击 3) 信息收集型攻击信息收集型攻击 4) 假消息攻击假消息攻击 v 4. 影响网络安全的根源影响网络安全的根源 攻击有可能实现的根源在以下几个方面:攻击有可能实现的根源在以下几个方面: 1) 网络协议设计和实现中的漏洞。网络协议设计和实现中的漏洞。 2) 计算机软件系统的设计与实现中的漏洞。计算机软件系统的设计与实现中的漏洞。 3) 系统和网络在
5、使用过程中的错误配置与错误操作。系统和网络在使用过程中的错误配置与错误操作。背景知识宁夏分公司宁夏分公司v 5. 用户账号与口令安全配置用户账号与口令安全配置 登录访问控制为网络访问提供了第一层安全控制。登录访问控制为网络访问提供了第一层安全控制。 在用户账号与口令安全配置上应该注意以下问题。在用户账号与口令安全配置上应该注意以下问题。 1) 停掉停掉Guest 账号账号 2) 限制不必要的用户数量限制不必要的用户数量 3) 创建两个管理员账号创建两个管理员账号 4) 把系统把系统Administrator账号改名账号改名 5) 创建一个陷阱账号创建一个陷阱账号 6) 使用安全密码使用安全密码
6、 7) Windows 的默认安装是不开任何安全审核的的默认安装是不开任何安全审核的 背景知识宁夏分公司宁夏分公司1. 用户账号安全配置用户账号安全配置 1) 新建用户新建用户宁夏分公司宁夏分公司 2 )账户授权账户授权宁夏分公司宁夏分公司 3) 停用停用Guest用户用户 宁夏分公司宁夏分公司 4) 为为Administrator账号改名账号改名 5) 创建一个陷阱用户创建一个陷阱用户宁夏分公司宁夏分公司 6) 限制用户数量限制用户数量 7) 多个管理员账号多个管理员账号 8) 开启账户策略开启账户策略宁夏分公司宁夏分公司2. 密码安全配置密码安全配置开启密码策略策策 略略设设 置置密码必须
7、符合复杂性要求密码必须符合复杂性要求启用启用密码长度最小值密码长度最小值6位位密码最长存留期密码最长存留期15天天强制密码历史强制密码历史5次次宁夏分公司宁夏分公司宁夏分公司宁夏分公司 (1) 了解网络监听的概念,理解网络监听的原理。了解网络监听的概念,理解网络监听的原理。 (2) 了解网络监听工具的使用。了解网络监听工具的使用。 (3) 了解网络监听的检测方法。了解网络监听的检测方法。实训目的与要求宁夏分公司宁夏分公司 随着计算机技术的发展,网络已日益成为生活中随着计算机技术的发展,网络已日益成为生活中不可或缺的工具,但随之而来的非法入侵也一直威胁不可或缺的工具,但随之而来的非法入侵也一直威
8、胁着计算机网络系统的安全。由于局域网中采用广播方着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包式,因此,在某个广播域中可以监听到所有的信息包。 背景知识宁夏分公司宁夏分公司 1. 网络监听概念网络监听概念 网络监听工具是提供给管理员的一类管理工具。使用这种网络监听工具是提供给管理员的一类管理工具。使用这种工具,可以监视网络的状态、数据流动情况及网络上传输的信工具,可以监视网络的状态、数据流动情况及网络上传输的信息。息。网络监听可以在网上的任何一个位置实施,如局域网中的网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解
9、调器之间等。黑客们用得一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。最多的是截获用户的口令。 在网络上,监听效果最好的地方是在网关、路由器、防火在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。墙一类的设备处,通常由网络管理员来操作。 背景知识宁夏分公司宁夏分公司 2. 以太网中的监听原理以太网中的监听原理 对于目前很流行的以太网协议,其工作方式是将要发送的数对于目前很流行的以太网协议,其工作方式是将要发送的数据包发往连接在一起的所有主机,当主机工作在监听模式下,无据包发往连接在一起的所有主机,当主机工作在监听模式下,无论
10、数据包中的目标地址是什么,主机都可将其接收。论数据包中的目标地址是什么,主机都可将其接收。 当主机工作在监听模式下,所有的数据帧都将被交给上层协当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网收到发向与自己不在同一子网(使用了不同的掩码、使用了不同的掩码、IP地址和网地址和网关关)的主机的数据包。也就是说,在同一条物理信道上传输的所的主机的数据
11、包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。有信息都可以被接收到。 背景知识宁夏分公司宁夏分公司 实训步骤实训步骤 1. 捕获数据包前的准备工作捕获数据包前的准备工作宁夏分公司宁夏分公司2. 捕获数据包时观察到的信息捕获数据包时观察到的信息实训步骤宁夏分公司宁夏分公司 3. 捕获数据包后的分析工作捕获数据包后的分析工作宁夏分公司宁夏分公司4. Sniffer提供的工具应用提供的工具应用宁夏分公司宁夏分公司 实训三实训三 防火墙配置防火墙配置 宁夏分公司宁夏分公司实训目的与要求宁夏分公司宁夏分公司 1. 网络防火墙的基本概念网络防火墙的基本概念 网络防火墙是指在两个网络之间加强
12、网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在访问控制的一整套装置,即防火墙是构造在一个可信网络一个可信网络(一般指内部网一般指内部网)和不可信网络和不可信网络(一般指外部网一般指外部网)之间的保护装置,强制所有之间的保护装置,强制所有的访问和连接都必须经过此保护层,并在此的访问和连接都必须经过此保护层,并在此进行连接和安全检查。只有合法的流量才能进行连接和安全检查。只有合法的流量才能通过此保护层,从而保护内部网资源免遭非通过此保护层,从而保护内部网资源免遭非法入侵。法入侵。背景知识宁夏分公司宁夏分公司 防火墙有关的概念。防火墙有关的概念。 (1) 主机:与网络系统相连
13、的计算机系统。主机:与网络系统相连的计算机系统。 (2) 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又是内部网络堡垒主机:指一个计算机系统,它对外部网络暴露,同时又是内部网络用户的主要连接点,所以很容易被侵入,故此主机须严加保护。用户的主要连接点,所以很容易被侵入,故此主机须严加保护。 (3) 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接口的计算机双宿主主机:又称双宿主机或双穴主机,是具有两个网络接口的计算机系统。系统。 (4) 包:在互联网上进行通信的基本信息单位。包:在互联网上进行通信的基本信息单位。 背景知识宁夏分公司宁夏分公司 防火墙有关的概念。防火墙有关的概念。 (5
14、) 包过滤:设备对进出网络的数据流包过滤:设备对进出网络的数据流(包包)进行有选择的控制与操作。通进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。用户可设定一系列的规则,指常是对从外部网络到内部网络的包进行过滤。用户可设定一系列的规则,指定允许定允许(或拒绝或拒绝)哪些类型的数据包可以流入哪些类型的数据包可以流入(或流出或流出)内部网络。内部网络。 (6) 参数网络:为了增加一层安全控制,在内部网与外部网之间增加的一个参数网络:为了增加一层安全控制,在内部网与外部网之间增加的一个网络,有时也称为非军事区,即网络,有时也称为非军事区,即DMZ(Demilitarized Zon
15、e)。 (7) 代理服务器:代表内部网络用户与外部服务器进行信息交换的计算机代理服务器:代表内部网络用户与外部服务器进行信息交换的计算机(软件软件)系统,它将已认可的内部用户的请求送达外部服务器,同时将外部网络系统,它将已认可的内部用户的请求送达外部服务器,同时将外部网络服务器的响应再回送给用户。服务器的响应再回送给用户。背景知识宁夏分公司宁夏分公司 2. 网络防火墙的目的与作用网络防火墙的目的与作用 构建网络防火墙的主要目的如下。构建网络防火墙的主要目的如下。 (1) 限制访问者进入一个被严格控制的点。限制访问者进入一个被严格控制的点。 (2) 防止进攻者接近防御设备。防止进攻者接近防御设备
16、。 (3) 限制访问者离开一个被严格控制的点。限制访问者离开一个被严格控制的点。 (4) 检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏。系统进行蓄意破坏。 背景知识宁夏分公司宁夏分公司 2. 网络防火墙的目的与作用网络防火墙的目的与作用网络防火墙的主要作用如下。网络防火墙的主要作用如下。 (1) 有效地收集和记录有效地收集和记录Internet上活动和网络误用情况。上活动和网络误用情况。 (2) 能有效隔离网络中的多个网段,防止一个网段的问题传播到另能有效隔离网络中的多个网段,防止一个网段的问题传播到另外网段中。外
17、网段中。 (3) 防火墙作为一个安全检查站,能有效地过滤、筛选和屏蔽一切防火墙作为一个安全检查站,能有效地过滤、筛选和屏蔽一切有害的信息和服务。有害的信息和服务。 (4) 防火墙作为一个防止不良现象发生的警察,能执行和强化网络防火墙作为一个防止不良现象发生的警察,能执行和强化网络的安全策略。的安全策略。背景知识宁夏分公司宁夏分公司 3. 防火墙的类型防火墙的类型 1) 按防火墙的软硬件形式分类按防火墙的软硬件形式分类 (1) 软件防火墙。软件防火墙。 (2) 硬件防火墙。硬件防火墙。 (3) 芯片级防火墙。芯片级防火墙。 2) 按采用技术分类按采用技术分类 包过滤型;代理服务器型;电路层网关;
18、混合型包过滤型;代理服务器型;电路层网关;混合型防火墙;应用层网关;自适应代理技术。防火墙;应用层网关;自适应代理技术。背景知识宁夏分公司宁夏分公司 4. 费尔软件防火墙介绍费尔软件防火墙介绍 费尔个人防火墙专业版是费尔安全实验室最重要的产品之一,费尔个人防火墙专业版是费尔安全实验室最重要的产品之一,它不仅功能非常强大,而且简单易用,既能满足专业人士的需求,它不仅功能非常强大,而且简单易用,既能满足专业人士的需求,也可让一般用户很容易操控。它可以为计算机提供全方位的网络安也可让一般用户很容易操控。它可以为计算机提供全方位的网络安全保护,而且完全免费。全保护,而且完全免费。 其主要功能如下。其主
19、要功能如下。 (1) 阻止网络蠕虫病毒的攻击,如各种冲击波病毒。阻止网络蠕虫病毒的攻击,如各种冲击波病毒。 背景知识宁夏分公司宁夏分公司 4. 费尔软件防火墙介绍费尔软件防火墙介绍 (2) 阻止霸王插件,并允许自定义规则阻止新的霸王插件、阻止霸王插件,并允许自定义规则阻止新的霸王插件、广告和有害网站等。此阻止非常彻底,不仅插件不会弹出询问安装广告和有害网站等。此阻止非常彻底,不仅插件不会弹出询问安装的对话框,而且根本不会被下载,因此还可以提高上网速度。的对话框,而且根本不会被下载,因此还可以提高上网速度。 (3) 应用层与核心层双重过滤可以提供双重保护。应用层与核心层双重过滤可以提供双重保护。
20、 (4) Windows信任验证技术可以自动信任安全的程序,而不信任验证技术可以自动信任安全的程序,而不再需要询问用户,增加程序的智能性和易用性。再需要询问用户,增加程序的智能性和易用性。 (5) 内置了内置了7大模式供不同需求的用户选择,如大模式供不同需求的用户选择,如Internet连连接共享模式、安静模式等。接共享模式、安静模式等。 背景知识宁夏分公司宁夏分公司 4. 费尔软件防火墙介绍费尔软件防火墙介绍 (6) 改进的网络监控室不仅让网络活动一目了然,而且还可以改进的网络监控室不仅让网络活动一目了然,而且还可以对连接进行实时控制,如切断连线、随时根据监控数据生成对应的对连接进行实时控制
21、,如切断连线、随时根据监控数据生成对应的规则等。规则等。 (7) 交互式规则生成器使生成规则简单易行。交互式规则生成器使生成规则简单易行。 (8) 密码保护可以保护防火墙的规则和配置不被他人修改。密码保护可以保护防火墙的规则和配置不被他人修改。 (9) 可以非常方便地对规则进行备份和恢复。可以非常方便地对规则进行备份和恢复。背景知识宁夏分公司宁夏分公司 4. 费尔软件防火墙介绍费尔软件防火墙介绍(10) 可以控制对网站的访问,阻止霸王插件就是使用此功能可以控制对网站的访问,阻止霸王插件就是使用此功能实现的。还可以实现如阻止色情网站、阻止病毒网站、阻止广告、实现的。还可以实现如阻止色情网站、阻止
22、病毒网站、阻止广告、阻止阻止FLASH。甚至阻止任何图片等扩充功能。甚至阻止任何图片等扩充功能。 (11) 支持文本和二进制两种格式的日志。文本日志更容易查阅支持文本和二进制两种格式的日志。文本日志更容易查阅,二进制日志可以方便地查询和生成控管规则等扩充功能。,二进制日志可以方便地查询和生成控管规则等扩充功能。 (12) 它还支持在线升级、流量示波器、隐私保护、它还支持在线升级、流量示波器、隐私保护、Windows安全中心、气球消息警示及更多独特的功能。安全中心、气球消息警示及更多独特的功能。背景知识宁夏分公司宁夏分公司1. 费尔防火墙安装费尔防火墙安装宁夏分公司宁夏分公司 2. 功能模块介绍
23、功能模块介绍 宁夏分公司宁夏分公司3. 管控中心模块管控中心模块 宁夏分公司宁夏分公司4. 系统设置系统设置宁夏分公司宁夏分公司5. 在线资源模块在线资源模块宁夏分公司宁夏分公司 6. 规则设置规则设置宁夏分公司宁夏分公司 计算机网络的安全是当前计算机网络的计算机网络的安全是当前计算机网络的主要话题之一,本章介绍了用户账号与密码主要话题之一,本章介绍了用户账号与密码的配置;网络监听的概念、原理和网络监听的配置;网络监听的概念、原理和网络监听工具的使用;防火墙的技术与配置。重点是工具的使用;防火墙的技术与配置。重点是网络系统账号与口令的设置和网络安全工具网络系统账号与口令的设置和网络安全工具的使用。的使用。