组网技术与配置(第3版)-(第13章)7-302-34697-5.ppt

【事件查看器】窗口、系统日志中记录的事件 计算机网络 组网技术与配置 （第3版） 清华大学出版社 ISBN 978-7-302-34697-5 第13章 Intranet安全与管理 清华大学出版社 ISBN 978-7-302-34697-5 第13章 Intranet安全与管理 13.1 Intranet安全 13.2 IIS安全 13.3 Intranet管理 13.1 Intranet安全 13.1.1 Intranet的安全策略 13.1.2 网络安全的层次划分 13.1.3 网络防火墙技术 13.1.4 防火墙的结构 13.1.5 Intranet网防火墙的方案 13.1.1 Intranet的安全策略 Intranet的安全策略有 1）用户身份认证 2）访问控制 3）数据加密 4）审计 网络管理用到SNMP协议 13.1.2 网络安全的层次划分 国际标准ISO 7498-2定义了OSI安全体系结构的网络安全层次 13.1.3 网络防火墙技术 防火墙(firewall)用来作为内网和外网之间的屏障 防火墙是在两个网络之间强制执行访问控制策略的一个或多个系统 防火墙是由软件、硬件构成的系统 防火墙遵循的规则是：未经说明允许的就是拒绝；未说明拒绝的均为许可的 防火墙的要点 1. 防火墙的作用 2. 防火墙的分类 1）包过滤型(Packet Filter) 2）代理服务型(Proxy Service) 3. 代理服务器参数的设置方法 代理服务通常由两部分组成：代理服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接，中间节点再与要访问的外部服务器实际连接 代理服务器参数的设置方法 13.1.4 防火墙的结构 1. 屏蔽主机结构 屏蔽主机结构由屏蔽路由器与壁垒主机构成 2. 屏蔽子网结构 屏蔽子网结构是在屏蔽主机的结构上，增加一个周边防御网段 周边防御网段所构成的安全网称为“停火区”DMZ 3. 壁垒主机/代理服务器构成的防火墙 在物理上并不隔离成内、外两个网络 这种代理服务设备称为壁垒主机 在逻辑上具有防火墙的作用 防火墙的图示 13.1.5 Intranet网防火墙的方案 1）屏蔽路由器Cisco 3600 2）代理服务器-堡垒主机 13.2 IIS安全 13.2.1 用Windows实现网络地址转换 13.2.2 IIS中的安全性设置 13.2.3 IIS 安全检查表 13.2.4 为Web内容设置访问权限 13.2.5 设置计算机的访问权限 13.2.1 用Windows实现网络地址转换 Windows 2003提供两种方法解决Intranet IP地址转换 一种为Internet连接共享ICS(Internet Connection Sharing ) 另一种为NAT 若Intranet上的其他计算机通过共享计算机与Internet通信，需要进行两步设置 13.2.2 IIS中的安全性设置 安全配置的步骤如下： 1）配置 Windows 管理员帐户 2）创建并管理用户帐户 3）创建并管理组 4）定义 Windows 安全策略 对Windows安全检查表设置的表项 13.2.3 IIS 安全检查表 可以建立的IIS 安全检查表有： 1)nWindows 安全 2)nInternet 信息服务安全 3）物理安全 4）人员安全 5）关于安全的详细信息 13.2.4 为Web内容设置访问权限 为Web内容设置访问权限的方法是，在Internet信息服务器管理单元中，选择 Web 站点、虚拟目录或文件，并打开其【属性】对话框 在【目录】、【虚拟目录】或【文件】选项卡中，选中或取消选中下面可能存在的复选框，选中时，在复选框中出现“√”标识 13.2.5 设置计算机的访问权限 1. 授予计算机、计算机组或域访问权限的方法 2. 取消计算机、计算机组或域的访问权限的方法 3. 使用网络标识和子网掩码 使用网络标识和子网掩码，可以拒绝或授予一组计算机的访问权限 子网掩码决定 IP 地址的哪一部分是子网标识而哪一部分是主机标识 在子网中的所有计算机有相同的子网标识和自己的主机标识 13.3 Intranet管理 13.3.1 Intranet中的网络管理技术 13.3.2 网络管理软件的应用 13.3.3 实现系统管理的NET命令程序 13.3.4 实现系统管理的方法 13.3.1 Intranet中的网络管理技术 包括三个部分： 1）管理信息库MIB，在RFC 1212中说明 2）管理信息结构SMI，在RFC 1155中说明 3）SNMP协议 SNMP的设计目标如下： 1）尽可能简单，使研制网管代理的软件成本低、周期短 2）支持远程管理，充分利用Internet资源 3）协议有扩充