网络工程设计与系统集成第8章.ppt

网络工程设计与系统集成 杨 威 问题思考 网络安全概述 网络准入与准出控制 操作系统安全设置 Web网站安全设置 保护网络边界安全 非法权限类 特洛伊木马 网站挂马 从“挂马”这个词中可以知道，这和木马脱离不了关系。挂马就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中，利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。 挂马使用的木马大致可以分为两类。一类是以远程控制为目的的木马，黑客使用这种木马进行挂马攻击，其目的是对某些网站实施拒绝服务攻击或达到其他目的。另一类是键盘记录木马，通常称其为盗号木马，这类木马用于盗取用户的游戏账号或者银行账号。 信息窃取类攻击系统权限 信息窃取类—攻击系统权限-1 信息窃取类—攻击系统权限-2 攻击口令 信息窃取类——攻击口令-1 信息窃取类——攻击口令-2 信息窃取类——攻击口令-3 逻辑炸弹 逻辑炸弹-1 陷阱入口 导致这些问题的原因是什么？ 现有网络安全体制 8.2 网络安全接入与认证 802.1x协议及工作机制 基于RADIUS的认证 基于802.1x的认证 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例 8.2.1 802.1x协议及工作机制 802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。 8.2.1 802.1x协议及工作机制 802.1x协议包括三个重要部分： 客户端请求系统（Supplicant System） 认证系统（Authenticator System） 认证服务器（Authentication Server System） 8.2.2 基于RADIUS的认证 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点，服务器在和网络接入服务器（NAS，Network Access Servers）通信的过程中是如何保证安全和完整性的。另外，RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额，这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC，利用SQL Server数据库保存和访问用户配置文件。 8.2.3 基于802.1x的认证 8.2.4 几种认证方式比较 Web＋Radius Web＋Radius认证是网络用户连接Internet时常采用的一种技术方案。如图8.8所示。这种认证方式是通过IE浏览器访问Radius服务器，用户在登录界面输入“用户名+口令”。Radius服务器检查用户名、口令是否正确，若认证通过，用户即可访问外网。该技术方案的优点是客户机无需配置认证协议，用户账号可以在局域网内漫游。其缺点是账号可能被盗用，也不能防止IP地址盗。与PPPoE一样，用户连接外网的性能受制于Radius服务器的性能。 802.1x+ Radius 802.1x+Radius技术方案与前两种不同。Radius服务器连接在核心交换机，通过支持802.1x协议的交换机，在PC机连接网络时进行认证。如图8.9所示。这种认证方式也称为安全可信接入认证 . 8.2.5 IP地址设置与防盗用 IP地址自动设置 8.2.5 防止IP地址盗用 8.2.5 防止IP地址盗用 8.3 加固操作系统的安全 操作系统是Web服务器的基础，虽然操作系统本身在不断完善，对攻击的抵抗能力日益提高，但是要提供完整的系统安全保证，仍然有许多安全配置和管理工作要做。 8.3 操作系统安全设置 系统服务包和安全补丁 系统账户安全配置 文件系统安全设置 安全模板创建与使用 使用安全配置和分析 使用安全配置向导 8.3.1系统服务包和安全补丁 8.3.2 系统账户安全配置 禁止或删除不必要的账户 （如Guest ） 设置增强的密码策略 ·密码长度至少9个字符。·设置一个与系统或网络相适应的最短密码存留期（典型的为1～7天）。 ·设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天）。·设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。