网络安全方案设计服务器模块.pptVIP

规划 IPSec 最佳方案 最佳实践 评估发往网络上的信息类型 确定信息的存储地 评估网络攻击的弱点 设计企业网络安全规划 在安全规划下测试IPSec策略 本地策略部署 IPSec 指导方针 确定组策略是否是最佳的部署方式 确定需要安全的一组计算机 确定认证基础架构是否需要 评估安全风险 确定IPSec是否能够减少风险 确定策略如何被部署 Lesson: IPSec 故障排除 IPSec 排错工具 事件查看器 * * * * * * * * * * * * 单击“完成” 服 务 器 端 的 操 作 服 务 器 端 的 操 作 将“动态”前的勾去掉，然后单击“确定” 客 户 端 的 操 作 控制面板－＞管理工具－＞本地安全策略 客 户 端 的 操 作 右键单击“IP安全策略，在本地计算机”－＞创建IP安全策略 客 户 端 的 操 作 单击“下一步” 客 户 端 的 操 作 在“名称”栏内填写适当的策略名称，在“描述”栏内填写可以说明该策略功能的文字，然后单击“下一步” 客 户 端 的 操 作 单击“下一步” 客 户 端 的 操 作 单击“下一步” 客 户 端 的 操 作 单击“是” 客 户 端 的 操 作 去掉“编辑属性”前的勾，然后单击“完成” 客 户 端 的 操 作 双击“访问139端口” 客 户 端 的 操 作 去掉“动态”前的勾，然后单击“添加” 客 户 端 的 操 作 单击“添加” 客 户 端 的 操 作 按图所示填写，去掉“使用‘添加向导’”前面的勾，然后单击“添加” 客 户 端 的 操 作 选择“协议”选项卡 客 户 端 的 操 作 按图所示选择、填写，然后“确定” 客 户 端 的 操 作 单击“确定” 客 户 端 的 操 作 选中“访问139端口”，然后选择“筛选器操作” 客 户 端 的 操 作 选中“需要安全”，然后选择“身份验证方法”选项卡 客 户 端 的 操 作 单击“编辑” 客 户 端 的 操 作 按图所示选择、填写，然后“确定” 客 户 端 的 操 作 单击“应用”，然后“确定” 单击“应用”，然后“确定” 客 户 端 的 操 作 客 户 端 的 操 作 右键单击“访问139端口”，然后单击“指派” 测试 在命令提示符中输入命令：netstat -an，红框部分表示服务器在139端口侦听传入的连接 服 务 器 端 的 操 作 客 户 端 的 操 作 在命令提示符中输入命令：telnet 54 139，然后回车 客 户 端 的 操 作 如果如图显示，表示此时客户端已经通过139端口与服务器相连 服 务 器 端 的 操 作 在命令提示符中输入命令：netstat -an，红框部分表示服务器此时已经与 建立了连接 Lesson: 规划 IPSec 确定 IPSec 策略部署方式 确定验证模式 确定 IPSec 策略必要性 规划 IPSec 最佳方案 本地策略部署 IPSec 指导方针 确定 IPSec 策略部署方式 在一个异构环境中 Active Directory Active Directory 使用本地策略 使用Active Directory 确定验证模式 认证方式 环境 Kerberos?V5 安全协议 客户端和服务器端是Windows 2000版本以上，并且做为AD域的一部分 证书 Internet访问 远程访问资源 外部业务合作伙伴 未运行Kerberos V5安全协议的计算机 需要证书授权中心 预共享密钥 通信双方的计算机必须手动配置IPSec 密钥以明文方式存储，因此安全性较差 确定 IPSec 策略必要性 确定企业的需要 评估潜在的安全风险以确定IPSec是否可以减轻这些风险 确定规则和策略 创建一个新策略或者修改一个已经存在的策略 在Windows Server 2003环境中规划IPSec 谢立靖 littlegale@ 导入 为什么TCP/IP是不安全的？ 漏洞＋威胁＝风险 漏洞：硬件漏洞，操作系统漏洞，应用程序漏洞，管理漏洞 威胁 1）窃听 2）数据篡改 3）身份欺骗（IP地址欺骗） 4）盗用口令攻击（Password-Based Attacks） 5）拒绝服务攻击（Denial-of-Service Attack） 6）中间人攻击（Man-in-the-Middle Attack） 7）盗取密钥攻击（Compromised-Key Attack） 8）Sniffer 攻击（Sniffer Attack） 9）应用层攻击（Application-Layer Attack） 提要 默认 IPSec 策略 规划 IPSec IPSec 故障排除 Lesson:默认 IPSec 策略 默认 IPSec 策略 客户端（仅响应） 服务器（请求安全）