四川省05年现代远程教育工程项目(模式三)骨干教师绵阳...25.ppt

局域网组建、管理、利用 本章内容概述：本章主要讲述了局域网的构成和搭建,以及网站构建与配置的基本知识和相关应用。主要内容包括：局域网设备和使用及基本的组网应用；网站IP、域名的基本知识、网站服务器软件的选择和使用，以及配置方法。 （1）安装系统最少需要两个分区，分区格式都采用NTFS格式  （2）断开网络安装操作系统，打补丁，装防火墙 （3）IIS的安装 ——最小的服务=最大的安全 （4）SQL SERVER 2000，SP3 （1）管理员帐户 ——最好少建，修改默认（2）用户，用户组 ——为每个网站建立用户（3）权限 ——将权限划分细化到网站目录，或某个系统文件 1.安装事项 2.帐户及权限 2.3 WEB服务器的安全配置 （1）禁止C$、D$、ADMIN$一类的默认共享  （2）只需要TCP/IP协议  （3）关闭不需要的服务 （4）配置Windows自带的防火墙 （1）操作审核 ——帐户登陆、系统修改、目录访问、特权使用（2）IIS访问日志 ——日志保存的路径，需要记录的信息（3）权限 ——将权限划分细化到网站目录，或某个系统文件 3.网络服务的安全性 4.审核策略 5.其他设置 （1）针对注册表的一些修改  （2）IIS的其他安全策略 2.4.1 系统平台的安全策略 1. 系统平台应注意的问题 （1）服务器、操作系统、系统软件 （防止安全漏洞，补丁）（2）保护WEB服务器主机系统（3）防止DOS、DDOS（4）帐户管理（5）建立安全策略（6）安全日志 2.4 网络安全及病毒防范 2. 安全策略 （1）物量安全策略 保护系统、服务器等硬件和通信链路 （2）访问控制策略 a. 入网访问控制 b. 网络的权限控制 c. 目录级安全控制 d. 属性安全控制 e. 网络服务器安全控制 f. 网络监测和锁定控制 g. 网络端口和节点的安全控制 h. 防火墙控制 （3）数据加密策略 链路 端点 节点 （4）网络安全管理策略 2.4.2 防火墙的构筑与配置 防火墙的概念网络边界上的网络通信监控系统 2. 防火墙的类型（1）．屏蔽路由器（Screening Router）?屏蔽路由器一般是一个多口IP路由器，用于在内部和外部的主机之间发送数据包，它不但对数据包进行路由发送，还依据一定的安全规则检查数据包，决定是否发送。 工作原理：它依据的规则由站点的安全策略决定，这些规则可根据IP包中信息：IP源地址、IP目的地址、协议、ICP或UDP源端口等进行设置，也可根据路由器知道的信息如数据包到达端口、出去端口进行设置。这些规则由屏蔽路由器强制设置，也称它为包过滤规则。?（2）．代理服务器（Proxy Server）?代理服务器是运行在防火墙主机上的专门应用程序或服务器程序。这些程序接受用户对Internet服务的请求，并按照相应的安全策略将这些请求转发到实际的服务。代理服务器为一个特定的服务提供替代连接，充当服务的网关，因此又称为应用级网关。? 3. 防火墙的体系结构(1) 筛选路由器?——包过滤（Packet filter）防火墙 工作原理：一般作用在网络层（IP层），对进出内部网络的所有信息进行分析，并按照一定的安全策略（信息过滤规则）对进出内部网络的信息进行限制。核心就是安全策略即包过滤算法的设计。 实现方式：包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包作允许拒绝的决定。 优点：速度快、实现方便 缺点：安全性能差；而且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，兼容性差。?? (2)双宿主主机?双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机（又称堡垒主机）而构成的。 工作原理： 内部网络??双宿主主机?? 外部网络 (3)屏蔽主机网关所有到达路由器的数据包被发送到被屏蔽主机，其结构如图所示。 网络层安全（包过滤） + 应用层安全（代理服务）? (4)被屏蔽子网 内部筛选路由器 + 堡垒主机 + 外部筛选路由器 4. 选择防火墙的基本原则? 1．支持“除非明确允许，否则就禁止”的设计策略 2．本身支持安全策略，而不是添加上去的。? 3．如果组织机构的安全策略发生改变，可以加入新的服务。? 4．有先进的认证手段或有挂钩程序，可以安装先进的认证方法。? 5．如果需要，可以运用过滤技术和禁止服务。? 6．可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上。