网络系统安全配置.pptVIP

网络系统安全配置 西安市现代教育信息技术中心 Windows常见的文件系统 FAT16 FAT16是最早期硬盘分区格式。它采用16位的文件分配表，能支持最大为2GB的硬盘，是目前应用最为广泛和获得操作系统最多的一种磁盘分区格式。 缺点：磁盘利用效率低。 FAT32 FAT32格式采用32位的文件分配表，使其对磁盘的能力大大增强，提高磁盘利用率。 缺点：运行速度比采用FAT16格式分区的磁盘要慢，且DOS系统和某些早期的应用软件不支持这种分区格式。 NTFS NTFS分区具有极高的安全性和稳定性，在使用中不易产生文件碎片。它能对用户的操作进行记录，通过对用户权限进行非常严格的限制，使每个用户只能按照系统赋予的权限进行操作，充分保护了系统与数据的安全。 缺点：目前支持这种分区的格式的操作系统只有WINDOWS NT、WINDOWS2000、 WINDOWS2003、WINDOWS XP 等。 Windows XP在安装后默认状态下是没有激活“安全”选项卡设置功能的，所以需要首先启用系统中的“安全”选项卡。 什么是防火墙2-1 古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙 什么是防火墙2-2 防火墙的定义 隔离内部网络与外界网络的一道安全防御系统 网络安全最主要和最基本的基础设施 不会妨碍人们对风险区域的访问 防火墙的主要功能 强化安全策略 防火墙通过仅允许“认可的”和符合规则的请求通过的方式来强化安全策略 有效的记录网上的活动 所有经过防火墙的流量都可以被记录下来，包括企业用户上网情况 隐藏用户站点或网络拓扑 防火墙隔离了内网和外网的同时利用NAT来隐藏内网的各种细节 安全策略的检查 所有信息都必须经过防火墙，防火墙就成为一个安全检查点 防火墙分类 包过滤型防火墙 代理型防火墙 状态检测型防火墙 包过滤型防火墙 根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配 过滤规则是根据数据包的报头信息进行定义的 “没有明确允许的都被禁止” 代理型防火墙 代理型防火墙也被称为代理服务器 代理服务器位于客户机与服务器之间,完全阻挡二者间的数据流 可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒十分有效 状态检测型防火墙 状态检测型防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙 防火墙三种类型的比较 防火墙体系结构3-1 双宿主堡垒主机 防火墙体系结构3-2 被屏蔽主机 防火墙体系结构3-3 被屏蔽子网 常见防火墙产品介绍 策略元素 协议 用户集 内容类型 计划 网络对象 防火墙策略规则 常用访问规则 访问规则 源网络上的客户端如何访问目标网络上的资源 Web发布规则 让外部用户访问企业的Web服务器。同时又不危及内部网络的安全性 邮件发布规则 让外部用户访问企业邮件服务器。同时又不危及内部网络的安全性 访问规则工作原理 谢 谢！ * 引入：文件和文件夹的NTFS权限中都有一项“特别的权限”，现在就来讲解其具体含义。 和安全选项卡相关： ◆ 如果用户没有“读取权限”的权限，在查看文件或文件夹的属性时，在安全选项卡中无法查看到具体的权限设置。 ◆ 如果用户有“读取权限”的权限而没有“更改权限”的权限，则可以在安全选项卡中查看文件或文件夹权限设置，但不能更改权限的设置。 教员在此演示如何查看特别的权限（文件或文件夹属性→安全→ 高级→ 编辑→ 查看），简单解释三种特别权限的含义，读取权限和更改权限比较容易理解，说明取得所有权的应用将在后面进行详细讲解。 * 引入：前面讲解了NTFS权限，下面来看如何为用户赋相应的权限： 案例：UserA需要能查看文件夹data中的内容， UserB不仅要查看文件夹data中的内容，还需要对其中的文件进行修改。 教员演示：赋予用户UserA读取文件夹data的权限，赋予用户UserB修改文件夹data的权限： ◆ 准备工作：提前创建文件夹data并在其中放置几个文件；提前创建用户UserA、UserB。 ◆ 验证：分别以UserA、UserB登录系统，读取和修改文件夹中的文件。 * 引入：一个用户同时属于多个组，而某文件对这些组设置了不同的NTFS权限，用户访问该文件时的有效权限到底是什么呢？ 在设计和应用NTFS权限时，应该考虑权限的组合、权限的继承以及拒绝权限等可能对最终的有效权限造成的影响。 本页主要是让学员有个大概的思路，意识到哪些情况可能会对