网络规划与系统集成第8章.ppt

网络工程设计与系统集成 杨 威 山西师范大学网络信息中心 问题思考 网络的组成元素 现有网络中存在的问题 导致这些问题的原因是什么 现有网络安全体制 网络安全的演化 病毒的演化趋势 木马程序、黑客 应用安全 网络安全保护需求 网络安全保护对策 导致这些问题的原因是什么？ 现有网络安全体制 网络安全的演化 病毒的演化趋势 病毒发展史 病毒发展史（续1） 网络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 在本地硬盘上并不留下文件 由于其在网络上进行扫描的动作，可能会引起严重的网络负载 如果攻击是属于常规的应用，例如SQL, IIS等就可能穿过防火墙 管理分析 实施策略 8.2 网络安全接入与认证 802.1x协议及工作机制 基于RADIUS的认证 基于802.1x的认证 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例 8.2.1 802.1x协议及工作机制 802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。 8.2.1 802.1x协议及工作机制 802.1x协议包括三个重要部分： 客户端请求系统（Supplicant System） 认证系统（Authenticator System） 认证服务器（Authentication Server System） 8.2.2 基于RADIUS的认证 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点，服务器在和网络接入服务器（NAS，Network Access Servers）通信的过程中是如何保证安全和完整性的。另外，RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额，这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC，利用SQL Server数据库保存和访问用户配置文件。 8.2.3 基于802.1x的认证 8.2.4 几种认证方式比较 Web＋Radius Web＋Radius认证是网络用户连接Internet时常采用的一种技术方案。如图8.8所示。这种认证方式是通过IE浏览器访问Radius服务器，用户在登录界面输入“用户名+口令”。Radius服务器检查用户名、口令是否正确，若认证通过，用户即可访问外网。该技术方案的优点是客户机无需配置认证协议，用户账号可以在局域网内漫游。其缺点是账号可能被盗用，也不能防止IP地址盗。与PPPoE一样，用户连接外网的性能受制于Radius服务器的性能。 802.1x+ Radius 802.1x+Radius技术方案与前两种不同。Radius服务器连接在核心交换机，通过支持802.1x协议的交换机，在PC机连接网络时进行认证。如图8.9所示。这种认证方式也称为安全可信接入认证 . 8.2.5 IP地址设置与防盗用 IP地址自动设置 8.2.5 防止IP地址盗用 8.2.5 防止IP地址盗用 8.3 操作系统安全设置 操作系统是Web服务器的基础，虽然操作系统本身在不断完善，对攻击的抵抗能力日益提高，但是要提供完整的系统安全保证，仍然有许多安全配置和管理工作要做。 8.3.1系统服务包和安全补丁 8.3.2 限制用户权限-1 禁止或删除不必要的账户 （如Guest ） 设置增强的密码策略 ·密码长度至少9个字符。·设置一个与系统或网络相适应的最短密码存留期（典型的为1～7天）。 ·设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天）。·设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。 8.3.2 限制用户权限-2 8.3.2 限制用户权限-3 8.3.2 限制用户权限-4 Web服务器的用户账户尽可能少 严格控制账户特权 可使用本地安全策略（或域安全策略）管理器来设置用户权限指派，检查、授予或删除用户账户特权、组成员以及组特权。 8.3.7 日志和审核 对于系统安全来说，应当启用日志和审核功能，以记录攻击者入侵安全事件，便于管理员审查和跟踪。Windows 2000的安全日志可