网络安全管理简介.pptVIP

* Chapter 第7章内容回顾 应用层代理和网络层防火墙具有不同的实现原理和应用场合 在Linux系统中内核提供包过滤防火墙功能，使用squid服务器可实现代理服务器功能 iptables命令是对Linux内核包过滤防火墙的主要管理工具 通过防火墙策略的配置，Linux主机可实现包过滤和NAT功能 squid服务器的主要功能是代理和缓存 Chapter 网络安全管理 第15讲 Chapter 本章目标 掌握SSH服务器管理和客户端的使用 掌握TCP Wrappers的配置管理 Chapter 本章结构 网络安全管理 SSH远程登录服务 SSH的起源与原理 OpenSSH的基本配置管理 OpenSSH的基本应用 在Windows下使用SSH客户端软件 TCPD的概念 hosts.deny和hosts.allow设置文件 TCP Wrappers TCP Wrappers配置实例 Chapter TCP Wrappers的基本概念 TCP Wrappers的功能 TCP Wrappers是大多数Linux发行版本中都默认提供的功能 TCP Wrappers的主要执行文件是“tcpd” tcpd程序可以将其他的网络服务程序“包裹”起来，从而进行集中的访问控制设置 RHEL4系统中缺省安装了TCP Wrappers # rpm -q tcp_wrappers tcp_wrappers-7.6-37.2 Chapter TCP Wrappers的设置文件 TCP Wrappers使用两个设置文件 “hosts.allow”和“hosts.deny”两个文件的用于保存TCP Wrappers基于主机地址的访问控制策略 # ls /etc/hosts.* /etc/hosts.allow /etc/hosts.deny “hosts.allow”文件用于保存允许访问的策略 “hosts.deny”文件用于保存拒绝访问的策略 “hosts.allow”和“hosts.deny”文件中保存的设置是即时生效的 Chapter TCP Wrappers设置文件的格式2-1 设置文件的格式 “hosts.allow”和“hosts.deny”文件中具有相同格式的配置记录 服务程序列表：客户机地址列表[：动作] 文件中每行为一个设置记录 “服务程序列表”字段的表示 ALL代表所有的服务程序 单个服务的名称，例如in.telnetd代表telnet服务器程序， vsftpd代表vsftpd服务器程序 多个服务程序名称可以组成列表，中间用逗号分隔，例如“in.telnetd,vsftpd” Chapter TCP Wrappers设置文件的格式2-2 “客户机地址列表”字段的表示 ALL代表所有的客户机地址 LOCAL代表本机地址 KNOW代表可解析的域名 UNKNOW代表不可解析的域名 以句点“.”开始的域名代表该域下的所有主机，例如“.”代表“”域中的所有主机 对某个子网中的所有主机使用“子网/掩码”的形式表示 对于网络中的某个主机可直接使用IP地址表示 “动作”字段使用“allow”表示允许，使用“deny”表示拒绝 Chapter TCP Wrappers配置实例4-1 配置要求 使用TCP Wrappers对vsftpd服务和telnet服务进行基于主机的访问控制 vsftpd服务器和telnet服务器所在主机的地址为“” 对于vsftpd服务只允许IP地址为“00”至“99”的主机进行访问 由于telnet服务相对不是很安全，因此只允许IP地址为“22”的客户机访问 Chapter TCP Wrappers配置实例4-2 telnet服务器的安装 RHEL4系统中默认不安装telnet服务器 telnet-server软件包在第4张安装光盘，需要手工进行安装 rpm -ivh /media/cdrom/RedHat/RPMS/telnet-server-0.17-30.i386.rpm telnet服务由xinetd调度启动 telnet在xinetd服务中的启动配置文件 /etc/xinetd.d/telnet telnet服务默认不启动，需手工设置 # chkconfig telnet on # service xinetd restart Chapter TCP Wrappers配置实例4-3 使用telnet命令登录telnet服务器 telnet命令是telnet服务的客户端程序 # telnet 用户telnet登录的过程中会提示输入用户名和用户口令 telnet服务的安全性 telnet服务使用明文传输所有的内容（包括用户登录口令），因此存在安全隐患 应尽量使用SSH服务替代