第8章 網(wǎng)絡(luò)安全管理

第第8章章 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo)l了解系統(tǒng)安全的概念，了解Windows 2000 Server所提供的安全機(jī)制；l掌握實(shí)現(xiàn)計(jì)算機(jī)安全管理的安全策略配置；l掌握實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的防火墻配置；l掌握實(shí)現(xiàn)遠(yuǎn)程客戶安全訪問本地局域網(wǎng)的RAS和VPN配置；l掌握終端服務(wù)的配置和系統(tǒng)性能的監(jiān)視及優(yōu)化；l了解Windows 2000 Server安全檢查和評估的基本內(nèi)容。第第8章章 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理教學(xué)內(nèi)容教學(xué)內(nèi)容l網(wǎng)絡(luò)安全概述l網(wǎng)絡(luò)安全配置與分析lRAS配置與管理lVPN配置與管理l終端服務(wù)l系統(tǒng)性能及安全評估8.1 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全一般是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改和泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全包括物理安全、邏輯安全、操作系統(tǒng)安全和聯(lián)網(wǎng)安全等。8.1 網(wǎng)絡(luò)安全概述Windows 2000 Server提供的各種相提供的各種相應(yīng)的安全機(jī)制應(yīng)的安全機(jī)制l分布式環(huán)境下的用戶身份驗(yàn)證l訪問控制機(jī)制l動態(tài)目錄服務(wù)（Active Directory Service）l數(shù)據(jù)加密服務(wù)l統(tǒng)一的安全策略l安全部署應(yīng)用程序（確保運(yùn)行在其上的應(yīng)用程序的安全性）l輔助日常管理任務(wù)l其他8.2:網(wǎng)絡(luò)安全配置與分析網(wǎng)絡(luò)安全配置與分析 l認(rèn)證認(rèn)證 認(rèn)證是一個(gè)實(shí)體向另外的實(shí)體證明其身份的能力。l授權(quán)授權(quán) 授權(quán)是用來發(fā)現(xiàn)用戶是否有權(quán)進(jìn)行他所請求進(jìn)行的活動的過程。l審核審核 審核是檢查某件事是否按照它被期望的方式進(jìn)行的過程。l安全策略安全策略 安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則，它包含當(dāng)規(guī)則不被遵守時(shí)會激發(fā)的規(guī)程動作的一個(gè)表達(dá)。8.2:網(wǎng)絡(luò)安全配置與分析網(wǎng)絡(luò)安全配置與分析l病毒防治病毒防治 計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。對病毒的防治主要通過安裝殺毒軟件和良好的系統(tǒng)管理運(yùn)行機(jī)制來實(shí)現(xiàn)。l放火墻放火墻 防火墻主要是通過防止對網(wǎng)絡(luò)進(jìn)行未授權(quán)訪問來保證網(wǎng)絡(luò)的安全性，防火墻一般既可以由硬件設(shè)備也可以由軟件來實(shí)現(xiàn)。實(shí)訓(xùn)實(shí)訓(xùn)8-1：“本地安全策略本地安全策略”的配置的配置 圖圖8-1“本地安全設(shè)置本地安全設(shè)置”窗口窗口“本地安全策略本地安全策略”的配置（續(xù)）的配置（續(xù)）圖圖8-2“密碼長度最小值密碼長度最小值”對話框?qū)υ捒颉氨镜匕踩呗员镜匕踩呗浴钡呐渲茫ɡm(xù)）的配置（續(xù)）圖圖8-“審核登錄事件審核登錄事件”對話框?qū)υ捒颉氨镜匕踩呗员镜匕踩呗浴钡呐渲茫ɡm(xù)）的配置（續(xù)）圖圖8-“備份文件和目錄備份文件和目錄”對話框?qū)υ捒颉氨镜匕踩呗员镜匕踩呗浴钡呐渲茫ɡm(xù)）的配置（續(xù)）圖圖8-“不顯示登錄用戶名不顯示登錄用戶名”對話框?qū)υ捒?實(shí)訓(xùn)實(shí)訓(xùn)8-2：Windows 2003“防火墻防火墻”配置配置 圖圖8-“網(wǎng)絡(luò)連接屬性網(wǎng)絡(luò)連接屬性”對話框?qū)υ捒?Windows 2003“防火墻防火墻”配置配置（續(xù)）（續(xù)）圖圖8-7“高級設(shè)置高級設(shè)置”對話框?qū)υ捒?8.3：RAS配置與管理配置與管理Windows 2000 Server的遠(yuǎn)程訪問提供了兩種不同類型的遠(yuǎn)程訪問連接，即遠(yuǎn)程撥號訪問和虛擬專用網(wǎng)絡(luò)。RAS服務(wù)器扮演著RAS客戶端與本地網(wǎng)絡(luò)之間的路由器或網(wǎng)關(guān)的角色，讓RAS客戶端能夠通過它來連接公司內(nèi)部網(wǎng)絡(luò)，訪問網(wǎng)絡(luò)資源，就好像它們是在本地直接連接著網(wǎng)絡(luò)。比如RAS客戶端可以通過網(wǎng)絡(luò)鄰居訪問網(wǎng)絡(luò)中其他計(jì)算機(jī)上的共享文件夾。8.3：RAS配置與管理配置與管理Windows 2000 Server的遠(yuǎn)程訪問提供了兩種不同類型的遠(yuǎn)程訪問連接，即遠(yuǎn)程撥號訪問和虛擬專用網(wǎng)絡(luò)。RAS服務(wù)器扮演著RAS客戶端與本地網(wǎng)絡(luò)之間的路由器或網(wǎng)關(guān)的角色，讓RAS客戶端能夠通過它來連接公司內(nèi)部網(wǎng)絡(luò)，訪問網(wǎng)絡(luò)資源，就好像它們是在本地直接連接著網(wǎng)絡(luò)。比如RAS客戶端可以通過網(wǎng)絡(luò)鄰居訪問網(wǎng)絡(luò)中其他計(jì)算機(jī)上的共享文件夾。實(shí)訓(xùn)實(shí)訓(xùn)8-3：RAS配置與管理配置與管理 一、配置一、配置RAS服務(wù)器服務(wù)器 l選擇“開始”“程序”“管理工具”“路由和遠(yuǎn)程訪問”，彈出路由和遠(yuǎn)程訪問控制臺窗口。右鍵單擊服務(wù)器并單擊快捷菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”命令。l出現(xiàn)路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)Т翱?，單擊“下一步”按鈕。l出現(xiàn)公共設(shè)置窗口。選定“遠(yuǎn)程訪問服務(wù)器”選項(xiàng)單擊“下一步”按鈕。l出現(xiàn)遠(yuǎn)程客戶機(jī)協(xié)議窗口。在窗口中列出所有已安裝的協(xié)議，如果再無協(xié)議安裝，選擇“是，所有要求的協(xié)議都在此列表中”選項(xiàng)，否則，選定“否我需要添加協(xié)議”選項(xiàng)，單擊“下一步”按鈕。實(shí)訓(xùn)實(shí)訓(xùn)8-3：RAS配置與管理配置與管理 配置配置RAS服務(wù)器服務(wù)器 l出現(xiàn)IP地址指定窗口。如果網(wǎng)絡(luò)中有DHCP服務(wù)器，可選定“自動”項(xiàng)，否則選定“來自一個(gè)指定的地址范圍”項(xiàng)，單擊“下一步”按鈕。l如果選擇“來自一個(gè)指定的地址范圍”項(xiàng)，出現(xiàn)地址范圍指定窗口。單擊“新建”按鈕，分別輸入起始IP地址和結(jié)束IP地址，確定IP地址范圍。l出現(xiàn)管理多個(gè)遠(yuǎn)程訪問服務(wù)器窗口。除非已建立RADIUS服務(wù)器，否則選擇“不，我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS”項(xiàng)，單擊“下一步”按鈕。l出現(xiàn)完成路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)Т翱?，單擊“完成”按鈕，完成RAS配置。RAS配置與管理配置與管理(續(xù)續(xù)1)圖圖8-8“路由和遠(yuǎn)程訪問路由和遠(yuǎn)程訪問”窗口窗口 RAS配置與管理配置與管理(續(xù)續(xù)2)圖圖8-9“公共設(shè)置公共設(shè)置”對話框?qū)υ捒?RAS配置與管理配置與管理(續(xù)續(xù)3)圖圖8-10“遠(yuǎn)程訪問服務(wù)器設(shè)置遠(yuǎn)程訪問服務(wù)器設(shè)置”對話框?qū)υ捒?RAS配置與管理配置與管理(續(xù)續(xù)4)圖圖8-11“地址范圍指定地址范圍指定”對話框?qū)υ捒?RAS配置與管理配置與管理(續(xù)續(xù)5)圖圖8-12 “用戶屬性用戶屬性”對話框?qū)υ捒?二、配置授權(quán)用戶撥入屬性二、配置授權(quán)用戶撥入屬性 RAS配置與管理配置與管理(續(xù)續(xù)6)圖圖8-13 “選擇屬性選擇屬性”對話框?qū)υ捒?三、配置三、配置RAS客戶機(jī)客戶機(jī)四、管理四、管理RAS服務(wù)器（設(shè)置用戶的服務(wù)器（設(shè)置用戶的RAS使用使用權(quán)限，新建遠(yuǎn)程訪問策略）權(quán)限，新建遠(yuǎn)程訪問策略）8.4:VPN配置與管理 虛擬專用網(wǎng)絡(luò)的優(yōu)點(diǎn)虛擬專用網(wǎng)絡(luò)的優(yōu)點(diǎn) 降低企業(yè)的一般管理成本使用Internet減少一般管理費(fèi)用 更多的安全加密的、虛擬的、點(diǎn)到點(diǎn)的連接 虛擬網(wǎng)絡(luò)l遠(yuǎn)程訪問協(xié)議遠(yuǎn)程訪問協(xié)議 PPTP L2TP IPSec 8.4:VPN配置與管理 圖圖8-14 虛擬專用網(wǎng)絡(luò)示例圖虛擬專用網(wǎng)絡(luò)示例圖8.5：終端服務(wù) 利用終端服務(wù)，終端仿真軟件將鍵擊和鼠標(biāo)操作發(fā)送到服務(wù)器。終端服務(wù)器在本地完成所有的數(shù)據(jù)操作，并將顯示結(jié)果傳回。這種方法實(shí)現(xiàn)了對服務(wù)器的遠(yuǎn)程控制和集中的應(yīng)用程序管理，可以將服務(wù)器和客戶機(jī)之間的網(wǎng)絡(luò)帶寬要求減到最低。8.5：終端服務(wù)終端服務(wù)的兩種具體實(shí)現(xiàn)模式終端服務(wù)的兩種具體實(shí)現(xiàn)模式 應(yīng)用程序服務(wù)器。遠(yuǎn)程管理模式。終端服務(wù)的優(yōu)點(diǎn)終端服務(wù)的優(yōu)點(diǎn)降低客戶端計(jì)算機(jī)的硬件成本 集中管理應(yīng)用程序 遠(yuǎn)程管理Windows 2000 Server的終端服務(wù)的組成的終端服務(wù)的組成 實(shí)訓(xùn)8.6：終端服務(wù)的安裝和使用終端服務(wù)的安裝和使用 一、服務(wù)端添加一、服務(wù)端添加“終端服務(wù)終端服務(wù)”組件組件 圖圖8-15“添加添加/刪除刪除Windows組件組件”對話框?qū)υ捒?終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)1）圖圖8-16 “終端服務(wù)安裝程序終端服務(wù)安裝程序”對話框?qū)υ捒?終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)2）圖圖8-17 “終端服務(wù)安裝程序終端服務(wù)安裝程序”對話框?qū)υ捒?終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)3）圖圖8-18 “開始開始”菜單菜單 圖圖8-19 “創(chuàng)建安裝盤創(chuàng)建安裝盤”對話框?qū)υ捒?終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)4）二、客戶端安裝客戶端安裝 圖圖8-20 “安裝界面安裝界面”對話框?qū)υ捒?終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)5）三、“終端服務(wù)終端服務(wù)”服務(wù)器端的設(shè)置服務(wù)器端的設(shè)置 終端用戶屬性設(shè)置終端用戶屬性設(shè)置 圖圖8-21 “用戶屬性用戶屬性”對話框?qū)υ捒?終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)6）終端服務(wù)器的設(shè)置終端服務(wù)器的設(shè)置 圖圖8-22“RDP-Tcp屬性屬性”對話框?qū)υ捒?終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)7）四、客戶機(jī)連接及管理客戶機(jī)連接及管理 客戶機(jī)登錄到終端服務(wù)器客戶機(jī)登錄到終端服務(wù)器 圖圖8-23 終端服務(wù)客戶端界面終端服務(wù)客戶端界面 終端服務(wù)的安裝和使用（續(xù)終端服務(wù)的安裝和使用（續(xù)8）服務(wù)器端的管理服務(wù)器端的管理 圖圖8-24“終端服務(wù)管理器終端服務(wù)管理器”窗口窗口 8.6：系統(tǒng)性能及安全評估：系統(tǒng)性能及安全評估 服務(wù)器性能監(jiān)視服務(wù)器性能監(jiān)視：服務(wù)器性能監(jiān)視通常需要收集的性能數(shù)據(jù)包括：內(nèi)存、CPU、磁盤和網(wǎng)絡(luò)日志監(jiān)視實(shí)時(shí)監(jiān)視應(yīng)用程序選項(xiàng)卡進(jìn)程選項(xiàng)卡性能選項(xiàng)卡 8.6：系統(tǒng)性能及安全評估：系統(tǒng)性能及安全評估網(wǎng)絡(luò)性能監(jiān)視網(wǎng)絡(luò)性能監(jiān)視 通過分析網(wǎng)絡(luò)性能，比如監(jiān)視網(wǎng)絡(luò)吞吐量和那些影響軟硬件的資源使用，可以優(yōu)化系統(tǒng)的性能。系統(tǒng)優(yōu)化措施系統(tǒng)優(yōu)化措施 系統(tǒng)性能優(yōu)化、環(huán)境變量優(yōu)化幾項(xiàng)安全配置幾項(xiàng)安全配置 設(shè)置好IIS、禁止不必要服務(wù)、設(shè)置“本地安全策略”實(shí)訓(xùn)8.7：系統(tǒng)性能監(jiān)視系統(tǒng)性能監(jiān)視 利用日志方式來監(jiān)視服務(wù)器和網(wǎng)絡(luò)性能利用日志方式來監(jiān)視服務(wù)器和網(wǎng)絡(luò)性能 圖圖8-25 “性能控制臺性能控制臺”窗口窗口 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)1）圖圖8-26 “新建日志新建日志”對話框?qū)υ捒?系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)2）圖圖8-27 “選擇計(jì)數(shù)器選擇計(jì)數(shù)器”對話框?qū)υ捒?系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)3）圖圖8-28 “日志文件日志文件”選項(xiàng)卡選項(xiàng)卡 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)4）利用利用“網(wǎng)絡(luò)監(jiān)視器網(wǎng)絡(luò)監(jiān)視器”來監(jiān)視網(wǎng)絡(luò)性能來監(jiān)視網(wǎng)絡(luò)性能 圖圖8-29 “網(wǎng)絡(luò)監(jiān)視器網(wǎng)絡(luò)監(jiān)視器”窗口窗口 圖圖8-30 “捕獲緩沖區(qū)設(shè)置捕獲緩沖區(qū)設(shè)置”對話框?qū)υ捒?系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)5）圖圖8-31 “捕獲篩選程序捕獲篩選程序”對話框?qū)υ捒?系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)6）圖圖8-32 “捕獲觸發(fā)器捕獲觸發(fā)器”對話框?qū)υ捒?系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)7）圖圖8-33 “網(wǎng)絡(luò)監(jiān)視器網(wǎng)絡(luò)監(jiān)視器”窗口窗口 8.6.4 安全設(shè)置檢查清單 物理安全 停掉Guest 帳號限制不必要的用戶數(shù)量。把系統(tǒng)Administrator帳號改名使用安全密碼 設(shè)置屏幕保護(hù)密碼 使用NTFS格式分區(qū)運(yùn)行防毒軟件保障備份盤的安全 關(guān)閉不必要的服務(wù) 關(guān)閉不必要的端口 設(shè)置本地安全策略設(shè)置自動更新本章小結(jié)本章小結(jié)本章主要介紹了Windows 2000 Server安全機(jī)制的基本內(nèi)容，即提供了有關(guān)用戶操作權(quán)限、系統(tǒng)安全審核、加密數(shù)據(jù)傳送和存儲以及遠(yuǎn)程安全連接等諸多方面的安全特性。學(xué)習(xí)了本地安全策略的配置和網(wǎng)絡(luò)安全防護(hù)的放火墻配置。介紹了遠(yuǎn)程訪問的作用和安全協(xié)議，主要學(xué)習(xí)了RAS和VPN的基本配置。學(xué)習(xí)了終端服務(wù)的兩種模式和基本配置，最后給出了系統(tǒng)性能檢查分析的方法和系統(tǒng)安全檢查的基本內(nèi)容。