局域网系统安全防范教材.pptx

提升网络技术打造网络技能人才 本章内容7.1 局域网安全分析与入侵检测 7.2 局域网安全策略与实施 7.3 防火墙技术 7.4 局域网防病毒技术 7.5 虚拟专用网技术 7.6 课后小结与习题第7章局域网系统安全防范 局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才【知识目标】1.掌握网络存在的安全威胁以及防范手段。2.掌握网络防毒的基本知识。3.了解入侵检测系统基础知识。4.掌握防火墙的基本原理与典型应用技术。5.了解漏洞扫描原理与常见的漏洞扫描软件。6.了解VPN 的具体应用。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才【技能目标】1.能利用漏洞扫描工具检测系统漏洞，分析漏洞扫描结果，并制定相应的修补措施。2.能完成防火墙（硬件）以及网络防病毒软件的部署设计。3.能对服务器进行安全设置。4.能建立配置VPN 连接。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才7.1 局域网安全分析与入侵检测 计 算 机 网 络 的 不 断 发 展 已 经 使 全 球 信 息 化 成 为 人类 发 展 的 大 趋 势，但 是，由 于 计 算 机 网 络 的 自 身 缺 陷+开 放 性+黑 客 攻 击，所 以 网 上 信 息 的 安 全 和 保 密 是一 个 至 关 重 要 的 问 题。特 别 是 对 于 军 用 的 自 动 化 指 挥网 络、国 家 安 全 系 统 和 银 行 系 统 等 传 输 敏 感 数 据 的 计算 机 网 络 系 统 而 言，其 网 上 信 息 的 安 全 和 保 密 尤 为 重要。因 此，网 络 安 全 措 施 应 是 能 全 方 位 的，而 且 针 对各 种 不 同 的 威 胁，只 有 这 样 才 能 确 保 网 络 信 息 的 保 密性、完整性和可用性。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才7.1.1 网络安全管理与安全威胁学习目标：1.网络安全的含义2.网 络 安 全 是 指 网 络 系 统 的 硬 件、软 件 及 其 系 统 中 的数 据 受 到 保 护，不 被 偶 然 的 或 者 恶 意 的 攻 击 而 遭 到 破 坏、更 改 和 泄 露，而 且 网 络 系 统 连 续 可 靠 地 正 常 运 行。而 实 际上，网 络 安 全 是 一 门 涉 及 计 算 机 科 学、网 络 技 术、通 信 技术、密 码 技 术、信 息 安 全 技 术、应 用 数 学、数 论、信 息 论等多种学科的综合性学科。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护 局域网组建与维护网络安全模型 网络安全模型提升网络技术打造网络技能人才2.网络安全的威胁第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才DDoS 攻击的过程 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护 局域网组建与维护网络漏洞或系统漏洞攻击 提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护 局域网组建与维护3.网络安全策略（1）物理安全策略：物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。这种安全策略需要验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护 局域网组建与维护（2）访问控制策略：访问控制策略是网络安全防范和保护的主要策略，包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制，以及防火墙控制等，主要任务是保证网络资源不被非法使用和非正常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护 局域网组建与维护（3）信息加密策略：信息加密策略的目的是保护网络中的数据、文件、密码和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。用户可根据网络情况酌情选择上述加密方式。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护 局域网组建与维护（4）网络安全管理策略：在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络安全可靠地运行将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。提升网络技术打造网络技能人才7.2.2 系统安全漏洞分析1什么是漏洞 计算机系统是由若干描述实体配置的当前状态所组成的，这些状态可分为授权状态、非授权状态以及易受攻击状态、不易受攻击状态。容易受攻击的状态是指通过授权的状态转变从非授权状态可以到达的授权状态。受损状态是指已完成这种转变的状态，攻击是非受损状态到受损状态的状态转变过程。漏洞就是指区别于所有非受损状态的容易受攻击的状态特征。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才漏洞特点：编程过程中出现逻辑错误是很普遍的现象，这些错误绝大多数都是由于疏忽造成的。数据处理 例如对变量赋值 比数值计算更容易出现逻辑错误，过小和过大的程序模块都比中等程序模块更容易出现错误。漏洞和具体的系统环境密切相关。在不同种类的软、硬件设备中，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。漏洞问题与时间紧密相关。随着时间的推移，旧的漏洞会不断得到修补或纠正，新的漏洞会不断出现，因而漏洞问题会长期存在。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才端口类型一种是TCP端口，一种是UDP 端口。计算机之间相互通信的时候，分为两种方式：一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用TCP协议；一种是发送以后就不管了，不去确认信息是否到达，这种方式大多采用UDP 协议。对应这两种协议的服务提供的端口，也就分为TCP端口和UDP 端口。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才常见TCP端口 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护常见UDP 端口 提升网络技术打造网络技能人才2漏洞扫描工具 第一种针对一个连续网段扫描特定端口。这种工具常用于寻找特定主机或者特定服务，比如WEB服务器，也可以用来检测是否中了木马，比如检测7626端口来检测冰河。这种工具有NetBrute 等。第二种针对一台特定的服务器扫描所有端口。这种工具常用于攻击一台特定主机以前搜集此主机的大致信息，确定攻击方案。这种工具有SuperScan等。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才X-SCAN 界面设置 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才X-SCAN 扫描网段结果 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才补充：SuperScan 软件介绍：小巧易用，使用方法比较简单，而且，软件对常用端口有介绍；可以选择需要扫描的端口也可以选择所有端口；可以选择扫描多个网段；其他功能，比如取得计算机主机名计算机，设定扫描速度。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 SuperScan 界面组成 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 SuperScan 端口设置 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 SuperScan 端口扫描结果 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才SuperScan 使用注意要点：1）明确扫描目的。任何对目标主机的扫描都会给目标主机带来一定的额外负载，当扫描端口较多的时候，扫描者就有必要考虑扫描的目的。如果只是常规维护，当然扫描的时候在主机负载较少的时候最好；如果为了攻击作准备，最好扫描以前考虑清除对目标计算机产生的影响同时考虑是否触犯国家有关法律法规。2）扫描结果的查看。扫描结束以后，很多使用者发现目标计算机一个端口也没有打开！其实不是这样的，软件设计者在设计软件的时候没有注意结果栏背景色，所以，在扫描的IP 地址前面有一个小小的号不能清楚地看见，这时候，我们点击【Expand all】展开所有接点才会出现图7-9 所示的结果。3）扫描速度的考虑。如果扫描目标较多，建议晚上进行第二天早上再看结果，因为实在速度不是很快。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才服务器端口的设置（）系统设置：TCP/IP 删选界面 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(2)补充 软件设置 1）阻止通过Internet 连接特定端口的PortBlocker PortBlocker 设置界面 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 2）IP地址限制和端口转向的PortMapping PortMapping 设置界面 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才选择【Port Redirection】，出现端口设置界面,在图中界面我们可以设置端口、端口对应的协议（TCP、UDP）、转向的目标（计算机名或者IP 地址）已经接口（来自局域网还是互联网）。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才7.2.3 网络安全防御技术 网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。安全问题，可分为两种硬件系统和软件系统的安全问题：、硬件系统的安全防护：分为两种：物理安全和设置安全。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）物理安全：是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器等。要严禁无关人员进入机房，特别是网络中心机房这些敏感地带。（）设置安全：是指在设备上进行必要的设置（如服务器、交换机的密码等），防止黑客取得硬件设备的远程控制权。如果网络管理员没有在服务器或可网管的交换机上设置必要的密码口令，那么就会使懂得网络设备管理技术的人可以通过网络来窃取到服务器或交换机的相关控制权。并有可能成为他们从事一些非法行为的掩护体，这是非常危险的。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才校园网的网络结构 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才、软件系统的安全防护（）安装补丁程序任何操作系统都有漏洞，网络系统管理员应该及时地装上系统“补丁”。目前大部分校园服务器应用的多是WindowsNT/2000 操作系统，由于微软的操作系统经常被人作为攻击的对象，所以被找出漏洞也特多，为弥补操作系统的安全漏洞，微软公司也会不定时地在其网站上提供了许多补丁程序。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的产品。对于校园网来说，安装防火墙是非常必要的。防火墙对于非法访问具有委好的预防作用，但并浊有了防火墙之后就可以什么事也不用担忧了，防火墙是要进行适当的设置才能起到相关的保护作用。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）安装网络杀毒软件与网络黑客的攻击相比，网络病毒也同样令人不可小看。而领教过“尼姆达”病毒和“CIH”病毒的厉害后，大家都知道需要在网络服务上安装网络版的杀毒软件来扼杀病毒的传播。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）设置帐号和密码保护帐号和密码保护可以说是系统的第一道防线，目前网上大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施就几乎没有作用了，所以对服务器系统管理员的帐号和密码进行严格管理是保证系统安全是非常重要的措施。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）监测系统日志通过运行系统日志程序，系统会自动记录下所有用户访问系统的使用资源的情况。这包括最近登录时间、使用的帐号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，可以知道是否有异常现象。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）关闭不需要的服务和端口服务器操作系统在安装的时候，会启动一些不需要的服务，这样不仅浪费系统的资源，而且也会令系统安全性降低。对于假期期间不用的服务器，可以完全关闭；对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet 等。另外，还要关掉没有必要开的TCP端口。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）定期对服务器进行备份为防止不可预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要文件存放在不同的服务器上，以免出现系统崩溃时数据的损失。这样可地将系统恢复到正常状态。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才3.局域网安全解决方法(1)网络分段网络分段是控制网络广播风暴的一种基本手段，但同时也是网络安全采用的一项重要措施，其目的是将非法用户与敏感的网络资源相互隔离，防止其非法侦听，网络分段可分为物理分段和逻辑分段两种方式。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(2)以交换式集线器代替共享式集线器以局域网的中心交换机进行网络分段后，也并不就是说以太网侦听的危险就没有了。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行通讯时，两台机间的数据包依然会被同一台集线器上的其他用户所侦听。这里有一种危险的情况是：当用户Telnet 到一台主机后，由于Telnet 程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息）发布于在这段网络之中。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(3)VLAN 的划分解决以太网的广播问题，使用VLAN 技术是比较有效的手段。将以太网通信变为点到点通信，能够防止大部分基于网络侦听的入侵。VLAN 内部的连接采用交换实现，而VLAN 与VLAN 之间的连接则采用路由实现。目前，大多数的交换机都支持RIP 和OSPF 这两种国际标准的路由协议。交换式集线器和VLAN 交换机都是采用交换技术作为核心，它们控制广播及防范黑客非常有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术造成麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员交全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的监控设备或协议分析设备。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才4.广域网安全性主要包括：除了发送方和接收方外，其他人是无法知悉的（隐私性）。传输过程中不被篡改（真实性）。发送方能确知接收方不是假冒的（非伪装性）。发送方不能否认自己的发送行为(不可抵赖性)。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 广域网安全方法：（）加密技术加密型网络网络技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）VPN 技术VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据被窃。VPN 可以在Internet、服务提供商的IP 帧中继或ATM 网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才（）身份认证技术对于从外部拨号访问内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术有Cisco 公司提出的TACACS+以及业界标准的RADIUS。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才5.外部网安全对 外 部 网 安 全 的 威 胁 主 要 表 现 在：非 授 权 访 问、冒 充 合 法 用 户、破 坏 数 据 完 整 性、干 扰 系 统 正 常 运 行、利 用 网 络 传 播 病 毒、线 路 窃 听 等。而 外 部 网 安 全 解 决办 法 主 要 依 靠 防 火 墙 技 术、入 侵 检 测 技 术 和 网 络 防 病毒 技 术。在 实 际 的 外 部 网 安 全 设 计 中，往 往 采 取 上 述三种技术相结合的方式。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才7.2.4 入侵检测系统1 入侵检测系统简介入 侵 检 测（Intrusion Detection），顾 名 思 义，是 对 入侵 行 为 的 发 觉。它 通 过 对 计 算 机 网 络 或 计 算 机 系 统 中的 若 干 关 键 点 收 集 信 息 并 对 其 进 行 分 析，从 中 发 现 网络 或 系 统 中 是 否 有 违 反 安 全 策 略 的 行 为 和 被 攻 击 的 迹象。进 行 入 侵 检 测 的 软 件 与 硬 件 的 组 合 便 是 入 侵 检 测系统（Intrusion Detection System,简称IDS）。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才防火墙与IDS 结合的整体模型图 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护模式库匹配防火墙少量钻入防火墙入侵者网 站 内 部网 站 外 部外来入侵者被防火墙挡住的入侵报警提升网络技术打造网络技能人才IDS 防护过程：当有外来入侵者的时候，一部分入侵由于没有获得防火墙的信任，首先就被防火墙隔离在外，而另一部分骗过防火墙的攻击，或者干脆是内部攻击没经过防火墙的，再一次受到了入侵检测系统的盘查，受到怀疑的数据包经预处理模块分检后，送到相应的模块里去进一步检查，当对规则树进行扫描后，发现某些数据包与规则库中的某些攻击特征相符，立即切断这个IP 的访问请求，或者报警。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才IDS 具有以下主要作用：通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报；报告计算机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才2 入侵检测系统的分类（1）一般划分为：主机型和网络型。主 机 型 入 侵 检 测 系 统（Host-based IDS，HIDS）往往 以 系 统 日 志、应 用 程 序 日 志 等 作 为 数 据 源，当 然 也可 以 通 过 其 他 手 段（如 监 督 系 统 调 用）从 所 在 的 主 机收 集 信 息 进 行 分 析。主 机 型 入 侵 检 测 系 统 保 护 的 一 般是 所 在 的 系 统。主 机 型IDS 的 缺 点 显 而 易 见：必 须 为不 同 平 台 开 发 不 同 的 程 序、增 加 系 统 负 荷、所 需 安 装数 量 众 多 等，但 是 内 在 结 构 却 没 有 任 何 束 缚，同 时 可以 利 用 操 作 系 统 本 身 提 供 的 功 能、并 结 合 异 常 分 析，更准确的报告攻击行为。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 网络型入侵检测系统(Network-based IDS，NIDS)NIDS 的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP 连接请求(SYN),来发现是否有人正在进行TCP 的端口扫描。一个NIDS 可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个网络的流量(集线器,路由器,探测器probe)。注意一个 网络IDS 监视很多主机。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才入侵检测的部署点可以划分为4个位置：DMZ 区、外网入口、内网主干、关键子网 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才3.IDS 存在的问题4.(1)误/漏报率高 5.ids 常 用 的 检 测 方 法 有 特 征 检 测、异常 检 测、状 态 检 测、协 议 分 析 等。而 这 些 检测 方 式 都 存 在 缺 陷。比 如 异 常 检 测 通 常 采 用统 计 方 法 来 进 行 检 测，而 统 计 方 法 中 的 阈 值难 以 有 效 确 定，太 小 的 值 会 产 生 大 量 的 误 报，太 大 的 值 又 会 产 生 大 量 的 漏 报。而 在 协 议 分析 的 检 测 方 式 中，一 般 的ids 只 简 单 地 处 理 了常 用 的 如http、ftp、smtp 等，其 余 大 量 的 协议 报 文 完 全 可 能 造 成ids 漏 报，如 果 考 虑 支 持尽 量 多 的 协 议 类 型 分 析，网 络 的 成 本 将 无 法承受。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(2)没有主动防御能力 ids 技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。(3)缺乏准确定位和处理机制 ids 仅能识别ip 地址，无法定位ip 地址，不能识别数据来源。ids 系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。(4)性能普遍不足 现在市场上像东软NetEye IDS、瑞星、东方龙马等公司提供的NIDS 产品大多采用的是特征检测技术，这种ids 产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多ip 分片情况下都可能造成ids 的瘫痪或丢包，形成dos 攻击。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才4.IDS 产品 由于目前IDS 产品普遍存在的问题，为提供给客户网络安全保障的一个高效能且功能完整的网络入侵侦测防御系统，网络安全专家们提出了蓝盾入侵检测系统，它彻底解决了其它IDS 系统存在的千兆丢包问题，是一种积极主动的安全防护系统，而且融合了多种国际先进技术和设计，采用了智能模式匹配与复杂协议分析融合技术、跨网段检测及集中管理技术、远程在线升级技术等，具有千兆网络支持，超大背景流量过滤功能，提供了对内部攻击、外部攻击和误操作的实时监控。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才蓝盾入侵检测系统功能界面：第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 蓝盾入侵检测系统突破传统方法，国际首创“反向拍照技术”，不但能捕捉到黑客的IP 和其它入侵信息，还能给黑客拍一张“全身照”，为有关部门进一步追踪黑客和取证提供了有力的依据。已被各级政府机关、公安、军队和大、中企业使用，用户反应良好。同类著名产品还有清华紫光入侵检测系统、硬件入侵检测系统安全、方通入侵检测系统解决方案、瑞星入侵检测系统等。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才7.2 局域网安全策略与实施7.2.1 服务器安全设置用户安全设置(1)禁用Guest 账号：在计算机管理的用户里面把Guest 账号禁用。为了保险起见，最好给Guest 加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest 用户的密码拷进去。(2)(2)限制不必要的用户：去掉所有的Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(3)创建两个管理员账号：创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。(4)把系统Administrator 账号改名：大家都知道，Windows 2003 的Administrator 用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。(5)创建一个陷阱用户：即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker 们忙上一段时间，借此发现它们的入侵企图。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(6)把共享文件的权限从Everyone 组改成授权用户：任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定要改。(7)开启用户策略：使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。(8)不让系统显示上次登录的用户名：默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ 的键值改成1第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才密码安全设置(1)使用安全密码：一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。(2)设置屏幕保护密码：这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。(3)开启密码策略：注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。(4)考虑使用智能卡来代替密码：对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 系统安全设置(1)使用NTFS 格式分区：最好把服务器的所有分区都改成NTFS 格式，NTFS 文件系统要比FAT、FAT32的文件系统安全得多。(2)运行防毒软件：杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此要注意经常运行程序并升级病毒库。(3)到微软网站下载最新的补丁程序：很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补给人家当靶子用。经常访问微软和一些安全站点，下载最新的Service Pack 和漏洞补丁，是保障服务器长久安全的惟一方法。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(4)关闭默认共享：Windows 2003 安装好以后，系统会创建一些隐藏的共享，你可以在Cmd 下打“Net Share”查看他们。网上有很多关于IPC 入侵的文章，都利用了默认共享连接。要禁止这些共享，打开“管理工具 计算机管理 共享文件夹 共享”在相应的共享文件夹上按右键，点 停止共享 即可。(5)锁住注册表：在Windows 2003 中，只有Administrators 和Backup Operators 才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(6)禁止用户从软盘和光驱启动系统：一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。当然，把机箱锁起来仍不失为一个好方法。(7)利用Windows 2003 的安全配置工具来配置安全策略：微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们你可以很方便地配置你的服务器以满足你的要求。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才 服务安全设置(1)关闭不必要的端口：关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为：打开“网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP 筛选/属性”打开“TCP/IP 筛选”，添加需要的TCP、UDP 协议即可。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才(2)设置好安全记录的访问权限：安全记录在默认情况下是没有保护的，把它设置成只有Administrators 和系统账户才有权访问。(3)把敏感文件存放在另外的文件服务器中：虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。(4)禁止建立空连接：默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous”的值改成“1”即可。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才7.2.2.客户端安全策略实施 启动“本地安全策略”：单击“控制面板管理工具本地安全策略”后，会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才、加固系统账户(1)禁止枚举账号：在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略安全选项”。查看右侧的相关策略列表，在此找到“网络访问:不允许SAM 账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。(2)账户管理：在“本地策略安全选项”分支中，找到“账户:来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才查看“账户:重命名系统管理员账户”这项策略，调出其属性对话框 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才、指派本地用户权利如果你是系统管理员身份，可以指派特定权利给组账户或单个用户账户。在“安全设置”中，定位于“本地策略用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置 第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才3 活用IP策略我们知道，无论是木马、后门，还是漏洞、嗅探，大多都是通过端口作为通道。因此，我们需要关闭那些可能成为入侵通道的端口。你可以上网查询一下相关危险端口的资料，以做到有备而战。4加强密码安全在“安全设置”中，先定位于“账户策略密码策略”，在其右侧设置视图中，可酌情进行相应的设置，以使我们的系统密码相对安全，不易破解。如防破解的一个重要手段就是定期更新密码，大家可据此进行如下设置:鼠标右键单击“密码最长存留期”，在弹出菜单中选择“属性”，在弹出的对话框中，大家可自定义一个密码设置后能够使用的时间长短(限定于1至999之间)。第7章局域网系统安全防范局域网组建与维护 局域网组建与维护提升网络技术打造网络技能人才7.2.3 组策略实施组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer 第7章局域网系统安全防范局域网组建与维护 局域网组建与维