2022年网络安全基础教程_ .pdf

《2022年网络安全基础教程_ .pdf》由会员分享，可在线阅读，更多相关《2022年网络安全基础教程_ .pdf（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、104 网络安全基础教程主控单元上软件包括控制管理软件和高级安全软件。控制管理软件接收从Web 界面和命令行对防火墙传递的配置信息，并转换为网络处理器识别的信息，发送到网络处理单元的控制管理模块，同时接收从网络处理单元的控制管理模块返回的信息。高级安全软件主要是那些对实时性要求不高或在NP 中实现会极大影响性能的功能。NP 防火墙的特点是：防火墙安全过滤与其操作系统无关，并与防火墙配置管理、控制分离，以网络处理器为主，网络处理器上的安全功能可以随时升级；系统在提供高安全性和高性能的同时，还要符合电信级网络设备高可靠、高稳定的要求；系统相对成本较低；由于具有自主知识产权，因此系统具有极强的功能和

2、性能可扩展性等。总之，网络处理器面向高速数据流的高层细化分组处理，通过对执行环境、内存、硬件加速器、总线结构、网络应用开发接口的综合优化，具有灵活软件体系提供硬件级处理性能的关键特性。以网络处理器为核心的下一代网络设备具备高性能和灵活性特点，较好地满足了未来网络和市场对网络设备的技术需求，具有巨大的发展空间。4.7 Windows 2000下配置 PPTP实训4.7.1 实训任务和目的（1）掌握 IPSec的工作原理。（2）理解 PPTP在 Windows 2000 下的实现过程。（3）了解 PPTP的加密原则。（4）运用 PPTP实现点到点的安全验证和数据传输。4.7.2 实训环境和工具实训

3、环境：服务器端Windows 2000 Server，客户端 Windows 98/XP/2000。实训工具：Windows 2000 Resource Kit。4.7.3 实训方法和步骤1在服务器上配置PPTP（1）点击“开始”?“程序”?“管理工具”?“路由和远程访问”，如图 4-12 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 23 页 -第 4 章防火墙技术 105 图 4-12 打开路由和远程访问（2）添加服务器、配置并启用路由和远程访问，如图4-13 所示。图 4-13 配置路由和远程访问名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 23 页

4、 -106 网络安全基础教程（3）点击“下一步”，开始安装。如图4-14 所示。（4）选择“远程访问服务器”，如图 4-15 所示。图 4-14 路由和远程访问服务器安装向导图 4-15 选择远程访问服务器（5）选择“远程客户协议”，如图 4-16 所示。（6）指定地址范围，如图4-17 所示。图 4-16 选择远程客户协议图 4-17 指定 IP 地址（7）点击“新建”，指定地址范围，如图4-18 所示。（8）输入起始和结束IP 地址，如图4-19 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 23 页 -第 4 章防火墙技术 107 图 4-18 新建地址范围图 4-

5、19 指定 IP 地址范围（9）确定后，点击“下一步”，完成安装，如图4-20 和图 4-21 所示。图 4-20 RADIUS服务器选择图 4-21 完成安装（10）在树状结构中选择“端口”，单击右键选择“属性”，如图 4-22 所示。（11）在端口属性窗口中选择类型为PPTP 的端口并点击左下方的配置按钮，如图 4-23所示。（12）进入 PPTP端口配置界面，如图4-24 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 23 页 -108 网络安全基础教程图 4-22 端口设置图 4-23 设置 PPTP 端口图 4-24 端口设置属性在 PPTP 配置过程中，必须输

6、入VPN 的数目，即该服务器将同时支持的PPTP连接的数目。每个服务器最多可以定义256 个端口。配置 VPN 与配置拨号线路一样。对每个 VPN 端口必须选择Dial out only，Receive calls only，或 Dial out and Receive calls 等选项的其中之一；定义需要接受的协议，设置为 TCP/IP。因为服务器接受VPN 连接，可以选择VPN 端口为仅接入（Receive calls only）。然后，选择并配置客户使用的本地协议，如NetBEUI，TCP/IP 或 IPX 等。（13）打开网络连接，单击传入的连接图标，并右键属性。如图4-25 所示。

7、（14）选中允许连接的用户，如图4-26 中所示的 test1 用户。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 23 页 -第 4 章防火墙技术 109 图 4-25 打开连接属性图 4-26 选中允许连接的用户当完成配置后，需要关闭并重新启动服务器。2Client 方设置 PPTP Windows 98 PPTP 设置：（1）建立虚拟专用网连接。（2）点击开始?设置?网络和拨号连接，双击“新建连接”图标，选择Microsoft VPN Adapter。（3）输入 VPN Server 连接 Internt 的网络接口IP 地址或域名。（4）创建连接，完成客户端配置。详细操

8、作参见教学光盘第4 章 Windows 98 PPTP 屏幕录像。Windows XP PPTP 设置：（5）在网络属性中双击新建连接向导，并设置成虚拟专用网络连接，如图 4-27、图 4-28、图 4-29 和图 4-30 所示。图 4-27 打开网络连接图 4-28 新建连接向导名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 23 页 -110 网络安全基础教程（6）指定连接到的服务器名和IP 地址，如图4-31 和 4-32 所示。图 4-29 设置 VPN 连接图 4-30 选择虚拟专用网络连接图 4-31 指定连接的服务器名图 4-32 指定连接的服务器IP（7）完成配

9、置后，启动连接，输入用户名和密码，如图4-33 和图 4-34 所示。图 4-33 输入登录用户名和密码图 4-34 连接到名为 lt 的服务器上名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 23 页 -第 4 章防火墙技术111（8）通过虚拟专用网络与服务器连接成功后，本地网络连接显示其连接状态。如图 4-35和 4-36 所示。图 4-35 与服务器的连接状态图 4-36 本地网络连接状态（9）通过虚拟专用网络与服务器连接成功后，远程服务器端VPN 端口状态为活动的，如图 4-37 所示。（10）服务器端的网络连接中有一test1 用户与其连接，如图4-38 所示。Wind

10、ows 2000 Client PPTP 设置：详细操作参见教学光盘第4 章 Windows 2000 PPTP 屏幕录像。图 4-37 VPN端口状态为活动的图 4-38 服务器端 VPN 连接状态名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 23 页 -112 网络安全基础教程4.8 应用个人防火墙实训4.8.1 实训任务和目的（1）掌握个人防火墙的安装与使用。（2）灵活运用个人防火墙配置过滤规则。（3）掌握规则细节及其有效性。（4）了解不同网络应用的防火墙的配置。4.8.2 实训环境和工具（1）实训环境：机器预装Windows 2000 Professional/XP。（

11、2）实训工具：CA Individual Firewall（Windows 2000）。4.8.3 实训方法和步骤1安装 CA Individual Firewall 详细操作参见教学光盘第4 章 Firewall 屏幕录像。2使用和配置CA Individual Firewall EZ Firewall 的使用界面如图4-39 所示。图中分为4 个部分。（1）对 Internet 的控制，点击图中的stop 图标，可以立即停止对Internet 的访问。（2）小锁可以实现对Internet 的解锁和加锁。此外，这里还显示了机器开启的一些应用程序。（3）显示了软件的七大功能，分别是：Overv

12、iew（概览）、Firewall（防火墙设置）、Program Control（应用程序控制）、Alerts&Logs（提示和日志）、Privacy（私人设置）、E-mail Protection（电子邮件保护）和ID Lock（私密信息保护）。（4）每个功能的子功能和具体设置。Overview zStatus：可以看到已经阻止的入侵，从图4-40 中得知已经阻止了117 次入侵，其中14 次为高等级。中间列出了出入边界的受保护情况，图中有25 个安全的程序从本地访问了 Internet。名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 23 页 -第 4 章防火墙技术113 图

13、4-39 EZFW使用界面图 4-40 Overview 界面zProduct Info：该选项显示了此款防火墙的版本信息，注册信息，并可以通过Internet方式连接技术支持。zPreferences：通过 Preferences设置一些个人设定，并且可以设置密码，防止他人更改自己的防火墙设置。还可以设置是否在机器启动时启动Firewall，以及在与CA联系时是否隐藏自己的IP。如图 4-42 所示。图 4-41 产品信息界面名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 23 页 -114 网络安全基础教程图 4-42 个人设置界面 Firewall zMain：在此界面中

14、可以设置两个域的安全级别，即Internet 域和信任域（局域网）。用户还可以自定义具体的选项，如图 4-43 和 4-44 所示。在图 4-44 中可以定义具体细节，如是否允许进出的ICMP。默认选项中，其他机器不能Ping 通自己的IP，因为没有选中“Allow incoming ping（ICMP Echo）”，如图 4-45 所示。如果在 Trusted Zone 中，选中“Allow incoming ping（ICMP Echo）”，局域网中的另一台机器则可以 Ping 通本地主机。如图4-46 和图 4-47 所示。图 4-43 Firewall 界面图 4-44 Custom界

15、面名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 23 页 -第 4 章防火墙技术115 图 4-45 ping不通本地主机图 4-46 更改设置图 4-47 修改策略后ping 通主机zZones：在 Zones 中列出了用户信任的域，还可以通过点击Add 来添加信任的主机、IP 地址、IP 段和 IP 子网。如图4-48 和图 4-49 所示。Program Control zMain：其列出关于应用程序的安全设置，以及自定义更高级选项。zPrograms：其中显示了主机上曾经运行的各种应用程序，绿色圆点表示当前正在运行的程序。绿色的“”表示允许执行，“？”表示在程序运行之

16、前询问用户是否运行该程序。如图4-50 所示。通过Add 可以添加允许运行的程序。名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 23 页 -116 网络安全基础教程图 4-48 Zones界面图 4-49 添加子网图 4-50 程序列表zComponents：其中列出了运行过的.dll 文件，选中某一条时，下面将显示其具体信息。如图 4-51 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 23 页 -第 4 章防火墙技术117 图 4-51 组件列表 Alerts&Logs zMain：在 Main 中可以定义提示事件级别、事件日志和程序日志。如果机器

17、运行中阻止了某一事件，会出现相应的提示。如图4-52、4-53 所示。图 4-52 Alert界面图 4-53 Alers&Logs界面zLog Viewer：在此列出了记录和日志事件。可以自定义显示的事件数目，如图4-54所示。选中某一条，可以在下面看到该条的详细信息。名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 23 页 -118 网络安全基础教程图 4-54 日志浏览 Privacy zMain：通过设置不同的级别，达到阻止全部、过滤部分和禁用的功能。一般情况下，设置到中等级别，可以起到较好的过滤功能。如果设置成高级别，会阻止全部，从而给自己的正常工作、学习带来不便。如

18、图4-55 所示。在个人设置中可以点击右边的 Custom，针对 cookies、广告和一些脚本做更详细的设置。如图4-56 所示。图 4-55 Privacy界面图 4-56 Custom Privacy Settings 名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 23 页 -第 4 章防火墙技术119 zSite List：网站列表可以看到曾经访问过的并对其做过个人设置的站点。如图4-57所示。还可以添加自定义的网站。图 4-57 网站列表 E-mail Protection zMain：在 Main 界面中，邮件保护设置成On，即可以对收到的邮件中的附件起到保护作用

19、。如图4-58 所示。图 4-58 E-mail保护界面zAttachments：在 Attachments 中，可以看到对收到邮件中的哪些附件格式实行检查。默认设置中已列出了一些类型，还可以添加自己定义的文件类型。如图 4-59 所示，用户自定义了对.doc 的检查。名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 23 页 -120 网络安全基础教程图 4-59 自定义保护的文件类型 ID LOCK zMain：在 Main 中可以选择个人信息的保护等级。zMyVAULT：在此添加要保护的个人信息，并可进行加密等操作。如图4-60 所示。图 4-60 添加保密信息4.9 习题

20、1防火墙的任务是什么？2状态检测防火墙的技术特点是什么？3防火墙从实现形式上有几种？各自的特点如何？名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 23 页 -第 5 章 Windows 2000 系统安全操作系统的安全对整个计算机网络系统的安全是至关重要的，Windows2000 以它强大的功能、人性化的界面、超强的兼容性成为了网络发展史上的一个里程碑。其用户数量庞大使它成为了网络中最易被攻击的一个操作系统。因此，掌握 Windows 操作系统的安全技术具有重要的意义。5.1 Windows 2000的安全机制5.1.1 Windows 2000 的安全子系统Windows

21、2000 的安全子系统由本地安全策略、安全账号管理器、安全证明监视器三部分组成。1本地安全策略本地安全策略（Local security authority）是 Windows 2000 的安全机制核心，通过确认安全账号管理中的数据，控制各种类型用户的本地和远程登录，并提供用户存取许可及产生访问令牌，同时还管理本地的安全策略、控制审计方案并将安全证明监视器产生的审计信息记入日志中。2安全账号管理器安全账号管理器（Security account manager）用于维护Windows 2000 系统中的账号管理数据库，该数据库包含所有账号及组信息。安全账号管理器对账号的管理是通过安全标识进行的

22、，安全标识与账号同时创建。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。3安全证明监视器安全证明监视器（Security reference monitor）以核心模式运行，负责检查对对象的访问的合法性并为用户账号提供访问权限。用户在要求访问对象时，必须通过安全证明监视名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 23 页 -122 网络安全基础教程器的有效校验，不能直接访问对象。安全证明监视器还负责实施审核生成策略，在验证对象的访问和检查用户账号权限时生成必要的审核信息。5.1.2 对象与对象安全在 Windows 2000 操作系统中，系

23、统的所有资源都被视为对象进行处理，对象包括文件、目录、存储器、驱动器、程序等。所有对对象的访问都必须由操作系统来执行，得到其授权，这样可获得较高的安全级别。由于其他程序都无法直接访问对象，因此，操作系统就是对象的保护层。Windows 2000中对对象的安全管理是通过访问控制列表来进行的。在Windows 2000中，每一个对象的访问控制列表都定义对象的存取权限的访问控制项，对象的拥有者可为对象设定具体的访问控制，包含安全标识和对应存取的访问控制项将插入到访问控制列表中。若对象拥有者没有对对象设置具体的访问控制，则由系统建立一个默认的访问控制列表。当用户要求访问对象时，用户的安全标识和其所在的

24、组的安全标识会被用于与访问控制列表中的各项进行比较，用户的操作也会与访问控制项定义的存取权限进行比较，如果用户的安全标识和用户操作请求与访问控制项中的安全标识和存取许可都匹配，系统就允许用户对对象进行访问。5.2 Windows 2000的安全体系5.2.1 域与工作组域是 Windows 2000 网络系统的核心，域可以认为是一些服务器及工作站的集合。在域中的服务器使用相同的安全策略及统一的用户账号数据库，这样的设计使管理员能更简便、更安全地控制用户的访问。在域中，维护安全账号管理数据库的服务器为主域控制器，需要加入域的用户都必须通过主域控制器的验证。工作组是不属于一个域的独立的单元，工作组

25、中的服务器各自维护自己的组账号、用户账号及安全账号数据库，不与其他系统共享信息。5.2.2 用户和组要登录 Windows 2000 域并能访问计算机的资源及网络资源，就必须在Windows 2000系统中拥有自己的账号。每一个账号就对应一个Windows 2000 系统中的用户。名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页，共 23 页 -第 5 章 Windows 2000 系统安全 123 Windows 2000 缺省定义一系列的组，并给这些组分配相应的权限，这些组的定义是为了方便实现对系统和用户的管理。1本地组（1）Administrators（管理员组）：默认成员有A

26、dministrator。属于管理员组的用户是系统权限最高的用户，可以访问系统上的几乎所有资源，创建用户和用户组，赋予对资源的访问权，控制对资源的共享和关闭系统。管理员组的成员可以执行系统支持的所有功能。管理员组的权限包括：安装操作系统和组件；安装 Service Packs 和 Windows Packs；升级操作系统和修复操作系统；配置关键操作系统参数，如密码策略、访问控制、审核策略等；获取已经不能访问的文件的所有权；管理安全措施和审核日志；备份和还原系统。（2）Power users（超级用户组）：默认没有成员。超级用户在系统中的权限仅次于管理员，超级用户可以执行除了为管理员组保留的任务

27、外的其他任何操作系统任务。超级用户的权限包括：除了 Windows 2000 认可的应用程序外，还可以运行一些安全性不太严格的应用程序；安装不修改操作系统文件、不需要安装系统服务的应用程序；自定义系统资源，包括打印机、日期和时间、电源选项和其他控制面板资源；创建和管理本地用户账号和组；启动或停止默认情况下不启动的服务。（3）User（用户组）：默认没有成员。普通的用户组，新建用户账号时账号默认就是属于 user组。系统和网络上的大多数用户均属于这个组，用户可以创建自己的资源，并可以控制他人对这些资源的访问。但是，用户只拥有管理员赋予他们的那些访问权。（4）Guests（访客用户组）：默认成员g

28、uest。Guest 组的账号是提供给非系统正式用户，只是短期需要访问系统的用户使用的账号。该组默认存在内置账号guest，因此需要对这个组的权限进行严格限制。（5）Replicator（复制员组）：默认没有成员。该用户组是用于支持域中的文件复制的。（6）Backup Operators（备份操作员组）：默认没有成员。该组允许用户执行备份操作员的任务，进行文件的备份和恢复。该组用户可以跳过文件安全管制进行文件备份，也就是说，备份操作员可以不管这些文件的权限，直接备份并且还原计算机上的文件。本地组如5-1 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页，共 23 页 -124

29、网络安全基础教程图 5-1 本地用户组2全局组（1）Domain Admins（域管理员）：该组用户负责管理主域和备份域控制器及该域的工作站。（2）Domain Guests（域访客用户）：该组用户可连接到域并使用域中的相关资源。（3）Domain Users（域主用户）：该组用户可在域中的计算机上工作，类似于users组。（4）Account Operators（账号操作员）：该组用户可运用域用户管理器来管理域中的账号。组成员也可登录到域服务器上关闭域服务器，并可使用Server Manager（服务器管理器）将计算机添加到一个域中。（5）Printer Operators（打印操作员）：该

30、组用户可创建、管理和删除打印机共享资源。（6）Server Operators（服务器操作员）：该组用户可管理一个域中的主域和备份域控制器。3特殊用户组Windows 2000 还包含一套特殊的用户组，赋予访问许可权时，可以使用这些用户组。如图 5-2 所示。（1）Everyone（任何人）：包含使用计算机的任何一个用户，包括本地用户和远程用户。（2）Network（网络用户）：包含与网络上计算机相连接的所有用户。（3）Interactive（交互式用户）：该组指本地使用计算机的所有用户。（4）System（系统用户）：指使用操作系统的用户。（5）Creator owner（创建人和所有人）：

31、该组指创建和拥有资源的用户。名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页，共 23 页 -第 5 章 Windows 2000 系统安全 125 图 5-2 特殊用户组5.2.3 身份认证保证网络安全最普遍的做法是进行身份认证，没有通过身份认证的用户将无法访问网络资源。身份认证是每一个系统保护自身安全最基本的措施。以如图 5-3 所示 Windows2000中身份验证为例来进行说明。图 5-3 Windows系统中的身份验证Windows 2000 支持多种身份认证机制：名师资料总结-精品资料欢迎下载-名师精心整理-第 22 页，共 23 页 -126 网络安全基础教程（1）安全

32、套接字/传输层安全（SSL/TLS）；（2）局域网管理器（LAN Manager，简称 LM）；（3）NT 局域网管理器（NT LAN Manager，简称 NTLM）。其中 Kerberos 是 Windows 2000 系统之间默认的认证方式。5.2.4 文件系统Windows 2000 所推荐使用的NTFS（New Technology File System）文件系统除了具有支持长文件名、对文件目录的安全控制、较强的可靠性和兼容性以外，还支持对Windows中每一个对象赋予特定的访问权限。如图5-4 所示。对文件夹和文件可控制的权限包括：（1）完全控制（包括读、写、修改、删除、运行和其

33、他所有的权限）；（2）修改（包括读、写、修改、删除、运行和列举文件夹内容）；（3）读取和执行（举文件夹内容、读文件和执行）；（4）列出文件夹目录；（5）读取（读取文件、目录内容）；（6）写入（能修改文件、向目录中写入文件，但不能读）。上面是 NTFS 提供的六个基本权限类型。为了满足用户对文件系统的对象权限更细粒度的控制，NTFS 还提供了高级控制选项，如图5-5 所示。图 5-4 访问控制权限图 5-5 高级控制选项NTFS 内置安全特征，它控制文件的隶属关系和访问，从DOS 或其他操作系统上不能访问 NTFS 卷上的文件。然而，当用户从NTFS 卷移动或复制文件到FAT 卷时，NTFS 文件系统权限和其他特有的属性将会丢失。名师资料总结-精品资料欢迎下载-名师精心整理-第 23 页，共 23 页 -