作者:胡志齐
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络安全技术应用试读:
前言
互联网资源的日益丰富,为新知识、新技术的学习带来了方便,仅掌握书本上的理论已经无法跟上时代的步伐,也不符合科学发展的思想,更无法满足学习者持续增加知识和技能的需求。因此本书强调的是方法和能力的传授。本书充分借鉴了国内外基于行动导向的职业教育成功经验进行开发设计。
本书共设计了7个学习单元的学习情景,每个学习单元对应企业网络中不同的安全防护需求。单元1为操作系统安全配置与测试;单元2为网络病毒和恶意软件的清除与预防;单元3为网络攻击与防御;单元4为网络安全状况监测与诊断;单元5为网络边界安全与入侵检测;单元6为远程接入安全配置;单元7为加密与数字签名技术的应用。这7个方面所涉及的是目前企业网络安全管理与防护的主要技术。
每个学习单元都有一个总体的单元目标,每个学习单元按“工作过程”分为2~4个工作任务,每个工作任务下面组织若干活动,教材中每个活动都按以下体例精心设计。
· 任务描述:设置教学情境,引导学习者从实际出发考虑问题,积极主动地进行学习。
· 任务分析:对要完成的任务进行分析,理清完成任务的思路。
· 任务实战:具体的学习、探究引导。
· 知识链接:具体应用到的部分知识性内容,包括课上能用到的及一些拓展知识。
· 任务拓展:每个任务完成后有任务拓展,包括必要的理论知识习题和动手实训题。
本书可作为中高职类技术院校,以及各类计算机教育培训机构的网络安全技术教材,也可供广大网络安全技术爱好者自学使用。
由于编者水平有限,时间仓促,书中难免存在不足之处,敬请读者谅解。编 者单元1 操作系统安全配置与测试[单元学习目标]
知识目标
1.了解Windows服务器操作系统的安全策略
2.掌握Windows服务器操作系统安全策略的配置方法
3.掌握安全配置Web服务器的方法
4.掌握服务和端口安全
5.了解系统漏洞的概念
6.掌握使用MBSA检测系统漏洞的方法
7.掌握企业操作系统补丁更新的方法
能力目标
1.具备对Windows服务器操作系统进行安全策略配置的能力
2.具备对Windows服务器进行端口和服务安全加固的能力
3.具备安全配置Web服务器的能力
4.具备利用MBSA扫描系统漏洞并查看报告的能力
5.具备利用微软WSUS服务器为客户端分发和安装系统补丁的能力
情感态度价值观
1.培养认真细致的工作态度
2.逐步形成网络安全的主动防御意识[单元学习内容]
计算机系统安全是网络安全的基础。目前,Windows操作系统是应用最多的计算机操作系统之一,市场占有率始终维持在90%左右。常用的Windows服务器操作系统包括Windows 2003和Windows Server 2008。任何安全措施都无法保证万无一失,而强有力的安全措施可以增加入侵的难度,从一定程度上提升系统的安全性。通常情况下,用户安装操作系统后便投入使用是非常危险的。要想使服务器在复杂的环境下平稳运行,必须进行安全加固。本章将以Windows 2003系统为例进行安全加固,保证系统安全运行。任务1 Windows系统基本安全设置活动1 设置本地安全策略【任务描述】
齐威公司新购置了几台计算机准备作为服务器,小齐给它们安装了比较流行的Windows 2003服务器操作系统,而且安装的时候选择的是默认安装。但由于是服务器,对公司来说非常重要,来不得半点马虎,于是在默认安装结束后,小齐决定对系统进行安全加固。【任务分析】
小齐利用网络查找资料了解到,利用Windows Server 2003的安全配置工具来配置安全策略,微软提供了一套基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略,在管理工具中可以找到“本地安全设置”配置5类安全策略:账户策略、本地策略、公钥策略、软件限制策略和IP安全策略。小齐决定先进行账户策略的设置。【任务实战】(1)选择“开始”→“所有程序”→“管理工具”→“本地安全策略”,显示“本地安全设置”窗口,如图1-1所示。图1-1 “本地安全设置”窗口(2)开启账户策略。开启账户策略就可以有效防止字典式攻击,设置如下。
知识链接
字典式攻击是破解密码的一种方式,也就是猜密码,只不过用计算机来完成,是指黑客利用一个事先编辑好的字典文件,里面存储着预先设定好的大量的用户名和密码,通过软件一个个向被攻击计算机发起攻击。比较有名的如流光。
① 单击“账户策略”左边的,展开“账户策略”项,看到“密码策略”与“账户锁定策略”两项。
② 选择“账户锁定策略”,在窗口的右边将出现“复位账户锁定计数器”、“账户锁定时间”、“账户锁定阈值”3项,如图1-2所示。图1-2 “账户锁定策略”选项
③ 选择“账户锁定阈值”, 单击鼠标右键,选择“属性”,打开“账户锁定阈值属性”对话框,如图1-3所示。
④ 在对话框中选择需要设置的登录次数,超过该次数后就会锁定该登录账户,以防止非授权用户的无限次尝试登录。其余项目设置与此相同。(3)开启密码策略。密码对系统安全非常重要。本地安全设置中的密码策略在默认情况下都没有开启。
① 选择“密码策略”,在窗口右边窗格中显示策略具体项,如图1-4所示。图1-3 “账户锁定阈值 属性”对话框图1-4 “本地安全设置-密码策略”选项
② 以“密码长度最小值”的设置为例,说明密码策略的设置。选择“密码长度最小值”, 单击鼠标右键,选择“属性”,打开“密码长度最小值 属性”对话框,如图1-5所示。图1-5 “密码长度最小值 属性”对话框
③ 在“密码必须至少是”文本框中选择要规定的字符个数,然后单击“应用”按钮,再单击“确定”按钮。这样就设置了密码策略的长度项,其余项的设置与此相同。(4)开启审核策略。安全审核是Windows Server 2003最基本的入侵检测的方法。当有人尝试对系统进行某种方式(如尝试用户密码、改变账户策略和未经许可的文件访问等)入侵的时候,都会被安全审核记录下来。
① 选择“审核策略”,在窗口右边窗格中显示审核策略具体项,如图1-6所示。图1-6 “审核策略”列表框
② 以“审核策略更改”的设置为例说明审核策略的设置。选择“审核策略更改”,并单击鼠标右键,选择“属性”,打开“审核策略更改属性”对话框。
在“审核这些操作”中选中 “成功”和“失败”复选框,单击“应用”和“确定”按钮,审核策略更改成功。(5)不显示上次登录名。默认情况下,终端服务接入服务器时候,登录对话框中会显示上次登录的账户名,本地的登录对话框也是一样。黑客们可以得到系统的一些用户,进而猜测密码。通过修改注册表可以禁止显示上次登录名,方法是在HKEY_LOCAL_ MACHINE主键下修改子键SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ DontDisplayLastUserName,将键值修改为“1”。(6)禁止建立空连接。默认情况下,任何用户可以通过空连接进入服务器,进而枚举出账号,猜测密码。可以通过修改注册表来禁止建立空连接,方法是在HKEY_LOCAL_ MACHINE主键下修改子键System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改为“1”。
知识链接
空连接是黑客入侵系统的常规方法的第一步,它就像个跳板,如果空连接建立成功就可以枚举出被攻击计算机的用户名,进而猜测密码。活动2 关闭不必要的服务和端口【任务描述】
小齐已经把服务器进行了密码策略的加固,而且安装上了杀毒软件,小齐得意地认为这样就可以万无一失了。可是服务器运行一段时间后,小齐发现服务器还是遭受到了多次的黑客入侵和网络病毒的侵袭,这是怎么回事呢?【任务分析】
小齐通过访问微软的官方网站了解到,黑客的入侵和网络病毒的感染都是通过服务器的端口进行的,而Windows系统在默认情况下,有些没有用的端口和服务是开启的,这就给黑客和病毒有了可乘之机,小齐决定现在就把那些没有用的端口和服务关闭。【任务实战】
1.关闭不必要的端口(1)查看端口。查看端口的方式主要有两种:一种是利用系统内部的命令查看,另一种是使用第三方软件查看。
知识链接
在网络技术中,端口(Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。这里所指的端口不是指物理意义上的端口,而是特指TCP/IP协议中的端口,是逻辑意义上的端口。如果把IP地址比作一间房子,端口就是出入这间房子的门。真正的房子只有几个门,但是一个IP地址的端口可以有65536(即2^16)个之多。端口是通过端口号来标记的,端口号只有整数,范围为0 ~65535(2^16-1)。
方法:利用系统内部命令查看。
Netstat工具可以显示有关统计信息和当前TCP/IP网络连接的情况,通过该工具,用户或网络管理人员可以得到非常详细的统计结果,当网络中没有安装特殊的网管软件,但要对整个网络的使用状况做详细的了解时,Netstat就非常有用。
它可以用来获得系统网络连接的信息(使用端口和在使用的协议等)、收到和发出的数据、被连接的远程系统的端口等。在命令行状态下,输入以下命令并按Enter键:netstat-a,结果如图1-7所示。图1-7 Netstat-a参数使用情况
知识链接
Proto:表示使用的网络协议;
Local Address:显示本机名和使用的协议(-a参数);显示本机地址和端口号(-n参数);
Foreign Address:指连接该端口的远程计算机的名称和端口号;
State:表明当前计算机TCP的连接状态。主要状态有LISTENING、ESTABLISHED、TIME WAIT。其中LISTENING表示监听状态,表明主机正在对打开的端口进行监听,等待远程计算机的连接,这比较危险,有可能会被病毒或者黑客作为入侵系统的端口;ESTABLISHED表示已经建立起的连接,表明两台主机之间正在通过TCP进行通信;TIME WAIT表示这次连接结束,表明端口曾经有过访问,但现在访问结束。另外,UDP端口不需要监听。
-n 这个参数基本上是-a参数的数字形式,它是用数字的形式显示信息,这个参数用于检测自己的IP,也有些人则因为更喜欢用数字的形式显示主机名而使用该参数。
-e参数显示静态的网卡数据统计情况,如图1-8所示。图1-8 Netstat-e参数使用
-p参数用来显示特定的协议所在的端口信息,它的格式为“netstat– p xxx”。其中xxx可以是UDP、IP、ICMP或TCP,如图1-9所示。图1-9 Netstat-p参数使用
-s参数显示在默认的情况下每个协议的配置统计,默认情况下包括TCP、IP、UDP、ICMP等协议,如图1-10所示。
Netstat的-a、-n两个参数同时使用时,可以用来查看系统端口状态,列出系统正在开放的端口号及其状态,如图1-11所示。图1-10 Netstat-e-s参数的综合应用图1-11 Netstat-na参数的综合使用
Netstat的-a、-n、-b 3个参数同时使用时,可用来查看系统端口状态,显示每个连接是由哪些程序创建的,如图1-12所示。图1-12 Netstat-nab参数的综合使用(2)关闭端口。
步骤1 选择“开始”→ “设置”→“控制面板”→“管理工具”,双击打开“本地安全策略”,选择“IP安全策略,在本地计算机”,如图1-13所示。图1-13 “本地安全设置”窗口
在右边窗格的空白位置右击,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中单击“下一步”按钮。为新的安全策略命名为“关闭端口”,如图1-14所示。图1-14 “IP安全策略名称”对话框
单击“下一步”按钮,则打开“安全通信请求”对话框(图1-15),在对话框上取消选中“激活默认相应规则”,单击“完成”按钮就创建了一个新的IP安全策略。图1-15 “安全通信请求”对话框
步骤2 右击该IP安全策略,选择“属性”在打开的“关闭端口属性”对话框中(图1-16),取消选中“使用添加向导”,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框(图1-17),其中显示“IP筛选器列表”选项卡。图1-16 “关闭端口属性”对话框图1-17 “新规则属性”对话框
在图1-17中单击“添加”按钮,弹出“IP筛选器列表”对话框,如图1-18所示。图1-18 “IP筛选器列表”对话框
在列表中,首先取消选中“使用添加向导”,然后再单击右边的“添加”按钮添加新的筛选器。
步骤3 进入“筛选器属性”对话框,首先看到的是“地址”选项卡(图1-19),源地址选择“任何IP 地址”,目标地址选择“我的IP地址”。
选择“协议”选项卡,在“选择协议类型”下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,单击“确定”按钮,如图1-20所示。这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口进入你的计算机。
单击“确定”按钮后回到筛选器列表的对话框,可以看到已经添加了一条策略。
重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的筛选器,最后单击“确定”按钮。图1-19 “IP 筛选器属性”对话框图1-20 “协议”选项卡
步骤4 在“编辑规则属性”对话框中,选择“新IP筛选器列表”,然后选中其左边单选按钮,表示已经激活,最后选择“筛选器操作”选项卡,如图1-21所示。图1-21 “编辑规则属性”对话框
在“筛选器操作”选项卡中,取消选中“使用添加向导”,单击“添加”按钮(图1-22),添加“阻止”操作(图1-23):在打开的“需要安全属性”对话框的“安全措施”选项卡中,选择“阻止”,然后单击“确定”按钮。图1-22 “筛选器操作”选项卡图1-23 “安全措施”选项卡
步骤5 进入“新规则属性”对话框,选择“新筛选器操作列表”,其左边的圆圈会加了一个点,表示已经激活,单击“关闭”按钮,关闭对话框;最后回到“新规则属性”对话框,选中“新IP筛选器列表”(图1-24)左边的单选按钮,激活选项,单击“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的IP安全策略,然后选择“指派”。图1-24 “IP筛选器列表”选项卡
重新启动后,计算机中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口。
2.关闭不必要的服务
在Windows操作系统中,默认开启的服务很多,但是并非所有的服务都是操作系统运行必须的,而禁止所有不必要的服务可以节省内存和大量系统资源,更重要的是提升系统的安全性。(1)查看服务。单击“开始”菜单,展开“管理工具”,选择“服务”,打开“服务”窗口,如图1-25所示。图1-25 “服务”窗口(2)关闭服务。下面以“程序在指定时间运行”服务为例说明如何关闭服务。“程序在指定时间运行”的服务名称为“Task Schedule”,它就是计划任务的服务,可以让有权限的用户,制定一个计划让某个程序在未来某个时间自动运行。这个服务很容易被黑客利用,让木马自动在某个时间运行,因此如果不使用这项功能,建议停止这项服务。在系统服务中找到Task Schedule服务,单击鼠标右键,选择“属性”,打开的对话框如图1-26所示。然后选择启动类型为“禁用”。
单击“服务状态”下的“停止”按钮,弹出如图1-27所示的对话框,则该服务就被关闭了。图1-26 “Task Schedule的属性”对话框图1-27 “服务控制”对话框【任务拓展】
一、理论题
1.请说明Windows系统自身安全的重要性。
2.请列举出你所了解的Windows安全的配置方法。
3.Windows Server 2003用户“密码策略”设置中,“密码必须符合复杂性要求”策略启用,用户设置密码必须满足什么要求?
4.查看端口的命令是什么?
二、实训
1.自动播放功能不仅对光驱起作用,而且对其他驱动器也起作用,这样很容易被黑客用来执行黑客程序。为了系统安全起见,建议关闭自动播放功能,请写出工作流程并截图。
2.除了系统自带的端口查看工具Netstat外,互联网上还有很多第三方的查看工具,操作简单,界面友好,如Tcpview等。请从互联网上找到一款端口查看软件,并熟悉其使用方法,给大家讲解一下。任务2 网络服务安全配置活动1 Web服务安全设置【任务描述】
齐威公司准备在刚刚配置好的Windows 2003上安装一台Web服务器,发布公司的网站。通过网络学习,网管员小齐了解到可以用微软提供的IIS6.0组件,并可以通过安全设置打造一个安全的Web服务器。【任务分析】
小齐通过查看微软中国的官方在线帮助网站了解,IIS6.0并没有作为默认组件安装,需要先安装,然后再进行安全配置。【任务实战】
1.IIS的安装
步骤1 运行“控制面板”中的“添加删除程序”,选择“添加/删除Windows组件”,进入“Windows组件向导”对话框,选中“应用程序服务器”复选框,单击“详细信息”按钮,如图1-28所示。
试读结束[说明:试读内容隐藏了图片]