網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成(楊威)第8章

網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成楊威山西師范大學(xué)網(wǎng)絡(luò)信息中心

人民郵電出版社

（第2版）NetworkEngineeringDesignandSystemIntegration（2ndEdition）普通高等教育“十一五”國(guó)家級(jí)規(guī)劃教材

1山西師范大學(xué)網(wǎng)絡(luò)信息中心問題思考你的電腦安全？

電腦訪問Internet時(shí)，受到安全威脅怎么辦？如何解決防御病毒、黑客攻擊？

學(xué)習(xí)目標(biāo)：了解網(wǎng)絡(luò)安全威脅，安全技術(shù)措施，認(rèn)證技術(shù)，以及360安全衛(wèi)士的功能?；菊莆?02.1x協(xié)議及工作機(jī)制。會(huì)使用防IP盜用技術(shù)保護(hù)IP地址安全。理解服務(wù)器系統(tǒng)安全技術(shù)要點(diǎn)，掌握Windows2003Server安全加固方法、Web服務(wù)器安全設(shè)置方法。會(huì)使用360安全衛(wèi)士建立Windows系統(tǒng)的安全防御體系。理解網(wǎng)絡(luò)邊界安全技術(shù)要點(diǎn)，掌握路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界的方法，會(huì)使用訪問控制列表建立防火墻，會(huì)使用NAT協(xié)議保護(hù)內(nèi)網(wǎng)的安全。能夠按照用戶網(wǎng)絡(luò)安全需求，設(shè)計(jì)網(wǎng)絡(luò)基本安全技術(shù)方案。

第8章網(wǎng)絡(luò)安全技術(shù)與應(yīng)用本章重點(diǎn)：802.1x協(xié)議及工作機(jī)制常用的網(wǎng)絡(luò)安全技術(shù)措施防止IP地址盜用，網(wǎng)絡(luò)防病毒技術(shù)使用路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界擴(kuò)展訪問列表與應(yīng)用,NAT協(xié)議保護(hù)內(nèi)網(wǎng)的安全Windows2003Server操作系統(tǒng)安全加固的技術(shù)，Web服務(wù)器安全設(shè)置技術(shù)本章難點(diǎn)：使用路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界擴(kuò)展訪問列表與應(yīng)用第8章網(wǎng)絡(luò)安全技術(shù)與應(yīng)用8.1網(wǎng)絡(luò)安全威脅與對(duì)策網(wǎng)絡(luò)的組成元素網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備元素說明：該元素由網(wǎng)絡(luò)交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)傳輸設(shè)備組成，進(jìn)行用戶網(wǎng)絡(luò)數(shù)據(jù)的交換處理。元素說明：該元素由網(wǎng)絡(luò)服務(wù)器，用戶網(wǎng)絡(luò)客戶端等網(wǎng)絡(luò)終端設(shè)備組成。網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備現(xiàn)有網(wǎng)絡(luò)中存在的問題導(dǎo)致這些問題的原因是什么現(xiàn)有網(wǎng)絡(luò)安全體制網(wǎng)絡(luò)安全的演化病毒的演化趨勢(shì)木馬程序、黑客應(yīng)用安全網(wǎng)絡(luò)安全保護(hù)需求網(wǎng)絡(luò)安全保護(hù)對(duì)策撥號(hào)用戶B撥號(hào)用戶C撥號(hào)用戶A撥號(hào)用戶DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全信息丟失未授權(quán)接入非法外聯(lián)監(jiān)控安全事件處理IT系統(tǒng)運(yùn)維面臨的問題導(dǎo)致這些問題的原因是什么？

病毒泛濫：計(jì)算機(jī)病毒的感染率比例非常高，高達(dá)89.73%

軟件漏洞：軟件系統(tǒng)中的漏洞也不斷被發(fā)現(xiàn)，從漏洞公布到出現(xiàn)攻擊代碼的時(shí)間為5.8天黑客攻擊：世界上目前有20多萬個(gè)黑客網(wǎng)站，各種黑客工具隨時(shí)都可以找到，攻擊方法達(dá)幾千種之多。

移動(dòng)用戶越來越多：網(wǎng)絡(luò)用戶往往跨越多個(gè)工作區(qū)域以上相關(guān)數(shù)據(jù)來自Symantec。現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL（規(guī)則控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey資料來源： ComputerSecurityInstitute網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對(duì)我們的威脅越來越快病毒的演化趨勢(shì)

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對(duì)防毒體系提出新的挑戰(zhàn)IDC,2004郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質(zhì)Brain19861998CIHSQLSlammer20032004沖擊波震蕩波病毒發(fā)展史1990199119941996199819992000200120022003主流病毒行態(tài)木馬、蠕蟲病毒發(fā)展史（續(xù)1）引導(dǎo)區(qū)病毒臺(tái)式電腦第1代第2代第3代第4代臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦LAN服務(wù)器基于文件的病毒郵件群發(fā)病毒互聯(lián)網(wǎng)防毒墻電子郵件

服務(wù)器墻臺(tái)式電腦筆記本電腦網(wǎng)絡(luò)病毒互聯(lián)網(wǎng)防毒墻服務(wù)器服務(wù)器服務(wù)器服務(wù)器臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦筆記本電腦已打補(bǔ)丁的機(jī)器網(wǎng)絡(luò)擁堵Internet攻擊模式WORM_SASSER.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染網(wǎng)絡(luò)病毒的特征通過攻擊操作系統(tǒng)或應(yīng)用軟件的已知安全漏洞來獲得控制權(quán)在本地硬盤上并不留下文件由于其在網(wǎng)絡(luò)上進(jìn)行掃描的動(dòng)作，可能會(huì)引起嚴(yán)重的網(wǎng)絡(luò)負(fù)載如果攻擊是屬于常規(guī)的應(yīng)用，例如SQL,IIS等就可能穿過防火墻木馬程序等間諜軟件成為網(wǎng)絡(luò)與信息安全保密的重要隱患.在現(xiàn)在的工作中發(fā)現(xiàn),越來越多的木馬程序植入到我國(guó)重要信息系統(tǒng)中,根據(jù)保守估計(jì),國(guó)內(nèi)80%的網(wǎng)絡(luò)系統(tǒng),都存在木馬程序和間諜軟件問題.中國(guó)地區(qū)危害最為嚴(yán)重的十種木馬病毒，分別是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、BOT系列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬系統(tǒng)漏洞就像給了木馬病毒一把鑰匙，使它能夠很輕易在電腦中埋伏下來，而木馬病毒又會(huì)欺騙用戶偽裝成“好人”，達(dá)到其偷取隱私信息的險(xiǎn)惡目的木馬程序木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針對(duì)以上各種現(xiàn)象的危害越來越多，木馬病毒已成為威脅數(shù)字娛樂的大敵根據(jù)木馬病毒的特點(diǎn)與其危害范圍來講，木馬病毒又分為以下五大類別：針對(duì)網(wǎng)游的木馬病毒、針對(duì)網(wǎng)上銀行的木馬病毒、針對(duì)即時(shí)通訊工具的木馬病毒、給計(jì)算機(jī)開后門的木馬病毒、推廣廣告的木馬病毒。木馬程序

黑客攻擊愈加猖獗據(jù)國(guó)家計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心（CNCERT/CC）統(tǒng)計(jì)：2003年，我國(guó)互聯(lián)網(wǎng)內(nèi)共有272萬臺(tái)主機(jī)受到攻擊，造成的損失數(shù)以億計(jì)；攻擊向縱深發(fā)展,以經(jīng)濟(jì)和商業(yè)利益為目的的網(wǎng)絡(luò)攻擊行為漸為主流垃圾郵件成為公害據(jù)中國(guó)互聯(lián)網(wǎng)中心統(tǒng)計(jì)，現(xiàn)在，我國(guó)用戶平均每周受到的垃圾郵件數(shù)超過郵件總數(shù)的60%，部分企業(yè)每年為此投入上百萬元的設(shè)備和人力，垃圾郵件泛濫造成嚴(yán)重后果它不但阻塞網(wǎng)絡(luò),降低系統(tǒng)效率和生產(chǎn)力,同時(shí)有些郵件還包括色情和反動(dòng)的內(nèi)容應(yīng)用安全設(shè)計(jì)階段開發(fā)階段實(shí)施階段使用階段管理制度監(jiān)督機(jī)制使用方法在應(yīng)用安全問題中,在Windows平臺(tái)上利用Windows系統(tǒng)新漏洞的攻擊占70%左右,30%的安全問題與Linux相關(guān)移動(dòng)用戶D廣域網(wǎng)如何進(jìn)行信息系統(tǒng)的等級(jí)化保護(hù)？各信息系統(tǒng)依據(jù)重要程度的等級(jí)需要?jiǎng)澐植煌踩珡?qiáng)度的安全域，采取不同的安全控制措施和制定安全策略完成安全設(shè)施的重新部署或響應(yīng)如何從全局角度對(duì)安全狀況分析、評(píng)估與管理獲得全局安全視圖制定安全策略指導(dǎo)或自動(dòng)Internetp用戶如何管理現(xiàn)有安全資源并執(zhí)行策略機(jī)制？補(bǔ)丁服務(wù)器p打補(bǔ)丁了嗎？更新補(bǔ)丁了嗎？ppppppppppp困境無法知道哪些機(jī)器沒有安裝漏洞補(bǔ)丁知道哪些機(jī)器但是找不到機(jī)器在哪里機(jī)器太多不知如何做起Internet用戶如何防止內(nèi)部信息的泄露？未經(jīng)安全檢查與過濾，違規(guī)接入內(nèi)部網(wǎng)絡(luò)私自撥號(hào)上網(wǎng)Internet用戶如何實(shí)現(xiàn)積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實(shí)時(shí)監(jiān)控病毒與攻擊我們?cè)趺崔k?語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段教學(xué)網(wǎng)段1網(wǎng)站OA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群Internet保戶網(wǎng)絡(luò)與基礎(chǔ)設(shè)施的安全1、網(wǎng)絡(luò)設(shè)備2、通訊設(shè)備3、通訊線路4、可用性5、機(jī)密性6、完整性保護(hù)邊界與外部連接邊界進(jìn)出數(shù)據(jù)流保護(hù)計(jì)算環(huán)境操作系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)保護(hù)應(yīng)用業(yè)務(wù)系統(tǒng)辦公自動(dòng)化系統(tǒng)其他應(yīng)用系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)需求教學(xué)網(wǎng)段5內(nèi)部辦公NIntranet2邊界處的訪問控制4邊界處的病毒與惡意代碼防護(hù)5邊界內(nèi)部的網(wǎng)絡(luò)掃描與撥號(hào)監(jiān)控3邊界處的網(wǎng)絡(luò)入侵檢測(cè)1邊界處的認(rèn)證與授權(quán)網(wǎng)絡(luò)邊界與外部連接的保護(hù)需求6邊界處的垃圾郵件和內(nèi)容過濾計(jì)算環(huán)境的保護(hù)需求1基于主機(jī)的入侵檢測(cè)2基于主機(jī)的惡意代碼和病毒檢測(cè)3主機(jī)脆弱性掃描4主機(jī)系統(tǒng)加固5主機(jī)文件完整性檢查6主機(jī)用戶認(rèn)證與授權(quán)7主機(jī)數(shù)據(jù)存儲(chǔ)安全8主機(jī)訪問控制DMZ?E-Mail

?FileTransfer?HTTPIntranet學(xué)校網(wǎng)絡(luò)教學(xué)區(qū)教務(wù)區(qū)財(cái)務(wù)部人事部路由Internet中繼管理分析&實(shí)施策略安全隱患外部/個(gè)體外部/組織內(nèi)部/個(gè)體內(nèi)部/組織關(guān)閉安全維護(hù)“后門”更改缺省的系統(tǒng)口令Modem用戶安全培訓(xùn)授權(quán)復(fù)查入侵檢測(cè)實(shí)時(shí)監(jiān)控安裝認(rèn)證&授權(quán)數(shù)據(jù)文件加密添加所有操作系統(tǒng)Patch看不懂進(jìn)不來拿不走改不了跑不了可審查信息安全的目的打不垮29山西師范大學(xué)網(wǎng)絡(luò)信息中心采取的解決辦法一對(duì)于非法訪問及攻擊類在非可信網(wǎng)絡(luò)接口處安裝訪問控制防火墻、蠕蟲墻、Dos/DDos墻、IPsecVPN、SSLVPN、內(nèi)容過濾系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段Internet防火墻、IPSECVPN、SSLVPN、內(nèi)容過濾等防DOS/DDOS設(shè)備個(gè)人安全套件語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法二對(duì)于病毒、蠕蟲、木馬類實(shí)施全網(wǎng)絡(luò)防病毒系統(tǒng)對(duì)于垃圾郵件類在網(wǎng)關(guān)處實(shí)施防垃圾郵件系統(tǒng)Internet郵件過濾網(wǎng)關(guān)、反垃圾郵件系統(tǒng)在MAIL系統(tǒng)中郵件病毒過濾系統(tǒng)、反垃圾郵件系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法三對(duì)于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類在各網(wǎng)絡(luò)中安裝IDS系統(tǒng)在系統(tǒng)中安裝安全隱患掃描系統(tǒng)在系統(tǒng)中安裝事件分析響應(yīng)系統(tǒng)在主機(jī)中安裝資源管理系統(tǒng)在主機(jī)中安裝防火墻系統(tǒng)在重要主機(jī)中安裝內(nèi)容過濾系統(tǒng)

在重要主機(jī)中安裝VPN系統(tǒng)人事商務(wù)網(wǎng)段Internet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法四對(duì)于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng)在網(wǎng)絡(luò)中配置管理系統(tǒng)在網(wǎng)絡(luò)中配置信息審計(jì)系統(tǒng)在網(wǎng)絡(luò)中配置日志審計(jì)系統(tǒng)在網(wǎng)絡(luò)中補(bǔ)丁分發(fā)系統(tǒng)在網(wǎng)絡(luò)中配置安全管理中心銷售體系網(wǎng)段NInternet安全審計(jì)中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5安全管理中心專家?guī)霫nternet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3安服網(wǎng)段教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5問題時(shí)間8.2網(wǎng)絡(luò)安全接入與認(rèn)證802.1x協(xié)議及工作機(jī)制基于RADIUS的認(rèn)證基于802.1x的認(rèn)證幾種認(rèn)證方式比較防止IP地址盜用

802.1x+RADIUS的應(yīng)用案例

8.2.1802.1x協(xié)議及工作機(jī)制802.1x協(xié)議稱為基于端口的訪問控制協(xié)議（PortBasedNetworkAccessControlProtocol），該協(xié)議的核心內(nèi)容如下圖所示?？拷脩粢粋?cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP（ExtensibleAuthenticationProtocol，可擴(kuò)展的認(rèn)證協(xié)議）代理，用戶PC機(jī)運(yùn)行EAPoE（EAPoverEthernet）的客戶端軟件與交換機(jī)通信。802.1x協(xié)議包括三個(gè)重要部分：客戶端請(qǐng)求系統(tǒng)（SupplicantSystem）認(rèn)證系統(tǒng)（AuthenticatorSystem）認(rèn)證服務(wù)器（AuthenticationServerSystem）8.2.1802.1x協(xié)議及工作機(jī)制上圖描述了三者之間的關(guān)系以及互相之間的通信?？蛻魴C(jī)安裝一個(gè)EAPoE客戶端軟件，該軟件支持交換機(jī)端口的接入控制，用戶通過啟動(dòng)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過程。認(rèn)證系統(tǒng)通常為支持802.1x協(xié)議的交換機(jī)。該交換機(jī)有兩個(gè)邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoE協(xié)議幀，保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過之后才導(dǎo)通，用于傳遞網(wǎng)絡(luò)信息。如果用戶未通過認(rèn)證，受控端口處于非導(dǎo)通狀態(tài)，則用戶無法訪問網(wǎng)絡(luò)信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。8.2.2基于RADIUS的認(rèn)證衡量RADIUS的標(biāo)準(zhǔn)

RADIUS的性能是用戶該關(guān)注的地方，比如，能接受多少請(qǐng)求以及能處理多少事務(wù)。同時(shí)遵循標(biāo)準(zhǔn)，并具備良好的與接入控制設(shè)備的互操作性是RADIUS服務(wù)器好壞的重要指標(biāo)。安全性也是關(guān)注的重點(diǎn)，服務(wù)器在和網(wǎng)絡(luò)接入服務(wù)器（NAS，NetworkAccessServers）通信的過程中是如何保證安全和完整性的。另外，RADIUS是否能夠讓管理員實(shí)現(xiàn)諸多管理安全特性和策略是非常重要的一環(huán)。是否支持強(qiáng)制時(shí)間配額，這種功能使網(wǎng)絡(luò)管理員可以限制用戶或用戶組能夠通過RADIUS服務(wù)器接入網(wǎng)絡(luò)多長(zhǎng)時(shí)間。RADIUS服務(wù)器是否都通過ODBC或JDBC，利用SQLServer數(shù)據(jù)庫(kù)保存和訪問用戶配置文件。

RADIUS認(rèn)證系統(tǒng)的組成RADIUS是一種C/S結(jié)構(gòu)的協(xié)議。RadiusClient一般是指與NAS通信的、處理用戶上網(wǎng)驗(yàn)證的軟件；RadiusServer一般是指認(rèn)證服務(wù)器上的計(jì)費(fèi)和用戶驗(yàn)證軟件。Server與Client通信進(jìn)行認(rèn)證處理，這兩個(gè)軟件都是遵循RFC相關(guān)Radius協(xié)議設(shè)計(jì)的。RADIUS的客戶端最初就是NAS，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。如下圖。

RADIUS的工作原理用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、口令等相關(guān)信息。其中用戶口令是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播。RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證。如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問。如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。8.2.3基于802.1x的認(rèn)證（1）用戶開始上網(wǎng)時(shí)，啟動(dòng)802.1x客戶端軟件。該軟件查詢網(wǎng)絡(luò)上能處理EAPoE數(shù)據(jù)包的交換機(jī)。當(dāng)支持802.1x協(xié)議的交換機(jī)接收到EAPoE數(shù)據(jù)包時(shí)，就會(huì)向請(qǐng)求者發(fā)送響應(yīng)的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機(jī)的響應(yīng)后，提供身份標(biāo)識(shí)給認(rèn)證服務(wù)器。由于此時(shí)客戶端還未經(jīng)過驗(yàn)證，因此認(rèn)證流只能從交換機(jī)未受控邏輯端口經(jīng)過。交換機(jī)通過EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證。（3）如果認(rèn)證通過，則認(rèn)證系統(tǒng)的交換機(jī)的受控邏輯端口打開。（4）客戶端軟件發(fā)起DHCP請(qǐng)求，經(jīng)認(rèn)證交換機(jī)轉(zhuǎn)發(fā)到DHCPServer。（5）DHCPServer為用戶分配IP地址。（6）DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng)的服務(wù)器，服務(wù)器記錄用戶的相關(guān)信息，如用戶ID，MAC，IP地址等信息，并建立動(dòng)態(tài)的ACL訪問列表，以限制用戶的權(quán)限。（7）當(dāng)認(rèn)證交換機(jī)檢測(cè)到用戶的上網(wǎng)流量，就會(huì)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息，開始對(duì)用戶計(jì)費(fèi)。（8）當(dāng)用戶退出網(wǎng)絡(luò)時(shí)間，可用鼠標(biāo)點(diǎn)擊客戶端軟件（在用戶上網(wǎng)期間，該軟件處于運(yùn)行狀態(tài)）的“退出”按鈕。認(rèn)證系統(tǒng)檢測(cè)到該數(shù)據(jù)包后，會(huì)通知AAA（Authentication，Authorization，Accounting）服務(wù)器停止計(jì)費(fèi)，并刪除用戶的相關(guān)信息（如MAC和IP地址），受控邏輯端口關(guān)閉。用戶進(jìn)入再認(rèn)證狀態(tài)。（9）如果上網(wǎng)的PC機(jī)異常死機(jī)，當(dāng)驗(yàn)證設(shè)備檢測(cè)不到PC機(jī)在線狀態(tài)后，則認(rèn)為用戶已經(jīng)下線，即向認(rèn)證服務(wù)器發(fā)送終止計(jì)費(fèi)的信息。8.2.4幾種認(rèn)證方式比較

PPPoE+Radius：

PPPoE的本質(zhì)就是在以太網(wǎng)上運(yùn)行PPP協(xié)議。由于PPP協(xié)議認(rèn)證過程的第一階段是發(fā)現(xiàn)階段，廣播只能在二層網(wǎng)絡(luò)，才能發(fā)現(xiàn)寬帶接入服務(wù)器。因此，也就決定了在客戶機(jī)和服務(wù)器之間，不能有路由器或三層交換機(jī)。另外，由于PPPoE點(diǎn)對(duì)點(diǎn)的本質(zhì)，在客戶機(jī)和服務(wù)器之間，限制了組播協(xié)議存在。這樣，將會(huì)在一定程度上，影響視頻業(yè)務(wù)的開展。除此之外，PPP協(xié)議需要再次封裝到以太網(wǎng)中，所以效率較低。

Web＋RadiusWeb＋Radius認(rèn)證是網(wǎng)絡(luò)用戶連接Internet時(shí)常采用的一種技術(shù)方案。如圖8.8所示。這種認(rèn)證方式是通過IE瀏覽器訪問Radius服務(wù)器，用戶在登錄界面輸入“用戶名+口令”。Radius服務(wù)器檢查用戶名、口令是否正確，若認(rèn)證通過，用戶即可訪問外網(wǎng)。該技術(shù)方案的優(yōu)點(diǎn)是客戶機(jī)無需配置認(rèn)證協(xié)議，用戶賬號(hào)可以在局域網(wǎng)內(nèi)漫游。其缺點(diǎn)是賬號(hào)可能被盜用，也不能防止IP地址盜。與PPPoE一樣，用戶連接外網(wǎng)的性能受制于Radius服務(wù)器的性能。802.1x+Radius802.1x+Radius技術(shù)方案與前兩種不同。Radius服務(wù)器連接在核心交換機(jī)，通過支持802.1x協(xié)議的交換機(jī)，在PC機(jī)連接網(wǎng)絡(luò)時(shí)進(jìn)行認(rèn)證。如圖8.9所示。這種認(rèn)證方式也稱為安全可信接入認(rèn)證.8.2.5IP地址設(shè)置與防盜用IP地址自動(dòng)設(shè)置8.2.5防止IP地址盜用2.使用ARP命令（1）使用操作系統(tǒng)的ARP命令進(jìn)入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會(huì)出現(xiàn)客戶機(jī)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況發(fā)生。ARP命令僅對(duì)局域網(wǎng)的上網(wǎng)服務(wù)器、客戶機(jī)的靜態(tài)IP地址有效。當(dāng)被綁定IP地址的計(jì)算機(jī)宕機(jī)后，地址幫綁定關(guān)系解除。如果采用Modem撥號(hào)上網(wǎng)或是動(dòng)態(tài)IP地址就不起作用。ARP命令的參數(shù)的功能如下：ARP-s-d-a-s：將相應(yīng)的IP地址與物理地址的捆綁，如以上所舉的例子。-d：刪除相應(yīng)的IP地址與物理地址的捆綁。-a：通過查詢ARP協(xié)議表顯示IP地址和對(duì)應(yīng)物理地址的情況。（2）使用交換機(jī)的ARP命令例如，Cisco的二層和三層交換機(jī)。在二層交換機(jī)只能綁定與該交換機(jī)IP地址具有相同網(wǎng)絡(luò)地址的IP地址。在三層交換機(jī)可以綁定該設(shè)備所有VLAN的IP地址。交換機(jī)支持靜態(tài)綁定和動(dòng)態(tài)幫綁定，一般采用靜態(tài)綁定。其綁定操作過程是：采用Telnet命令或Console口連接交換機(jī)，進(jìn)入特權(quán)模式；輸入config，進(jìn)入全局配置模式；輸入綁定命令：arp0010.5CAD.72E3arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：noarp即可。8.2.5防止IP地址盜用3.使用802.1x的安全接入防止IP盜用

（1）采用IP和賬號(hào)綁定，防止靜態(tài)IP沖突

用戶進(jìn)行802.1x認(rèn)證時(shí)，用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用賬號(hào)密碼試圖通過認(rèn)證時(shí)，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)和其IP做了綁定，認(rèn)證服務(wù)器對(duì)其不予通過認(rèn)證，從而同樣不會(huì)造成IP沖突。當(dāng)用戶使用正確的賬號(hào)IP通過認(rèn)證后，再更改IP時(shí)，Radius客戶端軟件能夠檢測(cè)到IP的更改，即刻剔除用戶下線，從而不會(huì)造成IP沖突。（2）采用客戶IP屬性校驗(yàn)，防止動(dòng)態(tài)IP沖突

用戶進(jìn)行802.1X認(rèn)證前不用動(dòng)態(tài)獲得IP，而是靜態(tài)指定。認(rèn)證前用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用賬號(hào)密碼試圖通過認(rèn)證，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)的IP屬性是動(dòng)態(tài)IP，認(rèn)證報(bào)文中該用戶的IP屬性確是靜態(tài)IP，則認(rèn)證服務(wù)器對(duì)其不予通過認(rèn)證，從而同樣不會(huì)造成IP沖突。8.3操作系統(tǒng)安全設(shè)置

操作系統(tǒng)是Web服務(wù)器的基礎(chǔ)，雖然操作系統(tǒng)本身在不斷完善，對(duì)攻擊的抵抗能力日益提高，但是要提供完整的系統(tǒng)安全保證，仍然有許多安全配置和管理工作要做。

8.3.1系統(tǒng)服務(wù)包和安全補(bǔ)丁微軟提供的安全補(bǔ)丁有兩類：服務(wù)包（ServicePack）和熱補(bǔ)?。℉otfixes）。服務(wù)包已經(jīng)通過回歸測(cè)試，能夠保證安全安裝。每一個(gè)Windows的服務(wù)包都包含著在此之前所有的安全補(bǔ)丁。微軟公司建議用戶及時(shí)安裝服務(wù)包的最新版。安裝服務(wù)包時(shí)，應(yīng)仔細(xì)閱讀其自帶的Readme文件并查找已經(jīng)發(fā)現(xiàn)的問題，最好先安裝一個(gè)測(cè)試系統(tǒng)，進(jìn)行試驗(yàn)性安裝。安全熱補(bǔ)丁的發(fā)布更及時(shí)，只是沒有經(jīng)過回歸測(cè)試。

在安裝之前，應(yīng)仔細(xì)評(píng)價(jià)每一個(gè)補(bǔ)丁，以確定是否應(yīng)立即安裝還是等待更完整的測(cè)試之后再使用。在Web服務(wù)器上正式使用熱補(bǔ)丁之前，最好在測(cè)試系統(tǒng)上對(duì)其進(jìn)行測(cè)試。

安全補(bǔ)丁下載WindowsUpdate自動(dòng)更新服務(wù)Windows自動(dòng)更新是Windows的一項(xiàng)功能，當(dāng)適用于您的計(jì)算機(jī)的重要更新發(fā)布時(shí)，它會(huì)及時(shí)提醒您下載和安裝。使用自動(dòng)更新可以在第一時(shí)間更新您的操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)您的計(jì)算機(jī)安全。WindowsUpdate自動(dòng)更新服務(wù)WindowsUpdate自動(dòng)更新服務(wù)一、選擇“開始”，“運(yùn)行”，輸入gpedit.msc，打開組策略窗口。WindowsUpdate自動(dòng)更新服務(wù)二、選擇“管理模板”，然后從菜單中選擇“操作”，“添加/刪除模板”。WindowsUpdate自動(dòng)更新服務(wù)三、在“添加/刪除模板”窗口中選擇“添加”。WindowsUpdate自動(dòng)更新服務(wù)四、在“策略模板”中選擇“wuau.adm”，并選擇“打開”。WindowsUpdate自動(dòng)更新服務(wù)五、選擇“關(guān)閉”，關(guān)閉“添加/刪除模板”窗口。WindowsUpdate自動(dòng)更新服務(wù)六、選擇“計(jì)算機(jī)配置”->“管理模板”->“Windows組件”->“WindowsUpdate”，并選擇“配置自動(dòng)更新”。WindowsUpdate自動(dòng)更新服務(wù)七、在“配置自動(dòng)更新”的屬性窗口中，選擇“啟用”，并選擇“確定”。WindowsUpdate自動(dòng)更新服務(wù)八、在“指定IntranetMicrosoft更新服務(wù)器位置”的屬性窗口中，選擇“啟用”，并在“設(shè)置檢測(cè)更新的Intranet更新服務(wù)：”框中輸入“http://服務(wù)器域名或IP地址”，在“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器：”框中輸入“http://服務(wù)器域名或IP地址”，并選擇確定。九、關(guān)閉組策略窗口。注意：一般運(yùn)行完更新腳本后更新并不會(huì)立刻開始，需要等待一段時(shí)間(30min以內(nèi))，請(qǐng)放心，您的電腦一旦發(fā)現(xiàn)有新的更新存在會(huì)立刻自動(dòng)給出下載安裝的提示以及各種更新的詳細(xì)說明(屏幕右下角會(huì)冒出來一個(gè)圖標(biāo))。以下系統(tǒng)直接支持自動(dòng)更新：MicrosoftWindows2000SP2或更高版本MicrosoftWindowsXPSP2或更高版本MicrosoftWindowsServer(tm)2003使用此更新同微軟的在線升級(jí)并無沖突，您仍然可以隨時(shí)訪問來進(jìn)行在線升級(jí)。WindowsUpdate自動(dòng)更新服務(wù)8.3.2限制用戶權(quán)限-1禁止或刪除不必要的賬戶（如Guest）設(shè)置增強(qiáng)的密碼策略·密碼長(zhǎng)度至少9個(gè)字符?！ぴO(shè)置一個(gè)與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最短密碼存留期（典型的為1～7天）?！ぴO(shè)置一個(gè)與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最長(zhǎng)密碼存留期（典型的不超過42天）?！ぴO(shè)置密碼歷史至少6個(gè)。這樣可強(qiáng)制系統(tǒng)記錄最近使用過的幾個(gè)密碼。8.3.2限制用戶權(quán)限-2設(shè)置賬戶鎖定策略

（1）復(fù)位賬戶鎖定計(jì)數(shù)器。用來設(shè)置連續(xù)嘗試的時(shí)限。（2）賬戶鎖定時(shí)間。用于定義賬戶被鎖定之后，保持鎖定狀態(tài)的時(shí)間。（3）賬戶鎖定閾閥值。用于設(shè)置允許用戶連續(xù)嘗試登錄的次數(shù)。

8.3.2限制用戶權(quán)限-3加強(qiáng)管理員賬戶的安全性（1）將Administrator重命名，改為一個(gè)不易猜測(cè)的名字。（2）為Administrator賬戶設(shè)置一個(gè)復(fù)雜密碼，由多種字符類型（字母、數(shù)字和標(biāo)點(diǎn)符號(hào)等）構(gòu)成，密碼長(zhǎng)度不能少于9個(gè)字符。（3）建立一個(gè)偽賬戶，其名字雖然是Administrator，但是沒有任何權(quán)限。定期審查事件日志，查找對(duì)該賬戶的攻擊企圖。（4）使用Passprop.exe工具設(shè)置管理員賬戶的鎖定閥值。（5）除管理員賬戶外，有必要再增加一個(gè)屬于管理員組（Administrators）的賬戶，作為備用賬戶。Web服務(wù)器的用戶賬戶盡可能少嚴(yán)格控制賬戶特權(quán)

可使用本地安全策略（或域安全策略）管理器來設(shè)置用戶權(quán)限指派，檢查、授予或刪除用戶賬戶特權(quán)、組成員以及組特權(quán)。8.3.2限制用戶權(quán)限-4

8.3.3加固文件系統(tǒng)的安全確保使用NTFS文件系統(tǒng)

安裝Windows2000服務(wù)器時(shí)，最好將硬盤的所有分區(qū)設(shè)置為NTFS分區(qū)，而不要先使用FAT分區(qū)，再轉(zhuǎn)換為NTFS分區(qū)。Web服務(wù)器軟件應(yīng)該安裝在NTFS分區(qū)上。設(shè)置NTFS權(quán)限保護(hù)文件和目錄

要使用NTFS權(quán)限來保護(hù)目錄或文件，必須具備兩個(gè)條件。①要設(shè)置權(quán)限的目錄或文件必須位于NTFS分區(qū)中。②對(duì)于要授予權(quán)限的用戶或用戶組，應(yīng)設(shè)立有效的Windows賬戶。

禁用NTFS的8.3文件名生成

8.3.4刪除或禁用不必要的組件和服務(wù)禁止或刪除不必要的系統(tǒng)服務(wù)

①ClipBookSewer。該服務(wù)允許通過網(wǎng)絡(luò)取得系統(tǒng)剪貼板內(nèi)容的訪問權(quán)。該服務(wù)很容易被非法濫用，應(yīng)禁止這項(xiàng)服務(wù)。②ComputerBrowser。該服務(wù)會(huì)引起網(wǎng)絡(luò)性能的下降以及名字解析的問題。對(duì)于Web服務(wù)器來說沒有必要使用該服務(wù)，可以考慮禁止。③NetLogon。用于網(wǎng)絡(luò)認(rèn)證。對(duì)于Web服務(wù)器來說沒有必要，可以考慮禁止。④NetworkDDEandDDEDSDM。如果不需要?jiǎng)討B(tài)數(shù)據(jù)交換，應(yīng)禁止該項(xiàng)服務(wù)。⑤RemoteRegistorService。該服務(wù)允許進(jìn)行遠(yuǎn)程注冊(cè)表操作，應(yīng)禁止該項(xiàng)服務(wù)。⑥RoutingandRemoteAccessService。用于支持遠(yuǎn)程訪問及路由功能。對(duì)于Web服務(wù)器可考慮禁止該項(xiàng)服務(wù)。⑦Schedule。運(yùn)行計(jì)劃作業(yè)所需的服務(wù)。如果不用高度任務(wù)，應(yīng)禁止該服務(wù)。⑧Server。用于將本系統(tǒng)的資源共享。對(duì)于Web服務(wù)器來說，不應(yīng)當(dāng)提供文件及打印共享，應(yīng)禁止該服務(wù)。⑨ElephonyServer。用于支持RAS。如果不使用RAS，應(yīng)禁止該服務(wù)。⑩TimeService。進(jìn)行時(shí)鐘同步的服務(wù)，可以將本地時(shí)鐘校準(zhǔn)成選定的某個(gè)遠(yuǎn)程主機(jī)上的當(dāng)前時(shí)鐘。如果不需要時(shí)鐘同步，可以禁止該服務(wù)。⑾UPS。用于支持不間斷電源系統(tǒng)。如果服務(wù)器不監(jiān)控UPS，則禁止該服務(wù)。⑿WorkStation。用于訪問其他Windows2000系統(tǒng)的共享資源。如果服務(wù)器不需要訪問其他Windows2000系統(tǒng)的共享資源，可考慮禁止該服務(wù)。

禁用某項(xiàng)系統(tǒng)服務(wù)操作：在“計(jì)算機(jī)管理”控制臺(tái)中打開“服務(wù)”項(xiàng)目，停止某項(xiàng)系統(tǒng)服務(wù)，并更改啟動(dòng)類型，最好設(shè)置為“已禁用”。刪除某組件操作：

要徹底清除某些服務(wù)，可通過刪除Windows組件的方式來實(shí)現(xiàn)。從控制面板中選擇“添加/刪除程序”→“添加/刪除Windows組件”，啟動(dòng)Windows組件向?qū)韯h除某些組件

禁止或刪除不必要的網(wǎng)絡(luò)協(xié)議

Web服務(wù)器系統(tǒng)只保留TCP/IP協(xié)議，刪除NetBEUI、IPX/SPX協(xié)議。卸載“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”。從“網(wǎng)絡(luò)和撥號(hào)連接”文件夾中打開任一連接的屬性設(shè)置對(duì)話框，鼠標(biāo)單擊“卸載”按鈕刪除該組件。

卸載“文件和打印機(jī)共享”禁用TCP/IP上的NetBIOS盡可能減少不必要的應(yīng)用程序如果不是絕對(duì)需要，就應(yīng)該避免在服務(wù)器上安裝應(yīng)用程序。例如，不要安裝E-mail客戶端、Office產(chǎn)品及工具；或者對(duì)于服務(wù)器正常運(yùn)行并不必需的工具。如果已經(jīng)計(jì)劃用服務(wù)器提供Web服務(wù)，那么不必為服務(wù)器添加外部應(yīng)用程序。然而，當(dāng)配置Web服務(wù)器以及開發(fā)Web站點(diǎn)時(shí)，為了實(shí)現(xiàn)其功能，可能會(huì)為其添加必要的工具。

刪除不必要的OS/2和POSIX子系統(tǒng)OS/2和POSIX子系統(tǒng)分別支持為OS/2和POSIX開發(fā)的應(yīng)用程序。在安裝Windows2000的同時(shí)這些子系統(tǒng)也會(huì)被安裝，應(yīng)刪除這些子系統(tǒng)。操作系統(tǒng)的任何部分都存在弱點(diǎn)，可能被攻擊，刪除這些額外的部分可以堵住可能出現(xiàn)的漏洞。

8.3.5網(wǎng)絡(luò)共享控制Web服務(wù)是通過HTTP或FTP而不是文件共享來進(jìn)行文件訪問。默認(rèn)情況下，Windows2000提供不少網(wǎng)絡(luò)共享資源，這對(duì)局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通信很方便；但對(duì)Web服務(wù)器系統(tǒng)卻是一個(gè)重大的安全隱患。應(yīng)該刪除掉所有不必要的文件共享，以避免造成重要信息的泄漏。應(yīng)該取消默認(rèn)隱藏的管理性共享（如C＄、D＄等），其辦法是修改注冊(cè)表。在注冊(cè)表鍵HKEY

LOCAL

MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下面增加一個(gè)鍵值。對(duì)于Server版，添加鍵值“AutoShareServer”，類型為“REG

DWORD”，值為“0”。

保護(hù)注冊(cè)表系統(tǒng)注冊(cè)表存儲(chǔ)了關(guān)于系統(tǒng)的重要數(shù)據(jù)，這些數(shù)據(jù)關(guān)系到系統(tǒng)正常運(yùn)行和安全。必須有效地保護(hù)注冊(cè)表，防止攻擊者非法存取和修改注冊(cè)表，導(dǎo)致的系統(tǒng)崩潰或重要信息被竊取。注冊(cè)表安全設(shè)置（1）阻止SYN泛洪攻擊（2）禁止空連接訪問（3）禁止Internet打?。?）禁止匿名登錄8.3.6保護(hù)注冊(cè)表及安全設(shè)置8.3.7日志和審核對(duì)于系統(tǒng)安全來說，應(yīng)當(dāng)啟用日志和審核功能，以記錄攻擊者入侵安全事件，便于管理員審查和跟蹤。Windows2000的安全日志可以記錄安全事件，如有效的和無效的登錄嘗試，以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件。管理器可以指定在安全日志中記錄事件。例如，如果已啟用登錄審核，登錄系統(tǒng)的嘗試將記錄在安全日志里。設(shè)置審核策略定義審核的事項(xiàng)

安全事件查看

對(duì)審核結(jié)果，要通過事件查看器來查看。打開事件查看器窗口，鼠標(biāo)雙擊大目錄樹中的“安全日志”，詳細(xì)信息窗格中顯示安全日志，如下圖所示。

8.3.8文件系統(tǒng)加密EPS在Windows2000中可通過一個(gè)高級(jí)文件屬性使得對(duì)文檔加密有效。要加密一個(gè)文件夾的內(nèi)容，在Windows資源管理器中定位到該文件夾，鼠標(biāo)右鍵單擊文件夾，鼠標(biāo)左鍵單擊“屬性”打開“屬性”窗口，如左圖所示。

加密文件或文件夾窗口

8.3.9系統(tǒng)防病毒策略與案例系統(tǒng)防病毒策略病毒是系統(tǒng)中最常見的安全威脅，提供有效的病毒防范措施是系統(tǒng)安全的一項(xiàng)重要任務(wù)。對(duì)于Web服務(wù)器來說，安裝防病毒軟件并對(duì)病毒庫(kù)進(jìn)行及時(shí)更新顯然是非常必要的。在為Web服務(wù)器選擇病毒解決方案時(shí)，應(yīng)考慮以下幾個(gè)方面。①盡可能選擇服務(wù)器專用版本的防病毒軟件，如瑞星殺毒軟件（網(wǎng)絡(luò)）服務(wù)器版。②注意網(wǎng)絡(luò)病毒的實(shí)時(shí)預(yù)防和查殺功能。③考慮是否提供對(duì)軟盤啟動(dòng)后NTFS分區(qū)病毒的查殺功能，這樣可以解決因系統(tǒng)惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng)的問題。應(yīng)用案例-分布式病毒防御系統(tǒng)

8.4Web服務(wù)器安全設(shè)置8.4.1IIS的安全機(jī)制

（1）客戶端Web服務(wù)器提出請(qǐng)求。（2）如果服務(wù)器需要進(jìn)行身份驗(yàn)證，則向客戶端提出身份驗(yàn)證請(qǐng)求信息。瀏覽器既可以提示用戶輸入用戶名和密碼，也可以自動(dòng)提供這些信息。（3）服務(wù)器將接收的客戶IP地址同限制訪問的IP地址進(jìn)行比較，如果IP地址是禁止訪問的，則請(qǐng)求失??；同時(shí)用戶收到“403禁止訪問”消息，否則繼續(xù)下面的審查。（4）IIS檢查用戶是否擁有有效的Windows用戶賬戶。如果用戶沒有，則請(qǐng)求失??；同時(shí)用戶收到“403訪問禁

圖4.15IIS訪問控制過程止”消息。否則繼續(xù)下面的審查。（5）IIS檢查用戶是否具有請(qǐng)求資源的Web權(quán)限。如果用戶沒有，則請(qǐng)求失?。煌瑫r(shí)用戶將得到“403訪問禁止”消息。否則繼續(xù)下面的審查。（6）IIS檢查資源的NTFS權(quán)限。如果用戶不具備資源的NTFS權(quán)限，則請(qǐng)求失敗，同時(shí)用戶將得到“401訪問被拒絕”消息。（7）如果用戶具有NTFS權(quán)限，則可完成該請(qǐng)求。8.4.2設(shè)置IP地址限制

IIS可以通過設(shè)置IP地址訪問限制，來防止或者允許某些特定的計(jì)算機(jī)、計(jì)算機(jī)組甚至整個(gè)網(wǎng)絡(luò)訪問Web站點(diǎn)。當(dāng)用戶的計(jì)算機(jī)通過代理服務(wù)器或地址轉(zhuǎn)換服務(wù)器（NAT）訪問遠(yuǎn)程Web服務(wù)器時(shí)，IIS接受到的是代理服務(wù)器或地址轉(zhuǎn)換服務(wù)器的IP地址，而不是用戶計(jì)算機(jī)的IP地址。IP地址及域名限制

8.4.3設(shè)置用戶身份驗(yàn)證驗(yàn)證方法安全級(jí)別對(duì)服務(wù)器的要求對(duì)客戶端的要求注釋匿名無IUSR

計(jì)算機(jī)名賬戶任何瀏覽器Internet上的公共區(qū)域基本低有效賬戶輸入用戶名和密碼發(fā)送未加密的密碼簡(jiǎn)要高所有密碼的純文本文件、有效賬戶兼容性可跨代理服務(wù)器和其他防火墻使用集成高有效賬戶瀏覽器支持

證書高獲取服務(wù)器證書，配置證書信任列表瀏覽器支持廣泛用于Interner上的安全交易

8.4.3設(shè)置用戶身份驗(yàn)證IIS驗(yàn)證用戶身份有三種方式:設(shè)置匿名賬號(hào)

要更改匿名用戶賬戶，在“驗(yàn)證方法”對(duì)話框中，單擊“匿名訪問”區(qū)域中的“編輯”，打開如下圖所示的“匿名用戶賬戶”對(duì)話框，輸入要用于匿名訪問的有效Windows用戶賬戶。

8.4.3設(shè)置用戶身份驗(yàn)證8.4.4設(shè)置Web服務(wù)器權(quán)限應(yīng)慎重設(shè)置Web站點(diǎn)目錄的訪問權(quán)限，防止攻擊者利用。不要對(duì)目錄授予“寫入”和“目錄瀏覽”的權(quán)限，更不要授予“腳本資源訪問”權(quán)限，以防止攻擊者從ASP應(yīng)用程序的腳本中查看敏感信息。對(duì)于腳本應(yīng)用程序目錄，不要選中“索引此資源”。8.4.5控制IIS應(yīng)用程序設(shè)置執(zhí)行許可

只有在有執(zhí)行文件（如DLL文件）時(shí)，才選擇“腳本和可執(zhí)程序”。對(duì)于ASP文件目錄，在“執(zhí)行許可”中只授予“純腳本”的權(quán)限，不要授予“執(zhí)行”權(quán)限。可以，我在這里。應(yīng)用程序映射屬性頁(yè)

使用應(yīng)用程序映射屬性頁(yè)可以將文件擴(kuò)展名映射到處理這些文件的程序或解釋器。映射的應(yīng)用程序包括ASP應(yīng)用程序、IDC應(yīng)用程序等。例如，當(dāng)Web服務(wù)器收到擴(kuò)展名為.asp的頁(yè)的請(qǐng)求時(shí)，將通過應(yīng)用程序映射，調(diào)用可執(zhí)行文件asp.dll來處理.asp的頁(yè)。

刪除不必要的IIS擴(kuò)展名映射一般應(yīng)刪除.htr、.idc、.stm、shtm、shtml、.printer、.htw、.ida和.idp等腳本映射。右圖中列出了與可執(zhí)行文件和可執(zhí)行文件名相關(guān)聯(lián)的文件擴(kuò)展名。如果“（all）”顯示在列表中，則所有動(dòng)作都將發(fā)送到應(yīng)用程序?！埃╝ll）”不是動(dòng)作。禁止父路徑選項(xiàng)

因?yàn)樵撨x項(xiàng)允許用戶在調(diào)用函數(shù)（如MapPath）時(shí)使用“..”，這樣會(huì)帶來安全隱患。

表8.2NTFS權(quán)限與Web服務(wù)器權(quán)限的比較NTFS權(quán)限Web服務(wù)器權(quán)限針對(duì)特定用戶賬戶或用戶組的，用于擁有Windows賬戶的特定用戶或用戶組針對(duì)所有用戶的，用于所有訪問Web站點(diǎn)的用戶控制對(duì)服務(wù)器物理目錄的訪問控制對(duì)Web站點(diǎn)虛擬目錄的訪問由Windows操作系統(tǒng)設(shè)置由Internet服務(wù)管理器設(shè)置8.4.6設(shè)置目錄或文件的NTFS權(quán)限設(shè)置目錄或文件的NTFS權(quán)限①對(duì)于根目錄，應(yīng)拒絕匿名用戶賬戶的訪問，并選中“允許將來自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)，將此訪問權(quán)限覆蓋子目錄中的設(shè)置；然后再根據(jù)不同子目錄中數(shù)據(jù)的類型為其設(shè)置訪問權(quán)限，這樣可進(jìn)一步保障Web站點(diǎn)的安全。②最好將不同類型的文件存放在不同的目錄中，授予不同的NTFS權(quán)限。例如，將可執(zhí)行程序和腳本文件分離。③對(duì)于包含可執(zhí)行程序（如CGI程序）的目錄，只授予“運(yùn)行”權(quán)限，不要授予“讀取”權(quán)限，并拒絕匿名用戶訪問。④對(duì)于包含腳本文件（ASP頁(yè)面）的目錄，只授予“運(yùn)行”權(quán)限，不要授予“讀取”權(quán)限，并拒絕匿名用戶訪問。⑤對(duì)于服務(wù)器端包含指令的文件（如INC、SHTM和SHTML等）的目錄，只授予“運(yùn)行”權(quán)限，并拒絕匿名用戶訪問。SHTML是一種用于SSI（ServerSideInclude）技術(shù)的文件。一些WebServer若有SSI功能，則會(huì)對(duì)SHTML文件特殊處理。先掃描一次SHTML文件看沒有特殊的SSI指令存在，若有就按WebServer設(shè)定規(guī)則解釋SSI指令，解釋完后與一般HTML一起調(diào)去客戶端。⑥對(duì)于包含靜態(tài)頁(yè)面文件（如HTML、JPG和GIF等）的目錄，只允許匿名用戶有“讀取”權(quán)限。⑦最好為每個(gè)文件類型創(chuàng)建一個(gè)新目錄，在每個(gè)目錄上設(shè)置NTFS權(quán)限，并允許權(quán)限傳遞給各個(gè)文件。例如，靜態(tài)頁(yè)面單獨(dú)一個(gè)目錄，圖形、像單獨(dú)一個(gè)目錄，腳本文件單獨(dú)一個(gè)目錄。8.4.7審核IIS日志記錄

設(shè)置日志審核步驟選擇日志格式和創(chuàng)建策略

在“日志文件目錄”框中設(shè)置日志的文件路徑。為安全起見，最好不要使用缺省的目錄。應(yīng)更換默認(rèn)的日志路徑，并設(shè)置日志文件目錄的訪問權(quán)限。只允許管理員和System賬號(hào)具有完全控制權(quán)限，只允許對(duì)Everyone組賬戶授予讀寫權(quán)限。

對(duì)于單個(gè)計(jì)算機(jī)上有多個(gè)Web站點(diǎn)的情況，服務(wù)器IP地址和服務(wù)器端口這兩個(gè)日志選項(xiàng)很有用。Win32狀態(tài)選項(xiàng)有利于調(diào)試。例如，檢查日志發(fā)現(xiàn)有錯(cuò)誤代碼，可通過執(zhí)行命令nethelpmsgerr_no（err_no代表錯(cuò)誤代號(hào)）來了解更多的Win32錯(cuò)誤。日志記錄擴(kuò)充屬性設(shè)置

日志審核示例Web-IA網(wǎng)站分析與管理操作界面8.4.8IIS選項(xiàng)或相關(guān)組件篩選

刪除Web服務(wù)之外的其他IIS服務(wù)例如，只保留HTTP，刪除SMTP、NNTP、FTP和IndexingService（索引服務(wù)）等

。刪除FrontPage服務(wù)擴(kuò)展

FrontPage服務(wù)器擴(kuò)展用于支持通過FrontPage開發(fā)的、具有某些特殊功能的Web頁(yè)面，以及通過FrontPageWeb站點(diǎn)工具發(fā)布Web內(nèi)容。如果Web站點(diǎn)不是通過FrontPage開發(fā)的，或者不需要這些特殊功能，Web服務(wù)器就不需要FrontPage支持，應(yīng)當(dāng)刪除FrontPage服務(wù)器擴(kuò)展。停止或刪除默認(rèn)站點(diǎn)

在新的目錄下新建Web站點(diǎn)，該目錄不要放在Inetpub\wwwroot下，最好放在與它不同的分區(qū)下。禁止或刪除IIS的所有示例程序

禁止或刪除不必要的COM組件

圖1.5Web系統(tǒng)的組成結(jié)構(gòu)

8.4.9安全加固工具及應(yīng)用圖1.8Browser/Server三層體系結(jié)構(gòu)

名

稱位

置HisecwebSecurityTemplate(Hisecweb.inf)S/support/misc/kblookup.asp?id=Q316347IISLockdownWizard,V2.1./downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=enIIS5.0BaselineSecurityChecklist/technet/security/SecureInternetInformationServices5Checklist/technet/security/NSAGuidetotheSecureConfigurationandAdministrationofMicrosoftInternetInformationServices5.0http.///win2k/download.htm使用IIS鎖定向?qū)Ъ庸滔到y(tǒng)安全①執(zhí)行下載的文件iislockd.exe，啟動(dòng)向?qū)нM(jìn)行配置，根據(jù)提示進(jìn)行操作。②當(dāng)出現(xiàn)如右圖所示的對(duì)話框時(shí)，選擇所需的服務(wù)器模板。這里選擇“DynamicWebServer（ASPenabled）”。再選中“Viewtemplatesettings”復(fù)選框，出現(xiàn)更為詳細(xì)的配置窗口。選擇服務(wù)器模板③鼠標(biāo)單擊“下一步”，出現(xiàn)對(duì)話框后，選擇要啟動(dòng)的IIS服務(wù)。④鼠標(biāo)單擊“下一步”，出現(xiàn)對(duì)話框后，設(shè)置要關(guān)閉的腳本映射。⑤鼠標(biāo)單擊“下一步”，出現(xiàn)對(duì)話框后，設(shè)置其他安全選項(xiàng)（右圖）。使用IIS鎖定向?qū)Ъ庸滔到y(tǒng)安全⑥鼠標(biāo)單擊“下一步”，出現(xiàn)對(duì)話框后，決定是否安裝URLScan。默認(rèn)選中“InstallURLScanfilterontheserver”復(fù)選框。⑦鼠標(biāo)單擊“下一步”，出現(xiàn)“IISLockdownWizard要改變內(nèi)容”的提示。如果要改變選項(xiàng)，可單擊“上一步”，重新設(shè)置。如果設(shè)置符合要求，即單擊“下一步”，執(zhí)行IIS鎖定處理過程。如果要查看處理細(xì)節(jié)，可單擊“ViewReport”按鈕。⑧執(zhí)行IIS鎖定處理過程結(jié)束后，出現(xiàn)“CompletingtheInternetInformationServicesLockdownWizard”的對(duì)話框后，鼠標(biāo)單擊“完成”。

使用IIS鎖定向?qū)Ъ庸滔到y(tǒng)安全URLScan安裝為ISAPI篩選器8.4.10SSL安全機(jī)制SSL是一種安全性很高的認(rèn)證方式，是通過SSL安全機(jī)制使用的數(shù)字證書。SSL位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。使用SSL安全機(jī)制時(shí)，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端?？蛻舳穗S機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器；而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密。這樣，客戶端和服務(wù)器端就建立了一個(gè)惟一的安全通道。建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時(shí)，輸入https://，而不是http://。8.5保護(hù)網(wǎng)絡(luò)邊界安全網(wǎng)絡(luò)邊界防火墻和路由器應(yīng)用使用網(wǎng)絡(luò)DMZ構(gòu)建入侵檢測(cè)系統(tǒng)路由器認(rèn)證技術(shù)及應(yīng)用

防火墻和路由器應(yīng)用-1邊界安全設(shè)備叫做防火墻。防火墻阻止試圖對(duì)組織內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，阻止企圖闖入網(wǎng)絡(luò)的活動(dòng)，防止外部進(jìn)行拒絕服務(wù)（DoS，DenialofService）攻擊，禁止一定范圍內(nèi)黑客利用Internet來探測(cè)用戶內(nèi)部網(wǎng)絡(luò)的行為。阻塞和篩選規(guī)則由網(wǎng)管員所在機(jī)構(gòu)的安全策略來決定。防火墻也可以用來保護(hù)在Intranet中的資源不會(huì)受到攻擊。不管在網(wǎng)絡(luò)中每一段用的是什么類型的網(wǎng)絡(luò)（公共的或私有的）或系統(tǒng)，防火墻都能把網(wǎng)絡(luò)中的各個(gè)段隔離開并進(jìn)行保護(hù)。

雙防火墻體系結(jié)構(gòu)

防火墻和路由器應(yīng)用-2防火墻通常與連接兩個(gè)圍繞著防火墻網(wǎng)絡(luò)中的邊界路由器一起協(xié)同工作（下圖），邊界路由器是安全的第一道屏障。通常的做法是，將路由器設(shè)置為執(zhí)報(bào)文篩選和NAT，而讓防火墻來完成特定的端口阻塞和報(bào)文檢查，這樣的配置將整體上提高網(wǎng)絡(luò)的性能。根據(jù)這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置防火墻，最安全也是最簡(jiǎn)單的方法就是：首先阻塞所有的端口號(hào)并且檢查所有的報(bào)文，然后對(duì)需要提供的服務(wù)有選擇地開放其端口號(hào)。通常來說，要想讓一臺(tái)Web服務(wù)器在Internet上僅能夠被匿名訪問，只開放80端口（http協(xié)議）或443端口（https–SSL協(xié)議）即可。使用網(wǎng)絡(luò)DMZ

把Web服務(wù)器放在DMZ中，必須保證Web服務(wù)器與的Intranet處于不同的子網(wǎng)。這樣當(dāng)網(wǎng)絡(luò)流量進(jìn)入路由器時(shí)，連接到Internet上的路由器和防火墻就能對(duì)網(wǎng)絡(luò)流量進(jìn)行篩選和檢查了。這樣，就證實(shí)了DMZ是一種安全性較高的措施；所以除了Web服務(wù)器，還應(yīng)該考慮把E-mail（SMTP/POP）服務(wù)器和FTP服務(wù)器等，也一同放在DMZ中。8.5.3ACL的作用與分類ACL概貌ACL配置擴(kuò)展ACLACL應(yīng)用什么是ACL?ACL是針對(duì)路由器處理數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)的一組規(guī)則，路由器利用這組規(guī)則來決定數(shù)據(jù)報(bào)允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā)如果不設(shè)置ACL路由器將轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路上所有數(shù)據(jù)報(bào)，當(dāng)網(wǎng)絡(luò)管理設(shè)置了ACL以后可以決定哪些數(shù)據(jù)報(bào)可以轉(zhuǎn)發(fā)那些不可以可以利用下列參數(shù)允許或拒絕發(fā)送數(shù)據(jù)報(bào)：源地址目的地址上層協(xié)議(例如：TCP&UDP端口號(hào))ACL可以應(yīng)用于該路由器上所有的可路由協(xié)議，對(duì)于一個(gè)接口上的不同網(wǎng)絡(luò)協(xié)議需要配置不同的ACL使用ACL檢測(cè)數(shù)據(jù)報(bào)為了決定是轉(zhuǎn)發(fā)還是拒絕數(shù)據(jù)報(bào)，路由器按照ACL中各條語句的順序來依次匹配該數(shù)據(jù)報(bào)當(dāng)數(shù)據(jù)報(bào)與一條語句的條件匹配了，則將忽略ACL中的剩余所有語句的匹配處理，該數(shù)據(jù)報(bào)將按照當(dāng)前語句的設(shè)定來進(jìn)行轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實(shí)時(shí)的創(chuàng)建，即實(shí)時(shí)有效的；因此不能單獨(dú)修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個(gè)大型的ACL，最好使用文字編輯器編寫好整個(gè)ACL后傳送到路由器上，傳送的方法有多種：TFTP、HyperTerm軟件的“PastetoHost”功能路由器如何使用ACL（出站）檢查數(shù)據(jù)報(bào)是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數(shù)據(jù)報(bào)交換到出站的接口如果有ACL，按照ACL語句的次序檢測(cè)數(shù)據(jù)報(bào)直至有了匹配條件，按照匹配條件的語句對(duì)數(shù)據(jù)報(bào)進(jìn)行數(shù)據(jù)報(bào)的允許轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句出站標(biāo)準(zhǔn)ACL處理流程出站數(shù)據(jù)報(bào)進(jìn)行路由表的查詢接口有ACL?源地址匹配？列表中的下一項(xiàng)更多的項(xiàng)目？執(zhí)行條件允許Permit拒絕Deny否否無是是有向源站發(fā)送ICMP信息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個(gè)基本的步驟（標(biāo)準(zhǔn)ACL）access-list-number參數(shù)ACL有多種類型，access-list-number與ACL的類型有關(guān)下表顯示了主要的一些ACL類型與access-list-number的關(guān)系A(chǔ)CL類型access-list-number標(biāo)準(zhǔn)IP1to99擴(kuò)展IP100to199AppleTalk600to699標(biāo)準(zhǔn)IPX800to899擴(kuò)展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}permit/deny參數(shù)在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數(shù)來選擇希望路由器采取的動(dòng)作PermitDeny向源站發(fā)送ICMP消息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}{test-conditions}參數(shù)在ACL的{testconditions}部分，需要根據(jù)存取列表的不同輸入不同的參數(shù)使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網(wǎng)、一組地址或單一節(jié)點(diǎn)地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時(shí)檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的0二進(jìn)制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習(xí)處理通配符掩碼，類似于子網(wǎng)掩碼，這需要一段時(shí)間掌握計(jì)算表示下列網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的通配符掩碼：

答案：55這個(gè)通配符掩碼與C類地址的子網(wǎng)掩碼正好相反注意：針對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼一般都是這樣的通配符掩碼練習(xí)計(jì)算表示下列子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼：224答案是：211與24正好相反二進(jìn)制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請(qǐng)看.32子網(wǎng)中的節(jié)點(diǎn)地址——511000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習(xí)在下面的例子中，藍(lán)色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)報(bào)的源地址和控制的IP地址中相關(guān)的各個(gè)位，當(dāng)每位都相同時(shí)，說明兩者匹配針對(duì)掩碼為92的4子網(wǎng)的控制IP地址和通配符掩碼?答案：43通配符掩碼練習(xí)針對(duì)掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對(duì)掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對(duì)掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55通配符掩碼練習(xí)計(jì)算控制的IP地址和通配符掩碼是比較復(fù)雜的，尤其是控制網(wǎng)絡(luò)中的一部分節(jié)點(diǎn)時(shí)為了控制網(wǎng)絡(luò)中一部分節(jié)點(diǎn)往往需要在二進(jìn)制方式下進(jìn)行計(jì)算例如：學(xué)生使用到27地址范圍，教師使用28到55地址范圍。這些地址處在相同的網(wǎng)絡(luò)中/24怎樣來計(jì)算？控制一段地址范圍內(nèi)的節(jié)點(diǎn)對(duì)于學(xué)生使用的地址范圍首先，以二進(jìn)制方式寫出第一個(gè)和最后一個(gè)節(jié)點(diǎn)地址。由于前三個(gè)8位組是相同的，所以可以忽略它們，在通配符掩碼中相應(yīng)的位必須為“0”第一個(gè)地址：00000000最后一個(gè)地址：01111111其次，查找前面的兩者相同的位(下圖的藍(lán)色部分)0000000001111111這些相同的位將與前面的網(wǎng)絡(luò)地址部分(192.5.5)一樣進(jìn)行匹配檢驗(yàn)例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)第三，計(jì)算剩余節(jié)點(diǎn)地址部分的十進(jìn)制值(127)最后，決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內(nèi)的任何一個(gè)節(jié)點(diǎn)地址，但約定俗成的使用所控制范圍的第一個(gè)節(jié)點(diǎn)地址相對(duì)于上述相同的位在通配符掩碼中為“0”27對(duì)于教師部分地址：28(10000000)到55(11111111)答案：2827請(qǐng)思考兩者的不同例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)控制網(wǎng)絡(luò)/24中的所有偶數(shù)地址的控制IP地址和通配符掩碼？答案：54控制網(wǎng)絡(luò)/24中的所有奇數(shù)地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內(nèi)的節(jié)點(diǎn)由于ACL末尾都有一個(gè)隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學(xué)生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網(wǎng)絡(luò)功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令眾多情況下，網(wǎng)絡(luò)管理員需要在ACL處理單獨(dú)節(jié)點(diǎn)的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令標(biāo)準(zhǔn)ACL不處理目的地相關(guān)參數(shù)，因此，標(biāo)準(zhǔn)ACL應(yīng)該放置在最接近目的地的地點(diǎn)請(qǐng)參考下圖來考慮上述放置地點(diǎn)的原因，如果將語句“deny55”放置在Lab-A路由器的E0接口上時(shí)，網(wǎng)絡(luò)中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡(luò)向外的通訊數(shù)據(jù)全部被拒絕標(biāo)準(zhǔn)ACL的正確放置位置擴(kuò)展ACL的編號(hào)為100–199，擴(kuò)展ACL增強(qiáng)了標(biāo)準(zhǔn)ACL的功能增強(qiáng)ACL可以基于下列參數(shù)進(jìn)行網(wǎng)絡(luò)傳輸?shù)倪^濾目的地址IP協(xié)議可以使用協(xié)議的名字來設(shè)定檢測(cè)的網(wǎng)絡(luò)協(xié)議或路由協(xié)議，例如：icmp、rip和igrpTCP/IP協(xié)議族中的上層協(xié)議可以使用名稱來表示上層協(xié)議，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)來處理部分協(xié)議例如：希望允許除了http之外的所有通訊，其余語句是permitipanyanyneg80擴(kuò)展ACL概貌在全局配置模式下逐條輸入ACL語句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個(gè)ACL中(與標(biāo)準(zhǔn)ACL的語法一樣)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out兩個(gè)步驟（擴(kuò)展ACL）access-list-number

從100到199中選擇一個(gè){protocol|protocol-number}

對(duì)于CCNA，僅僅需要了解ip和tcp——實(shí)際上有更多的參數(shù)選項(xiàng){sourcesource-wildcard}與標(biāo)準(zhǔn)ACL相同{destinationdestination-wildcard}與標(biāo)準(zhǔn)ACL相同，但是是指定傳輸?shù)哪康腫protocol-specificoptions]本參數(shù)用來指定需要過濾的協(xié)議擴(kuò)展的參數(shù)請(qǐng)復(fù)習(xí)TCP和UDP的端口號(hào)也可以使用名稱來代替端口號(hào)，例如：使用telnet來代替端口號(hào)23端口號(hào)協(xié)議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號(hào)由于擴(kuò)展ACL可以控制目的地地址，所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源放置擴(kuò)展ACL的正確位置放置擴(kuò)展ACL的正確位置在下圖中，需要設(shè)定網(wǎng)絡(luò)中的所有節(jié)點(diǎn)不能訪問地址為4服務(wù)器在哪個(gè)路由器的哪個(gè)接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機(jī)器訪問4，但是他們可以繼續(xù)訪問InternetRouter-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL在CiscoIOS可以命名ACL；當(dāng)在一個(gè)路由器上使用多于99個(gè)ACL時(shí)這個(gè)功能特別有用當(dāng)輸入一個(gè)命名的ACL，不需要緊接著輸入access-list和access-list-number參數(shù)下例中，ACL的名字是over_and，并被使用在接口的出站處理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0Lab-A(config-if)#ipaccess-groupover_andout命名的ACLShow命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當(dāng)前的路由器的整個(gè)配置驗(yàn)證ACLACL不檢查路由器本身自己產(chǎn)生的數(shù)據(jù)報(bào)ACL只檢查其他來源的數(shù)據(jù)報(bào)ACL的特點(diǎn)8.5.6擴(kuò)展ACL的應(yīng)用

某企業(yè)網(wǎng)絡(luò)信息中心拓?fù)浣Y(jié)構(gòu)下圖所示。非軍事區(qū)（DMZ）包括交換機(jī)、企業(yè)WWW服務(wù)器、E-Mail服務(wù)器、防火墻、路由器（Cisco2651）和Internet專線連接設(shè)施。企業(yè)內(nèi)網(wǎng)包括認(rèn)證和計(jì)費(fèi)系統(tǒng)（RADIUS）、網(wǎng)絡(luò)OA系統(tǒng)、ERP系統(tǒng)、核心交換機(jī)（Catalyst4506）和匯聚交換機(jī)（Catalyst2950G）等設(shè)施。外網(wǎng)擴(kuò)展訪問控制列表/*僅允許DMZ區(qū)服務(wù)器的匿名端口開放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護(hù)內(nèi)網(wǎng)主機(jī)的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyany