網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成(楊威)第8章

網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成楊威山西師范大學(xué)網(wǎng)絡(luò)信息中心

人民郵電出版社

（第2版）NetworkEngineeringDesignandSystemIntegration（2ndEdition）普通高等教育“十一五”國家級規(guī)劃教材

1山西師范大學(xué)網(wǎng)絡(luò)信息中心問題思考你的電腦安全？

電腦訪問Internet時，受到安全威脅怎么辦？如何解決防御病毒、黑客攻擊？

學(xué)習(xí)目標(biāo)：了解網(wǎng)絡(luò)安全威脅，安全技術(shù)措施，認(rèn)證技術(shù)，以及360安全衛(wèi)士的功能?；菊莆?02.1x協(xié)議及工作機制。會使用防IP盜用技術(shù)保護IP地址安全。理解服務(wù)器系統(tǒng)安全技術(shù)要點，掌握Windows2003Server安全加固方法、Web服務(wù)器安全設(shè)置方法。會使用360安全衛(wèi)士建立Windows系統(tǒng)的安全防御體系。理解網(wǎng)絡(luò)邊界安全技術(shù)要點，掌握路由器+防火墻保護網(wǎng)絡(luò)邊界的方法，會使用訪問控制列表建立防火墻，會使用NAT協(xié)議保護內(nèi)網(wǎng)的安全。能夠按照用戶網(wǎng)絡(luò)安全需求，設(shè)計網(wǎng)絡(luò)基本安全技術(shù)方案。

第8章網(wǎng)絡(luò)安全技術(shù)與應(yīng)用本章重點：802.1x協(xié)議及工作機制常用的網(wǎng)絡(luò)安全技術(shù)措施防止IP地址盜用，網(wǎng)絡(luò)防病毒技術(shù)使用路由器+防火墻保護網(wǎng)絡(luò)邊界擴展訪問列表與應(yīng)用,NAT協(xié)議保護內(nèi)網(wǎng)的安全Windows2003Server操作系統(tǒng)安全加固的技術(shù)，Web服務(wù)器安全設(shè)置技術(shù)本章難點：使用路由器+防火墻保護網(wǎng)絡(luò)邊界擴展訪問列表與應(yīng)用第8章網(wǎng)絡(luò)安全技術(shù)與應(yīng)用8.1網(wǎng)絡(luò)安全威脅與對策網(wǎng)絡(luò)的組成元素網(wǎng)絡(luò)節(jié)點網(wǎng)絡(luò)節(jié)點網(wǎng)絡(luò)節(jié)點網(wǎng)絡(luò)節(jié)點網(wǎng)絡(luò)節(jié)點網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備元素說明：該元素由網(wǎng)絡(luò)交換機、路由器、防火墻等網(wǎng)絡(luò)傳輸設(shè)備組成，進(jìn)行用戶網(wǎng)絡(luò)數(shù)據(jù)的交換處理。元素說明：該元素由網(wǎng)絡(luò)服務(wù)器，用戶網(wǎng)絡(luò)客戶端等網(wǎng)絡(luò)終端設(shè)備組成。網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備現(xiàn)有網(wǎng)絡(luò)中存在的問題導(dǎo)致這些問題的原因是什么現(xiàn)有網(wǎng)絡(luò)安全體制網(wǎng)絡(luò)安全的演化病毒的演化趨勢木馬程序、黑客應(yīng)用安全網(wǎng)絡(luò)安全保護需求網(wǎng)絡(luò)安全保護對策撥號用戶B撥號用戶C撥號用戶A撥號用戶DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全信息丟失未授權(quán)接入非法外聯(lián)監(jiān)控安全事件處理IT系統(tǒng)運維面臨的問題導(dǎo)致這些問題的原因是什么？

病毒泛濫：計算機病毒的感染率比例非常高，高達(dá)89.73%

軟件漏洞：軟件系統(tǒng)中的漏洞也不斷被發(fā)現(xiàn)，從漏洞公布到出現(xiàn)攻擊代碼的時間為5.8天黑客攻擊：世界上目前有20多萬個黑客網(wǎng)站，各種黑客工具隨時都可以找到，攻擊方法達(dá)幾千種之多。

移動用戶越來越多：網(wǎng)絡(luò)用戶往往跨越多個工作區(qū)域以上相關(guān)數(shù)據(jù)來自Symantec?，F(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL（規(guī)則控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey資料來源： ComputerSecurityInstitute網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對我們的威脅越來越快病毒的演化趨勢

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)IDC,2004郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質(zhì)Brain19861998CIHSQLSlammer20032004沖擊波震蕩波病毒發(fā)展史1990199119941996199819992000200120022003主流病毒行態(tài)木馬、蠕蟲病毒發(fā)展史（續(xù)1）引導(dǎo)區(qū)病毒臺式電腦第1代第2代第3代第4代臺式電腦臺式電腦臺式電腦臺式電腦LAN服務(wù)器基于文件的病毒郵件群發(fā)病毒互聯(lián)網(wǎng)防毒墻電子郵件

服務(wù)器墻臺式電腦筆記本電腦網(wǎng)絡(luò)病毒互聯(lián)網(wǎng)防毒墻服務(wù)器服務(wù)器服務(wù)器服務(wù)器臺式電腦臺式電腦臺式電腦筆記本電腦已打補丁的機器網(wǎng)絡(luò)擁堵Internet攻擊模式WORM_SASSER.A染毒電腦未修補漏洞的系統(tǒng)已修補漏洞的系統(tǒng)隨機攻擊隨機攻擊隨機攻擊被感染不被感染不被感染被感染被感染不被感染不被感染網(wǎng)絡(luò)病毒的特征通過攻擊操作系統(tǒng)或應(yīng)用軟件的已知安全漏洞來獲得控制權(quán)在本地硬盤上并不留下文件由于其在網(wǎng)絡(luò)上進(jìn)行掃描的動作，可能會引起嚴(yán)重的網(wǎng)絡(luò)負(fù)載如果攻擊是屬于常規(guī)的應(yīng)用，例如SQL,IIS等就可能穿過防火墻木馬程序等間諜軟件成為網(wǎng)絡(luò)與信息安全保密的重要隱患.在現(xiàn)在的工作中發(fā)現(xiàn),越來越多的木馬程序植入到我國重要信息系統(tǒng)中,根據(jù)保守估計,國內(nèi)80%的網(wǎng)絡(luò)系統(tǒng),都存在木馬程序和間諜軟件問題.中國地區(qū)危害最為嚴(yán)重的十種木馬病毒，分別是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、BOT系列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬系統(tǒng)漏洞就像給了木馬病毒一把鑰匙，使它能夠很輕易在電腦中埋伏下來，而木馬病毒又會欺騙用戶偽裝成“好人”，達(dá)到其偷取隱私信息的險惡目的木馬程序木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針對以上各種現(xiàn)象的危害越來越多，木馬病毒已成為威脅數(shù)字娛樂的大敵根據(jù)木馬病毒的特點與其危害范圍來講，木馬病毒又分為以下五大類別：針對網(wǎng)游的木馬病毒、針對網(wǎng)上銀行的木馬病毒、針對即時通訊工具的木馬病毒、給計算機開后門的木馬病毒、推廣廣告的木馬病毒。木馬程序

黑客攻擊愈加猖獗據(jù)國家計算機應(yīng)急處理協(xié)調(diào)中心（CNCERT/CC）統(tǒng)計：2003年，我國互聯(lián)網(wǎng)內(nèi)共有272萬臺主機受到攻擊，造成的損失數(shù)以億計；攻擊向縱深發(fā)展,以經(jīng)濟和商業(yè)利益為目的的網(wǎng)絡(luò)攻擊行為漸為主流垃圾郵件成為公害據(jù)中國互聯(lián)網(wǎng)中心統(tǒng)計，現(xiàn)在，我國用戶平均每周受到的垃圾郵件數(shù)超過郵件總數(shù)的60%，部分企業(yè)每年為此投入上百萬元的設(shè)備和人力，垃圾郵件泛濫造成嚴(yán)重后果它不但阻塞網(wǎng)絡(luò),降低系統(tǒng)效率和生產(chǎn)力,同時有些郵件還包括色情和反動的內(nèi)容應(yīng)用安全設(shè)計階段開發(fā)階段實施階段使用階段管理制度監(jiān)督機制使用方法在應(yīng)用安全問題中,在Windows平臺上利用Windows系統(tǒng)新漏洞的攻擊占70%左右,30%的安全問題與Linux相關(guān)移動用戶D廣域網(wǎng)如何進(jìn)行信息系統(tǒng)的等級化保護？各信息系統(tǒng)依據(jù)重要程度的等級需要劃分不同安全強度的安全域，采取不同的安全控制措施和制定安全策略完成安全設(shè)施的重新部署或響應(yīng)如何從全局角度對安全狀況分析、評估與管理獲得全局安全視圖制定安全策略指導(dǎo)或自動Internetp用戶如何管理現(xiàn)有安全資源并執(zhí)行策略機制？補丁服務(wù)器p打補丁了嗎？更新補丁了嗎？ppppppppppp困境無法知道哪些機器沒有安裝漏洞補丁知道哪些機器但是找不到機器在哪里機器太多不知如何做起Internet用戶如何防止內(nèi)部信息的泄露？未經(jīng)安全檢查與過濾，違規(guī)接入內(nèi)部網(wǎng)絡(luò)私自撥號上網(wǎng)Internet用戶如何實現(xiàn)積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實時監(jiān)控病毒與攻擊我們怎么辦?語音教室網(wǎng)段財務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段教學(xué)網(wǎng)段1網(wǎng)站OA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群Internet保戶網(wǎng)絡(luò)與基礎(chǔ)設(shè)施的安全1、網(wǎng)絡(luò)設(shè)備2、通訊設(shè)備3、通訊線路4、可用性5、機密性6、完整性保護邊界與外部連接邊界進(jìn)出數(shù)據(jù)流保護計算環(huán)境操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)保護應(yīng)用業(yè)務(wù)系統(tǒng)辦公自動化系統(tǒng)其他應(yīng)用系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護需求教學(xué)網(wǎng)段5內(nèi)部辦公NIntranet2邊界處的訪問控制4邊界處的病毒與惡意代碼防護5邊界內(nèi)部的網(wǎng)絡(luò)掃描與撥號監(jiān)控3邊界處的網(wǎng)絡(luò)入侵檢測1邊界處的認(rèn)證與授權(quán)網(wǎng)絡(luò)邊界與外部連接的保護需求6邊界處的垃圾郵件和內(nèi)容過濾計算環(huán)境的保護需求1基于主機的入侵檢測2基于主機的惡意代碼和病毒檢測3主機脆弱性掃描4主機系統(tǒng)加固5主機文件完整性檢查6主機用戶認(rèn)證與授權(quán)7主機數(shù)據(jù)存儲安全8主機訪問控制DMZ?E-Mail

?FileTransfer?HTTPIntranet學(xué)校網(wǎng)絡(luò)教學(xué)區(qū)教務(wù)區(qū)財務(wù)部人事部路由Internet中繼管理分析&實施策略安全隱患外部/個體外部/組織內(nèi)部/個體內(nèi)部/組織關(guān)閉安全維護“后門”更改缺省的系統(tǒng)口令Modem用戶安全培訓(xùn)授權(quán)復(fù)查入侵檢測實時監(jiān)控安裝認(rèn)證&授權(quán)數(shù)據(jù)文件加密添加所有操作系統(tǒng)Patch看不懂進(jìn)不來拿不走改不了跑不了可審查信息安全的目的打不垮29山西師范大學(xué)網(wǎng)絡(luò)信息中心采取的解決辦法一對于非法訪問及攻擊類在非可信網(wǎng)絡(luò)接口處安裝訪問控制防火墻、蠕蟲墻、Dos/DDos墻、IPsecVPN、SSLVPN、內(nèi)容過濾系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段Internet防火墻、IPSECVPN、SSLVPN、內(nèi)容過濾等防DOS/DDOS設(shè)備個人安全套件語音教室網(wǎng)段財務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法二對于病毒、蠕蟲、木馬類實施全網(wǎng)絡(luò)防病毒系統(tǒng)對于垃圾郵件類在網(wǎng)關(guān)處實施防垃圾郵件系統(tǒng)Internet郵件過濾網(wǎng)關(guān)、反垃圾郵件系統(tǒng)在MAIL系統(tǒng)中郵件病毒過濾系統(tǒng)、反垃圾郵件系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法三對于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類在各網(wǎng)絡(luò)中安裝IDS系統(tǒng)在系統(tǒng)中安裝安全隱患掃描系統(tǒng)在系統(tǒng)中安裝事件分析響應(yīng)系統(tǒng)在主機中安裝資源管理系統(tǒng)在主機中安裝防火墻系統(tǒng)在重要主機中安裝內(nèi)容過濾系統(tǒng)

在重要主機中安裝VPN系統(tǒng)人事商務(wù)網(wǎng)段Internet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法四對于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng)在網(wǎng)絡(luò)中配置管理系統(tǒng)在網(wǎng)絡(luò)中配置信息審計系統(tǒng)在網(wǎng)絡(luò)中配置日志審計系統(tǒng)在網(wǎng)絡(luò)中補丁分發(fā)系統(tǒng)在網(wǎng)絡(luò)中配置安全管理中心銷售體系網(wǎng)段NInternet安全審計中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5安全管理中心專家?guī)霫nternet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3安服網(wǎng)段教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5問題時間8.2網(wǎng)絡(luò)安全接入與認(rèn)證802.1x協(xié)議及工作機制基于RADIUS的認(rèn)證基于802.1x的認(rèn)證幾種認(rèn)證方式比較防止IP地址盜用

802.1x+RADIUS的應(yīng)用案例

8.2.1802.1x協(xié)議及工作機制802.1x協(xié)議稱為基于端口的訪問控制協(xié)議（PortBasedNetworkAccessControlProtocol），該協(xié)議的核心內(nèi)容如下圖所示?？拷脩粢粋?cè)的以太網(wǎng)交換機上放置一個EAP（ExtensibleAuthenticationProtocol，可擴展的認(rèn)證協(xié)議）代理，用戶PC機運行EAPoE（EAPoverEthernet）的客戶端軟件與交換機通信。802.1x協(xié)議包括三個重要部分：客戶端請求系統(tǒng)（SupplicantSystem）認(rèn)證系統(tǒng)（AuthenticatorSystem）認(rèn)證服務(wù)器（AuthenticationServerSystem）8.2.1802.1x協(xié)議及工作機制上圖描述了三者之間的關(guān)系以及互相之間的通信?？蛻魴C安裝一個EAPoE客戶端軟件，該軟件支持交換機端口的接入控制，用戶通過啟動客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過程。認(rèn)證系統(tǒng)通常為支持802.1x協(xié)議的交換機。該交換機有兩個邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoE協(xié)議幀，保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過之后才導(dǎo)通，用于傳遞網(wǎng)絡(luò)信息。如果用戶未通過認(rèn)證，受控端口處于非導(dǎo)通狀態(tài)，則用戶無法訪問網(wǎng)絡(luò)信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。8.2.2基于RADIUS的認(rèn)證衡量RADIUS的標(biāo)準(zhǔn)

RADIUS的性能是用戶該關(guān)注的地方，比如，能接受多少請求以及能處理多少事務(wù)。同時遵循標(biāo)準(zhǔn)，并具備良好的與接入控制設(shè)備的互操作性是RADIUS服務(wù)器好壞的重要指標(biāo)。安全性也是關(guān)注的重點，服務(wù)器在和網(wǎng)絡(luò)接入服務(wù)器（NAS，NetworkAccessServers）通信的過程中是如何保證安全和完整性的。另外，RADIUS是否能夠讓管理員實現(xiàn)諸多管理安全特性和策略是非常重要的一環(huán)。是否支持強制時間配額，這種功能使網(wǎng)絡(luò)管理員可以限制用戶或用戶組能夠通過RADIUS服務(wù)器接入網(wǎng)絡(luò)多長時間。RADIUS服務(wù)器是否都通過ODBC或JDBC，利用SQLServer數(shù)據(jù)庫保存和訪問用戶配置文件。

RADIUS認(rèn)證系統(tǒng)的組成RADIUS是一種C/S結(jié)構(gòu)的協(xié)議。RadiusClient一般是指與NAS通信的、處理用戶上網(wǎng)驗證的軟件；RadiusServer一般是指認(rèn)證服務(wù)器上的計費和用戶驗證軟件。Server與Client通信進(jìn)行認(rèn)證處理，這兩個軟件都是遵循RFC相關(guān)Radius協(xié)議設(shè)計的。RADIUS的客戶端最初就是NAS，現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。如下圖。

RADIUS的工作原理用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、口令等相關(guān)信息。其中用戶口令是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播。RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗，必要時可以提出一個Challenge，要求進(jìn)一步對用戶認(rèn)證，也可以對NAS進(jìn)行類似的認(rèn)證。如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問。如果允許訪問，NAS向RADIUS服務(wù)器提出計費請求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對用戶的計費開始，同時用戶可以進(jìn)行自己的相關(guān)操作。8.2.3基于802.1x的認(rèn)證（1）用戶開始上網(wǎng)時，啟動802.1x客戶端軟件。該軟件查詢網(wǎng)絡(luò)上能處理EAPoE數(shù)據(jù)包的交換機。當(dāng)支持802.1x協(xié)議的交換機接收到EAPoE數(shù)據(jù)包時，就會向請求者發(fā)送響應(yīng)的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機的響應(yīng)后，提供身份標(biāo)識給認(rèn)證服務(wù)器。由于此時客戶端還未經(jīng)過驗證，因此認(rèn)證流只能從交換機未受控邏輯端口經(jīng)過。交換機通過EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證。（3）如果認(rèn)證通過，則認(rèn)證系統(tǒng)的交換機的受控邏輯端口打開。（4）客戶端軟件發(fā)起DHCP請求，經(jīng)認(rèn)證交換機轉(zhuǎn)發(fā)到DHCPServer。（5）DHCPServer為用戶分配IP地址。（6）DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng)的服務(wù)器，服務(wù)器記錄用戶的相關(guān)信息，如用戶ID，MAC，IP地址等信息，并建立動態(tài)的ACL訪問列表，以限制用戶的權(quán)限。（7）當(dāng)認(rèn)證交換機檢測到用戶的上網(wǎng)流量，就會向認(rèn)證服務(wù)器發(fā)送計費信息，開始對用戶計費。（8）當(dāng)用戶退出網(wǎng)絡(luò)時間，可用鼠標(biāo)點擊客戶端軟件（在用戶上網(wǎng)期間，該軟件處于運行狀態(tài)）的“退出”按鈕。認(rèn)證系統(tǒng)檢測到該數(shù)據(jù)包后，會通知AAA（Authentication，Authorization，Accounting）服務(wù)器停止計費，并刪除用戶的相關(guān)信息（如MAC和IP地址），受控邏輯端口關(guān)閉。用戶進(jìn)入再認(rèn)證狀態(tài)。（9）如果上網(wǎng)的PC機異常死機，當(dāng)驗證設(shè)備檢測不到PC機在線狀態(tài)后，則認(rèn)為用戶已經(jīng)下線，即向認(rèn)證服務(wù)器發(fā)送終止計費的信息。8.2.4幾種認(rèn)證方式比較

PPPoE+Radius：

PPPoE的本質(zhì)就是在以太網(wǎng)上運行PPP協(xié)議。由于PPP協(xié)議認(rèn)證過程的第一階段是發(fā)現(xiàn)階段，廣播只能在二層網(wǎng)絡(luò)，才能發(fā)現(xiàn)寬帶接入服務(wù)器。因此，也就決定了在客戶機和服務(wù)器之間，不能有路由器或三層交換機。另外，由于PPPoE點對點的本質(zhì)，在客戶機和服務(wù)器之間，限制了組播協(xié)議存在。這樣，將會在一定程度上，影響視頻業(yè)務(wù)的開展。除此之外，PPP協(xié)議需要再次封裝到以太網(wǎng)中，所以效率較低。

Web＋RadiusWeb＋Radius認(rèn)證是網(wǎng)絡(luò)用戶連接Internet時常采用的一種技術(shù)方案。如圖8.8所示。這種認(rèn)證方式是通過IE瀏覽器訪問Radius服務(wù)器，用戶在登錄界面輸入“用戶名+口令”。Radius服務(wù)器檢查用戶名、口令是否正確，若認(rèn)證通過，用戶即可訪問外網(wǎng)。該技術(shù)方案的優(yōu)點是客戶機無需配置認(rèn)證協(xié)議，用戶賬號可以在局域網(wǎng)內(nèi)漫游。其缺點是賬號可能被盜用，也不能防止IP地址盜。與PPPoE一樣，用戶連接外網(wǎng)的性能受制于Radius服務(wù)器的性能。802.1x+Radius802.1x+Radius技術(shù)方案與前兩種不同。Radius服務(wù)器連接在核心交換機，通過支持802.1x協(xié)議的交換機，在PC機連接網(wǎng)絡(luò)時進(jìn)行認(rèn)證。如圖8.9所示。這種認(rèn)證方式也稱為安全可信接入認(rèn)證.8.2.5IP地址設(shè)置與防盜用IP地址自動設(shè)置8.2.5防止IP地址盜用2.使用ARP命令（1）使用操作系統(tǒng)的ARP命令進(jìn)入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會出現(xiàn)客戶機IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況發(fā)生。ARP命令僅對局域網(wǎng)的上網(wǎng)服務(wù)器、客戶機的靜態(tài)IP地址有效。當(dāng)被綁定IP地址的計算機宕機后，地址幫綁定關(guān)系解除。如果采用Modem撥號上網(wǎng)或是動態(tài)IP地址就不起作用。ARP命令的參數(shù)的功能如下：ARP-s-d-a-s：將相應(yīng)的IP地址與物理地址的捆綁，如以上所舉的例子。-d：刪除相應(yīng)的IP地址與物理地址的捆綁。-a：通過查詢ARP協(xié)議表顯示IP地址和對應(yīng)物理地址的情況。（2）使用交換機的ARP命令例如，Cisco的二層和三層交換機。在二層交換機只能綁定與該交換機IP地址具有相同網(wǎng)絡(luò)地址的IP地址。在三層交換機可以綁定該設(shè)備所有VLAN的IP地址。交換機支持靜態(tài)綁定和動態(tài)幫綁定，一般采用靜態(tài)綁定。其綁定操作過程是：采用Telnet命令或Console口連接交換機，進(jìn)入特權(quán)模式；輸入config，進(jìn)入全局配置模式；輸入綁定命令：arp0010.5CAD.72E3arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：noarp即可。8.2.5防止IP地址盜用3.使用802.1x的安全接入防止IP盜用

（1）采用IP和賬號綁定，防止靜態(tài)IP沖突

用戶進(jìn)行802.1x認(rèn)證時，用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會與別的用戶IP沖突。當(dāng)用戶使用賬號密碼試圖通過認(rèn)證時，因為認(rèn)證服務(wù)器端該用戶賬號和其IP做了綁定，認(rèn)證服務(wù)器對其不予通過認(rèn)證，從而同樣不會造成IP沖突。當(dāng)用戶使用正確的賬號IP通過認(rèn)證后，再更改IP時，Radius客戶端軟件能夠檢測到IP的更改，即刻剔除用戶下線，從而不會造成IP沖突。（2）采用客戶IP屬性校驗，防止動態(tài)IP沖突

用戶進(jìn)行802.1X認(rèn)證前不用動態(tài)獲得IP，而是靜態(tài)指定。認(rèn)證前用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會與別的用戶IP沖突。當(dāng)用戶使用賬號密碼試圖通過認(rèn)證，因為認(rèn)證服務(wù)器端該用戶賬號的IP屬性是動態(tài)IP，認(rèn)證報文中該用戶的IP屬性確是靜態(tài)IP，則認(rèn)證服務(wù)器對其不予通過認(rèn)證，從而同樣不會造成IP沖突。8.3操作系統(tǒng)安全設(shè)置

操作系統(tǒng)是Web服務(wù)器的基礎(chǔ)，雖然操作系統(tǒng)本身在不斷完善，對攻擊的抵抗能力日益提高，但是要提供完整的系統(tǒng)安全保證，仍然有許多安全配置和管理工作要做。

8.3.1系統(tǒng)服務(wù)包和安全補丁微軟提供的安全補丁有兩類：服務(wù)包（ServicePack）和熱補?。℉otfixes）。服務(wù)包已經(jīng)通過回歸測試，能夠保證安全安裝。每一個Windows的服務(wù)包都包含著在此之前所有的安全補丁。微軟公司建議用戶及時安裝服務(wù)包的最新版。安裝服務(wù)包時，應(yīng)仔細(xì)閱讀其自帶的Readme文件并查找已經(jīng)發(fā)現(xiàn)的問題，最好先安裝一個測試系統(tǒng)，進(jìn)行試驗性安裝。安全熱補丁的發(fā)布更及時，只是沒有經(jīng)過回歸測試。

在安裝之前，應(yīng)仔細(xì)評價每一個補丁，以確定是否應(yīng)立即安裝還是等待更完整的測試之后再使用。在Web服務(wù)器上正式使用熱補丁之前，最好在測試系統(tǒng)上對其進(jìn)行測試。

安全補丁下載WindowsUpdate自動更新服務(wù)Windows自動更新是Windows的一項功能，當(dāng)適用于您的計算機的重要更新發(fā)布時，它會及時提醒您下載和安裝。使用自動更新可以在第一時間更新您的操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護您的計算機安全。WindowsUpdate自動更新服務(wù)WindowsUpdate自動更新服務(wù)一、選擇“開始”，“運行”，輸入gpedit.msc，打開組策略窗口。WindowsUpdate自動更新服務(wù)二、選擇“管理模板”，然后從菜單中選擇“操作”，“添加/刪除模板”。WindowsUpdate自動更新服務(wù)三、在“添加/刪除模板”窗口中選擇“添加”。WindowsUpdate自動更新服務(wù)四、在“策略模板”中選擇“wuau.adm”，并選擇“打開”。WindowsUpdate自動更新服務(wù)五、選擇“關(guān)閉”，關(guān)閉“添加/刪除模板”窗口。WindowsUpdate自動更新服務(wù)六、選擇“計算機配置”->“管理模板”->“Windows組件”->“WindowsUpdate”，并選擇“配置自動更新”。WindowsUpdate自動更新服務(wù)七、在“配置自動更新”的屬性窗口中，選擇“啟用”，并選擇“確定”。WindowsUpdate自動更新服務(wù)八、在“指定IntranetMicrosoft更新服務(wù)器位置”的屬性窗口中，選擇“啟用”，并在“設(shè)置檢測更新的Intranet更新服務(wù)：”框中輸入“http://服務(wù)器域名或IP地址”，在“設(shè)置Intranet統(tǒng)計服務(wù)器：”框中輸入“http://服務(wù)器域名或IP地址”，并選擇確定。九、關(guān)閉組策略窗口。注意：一般運行完更新腳本后更新并不會立刻開始，需要等待一段時間(30min以內(nèi))，請放心，您的電腦一旦發(fā)現(xiàn)有新的更新存在會立刻自動給出下載安裝的提示以及各種更新的詳細(xì)說明(屏幕右下角會冒出來一個圖標(biāo))。以下系統(tǒng)直接支持自動更新：MicrosoftWindows2000SP2或更高版本MicrosoftWindowsXPSP2或更高版本MicrosoftWindowsServer(tm)2003使用此更新同微軟的在線升級并無沖突，您仍然可以隨時訪問來進(jìn)行在線升級。WindowsUpdate自動更新服務(wù)8.3.2限制用戶權(quán)限-1禁止或刪除不必要的賬戶（如Guest）設(shè)置增強的密碼策略·密碼長度至少9個字符?！ぴO(shè)置一個與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最短密碼存留期（典型的為1～7天）?！ぴO(shè)置一個與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最長密碼存留期（典型的不超過42天）?！ぴO(shè)置密碼歷史至少6個。這樣可強制系統(tǒng)記錄最近使用過的幾個密碼。8.3.2限制用戶權(quán)限-2設(shè)置賬戶鎖定策略

（1）復(fù)位賬戶鎖定計數(shù)器。用來設(shè)置連續(xù)嘗試的時限。（2）賬戶鎖定時間。用于定義賬戶被鎖定之后，保持鎖定狀態(tài)的時間。（3）賬戶鎖定閾閥值。用于設(shè)置允許用戶連續(xù)嘗試登錄的次數(shù)。

8.3.2限制用戶權(quán)限-3加強管理員賬戶的安全性（1）將Administrator重命名，改為一個不易猜測的名字。（2）為Administrator賬戶設(shè)置一個復(fù)雜密碼，由多種字符類型（字母、數(shù)字和標(biāo)點符號等）構(gòu)成，密碼長度不能少于9個字符。（3）建立一個偽賬戶，其名字雖然是Administrator，但是沒有任何權(quán)限。定期審查事件日志，查找對該賬戶的攻擊企圖。（4）使用Passprop.exe工具設(shè)置管理員賬戶的鎖定閥值。（5）除管理員賬戶外，有必要再增加一個屬于管理員組（Administrators）的賬戶，作為備用賬戶。Web服務(wù)器的用戶賬戶盡可能少嚴(yán)格控制賬戶特權(quán)

可使用本地安全策略（或域安全策略）管理器來設(shè)置用戶權(quán)限指派，檢查、授予或刪除用戶賬戶特權(quán)、組成員以及組特權(quán)。8.3.2限制用戶權(quán)限-4

8.3.3加固文件系統(tǒng)的安全確保使用NTFS文件系統(tǒng)

安裝Windows2000服務(wù)器時，最好將硬盤的所有分區(qū)設(shè)置為NTFS分區(qū)，而不要先使用FAT分區(qū)，再轉(zhuǎn)換為NTFS分區(qū)。Web服務(wù)器軟件應(yīng)該安裝在NTFS分區(qū)上。設(shè)置NTFS權(quán)限保護文件和目錄

要使用NTFS權(quán)限來保護目錄或文件，必須具備兩個條件。①要設(shè)置權(quán)限的目錄或文件必須位于NTFS分區(qū)中。②對于要授予權(quán)限的用戶或用戶組，應(yīng)設(shè)立有效的Windows賬戶。

禁用NTFS的8.3文件名生成

8.3.4刪除或禁用不必要的組件和服務(wù)禁止或刪除不必要的系統(tǒng)服務(wù)

①ClipBookSewer。該服務(wù)允許通過網(wǎng)絡(luò)取得系統(tǒng)剪貼板內(nèi)容的訪問權(quán)。該服務(wù)很容易被非法濫用，應(yīng)禁止這項服務(wù)。②ComputerBrowser。該服務(wù)會引起網(wǎng)絡(luò)性能的下降以及名字解析的問題。對于Web服務(wù)器來說沒有必要使用該服務(wù)，可以考慮禁止。③NetLogon。用于網(wǎng)絡(luò)認(rèn)證。對于Web服務(wù)器來說沒有必要，可以考慮禁止。④NetworkDDEandDDEDSDM。如果不需要動態(tài)數(shù)據(jù)交換，應(yīng)禁止該項服務(wù)。⑤RemoteRegistorService。該服務(wù)允許進(jìn)行遠(yuǎn)程注冊表操作，應(yīng)禁止該項服務(wù)。⑥RoutingandRemoteAccessService。用于支持遠(yuǎn)程訪問及路由功能。對于Web服務(wù)器可考慮禁止該項服務(wù)。⑦Schedule。運行計劃作業(yè)所需的服務(wù)。如果不用高度任務(wù)，應(yīng)禁止該服務(wù)。⑧Server。用于將本系統(tǒng)的資源共享。對于Web服務(wù)器來說，不應(yīng)當(dāng)提供文件及打印共享，應(yīng)禁止該服務(wù)。⑨ElephonyServer。用于支持RAS。如果不使用RAS，應(yīng)禁止該服務(wù)。⑩TimeService。進(jìn)行時鐘同步的服務(wù)，可以將本地時鐘校準(zhǔn)成選定的某個遠(yuǎn)程主機上的當(dāng)前時鐘。如果不需要時鐘同步，可以禁止該服務(wù)。⑾UPS。用于支持不間斷電源系統(tǒng)。如果服務(wù)器不監(jiān)控UPS，則禁止該服務(wù)。⑿WorkStation。用于訪問其他Windows2000系統(tǒng)的共享資源。如果服務(wù)器不需要訪問其他Windows2000系統(tǒng)的共享資源，可考慮禁止該服務(wù)。

禁用某項系統(tǒng)服務(wù)操作：在“計算機管理”控制臺中打開“服務(wù)”項目，停止某項系統(tǒng)服務(wù)，并更改啟動類型，最好設(shè)置為“已禁用”。刪除某組件操作：

要徹底清除某些服務(wù)，可通過刪除Windows組件的方式來實現(xiàn)。從控制面板中選擇“添加/刪除程序”→“添加/刪除Windows組件”，啟動Windows組件向?qū)韯h除某些組件

禁止或刪除不必要的網(wǎng)絡(luò)協(xié)議

Web服務(wù)器系統(tǒng)只保留TCP/IP協(xié)議，刪除NetBEUI、IPX/SPX協(xié)議。卸載“Microsoft網(wǎng)絡(luò)的文件和打印機共享”。從“網(wǎng)絡(luò)和撥號連接”文件夾中打開任一連接的屬性設(shè)置對話框，鼠標(biāo)單擊“卸載”按鈕刪除該組件。

卸載“文件和打印機共享”禁用TCP/IP上的NetBIOS盡可能減少不必要的應(yīng)用程序如果不是絕對需要，就應(yīng)該避免在服務(wù)器上安裝應(yīng)用程序。例如，不要安裝E-mail客戶端、Office產(chǎn)品及工具；或者對于服務(wù)器正常運行并不必需的工具。如果已經(jīng)計劃用服務(wù)器提供Web服務(wù)，那么不必為服務(wù)器添加外部應(yīng)用程序。然而，當(dāng)配置Web服務(wù)器以及開發(fā)Web站點時，為了實現(xiàn)其功能，可能會為其添加必要的工具。

刪除不必要的OS/2和POSIX子系統(tǒng)OS/2和POSIX子系統(tǒng)分別支持為OS/2和POSIX開發(fā)的應(yīng)用程序。在安裝Windows2000的同時這些子系統(tǒng)也會被安裝，應(yīng)刪除這些子系統(tǒng)。操作系統(tǒng)的任何部分都存在弱點，可能被攻擊，刪除這些額外的部分可以堵住可能出現(xiàn)的漏洞。

8.3.5網(wǎng)絡(luò)共享控制Web服務(wù)是通過HTTP或FTP而不是文件共享來進(jìn)行文件訪問。默認(rèn)情況下，Windows2000提供不少網(wǎng)絡(luò)共享資源，這對局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通信很方便；但對Web服務(wù)器系統(tǒng)卻是一個重大的安全隱患。應(yīng)該刪除掉所有不必要的文件共享，以避免造成重要信息的泄漏。應(yīng)該取消默認(rèn)隱藏的管理性共享（如C＄、D＄等），其辦法是修改注冊表。在注冊表鍵HKEY

LOCAL

MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下面增加一個鍵值。對于Server版，添加鍵值“AutoShareServer”，類型為“REG

DWORD”，值為“0”。

保護注冊表系統(tǒng)注冊表存儲了關(guān)于系統(tǒng)的重要數(shù)據(jù)，這些數(shù)據(jù)關(guān)系到系統(tǒng)正常運行和安全。必須有效地保護注冊表，防止攻擊者非法存取和修改注冊表，導(dǎo)致的系統(tǒng)崩潰或重要信息被竊取。注冊表安全設(shè)置（1）阻止SYN泛洪攻擊（2）禁止空連接訪問（3）禁止Internet打?。?）禁止匿名登錄8.3.6保護注冊表及安全設(shè)置8.3.7日志和審核對于系統(tǒng)安全來說，應(yīng)當(dāng)啟用日志和審核功能，以記錄攻擊者入侵安全事件，便于管理員審查和跟蹤。Windows2000的安全日志可以記錄安全事件，如有效的和無效的登錄嘗試，以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件。管理器可以指定在安全日志中記錄事件。例如，如果已啟用登錄審核，登錄系統(tǒng)的嘗試將記錄在安全日志里。設(shè)置審核策略定義審核的事項

安全事件查看

對審核結(jié)果，要通過事件查看器來查看。打開事件查看器窗口，鼠標(biāo)雙擊大目錄樹中的“安全日志”，詳細(xì)信息窗格中顯示安全日志，如下圖所示。

8.3.8文件系統(tǒng)加密EPS在Windows2000中可通過一個高級文件屬性使得對文檔加密有效。要加密一個文件夾的內(nèi)容，在Windows資源管理器中定位到該文件夾，鼠標(biāo)右鍵單擊文件夾，鼠標(biāo)左鍵單擊“屬性”打開“屬性”窗口，如左圖所示。

加密文件或文件夾窗口

8.3.9系統(tǒng)防病毒策略與案例系統(tǒng)防病毒策略病毒是系統(tǒng)中最常見的安全威脅，提供有效的病毒防范措施是系統(tǒng)安全的一項重要任務(wù)。對于Web服務(wù)器來說，安裝防病毒軟件并對病毒庫進(jìn)行及時更新顯然是非常必要的。在為Web服務(wù)器選擇病毒解決方案時，應(yīng)考慮以下幾個方面。①盡可能選擇服務(wù)器專用版本的防病毒軟件，如瑞星殺毒軟件（網(wǎng)絡(luò)）服務(wù)器版。②注意網(wǎng)絡(luò)病毒的實時預(yù)防和查殺功能。③考慮是否提供對軟盤啟動后NTFS分區(qū)病毒的查殺功能，這樣可以解決因系統(tǒng)惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動的問題。應(yīng)用案例-分布式病毒防御系統(tǒng)

8.4Web服務(wù)器安全設(shè)置8.4.1IIS的安全機制

（1）客戶端Web服務(wù)器提出請求。（2）如果服務(wù)器需要進(jìn)行身份驗證，則向客戶端提出身份驗證請求信息。瀏覽器既可以提示用戶輸入用戶名和密碼，也可以自動提供這些信息。（3）服務(wù)器將接收的客戶IP地址同限制訪問的IP地址進(jìn)行比較，如果IP地址是禁止訪問的，則請求失?。煌瑫r用戶收到“403禁止訪問”消息，否則繼續(xù)下面的審查。（4）IIS檢查用戶是否擁有有效的Windows用戶賬戶。如果用戶沒有，則請求失敗；同時用戶收到“403訪問禁

圖4.15IIS訪問控制過程止”消息。否則繼續(xù)下面的審查。（5）IIS檢查用戶是否具有請求資源的Web權(quán)限。如果用戶沒有，則請求失??；同時用戶將得到“403訪問禁止”消息。否則繼續(xù)下面的審查。（6）IIS檢查資源的NTFS權(quán)限。如果用戶不具備資源的NTFS權(quán)限，則請求失敗，同時用戶將得到“401訪問被拒絕”消息。（7）如果用戶具有NTFS權(quán)限，則可完成該請求。8.4.2設(shè)置IP地址限制

IIS可以通過設(shè)置IP地址訪問限制，來防止或者允許某些特定的計算機、計算機組甚至整個網(wǎng)絡(luò)訪問Web站點。當(dāng)用戶的計算機通過代理服務(wù)器或地址轉(zhuǎn)換服務(wù)器（NAT）訪問遠(yuǎn)程Web服務(wù)器時，IIS接受到的是代理服務(wù)器或地址轉(zhuǎn)換服務(wù)器的IP地址，而不是用戶計算機的IP地址。IP地址及域名限制

8.4.3設(shè)置用戶身份驗證驗證方法安全級別對服務(wù)器的要求對客戶端的要求注釋匿名無IUSR

計算機名賬戶任何瀏覽器Internet上的公共區(qū)域基本低有效賬戶輸入用戶名和密碼發(fā)送未加密的密碼簡要高所有密碼的純文本文件、有效賬戶兼容性可跨代理服務(wù)器和其他防火墻使用集成高有效賬戶瀏覽器支持

證書高獲取服務(wù)器證書，配置證書信任列表瀏覽器支持廣泛用于Interner上的安全交易

8.4.3設(shè)置用戶身份驗證IIS驗證用戶身份有三種方式:設(shè)置匿名賬號

要更改匿名用戶賬戶，在“驗證方法”對話框中，單擊“匿名訪問”區(qū)域中的“編輯”，打開如下圖所示的“匿名用戶賬戶”對話框，輸入要用于匿名訪問的有效Windows用戶賬戶。

8.4.3設(shè)置用戶身份驗證8.4.4設(shè)置Web服務(wù)器權(quán)限應(yīng)慎重設(shè)置Web站點目錄的訪問權(quán)限，防止攻擊者利用。不要對目錄授予“寫入”和“目錄瀏覽”的權(quán)限，更不要授予“腳本資源訪問”權(quán)限，以防止攻擊者從ASP應(yīng)用程序的腳本中查看敏感信息。對于腳本應(yīng)用程序目錄，不要選中“索引此資源”。8.4.5控制IIS應(yīng)用程序設(shè)置執(zhí)行許可

只有在有執(zhí)行文件（如DLL文件）時，才選擇“腳本和可執(zhí)程序”。對于ASP文件目錄，在“執(zhí)行許可”中只授予“純腳本”的權(quán)限，不要授予“執(zhí)行”權(quán)限?？梢?，我在這里。應(yīng)用程序映射屬性頁

使用應(yīng)用程序映射屬性頁可以將文件擴展名映射到處理這些文件的程序或解釋器。映射的應(yīng)用程序包括ASP應(yīng)用程序、IDC應(yīng)用程序等。例如，當(dāng)Web服務(wù)器收到擴展名為.asp的頁的請求時，將通過應(yīng)用程序映射，調(diào)用可執(zhí)行文件asp.dll來處理.asp的頁。

刪除不必要的IIS擴展名映射一般應(yīng)刪除.htr、.idc、.stm、shtm、shtml、.printer、.htw、.ida和.idp等腳本映射。右圖中列出了與可執(zhí)行文件和可執(zhí)行文件名相關(guān)聯(lián)的文件擴展名。如果“（all）”顯示在列表中，則所有動作都將發(fā)送到應(yīng)用程序?！埃╝ll）”不是動作。禁止父路徑選項

因為該選項允許用戶在調(diào)用函數(shù)（如MapPath）時使用“..”，這樣會帶來安全隱患。

表8.2NTFS權(quán)限與Web服務(wù)器權(quán)限的比較NTFS權(quán)限Web服務(wù)器權(quán)限針對特定用戶賬戶或用戶組的，用于擁有Windows賬戶的特定用戶或用戶組針對所有用戶的，用于所有訪問Web站點的用戶控制對服務(wù)器物理目錄的訪問控制對Web站點虛擬目錄的訪問由Windows操作系統(tǒng)設(shè)置由Internet服務(wù)管理器設(shè)置8.4.6設(shè)置目錄或文件的NTFS權(quán)限設(shè)置目錄或文件的NTFS權(quán)限①對于根目錄，應(yīng)拒絕匿名用戶賬戶的訪問，并選中“允許將來自父系的可繼承權(quán)限傳播給該對象”選項，將此訪問權(quán)限覆蓋子目錄中的設(shè)置；然后再根據(jù)不同子目錄中數(shù)據(jù)的類型為其設(shè)置訪問權(quán)限，這樣可進(jìn)一步保障Web站點的安全。②最好將不同類型的文件存放在不同的目錄中，授予不同的NTFS權(quán)限。例如，將可執(zhí)行程序和腳本文件分離。③對于包含可執(zhí)行程序（如CGI程序）的目錄，只授予“運行”權(quán)限，不要授予“讀取”權(quán)限，并拒絕匿名用戶訪問。④對于包含腳本文件（ASP頁面）的目錄，只授予“運行”權(quán)限，不要授予“讀取”權(quán)限，并拒絕匿名用戶訪問。⑤對于服務(wù)器端包含指令的文件（如INC、SHTM和SHTML等）的目錄，只授予“運行”權(quán)限，并拒絕匿名用戶訪問。SHTML是一種用于SSI（ServerSideInclude）技術(shù)的文件。一些WebServer若有SSI功能，則會對SHTML文件特殊處理。先掃描一次SHTML文件看沒有特殊的SSI指令存在，若有就按WebServer設(shè)定規(guī)則解釋SSI指令，解釋完后與一般HTML一起調(diào)去客戶端。⑥對于包含靜態(tài)頁面文件（如HTML、JPG和GIF等）的目錄，只允許匿名用戶有“讀取”權(quán)限。⑦最好為每個文件類型創(chuàng)建一個新目錄，在每個目錄上設(shè)置NTFS權(quán)限，并允許權(quán)限傳遞給各個文件。例如，靜態(tài)頁面單獨一個目錄，圖形、像單獨一個目錄，腳本文件單獨一個目錄。8.4.7審核IIS日志記錄

設(shè)置日志審核步驟選擇日志格式和創(chuàng)建策略

在“日志文件目錄”框中設(shè)置日志的文件路徑。為安全起見，最好不要使用缺省的目錄。應(yīng)更換默認(rèn)的日志路徑，并設(shè)置日志文件目錄的訪問權(quán)限。只允許管理員和System賬號具有完全控制權(quán)限，只允許對Everyone組賬戶授予讀寫權(quán)限。

對于單個計算機上有多個Web站點的情況，服務(wù)器IP地址和服務(wù)器端口這兩個日志選項很有用。Win32狀態(tài)選項有利于調(diào)試。例如，檢查日志發(fā)現(xiàn)有錯誤代碼，可通過執(zhí)行命令nethelpmsgerr_no（err_no代表錯誤代號）來了解更多的Win32錯誤。日志記錄擴充屬性設(shè)置

日志審核示例Web-IA網(wǎng)站分析與管理操作界面8.4.8IIS選項或相關(guān)組件篩選

刪除Web服務(wù)之外的其他IIS服務(wù)例如，只保留HTTP，刪除SMTP、NNTP、FTP和IndexingService（索引服務(wù)）等

。刪除FrontPage服務(wù)擴展

FrontPage服務(wù)器擴展用于支持通過FrontPage開發(fā)的、具有某些特殊功能的Web頁面，以及通過FrontPageWeb站點工具發(fā)布Web內(nèi)容。如果Web站點不是通過FrontPage開發(fā)的，或者不需要這些特殊功能，Web服務(wù)器就不需要FrontPage支持，應(yīng)當(dāng)刪除FrontPage服務(wù)器擴展。停止或刪除默認(rèn)站點

在新的目錄下新建Web站點，該目錄不要放在Inetpub\wwwroot下，最好放在與它不同的分區(qū)下。禁止或刪除IIS的所有示例程序

禁止或刪除不必要的COM組件

圖1.5Web系統(tǒng)的組成結(jié)構(gòu)

8.4.9安全加固工具及應(yīng)用圖1.8Browser/Server三層體系結(jié)構(gòu)

名

稱位

置HisecwebSecurityTemplate(Hisecweb.inf)S/support/misc/kblookup.asp?id=Q316347IISLockdownWizard,V2.1./downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=enIIS5.0BaselineSecurityChecklist/technet/security/SecureInternetInformationServices5Checklist/technet/security/NSAGuidetotheSecureConfigurationandAdministrationofMicrosoftInternetInformationServices5.0http.///win2k/download.htm使用IIS鎖定向?qū)Ъ庸滔到y(tǒng)安全①執(zhí)行下載的文件iislockd.exe，啟動向?qū)нM(jìn)行配置，根據(jù)提示進(jìn)行操作。②當(dāng)出現(xiàn)如右圖所示的對話框時，選擇所需的服務(wù)器模板。這里選擇“DynamicWebServer（ASPenabled）”。再選中“Viewtemplatesettings”復(fù)選框，出現(xiàn)更為詳細(xì)的配置窗口。選擇服務(wù)器模板③鼠標(biāo)單擊“下一步”，出現(xiàn)對話框后，選擇要啟動的IIS服務(wù)。④鼠標(biāo)單擊“下一步”，出現(xiàn)對話框后，設(shè)置要關(guān)閉的腳本映射。⑤鼠標(biāo)單擊“下一步”，出現(xiàn)對話框后，設(shè)置其他安全選項（右圖）。使用IIS鎖定向?qū)Ъ庸滔到y(tǒng)安全⑥鼠標(biāo)單擊“下一步”，出現(xiàn)對話框后，決定是否安裝URLScan。默認(rèn)選中“InstallURLScanfilterontheserver”復(fù)選框。⑦鼠標(biāo)單擊“下一步”，出現(xiàn)“IISLockdownWizard要改變內(nèi)容”的提示。如果要改變選項，可單擊“上一步”，重新設(shè)置。如果設(shè)置符合要求，即單擊“下一步”，執(zhí)行IIS鎖定處理過程。如果要查看處理細(xì)節(jié)，可單擊“ViewReport”按鈕。⑧執(zhí)行IIS鎖定處理過程結(jié)束后，出現(xiàn)“CompletingtheInternetInformationServicesLockdownWizard”的對話框后，鼠標(biāo)單擊“完成”。

使用IIS鎖定向?qū)Ъ庸滔到y(tǒng)安全URLScan安裝為ISAPI篩選器8.4.10SSL安全機制SSL是一種安全性很高的認(rèn)證方式，是通過SSL安全機制使用的數(shù)字證書。SSL位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。使用SSL安全機制時，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端?？蛻舳穗S機生成會話密鑰，用從服務(wù)器得到的公共密鑰對會話密鑰進(jìn)行加密，并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器；而會話密鑰只有在服務(wù)器端用私人密鑰才能解密。這樣，客戶端和服務(wù)器端就建立了一個惟一的安全通道。建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進(jìn)行通信，并且在使用URL資源定位器時，輸入https://，而不是http://。8.5保護網(wǎng)絡(luò)邊界安全網(wǎng)絡(luò)邊界防火墻和路由器應(yīng)用使用網(wǎng)絡(luò)DMZ構(gòu)建入侵檢測系統(tǒng)路由器認(rèn)證技術(shù)及應(yīng)用

防火墻和路由器應(yīng)用-1邊界安全設(shè)備叫做防火墻。防火墻阻止試圖對組織內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，阻止企圖闖入網(wǎng)絡(luò)的活動，防止外部進(jìn)行拒絕服務(wù)（DoS，DenialofService）攻擊，禁止一定范圍內(nèi)黑客利用Internet來探測用戶內(nèi)部網(wǎng)絡(luò)的行為。阻塞和篩選規(guī)則由網(wǎng)管員所在機構(gòu)的安全策略來決定。防火墻也可以用來保護在Intranet中的資源不會受到攻擊。不管在網(wǎng)絡(luò)中每一段用的是什么類型的網(wǎng)絡(luò)（公共的或私有的）或系統(tǒng)，防火墻都能把網(wǎng)絡(luò)中的各個段隔離開并進(jìn)行保護。

雙防火墻體系結(jié)構(gòu)

防火墻和路由器應(yīng)用-2防火墻通常與連接兩個圍繞著防火墻網(wǎng)絡(luò)中的邊界路由器一起協(xié)同工作（下圖），邊界路由器是安全的第一道屏障。通常的做法是，將路由器設(shè)置為執(zhí)報文篩選和NAT，而讓防火墻來完成特定的端口阻塞和報文檢查，這樣的配置將整體上提高網(wǎng)絡(luò)的性能。根據(jù)這個網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置防火墻，最安全也是最簡單的方法就是：首先阻塞所有的端口號并且檢查所有的報文，然后對需要提供的服務(wù)有選擇地開放其端口號。通常來說，要想讓一臺Web服務(wù)器在Internet上僅能夠被匿名訪問，只開放80端口（http協(xié)議）或443端口（https–SSL協(xié)議）即可。使用網(wǎng)絡(luò)DMZ

把Web服務(wù)器放在DMZ中，必須保證Web服務(wù)器與的Intranet處于不同的子網(wǎng)。這樣當(dāng)網(wǎng)絡(luò)流量進(jìn)入路由器時，連接到Internet上的路由器和防火墻就能對網(wǎng)絡(luò)流量進(jìn)行篩選和檢查了。這樣，就證實了DMZ是一種安全性較高的措施；所以除了Web服務(wù)器，還應(yīng)該考慮把E-mail（SMTP/POP）服務(wù)器和FTP服務(wù)器等，也一同放在DMZ中。8.5.3ACL的作用與分類ACL概貌ACL配置擴展ACLACL應(yīng)用什么是ACL?ACL是針對路由器處理數(shù)據(jù)報轉(zhuǎn)發(fā)的一組規(guī)則，路由器利用這組規(guī)則來決定數(shù)據(jù)報允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā)如果不設(shè)置ACL路由器將轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路上所有數(shù)據(jù)報，當(dāng)網(wǎng)絡(luò)管理設(shè)置了ACL以后可以決定哪些數(shù)據(jù)報可以轉(zhuǎn)發(fā)那些不可以可以利用下列參數(shù)允許或拒絕發(fā)送數(shù)據(jù)報：源地址目的地址上層協(xié)議(例如：TCP&UDP端口號)ACL可以應(yīng)用于該路由器上所有的可路由協(xié)議，對于一個接口上的不同網(wǎng)絡(luò)協(xié)議需要配置不同的ACL使用ACL檢測數(shù)據(jù)報為了決定是轉(zhuǎn)發(fā)還是拒絕數(shù)據(jù)報，路由器按照ACL中各條語句的順序來依次匹配該數(shù)據(jù)報當(dāng)數(shù)據(jù)報與一條語句的條件匹配了，則將忽略ACL中的剩余所有語句的匹配處理，該數(shù)據(jù)報將按照當(dāng)前語句的設(shè)定來進(jìn)行轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實時的創(chuàng)建，即實時有效的；因此不能單獨修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個大型的ACL，最好使用文字編輯器編寫好整個ACL后傳送到路由器上，傳送的方法有多種：TFTP、HyperTerm軟件的“PastetoHost”功能路由器如何使用ACL（出站）檢查數(shù)據(jù)報是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數(shù)據(jù)報交換到出站的接口如果有ACL，按照ACL語句的次序檢測數(shù)據(jù)報直至有了匹配條件，按照匹配條件的語句對數(shù)據(jù)報進(jìn)行數(shù)據(jù)報的允許轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句出站標(biāo)準(zhǔn)ACL處理流程出站數(shù)據(jù)報進(jìn)行路由表的查詢接口有ACL?源地址匹配？列表中的下一項更多的項目？執(zhí)行條件允許Permit拒絕Deny否否無是是有向源站發(fā)送ICMP信息轉(zhuǎn)發(fā)數(shù)據(jù)報在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個基本的步驟（標(biāo)準(zhǔn)ACL）access-list-number參數(shù)ACL有多種類型，access-list-number與ACL的類型有關(guān)下表顯示了主要的一些ACL類型與access-list-number的關(guān)系A(chǔ)CL類型access-list-number標(biāo)準(zhǔn)IP1to99擴展IP100to199AppleTalk600to699標(biāo)準(zhǔn)IPX800to899擴展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}permit/deny參數(shù)在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數(shù)來選擇希望路由器采取的動作PermitDeny向源站發(fā)送ICMP消息轉(zhuǎn)發(fā)數(shù)據(jù)報Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}{test-conditions}參數(shù)在ACL的{testconditions}部分，需要根據(jù)存取列表的不同輸入不同的參數(shù)使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網(wǎng)、一組地址或單一節(jié)點地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的0二進(jìn)制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習(xí)處理通配符掩碼，類似于子網(wǎng)掩碼，這需要一段時間掌握計算表示下列網(wǎng)絡(luò)中的所有節(jié)點的通配符掩碼：

答案：55這個通配符掩碼與C類地址的子網(wǎng)掩碼正好相反注意：針對整個網(wǎng)絡(luò)或子網(wǎng)中所有節(jié)點的通配符掩碼一般都是這樣的通配符掩碼練習(xí)計算表示下列子網(wǎng)中所有節(jié)點的通配符掩碼：224答案是：211與24正好相反二進(jìn)制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請看.32子網(wǎng)中的節(jié)點地址——511000000.00000101.00000101.00110111(5)節(jié)點地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習(xí)在下面的例子中，藍(lán)色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)報的源地址和控制的IP地址中相關(guān)的各個位，當(dāng)每位都相同時，說明兩者匹配針對掩碼為92的4子網(wǎng)的控制IP地址和通配符掩碼?答案：43通配符掩碼練習(xí)針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55通配符掩碼練習(xí)計算控制的IP地址和通配符掩碼是比較復(fù)雜的，尤其是控制網(wǎng)絡(luò)中的一部分節(jié)點時為了控制網(wǎng)絡(luò)中一部分節(jié)點往往需要在二進(jìn)制方式下進(jìn)行計算例如：學(xué)生使用到27地址范圍，教師使用28到55地址范圍。這些地址處在相同的網(wǎng)絡(luò)中/24怎樣來計算？控制一段地址范圍內(nèi)的節(jié)點對于學(xué)生使用的地址范圍首先，以二進(jìn)制方式寫出第一個和最后一個節(jié)點地址。由于前三個8位組是相同的，所以可以忽略它們，在通配符掩碼中相應(yīng)的位必須為“0”第一個地址：00000000最后一個地址：01111111其次，查找前面的兩者相同的位(下圖的藍(lán)色部分)0000000001111111這些相同的位將與前面的網(wǎng)絡(luò)地址部分(192.5.5)一樣進(jìn)行匹配檢驗例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點第三，計算剩余節(jié)點地址部分的十進(jìn)制值(127)最后，決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內(nèi)的任何一個節(jié)點地址，但約定俗成的使用所控制范圍的第一個節(jié)點地址相對于上述相同的位在通配符掩碼中為“0”27對于教師部分地址：28(10000000)到55(11111111)答案：2827請思考兩者的不同例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點控制網(wǎng)絡(luò)/24中的所有偶數(shù)地址的控制IP地址和通配符掩碼？答案：54控制網(wǎng)絡(luò)/24中的所有奇數(shù)地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內(nèi)的節(jié)點由于ACL末尾都有一個隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學(xué)生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網(wǎng)絡(luò)功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令眾多情況下，網(wǎng)絡(luò)管理員需要在ACL處理單獨節(jié)點的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令標(biāo)準(zhǔn)ACL不處理目的地相關(guān)參數(shù)，因此，標(biāo)準(zhǔn)ACL應(yīng)該放置在最接近目的地的地點請參考下圖來考慮上述放置地點的原因，如果將語句“deny55”放置在Lab-A路由器的E0接口上時，網(wǎng)絡(luò)中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡(luò)向外的通訊數(shù)據(jù)全部被拒絕標(biāo)準(zhǔn)ACL的正確放置位置擴展ACL的編號為100–199，擴展ACL增強了標(biāo)準(zhǔn)ACL的功能增強ACL可以基于下列參數(shù)進(jìn)行網(wǎng)絡(luò)傳輸?shù)倪^濾目的地址IP協(xié)議可以使用協(xié)議的名字來設(shè)定檢測的網(wǎng)絡(luò)協(xié)議或路由協(xié)議，例如：icmp、rip和igrpTCP/IP協(xié)議族中的上層協(xié)議可以使用名稱來表示上層協(xié)議，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)來處理部分協(xié)議例如：希望允許除了http之外的所有通訊，其余語句是permitipanyanyneg80擴展ACL概貌在全局配置模式下逐條輸入ACL語句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個ACL中(與標(biāo)準(zhǔn)ACL的語法一樣)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out兩個步驟（擴展ACL）access-list-number

從100到199中選擇一個{protocol|protocol-number}

對于CCNA，僅僅需要了解ip和tcp——實際上有更多的參數(shù)選項{sourcesource-wildcard}與標(biāo)準(zhǔn)ACL相同{destinationdestination-wildcard}與標(biāo)準(zhǔn)ACL相同，但是是指定傳輸?shù)哪康腫protocol-specificoptions]本參數(shù)用來指定需要過濾的協(xié)議擴展的參數(shù)請復(fù)習(xí)TCP和UDP的端口號也可以使用名稱來代替端口號，例如：使用telnet來代替端口號23端口號協(xié)議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號由于擴展ACL可以控制目的地地址，所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源放置擴展ACL的正確位置放置擴展ACL的正確位置在下圖中，需要設(shè)定網(wǎng)絡(luò)中的所有節(jié)點不能訪問地址為4服務(wù)器在哪個路由器的哪個接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機器訪問4，但是他們可以繼續(xù)訪問InternetRouter-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL在CiscoIOS可以命名ACL；當(dāng)在一個路由器上使用多于99個ACL時這個功能特別有用當(dāng)輸入一個命名的ACL，不需要緊接著輸入access-list和access-list-number參數(shù)下例中，ACL的名字是over_and，并被使用在接口的出站處理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0Lab-A(config-if)#ipaccess-groupover_andout命名的ACLShow命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當(dāng)前的路由器的整個配置驗證ACLACL不檢查路由器本身自己產(chǎn)生的數(shù)據(jù)報ACL只檢查其他來源的數(shù)據(jù)報ACL的特點8.5.6擴展ACL的應(yīng)用

某企業(yè)網(wǎng)絡(luò)信息中心拓?fù)浣Y(jié)構(gòu)下圖所示。非軍事區(qū)（DMZ）包括交換機、企業(yè)WWW服務(wù)器、E-Mail服務(wù)器、防火墻、路由器（Cisco2651）和Internet專線連接設(shè)施。企業(yè)內(nèi)網(wǎng)包括認(rèn)證和計費系統(tǒng)（RADIUS）、網(wǎng)絡(luò)OA系統(tǒng)、ERP系統(tǒng)、核心交換機（Catalyst4506）和匯聚交換機（Catalyst2950G）等設(shè)施。外網(wǎng)擴展訪問控制列表/*僅允許DMZ區(qū)服務(wù)器的匿名端口開放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護內(nèi)網(wǎng)主機的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyany