局域網(wǎng)的安全與管理精講課件

學(xué)習(xí)目標(biāo)：了解網(wǎng)絡(luò)威脅與對策，服務(wù)器威脅與對策，802.1x+RADIUS的應(yīng)用，以及幾種認(rèn)證方式比較和DMZ的概念?；菊莆?02.1x協(xié)議及工作機(jī)制，基于RADIUS的認(rèn)證計(jì)費(fèi)，防止IP地址盜用的技術(shù)，網(wǎng)絡(luò)防病毒技術(shù)?；菊莆章酚善?防火墻保護(hù)網(wǎng)絡(luò)邊界的方法，標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表的應(yīng)用。掌握Windows2003Server操作系統(tǒng)安全加固的技術(shù)，Web服務(wù)器安全設(shè)置技術(shù)。第五章局域網(wǎng)安全設(shè)置與管理5.1網(wǎng)絡(luò)安全威脅與對策網(wǎng)絡(luò)的組成元素網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備元素說明：該元素由網(wǎng)絡(luò)交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)傳輸設(shè)備組成，進(jìn)行用戶網(wǎng)絡(luò)數(shù)據(jù)的交換處理。元素說明：該元素由網(wǎng)絡(luò)服務(wù)器，用戶網(wǎng)絡(luò)客戶端等網(wǎng)絡(luò)終端設(shè)備組成。網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備現(xiàn)有網(wǎng)絡(luò)中存在的問題導(dǎo)致這些問題的原因是什么現(xiàn)有網(wǎng)絡(luò)安全體制網(wǎng)絡(luò)安全的演化病毒的演化趨勢木馬程序、黑客應(yīng)用安全網(wǎng)絡(luò)安全保護(hù)需求網(wǎng)絡(luò)安全保護(hù)對策撥號用戶B撥號用戶C撥號用戶A撥號用戶DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全信息丟失未授權(quán)接入非法外聯(lián)監(jiān)控安全事件處理IT系統(tǒng)面臨的問題導(dǎo)致這些問題的原因是什么？

病毒泛濫：計(jì)算機(jī)病毒的感染率比例非常高，高達(dá)89.73%

軟件漏洞：軟件系統(tǒng)中的漏洞也不斷被發(fā)現(xiàn)，從漏洞公布到出現(xiàn)攻擊代碼的時(shí)間為5.8天黑客攻擊：世界上目前有20多萬個(gè)黑客網(wǎng)站，各種黑客工具隨時(shí)都可以找到，攻擊方法達(dá)幾千種之多。

移動(dòng)用戶越來越多：網(wǎng)絡(luò)用戶往往跨越多個(gè)工作區(qū)域以上相關(guān)數(shù)據(jù)來自Symantec。現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL（規(guī)則控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey資料來源： ComputerSecurityInstitute網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對我們的威脅越來越快病毒的演化趨勢

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)IDC,2004郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質(zhì)Brain19861998CIHSQLSlammer20032004沖擊波震蕩波Brain是第一款攻擊運(yùn)行微軟的受歡迎的操作系統(tǒng)DOS的病毒，可以感染360K軟盤的病毒，該病毒會(huì)填充滿軟盤上未用的空間，而導(dǎo)致它不能再被使用。

CIH病毒是迄今為止破壞性最嚴(yán)重的病毒，也是世界上首例破壞硬件的病毒。它發(fā)作時(shí)不僅破壞硬盤的引導(dǎo)區(qū)和分區(qū)表，而且破壞計(jì)算機(jī)系統(tǒng)BIOS，導(dǎo)致主板損壞。Melissa是最早通過電子郵件傳播的病毒之一，當(dāng)用戶打開一封電子郵件的附件，病毒會(huì)自動(dòng)發(fā)送到用戶通訊簿中的前50個(gè)地址，因此這個(gè)病毒在數(shù)小時(shí)之內(nèi)傳遍全球。

Lovebug也通過電子郵件附近傳播，它利用了人類的本性，把自己偽裝成一封求愛信來欺騙收件人打開。這個(gè)病毒以其傳播速度和范圍讓安全專家吃驚。在數(shù)小時(shí)之內(nèi)，這個(gè)小小的計(jì)算機(jī)程序征服了全世界范圍之內(nèi)的計(jì)算機(jī)系統(tǒng)?！凹t色代碼”（2001年）

被認(rèn)為是史上最昂貴的計(jì)算機(jī)病毒之一，這個(gè)自我復(fù)制的惡意代碼“紅色代碼”利用了微軟IIS服務(wù)器中的一個(gè)漏洞。該蠕蟲病毒具有一個(gè)更惡毒的版本，被稱作紅色代碼II。這兩個(gè)病毒都除了可以對網(wǎng)站進(jìn)行修改外，被感染的系統(tǒng)性能還會(huì)嚴(yán)重下降。

“沖擊波”（2003年）

沖擊波病毒的英文名稱是Blaster，還被叫做Lovsan或Lovesan，它利用了微軟軟件中的一個(gè)缺陷，對系統(tǒng)端口進(jìn)行瘋狂攻擊，可以導(dǎo)致系統(tǒng)崩潰．“震蕩波”（2004年）

震蕩波是又一個(gè)利用Windows缺陷的蠕蟲病毒，震蕩波可以導(dǎo)致計(jì)算機(jī)崩潰并不斷重啟。

“熊貓燒香”（2007年）

熊貓燒香會(huì)使所有程序圖標(biāo)變成熊貓燒香，并使它們不能應(yīng)用“木馬下載器”(2009年)

本年度的新病毒,中毒后會(huì)產(chǎn)生1000~2000不等的木馬病毒,導(dǎo)致系統(tǒng)崩潰,短短3天變成360安全衛(wèi)士首殺榜前3名(現(xiàn)在位居榜首)“鬼影病毒”（2010年）

該病毒成功運(yùn)行后，在進(jìn)程中、系統(tǒng)啟動(dòng)加載項(xiàng)里找不到任何異常，同時(shí)即使格式化重裝系統(tǒng)，也無法將徹底清除該病毒。猶如“鬼影”一般“陰魂不散”，所以稱為“鬼影”病毒。“極虎病毒”（2010年）

該病毒類似qvod播放器的圖標(biāo)。感染極虎之后可能會(huì)遭遇的情況：計(jì)算機(jī)進(jìn)程中莫名其妙的有ping.exe

和rar.exe進(jìn)程，并且cpu占用很高，風(fēng)扇轉(zhuǎn)的很響很頻繁（手提電腦），并且這兩個(gè)進(jìn)程無法結(jié)束。極虎病毒最大的危害是造成系統(tǒng)文件被篡改，無法使用殺毒軟件進(jìn)行清理，一旦清理，系統(tǒng)將無法打開和正常運(yùn)行，同時(shí)基于計(jì)算機(jī)和網(wǎng)絡(luò)的帳戶信息可能會(huì)被盜，如網(wǎng)絡(luò)游戲帳戶、銀行帳戶、支付帳戶以及重要的電子郵件帳戶等。病毒發(fā)展史1990199119941996199819992000200120022003主流病毒形態(tài)木馬、蠕蟲Internet攻擊模式WORM_SASSER.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染網(wǎng)絡(luò)病毒的特征通過攻擊操作系統(tǒng)或應(yīng)用軟件的已知安全漏洞來獲得控制權(quán)在本地硬盤上并不留下文件由于其在網(wǎng)絡(luò)上進(jìn)行掃描的動(dòng)作，可能會(huì)引起嚴(yán)重的網(wǎng)絡(luò)負(fù)載如果攻擊是屬于常規(guī)的應(yīng)用，例如SQL,IIS等就可能穿過防火墻木馬程序等間諜軟件成為網(wǎng)絡(luò)與信息安全保密的重要隱患.在現(xiàn)在的工作中發(fā)現(xiàn),越來越多的木馬程序植入到我國重要信息系統(tǒng)中,根據(jù)保守估計(jì),國內(nèi)80%的網(wǎng)絡(luò)系統(tǒng),都存在木馬程序和間諜軟件問題.中國地區(qū)危害最為嚴(yán)重的十種木馬病毒，分別是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、BOT系列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬系統(tǒng)漏洞就像給了木馬病毒一把鑰匙，使它能夠很輕易在電腦中埋伏下來，而木馬病毒又會(huì)欺騙用戶偽裝成“好人”，達(dá)到其偷取隱私信息的險(xiǎn)惡目的木馬程序木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針對以上各種現(xiàn)象的危害越來越多，木馬病毒已成為威脅數(shù)字娛樂的大敵根據(jù)木馬病毒的特點(diǎn)與其危害范圍來講，木馬病毒又分為以下五大類別：針對網(wǎng)游的木馬病毒、針對網(wǎng)上銀行的木馬病毒、針對即時(shí)通訊工具的木馬病毒、給計(jì)算機(jī)開后門的木馬病毒、推廣廣告的木馬病毒。木馬程序

黑客攻擊愈加猖獗據(jù)國家計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心（CNCERT/CC）統(tǒng)計(jì)：2003年，我國互聯(lián)網(wǎng)內(nèi)共有272萬臺主機(jī)受到攻擊，造成的損失數(shù)以億計(jì)；攻擊向縱深發(fā)展,以經(jīng)濟(jì)和商業(yè)利益為目的的網(wǎng)絡(luò)攻擊行為漸為主流垃圾郵件成為公害據(jù)中國互聯(lián)網(wǎng)中心統(tǒng)計(jì)，現(xiàn)在，我國用戶平均每周受到的垃圾郵件數(shù)超過郵件總數(shù)的60%，部分企業(yè)每年為此投入上百萬元的設(shè)備和人力，垃圾郵件泛濫造成嚴(yán)重后果它不但阻塞網(wǎng)絡(luò),降低系統(tǒng)效率和生產(chǎn)力,同時(shí)有些郵件還包括色情和反動(dòng)的內(nèi)容應(yīng)用安全設(shè)計(jì)階段開發(fā)階段實(shí)施階段使用階段管理制度監(jiān)督機(jī)制使用方法在應(yīng)用安全問題中,在Windows平臺上利用Windows系統(tǒng)新漏洞的攻擊占70%左右,30%的安全問題與Linux相關(guān)移動(dòng)用戶D廣域網(wǎng)如何進(jìn)行信息系統(tǒng)的等級化保護(hù)？各信息系統(tǒng)依據(jù)重要程度的等級需要?jiǎng)澐植煌踩珡?qiáng)度的安全域，采取不同的安全控制措施和制定安全策略完成安全設(shè)施的重新部署或響應(yīng)如何從全局角度對安全狀況分析、評估與管理獲得全局安全視圖制定安全策略指導(dǎo)或自動(dòng)Internetp用戶如何管理現(xiàn)有安全資源并執(zhí)行策略機(jī)制？補(bǔ)丁服務(wù)器p打補(bǔ)丁了嗎？更新補(bǔ)丁了嗎？ppppppppppp困境無法知道哪些機(jī)器沒有安裝漏洞補(bǔ)丁知道哪些機(jī)器但是找不到機(jī)器在哪里機(jī)器太多不知如何做起Internet用戶如何防止內(nèi)部信息的泄露？未經(jīng)安全檢查與過濾，違規(guī)接入內(nèi)部網(wǎng)絡(luò)私自撥號上網(wǎng)Internet用戶如何實(shí)現(xiàn)積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實(shí)時(shí)監(jiān)控病毒與攻擊我們怎么辦?語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段教學(xué)網(wǎng)段1網(wǎng)站OA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群Internet保戶網(wǎng)絡(luò)與基礎(chǔ)設(shè)施的安全1、網(wǎng)絡(luò)設(shè)備2、通訊設(shè)備3、通訊線路4、可用性5、機(jī)密性6、完整性保護(hù)邊界與外部連接邊界進(jìn)出數(shù)據(jù)流保護(hù)計(jì)算環(huán)境操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)保護(hù)應(yīng)用業(yè)務(wù)系統(tǒng)辦公自動(dòng)化系統(tǒng)其他應(yīng)用系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)需求教學(xué)網(wǎng)段5內(nèi)部辦公NIntranet2邊界處的訪問控制4邊界處的病毒與惡意代碼防護(hù)5邊界內(nèi)部的網(wǎng)絡(luò)掃描與撥號監(jiān)控3邊界處的網(wǎng)絡(luò)入侵檢測1邊界處的認(rèn)證與授權(quán)網(wǎng)絡(luò)邊界與外部連接的保護(hù)需求6邊界處的垃圾郵件和內(nèi)容過濾計(jì)算環(huán)境的保護(hù)需求1基于主機(jī)的入侵檢測2基于主機(jī)的惡意代碼和病毒檢測3主機(jī)脆弱性掃描4主機(jī)系統(tǒng)加固5主機(jī)文件完整性檢查6主機(jī)用戶認(rèn)證與授權(quán)7主機(jī)數(shù)據(jù)存儲(chǔ)安全8主機(jī)訪問控制看不懂進(jìn)不來拿不走改不了跑不了可審查信息安全的目的打不垮29山西師范大學(xué)網(wǎng)絡(luò)信息中心采取的解決辦法一對于非法訪問及攻擊類-----在非可信網(wǎng)絡(luò)接口處安裝訪問控制防火墻、蠕蟲墻、Dos/DDos墻、IPsecVPN、SSLVPN、內(nèi)容過濾系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段Internet防火墻、IPSECVPN、SSLVPN、內(nèi)容過濾等防DOS/DDOS設(shè)備個(gè)人安全套件語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法二對于病毒、蠕蟲、木馬類-----實(shí)施全網(wǎng)絡(luò)防病毒系統(tǒng)對于垃圾郵件類-----在網(wǎng)關(guān)處實(shí)施防垃圾郵件系統(tǒng)Internet郵件過濾網(wǎng)關(guān)、反垃圾郵件系統(tǒng)在MAIL系統(tǒng)中郵件病毒過濾系統(tǒng)、反垃圾郵件系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法三對于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類-----在各網(wǎng)絡(luò)中安裝IDS系統(tǒng)-----在系統(tǒng)中安裝安全隱患掃描系統(tǒng)-----在系統(tǒng)中安裝事件分析響應(yīng)系統(tǒng)-----在主機(jī)中安裝資源管理系統(tǒng)-----在主機(jī)中安裝防火墻系統(tǒng)-----在重要主機(jī)中安裝內(nèi)容過濾系統(tǒng)

-----在重要主機(jī)中安裝VPN系統(tǒng)人事商務(wù)網(wǎng)段Internet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法四對于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng)-----在網(wǎng)絡(luò)中配置管理系統(tǒng)-----在網(wǎng)絡(luò)中配置信息審計(jì)系統(tǒng)-----在網(wǎng)絡(luò)中配置日志審計(jì)系統(tǒng)-----在網(wǎng)絡(luò)中補(bǔ)丁分發(fā)系統(tǒng)-----在網(wǎng)絡(luò)中配置安全管理中心銷售體系網(wǎng)段NInternet安全審計(jì)中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段537山西師范大學(xué)網(wǎng)絡(luò)信息中心安全管理中心專家?guī)霫nternet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3安服網(wǎng)段教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段55.2網(wǎng)絡(luò)安全接入與認(rèn)證AAARADIUS802.1x基本概念A(yù)AAAuthentication、Authorization、Accounting驗(yàn)證、授權(quán)、記費(fèi)PAP PasswordAuthenticationProtocol密碼驗(yàn)證協(xié)議CHAPChallenge-HandshakeAuthenticationProtocol盤問握手驗(yàn)證協(xié)議NAS NetworkAccessServer網(wǎng)絡(luò)接入服務(wù)器RADIUSRemoteAuthenticationDialInUserService遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)（遠(yuǎn)程撥入用戶驗(yàn)證服務(wù)）AAA介紹AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)）提供了對認(rèn)證、授權(quán)和計(jì)費(fèi)功能的一致性框架AAA是一個(gè)提供網(wǎng)絡(luò)訪問控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題相對與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級的安全保護(hù)。AAA介紹-cont.Authentication：認(rèn)證模塊可以驗(yàn)證用戶是否可獲得訪問權(quán)。Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。Accounting：計(jì)費(fèi)模塊可以記錄用戶使用網(wǎng)絡(luò)資源的情況?？蓪?shí)現(xiàn)對用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計(jì)、跟蹤。AAA基本模型AAA基本模型中分為用戶、NAS、認(rèn)證服務(wù)器三個(gè)部分用戶向NAS設(shè)備發(fā)起連接請求NAS設(shè)備將用戶的請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對用戶采取相應(yīng)認(rèn)證、授權(quán)、計(jì)費(fèi)的操作RADIUS(RemoteAuthenticationDialInUserService遠(yuǎn)程認(rèn)證撥號用戶服務(wù))是在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證授權(quán)計(jì)費(fèi)和配置信息的協(xié)議RADIUS協(xié)議特點(diǎn)客戶/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶端。安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對敏感信息進(jìn)行加密，該密鑰不會(huì)在網(wǎng)絡(luò)上傳輸?？蓴U(kuò)展的協(xié)議設(shè)計(jì)：RADIUS使用屬性-長度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴(kuò)展RADIUS的應(yīng)用。靈活的鑒別機(jī)制：RADIUS服務(wù)器支持多種方式對用戶進(jìn)行認(rèn)證，支持PAP、CHAP、UNIXlogin等多種認(rèn)證方式。RADIUS:Basics

AuthenticationDataFlowISPUserDatabaseISPModemPoolUserdialsmodempoolandestablishesconnectionUserID:bob

Password:ge55gepUserID:bob

Password:ge55gep

NAS-ID:SelectUserID=bobBob

password=ge55gep

Timeout=3600

[otherattributes]Access-Accept

User-Name=bob

[otherattributes]Framed-Address=TheInternetISPRADIUSServerInternetPPPconnectionestablishedRADIUS:Basics

AuthenticationDataFlowISPAccounting

DatabaseISPModemPoolAcct-Status-Type=Start

User-Name=bob

Framed-Address=

…

...SunMay1020:47:411998

Acct-Status-Type=Start

User-Name=bob

Framed-Address=

…

...

TheInternetISPRADIUSServerInternetPPPconnectionestablishedAcknowledgementTheAccounting“Start”RecordRADIUS:Basics

AuthenticationDataFlowISPAccounting

DatabaseISPModemPoolTheInternetISPRADIUSServerInternetPPPconnectionestablishedAcct-Status-Type=Stop

User-Name=bob

Acct-Session-Time=1432

…

...

SunMay1020:50:491998

Acct-Status-Type=Stop

User-Name=bob

Acct-Session-Time=1432

…

...

AcknowledgementTheAccounting“Stop”RecordUserDisconnects驗(yàn)證當(dāng)用戶想要通過某個(gè)網(wǎng)絡(luò)(如電話網(wǎng))與NAS建立連接從而獲得訪問其他網(wǎng)絡(luò)的權(quán)利時(shí)，NAS可以選擇在NAS上進(jìn)行本地認(rèn)證計(jì)費(fèi)，或把用戶信息傳遞給RADIUS服務(wù)器，由Radius進(jìn)行認(rèn)證計(jì)費(fèi)；RADIUS協(xié)議規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶信息和記賬信息；RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請求，完成驗(yàn)證，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。本地（NAS）驗(yàn)證——PAP方式：PAP（PasswordAuthenticationProtocol）是密碼驗(yàn)證協(xié)議的簡稱，是認(rèn)證協(xié)議的一種。用戶以明文的形式把用戶名和他的密碼傳遞給NAS，NAS根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫，如果存在相同的用戶名和密碼表明驗(yàn)證通過,否則表明驗(yàn)證未通過。本地（NAS）驗(yàn)證——CHAP方式CHAP（ChallengeHandshakeAuthenticationProtocol）是盤問握手驗(yàn)證協(xié)議的簡稱，是我們使用的另一種認(rèn)證協(xié)議。SecretPassword=MD5（ChapID+Password+challenge）本地（NAS）驗(yàn)證——CHAP方式當(dāng)用戶請求上網(wǎng)時(shí)，服務(wù)器產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼（challenge）給用戶（同時(shí)還有一個(gè)ID號，本地路由器的hostname）。用戶端得到這個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對傳來的各域進(jìn)行加密，生成一個(gè)SecretPassword傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與SecretPassword作比較，如果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗。SecretPassword=MD5（ChapID+Password+challenge）遠(yuǎn)端（Radius）驗(yàn)證——PAP方式：遠(yuǎn)端認(rèn)證——PAPSecretpassword=PasswordXORMD5（Challenge＋Key）(Challenge就是Radius報(bào)文中的Authenticator)我查……我算……我驗(yàn)……遠(yuǎn)端（Radius）驗(yàn)證——CHAP方式：遠(yuǎn)端認(rèn)證——CHAPSecretpassword=MD5（ChapID+Password+challenge）我查……我算……我驗(yàn)……802.1x協(xié)議及工作機(jī)制802.1x協(xié)議稱為基于端口的訪問控制協(xié)議（PortBasedNetworkAccessControlProtocol），該協(xié)議的核心內(nèi)容如下圖所示?？拷脩粢粋?cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP（ExtensibleAuthenticationProtocol，可擴(kuò)展的認(rèn)證協(xié)議）代理，用戶PC機(jī)運(yùn)行EAPoE（EAPoverEthernet）的客戶端軟件與交換機(jī)通信。802.1x協(xié)議包括三個(gè)重要部分：客戶端請求系統(tǒng)（SupplicantSystem）認(rèn)證系統(tǒng)（AuthenticatorSystem）認(rèn)證服務(wù)器（AuthenticationServerSystem）5.2.1802.1x協(xié)議及工作機(jī)制上圖描述了三者之間的關(guān)系以及互相之間的通信?？蛻魴C(jī)安裝一個(gè)EAPoE客戶端軟件，該軟件支持交換機(jī)端口的接入控制，用戶通過啟動(dòng)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過程。認(rèn)證系統(tǒng)通常為支持802.1x協(xié)議的交換機(jī)。該交換機(jī)有兩個(gè)邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoE協(xié)議幀，保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過之后才導(dǎo)通，用于傳遞網(wǎng)絡(luò)信息。如果用戶未通過認(rèn)證，受控端口處于非導(dǎo)通狀態(tài)，則用戶無法訪問網(wǎng)絡(luò)信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。5.2.3基于802.1x的認(rèn)證計(jì)費(fèi)（1）用戶開始上網(wǎng)時(shí)，啟動(dòng)802.1x客戶端軟件。該軟件查詢網(wǎng)絡(luò)上能處理EAPoE數(shù)據(jù)包的交換機(jī)。當(dāng)支持802.1x協(xié)議的交換機(jī)接收到EAPoE數(shù)據(jù)包時(shí)，就會(huì)向請求者發(fā)送響應(yīng)的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機(jī)的響應(yīng)后，提供身份標(biāo)識給認(rèn)證服務(wù)器。由于此時(shí)客戶端還未經(jīng)過驗(yàn)證，因此認(rèn)證流只能從交換機(jī)未受控邏輯端口經(jīng)過。交換機(jī)通過EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證。（3）如果認(rèn)證通過，則認(rèn)證系統(tǒng)的交換機(jī)的受控邏輯端口打開。（4）客戶端軟件發(fā)起DHCP請求，經(jīng)認(rèn)證交換機(jī)轉(zhuǎn)發(fā)到DHCPServer。（5）DHCPServer為用戶分配IP地址。（6）DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng)的服務(wù)器，服務(wù)器記錄用戶的相關(guān)信息，如用戶ID，MAC，IP地址等信息，并建立動(dòng)態(tài)的ACL訪問列表，以限制用戶的權(quán)限。（7）當(dāng)認(rèn)證交換機(jī)檢測到用戶的上網(wǎng)流量，就會(huì)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息，開始對用戶計(jì)費(fèi)。（8）當(dāng)用戶退出網(wǎng)絡(luò)時(shí)間，可用鼠標(biāo)點(diǎn)擊客戶端軟件（在用戶上網(wǎng)期間，該軟件處于運(yùn)行狀態(tài)）的“退出”按鈕。認(rèn)證系統(tǒng)檢測到該數(shù)據(jù)包后，會(huì)通知AAA（Authentication，Authorization，Accounting）服務(wù)器停止計(jì)費(fèi)，并刪除用戶的相關(guān)信息（如MAC和IP地址），受控邏輯端口關(guān)閉。用戶進(jìn)入再認(rèn)證狀態(tài)。（9）如果上網(wǎng)的PC機(jī)異常死機(jī)，當(dāng)驗(yàn)證設(shè)備檢測不到PC機(jī)在線狀態(tài)后，則認(rèn)為用戶已經(jīng)下線，即向認(rèn)證服務(wù)器發(fā)送終止計(jì)費(fèi)的信息。5.2.5防止IP地址盜用1.使用ARP命令（1）使用操作系統(tǒng)的ARP命令進(jìn)入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會(huì)出現(xiàn)客戶機(jī)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況發(fā)生。ARP命令僅對局域網(wǎng)的上網(wǎng)服務(wù)器、客戶機(jī)的靜態(tài)IP地址有效。當(dāng)被綁定IP地址的計(jì)算機(jī)宕機(jī)后，地址幫綁定關(guān)系解除。如果采用Modem撥號上網(wǎng)或是動(dòng)態(tài)IP地址就不起作用。ARP命令的參數(shù)的功能如下：ARP-s-d-a-s：將相應(yīng)的IP地址與物理地址的捆綁，如以上所舉的例子。-d：刪除相應(yīng)的IP地址與物理地址的捆綁。-a：通過查詢ARP協(xié)議表顯示IP地址和對應(yīng)物理地址的情況。（2）使用交換機(jī)的ARP命令例如，Cisco的二層和三層交換機(jī)。在二層交換機(jī)只能綁定與該交換機(jī)IP地址具有相同網(wǎng)絡(luò)地址的IP地址。在三層交換機(jī)可以綁定該設(shè)備所有VLAN的IP地址。交換機(jī)支持靜態(tài)綁定和動(dòng)態(tài)幫綁定，一般采用靜態(tài)綁定。其綁定操作過程是：采用Telnet命令或Console口連接交換機(jī)，進(jìn)入特權(quán)模式；輸入config，進(jìn)入全局配置模式；輸入綁定命令：arp0010.5CAD.72E3arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：noarp即可。5.2.5防止IP地址盜用2.使用802.1x的安全接入與Radius認(rèn)證（1）采用IP和賬號綁定，防止靜態(tài)IP沖突

用戶進(jìn)行802.1x認(rèn)證時(shí)，用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用非正確賬號密碼試圖通過認(rèn)證時(shí)，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號和其IP做了綁定，認(rèn)證服務(wù)器對其不予通過認(rèn)證，從而同樣不會(huì)造成IP沖突。當(dāng)用戶使用正確的賬號IP通過認(rèn)證后，再更改IP時(shí)，Radius客戶端軟件能夠檢測到IP的更改，即刻剔除用戶下線，從而不會(huì)造成IP沖突。（2）采用客戶IP屬性校驗(yàn)，防止動(dòng)態(tài)IP沖突

用戶進(jìn)行802.1X認(rèn)證前不用動(dòng)態(tài)獲得IP，而是靜態(tài)指定。認(rèn)證前用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用非正確賬號密碼試圖通過認(rèn)證，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號的IP屬性是動(dòng)態(tài)IP，認(rèn)證報(bào)文中該用戶的IP屬性確是靜態(tài)IP，則認(rèn)證服務(wù)器對其不予通過認(rèn)證，從而同樣不會(huì)造成IP沖突。常用的認(rèn)證計(jì)費(fèi)技術(shù)/方式PPPoE+RadiusWEBPortal+Radius802.1X+RadiusPPPoE認(rèn)證計(jì)費(fèi)技術(shù)Internet核心三層交換機(jī)PPPoE的BAS設(shè)備二層的樓棟交換機(jī)PPPoE的客戶端軟件Radius服務(wù)器瓶頸??！DHCP+Web認(rèn)證計(jì)費(fèi)技術(shù)Internet核心交換機(jī)WebPortal的BAS設(shè)備Radius服務(wù)器普通的接入交換機(jī)用戶瓶頸??！802.1X認(rèn)證計(jì)費(fèi)技術(shù)802.1X交換機(jī)認(rèn)證報(bào)文流業(yè)務(wù)數(shù)據(jù)流InternetRadius服務(wù)器核心交換機(jī)匯聚交換機(jī)高效！！匯聚交換機(jī)某公司總部和分公司之間通過PPP鏈路連接，為了提高接入網(wǎng)絡(luò)的安全性，公司要求各分公司通過PPP鏈路接入公司總部時(shí)都要進(jìn)行認(rèn)證，為了不影響路由器的性能，考慮通過RADIUS服務(wù)器進(jìn)行AAA認(rèn)證。某企業(yè)網(wǎng)絡(luò)管理員為了防止有公司外部的用戶將電腦接入到公司網(wǎng)絡(luò)中，造成公司信息資源受到損失，希望員工的電腦在接入到公司網(wǎng)絡(luò)之前進(jìn)行身份驗(yàn)證，只有具有合法身份憑證的用戶才可以接入到公司網(wǎng)絡(luò)。某企業(yè)網(wǎng)絡(luò)管理員為了防止有公司外部的用戶將電腦接入到公司網(wǎng)絡(luò)中，造成公司信息資源受到損失，希望員工的電腦在接入到公司網(wǎng)絡(luò)之前進(jìn)行身份驗(yàn)證，只有具有合法身份憑證的用戶才可以接入到公司網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員考慮在分布層部署802.1x，安全網(wǎng)絡(luò)接入。5.3操作系統(tǒng)安全設(shè)置與管理

操作系統(tǒng)是Web服務(wù)器的基礎(chǔ)，雖然操作系統(tǒng)本身在不斷完善，對攻擊的抵抗能力日益提高，但是要提供完整的系統(tǒng)安全保證，仍然有許多安全配置和管理工作要做。

5.3.1系統(tǒng)服務(wù)包和安全補(bǔ)丁微軟提供的安全補(bǔ)丁有兩類：服務(wù)包（ServicePack）和熱補(bǔ)?。℉otfixes）。服務(wù)包已經(jīng)通過回歸測試，能夠保證安全安裝。每一個(gè)Windows的服務(wù)包都包含著在此之前所有的安全補(bǔ)丁。微軟公司建議用戶及時(shí)安裝服務(wù)包的最新版。安裝服務(wù)包時(shí)，應(yīng)仔細(xì)閱讀其自帶的Readme文件并查找已經(jīng)發(fā)現(xiàn)的問題，最好先安裝一個(gè)測試系統(tǒng)，進(jìn)行試驗(yàn)性安裝。安全熱補(bǔ)丁的發(fā)布更及時(shí)，只是沒有經(jīng)過回歸測試。

在安裝之前，應(yīng)仔細(xì)評價(jià)每一個(gè)補(bǔ)丁，以確定是否應(yīng)立即安裝還是等待更完整的測試之后再使用。在Web服務(wù)器上正式使用熱補(bǔ)丁之前，最好在測試系統(tǒng)上對其進(jìn)行測試。

安全補(bǔ)丁下載WindowsUpdate自動(dòng)更新服務(wù)Windows自動(dòng)更新是Windows的一項(xiàng)功能，當(dāng)適用于您的計(jì)算機(jī)的重要更新發(fā)布時(shí)，它會(huì)及時(shí)提醒您下載和安裝。使用自動(dòng)更新可以在第一時(shí)間更新您的操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)您的計(jì)算機(jī)安全。WindowsUpdate自動(dòng)更新服務(wù)WindowsUpdate自動(dòng)更新服務(wù)一、選擇“開始”，“運(yùn)行”，輸入gpedit.msc，打開組策略窗口。WindowsUpdate自動(dòng)更新服務(wù)二、選擇“管理模板”，然后從菜單中選擇“操作”，“添加/刪除模板”。WindowsUpdate自動(dòng)更新服務(wù)三、在“添加/刪除模板”窗口中選擇“添加”。WindowsUpdate自動(dòng)更新服務(wù)四、在“策略模板”中選擇“wuau.adm”，并選擇“打開”。WindowsUpdate自動(dòng)更新服務(wù)五、選擇“關(guān)閉”，關(guān)閉“添加/刪除模板”窗口。WindowsUpdate自動(dòng)更新服務(wù)六、選擇“計(jì)算機(jī)配置”->“管理模板”->“Windows組件”->“WindowsUpdate”，并選擇“配置自動(dòng)更新”。WindowsUpdate自動(dòng)更新服務(wù)七、在“配置自動(dòng)更新”的屬性窗口中，選擇“啟用”，并選擇“確定”。WindowsUpdate自動(dòng)更新服務(wù)八、在“指定IntranetMicrosoft更新服務(wù)器位置”的屬性窗口中，選擇“啟用”，并在“設(shè)置檢測更新的Intranet更新服務(wù)：”框中輸入“http://服務(wù)器域名或IP地址”，在“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器：”框中輸入“http://服務(wù)器域名或IP地址”，并選擇確定。九、關(guān)閉組策略窗口。注意：一般運(yùn)行完更新腳本后更新并不會(huì)立刻開始，需要等待一段時(shí)間(30min以內(nèi))，請放心，您的電腦一旦發(fā)現(xiàn)有新的更新存在會(huì)立刻自動(dòng)給出下載安裝的提示以及各種更新的詳細(xì)說明(屏幕右下角會(huì)冒出來一個(gè)圖標(biāo))。以下系統(tǒng)直接支持自動(dòng)更新：MicrosoftWindows2000SP2或更高版本MicrosoftWindowsXPSP2或更高版本MicrosoftWindowsServer(tm)2003使用此更新同微軟的在線升級并無沖突，您仍然可以隨時(shí)訪問來進(jìn)行在線升級。WindowsUpdate自動(dòng)更新服務(wù)5.3.2限制用戶權(quán)限-1禁止或刪除不必要的賬戶（如Guest）設(shè)置增強(qiáng)的密碼策略·密碼長度至少9個(gè)字符?！ぴO(shè)置一個(gè)與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最短密碼存留期（典型的為1～7天）。·設(shè)置一個(gè)與系統(tǒng)或網(wǎng)絡(luò)相適應(yīng)的最長密碼存留期（典型的不超過42天）。·設(shè)置密碼歷史至少6個(gè)。這樣可強(qiáng)制系統(tǒng)記錄最近使用過的幾個(gè)密碼。5.3.2限制用戶權(quán)限-2設(shè)置賬戶鎖定策略

（1）復(fù)位賬戶鎖定計(jì)數(shù)器。用來設(shè)置連續(xù)嘗試的時(shí)限。（2）賬戶鎖定時(shí)間。用于定義賬戶被鎖定之后，保持鎖定狀態(tài)的時(shí)間。（3）賬戶鎖定閾閥值。用于設(shè)置允許用戶連續(xù)嘗試登錄的次數(shù)。

5.3.2限制用戶權(quán)限-3加強(qiáng)管理員賬戶的安全性（1）將Administrator重命名，改為一個(gè)不易猜測的名字。（2）為Administrator賬戶設(shè)置一個(gè)復(fù)雜密碼，由多種字符類型（字母、數(shù)字和標(biāo)點(diǎn)符號等）構(gòu)成，密碼長度不能少于9個(gè)字符。（3）建立一個(gè)偽賬戶，其名字雖然是Administrator，但是沒有任何權(quán)限。定期審查事件日志，查找對該賬戶的攻擊企圖。（4）使用Passprop.exe工具設(shè)置管理員賬戶的鎖定閥值。（5）除管理員賬戶外，有必要再增加一個(gè)屬于管理員組（Administrators）的賬戶，作為備用賬戶。Web服務(wù)器的用戶賬戶盡可能少嚴(yán)格控制賬戶特權(quán)

可使用本地安全策略（或域安全策略）管理器來設(shè)置用戶權(quán)限指派，檢查、授予或刪除用戶賬戶特權(quán)、組成員以及組特權(quán)。5.3.2限制用戶權(quán)限-4

5.3.3加固文件系統(tǒng)的安全確保使用NTFS文件系統(tǒng)

安裝Windows2000服務(wù)器時(shí)，最好將硬盤的所有分區(qū)設(shè)置為NTFS分區(qū)，而不要先使用FAT分區(qū)，再轉(zhuǎn)換為NTFS分區(qū)。Web服務(wù)器軟件應(yīng)該安裝在NTFS分區(qū)上。設(shè)置NTFS權(quán)限保護(hù)文件和目錄

要使用NTFS權(quán)限來保護(hù)目錄或文件，必須具備兩個(gè)條件。①要設(shè)置權(quán)限的目錄或文件必須位于NTFS分區(qū)中。②對于要授予權(quán)限的用戶或用戶組，應(yīng)設(shè)立有效的Windows賬戶。

禁用NTFS的8.3文件名生成

5.3.4刪除或禁用不必要的組件和服務(wù)禁止或刪除不必要的系統(tǒng)服務(wù)

①ClipBookSewer。該服務(wù)允許通過網(wǎng)絡(luò)取得系統(tǒng)剪貼板內(nèi)容的訪問權(quán)。該服務(wù)很容易被非法濫用，應(yīng)禁止這項(xiàng)服務(wù)。②ComputerBrowser。該服務(wù)會(huì)引起網(wǎng)絡(luò)性能的下降以及名字解析的問題。對于Web服務(wù)器來說沒有必要使用該服務(wù)，可以考慮禁止。③NetLogon。用于網(wǎng)絡(luò)認(rèn)證。對于Web服務(wù)器來說沒有必要，可以考慮禁止。④NetworkDDEandDDEDSDM。如果不需要?jiǎng)討B(tài)數(shù)據(jù)交換，應(yīng)禁止該項(xiàng)服務(wù)。⑤RemoteRegistorService。該服務(wù)允許進(jìn)行遠(yuǎn)程注冊表操作，應(yīng)禁止該項(xiàng)服務(wù)。⑥RoutingandRemoteAccessService。用于支持遠(yuǎn)程訪問及路由功能。對于Web服務(wù)器可考慮禁止該項(xiàng)服務(wù)。⑦Schedule。運(yùn)行計(jì)劃作業(yè)所需的服務(wù)。如果不用高度任務(wù)，應(yīng)禁止該服務(wù)。⑧Server。用于將本系統(tǒng)的資源共享。對于Web服務(wù)器來說，不應(yīng)當(dāng)提供文件及打印共享，應(yīng)禁止該服務(wù)。⑨ElephonyServer。用于支持RAS。如果不使用RAS，應(yīng)禁止該服務(wù)。⑩TimeService。進(jìn)行時(shí)鐘同步的服務(wù)，可以將本地時(shí)鐘校準(zhǔn)成選定的某個(gè)遠(yuǎn)程主機(jī)上的當(dāng)前時(shí)鐘。如果不需要時(shí)鐘同步，可以禁止該服務(wù)。⑾UPS。用于支持不間斷電源系統(tǒng)。如果服務(wù)器不監(jiān)控UPS，則禁止該服務(wù)。⑿WorkStation。用于訪問其他Windows2000系統(tǒng)的共享資源。如果服務(wù)器不需要訪問其他Windows2000系統(tǒng)的共享資源，可考慮禁止該服務(wù)。

禁用某項(xiàng)系統(tǒng)服務(wù)操作：在“計(jì)算機(jī)管理”控制臺中打開“服務(wù)”項(xiàng)目，停止某項(xiàng)系統(tǒng)服務(wù)，并更改啟動(dòng)類型，最好設(shè)置為“已禁用”。刪除某組件操作：

要徹底清除某些服務(wù)，可通過刪除Windows組件的方式來實(shí)現(xiàn)。從控制面板中選擇“添加/刪除程序”→“添加/刪除Windows組件”，啟動(dòng)Windows組件向?qū)韯h除某些組件

禁止或刪除不必要的網(wǎng)絡(luò)協(xié)議

Web服務(wù)器系統(tǒng)只保留TCP/IP協(xié)議，刪除NetBEUI、IPX/SPX協(xié)議。卸載“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”。從“網(wǎng)絡(luò)和撥號連接”文件夾中打開任一連接的屬性設(shè)置對話框，鼠標(biāo)單擊“卸載”按鈕刪除該組件。

卸載“文件和打印機(jī)共享”禁用TCP/IP上的NetBIOS盡可能減少不必要的應(yīng)用程序如果不是絕對需要，就應(yīng)該避免在服務(wù)器上安裝應(yīng)用程序。例如，不要安裝E-mail客戶端、Office產(chǎn)品及工具；或者對于服務(wù)器正常運(yùn)行并不必需的工具。如果已經(jīng)計(jì)劃用服務(wù)器提供Web服務(wù)，那么不必為服務(wù)器添加外部應(yīng)用程序。然而，當(dāng)配置Web服務(wù)器以及開發(fā)Web站點(diǎn)時(shí)，為了實(shí)現(xiàn)其功能，可能會(huì)為其添加必要的工具。

刪除不必要的OS/2和POSIX子系統(tǒng)OS/2和POSIX子系統(tǒng)分別支持為OS/2和POSIX開發(fā)的應(yīng)用程序。在安裝Windows2000的同時(shí)這些子系統(tǒng)也會(huì)被安裝，應(yīng)刪除這些子系統(tǒng)。操作系統(tǒng)的任何部分都存在弱點(diǎn)，可能被攻擊，刪除這些額外的部分可以堵住可能出現(xiàn)的漏洞。

5.3.5網(wǎng)絡(luò)共享控制Web服務(wù)是通過HTTP或FTP而不是文件共享來進(jìn)行文件訪問。默認(rèn)情況下，Windows2000提供不少網(wǎng)絡(luò)共享資源，這對局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通信很方便；但對Web服務(wù)器系統(tǒng)卻是一個(gè)重大的安全隱患。應(yīng)該刪除掉所有不必要的文件共享，以避免造成重要信息的泄漏。應(yīng)該取消默認(rèn)隱藏的管理性共享（如C＄、D＄等），其辦法是修改注冊表。在注冊表鍵HKEY

LOCAL

MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下面增加一個(gè)鍵值。對于Server版，添加鍵值“AutoShareServer”，類型為“REG

DWORD”，值為“0”。

保護(hù)注冊表系統(tǒng)注冊表存儲(chǔ)了關(guān)于系統(tǒng)的重要數(shù)據(jù)，這些數(shù)據(jù)關(guān)系到系統(tǒng)正常運(yùn)行和安全。必須有效地保護(hù)注冊表，防止攻擊者非法存取和修改注冊表，導(dǎo)致的系統(tǒng)崩潰或重要信息被竊取。注冊表安全設(shè)置（1）阻止SYN泛洪攻擊（2）禁止空連接訪問（3）禁止Internet打印（4）禁止匿名登錄5.3.6保護(hù)注冊表及安全設(shè)置5.3.7日志和審核對于系統(tǒng)安全來說，應(yīng)當(dāng)啟用日志和審核功能，以記錄攻擊者入侵安全事件，便于管理員審查和跟蹤。Windows2000的安全日志可以記錄安全事件，如有效的和無效的登錄嘗試，以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件。管理器可以指定在安全日志中記錄事件。例如，如果已啟用登錄審核，登錄系統(tǒng)的嘗試將記錄在安全日志里。設(shè)置審核策略定義審核的事項(xiàng)

安全事件查看

對審核結(jié)果，要通過事件查看器來查看。打開事件查看器窗口，鼠標(biāo)雙擊大目錄樹中的“安全日志”，詳細(xì)信息窗格中顯示安全日志，如下圖所示。

5.3.8文件系統(tǒng)加密EPS在Windows2000中可通過一個(gè)高級文件屬性使得對文檔加密有效。要加密一個(gè)文件夾的內(nèi)容，在Windows資源管理器中定位到該文件夾，鼠標(biāo)右鍵單擊文件夾，鼠標(biāo)左鍵單擊“屬性”打開“屬性”窗口，如左圖所示。

加密文件或文件夾窗口

5.3.9系統(tǒng)防病毒策略與案例系統(tǒng)防病毒策略病毒是系統(tǒng)中最常見的安全威脅，提供有效的病毒防范措施是系統(tǒng)安全的一項(xiàng)重要任務(wù)。對于Web服務(wù)器來說，安裝防病毒軟件并對病毒庫進(jìn)行及時(shí)更新顯然是非常必要的。在為Web服務(wù)器選擇病毒解決方案時(shí)，應(yīng)考慮以下幾個(gè)方面。①盡可能選擇服務(wù)器專用版本的防病毒軟件，如瑞星殺毒軟件（網(wǎng)絡(luò)）服務(wù)器版。②注意網(wǎng)絡(luò)病毒的實(shí)時(shí)預(yù)防和查殺功能。③考慮是否提供對軟盤啟動(dòng)后NTFS分區(qū)病毒的查殺功能，這樣可以解決因系統(tǒng)惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng)的問題。應(yīng)用案例-分布式病毒防御系統(tǒng)

5.5保護(hù)網(wǎng)絡(luò)邊界網(wǎng)絡(luò)邊界防火墻和路由器應(yīng)用使用網(wǎng)絡(luò)DMZ構(gòu)建入侵檢測系統(tǒng)路由器認(rèn)證技術(shù)及應(yīng)用

防火墻什么是防火墻防火墻是一種功能，它使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)或Internet互相隔離，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)或主機(jī)。簡單的防火墻可以由Router，3LayerSwitch的ACL（accesscontrollist）來充當(dāng)，也可以用一臺主機(jī)，甚至是一個(gè)子網(wǎng)來實(shí)現(xiàn)。復(fù)雜的可以購買專門的硬件防火墻或軟件防火墻來實(shí)現(xiàn)。防火墻的功能1、過濾掉不安全服務(wù)和非法用戶2、控制對特殊站點(diǎn)的訪問3、提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)防火墻的分類包過濾防火墻代理服務(wù)防火墻(應(yīng)用級網(wǎng)關(guān))狀態(tài)檢測防火墻包過濾防火墻包過濾是在IP層實(shí)現(xiàn)的，因此，它可以只用路由器完成。包過濾根據(jù)包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等報(bào)頭信息來判斷是否允許包通過。過濾用戶定義的內(nèi)容，如IP地址。其工作原理是系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)，包過濾器的應(yīng)用非常廣泛，因?yàn)镃PU用來處理包過濾的時(shí)間可以忽略不計(jì)。而且這種防護(hù)措施對用戶透明，合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí)，根本感覺不到它的存在，使用起來很方便。這樣系統(tǒng)就具有很好的傳輸性能，易擴(kuò)展。但是這種防火墻不太安全，因?yàn)橄到y(tǒng)對應(yīng)用層信息無感知——也就是說，它們不理解通信的內(nèi)容，不能在用戶級別上進(jìn)行過濾，即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機(jī)的IP地址設(shè)成一個(gè)合法主機(jī)的IP地址，就可以很輕易地通過包過濾器，這樣更容易被黑客攻破。包過濾防火墻邏輯簡單、價(jià)格便宜、網(wǎng)絡(luò)性能和透明性好。它的不足之處也顯而易見，包過濾防火墻配置困難，且無法滿足各種安全要求，缺少審計(jì)和報(bào)警機(jī)制。包過濾防火墻的優(yōu)缺點(diǎn)應(yīng)用代理型防火墻（ApplicationProxy）工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。2.應(yīng)用代理型狀態(tài)檢測防火墻是在包過濾防火墻的基礎(chǔ)上，采取抽取相關(guān)數(shù)據(jù)的方法，既檢查應(yīng)用層協(xié)議信息，也監(jiān)控并且維護(hù)每一個(gè)連接的狀態(tài)信息。狀態(tài)檢測防火墻將每個(gè)數(shù)據(jù)包看成是一個(gè)獨(dú)立單元的同時(shí)，也考慮前后報(bào)文的歷史關(guān)聯(lián)性，動(dòng)態(tài)地決定是否允許通過防火墻。3.狀態(tài)檢測型狀態(tài)檢測防火墻具有高效率、高安全性、可伸縮，易擴(kuò)展、應(yīng)用范圍廣的特點(diǎn)。狀態(tài)檢測防火墻的特點(diǎn)防火墻在網(wǎng)絡(luò)中的位置

1.安裝防火墻以前的網(wǎng)絡(luò)

2.安裝防火墻后的網(wǎng)絡(luò)

DMZ(demilitarizedzone，也稱非軍事區(qū))是一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。它的設(shè)立是為了解決安裝防火墻后，外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題。DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。3.DMZ區(qū)防火墻的應(yīng)用環(huán)境一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級別的安全區(qū)域：

內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對象，包括全部的企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域.

外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對象，包括外部互聯(lián)網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域.

DMZ（非軍事區(qū)）：它是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。應(yīng)用一：控制來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問應(yīng)用二：控制第三方網(wǎng)絡(luò)（子網(wǎng)）訪問內(nèi)部網(wǎng)絡(luò)應(yīng)用三控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問應(yīng)用四：控制對服務(wù)器中心的網(wǎng)絡(luò)訪問防火墻不能做什么1、防火墻可以阻斷攻擊，但不能消滅攻擊源?；ヂ?lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡(luò)繹不絕。設(shè)置得當(dāng)?shù)姆阑饓δ軌蜃钃跛麄儯菬o法清除攻擊源。即使防火墻進(jìn)行了良好的設(shè)置，使得攻擊無法穿透防火墻，但各種攻擊仍然會(huì)源源不斷地向防火墻發(fā)出嘗試。防火墻不能做什么防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞如殺毒軟件與病毒一樣，總是先出現(xiàn)病毒，殺毒軟件經(jīng)過分析出特征碼后加入到病毒庫內(nèi)才能查殺。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進(jìn)而設(shè)置的。如果世界上新發(fā)現(xiàn)某個(gè)主機(jī)漏洞的cracker的把第一個(gè)攻擊對象選中了你的網(wǎng)絡(luò)，那么防火墻也無能為力。防火墻不能做什么防火墻對服務(wù)器合法開放的端口的攻擊大多無法阻止。某些情況下，攻擊者利用服務(wù)器提供的服務(wù)進(jìn)行缺陷攻擊。由于其行為在防火墻一級看來是“合理”和“合法”的，因此就被簡單地放行了。防火墻不能做什么防火墻對待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無法阻止防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻只有如旁觀者一樣冷視而愛莫能助。防火墻不能做什么防火墻本身也會(huì)出現(xiàn)問題和受到攻擊防火墻也是一個(gè)os，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。防火墻不能做什么防火墻不處理病毒在內(nèi)部網(wǎng)絡(luò)用戶下載外網(wǎng)的帶毒文件的時(shí)候，防火墻是不為所動(dòng)的（這里的防火墻不是指單機(jī)/企業(yè)級的殺毒軟件中的實(shí)時(shí)監(jiān)控功能，雖然它們不少都叫“病毒防火墻”）?？偨Y(jié)防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但不代表設(shè)置了防火墻就能一定保證網(wǎng)絡(luò)的安全。5.5.3ACL的作用與分類ACL概貌ACL配置擴(kuò)展ACLACL應(yīng)用什么是ACL?ACL是針對路由器處理數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)的一組規(guī)則，路由器利用這組規(guī)則來決定數(shù)據(jù)報(bào)允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā)如果不設(shè)置ACL路由器將轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路上所有數(shù)據(jù)報(bào)，當(dāng)網(wǎng)絡(luò)管理設(shè)置了ACL以后可以決定哪些數(shù)據(jù)報(bào)可以轉(zhuǎn)發(fā)那些不可以可以利用下列參數(shù)允許或拒絕發(fā)送數(shù)據(jù)報(bào)：源地址目的地址上層協(xié)議(例如：TCP&UDP端口號)ACL可以應(yīng)用于該路由器上所有的可路由協(xié)議，對于一個(gè)接口上的不同網(wǎng)絡(luò)協(xié)議需要配置不同的ACL使用ACL檢測數(shù)據(jù)報(bào)為了決定是轉(zhuǎn)發(fā)還是拒絕數(shù)據(jù)報(bào)，路由器按照ACL中各條語句的順序來依次匹配該數(shù)據(jù)報(bào)當(dāng)數(shù)據(jù)報(bào)與一條語句的條件匹配了，則將忽略ACL中的剩余所有語句的匹配處理，該數(shù)據(jù)報(bào)將按照當(dāng)前語句的設(shè)定來進(jìn)行轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實(shí)時(shí)的創(chuàng)建，即實(shí)時(shí)有效的；因此不能單獨(dú)修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個(gè)大型的ACL，最好使用文字編輯器編寫好整個(gè)ACL后傳送到路由器上，傳送的方法有多種：TFTP、HyperTerm軟件的“PastetoHost”功能路由器如何使用ACL（出站）檢查數(shù)據(jù)報(bào)是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數(shù)據(jù)報(bào)交換到出站的接口如果有ACL，按照ACL語句的次序檢測數(shù)據(jù)報(bào)直至有了匹配條件，按照匹配條件的語句對數(shù)據(jù)報(bào)進(jìn)行數(shù)據(jù)報(bào)的允許轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句出站標(biāo)準(zhǔn)ACL處理流程出站數(shù)據(jù)報(bào)進(jìn)行路由表的查詢接口有ACL?源地址匹配？列表中的下一項(xiàng)更多的項(xiàng)目？執(zhí)行條件允許Permit拒絕Deny否否無是是有向源站發(fā)送ICMP信息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個(gè)基本的步驟（標(biāo)準(zhǔn)ACL）access-list-number參數(shù)ACL有多種類型，access-list-number與ACL的類型有關(guān)下表顯示了主要的一些ACL類型與access-list-number的關(guān)系A(chǔ)CL類型access-list-number標(biāo)準(zhǔn)IP1to99擴(kuò)展IP100to199AppleTalk600to699標(biāo)準(zhǔn)IPX800to899擴(kuò)展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}permit/deny參數(shù)在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數(shù)來選擇希望路由器采取的動(dòng)作PermitDeny向源站發(fā)送ICMP消息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}{test-conditions}參數(shù)在ACL的{testconditions}部分，需要根據(jù)存取列表的不同輸入不同的參數(shù)使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網(wǎng)、一組地址或單一節(jié)點(diǎn)地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時(shí)檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的0二進(jìn)制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習(xí)處理通配符掩碼，類似于子網(wǎng)掩碼，這需要一段時(shí)間掌握計(jì)算表示下列網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的通配符掩碼：答案：55這個(gè)通配符掩碼與C類地址的子網(wǎng)掩碼正好相反注意：針對整個(gè)網(wǎng)絡(luò)或子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼一般都是這樣的通配符掩碼練習(xí)計(jì)算表示下列子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼：224答案是：211與24正好相反二進(jìn)制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請看.32子網(wǎng)中的節(jié)點(diǎn)地址——511000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習(xí)在下面的例子中，藍(lán)色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)報(bào)的源地址和控制的IP地址中相關(guān)的各個(gè)位，當(dāng)每位都相同時(shí)，說明兩者匹配針對掩碼為92的4子網(wǎng)的控制IP地址和通配符掩碼?答案：43通配符掩碼練習(xí)針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55通配符掩碼練習(xí)計(jì)算控制的IP地址和通配符掩碼是比較復(fù)雜的，尤其是控制網(wǎng)絡(luò)中的一部分節(jié)點(diǎn)時(shí)為了控制網(wǎng)絡(luò)中一部分節(jié)點(diǎn)往往需要在二進(jìn)制方式下進(jìn)行計(jì)算例如：學(xué)生使用到27地址范圍，教師使用28到55地址范圍。這些地址處在相同的網(wǎng)絡(luò)中/24怎樣來計(jì)算？控制一段地址范圍內(nèi)的節(jié)點(diǎn)對于學(xué)生使用的地址范圍首先，以二進(jìn)制方式寫出第一個(gè)和最后一個(gè)節(jié)點(diǎn)地址。由于前三個(gè)8位組是相同的，所以可以忽略它們，在通配符掩碼中相應(yīng)的位必須為“0”第一個(gè)地址：00000000最后一個(gè)地址：01111111其次，查找前面的兩者相同的位(下圖的藍(lán)色部分)0000000001111111這些相同的位將與前面的網(wǎng)絡(luò)地址部分(192.5.5)一樣進(jìn)行匹配檢驗(yàn)例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)第三，計(jì)算剩余節(jié)點(diǎn)地址部分的十進(jìn)制值(127)最后，決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內(nèi)的任何一個(gè)節(jié)點(diǎn)地址，但約定俗成的使用所控制范圍的第一個(gè)節(jié)點(diǎn)地址相對于上述相同的位在通配符掩碼中為“0”27對于教師部分地址：28(10000000)到55(11111111)答案：2827請思考兩者的不同例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)控制網(wǎng)絡(luò)/24中的所有偶數(shù)地址的控制IP地址和通配符掩碼？答案：54控制網(wǎng)絡(luò)/24中的所有奇數(shù)地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內(nèi)的節(jié)點(diǎn)由于ACL末尾都有一個(gè)隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學(xué)生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網(wǎng)絡(luò)功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令眾多情況下，網(wǎng)絡(luò)管理員需要在ACL處理單獨(dú)節(jié)點(diǎn)的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令標(biāo)準(zhǔn)ACL不處理目的地相關(guān)參數(shù)，因此，標(biāo)準(zhǔn)ACL應(yīng)該放置在最接近目的地的地點(diǎn)請參考下圖來考慮上述放置地點(diǎn)的原因，如果將語句“deny55”放置在Lab-A路由器的E0接口上時(shí)，網(wǎng)絡(luò)中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡(luò)向外的通訊數(shù)據(jù)全部被拒絕標(biāo)準(zhǔn)ACL的正確放置位置擴(kuò)展ACL的編號為100–199，擴(kuò)展ACL增強(qiáng)了標(biāo)準(zhǔn)ACL的功能增強(qiáng)ACL可以基于下列參數(shù)進(jìn)行網(wǎng)絡(luò)傳輸?shù)倪^濾目的地址IP協(xié)議可以使用協(xié)議的名字來設(shè)定檢測的網(wǎng)絡(luò)協(xié)議或路由協(xié)議，例如：icmp、rip和igrpTCP/IP協(xié)議族中的上層協(xié)議可以使用名稱來表示上層協(xié)議，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)來處理部分協(xié)議例如：希望允許除了http之外的所有通訊，其余語句是permitipanyanyneg80擴(kuò)展ACL概貌在全局配置模式下逐條輸入ACL語句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個(gè)ACL中(與標(biāo)準(zhǔn)ACL的語法一樣)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out兩個(gè)步驟（擴(kuò)展ACL）access-list-number

從100到199中選擇一個(gè){protocol|protocol-number}

對于CCNA，僅僅需要了解ip和tcp——實(shí)際上有更多的參數(shù)選項(xiàng){sourcesource-wildcard}與標(biāo)準(zhǔn)ACL相同{destinationdestination-wildcard}與標(biāo)準(zhǔn)ACL相同，但是是指定傳輸?shù)哪康腫protocol-specificoptions]本參數(shù)用來指定需要過濾的協(xié)議擴(kuò)展的參數(shù)請復(fù)習(xí)TCP和UDP的端口號也可以使用名稱來代替端口號，例如：使用telnet來代替端口號23端口號協(xié)議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號由于擴(kuò)展ACL可以控制目的地地址，所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源放置擴(kuò)展ACL的正確位置