《網絡系統安全運行與維護》課件項目三 任務二 加強Windows系統DHCP服務的安全防御

項目三Windows服務器系統安全運行與維護項目主要內容：任務一提高Windows系統活動目錄服務的安全任務二加強Windows系統DHCP服務的安全防御任務三加強Windows系統IIS服務的安全防御任務四加強Windows系統DNS服務的安全防御任務提出

在小型網絡中，可以對網絡中的計算機通過靜態(tài)配置IP地址使得計算機能夠上網。但是隨著網絡規(guī)模的擴大，如果采用靜態(tài)IP地址分配的方法，將增加網絡管理的難度，而且會經常遇到IP地址沖突的情況。通過上一個項目的實施，我們已經將網絡環(huán)境提升到域環(huán)境下，在域環(huán)境下網絡的規(guī)模一般都是比較龐大的，因此，必須解決計算機上網的問題。DHCP（DynamicHostConfigurationProtocol，動態(tài)主機配置協議）可以集中的管理、分配IP地址，使網絡環(huán)境中的主機動態(tài)的獲得IP地址、網關地址、DNS服務器地址等信息，并能夠提升地址的使用率。這就解決了網絡中IP地址自動分配問題。為避免安裝在網絡中DHCP服務器遭到攻擊，網絡中需要保障DHCP服務器的安全。本任務需要完成的配置有：1．安裝和配置DHCP服務在WindowsServer2008系統中安裝DHCP服務，對于擁有大型網絡的企業(yè)，可以實現對企業(yè)中計算機IP地址的統一管理。2．安全管理DHCP服務在DHCP服務器上實施安全管理策略，保護DHCP服務的安全，避免遭受網絡攻擊。任務分析1．安裝和配置DHCP服務DHCP通過本地網絡上的DHCP服務器中的IP地址數據庫，為客戶端動態(tài)指派IP地址。DHCP工作流程共分為4個階段，分別是發(fā)現階段、提供階段、選擇階段和確認階段。在發(fā)現階段，DHCP客戶端會以四個0為自己的源地址，廣播DHCPdiscover數據包以發(fā)現DHCP服務器，之后服務器又會以廣播數據包向客戶端提供上網信息，整個過程中，客戶端和服務器之間的交流都是通過發(fā)送廣播數據包實現的。因此，客戶端和服務器必須在同一網絡，如果網絡中沒有DHCP服務器，就必須通過使用DHCP中繼幫助客戶端獲取上網信息。DHCP是基于BOOTP發(fā)展起來的，它使用與BOOTP相同的UDP傳輸協議和端口號。從DHCP客戶端到達DHCP服務器的報文使用目的端口67，從DHCP服務器到達DHCP客戶端的報文使用目的端口68。2．安全管理DHCP服務DHCP服務器通過開啟DHCPSnooping，對DHCP報文進行偵聽。DHCPSnooping（DHCP監(jiān)聽)是交換機的一種安全特性，它提供了以下幾種措施保護DHCP過程的安全可靠。（1）通過過濾網絡中接入的偽DHCP(非法的、不可信的）服務器發(fā)送的DHCP報文來增強網絡的安全性。（2）可以檢查DHCP客戶端發(fā)送的DHCP報文的合法性，防止DHCPDoS攻擊。（3）通過建立和維護DHCPSnooping綁定表，實現對可信任DHCP信息的過濾。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息。（4）當DHCP服務器開啟了DHCPSnooping后，會對DHCP報文進行偵聽，從接收到的DHCPRequest或DHCPAck報文中提取并記錄IP地址和MAC地址信息。（5）DHCPSnooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發(fā)DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄。這樣，可以完成交換機對假冒DHCP服務器的屏蔽作用，確保客戶端從合法的DHCP服務器獲取IP地址。除了DHCP協議自身的安全防范措施，本任務還將通過啟用DHCP服務審核、為DHCP服務指定專門的管理用戶等方法保障DHCP服務的安全。任務實施1．安裝和配置DHCP服務操作步驟如下：步驟1：實驗準備階段，根據項目一中任務一知識點，在VMwareWorkstation中部署兩臺WindowsServer2008R2虛擬機Server和PC，并將兩臺虛擬機實現網絡連通。Server和PC的IP地址規(guī)劃如表所示。設備名稱設備角色操作系統IP地址ServerDHCP服務器WindowsServer2008/24PCDHCP客戶端WindowsServer2008自動獲取IP步驟2：在Server上安裝DHCP服務依次選擇“開始”-“管理工具”-“服務器管理器”，打開服務器管理器窗口，如圖1所示。在服務器管理器窗口，選擇“角色”-“添加角色”，進入添加角色向導，如圖2所示。圖1圖2單擊“下一步”按鈕，在服務器角色選項中選擇“DHCP服務器”，如圖3所示。依次單擊“下一步”按鈕，在“添加或編輯DHCP作用域”對話框中，點擊“添加”按鈕，填寫添加作用域的信息，如圖4所示。圖3圖4依次單擊“下一步”按鈕，在“確認安裝選擇”對話框中確認安裝信息，信息無誤后點擊“安裝”按鈕即可開始安裝DHCP服務器程序，如圖5所示。點擊“安裝”按鈕，完成DCHP服務器的安裝。圖5步驟3授權DHCP服務選擇“管理工具”-“DHCP”，打開DHCP窗口，如圖6所示。右鍵單擊“DHCP”，在快捷菜單中選擇“管理授權的服務器”，如圖7所示。圖6圖7點擊“授權”，在“授權DHCP服務器”對話框中填寫要授權的DHCP服務器的名稱或IP地址，如圖8所示。單擊“確定”按鈕，確認授權信息，進行確定，如圖9所示。圖8圖9

步驟4

創(chuàng)建DHCP作用域選擇“管理工具”-“DHCP”，打開DHCP窗口，展開，右擊左側窗口中的IPv4節(jié)點，在彈出的快捷菜單中選擇“新建作用域”命令，打開“新建作用域向導”對話框，如圖10所示。單擊“下一步”按鈕，打開“作用域名”對話框，輸入作用域名稱，如圖11所示。圖10圖11單擊“下一步”按鈕，輸入IP地址范圍，如圖12所示。單擊“下一步”按鈕，進入添加排除地址界面，如果有需要排除的IP地址，可以在此處進行添加，如圖13所示。圖12圖13單擊“下一步”按鈕，設置租約期限，如圖14所示。單擊“下一步”按鈕，選擇稍后配置DHCP選項，如圖15所示。單擊“下一步”-“完成”按鈕，完成DHCP作用域的創(chuàng)建。圖14圖15步驟5

配置DHCP作用域在DHCP窗口，右擊創(chuàng)建的作用域，在彈出的快捷菜單中選擇“激活”命令，激活該作用域，如圖16所示。在DHCP窗口，右擊“作用域選項”選項，在彈出的快捷菜單中選擇“配置選項”命令，打開“作用域選項”對話框，選中“003路由器”復選框，配置路由器作用域選項，輸入網關的IP地址，單擊“添加”按鈕，如圖17所示。圖16圖17選中“006DNS服務器”復選框，配置DNS服務器地址，如圖18所示。單擊“應用”-“確定”按鈕，完成網關地址和DNS地址的設置。在DHCP窗口中，右擊左側窗口中的“保留”選項，在彈出的快捷菜單中選擇“新建保留”命令，打開“新建保留”對話框，輸入保留地址和MAC地址，如圖19所示。圖18圖19步驟6在客戶端上驗證地址在PC機上，將IPv4屬性設置為“自動獲得IP地址”，如圖20所示。為避免PC機接受VMwareWorkstation分配的IP地址，需在VMwareWorkstation工具欄中，單擊“編輯”-“虛擬網絡編輯器”，取消“使用本地DHCP服務將IP地址分配給虛擬機”選項，如圖21所示。進行應用和確定。圖20圖21在PC機的命令提示符中輸入ipconfig/all，可以看到PC機已經獲取到了DHCP服務器上作用域中的第一個IP地址，并且配置了子網掩碼、默認網關、DNS等信息，如圖22所示。圖222．安全管理DHCP服務步驟7在Server上添加DHCP管理用戶為了加強對DHCP服務的管理，網絡管理員要指定一個或若干個用戶對DHCP服務進行管理。下面在操作系統中創(chuàng)建一個aaa用戶，由aaa用戶專門管理DHCP服務。在Server上打開ActiveDirectory用戶和計算機窗口，右鍵單擊“users”節(jié)點，在彈出的快捷菜單中選擇“新建”-“用戶”，輸入用戶信息和密碼等，完成創(chuàng)建用戶，如圖23所示。圖23在users列表中，右鍵單擊aaa用戶，在快捷菜單中選擇“添加到組”，將aaa用戶加入DHCPAdministrators管理組中，如圖24所示，用戶aaa便具有了管理DHCP服務的權限。圖24步驟8在交換機上配置DHCPSnooping功能在實際的網絡連接中，可以登錄到交換機上，使用命令行來配置DHCPSnooping，對交換機進行如下配置：switch#configureterminalswitch(config)#ipdhcpsnoopingswitch(config)#interfacefastethernet0/2switch(config-if)#ipdhcpsnoopingtrustswit