局域网安全技术讲义

局域网设计与组建教案局域网设计与组建教案n知识目标知识目标1.1.1.1.理解网络安全现状。理解网络安全现状。理解网络安全现状。理解网络安全现状。2.2.2.2.理解网络面临的威胁。理解网络面临的威胁。理解网络面临的威胁。理解网络面临的威胁。3.3.3.3.理解计算机网络不安全根源。理解计算机网络不安全根源。理解计算机网络不安全根源。理解计算机网络不安全根源。4.4.4.4.掌握掌握掌握掌握网络安全内容和主要指标。网络安全内容和主要指标。网络安全内容和主要指标。网络安全内容和主要指标。5.5.5.5.掌握网络安全策略。掌握网络安全策略。掌握网络安全策略。掌握网络安全策略。6.6.6.6.掌握网络安全标准和等级。掌握网络安全标准和等级。掌握网络安全标准和等级。掌握网络安全标准和等级。7.7.7.7.网络安全技术。网络安全技术。网络安全技术。网络安全技术。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n能力目标能力目标1.1.1.1.防病毒软件的使用。防病毒软件的使用。防病毒软件的使用。防病毒软件的使用。2.2.2.2.掌握防火墙安装和配置。掌握防火墙安装和配置。掌握防火墙安装和配置。掌握防火墙安装和配置。3.3.3.3.掌握掌握掌握掌握Windows2000Windows2000Windows2000Windows2000安全策略配置。安全策略配置。安全策略配置。安全策略配置。4.4.4.4.掌握掌握掌握掌握Windows2000Windows2000Windows2000Windows2000系统安全技术。系统安全技术。系统安全技术。系统安全技术。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv网络安全现状网络安全现状网络安全现状网络安全现状 混合型威胁(Red Code,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(Love Letter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv网络安全面临威胁网络安全面临威胁网络安全面临威胁网络安全面临威胁uu自然灾害威胁自然灾害威胁自然灾害威胁自然灾害威胁 自然灾害威胁主要指火灾、地震、自然灾害威胁主要指火灾、地震、自然灾害威胁主要指火灾、地震、自然灾害威胁主要指火灾、地震、飓风、飓风、飓风、飓风、雷击、水灾等。雷击、水灾等。雷击、水灾等。雷击、水灾等。uu偶然或人为事故造成的威胁偶然或人为事故造成的威胁偶然或人为事故造成的威胁偶然或人为事故造成的威胁 主要包括软硬件故障引发破坏，人们的误操作引发的系统主要包括软硬件故障引发破坏，人们的误操作引发的系统主要包括软硬件故障引发破坏，人们的误操作引发的系统主要包括软硬件故障引发破坏，人们的误操作引发的系统故障。故障。故障。故障。uu网络攻击网络攻击网络攻击网络攻击 所谓网络攻击是指行为人利用各种技术和手段对计算机系所谓网络攻击是指行为人利用各种技术和手段对计算机系所谓网络攻击是指行为人利用各种技术和手段对计算机系所谓网络攻击是指行为人利用各种技术和手段对计算机系统进行非法操作、对计算机系统造成损害的行为。统进行非法操作、对计算机系统造成损害的行为。统进行非法操作、对计算机系统造成损害的行为。统进行非法操作、对计算机系统造成损害的行为。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv网络安全面临威胁网络安全面临威胁网络安全面临威胁网络安全面临威胁uu计算机病毒计算机病毒计算机病毒计算机病毒uu计算机犯罪计算机犯罪计算机犯罪计算机犯罪uu信息战信息战信息战信息战局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv网络不安全的根源网络不安全的根源网络不安全的根源网络不安全的根源 uu物理安全问题物理安全问题物理安全问题物理安全问题 物物物物理理理理安安安安全全全全问问问问题题题题还还还还包包包包括括括括设设设设备备备备的的的的位位位位置置置置安安安安全全全全、限限限限制制制制物物物物理理理理访访访访问问问问、物物物物理环境安全和地域因素等。理环境安全和地域因素等。理环境安全和地域因素等。理环境安全和地域因素等。uu网络拓扑结构的安全缺陷网络拓扑结构的安全缺陷网络拓扑结构的安全缺陷网络拓扑结构的安全缺陷uu系统软件存在安全缺陷和漏洞系统软件存在安全缺陷和漏洞系统软件存在安全缺陷和漏洞系统软件存在安全缺陷和漏洞 uu协议存在安全隐患协议存在安全隐患协议存在安全隐患协议存在安全隐患 uuInternetInternetInternetInternet自身特点自身特点自身特点自身特点 uu人为因素人为因素人为因素人为因素 局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv计算机网络含义计算机网络含义计算机网络含义计算机网络含义 计算机网络安全计算机网络安全计算机网络安全计算机网络安全是指网络系统的硬件、软件及其系统中的是指网络系统的硬件、软件及其系统中的是指网络系统的硬件、软件及其系统中的是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。、泄露，系统连续可靠正常地运行，网络服务不中断。、泄露，系统连续可靠正常地运行，网络服务不中断。、泄露，系统连续可靠正常地运行，网络服务不中断。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv计算机网络安全的内容计算机网络安全的内容计算机网络安全的内容计算机网络安全的内容 uu计算机网络实体安全计算机网络实体安全计算机网络实体安全计算机网络实体安全uu软件系统安全软件系统安全软件系统安全软件系统安全 uu计算机网络中的数据安全计算机网络中的数据安全计算机网络中的数据安全计算机网络中的数据安全 uu计算机网络安全管理计算机网络安全管理计算机网络安全管理计算机网络安全管理 局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv计算机网络安全性指标计算机网络安全性指标计算机网络安全性指标计算机网络安全性指标 uu保密性保密性保密性保密性(Confidentiality)Confidentiality)Confidentiality)Confidentiality)保密性是指保障计算机网络与信息系统中有保密要求保密性是指保障计算机网络与信息系统中有保密要求保密性是指保障计算机网络与信息系统中有保密要求保密性是指保障计算机网络与信息系统中有保密要求的信息只能供经过允许的人员经过允许的方式使用的一种的信息只能供经过允许的人员经过允许的方式使用的一种的信息只能供经过允许的人员经过允许的方式使用的一种的信息只能供经过允许的人员经过允许的方式使用的一种特性，保密性是针对数据的。特性，保密性是针对数据的。特性，保密性是针对数据的。特性，保密性是针对数据的。uu完整性完整性完整性完整性(Integrity)Integrity)Integrity)Integrity)完整性是指保障计算机网络与信息系统中的信息是安完整性是指保障计算机网络与信息系统中的信息是安完整性是指保障计算机网络与信息系统中的信息是安完整性是指保障计算机网络与信息系统中的信息是安全的、准确的、有效的，不因种种不安全因素而改变原有全的、准确的、有效的，不因种种不安全因素而改变原有全的、准确的、有效的，不因种种不安全因素而改变原有全的、准确的、有效的，不因种种不安全因素而改变原有的内容、形式、流向的一种特性，即不能为未授权的第三的内容、形式、流向的一种特性，即不能为未授权的第三的内容、形式、流向的一种特性，即不能为未授权的第三的内容、形式、流向的一种特性，即不能为未授权的第三方修改。方修改。方修改。方修改。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv计算机网络安全性指标（续）计算机网络安全性指标（续）计算机网络安全性指标（续）计算机网络安全性指标（续）uu可用性可用性可用性可用性(Availability)Availability)Availability)Availability)可用性就是保障计算机网络与信息系统中的资源无论可用性就是保障计算机网络与信息系统中的资源无论可用性就是保障计算机网络与信息系统中的资源无论可用性就是保障计算机网络与信息系统中的资源无论何时、无论经过何种处理，只要需要即可用，不因系统故何时、无论经过何种处理，只要需要即可用，不因系统故何时、无论经过何种处理，只要需要即可用，不因系统故何时、无论经过何种处理，只要需要即可用，不因系统故障或其他原因使资源失效、丢失、或妨碍对资源的使用，障或其他原因使资源失效、丢失、或妨碍对资源的使用，障或其他原因使资源失效、丢失、或妨碍对资源的使用，障或其他原因使资源失效、丢失、或妨碍对资源的使用，也不能使有严格时间要求的服务不能得到及时响应的一种也不能使有严格时间要求的服务不能得到及时响应的一种也不能使有严格时间要求的服务不能得到及时响应的一种也不能使有严格时间要求的服务不能得到及时响应的一种特性。特性。特性。特性。uu真实性真实性真实性真实性(Authenticity)Authenticity)Authenticity)Authenticity)真实性是保障信息和系统中实体可信的一种特性，主真实性是保障信息和系统中实体可信的一种特性，主真实性是保障信息和系统中实体可信的一种特性，主真实性是保障信息和系统中实体可信的一种特性，主要是指对信息完整性、系统实体的确认。要是指对信息完整性、系统实体的确认。要是指对信息完整性、系统实体的确认。要是指对信息完整性、系统实体的确认。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv计算机网络安全性指标（续）计算机网络安全性指标（续）计算机网络安全性指标（续）计算机网络安全性指标（续）uu实用性实用性实用性实用性(Utility)Utility)Utility)Utility)实用性是对授权范围内的信息传播和内容具有控制能力实用性是对授权范围内的信息传播和内容具有控制能力实用性是对授权范围内的信息传播和内容具有控制能力实用性是对授权范围内的信息传播和内容具有控制能力的一种特性式。的一种特性式。的一种特性式。的一种特性式。uu占有性占有性占有性占有性(Possession)Possession)Possession)Possession)占有性保障实体对信息的占有权的一种特性。例如若系占有性保障实体对信息的占有权的一种特性。例如若系占有性保障实体对信息的占有权的一种特性。例如若系占有性保障实体对信息的占有权的一种特性。例如若系统中信息存储介质被盗用，则会导致对信息占有权的丧失。统中信息存储介质被盗用，则会导致对信息占有权的丧失。统中信息存储介质被盗用，则会导致对信息占有权的丧失。统中信息存储介质被盗用，则会导致对信息占有权的丧失。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv计算机网络安全策略计算机网络安全策略计算机网络安全策略计算机网络安全策略 计算机网络与信息系统安全策略是指在一个特定的环计算机网络与信息系统安全策略是指在一个特定的环计算机网络与信息系统安全策略是指在一个特定的环计算机网络与信息系统安全策略是指在一个特定的环境里，为保证提供一定级别的计算机网络与信息安全保护境里，为保证提供一定级别的计算机网络与信息安全保护境里，为保证提供一定级别的计算机网络与信息安全保护境里，为保证提供一定级别的计算机网络与信息安全保护所必须遵守的规则。所必须遵守的规则。所必须遵守的规则。所必须遵守的规则。先进的计算机网络与信息安全技术是计算机网络与信先进的计算机网络与信息安全技术是计算机网络与信先进的计算机网络与信息安全技术是计算机网络与信先进的计算机网络与信息安全技术是计算机网络与信息系统安全的根本保证；严格的安全管理；制订严格的法息系统安全的根本保证；严格的安全管理；制订严格的法息系统安全的根本保证；严格的安全管理；制订严格的法息系统安全的根本保证；严格的安全管理；制订严格的法律、法规。律、法规。律、法规。律、法规。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv国外主要的安全评价准则及其关系国外主要的安全评价准则及其关系国外主要的安全评价准则及其关系国外主要的安全评价准则及其关系 19911991年年年年欧欧欧欧洲洲洲洲信信信信息息息息技技技技 术术术术 评评评评 估估估估 标标标标 准准准准(ITSEC)ITSEC)19931993年年年年加加加加拿拿拿拿大大大大可可可可信信信信计计计计算算算算机机机机产产产产品品品品评评评评估估估估准准准准则（则（则（则（CTCPECCTCPEC）19931993年年年年联联联联合合合合公公公公共共共共准则准则准则准则CCCC19931993年美国联邦准则年美国联邦准则年美国联邦准则年美国联邦准则FCFC19991999年年年年 CCCC成成成成为国际标准为国际标准为国际标准为国际标准19951995年英国年英国年英国年英国BS7799BS779920002000年年年年ISO17799ISO1779919851985年年年年美美美美国国国国可可可可信信信信计计计计算算算算机机机机 系系系系 统统统统 评评评评 价价价价 准准准准 则则则则(TCSEC)TCSEC)局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv我国的安全标准我国的安全标准我国的安全标准我国的安全标准(GB-17859-1999)GB-17859-1999)GB-17859-1999)GB-17859-1999)公安部组织制定了计算机信息系统安全等级划分准则公安部组织制定了计算机信息系统安全等级划分准则公安部组织制定了计算机信息系统安全等级划分准则公安部组织制定了计算机信息系统安全等级划分准则国家标准。国家标准。国家标准。国家标准。准准准准则规则规定了定了定了定了计计算机系算机系算机系算机系统统安全保安全保安全保安全保护护能力的五个等能力的五个等能力的五个等能力的五个等级级，保，保，保，保护护能能能能力随着安全保力随着安全保力随着安全保力随着安全保护护等等等等级级的增高而逐的增高而逐的增高而逐的增高而逐渐渐增增增增强强强强，而且高保，而且高保，而且高保，而且高保护护等等等等级级包含包含包含包含了次高保了次高保了次高保了次高保护级护级的全部保的全部保的全部保的全部保护护能力。能力。能力。能力。该该准准准准则则将信息系将信息系将信息系将信息系统统安全分安全分安全分安全分为为5 5 5 5个等个等个等个等级级，分，分，分，分别别是：自主保是：自主保是：自主保是：自主保护级护级、系、系、系、系统审计统审计保保保保护级护级、安全、安全、安全、安全标记标记保保保保护级护级、结结构化保构化保构化保构化保护级护级和和和和访问验证访问验证保保保保护级护级。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv安全技术概述安全技术概述安全技术概述安全技术概述 uu信息安全技术信息安全技术信息安全技术信息安全技术 主要有主要有主要有主要有:信息加密技信息加密技信息加密技信息加密技术术、数字、数字、数字、数字签签名技名技名技名技术术、信息、信息、信息、信息隐隐藏、藏、藏、藏、数字水印技数字水印技数字水印技数字水印技术术等技等技等技等技术术。uu网络安全技术网络安全技术网络安全技术网络安全技术 主要有：入侵检测技术、防火墙技术、安全网关保密技主要有：入侵检测技术、防火墙技术、安全网关保密技主要有：入侵检测技术、防火墙技术、安全网关保密技主要有：入侵检测技术、防火墙技术、安全网关保密技 术、安全路由技术、安全通信协议、术、安全路由技术、安全通信协议、术、安全路由技术、安全通信协议、术、安全路由技术、安全通信协议、VPNVPNVPNVPN技术。技术。技术。技术。uu系统安全技术系统安全技术系统安全技术系统安全技术 主要有身份主要有身份主要有身份主要有身份认证认证、访问访问控制、密控制、密控制、密控制、密钥钥管理技管理技管理技管理技术术等等等等。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv防火墙基本概念防火墙基本概念防火墙基本概念防火墙基本概念 防火墙（防火墙（防火墙（防火墙（FirewallFirewallFirewallFirewall）是一种在内部网络与外部网络之间的是一种在内部网络与外部网络之间的是一种在内部网络与外部网络之间的是一种在内部网络与外部网络之间的界面上构造的一个保护层或在网络边界上建立的网络通信监控界面上构造的一个保护层或在网络边界上建立的网络通信监控界面上构造的一个保护层或在网络边界上建立的网络通信监控界面上构造的一个保护层或在网络边界上建立的网络通信监控系统，并强制所有的连接都必须经过此保护层或系统，在此保系统，并强制所有的连接都必须经过此保护层或系统，在此保系统，并强制所有的连接都必须经过此保护层或系统，在此保系统，并强制所有的连接都必须经过此保护层或系统，在此保护层进行检查和连接，以保障计算机网络的安全，只有那些被护层进行检查和连接，以保障计算机网络的安全，只有那些被护层进行检查和连接，以保障计算机网络的安全，只有那些被护层进行检查和连接，以保障计算机网络的安全，只有那些被授权的通信才能通过此保护层，从而保护内部网络资源免遭非授权的通信才能通过此保护层，从而保护内部网络资源免遭非授权的通信才能通过此保护层，从而保护内部网络资源免遭非授权的通信才能通过此保护层，从而保护内部网络资源免遭非法入侵的系统。法入侵的系统。法入侵的系统。法入侵的系统。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv防火墙的结构防火墙的结构防火墙的结构防火墙的结构 防火墙防火墙防火墙防火墙InternetInternet内内内内部部部部网网网网络络络络计算机计算机计算机计算机1 1计算机计算机计算机计算机2 2计算机计算机计算机计算机3 3计算机计算机计算机计算机n n局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv防火墙功能防火墙功能防火墙功能防火墙功能 1.1.1.1.防火墙是网络安全的屏障，可以强化网络安全策略防火墙是网络安全的屏障，可以强化网络安全策略防火墙是网络安全的屏障，可以强化网络安全策略防火墙是网络安全的屏障，可以强化网络安全策略 .防火墙可以对网络存取和访问进行监控审计防火墙可以对网络存取和访问进行监控审计防火墙可以对网络存取和访问进行监控审计防火墙可以对网络存取和访问进行监控审计 .防火墙可以防止内部信息的外泄防火墙可以防止内部信息的外泄防火墙可以防止内部信息的外泄防火墙可以防止内部信息的外泄 .防火墙保护脆弱的服务并进行集中的安全管理防火墙保护脆弱的服务并进行集中的安全管理防火墙保护脆弱的服务并进行集中的安全管理防火墙保护脆弱的服务并进行集中的安全管理 局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n知识背景知识背景vv防火墙的分类防火墙的分类防火墙的分类防火墙的分类 uu根据所用技术的不同来分类根据所用技术的不同来分类根据所用技术的不同来分类根据所用技术的不同来分类 可分为软件防火墙、硬件防火墙和软硬一体化防火墙三类。可分为软件防火墙、硬件防火墙和软硬一体化防火墙三类。可分为软件防火墙、硬件防火墙和软硬一体化防火墙三类。可分为软件防火墙、硬件防火墙和软硬一体化防火墙三类。uu根据应用对象的不同来分类根据应用对象的不同来分类根据应用对象的不同来分类根据应用对象的不同来分类 可分为企业级防火墙与个人防火墙。可分为企业级防火墙与个人防火墙。可分为企业级防火墙与个人防火墙。可分为企业级防火墙与个人防火墙。uu根据防御方式的不同来分类根据防御方式的不同来分类根据防御方式的不同来分类根据防御方式的不同来分类 可分为包过滤型防火墙、应用网关型、防火墙和代理服务型可分为包过滤型防火墙、应用网关型、防火墙和代理服务型可分为包过滤型防火墙、应用网关型、防火墙和代理服务型可分为包过滤型防火墙、应用网关型、防火墙和代理服务型防火墙、复合型防火墙等四种。防火墙、复合型防火墙等四种。防火墙、复合型防火墙等四种。防火墙、复合型防火墙等四种。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置1.1.天网防火墙的配置天网防火墙的配置天网防火墙的配置天网防火墙的配置:在在在在天天天天网网网网防防防防火火火火墙墙墙墙的的的的主主主主面面面面板板板板上上上上点点点点击击击击“系系系系统统统统设设设设置置置置”按按按按钮钮钮钮，在在在在弹弹弹弹出出出出的的的的“系系系系 统统统统设设设设置置置置”窗窗窗窗口口口口中中中中，点点点点击击击击“规规规规则则则则设设设设定定定定”中中中中的的的的“向向向向导导导导”（见见见见下下下下页页页页），就就就就会弹出设置向导。会弹出设置向导。会弹出设置向导。会弹出设置向导。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置1.1.天网防火墙的配置图示天网防火墙的配置图示天网防火墙的配置图示天网防火墙的配置图示(续上续上续上续上):局域网设计与组建教案局域网设计与组建教案n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置1.1.天网防火墙的配置图示天网防火墙的配置图示天网防火墙的配置图示天网防火墙的配置图示(续上续上续上续上):第六单元第六单元 局域网安全技术局域网安全技术在在在在“安全级别设置安全级别设置安全级别设置安全级别设置”对话对话对话对话框中选择好安全级别（局框中选择好安全级别（局框中选择好安全级别（局框中选择好安全级别（局域网内的用户可以选择域网内的用户可以选择域网内的用户可以选择域网内的用户可以选择“低低低低”）后再点击）后再点击）后再点击）后再点击“下一步下一步下一步下一步”按钮，进入按钮，进入按钮，进入按钮，进入“局域网信局域网信局域网信局域网信息设置息设置息设置息设置”窗口。勾选窗口。勾选窗口。勾选窗口。勾选“我我我我的电脑在局域网中使用的电脑在局域网中使用的电脑在局域网中使用的电脑在局域网中使用”，软件便会自动探测本机，软件便会自动探测本机，软件便会自动探测本机，软件便会自动探测本机的的的的IPIP地址并显示在下方。地址并显示在下方。地址并显示在下方。地址并显示在下方。局域网设计与组建教案局域网设计与组建教案n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置2.2.江民江民江民江民黑客黑客黑客黑客防火墙防火墙防火墙防火墙 的配置的配置的配置的配置:在在在在这这这这款款款款防防防防火火火火墙墙墙墙的的的的主主主主界界界界面面面面上上上上点点点点击击击击“IPIP规规规规则则则则设设设设置置置置”按按按按钮钮钮钮，弹弹弹弹出出出出IPIP规规规规则则则则列表。在这个列表。在这个列表。在这个列表。在这个IPIP规则列表中，可找到和局域网有关的两条规则列表中，可找到和局域网有关的两条规则列表中，可找到和局域网有关的两条规则列表中，可找到和局域网有关的两条IPIP规规规规 则则则则：“允允允允许许许许本本本本机机机机连连连连接接接接局局局局域域域域网网网网内内内内的的的的其其其其它它它它机机机机器器器器”、“局局局局域域域域网网网网内内内内的的的的其其其其它它它它机器访问本机（机器访问本机（机器访问本机（机器访问本机（TCPTCP）”(”(见下页见下页见下页见下页)。第六单元第六单元 局域网安全技术局域网安全技术局域网设计与组建教案局域网设计与组建教案n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置2.2.江民江民江民江民黑客黑客黑客黑客防火墙的配置，配置图示如下防火墙的配置，配置图示如下防火墙的配置，配置图示如下防火墙的配置，配置图示如下(续上续上续上续上):):第六单元第六单元 局域网安全技术局域网安全技术局域网设计与组建教案局域网设计与组建教案n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置2.2.江民江民江民江民黑客黑客黑客黑客防火墙的配置防火墙的配置防火墙的配置防火墙的配置(续上续上续上续上):):如如如如果果果果要要要要修修修修改改改改“局局局局域域域域网网网网内内内内的的的的其其其其它它它它机机机机器器器器访访访访问问问问本本本本机机机机(TCP)”TCP)”规规规规则则则则，可可可可点点点点击该规则所对应的编辑按钮，打开击该规则所对应的编辑按钮，打开击该规则所对应的编辑按钮，打开击该规则所对应的编辑按钮，打开“反黑王规则设定反黑王规则设定反黑王规则设定反黑王规则设定”对话框，对话框，对话框，对话框，在在在在其其其其中中中中的的的的“对对对对方方方方IPIP地地地地址址址址”下下下下拉拉拉拉列列列列表表表表中中中中选选选选择择择择“地地地地址址址址范范范范围围围围”，并并并并将将将将本本本本局域网的网段添加进来即可。如果你真的不希望被网内的其他局域网的网段添加进来即可。如果你真的不希望被网内的其他局域网的网段添加进来即可。如果你真的不希望被网内的其他局域网的网段添加进来即可。如果你真的不希望被网内的其他 用用用用户户户户访访访访问问问问，也也也也可可可可以以以以在在在在“局局局局域域域域网网网网内内内内的的的的其其其其它它它它机机机机器器器器访访访访问问问问本本本本机机机机”这这这这条条条条规规规规则则则则内进行设置。内进行设置。内进行设置。内进行设置。第六单元第六单元 局域网安全技术局域网安全技术局域网设计与组建教案局域网设计与组建教案n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置3.3.金山网镖防火墙的配置金山网镖防火墙的配置金山网镖防火墙的配置金山网镖防火墙的配置:在在在在金金金金山山山山网网网网镖镖镖镖的的的的主主主主界界界界面面面面中中中中，点点点点击击击击“共共共共享享享享管管管管理理理理”选选选选项项项项卡卡卡卡，在在在在“共共共共享享享享管管管管理理理理”窗口列表中便会列出当前所有的共享。选择需要编辑的共窗口列表中便会列出当前所有的共享。选择需要编辑的共窗口列表中便会列出当前所有的共享。选择需要编辑的共窗口列表中便会列出当前所有的共享。选择需要编辑的共 享享享享，然然然然后后后后在在在在“共共共共享享享享管管管管理理理理”页页页页面面面面上上上上方方方方通通通通过过过过点点点点击击击击“编编编编辑辑辑辑”、“删删删删除除除除”、“添加添加添加添加”等图标，便可对共享文件进行管理。另外，如果你想暂等图标，便可对共享文件进行管理。另外，如果你想暂等图标，便可对共享文件进行管理。另外，如果你想暂等图标，便可对共享文件进行管理。另外，如果你想暂 时时时时中中中中止止止止某某某某个个个个文文文文件件件件夹夹夹夹的的的的共共共共享享享享，只只只只需需需需要要要要点点点点击击击击该该该该文文文文件件件件夹夹夹夹右右右右侧侧侧侧的的的的“禁禁禁禁止止止止”即可即可即可即可(见下页见下页见下页见下页)。第六单元第六单元 局域网安全技术局域网安全技术局域网设计与组建教案局域网设计与组建教案n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置3.3.金山网镖防火墙的配置金山网镖防火墙的配置金山网镖防火墙的配置金山网镖防火墙的配置(续上续上续上续上):第六单元第六单元 局域网安全技术局域网安全技术局域网设计与组建教案局域网设计与组建教案n学生实作学生实作1vv几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置几种网络防火墙的配置3.3.金山网镖防火墙的配置金山网镖防火墙的配置金山网镖防火墙的配置金山网镖防火墙的配置(续上续上续上续上):想要在局域网内能够正常互访，我们还需要做以下设置。在金山想要在局域网内能够正常互访，我们还需要做以下设置。在金山想要在局域网内能够正常互访，我们还需要做以下设置。在金山想要在局域网内能够正常互访，我们还需要做以下设置。在金山 网网网网镖镖镖镖的的的的主主主主窗窗窗窗口口口口菜菜菜菜单单单单栏栏栏栏上上上上点点点点击击击击“工工工工具具具具综综综综合合合合设设设设置置置置IPIP设设设设置置置置”，勾勾勾勾选选选选“我我我我的电脑处于局域网中的电脑处于局域网中的电脑处于局域网中的电脑处于局域网中”复选框，点击复选框，点击复选框，点击复选框，点击“确定确定确定确定”按钮使设置生效。按钮使设置生效。按钮使设置生效。按钮使设置生效。第六单元第六单元 局域网安全技术局域网安全技术局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n案例分析案例分析vv案例案例案例案例1 1Win2000Win2000系系系系统统安全安全安全安全隐隐患与防范患与防范患与防范患与防范1.1.Win2000Win2000操作系统存在的安全隐患操作系统存在的安全隐患操作系统存在的安全隐患操作系统存在的安全隐患1)1)安装隐患安装隐患安装隐患安装隐患 将服务器接入网络内安装。将服务器接入网络内安装。将服务器接入网络内安装。将服务器接入网络内安装。Windows2000ServerWindows2000Server操作系统在安装时存在一个安全漏洞，操作系统在安装时存在一个安全漏洞，操作系统在安装时存在一个安全漏洞，操作系统在安装时存在一个安全漏洞，当输入当输入当输入当输入AdministratorAdministrator密码后，系统就自动建立了密码后，系统就自动建立了密码后，系统就自动建立了密码后，系统就自动建立了ADMIN$ADMIN$的的的的共享，但是并没有用刚刚输入的密码来保护它，这种情况一直共享，但是并没有用刚刚输入的密码来保护它，这种情况一直共享，但是并没有用刚刚输入的密码来保护它，这种情况一直共享，但是并没有用刚刚输入的密码来保护它，这种情况一直持续到再次启动后，在此期间，任何人都可以通过持续到再次启动后，在此期间，任何人都可以通过持续到再次启动后，在此期间，任何人都可以通过持续到再次启动后，在此期间，任何人都可以通过ADMIN$ADMIN$进进进进入这台机器；同时，只要安装一结束，各种服务就会自动运行入这台机器；同时，只要安装一结束，各种服务就会自动运行入这台机器；同时，只要安装一结束，各种服务就会自动运行入这台机器；同时，只要安装一结束，各种服务就会自动运行，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n案例分析案例分析vv案例案例案例案例1 1Win2000Win2000系系系系统统安全安全安全安全隐隐患与防范患与防范患与防范患与防范 将服务器接入网络内安装。操作系统与应用系统共用一个磁盘分区。将服务器接入网络内安装。操作系统与应用系统共用一个磁盘分区。将服务器接入网络内安装。操作系统与应用系统共用一个磁盘分区。将服务器接入网络内安装。操作系统与应用系统共用一个磁盘分区。在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区，在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区，在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区，在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区，会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取应用系统的访问权限，从而影响应用系统的安全运行。应用系统的访问权限，从而影响应用系统的安全运行。应用系统的访问权限，从而影响应用系统的安全运行。应用系统的访问权限，从而影响应用系统的安全运行。采用采用采用采用FAT32FAT32FAT32FAT32文件格式安装。文件格式安装。文件格式安装。文件格式安装。FAT32FAT32FAT32FAT32文件格式不能限制用户对文件的访文件格式不能限制用户对文件的访文件格式不能限制用户对文件的访文件格式不能限制用户对文件的访 问，这样可以导致系统的不安全。问，这样可以导致系统的不安全。问，这样可以导致系统的不安全。问，这样可以导致系统的不安全。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n案例分析案例分析vv案例案例案例案例1 1Win2000Win2000系系系系统统安全安全安全安全隐隐患与防范患与防范患与防范患与防范 采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐 患的组件，如：患的组件，如：患的组件，如：患的组件，如：IISIISIISIIS、DHCPDHCPDHCPDHCP、DNSDNSDNSDNS等，导致系统在安装后存在安全等，导致系统在安装后存在安全等，导致系统在安装后存在安全等，导致系统在安装后存在安全 漏洞。漏洞。漏洞。漏洞。系统补丁安装不及时不全面。在系统安装完成后，不及时安装系系统补丁安装不及时不全面。在系统安装完成后，不及时安装系系统补丁安装不及时不全面。在系统安装完成后，不及时安装系系统补丁安装不及时不全面。在系统安装完成后，不及时安装系 统补丁程序，导致病毒侵入统补丁程序，导致病毒侵入统补丁程序，导致病毒侵入统补丁程序，导致病毒侵入。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n案例分析案例分析vv案例案例案例案例1 1Win2000Win2000系系系系统统安全安全安全安全隐隐患与防范患与防范患与防范患与防范2)2)运行运行运行运行隐隐患患患患 默认共享。系统在运行后，会自动创建一些隐藏的共享。这些默认共享。系统在运行后，会自动创建一些隐藏的共享。这些默认共享。系统在运行后，会自动创建一些隐藏的共享。这些默认共享。系统在运行后，会自动创建一些隐藏的共享。这些 默认共享给系统的安全运行带来了很大的隐患。默认共享给系统的安全运行带来了很大的隐患。默认共享给系统的安全运行带来了很大的隐患。默认共享给系统的安全运行带来了很大的隐患。默认服务。系统在运行后，自动启动了许多有安全隐患的服务默认服务。系统在运行后，自动启动了许多有安全隐患的服务默认服务。系统在运行后，自动启动了许多有安全隐患的服务默认服务。系统在运行后，自动启动了许多有安全隐患的服务 这些服务在实际工作中如不需要，可以禁用。这些服务在实际工作中如不需要，可以禁用。这些服务在实际工作中如不需要，可以禁用。这些服务在实际工作中如不需要，可以禁用。安全策略。系统运行后，默认情况下，系统的安全策略是不启安全策略。系统运行后，默认情况下，系统的安全策略是不启安全策略。系统运行后，默认情况下，系统的安全策略是不启安全策略。系统运行后，默认情况下，系统的安全策略是不启 作用的，这降低了系统的运行安全性。作用的，这降低了系统的运行安全性。作用的，这降低了系统的运行安全性。作用的，这降低了系统的运行安全性。管理员帐号。系统在运行后，管理员帐号。系统在运行后，管理员帐号。系统在运行后，管理员帐号。系统在运行后，AdministratorAdministratorAdministratorAdministrator用户帐号是不能用户帐号是不能用户帐号是不能用户帐号是不能 被停用的，这意味着攻击者可以不停地尝试猜测账号的口令。被停用的，这意味着攻击者可以不停地尝试猜测账号的口令。被停用的，这意味着攻击者可以不停地尝试猜测账号的口令。被停用的，这意味着攻击者可以不停地尝试猜测账号的口令。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n案例分析案例分析vv案例案例案例案例1 1Win2000Win2000系系系系统统安全安全安全安全隐隐患与防范患与防范患与防范患与防范 页面文件。页面文件是用来存储没有装入内存的程序和数据文件页面文件。页面文件是用来存储没有装入内存的程序和数据文件页面文件。页面文件是用来存储没有装入内存的程序和数据文件页面文件。页面文件是用来存储没有装入内存的程序和数据文件 部分的隐藏文件。页面文件中可能含有一些敏感的资料，有可能部分的隐藏文件。页面文件中可能含有一些敏感的资料，有可能部分的隐藏文件。页面文件中可能含有一些敏感的资料，有可能部分的隐藏文件。页面文件中可能含有一些敏感的资料，有可能 造成系统信息的泄露。造成系统信息的泄露。造成系统信息的泄露。造成系统信息的泄露。共享文件。默认状态下，每个人对新创建的文件共享都拥有完全共享文件。默认状态下，每个人对新创建的文件共享都拥有完全共享文件。默认状态下，每个人对新创建的文件共享都拥有完全共享文件。默认状态下，每个人对新创建的文件共享都拥有完全 控制权限，这是非常危险的。控制权限，这是非常危险的。控制权限，这是非常危险的。控制权限，这是非常危险的。DumpDumpDumpDump文件。文件。文件。文件。DumpDumpDumpDump文件在系统崩溃和蓝屏的时候是一份很有用的查文件在系统崩溃和蓝屏的时候是一份很有用的查文件在系统崩溃和蓝屏的时候是一份很有用的查文件在系统崩溃和蓝屏的时候是一份很有用的查 找问题的资料。然而，它也能够给攻击者提供一些敏感信息，造找问题的资料。然而，它也能够给攻击者提供一些敏感信息，造找问题的资料。然而，它也能够给攻击者提供一些敏感信息，造找问题的资料。然而，它也能够给攻击者提供一些敏感信息，造 成信息泄露。成信息泄露。成信息泄露。成信息泄露。WEBWEBWEBWEB服务。系统本身自带的一些服务存在安全隐患。服务。系统本身自带的一些服务存在安全隐患。服务。系统本身自带的一些服务存在安全隐患。服务。系统本身自带的一些服务存在安全隐患。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n案例分析案例分析vv案例案例案例案例1 1Win2000Win2000系系系系统统安全安全安全安全隐隐患与防范患与防范患与防范患与防范2.2.Win2000Win2000操作系统的安全防范对策操作系统的安全防范对策操作系统的安全防范对策操作系统的安全防范对策 1)1)安装对策安装对策安装对策安装对策 在安装、配置好操作系统，打补丁之前，不要把机器接入网络在安装、配置好操作系统，打补丁之前，不要把机器接入网络在安装、配置好操作系统，打补丁之前，不要把机器接入网络在安装、配置好操作系统，打补丁之前，不要把机器接入网络 在安装操作系统时，建议至少分三个磁盘分区。在安装操作系统时，建议至少分三个磁盘分区。在安装操作系统时，建议至少分三个磁盘分区。在安装操作系统时，建议至少分三个磁盘分区。采用采用采用采用NTFSNTFSNTFSNTFS文件格式安装操作系统，保证文件的安全，控制用户文件格式安装操作系统，保证文件的安全，控制用户文件格式安装操作系统，保证文件的安全，控制用户文件格式安装操作系统，保证文件的安全，控制用户 对文件的访问权限。对文件的访问权限。对文件的访问权限。对文件的访问权限。在安装系统组件时，不要采用缺省安装，删除缺省的一些服务在安装系统组件时，不要采用缺省安装，删除缺省的一些服务在安装系统组件时，不要采用缺省安装，删除缺省的一些服务在安装系统组件时，不要采用缺省安装，删除缺省的一些服务 在安装完操作系统后，应先安装应用系统，后安装系统补丁。在安装完操作系统后，应先安装应用系统，后安装系统补丁。在安装完操作系统后，应先安装应用系统，后安装系统补丁。在安装完操作系统后，应先安装应用系统，后安装系统补丁。局域网设计与组建教案局域网设计与组建教案第六单元第六单元 局域网安全技术局域网安全技术n案例分析案例分析vv案例案例案例案例1 1Win2000Win2000系系系系统统安全安全安全安全隐隐患与防范患与防范患与防范患与防范2)2)运行对策运行对策运行对策运行对策 关闭系统默认共享关闭系统默认共享关闭系统默认共享关闭系统默认共享。删除多余的不需要的网络协议删除多余的不需要的网络协议删除多余的不需要的网络协议删除多余的不需要的网络协议。关闭不必要的有安全隐患的服务。关闭不必要的有安全隐患的服务。关闭不必要的有安全隐患的服务。关闭不必要的有安全隐患的服务。