第8章网络安全管理教案

学习目标：

了解系统安全的概念，了解windows 2000 server所提供的安全机制；掌握实现计算机安全管理的安全策略配置；掌握实现计算机网络安全保护的防火墙配置；掌握实现远程客户安全访问本地局域网的ras和vpn配置；掌握终端服务的配置和系统性能的监视及优化；了解windows 2000 server安全检查和评估的基本内容。

本章主要内容：

网络安全概述。

网络安全配置与分析。

ras配置与管理。

vpn配置与管理。

终端服务。

系统性能及安全评估。

教学难点：安全策略配置，防火墙配置，ras和vpn配置，终端服务的配置和系统性能的监视及优化。

本章项目概述：

1、“本地安全策略”的配置。

了解windows 2000 server的安全机制和“本地安全策略”配置的主要内容，掌握基本的“本地安全策略”配置和“事件查看器”的使用，2、windows 2003“防火墙”的配置（可选）

了解windows 2003 的“internet连接防火墙”的配置。

3、ras的配置与管理。

了解远程访问的概念和作用，掌握windows 2000 server 的ras远程访问服务器的配置与管理，掌握ras远程访问客户机的配置。

4、vpn配置。

了解vpn的概念、使用的安全协议，掌握vpn服务的配置和管理。

5、终端服务的安装和使用。

了解终端服务的概念和作用，掌握终端服务的安装和使用。

了解网络安全的总体目标和windows 2000 server在那些方面提供了相应的安全机制。

网络安全一般是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，确保系统能连续可靠正常地运行，网络服务不中断。网络安全包括物理安全、逻辑安全、操作系统安全和联网安全等，windows 2000 server为保证系统的安全提供了各种相应的安全机制，主要包括：

分布式环境下的用户身份验证。

访问控制机制。

动态目录服务（active directory service）

数据加密服务。

统一的安全策略。

安全部署应用程序（确保运行在其上的应用程序的安全性）

辅助日常管理任务。

其他。总的来说，计算机系统安全的目标主要在于提供完整性、控制、可用性和审核。

完整性：计算机系统必须保证准确性、可靠性以及机密性，系统存储的数据是可靠的和安全的，并且用户所要求进行的任何数据操作都必须准确执行并且不会被篡改。

控制：对计算机系统的访问以及对其资源的分配都是在管理控制下进行的。

可用性：当用户试图对一个系统、应用程序或数据文件进行访问时，它总是准备好的、可使用的。

审核：检查某件事是否按照它被期望的方式进行的过程。

一、认证。认证是一个实体（一台计算机、一个人或其他任何东西）向另外的实体证明其身份的能力。

其他的认证系统。

相互认证（如客户和服务器的相互认证）

计算机到计算机的认证。

认证算法（如kerberos,可以使得口令信息在被输入系统后更能抵抗电子攻击）

证书的使用（在密钥分配中起辅助作用的数据结构）

某些特殊设备。

智能卡（如信用卡般大小的设备，上面有嵌入式的芯片，芯片中包含认证信息）

生理特征识别设备（它依靠人体的某些生理特征来进行认证）

二、授权。授权是用来发现用户是否有权进行他所请求进行的活动的过程。

三、审核。审核是检查某件事是否按照它被期望的方式进行的过程。windows 2000 server在默认情况下并不起用审核功能，但可以通过设定一种审核策略来启用。

审核可追踪的事件：

用户的登录与注销。

验证用户帐户。

文件、文件夹与打印机的访问。

用户帐户与组的变更。

访问active directory对象。

关机与重新启动。

四、安全策略。

安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包含当规则不被遵守时会激发的规程动作的一个表达。

ipsec是一个标准的网络协议，用来保护网络上的两台计算机之间的通讯。它被用于加密虚拟专用网（vpn）中传递的数据，还用于协商一条安全的连接，和对两个计算机间传输的数据进行加密。

表8-1：ipsec的三种默认策略。

五、病毒防治。

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序**。

病毒具有传染和破坏的作用，internet 的发展孕育了网络病毒。

反病毒技术包括检测病毒和杀病毒两方面，而病毒的清除都是以有效的病毒探测为基础的。对病毒的防治主要通过安装杀毒软件和良好的系统管理运行机制来实现。

六、放火墙。

防火墙主要是通过防止对网络进行未授权访问来保证网络的安全性，防火墙一般既可以由硬件设备也可以由软件来实现。

windows 2003 提供的防火墙称为internet连接防火墙，它允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。

1、单击“开始”→“程序”→“管理工具”→“本地安全策略”→单击“树”窗口中“帐户策略”下的“密码策略”→双击“密码长度最小值”条目→输入需要设定的最小密码长度→确定→双击“密码必须符合复杂性要求”条目→启用“密码必须符合复杂性要求”策略→确定。

图8-1 “本地安全设置”窗口图8-2 “密码长度最小值”对话框。

2、单击“审核策略”→双击“审核登录事件”→勾选要审核的操作→“确定”。

图8-3 “本地安全设置”窗口图8-4 “审核登录事件”对话框。

3、单击“用户权利指派”→双击“备份文件和目录”条目→单击“添加”增加想赋予此权限的用户。

图8-5 “本地安全设置”窗口图8-6 “备份文件和目录”对话框。

4、单击“安全选项”→双击“登录屏幕上不要显示上次登录的用户名”→选择“已启用”→确定。

图8-7 “本地安全设置”窗口图8-8 “不显示登录用户名”对话框。

5、单击“ip安全策略，在本地机器”→设置ip安全的三种策略，分别为“安全服务器（要求安全设置）”、客户端（只响应）”和“服务器（请求安全设置）”。

图8-9 “本地安全设置”窗口。

示例查看 “安全日志”，1、管理员注销退出系统；

2、用户a169身份登录系统（先输入错误的密码，然后再正确登录）；

3、管理员重新登录系统；单击“开始”→“程序”→“管理工具”→“事件查看器”→单击“安全日志”→查看所发生的登录事件。

图8-10 “事件查看器”窗口图8-11 “事件详细信息”对话框。

打开“网络连接”→右键单击需要保护的连接→选择“属性”→单击“高级”选项卡→勾选“通过限制或阻止来自internet的对此计算机的访问来保护我的计算机和网络”复选框，→单击“设置”→单击“服务”选项卡→勾选“ftp服务器”→单击“安全日志”选项卡→勾选要记录的项目→单击“icmp”选项卡→勾选“允许传入响应请求”→“确定”。

图8-12 “网络连接属性”对话框图8-13 “高级设置”对话框。

图8-14 “安全日志”选项卡图8-15 “icmp” 选项卡。

windows 2000 server的远程访问提供了两种不同类型的远程访问连接。在远程拨号连接方式中，远程访问客户机采用公用交换**网络（pstn――public switched telephone network）创建一个物理连接，来连接到公司内部专用网络中远程访问服务器的一个端口。

ras服务器扮演着ras客户端与本地网络之间的路由器或网关的角色，让ras客户端能够通过它来连接公司内部网络，访问网络资源，就好像它们是在本地直接连接着网络。比如ras客户端可以通过网络邻居访问网络中其他计算机上的共享文件夹。

步骤一：安装modem

单击“开始”→“控制面板”→双击“**和调制解调器选项”→单击“添加”按钮→勾选“不要检测我的调制解调器，我从列表中选择”→单击“下一步”→选择modem类型→单击“下一步”→选择“通讯端口com1”→单击“下一步”→安装。

步骤二：配置ras服务器。

单击“开始”→“程序”→“管理工具”→“路由和远程访问”→右键单击“firewall（本地）”→选择“配置并启用路由和远程访问”项，→单击“下一步”→选择“远程访问服务器”→“下一步”→选择“设置一个高级远程访问服务器”→“下一步”→选择现有协议或者添加新的远程客户协议→“下一步”→选择“来自一个指定的地址范围”→“下一步”→单击“新建”→在“起始ip地址”文本框中输入“192.168.1.

160”→在“结束ip地址”文本框中输入“192.168.1.

199”→“确定”→“下一步”→选择不使用radius→“下一步”→完成。

图8-16 “路由和远程访问”窗口图8-17 “公共设置”对话框。

图8-18 “远程访问服务器设置”对话框图8-19 “地址范围指定”对话框。

图8-20 “新建地址范围”对话框图8-21“管理多个远程访问服务器”对话框。

图8-22 “路由和远程访问”窗口。

步骤三：配置授权用户拨入属性。

第8章网络安全管理教案

第22章网络安全

网络安全第9章答案

网络安全技术习题第9章习题

其他用户还读了

第8章 网络安全管理 教案

第22章网络安全

网络安全第9章答案

网络安全技术习题第9章习题

其他用户还读了

第8章网络安全管理教案