企业网络安全解决方案毕业论文.doc

娄底职业技术学院计算机网络专业毕业论文企业网络安全解决方案毕业论文目 录引 言1第一章 网络安全概述31.1 网络安全概念31.2企业网络安全的重要性31.3 企业网络安全面临的威胁3第二章 珠海公司网络安全需求分析52.1 公司背景52.2 公司网络安全现状52.3 需求概述52.3.1总体要求62.4 需求分析6第三章珠海公司网络安全实施方案设计73.1 总体设计83.1.1 拓扑图93.1.2设备型号93.2 服务器部分103.2.1 打印服务器113.2.2 WEB服务器113.2.3 域控制器123.2.4 FTP服务器13第四章 珠海公司网络安全项目实施144.1打印服务器配置与安全方案实施144.1.1 打印服务器配置144.1.2创建打印服务器安全策略164.2 WEB服务器配置与安全方案实施174.2.1 WEB服务器配置174.2.2 WEB服务器的安全设置204.3 FTP服务器配置与安全方案实施224.3.1 FTP服务器配置224.3.2 FTP服务器的安全管理设置234.4域控制器配置与安全方案实施264.4.1 域控制器配置274.4.2 域控制器创建OU228第五章 珠海公司网络安全方案测试305.1 安全管理机构的建设原则305.2 网络安全方案测试305.3 展望30结 论32致 谢33参考文献34第一章 网络安全概述随着计算机在生活和工作领域的深入应用，计算机网络的安全成为不可忽视的问题。一个安全的局域网就必须要求做到完善，不论从物理布局还是软件应用和防范方面来说，都应该做到没有瑕疵以确保网络的畅通和安全。这种安全的防范可以是多方面的，可以分为物理布局和软件应用，也可以分为主动防御和被动防御等等；总之，安全并不是单一而泛泛的，而是全面覆盖广泛的。网络安全的防御不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。1.1 网络安全概念 国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。1.2 企业网络安全的重要性简单的说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护公司财产的需要，包括信息和物理设备（例如计算机本身）。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作，以及什么时候。当涉及到公司安全的时候什么是适宜的在公司与公司之间是不同的，但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全策略。1.3 企业网络安全面临的威胁计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁:二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的;可能是人为的，也可能是非人为的。可能是外来黑客对网络系统资源的非法使用，也可能是内部不法分子的恶意行为。归结起来，针对网络安全的威胁主要有以下几方面: (1)人为的无意失误:如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。 (2)人为的恶意攻击:这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性:另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 (3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，软件的“后门，都是软件公司的设计编程人员为了自便而设置的，或黑客闯入计算机为方便再次入侵而设置。软件编程人员设置的后门一般不为外人所知，但一旦“后门”洞开，就为入侵者提供了方便。 (4)网络病毒，网络病毒大都是由于系统漏洞给病毒制造者提供可乘之机。第二章 珠海公司网络安全需求分析网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。2.1 公司背景珠海公司是一家从事IT技术的高新技术企业，对于网络建设有较高的要求，主要致力于计算机网络、综合布线(智能小区/大厦)系统、宽带无线网络工程、网络安全的防护和解决、数字监控系统的论证、设计、实施及大中型软件项目开发，并为用户提供完善的售前、售后服务。公司业务对网络依赖性强，内部办公等都需要网络支持。2.2 公司网络安全现状为保障公司计算机网络的安全，珠海公司实施了计算机网络安全项目，基于当时对信息安全的熟悉和安全产品的状况，信息安全的主要内容是网络安全，公司已经部署了防火墙、入侵检测系统网络安全产品，极大地提升了公司计算机网络的安全性，但是随着计算机技术的不断发展，公司还是遭到网络攻击、冲击波等网络病毒攻击，并多次造成公司服务器出现死机和数据丢失。2.3 需求概述珠海公司是一家拥有200名员工的新型IT企业，公司有近150台运行Windows2000/xp的计算机。公司位于上海，公司设有财务、人事、研发、生产和销售五个部门。珠海亿慧科技有限公司组织架构图如图2.3-1所示： 图2.3-1 珠海亿慧科技有限公司组织架构图珠海公司所从事的业务对网络系统有极大的依赖性，内部办公等都需要网络支持，为了提高网络的可用性、安全性和可靠性，并保留一定的可扩展性，在公司内实现一个完善、高效、高可用性和高可靠性的办公网络，用以满足各项业务发展的需要，使珠海亿慧科技有限公司的信息网络系统能够在未来几年时间内保持技术上的先进性和实有性，公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式，实现公司内部所有信息资源的合法应用和完善管理，使所有员工都能方便地使用公司内部网络，并能够安全高效地访问公司内的网络应用服务和因特网。2.3.1总体要求1) 满足企业信息化的要求，为各类应用系统提供方便、快捷的信息通路。 2) 良好的性能，能够支持大容量和实时性的各类应用。 3) 能够可靠地运行，实现高可用性。 4) 易于维护管理。 5) 提高安全机制，满足保护企业信息安全的要求。 6) 具有较高的性价比。 7) 未来升级扩展容易，保护用户投资。 8) 使用简单、维护容易。 9) 良好的售后服务支持。2.4 需求分析为了实现珠海亿慧科技有限公司此次设计实施的网络项目的功能需求和建设要求并充分考虑公司网络需求，建设一个通畅、高效、安全、稳定、可扩展的企业内联网，满足公司内各种计算机应用系统大量信息的传输要求并支撑公司内各类信息系统的运行，共享各种资源，让企业员工最大限度地利用网络资源，提高企业的办公效率，降低企业网络的总体运行费用，让网络整体具有良好的可扩展性，减轻维护人员的工作量，提高网络系统的运行质量；为了让企业员工安全通过企业内网实现和因特网的高速可靠连接，要求网络连接具有高效、运行稳定、同时进行必要的安全访问控制等功能，并具备良好的可扩展性，能够满足公司未来发展的需求，保护珠海亿公司的投资。整个项目的施工要精心组织、严格管理，定期提交各类项目文档，在项目实施完毕后，工程实施方要对珠海亿慧科技有限公司的相关人员进行培训，并移交全部的项目工程资料，保证网络的正常运行和管理维护。规划设计的珠海公司网络只包含部门间通讯与internet访问。其网络规划设计如下：（1）公司的内部局域网络采用全冗余的结构来保障网络的高可用性。（2）公司的内部局域网其财务部尽限于经理办公室能够达到访问（3）网络总体架构要求高效、健壮、安全，具有良好的可扩展性。（4）网络设计为模块化的拓扑结构，公司统一进行规划和管理，全网采用统一的网络方案和策略。（5）通过一条以太网方式的宽带接入链路（10M带宽）连接到因特网，提高访问因特网的速度。第三章珠海公司网络安全实施方案设计信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全治理应贯穿安全防范活动的始终。信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对珠海公司信息化和信息安全现状的分析，对现有的信息安全产品和解决方案的调查，通过与专业的方案设计接触，解决珠海公司的安全隐患。如图3.1网络与信息安全防范体系模型所示：图3.1 网络与信息安全防范体系模型根据企业防范安全攻击的安全需求、需要到达的安全目标、对应安全机制所需的安全服务等因素，参照网络与信息安全防范体系模型等标准，综合考虑可实施性、可管理性、可扩展性，综合完备性、系统均衡性等方面，公司网络安全设计如下：3.1 总体设计如前所述，珠海公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点： 1. 珠海公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。 2. 网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。 3. 信息安全工作日益增强的重要性和复杂性对安全治理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行，并且建立各种服务器，建立相应安全的管理。 4. 信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是面临的重要课题。解决方案总体设计以安全可靠性、开放性、实用性、先进性、良好的可扩展性、可管理性和高性能为原则，以及考虑技术的先进性、成熟性，并采用模块化的设计方法。分别有人事、研发、销售、生产、财务部等部门，网络设计应具有可扩展性，搭建的网络平台应能满足今后企业业务的扩展需要。3.1.1 拓扑图珠海公司网络拓扑全图如图3.1.1-1：图3.1.1-1 珠海有限公司网络拓扑全图3.1.2 设备型号由于网络技术的不断更新，为了加强珠海公司的安全性，珠海公司特此重新购买各种服务器等一些安全产品，如表3.1.2-1所示表3.1.2-1 珠海亿慧科技有限公司网络设备型号序号设备型号描述数量备注1IBM System x3650 M3（7947R26)服务器结构：2U，内存容量：8GB，存储控制：ServerRAID M5015阵列卡，PCI扩展槽：4个 PCI-Express 二代插槽1打印服务器2IBM System X3650 M2 (7947I05)服务器结构：2U，最大CPU个数：2个，内存容量：4GB，存储：146GB，电源：675W，I/O接口：4USB接口 2RJ-45网络接口 2D-SUB接口 1串行接口1WEB服务器3IBM System x3650 M3（7945IEI）服务器结构：2U，CPU个数：2个，内存容量：16GB，存储：8146GB SAS，电源：675W1域控制器4IBM System x3650 M2(794792C)服务器结构：2U，CPU个数：2个，内存容量：4GB，存储：BR10i，电源：675W1FTP服务器5CISCO WS-C2950G-48-EI快速以太网交换机，48个10/100/1000Mbps端口，交换方式：存储-转发。背板带宽（Gbps）：13.6。模块化插槽数：2。接口类型：10/100Base-T/TX，1000BaseX。 包转发率（Mpps）：10.116CISCO WS-C3560G-24TS-SCisco C3560系列三层千兆以太网交换机，24个10/100/1000Mbps端口，交换方式：存储-转发。背板带宽（Gbps）：32。接口类型：10/100/1000BASE-T/ 1000FX/SX。模块化插槽数：217CISCO 12406/120路由器类型：高端企业级路由器，支持VPN、Qos功能，13.2 服务器部分服务器是网络上一种为客户端计算机提供各种服务的高可用性计算机，它在网络操作系统的控制下，将与其相连的硬盘、磁带、打印机及各种专用通讯设备提供给网络上的客户站点共享，也能为网络用户提供集中计算、信息发表及数据管理等服务。服务器安全关系到整个企业内部网络的安全性，下文将对打印服务器、WEB服务器、域控制器、FTP服务器的网络安全项目实施方案进行介绍。3.2.1 打印服务器打印服务器是网络环境中最经常试用的服务之一，利用windows server 2003提供的打印服务功能可以对打印机进行全面有效的管理。在配置打印服务之前，需要分析企业的打印服务的需求，以此来配置打印服务器。下面阐述打印服务器对企业的重要性和安全设置：1) 因为社会科技的不断发展，效率对公司来说已经非常重要，打印服务器在现在的办公室里的应用越来越广泛。通过它可让大家轻松共用一台打印机。可以有效的节省开支，并能提高工作效率。所以说打印服务器已经成为各个企业必备的设备。2) 为了保证公司打印服务器能长期而有效的运行，所以打印服务器的一些安全设置是必不可少的。比如：日志管理，详细的日志信息记录，可以更好的对打印机进行控制和管理；打印服务器权限可控制用户在特定的打印服务器上的访问级别。打印机权限将控制用户可在由打印服务器管理的新添加的打印机上执行的打印任务等一些安全设置。3.2.2 WEB服务器在传统的营销环境中，生产厂家、企业通过大笔的广告预算控制大众媒体，以达到吸引大众知的注意力，从而达到营销与广告的目的。而在网络商业环境中，受众对信息的选择、接收，处理等活动具有积极主动的特性，他们将较强地控制信息的获取与分发。并且Internet的公平原则使竞争的企业在用户面前一览无余，无处遁形。 WEB的功能：Internet所具有的交互、快捷、全球性、媒体特性等优势，对于提高企业知名度、树立企业品牌形象。更好地为用户服务等方面提供了有利的条件，这些网络本身固有的特性对于每一个企业都是公平的。因此，企业应该根据自身的产品与服务特点利用网络创建自己的网络品牌。WEB服务器的作用：1) 网站可以提升、拓展、纵深的形象、价值及外延。 2) 网站能够提供互动、亲切的“客户关系管理”，不管是普通来访者、消费者，还是生产经营活动价值链上的各个环节。3) 网站是实现线上推广营销的根据地。一方面，在离线领域可以配合广告、公关、促销等开展系列营销活动；另一方面，网站本身就是一个互动沟通平台，二者活动的反馈沟通均可在网站实现。并且，这些活动都应以核心价值为基准点，因此可以确保活动的持久性与连贯性。 通过有效的网络营销活动，可以使企业网站实现上述期望，能够较传统途径和方法更为快捷的实现深化传播目的。WEB服务器的安全方案：为了防止公司WEB服务器数据的丢失，为珠海亿慧科技有限公司做出一下安全方案设计：安装补丁，使用最新的 Service Pack 和修补程序更新服务器；更改IIS日志的路径；强化账号密码等3.2.3 域控制器域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问windows共享出来的资源，这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。域控制器的作用：对于运行Microsoft Active Directory目录服务的Microsoft Windows Server 2003计算机，域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。当域控制器必须安置在不太安全的地方时，例如分支办公室，应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。域控制器安全方案：域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。3.2.4 FTP服务器FTP服务器，则是在互联网上提供存储空间的计算机，它们依照FTP协议提供服务。 FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器。FTP服务器功能：FTP的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。FTP服务器安全性：FTP是一种文件传输协议，在企业中广泛运用，功能的不断加强，很多人为了得到敌对企业的一些重要数据，FTP服务器成了别人的攻击对象，为了保护FTP服务器的安全性，大多数匿名FTP主机都允许用户从其下载文件，而不允许用户向其上载文件，也就是说，用户可将匿名FTP主机上的所有文件全部拷贝到自己的机器上，但不能将自己机器上的任何一个文件拷贝至匿名FTP主机上。第四章珠海亿慧科技有限公司网络安全项目实施珠海亿慧科技有限公司有200个节点，光纤接入，服务器内部文件共享和打印，域控制器OU；为了确保企业局域网整体的稳定可靠，网络结构采用了冗余配置，出于公司安全考虑，财务的主机除经理以外不能被其他主机访问，但是其他主机可以互访。4.1打印服务器配置与安全方案实施4.1.1 打印服务器配置连接本地打印机，并将打印机共享出来的计算机系统。打印服务器配置步骤如下所示：图4.1.1-1如图4.1.1-1，开始设置打印机双击“添加打印机”，打开向导，根据提示依次安装。图4.1.1-2 图4.1.1-31) 查看打印队列中的文档2) 调整打印文档的顺序3) 暂停和继续打印一个文档4) 暂停和重新启动打印机的打印作业5) 删除打印文件图4.1.1-43个标准权限：“打印”、“管理打印机”、“管理文档”。 6个特殊权限：“打印”、“读取权限”、“更改权限”、“获得所有权”、“管理文档” “管理打印机”。图4.1.1-5如图4.1.1-5所示，为了保证公司打印服务器的安全，需做到一下几步：1) 指派打印机权限2) 审核打印机的使用 3) 取得打印机的所有权打印服务器设置成功后，即可在客户端安装共享打印机。共享打印机的安装与本地打印机的安装过程非常相似，都需要借助“添加打印机向导”来完成。在安装网络打印机时，在客户端不需要为要安装的打印机提供驱动程序。 首先要连接的打印设备要设为“共享”，然后网络上的其它计算机连接到打印服务器上的共享打印机，才能使用打印机输出打印作业。4.1.2创建打印服务器安全策略 1) 在新引用计算机上创建 Windows Server 2003 SP1 的新安装。2) 通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。3) 将计算机加入到域，这将应用来自父 OU 的所有安全设置。4) 仅安装和配置共享此角色的每个服务器所必需的应用程序。例如，特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。5) 启动 SCW GUI，选择“创建新的策略”，然后将其指向引用计算机。6) 确保检测到的打印服务器角色适合于环境。7) 确保检测到的客户端功能和检测到的管理选项适合于环境。8) 确保您的基准所需要的任何附加服务（例如备份代理或防病毒软件）已被检测到。9) 确定如何处理的环境中的未指定服务。为了获得附加的安全，可能需要将此策略设置配置为“禁用”。应该对此配置进行测试，然后再将其部署到生产网络中，因为若生产服务器所运行的附加服务未复制到引用服务器上，部署此配置就会造成问题。10) 确保在“网络安全”部分中取消选中“跳过这一部分”，然后单击“下一步”。前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。11) 在“注册表设置”部分中，单击“跳过这一部分”复选框，然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。12) 在“审核策略”部分中，单击“跳过这一部分”复选框，然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。13) 包括相应的安全模板，并且以适当的名称保存策略。4.2 WEB服务器配置与安全方案实施4.2.1 WEB服务器配置IIS（Internet信息服务器）是 Internet Information Server 的缩写，是微软提供的Internet服务器软件，包括WEB、FTP、SMTP等服务器组件。一般在安装操作系统时不默认安装IIS，所以在第一次配置Web服务器时需要安装IIS，而且只能在装有Windows 2000/2003 Server版中的系统中运行。在配置WEB服务器和FTP服务器之前请装好IIS（Internet信息服务器），其配置步骤如下：打开“控制面板”，打开“添加/删除程序”，弹出“添加/删除程序”窗口。单击窗口中的“添加/删除Windows组件”图标，弹出“Windows组件向导”对话框。如图4.2.1-1所示图4.2.1-1选中“向导”中的“应用程序服务器”复选框。单击“详细信息”按钮，弹出“应用程序服务器”对话框。选择需要的组件，其中“Internet信息服务(IIS)”和“应用程序服务器控制台”是必须选中的。选中“Internet信息服务(IIS)”后，再单击“详细信息”按钮，弹出“Internet信息服务(IIS)”对话框。选中“Internet信息服务管理器”和“万维网服务”。并且选中“万维网服务”后，再单击“详细信息”按钮，弹出“万维网服务”对话框，如图4.2.1-2。图4.2.1-2其中的“万维网服务”必须选中。如果想要服务器支持ASP，还应该选中“Active Server Pages”。逐个单击“确定”按钮，关闭各对话框，直到返回图4.2.1-1的“Windows组件向导”对话框。单击“下一步”按钮，系统开始IIS的安装，这期间可能要求插入Windows Server 2003安装盘，系统会自动进行安装工作。安装完成后，弹出提示安装成功的对话框，单击“确定”按钮就完成了IIS的安装。打开“Internet 信息服务管理器”，在目录树的“网站”上单击右键，在右键菜单中选择“新建网站”，弹出“网站创建向导”：图4.2.1-3网站描述就是网站的名字，它会显示在IIS窗口的目录树中，方便管理员识别各个站点。起名为“珠海亿慧科技有限公司的网站”，如图4.2.1-3所示。网站IP地址：如果选择“全部未分配”，则服务器会将本机所有IP地址绑定在该网站上，这个选项适合于服务器中只有这一个网站的情况。也可以从下拉式列表框中选择一个IP地址（下拉式列表框中列出的是本机已配置的IP地址，如果没有，应该先为本机配置IP地址，再选择。）TCP端口：一般使用默认的端口号80，如果改为其它值，则用户在访问该站点时必须在地址中加入端口号。主机头：如果该站点已经有域名，可以在主机头中输入域名。主目录路径是网站根目录的位置，可以用“浏览”按钮选择一个文件夹作为网站的主目录。图4.2.1-4网站访问权限是限定用户访问网站时的权限，“读取”是必需的，“运行脚本”可以让站点支持ASP，其它权限可根据需要设置，如图4.2.1-4所示。单击“下一步”，弹出“完成向导”对话框，就完成了新网站的创建过程，在IIS中可以看到新建的网站。把做好的网页和相关文件复制到主目录中，通常就可以访问这个网站了。图4.2.1-5访问网站的方法是：如果在本机上访问，可以在浏览器的地址栏中输入“http:/localhost/”；如果在网络中其它计算机上访问，可以在浏览器的地址栏中输入“http:/网站IP地址”。4.2.2 WEB服务器的安全设置WEB服务器是企业网Intranet网站的核心，其中的数据资料非常重要，一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好WEB服务器中的资源，是一项至关重要的工作。WEB安全服务器主要存在的漏洞包括：1) 物理路径泄露2) CGI源代码泄露3) 目录遍历4) 执行任意命令5) 缓冲区溢出6) 拒绝服务。不使用默认的WEB站点，将IIS目录与系统磁盘分开。将网站内容移动到非系统驱动器，不使用默认的 Inetpub Wwwroot 目录，以减轻目录遍历攻击（这种攻击试图浏览 WEB 服务器的目录结构）带来的危险（一定要验证所有的虚拟目录是否均指向目标驱动器）。 删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。为WEB 服务器配置站点、目录和文件的访问权限。 删除系统盘下的虚拟目录：vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 删除不必要的IIS扩展名映射。右键单击“默认WEB站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射，主要为shtml、shtm、stm。 更改IIS日志的路径。右键单击“默认WEB站点属性网站在启用日志记录下点击属性更改设置。 只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。开始控制面板 添加或删除程序添加/删除 Windows 组件应用程序服务器详细信息 Internet 信息服务 (IIS) 详细信息然后通过选择或清除相应组件或服务的复选框，来选择或取消相应的 IIS 组件和服务。 IIS 子组件和服务的推荐设置：禁用：后台智能传输服务 (BITS) 服务器扩展、FTP 服务、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服务。启用：公用文件、Internet 信息服务管理器、万维网服务。 删除未使用的帐户，设置强密码，使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限制对服务器的匿名连接，确保禁用来宾帐户；重命名管理员帐户并分配一个强密码以增强安全性。重命名 IUSR 帐户。 在 IIS 元数据库中更改 IUSR 帐户的值： “管理工具”“Internet 信息服务 (IIS) 管理器” 右键单击“本地计算机”“属性”选中“允许直接编辑配置数据库”复选框“确定” 浏览至 MetaBase.xml 文件的位置，默认情况下为 C:“Windows“system32“inetsrv 右键单击 MetaBase.xml 文件“编辑” 搜索“AnonymousUserName”属性，键入 IUSR 帐户的新名称在“文件”菜单上单击“退出”单击“是”。 使用应用程序池来隔离应用程序，提高 WEB 服务器的可靠性和安全性。4.3 FTP服务器配置与安全方案实施4.3.1 FTP服务器配置从“控制面板管理工具Internet 信息服务管理器”打开Internet信息服务管理器窗口，在“Ftp站点”上单击右键，在右键菜单中选择“新建Ftp站点”，弹出“Ftp站点创建向导”：图4.3.1-1站点描述就是Ftp站点的名字，它会显示在IIS窗口的目录树中，方便管理员识别各个站点。起名为“珠海亿慧科技有限公司的站点”，如图4.3.1-1所示。站点IP地址：如果选择“全部未分配”，则服务器会将本机所有IP地址绑定在该站点上，这个选项适合于服务器中只有这一个FTP站点的情况。也可以从下拉式列表框中选择一个IP地址（下拉式列表框中列出的是本机已配置的IP地址，如果没有，应该先为本机配置IP地址，再选择。）TCP端口：一般使用默认的端口号21，如果改为其它值，则用户在访问该站点时必须在地址中加入端口号。Ftp用户隔离是为了提高站点的安全性，如果设置了隔离，则用户只能访问他自己的主目录，而不能访问其他用户的主目录。设置本Ftp站点的主目录位置。应该用“浏览”按钮进行设置。图4.3.1-2设置Ftp站点的访问权限。默认是“读取”，添加“写入”权限，如图4.3.1-2。单击“下一步”，弹出“完成向导”对话框，就完成了Ftp站点的创建过程，在IIS中可以看到新建的站点。4.3.2 FTP服务器的安全管理设置1) 取消匿名访问功能默认情况下服务器托管，Windows2000系统的FTP服务器是允许匿名访问的，虽然匿名访问为用户上传、下载文件提供方便，但却存在极大的安全隐患。用户不需要申请合法的账号，就能访问FTP服务器，甚至还可以上传、下载文件，特别对于一些存储重要资料的FTP服务器，服务器托管很容易出现泄密的情况，因此建议用户取消匿名访问功能。在Windows2003系统中，点击“开始程序管理工具Internet服务管理器”，弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项，就能看到IIS5.0自带的FTP服务器，取消匿名访问功能。右键点击“默认FTP站点”项，在右键菜单中选择“属性”，服务器托管接着弹出默认FTP站点属性对话框，切换到“安全账号”标签页，取消“允许匿名连接”前的勾选，最后点击“确定”按钮，这样用户就不能使用匿名账号访问FTP服务器了，必须拥有合法账号。如图4.3.2-1所示图4.3.2-12) 启用日志记录Windows日志记录着系统运行的一切信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。在默认FTP站点属性对话框中，切换到“FTP站点”标签页，一定要确保“启用日志记录”选项被选中，这样就可以在“事件查看器”中查看FTP日志记录了，如图4.3.2-2所示设置。图4.3.2-23) TCP/IP访问限制为了保证公司FTP服务器的安全，还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中，切换到“目录安全性”标签页，选中“授权访问”单选项，然后在“以下所列除外”框中点击“添加”按钮，弹出“拒绝以下访问”对话框，这里可以拒绝单个IP地址或一组IP地址访问，服务器托管以单个IP地址为例，选中“单机”选项，然后在“IP地址”栏中输入该机器的IP地址，最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。如图4.3.2-3所示图4.3.2-34) 合理设置组策略通过对组策略项目的修改，也可以增强公司FTP服务器的安全性。在Windows2003系统中，进入到“控制面板管理工具”，运行本地安全策略工具。1、审核账户登录事件在本地安全设置窗口中，服务器托管依次展开“安全设置本地策略审核策略”，然后在右侧的框体中找到“审核账户登录事件”项目，双击打开该项目，在设置对话框中选中“成功”和“失败”这两项，最后点击“确定”按钮。该策略生效后，FTP用户的每次登录都会被记录到日志中。如图4.3.2-4图4.3.2-42、增强账号密码的复杂性一些FTP账号的密码设置的过于简单，就有可能被“不法之徒”所破解。为了提高公司FTP服务器的安全性，必须强制用户设置复杂的账号密码。在本地安全设置窗口中，服务器托管依次展开“安全设置账户策略密码策略”，在右侧框体中找到“密码必须符合复杂性要求”项，双击打开后，选中“已启用”单选项，最后点击“确定”按钮。如图4.3.2-5，图4.3.2-5然后，打开“密码长度最小值”项，为FTP账号密码设置最短字符限制。这样以来，密码的安全性就大大增强了。3、账号登录限制有些非法用户使用黑客工具，反复登录FTP服务器，来猜测账号密码。这是非常危险的，因此建议大家对账号登录次数进行限制。依次展开“安全设置账户策略账户锁定策略”，服务器托管在右侧框体中找到“账户锁定阈值”项，双击打开后，设置账号登录的最大次数，为3次如果超过此数值，账号会被自动锁定，如图4.3.2-6设置。接着打开“账户锁定时间”项，设置FTP账号被锁定的时间，账号一旦被锁定，超过30分钟，才能重新使用，如图4.3.2-7所示。 图4.3.2-6 图4.3.2-7通过服务器托管以上几步设置后，珠海亿慧科技有限公司的FTP服务器将会更加安全，再也不用怕被非法入侵了。4.4域控制器配置与安全方案实施4.4.1 域控制器配置开始运行 cod，输入 chromo 命令，运行，出现【Active Directory安装向导】对话框，再点击下一步，出现域控制类型对话框，选择“新域的控制器”，进行下一步。选中【在新林中的域】，下一步。进入到如图4.4.1-1对话框，指定新域的 DNS 名称，一般应为公用的 DNS 域名，也可是内部网使用的专用域名，所以创建域名为：。图4.4.1-1在新域的 NetBIOS 名称中，指定新域的 NetBIOS 名称。这是为了兼容以前版本 Windows 用户。该名默认为 DNS 名称最左侧的名称，也可指定不同的名称，下一步，指定这两种文件的文件夹位置，保留默认值即可，下一步；指定存储域公用文件的文件夹，保持默认即可，下一步；选择用户和组对象的默认权限，这里保留默认值即可，下一步图4.4.1-2设置密码用于还原 AD 数据。当 AD 数据损坏时，可在域控制器上开机按【F8】键进入目录服务还原模式，重建 AD 数据库，此时需要输入这里指定的密码，如图6.3，下一步；出现摘要界面，供管理员确认选顶。如要更改，可上一步，我们单击下一步；系统开始配置 Active Directory，一般要等待一段时间，完成配置后应当重新启动该服务器。4.4.2 域控制器创建OU单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”，弹出如图4.4.2-1所示。 图4.4.2-1单击“”旁边的“+”号将其展开。单击“”本身，显示其在右窗格中的内容。在左窗格中，右键单击“”，指向“新建”，然后单击“组织单位”。图4.4.2-2如图4.4.2-2，在名称框中键入“人事部”，然后单击“确定”。 重复步骤创建“研发部”“ 销售部”“ 生产部”“ 财务部”OU，创建OU后，并在财务部下建立“经理办公室”和“财务部”，如图4.4.2-3图4.4.2-3整个公司每个部门创建一个OU，并把“经理办公室”和“财务部”创建在一个OU中，这样便于“经理办公室”随时访问“财务部”。第五章 珠海亿慧科技有限公司网络安全方案测试5.1 安全管理机构的建设原则单位安全网内网系统安全具有高度的敏感性和特殊性，通过设立专门的主管机关强制性执行上述国家相关法规来进行管理。信息安全管理机构的职能建设遵照从上至下的垂直管理原则，即：上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则，下一级机关信息系统的安全管理机构接受并执行上一级机