网络基本架构的实现和管理windows server 2003 网络基本架构的实现和管理12

网络基本架构的实现和管理Windows Server 2003 网络基本架构的实现和管理,第1章 了解 TCP/IP 协议组第2章 在多子网网络中分 配 IP 地址第3章 使用路由和远程访 问配置路由第4章 配置客户端 IP 地址第5章 使用 DHCP 分配 IP 地址第6章 管理和监视 DHCP第7章 解析名称,第8章 使用 DNS 解析主机名第9章 管理和监视域名系统第10章 安装和配置 Windows Internet 名称服务第11章 找出一般连接性问题第12章 使用 IPSec 和证书保 护网络通信第13章 配置网络访问第14章 管理并监视网络访问,第12章 使用 IPSec 和证书保护网络通信,实现 IPSec用证书实现 IPSec监视 IPSec,IPSecIPSec 保护通信的方法IPSec 安全策略IPSec 策略协同工作原理平衡安全性和性能的指导方针在计算机上指派 IPSec 策略或取消其指派的方法课堂练习 实现 IPSec,实现 IPSec,12.1 实现 IPSec,网络攻击的常见类型,窃听 数据修改 标识伪造（IP 地址伪造） 基于密码的攻击 “拒绝服务”攻击 中间人攻击泄露密钥攻击 探测器攻击 应用程序层攻击,12.1.1 IPSec,预防攻击,IPSec（ Internet Protocol security，Internet 协议安全性） 可以大大减少或者防止下列攻击：探测器（缺少保密性） 数据修改 欺骗基于密码的以及应用程序层的攻击 中间人攻击“拒绝服务”攻击,12.1.1 IPSec,多媒体 IPsec 在网络基础架构中的作用,该演示描述了如何通过使用 IPSec 来确保 IP 网络中专用通信的安全性完成多媒体后，可以：解释 IPSec描述 IPSec 的工作原理描述 IPSec 策略的工作原理,IPSec,IPSec 的作用：,IPSec 是工业标准，在 IP 数据包层检验、验证身份和加密数据。IPSec 提供数据在网络传输时的安全性,在通信前和通信时进行双重验证IP 通信量编码的机密性通过丢弃修改的通信量保证 IP 通信量的完整性阻止重播攻击,12.1.1 IPSec,IPSec 保护通信的方法,3,12.1.2 IPSec 保护通信的方法,IPSec 驱动程序,网络,IPSec 筛选器列表,检查是否匹配,12.1.3 IPSec 安全策略,IPSec 安全策略,IPSec 通过规则和策略实现网络通信量的安全性规则的组成：筛选器筛选器操作验证方法,12.1.3 IPSec 安全策略,筛选器,IPSec 安全策略,12.1.3 IPSec 安全策略,IPSec 安全策略,筛选器操作：允许通信（允许） 阻止通信（阻止） 协商 IPSec（协商安全）,12.1.3 IPSec 安全策略,IPSec 安全策略,筛选器操作,12.1.3 IPSec 安全策略,IPSec 安全策略,身份验证方法：Kerberos V5 协议：适用于由 Windows 2000 或者 Windows Server2003 域或者受信任的 Active Directory 域进行身份验证的计算机 证书：需要证书授权中心预共享密钥：预共享的密钥以明文方式存储，因此安全性较差,12.1.3 IPSec 安全策略,IPSec 安全策略,验证方法,12.1.3 IPSec 安全策略,IPSec 在计算机间的安全通信配置,使用 IPSec 的传输模式 在系统间推荐使用 IPSec 策略支持 Windows 2000、Windows XP 和 Windows Server 2003提供“端到端”的安全传输模式是默认的 IPSec 模式,计算机之间的通信安全,Windows XP,Windows Server 2003,12.1.3 IPSec 安全策略,IPSec 在网络间的安全通信配置,使用 IPSec 的隧道模式 在 Internet 通信中推荐使用 IPSec 策略支持主要的遗留程序支持“点到点”的安全在两个路由器上指派隧道终结点,基于 Windows 2003的服务器 / 路由器,基于 Windows 2003的服务器 / 路由器,网络间的安全通信,12.1.3 IPSec 安全策略,选择 IPSec 加密方案,选择身份验证加密方案：身份验证加密 SHAMD5数据包加密 56 位 DES40 位 DES3DES,12.1.3 IPSec 安全策略,IPSec 安全策略,默认策略包括：客户端（只响应）服务器（请求安全）安全服务器（需要安全）,12.1.3 IPSec 安全策略,IPSec 策略协同工作原理,12.1.4 IPSec 策略协同工作原理,平衡安全性和性能的指导方针,找到正确的平衡要求：,评估风险并为本组织确定正确的安全级别标识重要的信息决定在现有组织中实现策略的最佳方式确保管理和技术的要求到位根据用户的需要，为所有用户提供对适当资源的安全而有效的访问,12.1.5 平衡安全性和性能的指导方针,推荐的 IPSec 方案,数据包筛选 保护特定的主机对主机的通信安全 保护客户端到服务器的通信安全 VPN 连接中使用 L2TP/IPSec 隧道以隧道模式为网关到网关的隧道使用 IPSec,12.1.6 在计算机上指派 IPSec 策略或取消其指派的方法,不推荐的 IPSec 方案,保护域成员和域控制器之间的通信安全因为 IPSec 策略配置和管理的复杂性保护网络中所有通信的安全因为 IPSec 无法实现多播和广播通信的安全,12.1.6 在计算机上指派 IPSec 策略或取消其指派的方法,在计算机上指派 IPSec 策略或取消其指派的方法,演示：,添加 IP 安全管理控制台，指派或者不指派 IPSec 本地策略指派或者不指派基于 Active Directory 组策略的 IPSec 策略,12.1.6 在计算机上指派 IPSec 策略或取消其指派的方法,课堂练习 实现 IPSec,目的：指派 IPSec 策略,12.1.7 课堂练习 实现 IPSec,第12章 使用 IPSec 和证书保护网络通信,实现 IPSec用证书实现 IPSec监视 IPSec,用证书实现 IPSec,证书证书的常见用法在 IPSec 中使用证书来保护网络通信的原因配置 IPSec 以使用证书的方法课堂练习 用证书实现 IPSec,12.2 用证书实现 IPSec,证书,X.509 证书，有时也称为数字证书，是一种电子凭据，它通常用于身份验证，也常用来保护在 Internet、外部网和内部网等开放性网络中进行的信息交换,证书：,将公钥的值绑定到持有对应私钥的实体通过证书颁发机构颁发的数字签名确认给出证书的个人、计算机或者服务的身份包括关于颁发者和主题的详细信息,12.2.1 证书,证书的常见用法,12.2.2 证书的常见用法,在 IPSec 中使用证书来保护网络通信的原因,配置 IPSec 使用证书：,允许企业之间通过信任相同的 CA 机构进行通信通过 Kerberos 协议和预共享密钥实现更高级别的安全性允许不支持 Active Directory 结构或者不支持 Kerberos 协议的客户端实现安全性,IP 安全,12.2.3 在 IPSec 中使用证书来保护网络通信的原因,多媒体演示 证书注册,演示的目的：高度概述证书注册完成多媒体后，能够：解释证书注册描述证书注册的工作原理,配置 IPSec 以使用证书的方法,演示：配置 IPSec 使用证书,12.2.4 配置 IPSec 以使用证书的方法,课堂练习 用证书实现 IPSec,目的：用证书实现 IPSec,12.2.5 课堂练习 用证书实现 IPSec,第12章 使用 IPSec 和证书保护网络通信,实现 IPSec用证书实现 IPSec监视 IPSec,监视 IPSec,IP 安全监视器 监视 IPSec 策略的指导方针停止和启动 IPSec 服务的方法查看 IPSec 策略的详细信息的方法课堂练习 监视 IPSec,12.3 监视 IPSec,IP 安全监视器,通过 IP 安全监视器查看 IPSec 策略的详细信息：,活动 IPSec 策略的详细信息名称描述上次修改的日期存储路径组织单元和组策略名称主模式统计信息Internet 密钥交换 快速模式统计信息关于 IPSec 驱动程序的信息,12.3.1 IP 安全监视器,监视 IPSec 策略的指导方针,帮助找出通信问题的方法：,停止计算机里的 IPSec 策略代理，然后使用 Ping 命令验证计算机之间的通信重新启动 IPSec 策略代理服务并使用 IPSec 监视器来确认计算机间已建立了安全关联。确保 IPSec 有效 通过 IP 安全策略管理器验证策略已指派给计算机通过 IP 安全策略管理器回顾策略，并且确保它们之间是兼容的重启 IP 安全监视器确保所有更新已应用,12.3.2 监视 IPSec 策略的指导方针,停止和启动 IPSec 服务的方法,演示：,通过 Windows 界面停止和启动 IPSec 服务通过命令提示符停止和启动 IPSec 服务,12.3.3 停止和启动 IPSec 服务的方法,查看 IPSec 策略的详细信息的方法,演示：,通过 IPSe