内网安全课件

1、网络安全技术与实践（课件）人民邮电出版社2012 年 蒋亚军 编著课程介绍课程的定位课程内容如何学习本门课程教学要求辅助教学材料2第 一篇 网络安全分析第一篇 网络安全分析项目一 认识网络安全问题项目 二 网络安全检测第二篇 网络边界安全项目一 防火墙项目二 入侵防护系统项目三 统一安全网关项目四安全隔离网闸第 一篇 网络安全分析（续）第三篇 内网安全项目一 操作系统安全项目二 内网应用服务安全项目三 内网安全管理第四篇 网络安全设计项目一 政务网安全设计项目二 企业网安全设计项目三 校园网安全设计4第三篇 网络安全分析项目一 操作系统安全项目二 内网应用服务安全项目三 内网安全管理5项目一

2、操作系统安全【实施目标】 知识目标：熟悉操作系统账户安全管理技术掌握文件系统的格式及安全管理技术熟悉操作系统日志的作用及监控审核的方法了解注册表的结构及安全问题了解数据备份和恢复作用6项目一 操作系统安全技能目标：会根据需求管理账户和设置账户安全策略能合理的分配不同用户的权限会根据需求对文件系统进行安全设置能熟练设置不同文件访问控制表能查看和分析系统日志能对注册表进行安全管理能备份常用的数据并在必要时进行恢复7项目一 操作系统安全【项目背景】 某企业拥有几十名员工，共同使用机房内几十台装有Windows和Linux系统的计算机。由于内部网络没有进行严格的安全管理，导致用户的账号信息、文件信息泄

3、漏或丢失的事件时有发生。由于没做好日志管理，事后无法追究责任。系统也经常受到网络攻击，查看系统发现打开了大量的不明服务和链接，严重影响了计算机网络应用的安全。公司拟投入一定的资金对内网实行严格的安全管，改善内网的安全性能。 8项目一 操作系统安全【需求分析】 要解决以上网络安全问题，首先要明确公司对计算机系统的使用需求，然后分析问题产生的原因。公司提供的计算机主要为了员工办公的方便，平时不需要提供其他特殊的网络服务。问题产生的原因主要是公司的计算机没有采用合理的系统安全策略，包括账户安全管理，系统文件的访问控制和日志审计。另外，系统管理员也没有做好数据的备份，导致重要数据丢失后无法恢复 。9项

4、目一 操作系统安全【预备知识】 知识1 操作系统用户账户安全管理 知识2 操作系统文件系统安全 知识3 操作系统日志审计与检测 知识4 Winodws注册表安全 知识5 数据的备份与恢复 10知识1 操作系统用户账户安全管理一、Winodws用户账户安全管理1.域和工作组工作组（Work Group）指的是将网络上相互独立的计算机按功能分别列入不同的组中以方便管理。 Windows系统利用域控制器（Domain Controller，DC）来对域进行控制，即域的目录数据库是位于该域控制器内。域控制器是由一个主域控制器（EN）和一个或多个备份域控制器（EN）构成。 112.用户账号任何用户如果要

5、访问Windows的系统控制的资源，则必须由系统管理员建立一个账号。Windows系统中，账号有两种类型，一种是本地用户账号，另一种是域用户账号。 Administrator账户 Guest账户 Help Assistant 账户 3.用户组用户组指的是用户和计算机账户、联系人以及其他可作为单个单元管理的组的集合（引用）。 知识1 操作系统用户账户安全管理12知识1 操作系统用户账户安全管理4.域用户组域用户组是用于指派一组用户权利，授权组中的成员执行域中的特定操作。例如，备份操作员（Backup Operators） 组的成员有权对域中的所有域控制器执行备份操作。5.账号策略及密码安全密码不

6、能和账号相同。不要使用自己的姓名。不要使用生日或有特定意义的日期。不要使用英文词组。密码不要设置过于简单,一般复杂的密码除了遵守-的原则外，还包含以下几点：第一、密码中必须含有大小写字母；第二、密码中必须含有数字；第三、密码中必须含有特殊字符；第四、密码的长度不能小于7位 知识1 操作系统用户账户安全管理6.活动目录(Active Directory)目录是存储有关网络上对象信息的层次结构。活动目录（如 Active Directory）提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。7.用户权限在Windows用户管理中，保护计算机所存储的数据之一就是为不同的用户账户制定不同

7、的访问权限。Windows系统提供了30多种策略，我们可以针对用户所要完成的工作分配最小的权限给他来保证系统的安全。 知识1 操作系统用户账户安全管理二、Linux用户账户安全管理1.账户实质Linux操作系统是一个多用户的操作系统，利用这一特性多个用户可以同时登录到系统上使用资源。系统则会根据每个账户的性质来给不同用户不同的工作环境，例如用户的工作目录、可使用的空间、Shell的版本及系统的环境配置等。 2.用户和组Linux系统里账户主要包括两类，用户账户和组账户。而用户账户又分为普通用户账户和超级用户账户。普通用户账户主要是在系统上进行普通的操作如使用相应的本地文件资源、访问互联网等。3

8、.账户的系统文件在Linux中系统维护了多个日志文件来跟踪和记录系统所发生的事情，这些日志文件记录了包括哪个用户登录了、哪个用户退出、登录了多少次，以及这些用户在系统中作了什么事情，比如通过网络发送了什么文件，发送了多少EMAIL等信息。 存储Linux账户的文件主要有以下四个/etc/passwd、/etc/shadow、/etc/group和 /etc/gshadow。知识1 操作系统用户账户安全管理 /etc/passwd文件 /etc/shadow文件知识1 操作系统用户账户安全管理 /etc/group文件/etc/gshadow文件知识1 操作系统用户账户安全管理4.缺省的账号知识

9、1 操作系统用户账户安全管理5.共享账号Linux系统中的每个用户应该有自己的账号。如果允许用户共享账号，则对系统的操作的责任及其安全就被破坏，如果一定要一个共享账号的话，可以设置一个guest账号并且要求该账号每天改变口令。 知识2. 操作系统文件系统安全一、Winodws文件系统安全 1.文件系统格式FAT(File Allocation Table)是“文件分配表”的意思。它的作用主要是在于对硬盘分区的管理。FAT16格式主要用在DOS、Windows 95两个较早的操作系统上，它采用16位文件分配表，可支持2GB的分区，但每个分区最多只能有65525个簇（磁盘空间的单位）。为了解决空间

10、浪费的问题，Windows推出了FAT32格式，作为FAT16的增强版本。由于采用了32位的文件分配表，最大可以支持到2TB，即可以直接将一个大硬盘定义成一个分区，所以方便了磁盘的管理。 NTFS格式是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。 2. NTFS权限为了保护NTFS文件系统上的资源，就必需给系统上的用户分配相应的NTFS权限，即用户要想访问某文件或文件夹，该用户就需要被授予该文件或文件夹的NTFS权限。 知识2. 操作系统文件系统安全一、Winodws文件系统安全 3. NTFS数据压缩在NTFS文件系统中，为了节省硬盘空间，我们可以利用NTFS提供了数据压

11、缩的功能，将不常使用的数据进行压缩 4. NTFS数据加密NTFS提供基于公钥策略的加密文件系统（Encrypting File System, EFS），我们可以用这一特性可以对NTFS分区中的数据进行加密从而保证数据的安全性。EFS对用户数据的加密是完全透明的，它利用了公共密钥加密技术，使用CryptoAPI架构 5.NTFS磁盘配额在NTFS系统中，我们可以利用NTFS提供磁盘配额特性来控制用户在服务器中的磁盘用量。利用磁盘配额管理，管理员可以合理方便的为每个用户分配所需要的空间。磁盘配额是根据用户的所有文件所占用的磁盘空间来计算的，和文件本身的位置没有关系。 知识2. 操作系统文件系统

12、安全二、Linux文件系统安全1.文件系统的类型ext2 文件系统: ext文件系统是第一个专门为Linux设计的文件系统类型。ext3 文件系统：是由ext2文件系统发展而来，作为ext2的升级版本，它兼容ext2。且在此基础上，增加了文件系统的日志记录功能。 reiserfs 文件系统: reiserfs 文件系统是一款极其的文件系统，支持大文件，反删除等很多实用的功能。数据恢复率极高，操作比较容易。swap文件系统：swap文件系统用于Linux的交换分区。Linux在安装过程中必须要创建交换分区，且类型都为swap。它主要用于提供虚拟内存，其设置的值一般式系统物理内存的2倍。交换分区由

13、操作系统自行管理。 2.文件的类型普通文件、目录文件 、链接文件、设备文件、管道文件 知识2. 操作系统文件系统安全二、Linux文件系统安全3.文件系统的结构知识2. 操作系统文件系统安全二、Linux文件系统安全4.文件权限可读：允许用户读指定文件或目录可写：允许用户修改指定文件或目录可执行：允许用户执行指定的文件或者搜索 知识3.操作系统日志审计与检测一、Windows系统日志审核与检测 1.系统的日志与事件应用程序（Application）日志该日志包含了由程序记录所引起的事件。比如，数据库程序可能在应用程序日志中记录文件错误。由软件开发人员来确定什么事样件要被写入到应用程序日志中。安

14、全（Security）日志安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。系统（System）日志系统日志包含 Windows 系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。此外,当系统配置成为域控制器时，系统还提供以下三种日志记录文件： 目录服务日志该日志包括任何有

15、关ActiveDirectory目录服务和ActiveDirectory数据库维护记录的事件。例如，记录域控制器与全局编录服务器间连接问题的事件文件复制服务日志该日志记录了用于文件（例如域策略）在域控制器间的复制所记录的事件。DNS服务器日志知识3.操作系统日志审计与检测一、Windows系统日志审核与检测 2.审核策略系统给我们提供了9类可以审核的事件，对于每个事件，我们都可以指明要审核的选项，包括以下三种：成功。当请求的操作成功执行时会生成一个审核项失败。当请求的操作失败时会生成一个审核项无审核。相关操作不会生成审核项。审核账户登录事件 审核账户管理 审核目录服务访问 审核登录事件 审核对

16、象访问 审核策略更改 审核特权使用 审核过程跟踪 审核系统事件3. 日志类型利用系统的日志提供的对事件及其相关数据记录的能力，我们可以设置当计数器值到达所给定阈值时，向用户发送相应通告，从而及时通知系统管理员在系统性能达到极点时采取必要的措施，有效降低了系统瘫痪的概率。而这些设置我们可以通过性能日志与警报来实现。在“性能日志和警报”中，我们可设置计数器日志、跟踪日志和警报。知识3.操作系统日志审计与检测二、Linux系统日志审计与监测1.日志类型系统安全的一个重要因素是所记录的重要系统事件。多数Linux系统能够运行三个不同的日志子系统：连接时间日志、进程统计日志和错误日志。连接时间日志由多个

17、程序执行，把记录写入到/var/og/wtmp和/var/run/utmp进程统计日志由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。 错误日志由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/og/messages报告值得注意的事件。 2.常用的日志分析命令在Linux系统中，经常用到的日志命令主要有last、lastb和lastlog。Last命令会扫描/var/log/lastlog文件并报告各种用户登录、注销、远程登录、系统关闭与启动等信息；而lastb主要提供尝试登录失败的信息；lastlog则

18、提供关于所有用户最后一次登录的信息，以及还有那些用户从未登录。此外，who、w、users也是一些查看当前用户信息的命令。 知识3.操作系统日志审计与检测二、Linux系统日志审计与监测3. Syslog日志 Linux系统中，利用syslog可以记录系统事件，并根据配置文件写到指定一个文件或设备中，或发送信息给用户。 知识4. Winodws注册表安全 1.注册表的结构 注册表中信息的存储是按照子树、子树的项、子项和值项的层次结构组织的。 知识4. Winodws注册表安全 2.注册表配置单元和文件在注册表中用配置单元来描述一组项、子项及其相应的值。每个配置单元的信息都存储在两个位置分别为“

19、C:WindowsSystem32Config”或C:Documents and Settings用户名。 知识4. Winodws注册表安全 3.注册表项中的值项 在注册表中，项或子项都包含了相应的值项数据。值项有三部分组成：名称、数据类型和数值。 知识4.数据的备份与恢复 1.备份具有的功能利用备份工具，首先，我们可以在硬盘上选择所需要存档的文件和文件夹进行备份，或者将备份好的文件和文件夹还原到硬盘上。第二，我们可以使用“自动系统故障恢复”保存或者还原从完全系统故障中恢复所需的所有系统文件和配置设置。第三，我们可以备份系统的状态，方便日后系统状态出错时可以还原。第四、在进行备份的时候，也可

20、以将备份的文件和时间记录到日志。第五、可以计划定期备份数据，以保证存档的数据是最新的备份。第六、对在计算机或计算机网络发生故障时所需的启动系统的系统分区文件进行备份。第七、可以备份远程的存储的数据或计算机附带设备（如光盘、移动硬盘）里面的数据。知识4.数据的备份与恢复 2.备份的类型第一、副本备份。即将所有要备份的文件复制起来，但并没有标明这些文件已经备份。第二、每日备份，即对当天所有修改过的文件进行备份。第三、差异备份，即只备份自上次正常或增量备份以来所创建或修改了的文件。3.卷影备份我们在备份的时候，往往某些文件或数据库等数据正在被使用，甚至正在被以独占的方式打开。这个时候可以创建和文本副

21、本完全相同的卷影备份，即所有打开的文件都将在卷影复制备份过程中备份4.备份和还原所需要的权限和用户权利在Windows系统中，文件和文件夹针对不同的用户都具有不同访问控制权限，因此如果要对某些文件或文件夹进行备份则必须具有特定权限和用户权利才能进行。 在Linux中，如果是管理员则可以利用ufsdump命令来对整个文件系统做完全或增量转储。如果是普通用户则可以利用tar等用户级的命令。 知识4.数据的备份与恢复 5 Windows系统状态数据备份备份数据不仅仅只是意味着复制数据，很多情况下我们需要备份系统当前的状态和参数数据。利用“备份”，可以通过备份和还原以下系统组件来对系统状态进行备份：注

22、册表、COM+ 类注册数据库、启动文件（包括系统文件）、证书服务数据库（如果计算机是证书服务器）、Active Directory 目录服务（如果计算机在域中）、SYSVOL 目录（如果计算机作为域控制器）、群集服务信息（如果计算机在集群中）、IIS Metadirectory（若安装了IIS）、在 Windows 文件保护下的系统文件。 项目一 操作系统安全【思考练习】计算机操作系统的安全性威胁有哪些?系统安全性的内涵是什么？操作系统安全性的功能有哪些？如何保障操作系统的用户账户安全？如何保障Windows文件及文件夹的权限安全？如何设置Linux的文件系统安全？如何查看Windows的监控

23、日志？如何设置Linux的系统监控日志？如何对系统重要的文件实现备份？Windows注册表的安全应该注意哪些问题？项目二 内网应用服务安全 【实施目标】 知识目标：熟悉 WEB服务器的安全配置与监控管理掌握FTP服务器的安全设置与安全监控掌握浏览器的安全内容熟悉远程登录服务器的安全配置了解EMAIL服务器的安全配置与监控了解内网端口安全问题项目二 内网应用服务安全 技能目标：会根据需求设置IIS服务器的安全能配置一个安全的FTP服务器能熟练设置浏览器的安全选项能配置安全的远程登录能基本配置一个安全EMAIL服务器能设置好内网端口安全项目二 内网应用服务安全 【项目背景】某企业因公司管理和业务需

24、要，在公司内部利用IIS部署了WEB和FTP服务器，满足公司内部的办公系统和普通文件共享服务。企业在一台Linux服务器上部署了APACHE服务，用于向该企业的用户提供公司的产品信息。公司人事部在Linux服务器上部还部署了VSFTPD服务，专用于人事部门文件共享。公司利用sendmail部署了EMAIL服务器，用于公司的EMAIL服务。由于公司的各个服务器存放的资料非常重要，希望各个服务器的安全性能得到保障。公司员工缺乏安全意识，在上班时上网，而且常不小心引入了病毒，内网存在病毒防护问题。另外，公司网管希望通过外网来管理内网的服务器，因此，两台Windows和Linux服务器需要开通远程服务

25、，希望设置远程安全登录服务。公司希望投入资金保障内网的上述安全。 项目二 内网应用服务安全【需求分析】根据对企业的背景分析，企业内部服务器的安全需要在部署时进行谨慎、安全的设置。涉及到IIS的安全设置。Linux中的Apache WEB安全设置以及VSFTPD的安全设置。此外，由于远程管理的需要，同时涉及到Windows远程桌面和Linux下SSH远程登录的安全设置。另外，要保障公司EMAIL服务器的安全，还需要对Sendmail进行安全的配置。最后，公司的员工浏览器需要进行一个比较安全的设置，从而避免病毒入侵。项目二 内网应用服务安全【预备知识】 知识1 互联网信息服务(IIS) 知识2 W

26、EB服务安全 知识3 FTP服务安全 知识4 Email服务的安全 知识5 远程登录安全 知识6 系统端口安全 知识7 浏览器安全 知识1互联网信息服务(IIS) IIS（Internet Information Services, 互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。微软公司将IIS集成在Windows 2003 Server的服务器, 它能与系统完全集成在一起，因此，用户可以利用系统的安全性和NT

27、FS的安全特性建立灵活、健壮的网络站点服务 IIS集成在WINDOWS里面，作为它的一部分则可能由于本身的安全漏洞导致整个系统被入侵或破坏。因此利用IIS实现对WINDOWS系统进行攻击，并获取特权用户权限和敏感数据的安全事件是经常发生的事情。目前IIS存在的安全问题主要有用户权限的安全、文件及文件夹的权限安全、用户访问的安全等。 知识2 WEB服务安全1.HTTP的基本原理目前在互联网中使用的最频繁的应该是WEB服务器，也叫做HTTP服务器。通过WEB服务可以为不同的用户提供网页浏览、论坛访问、各种不同的信息服务等。HTTP是一个用于在客户端和服务器间请求和应答的协议。 知识2 WEB服务安

28、全WEB服务器往往是各种安全攻击的目标。其中的某些攻击足以对企业资产、客户资源等造成相当的破坏 1.HTTP的基本原理目前在互联网中使用的最频繁的应该是WEB服务器，也叫做HTTP服务器。通过WEB服务可以为不同的用户提供网页浏览、论坛访问、各种不同的信息服务等。HTTP是一个用于在客户端和服务器间请求和应答的协议。 知识2 WEB服务安全HTTP不同于其他基于TCP的协议，诸如FTP。在HTTP中，一旦一个特殊的请求（或者请求的相关序列）完成，连接通常被中断。这个设计使得对于当前页面有规则连接到另一台服务器页面的万维网来说， HTTP是完美的。当持久连接的缺乏成为保持用户状态的必需选择的方法

29、时，对网页设计者来说，会偶然产生一些问题。而大部分这些方法包括了对“cookies”的使用。HTTP 定义了八种方法来指示确认的资源执行所需的行为。第一是GET,用于请求某个特殊的资源，是目前网上最通用的方法。第二是HEAD，要求与GET请求相应的回复一样的应答，但是没有回应的内容。第三是POST，向确定的资源提交需要处理的数据。这些数据包括在请求的内容里。这可以造成新资源的产生和更新已有资源。此外还有PUT用于上传特定资源； DELETE用于删除特定资源；TRACE用于返回接收的请求，客户端可因此察看在请求过程中什么中间服务器被加进来或者有所改变；OPTIONS 用于返回服务器支持的HTTP

30、方法，这可以用来检查网络服务器的功能；CONNECT 用于将请求连接转换成透明的TCP/IP通道，通常通过非加密的HTTP代理利用SSL-加密通讯（HTTPS）。https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL原理。 知识2 WEB服务安全2.安全套接层SSL原理SSL(Secure Sockets Layer 安全套接层)以及它的继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。 SSL协议位于TCP/IP协议与各种应

31、用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层，第一层为SSL记录协议（SSL Record Protocol），建立在可靠的传输协议之上，用于为高层协议提供数据封装、压缩、加密等基本功能的支持。第二层为SSL握手协议（SSL Handshake Protocol），建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议提供的服务主要包括1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取； 3）维护数据的完整性，确保数据在传输过程中不被改变知识2 WEB服务安全2.安全套接层SSL

32、原理SSL协议的工作流程主要分为两个阶段。第一是服务器认证阶段，1）客户端向服务器发送一个问候信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 第二是用户认证阶段，在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，

33、从而向服务器提供认证。 知识2 WEB服务安全3.IIS WEB安全通过IIS用户可以轻松的在Windows Server部署WEB服务器，且IIS WEB中自带了很多扩展功能，包括访问控制、IIS SSL配置、端口安全设置、IP过滤设置、内容分级设置等。用户可以通过以下多种方式进行身份验证：集成 Windows 身份验证、Windows 域服务器的摘要身份验证、基本身份验证(以明文形式发送密码)、Microsoft .NET Passport 身份验证。如果选择了多个身份验证选项，IIS 会首先尝试协商最安全的方法，然后它按可用身份验证协议的列表向下逐个试用其他协议，直到找到客户端和服务器都

34、支持的某种共有的身份验证协议。 知识2 WEB服务安全3.IIS WEB安全IIS中无论是WEB服务都使用了默认的端口如80，对于用于内部的网站来说，为了防止攻击可以考虑修改成其他的端口，以防止被非法入侵者扫描到。另外，部分网站的功能仅对部分人员、或IP段开发，此时可以利用IIS WEB中的IP过滤功能对授权访问或拒绝访问的IP进行过滤设置。此外，IIS也集成了SSL功能，用户可以通过合理的设置SSL从而保证WEB信息交互的安全性。在IIS中，每个站点活动时都会生成相应的日志，这些日志中记录了用户对内容的访问，可以用来确定哪些内容比较受欢迎，甚至发现有哪些用户非法入侵网站等，从而计划安全需求的

35、排除潜在的问题等 知识2 WEB服务安全4.Apache WEB 在Linux中，Apache是一款最常用的Web服务器组件。它是一款免费的软件，用户可以从Apache的官方网站中直接下载。Apache拥有很多优点，首先它是一款最早支持HTTP1.1的WEB服务器之一，不仅向后兼容http1.0同时也为新的协议做好了准备。其次，它虽然提供了的是基于文件的配置方式，但配置文件可以实现的功能非常强大。此外，它也支持CGI（通用网管接口）、虚拟主机、HTTP认证、SSL和HTTP Cookie，另外，Apache还集成了Perl和代理服务器。Apache WEB服务器主配置文件（一般位于/etc/h

36、ttpd/conf/httpd.conf）包含了大量的Apache配置选项，而这些选项的设置正确与否都很大程度上关系到服务器的安全和性能。配置文件主要有全局环境（Global Enviroment）、主服务器配置(Main Server Configuration)和虚拟主机（Virtual Hosts）3个部分组成。每个部分都有相应的配置语句，该文件所有配置语句的语法为“配置参数名称 参数值”的形式。 知识2 WEB服务安全4. Apache WEB 知识2 WEB服务安全4.Apache WEB Apache本身不支持SSL，但Apache服务器可以通过Apache-SSL或Apache+

37、mode_ssl两种方式来支持SSL。Apache-SSL是一个集成Apache和SSL的工具。而mode_ssl是由Apache-SSL分化出来的利用模块化的形式来实现SSL，且由于易用性好，使用的非常广泛。此外mode_ssl的实现依赖于OpenSSL,因此需要先安装OpenSSL。Apache服务器在运行的过程中产生了大量的日志，这些日志对于用户管理和监控Apache安全是非常好的资料。它清晰地记录了客户端访问Apache服务器资源的每一条记录，以及访问中出现的错误信息。Apache产生两个标准的日志文件：access_log和error_log。当然，如果使用SSL服务的话，还可能存在

38、ssl_access_log、ssl_error_log和ssl_request_log等文件。用户可以通过配置文件中的LogFormat指令来定义新的日志文件格式，从而记录自己想要记录的日志内容 知识3 FTP服务安全 互联网文件传输协议（File Transfer Protocol,FTP）是最古老的Internet协议，它的标准由RFC959定义说明。它的功能是将一个文件从一个系统发到另一个系统。FTP是完成这个功能的最快的传输协议。FTP最大的优点是TCP/IP的应用，通过TCP传输，工作在OSI模型的第七层、TCP模型的第四层。知识3 FTP服务安全 1. FTP链接过程和模式 FT

39、P与WEB方式不同，它需要两个端口，一个是控制端口（默认是21）用于发送指令给服务器以及等待服务器的响应，另一个是数据传输端口（默认是20），用于建立数据传输通道 。FTP的链接模式主要有两种，一个是PORT即主动模式，另一个是PASV即被动模式。其中PORT模式建立数据传输通道石油服务端发起的，而PASV模式数据传输通道则是由FTP客户端发起的。知识3 FTP服务安全 2. FTP的文件类型和结构FTP的文件传输类型包括了四种。第一种是ASCII文件类型即利用文本格式来传输文件；第二种是EBCDIC文件类型，它类似于ASCII，区别在于使用的EBCDIC字符编码。第三种是本地文件系统：主要用

40、在字节小于8位的环境下。第四种是格式控制类型，它主要和文本文件传输到的打印设备相关，默认是无须打印格式控制，其他的格式包括如Telnet打印控制和Fortan打印控制。FTP的文件结构是指文件在本地以及在传输过程中使用的文件组织方式。在数据传输过程中传输方式主要有文件结构的传输方式即文件被看成没有内部结构的连续字节流；记录结构方式即文件是由一系列记录组成的结构，比较适合文本文件。页面结构即称作块结构，其中每一页都伴随着一个页号来传输，以顺序的方式来完成传输知识3 FTP服务安全 3. IIS FTP 互联网虽然得到了快速的发展，但目前FTP的应用仍然非常广泛，是Internet的重要组成部分。

41、正是由于FTP的重要性，所以IIS中集成了FTP服务器。因此，IIS的安全对保证FTP安全的至关重要，同理，FTP的安全也直接影响到IIS整个架构的安全。目前不少FTP采用了匿名FTP站点对所有用户公开文件访问权，并没有进行很好的权限设置。其次，FTP目录的安全性也非常重要，不同的用户对目录的访问应该是有限制的。此外，IIS FTP中，还存在其他的安全问题如端口安全、链接数量限制等 知识3 FTP服务安全 4. Linux VSFTPD Vsftpd是一个基于GPL发布的大多数Linux发行套件中附带的默认FTP服务器。该FTP服务器具有很多优点如安全性高、有带宽限制功能、良好的扩展性、支持I

42、PV6和虚拟IP、高速且稳定等。总体来说是Linux系统中一款非常优秀而且普遍使用的FTP服务器。在vsFTPd 的主配置文件为vsftpd.conf，一般位于/etc/vsftpd目录下。它所有参数的配置形式均为“参数=值”的方式，且对大小写敏感。 知识3 FTP服务安全 4. Linux VSFTPD 知识4 Email服务的安全 电子邮件常用的协议主要有三种SMTP、POP3、IMAP4。SMTP是简单邮件传送协议（simple mail transfer protocol），在两个邮件服务器之间建立直接连接以及从邮件客户端发送邮件时使用。电子邮件就是通过SMTP服务器发送出去的。SMT

43、P也是一个在服务器之间传递邮件的协议，能将一个SMTP服务器上的邮件转发到另一个SMTP服务器。SMTP也是一个单向协议，只能发，不能收。SMTP协议的标准TCP标准端口为25。POP3是邮局协议（POP）的第3代版本，它允许用户通过计算机动态检索邮件服务器上的邮件。POP3只是对邮件服务器上的邮件提供下载和删除等功能。IMAP是因特网报文存取协议（Internet Message Access Protocol，IAMP），现在较新的是版本4，即IAMP4，它同样采用客户服务器模式。 知识4 Email服务的安全 一个电子邮件系统主要有五个部分组成MTA、MSA、MUA、MDA和MAA。邮件

44、用户代理（Mail User Agent，MUA）MUA是一个邮件系统的客户端程序，它提供了阅读，发送和接受电子邮件的用户接口。 Linux中常用的邮件服务器是Sendmail,它是一款非常优秀的邮件服务软件。 知识5 远程登录安全 远程登录值得是用户利用SSH、Telnet等命令，是自己的计算机暂时成为远程计算机的一个仿真终端。其原理是用户通过本地计算机将命令行传输到远程计算机上面去，远程计算机运行这些命令，并把它执行的结果输出返回到本地计算机来。远程登录是现今网络时代非常重要的一项功能，它使用户尤其是网络管理员可以在任何一个可以上网的地方连接到家里或办公室的电脑从而实现远程管理监控。在Wi

45、ndows中，用户可以利用Telnet进行远程登录，也可以利用远程桌面登录到远程计算机。远程登录是进行系统维护和管理的一种方便的方式，但同样也带来了安全问题。首先对于windows系统来说Administrator和guest是Windows系统默认的系统账户，正因如此它们是最可能被利用，攻击者通过破解密码而登录服务器对于Windows来说远程桌面的端口就是3389，很多恶意用户可以利用这个端口的漏洞进行攻击。因此，修改远程登录的端口，在一定程度上也能保证远程登录的安全 。 知识5 远程登录安全 SSH（Secure Shell）则是Linux下面远程登录常用的工具。通过使用SSH，用户可以把

46、所有传输的数据进行加密从而防止DNS和IP欺骗。此外，经过SSH传输的数据是经过压缩的，因此传输的速度相对较快。SSH具有很多功能，它甚至可以取代Telnet，并可以为常见的服务如FTP、POP或PPP提供一个安全的通道 。SSH协议是建立在应用层和传输层基础上的安全协议，主要包括三个部分。第一是传输层协议。该协议主要用来提供诸如认证、信任和完整性检验等安全措施。此外，还可以提供数据压缩功能。通常情况下，这些传输层协议都建立在面向连接的TCP数据流上。第二是用户认证协议层。主要用来实现服务器跟客户端之间的身份认证，其运行在传输层协议之上。第三是连接协议层。主要是分配多个加密通道至一些逻辑通道上

47、，它运行在用户认证层协议之上SSH提供两种级别的安全验证。第一级别是基于口令的安全验证，用户只要知道自己的账号和口令就可以实现远程登录。第二级别是基于密钥的安全验证。用户必须为自己创建一对密钥，并把公钥放在需要访问的服务器上知识6 系统端口安全 网络中端口一般是指TCP/IP 协议中的端口，端口号的范围从0到65535。知名端口即众所周知的端口号，范围从0 到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务；22端口分配给SSH使用；25端口分配给SMTP（简单邮件传输协议）服务；80端口分配给HTTP服务；135端口分配给RPC（远程过程调用）服务；554端口分配给R

48、TSP使用等等。此外，还有动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024 端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号 知识6 系统端口安全 从协议类型上看，又可以分为TCP、UDP、IP 和ICMP（Internet 控制消息协议）等端口。TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口和

49、HTTP服务的80端口等等。UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS 服务的53 端口，SNMP（简单网络管理协议）服务的161 端口等 。系统的任何一个端口都是一个潜在的通信通道，因此它也是一个入侵通道。通过对要入侵的计算机进行端口扫描，能得到许多有用的信息。 端口扫描所使用的技术主要有TCP connect() 扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描、TCP反向ident扫描、ICMP echo扫描等 。 知识7 浏览器安全 1.Cookie安全 Cookie指当你浏览某网站时，网站通过浏览器存储一个小文本文件

50、到你的计算机，记录的内容包括了你的用户ID、密码、浏览过的网页、停留的时间等信息。因此当你再次来到相同的网站时，网站通过读取Cookie，就知道你访问过的相关信息从而做出相应的动作，如为你输入用户名和密码、给出提示信息等等。此外，Cookie的另一个重要应用场合是“购物车”之类处理，用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。Cookie在生成时就会被指定一个过期（Expire）时间值，这就是Cookie的生存周期，在这个周期内Cookie有效，超出周期Cookie就会被清除。若页面将Cookie的生存周期设置为0或负

51、值，这样在关闭页面时，就马上清除Cookie，不会记录用户信息，更加安全 。 知识7 浏览器安全 1.Cookie安全 Cookie欺骗：Cookie记录的信息，如果在网上传递，很容易被人截获，但是由于这些信息通常使用的是MD5方法加密，即使被截获也无法看懂里面中的一堆无意义的字母和数字 Cookie欺骗实现的前提条件是服务端的程序存在着漏洞并且冒充者要获得被冒充的人的Cookie信息。实施Cookie欺骗的方法很多，其中一种就是通过在一个允许HTML代码编辑的论坛发表一个吸引人的主题帖子，写上有趣的内容，并嵌入收集Cookie的代码，很快就可以收集到大量的Cookie。 Flash的代码隐患

52、：在Flash中有一个getURL（）函数，Flash可以利用这个函数自动打开指定的网页。如果你访问的网页中包含了Flash，在你欣赏这个Flash的同时，它的动画帧里的代码可能已经悄悄地连上网，并打开了一个极小的包含有特殊代码的页面。 知识7 浏览器安全 2. ActiveX安全 ActiveX 是一个开放的集成平台，为开发人员、 用户和 Web生产商提供了一个快速而简便的在 Internet 和 Intranet 创建程序集成和内容的方法。 ActiveX的安全性是一个非常引人注意的问题，IE浏览器通过以下的方式来保证ActiveX插件的安全。首先是ActiveX使用了两个补充性的策略：安

53、全级别和证明，来追求进一步的软件安全性； 其次，Microsoft提供了一套工具，可以用它来增加ActiveX对象的安全性； 通过Microsoft的验证代码工具，可以对ActiveX控件进行签名，这告诉用户你的确是控件的作者而且没有他人篡改过这个控件； 为了使用验证代码工具对组件进行签名，必须从证书授权机构获得一个数字证书；证书包含表明特定软件程序是正版的信息，这确保了其他程序不能再使用原程序的标识。 ActiveX控件有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。 知识7

54、浏览器安全 3.用户信息安全 用户在浏览网页的时候会留下很多信息。例如用户在填写表单的用户名和密码后，往往会提示是否保存密码，如果保存，则在下一次再进入同样的Web页及输入密码时，只需输入开头部分，后面的就会自动完成，这给用户带来了方便，但同时也留下了安全隐患，这就是用户的自动完成功能导致的安全问题。此外，当你访问了某个网页时，IE会自动把你浏览过的网页保存在缓存文件夹“C:/Windows/Temporary Internet Files”下, 因此部分非法用户也能了解你访问网络的行为。 4.其他浏览器安全问题 浏览器安全问题很多，包括如恶意网页常用的一招：修改IE默认主页地址。通过修改IE

55、主页，自动连接到恶意网页的地址。此外，许多恶意网页为防止有人查看其代码内容，采取了各种各样的方法求防止用户查看其源代码。另外，部分网页代码还禁止了用户修改IE的属性等。 项目二 内网应用服务安全【思考练习】IIS存在的漏洞主要有哪些？如何设置IIS中WEB和FTP的安全？Linux常用网站服务器软件有哪些，如何保障他们的端口安全？Linux中常用的FTP服务器软件有哪几种，比较他们的安全性？如何安全使用Sendmail邮件服务？Telnet和SSH实现远程登录的区别是什么，他们的安全性如何？浏览器常见的安全问题有哪些，如何设置它的安全性？常见的端口扫描技术有哪些，如何防止端口扫描？项目三 内网

56、安全管理 【实施目标】 知识目标：掌握内网资产管理的方法熟悉内网桌面安全管理技术熟悉内网桌面安全审计技术掌握外设与接口控制方法熟悉内网安全接入的管理方法了解终端非法外联的管理方法掌握内网安全维护的方法熟悉内网流量监控管理技术项目三 内网安全管理技能目标：会利用内网管理系统进行资产监控管理会利用内网管理系统进行内网安全审计会利用内网管理系统进行内网安全控制能利用内网管理系统进行内网安全维护能利用流量监控软件进行内网流量监控管理项目三 内网安全管理【项目背景】某IT企业主要从事软件开发服务，公司每个员工都配有一台电脑。公司设有开发部门、行政部门、人事部门、业务部门等。由于企业中很多软件和文档信息都

57、有版权，公司通过限制员工自带移动设备来保护公司的资产，但公司的部门资料还是被泄漏出去。此外，公司的行政、业务等部门经常受到病毒的侵扰，主机也需要经常维护。为了解决这些问题，公司拟聘请网络管理人员负责公司的所有电脑安全管理与维护工作。但公司有上百台电脑，每台都依靠手工维护显然不太现实。因此，企业决定花费一定的资金来解决以上问题。 项目三 内网安全管理【需求分析】该IT企业拥有多台电脑，由于需要对公司的资产信息进行安全管理，又需要监控员工上网的行为。此外，还要为员工做好安全防范。因此，在管理员少而IT设备多的情况下，企业可以考虑引入一套内网安全管理系统来帮助管理员实现内网桌面的安全管理与审计，同时

58、又能控制内网中外设和接口的管理以及非法外联的管理。另外，内网管理系统可以帮助网络管理员实施内网安全维护如漏洞查询、补丁安装等。项目三 内网安全管理【预备知识】 知识1 资产管理(IIS) 知识2 桌面安全管理 知识3 桌面安全审计 知识4 外设与接口管理 知识5 安全接入管理 知识6 非法外联管理 知识7 内网安全维护 知识8 流量监控管理知识1 资产管理 内网安全管理中为了保证内网资产如计算机、设备、软件、程序等的正常运行需要通过对内网软硬件资产的统计和审计来实现。软件资产统计与审计是通过收集、分析终端计算机安装的软件信息，通过多种条件进行查询和统计,并且能获取终端软件的安装情况，能够监测其

59、变化，对于软件的添加删除等变化能够记录日志并根据策略产生系统报警信息。硬件资产统计与审计指的是通过自动收集分析终端计算机的物理内存、处理器类型、处理器速度、处理器个数、总线类型等各种计算机硬件信息，并能够监测其变化，以及对硬件变化的内容进行记录日志并根据策略产生系统报警信息。资产管理是通过自动监测系统软硬件资产的变动，记录日志并可以产生报警，同时可以根据策略自主采用相应的措施，防止资产变更给客户端或者网络带来更大的危害。知识2 桌面安全管理 桌面管理是内网安全的一个重要部分，通过制定合理的管理策略来避免用户行为导致网络安全造成影响或引入安全风险。其具体的措施包括了网络连接与流量管理、上网行为管

60、理、服务和进程管理、文件操作管理、远程计算机管理、远程监视和系统设置管理等 网络连接与流量管理指的是通过监控网络接口的连接状态并实时监控客户端的网络流量状态进行管理。其方法包括对于在单位时间内超出流量阀值的终端进行限速或自动对其进行断网等限制措施，防止其过度占用网络带宽。上网行为管理指的是通过针对IP地址、url地址、域名和端口等多种方式制定不同的管理策略来管理客户端的上网行为，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断开网络和向服务器发送邮件等控制。 知识2 桌面安全管理 服务和进程管理指的是对客户端运行服务名和进程名的管理，即通过监控管理客户端上运行的服务和进程，