网络安全和防火墙技术样本

1、网络安全与防火墙技术-、在用户安全设置方面禁用Guest账号。不论工作组模式还是域模式，都应该禁用 此账号。惟一的例外就是极少数量(10台以下)的机器之间用网 上邻居互访共享文件夹，且不和公网相连，能够继续保持此账号。限制不必要的用户。此时需注意：在工作组模式中，默认账号有Administrator、Guest。 如果要用IIS( Internet Information Server)建设各类站点，则 IUSER_computername 和 IWAM computername 也是默认账号，不 能停用。因前者是IIS匿名访问账号，后者是IIS匿名执行脚本的 账号。这两个账号默认有密码，是由

2、系统分配的，用户不要更改其 密码，更不要删除，否则IIS不能匿名访问和执行脚本；如果有 终端服务则TsInternetUser也是默认账号，不能停用。在域模式中，Administrator组中会增加Domain Admins 和Enterprise Admins两个组中的成员，另外还会有Krbtgt账号， 默认是被禁用的，这个账号是密钥分发账号。开启用户策略。其中有用户锁定阀值设置，将它设置为多少 才合适呢？用户在登录时，Windows会采用加密协议加密用户的用 户名和密码。在域环境中，如果只是单纯的系统(即什么软件都不 装)，用户进行登录时，Windows会尝试用Kerbos协议验证，不 成

3、功则会再用Ntlm验证，此时的验证的方式有两种；如果该账户 同时又是Outlook的用户，验证的方式将有6种之多，也就是说用 户在登录时如果密码输入错误，一次登录就要浪费掉6次账户锁 定值。因此，微软技术支持中心的工程师建议将这个锁定值设置为 13,这样才能够实现错误输入密码3次再锁定账户的目的。二、在密码安全设置方面在给账号设置密码时，不是密码位数越多越好，在符合密码 复杂性原则的基础上，7位和14位的密码是最好的。这个结论是 微软全球技术支持中心的工程师给出的，它是由密码所采用的加 密算法决定的。有一点大家需注意：屏幕保护存在一个安全漏洞，即她人能 够在不进入系统的情况下，利用DOS模式将

4、Cmd.exe命令更名为你 所选用的屏幕保护程序的名称而将其替换掉。此后，只要这个”屏 幕保护程序”一运行，Cmd窗口就会弹出且以系统身份运行，默认 是最大权限。因此，采用设置屏幕保护密码的做法并不安全，正确 的做法应是网管员离开工位时要锁定计算机（Windows下，按 Ctrl+Alt+Del，在弹出的”关机”菜单中选择”锁定计算机” 即可）。三、在系统安全设置方面使用NTFS格式分区。NTFS分区要比FAT分区安全很多，且 只有使用NTFS分区才能真正发挥Windows的作用。Windows自 带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x /FS NTFS

5、（ x为所要转换的盘符），执行时如果转换的是非 操作系统所在分区，则立即执行分区转换；如果转换的是操作系 统所在分区，则重启后执行分区转换。注意：此转换过程是单向不 可逆的，即只能由FAT转换至NTFS。虽然可用第三方工具做分区 格式之间的转换，但这样做不能保证绝对安全，在某些情况下会 导致分区不可用，因此建议只用Convert命令来转换分区格式； 如果非要用第三方工具，一定要事先做好备份。另外，据我个人经 验，并不需要将所有分区都做成NTFS分区，而应保留一个分区为 FAT32,用于存放一些常见工具，并可方便Ghost备份。到微软网站下载最新的补丁程序。强烈建议！这是每一个 网络管理员都应该

6、有的好习惯。这里说明一点：微软每隔一定时间 推出的Servicespacks是针对近期推出的Hotfix的综合，如果你 经常做Hotfix补丁，那么当后一版的Servicespacks推出后可能 会和你的Hotfix冲突。因为Servicespacks也是要经过测试的，而 测试阶段可能又有新的Hotfix推出，当你做了新的Hotfix补丁后 再打旧版的Servicespacks补丁时就会产生冲突。关闭默认共享。这里必须要修改注册表，否则每次重启之 后默认共享还会出现。在注册表HKEYLOCAL MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/

7、Run”下， 在右栏空白位置点击鼠标右键，选择”新建”，再选”字符串 值”，名称中输入：”delipc$”，这里的名字能够随便取，然 后双击它就会弹出一个窗口来，输入：”net share ipc$/del”， 下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还能够删掉AMDIN$。锁住注册表。Windows 提供了一个叫Regedt32.exe的工 具，它也是一个注册表编辑器。与Regedit.exe不同的是它有一 个”安全”选项，能够给注册表的每一个键值设置权限。因此用户 能够将许多敏感的键值赋权，例如设置成只有Administrator才 能读取和修改，不给其它人可

8、乘之机。四、在服务安全设置方面关闭不必要的端口。可惜Windows并不支持关闭端口的 选项，我们只好选用第三方工具，关闭一些关键端口，比如 Telnet 等。设置好安全记录的访问.Windows操作系统自带了审核工 具，默认不开启。如果一旦开启了审核策略，用户能够在事件日志 里查看安全日志，里面会有详细的审核记录，审核一般为成功和 失败两种。不过，建议平时不要常开安全审核，因为审核量很大， 一般一个错误的密码输入就能够在日志中记录一页多的条目，非 常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在” 开始”菜单的”运行”中输入”Eventvwr.msc”查看安全日志， 就能够看到审核的消

9、息。把敏感文件存放在另外的文件服务器中。出于对性能和安全 的双重考虑，建议有条件的用户将域控制器与Web服务器、数据 库服务器等其它重要服务器分开，即不要用同一台服务器运行多种服务。同时，一定要进行及时、有效的备份，最好有一个详尽 的备份计划。基本设置篇一、 在线安全的四个误解Internet实际上是个有来有往的世界，你能够很轻松 地连接到你喜爱的站点，而其它人，例如黑客也很方便地 连接到你的机器。实际上，很多机器都因为自己很糟糕的在 线安全设置无意间在机器和系统中留下了”后门”,也就相当于给黑客打开了大门。你上网的时间越多，被别人经过网络侵入机器的可能 性也就越大。如果黑客们在你的设置中发现

10、了安全方面的漏 洞，就会对你发起攻击，可能是一般的骚扰，如降低你的 速度或者让你的机器崩溃；也可能更严重，例如打开你的 机密文件、偷窃口令和信用卡密码。可是很多人并不以为然，因为她们在网络安全方面还 存在四个误区：误区一：我没有连接其它网络，因此我很安全。对，连接INTERNET是要上网的，可是能够上网的独立 机器，与一台商业网络中心的机器相比，所使用的网络协 议依然有一些甚至全部相同，而一台商业网络中心的机器 还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是一些用于家庭、办公室、小公司的个人用机确是门户大开，完全没有防范黑客的能力。这种威胁是 很现实的：如果你使用了 ca

11、ble modem或是DSL连接上网， 而且在网上的时间很长,一天里可能就会有2-4个卑鄙的黑 客企图攻击你。误区二：我是用拨号上网，因此我的机器是安全的。每次当你开始拨号上网，你使用的IP地址都会不同， 也就是动态IP,因此相比静态IP的用户而言。黑客是很难 找到你，可是有一些黑客软件已经发展到能够在1个小时以内逐个扫描上万个IP地址的能力，因此只要黑客使用了这 些工具，即使是拨号上网的用户也可能受到攻击。误区三：我使用了防病毒软件，因此我很安全。一个好的病毒软件确实是在线安全不可或缺的部分，可是也是很小的一个部分。它能够经过检测病毒和类似的问 题保护你，可是它们对防范黑客、对带有恶意的”合

12、法”程序却无能为力。误区四：我使用了防火墙，因此我很安全。防火墙是很有用处，可是如果你的机器总是采用一些 不够安全的方式接收和发送数据，而你又仅仅依靠一些附 加的程序提供安全，这就等于把所有的蛋放在一个篮子里 ， 一旦防火墙软件出现bug或者有漏洞，那你很危险了。另外, 防火墙对于病毒一类的软件完全没有防范能力，特别是那 些带有恶意的悄悄地向你的机器发送或提取数据的程序。最 后，一些防火墙软件还可能帮倒忙，因为它们的厂商在广 告中把产品的特点介绍出去，可能招致一些专门针对它们 弱点的攻击。可是解决方法是有的，你能够使用你已经有的工具， 而且本文也会告诉你怎样才是安全的设置和怎样选择安全 软件。 二、一分钟的网络基础知识看到这个内容，你可能想一眼扫过或者直接跳过去，可是这只需要一分钟，而且对你理解下面的内容很有帮助。简单地说，你能够将你和网络的连接分为三层。最深的一层是你和网络的物理连接方式 ，包括硬件。例 如拨号上网，要使用”拨号适配器”才能和你的 MODEM ”交 谈”;如果是局域网，需要网卡和驱动程序，以便你的PC 和网卡交换数据，而DSL、cable等也需要网卡。一个 PC 能够同时使用多