网络信息安全管理员2.ppt

1、服务器系统的安全维护,对网络服务器的恶意网络行为包括两个方面：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪；另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露。 本讲对Windwosr操作系统的服务器安全维护进行分析与讲解。,1 Windows Server 2003 IIS 服务器,为了向组织Intranet 中的Web 服务器和应用程序提供全面的安全保护，应该保护每个 Microsoft Internet 信息服务 (IIS) 服务器以及在这些服务器运行的每个 Web 站点和应用程序不受侵害。 为

2、此，需要做三个方面的工作： 安全地安装Windows Server 2003/2000 保护Web服务的安全 保护Web站点的安全,一个IIS远程攻击示例 多媒体演示。,默认状态下，IIS容易受到很多不同类型的攻击，在使用之前必须加固。 （1）仅启用必要的 Web 服务扩展 IIS 服务器提供的功能来产生或扩展的任何动态内容，都是通过使用 Web 服务扩展来实现的。这些扩展包括 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。 仅启用在 IIS 服务器环境下运行的站点和应用软件所必需的 Web 服务扩展，通过最大限度精简服务器的功能，可以减少每

3、个 IIS 服务器的受攻击面，从而增强了安全性。建议不要安装IndexServer、FrontPageServerExtensions、示例WWW站点等功能。,2、保护Web服务的安全,（2）仅安装必要的 IIS 组件 除“万维网发布服务”之外，IIS6.0 还包括其它的组件和服务，例如 FTP 和 SMTP 服务。可以通过双击“控制面板”上的“添加/删除程序”来启动 Windows 组件向导应用程序服务器，以安装和启用 IIS 组件和服务。安装 IIS 之后，必须启用 Web 站点和应用程序所需的所有必要的 IIS 组件和服务。 应该仅启用 Web 站点和应用程序所需的必要 IIS 组件和服

4、务。启用不必要的组件和服务会增加 IIS 服务器的受攻击面。 （3）使用安全工具 Microsoft免费提供了一个“IIS Lockdown Wizard”工具来确保IIS Web服务器的安全。此工具可用来配置一个 IIS 4.0 或 IIS 5.0 Web 服务器以实现安全运行。,（4）确保IIS全局的设置安全 大部分IIS配置设置存储在元库（metabase）中，但是一些全局设置仍在注册表里。确保注册表内一些键值设置正确。 （5）确保默认Web站点和管理Web站点的安全 第一次安装IIS时会创建两个站点：默认Web站点和管理Web站点，它们有不少安全隐患，应该禁用。例如，默认Web站点包括

5、一些默认的虚拟目录。其中不少都映射到系统盘。因此，要删除默认Web站点的虚拟目录。,（6）使FrontPage Server Extension（FPSE）无效 FPSE提供了方便的远程Web授权特性，但是它却导致了Web服务器遭受攻击面的扩大。可能造成网站服务器遭受DOS（拒绝服务）攻击，对于FrontPage Server Extensions 2002服务器来说，还可能使得黑客能够在用户机器上运行自己的代码，掌控整个服务器。 要完全删除FPSE。,保护Web站点的安全 一旦确保了IIS服务的安全，就需要保护Web站点的安全。 （1）Web站点为只读 （2）设置WWW属性 最好去掉.IDC

6、、.HTR、.STM、.IDA、.HTW应用程序映射，.shtml、.shtm等若无用也应去掉。,（3）帐户策略 清理帐户。 保护众所周知帐户的安全。 除了Administrator外，有必要再增加一个属于管理员组的帐号。 创建一个帐号陷阱。 定期修改口令。 对于IIS服务器，建议不要使用帐户锁定策略。 在“本地策略”的“安全选项”里，把“LanManager身份验证级别”改为“仅发送NTLM响应”，。,在专用磁盘卷中放置内容 IIS 会将默认 Web 站点的文件存储到 inetpubwwwroot。应该将构成 Web 站点和应用程序的所有文件和文件夹放置到 IIS 服务器的专用磁盘卷中。不包

7、含操作系统的磁盘卷，有助于防止目录遍历攻击。,设置NTFS 权限 NTFS下所有文件默认情况下对所有人（eneryone）为完全控制权限，如果限制一般用户只有只读权限的话，有可能会导致一些脚本运行不正常，这时需要对这些文件所在的文件夹权限进行更改。,设置 IIS Web 站点权限 IIS 将检查 Web 站点权限，以确定在 Web 站点中可能发生的操作类型，例如允许脚本源访问或允许文件夹浏览。Web 站点权限影响试图访问 IIS 服务器站点的每个人。,配置 IIS 日志 IIS 可以记录 Windows操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS 日志可记录诸如谁访问过

8、站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。,打开审核策略 打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些（如尝试用户名密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。,2 FTP服务器设置,这里介绍如何安装和安全配置文件传输协议 (FTP) 服务器。 安装 FTP 服务 在 Windows Server 2003 中，安装 IIS 时不会默认安装 FTP 服务。如果已在计算机上安装了 IIS，你必须使用“控制面板”中的“添加或删除程序”工具安装 FTP 服务。,配置匿名 FTP 服务 “主目录”选项卡中，主要注意2点

9、： 选中“读取”。这将禁止FTP目录写入。 选中“日志访问”复选框，然后清除“写入”复选框。这将设置“日志访问”为“只读“。,FTP 服务安全配置 限制客户端连接数 在“FTP 站点连接”下，可设置限制客户端连接数的2个重要指标： 单击“连接限制为”，然后键入允许同时连接到服务器的最大数量。达到限制值时，IIS 将向客户端返回一条错误信息，说明服务器忙。 在“连接超时(秒)”框中，键入一个时间长度，指定服务器在用户处于非活动状态多长时间后与该用户断开连接。,配置匿名用户或域用户访问权限 可以使用预定义的用户名和密码来相应地配置 FTP 站点以进行匿名访问；也可以将站点配置为要求一个与有效 Wi

10、ndows 用户帐户相对应的用户名和密码。 注意： 在将站点配置为要求用户名和密码时，用户帐户名、密码和传输数据在网络上是以明文形式传送的，没有采用任何加密措施。因此，信息有可能被截取。,将访问权限限制到特定计算机 可将访问权限限制到特定的计算机或计算机组。可做2种类型的限制： “授权访问” “拒绝访问” Windows 2K的FTP服务器配置可参见多媒体演示。,3 SQL Server安全防护,组织中最有价值的信息，例如用户数据、信用卡、密码等一般都安全地保存在数据库系统中，因而数据库的安全问题更为值得关注。在介绍SQL Server安全防护工作之前，我们先看一个攻击实例。,SA空密码漏洞攻

11、击示例 SQL Server的安全设置和维护 SQL Server的安全与维护，主要从安装、设置和维护三个方面进行。 确保安装安全 安全的密码策略：设置强“SA”帐号密码 安全的帐号策略：不要在数据库应用中使用SA帐号。,服务帐号：安装时会提示你提供一个帐号，SQL Server和SQL代理服务器将在该帐号下运行。在安装之前要创建一个低权限的帐号，它可以是本地用户，应有一个强密码，并且在机器上是唯一的。 清除：SQL Server在安装过程中倾向于将证书留下来。因此，在安装SQL Server服务器及服务包时，要检查并清除所有的临时目录。,设置安全的SQL Server服务器 Netlib选项

12、：只激活你要在服务器上使用的网络库（netlib）。 修改默认1433端口。 屏蔽对1433端口的探测。 激活审查事件日志 控制权限 禁用Ad Hoc查询：建议所有SQL Server服务器禁用Ad Hoc查询。,设置操作系统访问控制列表ACL：确保Microsoft SQL Server及子目录中所有文件、数据文件（.mdf、.ldf）只对管理员、系统和SQL Server或代理服务帐号可存取。 清除危险的扩展存储过程：扩展存储过程如同DLL一样被SQL Server加载和执行，以提供附加功能。但是这有可能带来安全问题，应删除任何可能被滥用的扩展存储过程。 在任务相关存储过程上设置严格权限：

13、建议对public角色删除execute权限，这样低级别的用户不能发布任务。,监控和维护 更新服务器版本和漏洞补丁。 执行变化控制：安装和设置安全的服务器可能因修改某一个设置，例如认证模式，而导致整个安全防护的失败。因此，应事先记录下所有配置设置情况，定期查询是否有变化。 预警：创建预警的信息管理和隔离事件，可检测攻击早期的征兆，例如以系统管理远身份登录失败事件。,网络设备和网络设计安全,交换机和路由器设备处于将所有局域网 (LAN) 和广域网 (WAN) 网段链接在一起的网络的核心。防火墙是一种用于控制两个网络之间的IP通信的机制。防火墙设备通常是在OSI模型的第三层运行的，但是某些型号也可

14、以在更高层运行。 本章还涉及了路由器、交换机和防火墙这三个重要的网络设备的安全性，并解释了其选择、配置和使用安全。最后，简要介绍了网络设计及其安全性评价。,1 交换机,交换机用来将网络的物理网段链接在一起，并允许数据在这些网段之间移动。交换机工作在OSI 模型的第2层，根据第2层地址（例如以太网 MAC 地址）指导数据流。某些交换机还提供其他功能，例如VLAN和第3层交换。 交换机自动进行自身配置。它们侦听每个以太网端口的数据流，发现每个连接设备连接到哪一个端口。,交换机每个端口连接一个设备已非常普遍称为“交换”以太网而不是“共享”以太网。一个端口使用一个活动设备不会产生冲突，所以提高了网络性

15、能，以达到更高的吞吐量。 减少广播数据流的一个方法是为每个组提供一个交换机，然后将它们一同链接到一个路由器，因为路由器不传输广播。 在交换机上使用 VLAN。来自 VLAN 一个成员的广播只发送给同一 VLAN 的其他成员，因此降低了广播数据流的传播。,1 交换机,交换机用来将网络的物理网段链接在一起，并允许数据在这些网段之间移动。交换机工作在OSI 模型的第2层，根据第2层地址（例如以太网 MAC 地址）指导数据流。某些交换机还提供其他功能，例如VLAN和第3层交换。 交换机自动进行自身配置。它们侦听每个以太网端口的数据流，发现每个连接设备连接到哪一个端口。,交换机每个端口连接一个设备称为“

16、交换” 而不是“共享”以太网。一个端口使用一个活动设备不会产生冲突，所以提高了网络性能，以达到更高的吞吐量。 减少广播数据流 减少广播数据流的一个方法是为每个组提供一个交换机，然后将它们一同链接到一个路由器，因为路由器不传输广播。 在交换机上使用 VLAN。来自 VLAN 一个成员的广播只发送给同一 VLAN 的其他成员，因此降低了广播数据流的传播。,使用交换机的好处：,1-1 交换机的功能,1、交换机的常见功能 下面介绍的是所需的交换机的常见功能和特有功能。 可伸缩性 高速以太网支持 复原能力 可管理性 IP 电话 (VoIP) 安全性,存在针对设备本身的安全入侵。第一类入侵可能特定于设备，

17、可能包括设备本身。第二类入侵是要对设备配置进行访问的攻击。要避免后一种入侵，可以实现其他控制以限制具有配置访问权的人。 低成本交换机通常不能配置，它们也没有 IP 地址，所以相对而言，它们可以免受网络产生的攻击。大型交换机和路由器通常有复杂的访问控制机制，它们还可以进行配置以限制入侵。中型交换机最可能受到攻击，建议使用好的防火墙系统。,支持 产品范围和制造商生存能力 成本 交换机通常按每端口价格进行分类。衡量方法是：获取交换机的总成本，用它除以以太网端口数，然后获得每个端口的单独成本。 性能 交换机性能通常以每秒位数 (bps) 和每秒包数 (pps) 测量。,2、交换机的特定功能 这里着重介

18、绍必需的交换机特定功能。 生成树协议 VLAN 支持 上行链路连接性 合并,1-2 交换机类别,选择正确的交换机是件难事。在选择交换机之前，应该对网络进行设计，然后对设备进行评估以满足该设计。 1、类别 1 低端固定交换机（表2-1） 2、类别 2 低端可变交换机（表2-2 ） 3、类别 3 中型交换机（表2-3） 4、类别 4 高端交换机（表2-4）,1-3 安全性,在网络设计中，安全性非常重要。设计者既要控制来自 Internet 的外部入侵，又要控制有内部网络访问权限的内部员工或其他人员发动内部入侵。应特别注意的是：多数路由器和交换机都存在一些后门访问方法，它们能避开逻辑安全设置，因此应

19、将这些设备物理锁定以防止这种入侵。,下列配置类别可帮助你实现交换机的安全配置： 1、修补程序和更新 2、VLAN 3、使用管理访问控制系统 4、禁用未使用的端口 5、服务 6、加密, 2 路由器,网络中可能需要很多不同类别的路由器来执行不同的任务。例如，面向 Internet 的边界路由器、连接 VLAN 的内部路由器和小型办公室路由器。,2-1 路由器的功能,1、路由协议 最常见的标准路由协议是 RIP 和 OSPF，但 RIP 并不适合大型网络。 2、WAN 链接和协议的范围 3、网络地址转换 (NAT) NAT 用在面向Internet的路由器中，其作用是将一个 Internet 唯一地

20、址转换为多个专用网络地址。这意味着，多个设备可共享一个Internet地址，由于其他Internet用户无法直接访问专用地址，从而提供了一定的安全性。 4、动态主机配置协议 (DHCP),5、防火墙 路由器可提供防火墙功能，这在面向 Internet 的路由器很有用。 6、虚拟路由器冗余协议（VRRP 协议） 在大型站点中，可能安装了重复的网络设备以供故障防范，其中一个是主设备，另一个是热备用设备（。VRRP 协议运行于路由器之间的链接中，每个路由器都了解其他路由器是否运行正常，当链接出现故障时，活动设备可作出反应。 7、虚拟专用网 (VPN) VPN 为 Internet 连接提供保密性和安

21、全性。它通过公共服务提供一条专用线路，主要作用是将家庭个人用户或小型分支机构连接到中心站点。,2-2 路由器的类别,1、类别 1 软件路由器（表2-5） 2、类别 2 低端固定路由器（表2-6） 3、类别 3 低端可变路由器（表2-7） 4、类别 4 中型路由器（表2-8） 5、类别 5 高端路由器（表2-9） 6、类别 6 ISP 路由器（表2-10）,2-3 路由器安全性注意事项,路由器是第一道防线，同时也是第一攻击目标。路由器提供了数据包路由，并可通过配置以阻止或滤除已知的易于受到攻击或被恶意利用的数据包类型的转发，例如 ICMP 或简单网络管理协议 (SNMP)。应使用路由器阻止网络之

22、间未经授权或不需要的数据流。 此外，还必须通过使用安全管理接口并确保它应用了最新的软件修补程序和更新，来来确保路由器本身免遭重新配置。,1、修补程序和更新 2、协议 使用出入过滤 将 ICMP 数据流从内部网络中屏蔽 阻止跟踪路由 控制广播数据流 阻止其他不必要的数据流,3、管理访问 应用强密码策略 使用管理访问控制系统 禁用未使用的接口 考虑静态路由 关闭基于 Web 的配置,使用 AAA 系统对管理员身份进行验证。 Authentication（身份验证）： 对用户进行确定和身份验证的过程。可以使用多种方法验证用户，最常用的是用户名和密码组合。 Authorization（授权）： 确定经

23、过验证后的用户可以访问的内容和执行的操作的过程。 Accounting（记录）： 记录用户在某设备上正在执行的操作和已经执行的操作。 非专用 AAA 系统有两种： RADIUS Kerberos 另一种流行的AAA系统是TACACS+，但该系统是Cisco专用系统。,4、服务 5、审核和日志 6、入侵检测 7、控制物理访问, 3 外围防火墙的设计,防火墙通常会提供下列保护功能： 保护内部服务器不会受到网络攻击； 执行网络使用和访问策略； 监视通信并在检测到可疑情况时生成警报。,3-1 防火墙功能,根据防火墙支持的功能的不同，下面是按照复杂程度递增的顺序列出的防火墙功能： 网络适配器输入筛选器

24、静态数据包筛选器 网络地址转换 状态检查 线路层检查,代理防火墙 代理技术的优点： 客户端和服务器之间无直接连接 服务器可以缓存经常被请求的站点的内容 验证通过它传送的协议 可以配置为根据用户 ID 转发请求 缺点：它要求更多的处理能力来执行协议检查。 应用程序层筛选,3-2 防火墙的类别,1、个人防火墙 2、路由器防火墙 3、低端硬件防火墙 4、高端硬件防火墙 5、服务器防火墙,3-3 外围防火墙的使用,1、外围防火墙的选择 设置外围防火墙是为了满足组织边界之外用户的需要。用户类型可能包括： 信任。 部分信任。 不信任。 外围防火墙是通向外部世界的通道。在很多大型组织中，此处实现的防火墙类别

25、通常是高端硬件防火墙或服务器防火墙。,2、外围防火墙规则 “堡垒主机”：是一个位于外围网络中的服务器，它同时向内部用户和外部用户提供服务。“堡垒主机”的示例包括 Web 服务器和 VPN 服务器。 通常情况下，外围防火墙需要配置实现下列规则： 拒绝所有通信，除非显式允许的通信。 阻止声明具有内部或者外围网络源地址的外来数据包。 阻止声明具有外部源 IP 地址的外出数据包。,允许从 DNS 解析程序到 Internet 上的DNS 服务器的基于 UDP 的 DNS 查询和应答。 允许从 Internet DNS 服务器到 DNS 解析程序的基于 UDP 的 DNS 查询和应答。 允许基于 UDP

26、 的外部客户端查询 DNS 解析程序并提供应答。 允许从 Internet DNS 服务器到 DNS 解析程序的基于 TCP 的 DNS 查询和应答。 允许从出站 SMTP 堡垒主机到 Internet 的外出邮件。 允许外来邮件从 Internet 到达入站 SMTP 堡垒主机。 允许从代理发起的通信从代理服务器到达 Internet。 允许代理应答从 Internet 定向到外围上的代理服务器。,3、硬件要求,4、防火墙的可用性 要增加外围防火墙的可用性，可以将其实现为带有冗余组件的单个防火墙设备，其中结合一些类型的故障转移和/或负载平衡机制。 单个无冗余组件的防火墙 单个带冗余组件的防火

27、墙 容错防火墙 容错防火墙配置 主动/被动容错防火墙集 主动/主动容错防火墙集 安全性,单个无冗余组件的防火墙,单个带冗余组件的防火墙,容错防火墙容错防火墙集包括为每个防火墙配置备用装置的机制。,容错防火墙配置主动/被动容错防火墙集,容错防火墙配置主动/主动容错防火墙集,3-4 可伸缩性,防火墙的可伸缩性很大程度上取决于设备的性能特征，最好选择一个将来可以进行扩展，能够满足实际中将要面临情况的防火墙。 垂直扩展（向上扩展）： 水平扩展（扩大）：,1、性能 有一些技术可用于增强防火墙的性能，其中包括： Gigabit 以太网/Fiber 支持： 代理、反向 Web 代理和缓存： SSL 卸载接口

28、 IPSec 卸载接口,2、合并 意味着将防火墙服务合并到另一个设备中，或者将其他服务合并到此防火墙中。优点包括：降低购买开销、减少库存和管理成本、更高的性能。有这些合并方案： 将防火墙服务添加到边界路由器 将防火墙服务添加到边界交换机 在外围防火墙中添加代理高速缓存 3、标准和准则, 4 网络设计指南,路由器和交换机是网络中的两个关键组件，正确选择这些关键设备可以确保网络提供快速可靠的服务和适应不断变化的需要。 1、设计输入 2、安全网络快照,4-1 设计输入,当设计交换机和路由器的实现时，需要输入下列内容： 1、网络体系结构 在确定需要哪类路由器或交换机、这些设备彼此之间如何放置以及需要何

29、种功能之前，应对网络进行设计。下面是选择路由器和交换机类别之前必需的网络设计信息： 网络中当前有多少设备？有多少设备需要连接？预计将来有多大的增长？ 哪些设备要与其他设备进行通信？ 需要通信的不同设备之间需要多少带宽？ 在网络设计中，什么地方需要交换机（和路由器）？ 是否需要虚拟局域网 (VLAN)？如果需要的话，需要多少？在每个 VLAN 上有哪些主机？是否将在 VLAN 之间执行路由？ 可接受的滞后时间是多少？,2、网络设计 有两种常用模型可作为的设计基础： （1）多级交换体系结构 从网络的公共端开始，向内移动，第一部分是边界网络，此部分网络有提供初始防火墙功能的面向 Internet 的边界路由器。后面紧跟的交换机将路由器与外围防火墙链接在一起，并提供了更强大的防火墙。外围防火墙再通过交换机连接到外围网络中的 Web 服务器，Web 服务器通过另一个交换机连接到内部防火墙。然后，内部防火墙通过交换机连接到后端网络中的内部服务器和用户 PC。此图显示的是逻辑设计，但在物理上，所有交换机都可以是同一交换机上的单独 VLAN。由于边界属于非安全地区，所以边界交换机最好是单独的设备。,多级交