內容簡介
本書作業系統安全部分,主要以Windows Server 2008系統平台為例,穿插介紹Windows Server 2003系統中的特有安全功能,可以滿足不同類型讀者的安全需求。網路設備安全部分,主要介紹Cisco
路由器、
交換機、自適應安全設備和無線設備的安全配置和管理。網路訪問安全部分主要介紹目前新型的網路
訪問控制技術,
數據存儲安全部分主要介紹
網路存儲技術。
本書主要面向初級網路管理員,尤其是系統安全和網路安全的愛好者。通讀全書,即可解決網路管理工作中遇到的各種安全難題,在提高網路安全的同時,豐富自己的知識,迅速成長為專業的網路管理工程師。
前言
中國網際網路信息中心(CNNIC)發布的報告顯示,截至2008年6月底止,我國網民數量達到了2.53億,首次大幅度超過美國,躍居世界第一位。近幾年來,網際網路技術發展迅速,由於用戶水平參差不齊,網路安全事件頻發,
計算機病毒擴散、網路遭
黑客攻擊、計算機網路犯罪等違法事件的數量迅速增長,網路安全問題已成為人們普遍關注的問題。
隨著
計算機網路技術的不斷發展,開放性、共享性和互聯程度也越來越高,網路套用已經遍布社會的每個部門和行業,電子商務、數字貨幣、網路銀行等業務的興起以及各種專用網(如校園網)的建設,網路系統的安全與保密問題顯得越來越重要。目前,全世界每年由於信息系統的脆弱性而導致的經濟損失逐年上升,系統的安全問題日益嚴重。
網路攻擊事件之所以頻頻發生,其根本的原因還在於作業系統、網路設備甚至網路協定本身存在著嚴重的安全漏洞。只要稍有疏忽或防範不及時,網路安全災難便如影而至。但隨著網路套用越加普及和深入,網路記憶體儲的重要和敏感數據越多;那么核心業務對網路的依賴性越大,人們對網路安全的要求也就越高。由此不難看出,網路安全已經成為網路管理員在網路構建、網路升級和網路日常管理中的頭等大事。
在影響
計算機網路安全的諸多因素中,用戶無疑是最重要的因素之一。一方面,網路客戶缺乏網路安全知識,很少採用
系統補丁更新、
病毒防火牆和
網路防火牆等安全措施,所有的計算機基本上都在Internet這個危機四伏的海洋中裸泳,不斷地中招、被劫持、做肉雞、給其網路用戶帶來麻煩,甚至導致整個網路的癱瘓。另一方面,
網路安全工程師人才匱乏,不能充分藉助現有設備和技術構建安全防護屏障,打造固若金湯的區域網路,確保網路內部的用戶和
數據安全。
本書目的
因此,本書旨在幫助網路管理員,迅速成長為系統安全或
網路安全工程師,打造出安全的伺服器、安全的
網路設備和安全的數據存儲。同時,藉助各種安全策略和手段,拒絕存在各種安全隱患的用戶接入網路,從而有效督促普通用戶採用安全措施。只有所有用戶都安全了,網路安全才能夠得到保障。
本書內容
本書由作業系統安全、
網路設備安全、網路訪問安全和
數據存儲安全四個部分共24章構成,內容涵蓋網路安全的各種技術,從不同角度闡述實現網路安全的意義及實現方式,並配合相關實踐操作,幫助用戶快速掌握所學技能。作業系統安全包括Windows Server 2008和Windows Server 2003系統平台,以最新推出的Windows Server 2008為主,重點突出新功能的介紹和套用,如
用戶賬戶安全、Active Directory安全、系統事件
日誌等。
網路設備安全包括
路由器、
交換機、新一代
防火牆和無線設備的安全配置和管理等。網路訪問安全包括VPN
遠程訪問安全和ISA Server。VPN部分的內容可以幫助讀者掌握當前主流的VPN技術,架設所需類型的遠程安全傳輸。ISA Server主要介紹ISA Server 2006的相關套用,包括安全訪問代理、
防火牆、伺服器發布等。
網路存儲安全包括目前主流的網路存儲、
磁碟陣列、數據備份與恢復、
磁碟配額等。
本書由劉曉輝編著,田俊樂、劉淑梅、趙衛東、楊伏龍、李文俊、王同明、石長征、郭騰、白華、李海寧、陳志成、李寅、劉國增、王延傑、劉紅、王春海、王淑江等也參與了部分章節的編寫工作。筆者長期從事系統維護和
網路管理工作,具有較高的理論水平和豐富的實踐經驗,曾經出版過三十餘部計算機類圖書,均以易讀、易學、實用的特點,受到眾多讀者的一致好評。本書是筆者的又一嘔心瀝血之作,希望對大家的系統維護和
網路管理工作能有所幫助。
劉曉輝
2008.10
目錄
第1部分 作業系統安全
第1章 網路安全概述 2
1.1 網路安全基礎 2
1.1.1 網路安全的含義 2
1.1.2 網路安全的屬性 2
1.1.3 網路信息安全因素 4
1.1.4 網路信息安全機制 5
1.2 網路系統安全風險分析 6
1.2.1 物理安全風險分析 6
1.2.2 網路平台的安全風險分析 7
1.2.3 系統的安全風險分析 7
1.2.4 套用的安全風險分析 7
1.2.5 管理的安全風險分析 7
1.2.6 其他安全風險 8
1.3 安全需求與安全目標 9
1.3.1 安全需求 9
1.3.2 網路安全策略 10
1.3.3 系統安全目標 10
1.4 網路安全體系結構 10
1.4.1 物理安全 11
1.4.2 網路結構規劃 11
1.4.3 系統安全 13
1.5 安全管理 14
1.5.1 安全管理規範 14
1.5.2 安全管理的功能 15
1.6.3 入侵檢測技術 18
1.6.6 網路安全緊急回響體系 19
1.7 網路安全的規劃與設計 20
1.7.1 網路安全規劃原則 20
1.7.2 劃分VLAN和PVLAN 21
1.7.3 客戶端安全 21
第2章 Windows Server 2008初始安全 22
2.1 Windows Server 2008安裝安全 22
2.1.1 Windows安裝安全指南 22
2.1.2 安全補丁更新 22
2.2 Windows Server 2008基本安全
2.2 配置 24
2.2.1 Internet防火牆 24
2.2.2 安全配置嚮導 26
2.3 Windows Server 2008被動防禦
2.3 安全 35
2.3.1 配置防病毒系統 35
2.3.2 配置防間諜系統 38
2.4 Windows Server 2008系統安全 39
2.4.1 應用程式安全 39
2.4.3 註冊表安全 41
2.5 高級安全Windows防火牆 47
2.5.1 工作原理 47
2.5.2 配置防火牆規則 47
2.5.3 使用組策略配置高級防火牆 49
2.5.4 新建IPSec連線安全規則 51
第3章 Windows系統漏洞安全 55
3.1 漏洞概述 55
3.1.2 漏洞生命周期 56
3.1.3 漏洞管理流程 57
3.1.4 漏洞修補策略 58
3.2.1 漏洞掃描概述 59
3.2.2 漏洞掃描工具MBSA 59
3.2.3 MBSA漏洞掃描 67
3.3 系統更新 72
3.3.1 系統補丁部署原則 73
3.3.2 系統更新的實施 73
4.1 連線埠概述 80
4.1.1 連線埠分類 80
4.1.2 應用程式和服務連線埠 81
4.1.3 連線埠攻擊 82
4.1.4 查看使用連線埠 89
4.2 配置連線埠 94
4.2.1 啟動/關閉服務法 94
4.2.2 IP安全策略法 95
4.2.3 禁用NetBIOS連線埠 106
第5章 Windows活動目錄安全 108
5.1.3 功能級別 117
5.1.4 信任關係 119
5.1.5 許可權委派 127
5.1.6 唯讀域控制器 132
5.2.1 設定目錄資料庫訪問許可權 136
5.2.4 恢復任意時間活動目錄
5.2.5 使用授權還原模式恢復個別
5.2.4 對象 143
5.2.6 整理活動目錄資料庫 145
5.2.7 重定向活動目錄資料庫 147
第6章 Windows用戶賬戶安全 155
6.1 管理員賬戶安全 155
6.1.1 更改Administrator賬戶名 155
6.1.2 禁用Administrator賬戶 157
6.1.3 減少管理員組成員 157
6.1.4 系統管理員口令設定 158
6.1.5 加密系統賬戶資料庫 160
6.1.6 刪除Windows Server 2003系統中
6.1.6 的備份賬號資料庫 161
6.2.1 創建安全用戶賬戶 162
6.2.2 重設用戶密碼 164
6.2.3 禁用用戶賬戶 168
第7章 Windows組策略安全 174
7.1.1 Windows Server 2008中的
7.1.1 策略模板 174
7.1.2 ADMX模板的特點 174
7.1.3 ADMX檔案編輯方式 175
7.2.1 賬戶策略 176
7.2.3 用戶許可權分配 185
7.3 軟體限制策略 189
7.3.1 軟體限制策略概述 189
7.3.2 安全級別設定 190
7.3.3 默認規則 195
7.4.1 阻止惡意程式入侵 197
7.4.2 禁止改變本地安全訪問級別 198
第8章 Windows檔案系統安全 200
8.1 NTFS許可權 200
8.1.1 NTFS資料夾許可權和NTFS
8.1.1 檔案許可權 200
8.1.3 多重NTFS許可權 203
8.1.4 NTFS許可權的繼承性 204
8.2 設定NTFS許可權 205
8.2.1 設定NTFS許可權基本策略
8.3.2 和規則 205
8.2.2 取消“Everyone”所有許可權 206
8.3 高級許可權設定 207
8.3.1 指定高級訪問許可權 207
8.3.2 複製和移動資料夾對許可權
8.3.2 的影響 209
8.4 檔案審核 209
8.4.2 設定審核對象 210
8.4.3 NTFS許可權審核 210
8.4.4 選擇審核項的套用位置 212
8.5 檔案禁止 213
8.5.1 創建限制檔案組 213
8.5.2 創建禁止模板 215
8.5.3 部署檔案禁止策略 216
8.5.4 檔案禁止測試 217
8.6.1 NTFS壓縮 218
8.7 刪除不安全檔案 225
8.7.1 取消系統的檔案保護功能 225
8.7.2 註冊表安全設定的項目 226
8.7.3 審核部分設定的項目 226
8.7.4 刪除不必要的執行檔 226
8.7.5 刪除不必要的可執行程式 226
8.8 NTFS許可權套用實例 226
8.8.1 禁止FlashGet廣告 226
8.8.2 NTFS許可權複製 228
第9章 Windows共享資源安全 230
9.1.4 Windows Server 2008共享和
9.1.4 發現 234
9.2.1 查看默認共享 235
9.2.2 停止默認共享 236
9.2.3 IPC$ 239
9.2.4 設定隱藏的共享 242
第10章 Internet信息服務安全 243
10.1 IIS安全機制 243
10.1.1 IIS安裝安全 243
10.1.2 IIS自身安全性 243
10.2 Web安全 244
10.2.1 用戶身份驗證 244
10.2.2 授權規則 247
10.2.3 IPv4地址和域限制 248
10.2.5 SSL安全 251
10.2.6 審核IIS日誌記錄 256
10.2.7 設定內容過期 257
10.2.8 .NET信任級別 258
10.3 FTP安全 259
10.3.1 NTFS訪問安全 260
10.3.2 設定TCP連線埠 263
10.3.3 連線數量限制 264
10.3.4 用戶訪問安全 264
10.3.5 檔案訪問安全 266
10.4 Windows Server 2008/2003
10.4 差異化設定 267
10.4.1 內容分級設定 267
10.4.2 獲取用於SSL加密的伺服器
10.4.2 證書 267
第11章 Windows事件日誌、性能
第11章 日誌和警報 273
11.1.1 事件基本信息 273
11.1.2 事件的類型 274
11.2 安全性日誌 287
11.2.1 啟用審核策略 288
11.2.2 審核事件ID 289
11.2.3 日誌分析 298
11.3 可靠性和性能 299
11.3.1 監視工具 299
11.3.3 報告 311
11.4 Windows Server 2008/2003
11.4 異化設定 312
11.4.1 使用“警報”監控磁碟空間 313
11.4.2 使用“警報”監控密碼破解 315
11.4.3 使用“性能日誌”監視檔案
11.4.3 授權訪問 315
第12章 Windows客戶端安全 318
12.1 Windows Vista安全 318
12.1.1 客戶端安全概述 318
12.1.2 鎖定計算機 318
12.1.5 Windows防火牆 326
12.1.6 系統更新設定 327
12.1.7 Internet Explorer設定 330
12.1.8 Windows Defender 334
12.1.9 BitLocker驅動器加密 338
12.2 Windows XP安全 343
12.2.1 鎖定計算機 343
12.2.2 以普通用戶運行計算機 344
12.2.3 Windows防火牆 346
12.2.4 系統更新設定 348
12.2.5 Windows Defender 349
第13章 Windows網路訪問保護 351
13.1 NAP概述 351
13.1.1 NAP系統工作機制 351
13.1.2 NPS的功能 352
13.2 部署和配置NAP服務 353
13.2.1 安裝NPS 353
13.2.2 修改DHCP相關選項 355
13.2.3 配置NPS策略 357
13.3 部署NAP客戶端 363
13.3.1 配置NAP客戶端 363
13.3.2 測試NAP客戶端 365
第14章 Windows系統更新服務 367
14.1 WSUS概述 367
14.1.1 WSUS 3.0功能和特點 367
14.1.2 部署WSUS伺服器的重要性 368
14.1.3 WSUS的體系結構 368
14.2 WSUS服務端部署 369
14.2.1 WSUS伺服器需求 369
14.2.2 準備工作 370
14.2.3 WSUS伺服器端的安裝和配置 372
14.2.4 WSUS伺服器的常規選項設定 379
14.3 WSUS客戶端配置 383
14.3.1 安裝WSUS客戶端 383
14.3.2 通過本地策略配置客戶端 385
14.3.3 客戶端獲取並安裝更新 386
14.4 WSUS服務套用和管理 386
14.4.1 執行伺服器同步操作 387
14.4.2 計算機及分組管理 388
14.4.3 更新的管理 391
14.4.4 監視WSUS伺服器和
14.4.4 客戶端狀況 398
14.4.5 設定特殊檔案發布 400
第15章 Windows防病毒服務 402
15.1 Symantec Endpoint Protection
15.1 企業版的安裝 402
15.1.1 Symantec產品簡介 402
15.1.2 安裝Symantec Endpoint
15.1.2 Protection Manager 405
15.2 部署Symantec Endpoint Protection
15.2.1 安裝受管理客戶端 414
15.2.2 部署非受管客戶端 419
15.3 升級病毒庫 421
15.3.1 安裝LiveUpdate管理工具 421
15.3.2 配置更新 423
15.3.3 配置LiveUpdate策略 430
第2部分 網路設備安全
第16章 網路設備IOS安全 434
16.1 登錄密碼安全 434
16.1.1 配置Enable密碼 434
16.1.2 配置Telnet密碼 435
16.1.3 配置管理用戶 436
16.2 配置命令級別安全 437
16.2.1 配置多個用戶級別 437
16.2.2 登錄和離開授權級別 438
16.3 終端訪問限制安全 438
16.3.1 控制虛擬終端訪問 438
16.3.2 控制會話逾時 439
16.4 SNMP安全 439
16.4.1 配置SNMP字元串 440
16.4.2 配置SNMP組和用戶 440
16.4.3 SNMP配置實例 441
16.5 HTTP服務安全 442
16.5.1 關閉HTTP服務 442
16.5.2 配置安全HTTP服務 443
16.5.3 配置安全HTTP客戶端 444
16.6 系統安全日誌 444
16.6.1 日誌信息概述 444
16.6.2 啟用系統日誌信息 447
16.6.3 設定日誌信息存儲設備 447
16.6.4 配置日誌訊息的時間戳 448
16.6.5 配置日誌序列號 449
16.6.6 定義訊息嚴重等級 449
16.6.7 限制日誌傳送到歷史表和
16.6.7 SNMP 450
16.6.8 配置UNIX系統日誌伺服器 450
16.7 IOS系統版本升級 451
16.7.1 備份系統軟體映像 451
16.7.2 恢復或升級系統軟體映像 452
第17章 Cisco交換機安全 455
17.1 訪問列表安全 455
17.1.3 時間訪問列表 461
17.1.4 MAC訪問列表 463
17.1.5 創建並套用VLAN訪問列表 464
17.2 基於連線埠的傳輸控制 465
17.2.1 風暴控制 465
17.2.3 保護連線埠 468
17.2.4 連線埠阻塞 469
17.2.5 安全連線埠 469
17.2.6 傳輸速率限制 473
17.2.7 MAC地址更新通知 476
17.2.8 綁定IP和MAC地址 479
17.3 動態ARP檢測 479
17.3.1 默認動態ARP檢測配置 479
17.3.2 動態ARP檢測的配置方針 480
17.3.3 在DHCP環境下配置動態
17.3.3 ARP檢測 480
17.3.4 在無DHCP環境下配置
17.3.3 ARP ACL 481
17.3.5 限制ARP數據包的速率 482
17.3.6 運行有效檢測 482
17.3.7 配置日誌緩衝 483
17.3.8 顯示動態ARP檢測信息 483
17.4 VLAN安全 484
17.4.1 VLAN概述 484
17.4.2 劃分VLAN 485
17.4.3 設定VLAN Trunk過濾 488
17.5 私有VLAN安全 489
17.5.1 PVLAN概述 490
17.5.2 配置PVLAN 491
17.6 基於連線埠的認證安全 495
17.6.1 IEEE 802.1x認證簡介 495
17.6.2 配置IEEE 802.1x認證 498
17.6.3 配置交換機到RADIUS
17.6.3 伺服器的通信 499
17.6.4 配置重新認證周期 499
17.6.5 修改安靜周期 500
17.7 配置SPAN和RSPAN 500
17.7.1 SPAN和RSPAN簡介 501
17.7.2 SPAN和RSPAN默認配置 502
17.7.3 SPAN會話中的流量監視限制 502
17.7.4 配置本地SPAN 503
17.7.5 配置RSPAN 506
17.7.6 顯示SPAN和RSPAN狀態 509
17.8 配置RMON 509
17.8.1 默認的RMON配置 509
17.8.2 配置RMON警報和事件 510
17.8.3 創建歷史表組項 511
17.8.4 創建RMON統計組表項 511
17.8.5 顯示RMON的狀態 512
17.9 使用Cisco CNA配置安全 512
17.9.1 CNA可管理的設備簡介 512
17.9.2 Cisco CNA安全導向 513
17.9.3 配置連線埠安全 516
17.9.4 配置ACL 518
第18章 Cisco路由器安全 520
18.1.1 Cisco路由器ACL配置 520
18.1.2 配置路由器ACL蠕蟲病毒
18.1.2 限制 520
18.1.3 配置路由器ACL限制P2P
18.1.2 下載 521
18.2.1 NAT概述 522
18.2.2 靜態地址轉換的實現 523
18.3.1 管理人員控制 527
18.3.2 控制CON連線埠 527
18.3.3 禁用AUX連線埠 528
18.3.4 許可權分級策略 528
18.4 網路服務和路由協定安全 528
18.5.1 使用IKE建立安全聯盟配置 532
18.5.2 使用手工方式建立安全聯盟 533
18.6.1 IP欺騙防範 534
18.6.2 SYN淹沒防範 535
18.6.3 Ping攻擊防範 536
18.6.4 DoS和DDoS攻擊防範 537
18.7 使用SDM配置路由器安全 537
18.7.1 Cisco SDM簡介 537
18.7.2 配置路由器安全 539
第19章 Cisco無線網路安全 540
19.1 無線網路設備安全 540
19.2 IEEE 802.1x身份認證 555
19.2.1 部署IEEE 802.1x認證 555
19.2.2 無線訪問認證配置步驟 555
19.2.3 配置Cisco無線AP 556
19.3.2 接入點無線客戶安全 563
19.4 使用WCS配置無線網路安全 567
19.4.1 WCS系統需求 567
19.4.2 WCS套用 568
第20章 Cisco安全設備 572
20.1 網路安全設備概述 572
20.2 網路安全設計 582
20.2.1 防火牆設計 582
20.2.3 入侵防禦設計 587
20.2.4 綜合安全設計 589
20.3 Cisco ASDM配置 589
20.3.1 Cisco ASDM簡介 589
20.3.2 Cisco ASDM初始化 592
20.3.3 配置DMZ 593
20.3.4 管理安全設備 599
20.4 網路訪問控制 602
20.4.1 ACL使用規則 602
20.4.2 將Conduit轉換成ACL 603
20.4.3 ICMP命令使用 604
20.4.4 ACL配置實例 604
第3部分 網路訪問安全
第21章 VPN遠程訪問安全 608
21.1 VPN概述 608
21.1.1 VPN簡介 608
21.1.2 VPN的特點與套用 608
21.1.3 VPN的類型與適用 610
21.2 藉助路由器實現VPN 613
21.3 藉助網路防火牆實現VPN 615
21.3.1 藉助Cisco PIX實現VPN 615
21.3.2 藉助Cisco ASA 5510實現VPN 622
21.4 藉助Windows Server實現VPN 631
21.4.1 搭建VPN伺服器 631
21.4.2 VPN伺服器端的設定 636
21.4.3 VPN客戶端的配置 644
第22章 Internet訪問安全 646
22.1 ISA Server 2006概述 646
22.1.1 ISA Server 2006簡介 646
22.1.2 理論知識準備 648
22.1.3 ISA Server的部署與套用 650
22.2 Internet連線配置 656
22.2.1 允許區域網路計算機使用主機的
22.2.1 DHCP伺服器 657
22.2.2 允許區域網路使用ping命令 659
22.2.3 允許區域網路計算機訪問外部
22.2.1 Web站點 660
22.2.4 允許區域網路訪問外部FTP伺服器 661
22.2.5 允許本地主機訪問外網 662
22.2.6 允許區域網路計算機使用QQ、UC等
22.2.6 聊天軟體 663
22.2.7 禁止訪問某些網路 666
22.2.8 禁止使用第三方的代理伺服器 668
22.2.9 修改訪問規則 669
22.2.10 阻止BT類軟體 671
22.2.11 阻止某些檔案 672
22.3 發布伺服器 673
22.3.1 發布Web伺服器 673
22.3.2 發布FTP伺服器 677
22.3.3 發布郵件伺服器 679
22.3.4 發布Exchange的OWA服務 680
22.3.5 發布SQL Server伺服器 682
22.3.6 發布終端伺服器 683
22.3.7 發布安全Web伺服器 683
22.3.8 為Internet用戶提供代理服務 684
22.4 實現安全VPN訪問服務 685
22.4.1 在ISA Server中啟用VPN
22.4.1 伺服器 685
22.4.2 檢查與配置VPN伺服器 688
22.4.3 用戶管理與設定 688
22.5 高效訪問Internet 689
22.5.1 啟用快取 689
22.5.2 創建正向快取 690
22.5.3 禁止反向快取 692
22.5.4 禁止對某些站點快取 693
22.6 ISA Server 2006的備份與恢復 693
22.6.1 備份防火牆策略 694
22.6.2 備份ISA Server 2006的
22.6.2 所有配置 695
22.6.3 恢復ISA Server 2006的配置 696
第23章 網路數據存儲安全 700
23.1.1 DAS 700
23.1.2 NAS 701
23.1.3 SAN 704
23.2 RAID的實現 712
23.2.1 RAID卡管理 713
23.2.2 Windows Server 2008 RAID 5
23.2.2 的設定 714
23.3 數據備份和恢復 716
23.3.1 備份數據 716
23.3.2 恢複數據 721
23.4.3 監控每個用戶的磁碟配額
23.4.3 使用情況 726
第24章 數據流量監控與分析 727
24.1 網路流量監控利器——
24.1 Sniffer Pro 727
24.1.1 Sniffer Pro安裝與配置 727
24.1.2 Sniffer Pro的監控模式 730
24.1.3 創建過濾器 737
24.1.4 Sniffer的使用 740
24.1.5 套用實例 746
24.2.1 MRTG簡介 751
24.2.2 網路設備和伺服器的準備 752
24.2.3 監控計算機上的MRTG配置 755
24.2.4 監控伺服器設定 757
作者簡介
劉曉輝,衡水學院網路中心主任,MCSE,CCNP,高級工程師。長期工作在計算機網路教學、實驗和管理的第一線,主持籌建了多個大中型
網路工程,擔任了多個網路項目招標和驗收的評審專家,參與了多個國家級和省級科研課題,在《電腦報》和《中國電腦教育報》等報刊發表技術文章百佘篇,出版計算機圖書多部。主要代表著作有:《網路硬體安裝與配置》、《網路故障現場處理實踐》、《交換機.路由器。防火牆》、《Windoves 9X/Me/2000/XP/2003 DOS命令實用技術詳解》等。