《第8章 網(wǎng)絡安全管理》由會員分享，可在線閱讀，更多相關《第8章 網(wǎng)絡安全管理（48頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第第8章章 網(wǎng)絡安全管理網(wǎng)絡安全管理學習目標學習目標l了解系統(tǒng)安全的概念，了解Windows 2000 Server所提供的安全機制；l掌握實現(xiàn)計算機安全管理的安全策略配置；l掌握實現(xiàn)計算機網(wǎng)絡安全保護的防火墻配置；l掌握實現(xiàn)遠程客戶安全訪問本地局域網(wǎng)的RAS和VPN配置；l掌握終端服務的配置和系統(tǒng)性能的監(jiān)視及優(yōu)化；l了解Windows 2000 Server安全檢查和評估的基本內容。第第8章章 網(wǎng)絡安全管理網(wǎng)絡安全管理教學內容教學內容l網(wǎng)絡安全概述l網(wǎng)絡安全配置與分析lRAS配置與管理lVPN配置與管理l終端服務l系統(tǒng)性能及安全評估8.1 網(wǎng)絡安全概述 網(wǎng)絡安全一般是指網(wǎng)絡系統(tǒng)的硬件、軟件及

2、其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改和泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全包括物理安全、邏輯安全、操作系統(tǒng)安全和聯(lián)網(wǎng)安全等。8.1 網(wǎng)絡安全概述Windows 2000 Server提供的各種相提供的各種相應的安全機制應的安全機制l分布式環(huán)境下的用戶身份驗證l訪問控制機制l動態(tài)目錄服務（Active Directory Service）l數(shù)據(jù)加密服務l統(tǒng)一的安全策略l安全部署應用程序（確保運行在其上的應用程序的安全性）l輔助日常管理任務l其他8.2:網(wǎng)絡安全配置與分析網(wǎng)絡安全配置與分析 l認證認證 認證是一個實體向另外的實體證明其身份的能力。

3、l授權授權 授權是用來發(fā)現(xiàn)用戶是否有權進行他所請求進行的活動的過程。l審核審核 審核是檢查某件事是否按照它被期望的方式進行的過程。l安全策略安全策略 安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則，它包含當規(guī)則不被遵守時會激發(fā)的規(guī)程動作的一個表達。8.2:網(wǎng)絡安全配置與分析網(wǎng)絡安全配置與分析l病毒防治病毒防治 計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。對病毒的防治主要通過安裝殺毒軟件和良好的系統(tǒng)管理運行機制來實現(xiàn)。l放火墻放火墻 防火墻主要是通過防止對網(wǎng)絡進行未授權訪問來保證網(wǎng)

4、絡的安全性，防火墻一般既可以由硬件設備也可以由軟件來實現(xiàn)。實訓實訓8-1：“本地安全策略本地安全策略”的配置的配置 圖圖8-1“本地安全設置本地安全設置”窗口窗口“本地安全策略本地安全策略”的配置（續(xù)）的配置（續(xù)）圖圖8-2“密碼長度最小值密碼長度最小值”對話框對話框“本地安全策略本地安全策略”的配置（續(xù)）的配置（續(xù)）圖圖8-“審核登錄事件審核登錄事件”對話框對話框“本地安全策略本地安全策略”的配置（續(xù)）的配置（續(xù)）圖圖8-“備份文件和目錄備份文件和目錄”對話框對話框“本地安全策略本地安全策略”的配置（續(xù)）的配置（續(xù)）圖圖8-“不顯示登錄用戶名不顯示登錄用戶名”對話框對話框 實訓實訓8-2：W

5、indows 2003“防火墻防火墻”配置配置 圖圖8-“網(wǎng)絡連接屬性網(wǎng)絡連接屬性”對話框對話框 Windows 2003“防火墻防火墻”配置配置（續(xù)）（續(xù)）圖圖8-7“高級設置高級設置”對話框對話框 8.3：RAS配置與管理配置與管理Windows 2000 Server的遠程訪問提供了兩種不同類型的遠程訪問連接，即遠程撥號訪問和虛擬專用網(wǎng)絡。RAS服務器扮演著RAS客戶端與本地網(wǎng)絡之間的路由器或網(wǎng)關的角色，讓RAS客戶端能夠通過它來連接公司內部網(wǎng)絡，訪問網(wǎng)絡資源，就好像它們是在本地直接連接著網(wǎng)絡。比如RAS客戶端可以通過網(wǎng)絡鄰居訪問網(wǎng)絡中其他計算機上的共享文件夾。8.3：RAS配置與管理配

6、置與管理Windows 2000 Server的遠程訪問提供了兩種不同類型的遠程訪問連接，即遠程撥號訪問和虛擬專用網(wǎng)絡。RAS服務器扮演著RAS客戶端與本地網(wǎng)絡之間的路由器或網(wǎng)關的角色，讓RAS客戶端能夠通過它來連接公司內部網(wǎng)絡，訪問網(wǎng)絡資源，就好像它們是在本地直接連接著網(wǎng)絡。比如RAS客戶端可以通過網(wǎng)絡鄰居訪問網(wǎng)絡中其他計算機上的共享文件夾。實訓實訓8-3：RAS配置與管理配置與管理 一、配置一、配置RAS服務器服務器 l選擇“開始”“程序”“管理工具”“路由和遠程訪問”，彈出路由和遠程訪問控制臺窗口。右鍵單擊服務器并單擊快捷菜單中選擇“配置并啟用路由和遠程訪問”命令。l出現(xiàn)路由和遠程訪問服

7、務器安裝向導窗口，單擊“下一步”按鈕。l出現(xiàn)公共設置窗口。選定“遠程訪問服務器”選項單擊“下一步”按鈕。l出現(xiàn)遠程客戶機協(xié)議窗口。在窗口中列出所有已安裝的協(xié)議，如果再無協(xié)議安裝，選擇“是，所有要求的協(xié)議都在此列表中”選項，否則，選定“否我需要添加協(xié)議”選項，單擊“下一步”按鈕。實訓實訓8-3：RAS配置與管理配置與管理 配置配置RAS服務器服務器 l出現(xiàn)IP地址指定窗口。如果網(wǎng)絡中有DHCP服務器，可選定“自動”項，否則選定“來自一個指定的地址范圍”項，單擊“下一步”按鈕。l如果選擇“來自一個指定的地址范圍”項，出現(xiàn)地址范圍指定窗口。單擊“新建”按鈕，分別輸入起始IP地址和結束IP地址，確定I

8、P地址范圍。l出現(xiàn)管理多個遠程訪問服務器窗口。除非已建立RADIUS服務器，否則選擇“不，我現(xiàn)在不想設置此服務器使用RADIUS”項，單擊“下一步”按鈕。l出現(xiàn)完成路由和遠程訪問服務器安裝向導窗口，單擊“完成”按鈕，完成RAS配置。RAS配置與管理配置與管理(續(xù)續(xù)1)圖圖8-8“路由和遠程訪問路由和遠程訪問”窗口窗口 RAS配置與管理配置與管理(續(xù)續(xù)2)圖圖8-9“公共設置公共設置”對話框對話框 RAS配置與管理配置與管理(續(xù)續(xù)3)圖圖8-10“遠程訪問服務器設置遠程訪問服務器設置”對話框對話框 RAS配置與管理配置與管理(續(xù)續(xù)4)圖圖8-11“地址范圍指定地址范圍指定”對話框對話框 RAS配

9、置與管理配置與管理(續(xù)續(xù)5)圖圖8-12 “用戶屬性用戶屬性”對話框對話框 二、配置授權用戶撥入屬性二、配置授權用戶撥入屬性 RAS配置與管理配置與管理(續(xù)續(xù)6)圖圖8-13 “選擇屬性選擇屬性”對話框對話框 三、配置三、配置RAS客戶機客戶機四、管理四、管理RAS服務器（設置用戶的服務器（設置用戶的RAS使用使用權限，新建遠程訪問策略）權限，新建遠程訪問策略）8.4:VPN配置與管理 虛擬專用網(wǎng)絡的優(yōu)點虛擬專用網(wǎng)絡的優(yōu)點 降低企業(yè)的一般管理成本使用Internet減少一般管理費用 更多的安全加密的、虛擬的、點到點的連接 虛擬網(wǎng)絡l遠程訪問協(xié)議遠程訪問協(xié)議 PPTP L2TP IPSec 8.

10、4:VPN配置與管理 圖圖8-14 虛擬專用網(wǎng)絡示例圖虛擬專用網(wǎng)絡示例圖8.5：終端服務 利用終端服務，終端仿真軟件將鍵擊和鼠標操作發(fā)送到服務器。終端服務器在本地完成所有的數(shù)據(jù)操作，并將顯示結果傳回。這種方法實現(xiàn)了對服務器的遠程控制和集中的應用程序管理，可以將服務器和客戶機之間的網(wǎng)絡帶寬要求減到最低。8.5：終端服務終端服務的兩種具體實現(xiàn)模式終端服務的兩種具體實現(xiàn)模式 應用程序服務器。遠程管理模式。終端服務的優(yōu)點終端服務的優(yōu)點降低客戶端計算機的硬件成本 集中管理應用程序 遠程管理Windows 2000 Server的終端服務的組成的終端服務的組成 實訓8.6：終端服務的安裝和使用終端服務的安

11、裝和使用 一、服務端添加一、服務端添加“終端服務終端服務”組件組件 圖圖8-15“添加添加/刪除刪除Windows組件組件”對話框對話框 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)1）圖圖8-16 “終端服務安裝程序終端服務安裝程序”對話框對話框 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)2）圖圖8-17 “終端服務安裝程序終端服務安裝程序”對話框對話框 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)3）圖圖8-18 “開始開始”菜單菜單 圖圖8-19 “創(chuàng)建安裝盤創(chuàng)建安裝盤”對話框對話框 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)4）二、客戶端安裝客戶端安裝 圖圖8-20

12、 “安裝界面安裝界面”對話框對話框 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)5）三、“終端服務終端服務”服務器端的設置服務器端的設置 終端用戶屬性設置終端用戶屬性設置 圖圖8-21 “用戶屬性用戶屬性”對話框對話框 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)6）終端服務器的設置終端服務器的設置 圖圖8-22“RDP-Tcp屬性屬性”對話框對話框 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)7）四、客戶機連接及管理客戶機連接及管理 客戶機登錄到終端服務器客戶機登錄到終端服務器 圖圖8-23 終端服務客戶端界面終端服務客戶端界面 終端服務的安裝和使用（續(xù)終端服務的安裝和使用（續(xù)8

13、）服務器端的管理服務器端的管理 圖圖8-24“終端服務管理器終端服務管理器”窗口窗口 8.6：系統(tǒng)性能及安全評估：系統(tǒng)性能及安全評估 服務器性能監(jiān)視服務器性能監(jiān)視：服務器性能監(jiān)視通常需要收集的性能數(shù)據(jù)包括：內存、CPU、磁盤和網(wǎng)絡日志監(jiān)視實時監(jiān)視應用程序選項卡進程選項卡性能選項卡 8.6：系統(tǒng)性能及安全評估：系統(tǒng)性能及安全評估網(wǎng)絡性能監(jiān)視網(wǎng)絡性能監(jiān)視 通過分析網(wǎng)絡性能，比如監(jiān)視網(wǎng)絡吞吐量和那些影響軟硬件的資源使用，可以優(yōu)化系統(tǒng)的性能。系統(tǒng)優(yōu)化措施系統(tǒng)優(yōu)化措施 系統(tǒng)性能優(yōu)化、環(huán)境變量優(yōu)化幾項安全配置幾項安全配置 設置好IIS、禁止不必要服務、設置“本地安全策略”實訓8.7：系統(tǒng)性能監(jiān)視系統(tǒng)性能監(jiān)

14、視 利用日志方式來監(jiān)視服務器和網(wǎng)絡性能利用日志方式來監(jiān)視服務器和網(wǎng)絡性能 圖圖8-25 “性能控制臺性能控制臺”窗口窗口 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)1）圖圖8-26 “新建日志新建日志”對話框對話框 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)2）圖圖8-27 “選擇計數(shù)器選擇計數(shù)器”對話框對話框 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)3）圖圖8-28 “日志文件日志文件”選項卡選項卡 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)4）利用利用“網(wǎng)絡監(jiān)視器網(wǎng)絡監(jiān)視器”來監(jiān)視網(wǎng)絡性能來監(jiān)視網(wǎng)絡性能 圖圖8-29 “網(wǎng)絡監(jiān)視器網(wǎng)絡監(jiān)視器”窗口窗口 圖圖8-30 “捕獲緩沖區(qū)設置捕獲緩沖區(qū)設置”對話框對話框 系統(tǒng)性能監(jiān)視（續(xù)

15、系統(tǒng)性能監(jiān)視（續(xù)5）圖圖8-31 “捕獲篩選程序捕獲篩選程序”對話框對話框 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)6）圖圖8-32 “捕獲觸發(fā)器捕獲觸發(fā)器”對話框對話框 系統(tǒng)性能監(jiān)視（續(xù)系統(tǒng)性能監(jiān)視（續(xù)7）圖圖8-33 “網(wǎng)絡監(jiān)視器網(wǎng)絡監(jiān)視器”窗口窗口 8.6.4 安全設置檢查清單 物理安全 停掉Guest 帳號限制不必要的用戶數(shù)量。把系統(tǒng)Administrator帳號改名使用安全密碼 設置屏幕保護密碼 使用NTFS格式分區(qū)運行防毒軟件保障備份盤的安全 關閉不必要的服務 關閉不必要的端口 設置本地安全策略設置自動更新本章小結本章小結本章主要介紹了Windows 2000 Server安全機制的基本內容，即提供了有關用戶操作權限、系統(tǒng)安全審核、加密數(shù)據(jù)傳送和存儲以及遠程安全連接等諸多方面的安全特性。學習了本地安全策略的配置和網(wǎng)絡安全防護的放火墻配置。介紹了遠程訪問的作用和安全協(xié)議，主要學習了RAS和VPN的基本配置。學習了終端服務的兩種模式和基本配置，最后給出了系統(tǒng)性能檢查分析的方法和系統(tǒng)安全檢查的基本內容。