【正文】 有從內(nèi)部訪問(wèn)外部的數(shù)據(jù)流和外部訪問(wèn)內(nèi)部的數(shù)據(jù)流均必須通過(guò)防火墻；只有在被定義的數(shù)據(jù)流才可以通過(guò)防火墻(如果通過(guò)其他方式帶出信息，則無(wú)法防備），防火墻本身必須有很強(qiáng)的免疫力。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。透明模式的防火墻就好象是一臺(tái)網(wǎng)橋，不改動(dòng)其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。路由模式的防火墻結(jié)構(gòu)如下圖所示:在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式。ISA Server的主要特性：　（1）多層防火墻安全防火墻可以通過(guò)各種方法增強(qiáng)安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。動(dòng)態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請(qǐng)求，并且打開端口的持續(xù)時(shí)間恰好滿足該請(qǐng)求的需要，從而減少與打開端口相關(guān)的攻擊。(3）集成的入侵檢測(cè)ISA Server利用一家名為 Internet Security Systems 的公司所提供的技術(shù)，提供幫助管理員識(shí)別諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。(4）高性能 Web 緩存ISA Server 對(duì) Web 緩存進(jìn)行了徹底的重新設(shè)計(jì)，使它可以將緩存放入 RAM 中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。通過(guò)活動(dòng)緩存，經(jīng)常被訪問(wèn)的對(duì)象在它們到期之前，在低網(wǎng)絡(luò)流量時(shí)段自動(dòng)更新。ISA Server 可作為獨(dú)立服務(wù)器安裝或作為陣列成員安裝。 VPN（Virtual Private Network）VPN即虛擬專用網(wǎng)絡(luò)，是通過(guò) Internet 公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全地傳遞數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)絡(luò)連接是一種創(chuàng)建和配置虛擬專用網(wǎng)絡(luò)的操作。VPN技術(shù)的效果類似于傳統(tǒng)的DDN專線聯(lián)網(wǎng)方式，網(wǎng)絡(luò)拓?fù)淙缦聢D所示。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過(guò)公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道來(lái)傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IP SEC、GRE等。 2） VPN使用的協(xié)議（1）鏈路層L2TP、PPTP協(xié)議PPTP PPTP是PPP的擴(kuò)展，它增加了一個(gè)新的安全等級(jí)，并且可以通過(guò)Internet 進(jìn)行多協(xié)議通信，它支持通過(guò)公共網(wǎng)絡(luò)（如Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。尤其是使用EAP后，通過(guò)啟用 PPTP 的 VPN傳輸數(shù)據(jù)就象在企業(yè)的一個(gè)局域網(wǎng)內(nèi)那樣安全。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議安全 (IPSec) 機(jī)制來(lái)進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密。3）傳輸層SSL、TLS、SOCKS協(xié)議SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。 主機(jī)安全1） 系統(tǒng)漏洞系統(tǒng)漏洞是指網(wǎng)絡(luò)操作系統(tǒng)本身所存在的技術(shù)缺陷。在不同種類的軟、硬件設(shè) 備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同的安全漏洞問(wèn)題。Windows操作系統(tǒng)供應(yīng)商將定期對(duì)已知的系統(tǒng)漏洞發(fā)布補(bǔ)丁程序，用戶只要定期下載并安裝補(bǔ)丁程序，可以保證計(jì)算機(jī)不會(huì)輕易被病毒、黑客入侵。例如利用開放的FTP、遠(yuǎn)程桌面端口漏洞提升權(quán)限問(wèn)題。有些數(shù)據(jù)郵寄或傳輸?shù)絻?nèi)部主機(jī)被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng) 提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。在選擇漏洞掃描工具時(shí)要充分考慮各種技術(shù)和漏洞庫(kù)信息，漏洞庫(kù)信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)的漏洞掃描的主要判斷依據(jù)。MBSA目前可以運(yùn)行在Windows 2000、Windows XP和Windows Server 2003環(huán)境中。 l 檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了“自動(dòng)登錄”功能。 l 檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了內(nèi)置的來(lái)賓賬戶。 l 檢查將確定是否有本地用戶賬戶設(shè)置了永不過(guò)期的密碼。l 檢查將確定IIS是否在一個(gè)作為域控制器的系統(tǒng)上運(yùn)行。l 檢查將確定下列IIS示例文件目錄是否安裝在計(jì)算機(jī)上。l 檢查將驗(yàn)證SQL Server目錄是否都將訪問(wèn)權(quán)只限制到SQL服務(wù)賬戶和本地Administrators。l 檢查將確保Everyone組對(duì)HKLM\Software\Microsoft\Microsoft SQL Server和HKLM\Software\Microsoft\MSSQLServer兩注冊(cè)表項(xiàng)的訪問(wèn)權(quán)被限制為讀取權(quán)限。如果找到某個(gè)產(chǎn)品有新版本或更新，它會(huì)提供相關(guān)更新信息和下載連接。掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。216。如果需要靠網(wǎng)管人員逐一到每臺(tái)計(jì)算機(jī)上安裝單機(jī)防病毒軟件，費(fèi)時(shí)費(fèi)力，同時(shí)難以實(shí)施統(tǒng)一的防病毒策略，日后的維護(hù)和更新工作也十分繁瑣。 項(xiàng)目實(shí)施規(guī)劃216。 規(guī)劃的網(wǎng)絡(luò)參數(shù)表216。NAT服務(wù)器可以提供地址轉(zhuǎn)換，從而節(jié)約公用IP地址。 項(xiàng)目流程 圖81 項(xiàng)目流程圖 項(xiàng)目調(diào)查與需求分析8. 3. 1 項(xiàng)目目標(biāo)本項(xiàng)目針對(duì)校園網(wǎng)的網(wǎng)絡(luò)設(shè)備的通信線路進(jìn)行監(jiān)測(cè)和管理，遠(yuǎn)程管理服務(wù)器，建立數(shù)據(jù)的存儲(chǔ)和備份系統(tǒng)。216。216。 分析2：創(chuàng)建服務(wù)器遠(yuǎn)程桌面連接。 要求1（必做）：組建本項(xiàng)目的網(wǎng)絡(luò)管理系統(tǒng)和備份系統(tǒng)，組建并完成項(xiàng)目實(shí)施的文檔，模擬實(shí)現(xiàn)校園網(wǎng)絡(luò)的管理與備份。 要求3（必做）：安裝配置服務(wù)器的遠(yuǎn)程管理，進(jìn)行服務(wù)器的遠(yuǎn)程控制。 要求4（選做）：安裝配置數(shù)據(jù)備份系統(tǒng)（備份軟件），模擬數(shù)據(jù)統(tǒng)一備份。2．安全性對(duì)校園網(wǎng)設(shè)備進(jìn)行監(jiān)控應(yīng)保障設(shè)備和網(wǎng)絡(luò)的安全，不得因監(jiān)測(cè)對(duì)設(shè)備和服務(wù)器產(chǎn)生安全故障，遠(yuǎn)程管理系統(tǒng)不能出現(xiàn)安全漏洞而導(dǎo)致降低系統(tǒng)的安全性，最終目的是確保遠(yuǎn)程服務(wù)器的安全運(yùn)行和管理。4．實(shí)用性 校園網(wǎng)具有多種不同品牌和不同型號(hào)的設(shè)備，操作系統(tǒng)具有不同的平臺(tái)，應(yīng)能監(jiān)控各種型號(hào)的設(shè)備和系統(tǒng)。事實(shí)上，網(wǎng)絡(luò)管理還應(yīng)該包括其他一些功能，比如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作人員的管理等。 （1）SNMP管理技術(shù)SNMP是基于TCP/IP的Internet網(wǎng)絡(luò)管理標(biāo)準(zhǔn)是最廣泛的一種網(wǎng)絡(luò)管理協(xié)議，是網(wǎng)絡(luò)管理事實(shí)上的標(biāo)準(zhǔn)。SNMP管理模型的主要組成部分：l 管理站（Management Station）即管理進(jìn)程，作為網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)管理系統(tǒng)的接口。它包含了一個(gè)關(guān)于特定設(shè)備和該設(shè)備所在環(huán)境的信息。利用SNMP 協(xié)議可以查詢管理代理實(shí)現(xiàn)的MIB中相應(yīng)對(duì)象的值，以監(jiān)視網(wǎng)絡(luò)設(shè)備的狀態(tài)。MIB 作為設(shè)在管理代理處的管理進(jìn)程訪問(wèn)點(diǎn)的集合，管理進(jìn)程通過(guò)讀取MIB中對(duì)象的值來(lái)進(jìn)行網(wǎng)絡(luò)監(jiān)控。具有從所有被管網(wǎng)絡(luò)實(shí)體的MIB中抽取信息的數(shù)據(jù)庫(kù)，將網(wǎng)絡(luò)管理員的要求轉(zhuǎn)變?yōu)閷?duì)遠(yuǎn)程網(wǎng)絡(luò)元素的實(shí)際監(jiān)控能力。SNMP自身是采用無(wú)連接的信息傳輸方式，它是通過(guò)用戶數(shù)據(jù)報(bào)協(xié)議（UDP）來(lái)操作， 因而帶給網(wǎng)絡(luò)系統(tǒng)的負(fù)載很低。一臺(tái)設(shè)備所支持的管理程度反映了該設(shè)備的可管理性及可操作性，以下是網(wǎng)絡(luò)管理的主要功能：故障管理：對(duì)網(wǎng)絡(luò)環(huán)境中問(wèn)題和故障進(jìn)行定位配置管理：通過(guò)網(wǎng)絡(luò)管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的配置安全管理：提供登錄用戶安全級(jí)別，視圖瀏覽權(quán)限等性能管理：網(wǎng)絡(luò)管理系統(tǒng)向用戶提供被管設(shè)備相關(guān)的性能參數(shù)計(jì)費(fèi)管理：監(jiān)視和記錄用戶對(duì)網(wǎng)絡(luò)資源的使用，對(duì)其收取合理費(fèi)用常見的網(wǎng)絡(luò)管理方式有以下幾種： 項(xiàng)目知識(shí)點(diǎn)216。3．可擴(kuò)充性 應(yīng)考慮被監(jiān)控設(shè)備的增加和變化，采用統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，可以隨時(shí)進(jìn)行監(jiān)控對(duì)象的增加和調(diào)整。對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理應(yīng)不影響業(yè)務(wù)的正常運(yùn)行，確保其可靠性和穩(wěn)定性，使系統(tǒng)的運(yùn)營(yíng)風(fēng)險(xiǎn)降低到最小。 要求4（選做）：安裝配置網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)（ISCSI）軟件，模擬數(shù)據(jù)統(tǒng)一存儲(chǔ)。 要求2（必做）：組建本項(xiàng)目的網(wǎng)絡(luò)管理系統(tǒng)，進(jìn)行校園網(wǎng)設(shè)備和線路的監(jiān)控。 分析3：安裝配置網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)（ISCSI）軟件，模擬數(shù)據(jù)統(tǒng)一存儲(chǔ)216。3）需求分析216。216。需要監(jiān)控的設(shè)備和線路具體如下：設(shè)備類型設(shè)備名稱/型號(hào)IP地址運(yùn)行業(yè)務(wù)用途交換機(jī)Nortel Passport8003核心交換機(jī)交換交換機(jī)ZTE T64G核心交換機(jī)交換交換機(jī)BitWay 6424匯聚交換機(jī)交換交換機(jī)Nortel Bay450匯聚交換機(jī)交換服務(wù)器DELL 1420FTPFTP下載服務(wù)器DELL 1420WEB 網(wǎng)站服務(wù)器DELL 4400DNSDNS服務(wù)器Compaq ML370SQL Server數(shù)據(jù)庫(kù)線路類型發(fā)起端設(shè)備（IP）發(fā)起端口對(duì)端設(shè)備（IP）對(duì)端設(shè)備口對(duì)端位置光纖Port 1/3Port 24行政樓光纖Port 1/4Port 25圖書館光纖Port 1/6Port 25教學(xué)樓光纖Gei_2/12Gei_2/22宿舍樓雙絞線Port 2/22Port 24實(shí)訓(xùn)樓雙絞線Gei_4/24Port 18互聯(lián)網(wǎng)2）具體需求216。同時(shí)可以將內(nèi)部私有網(wǎng)絡(luò)隱藏起來(lái)，起到了保護(hù)內(nèi)部網(wǎng)的作用。VPN與其它遠(yuǎn)程訪問(wèn)不同的是它可以同時(shí)創(chuàng)建的連接比他們多得多。 拓?fù)浣Y(jié)構(gòu)圖請(qǐng)畫出本實(shí)訓(xùn)項(xiàng)目拓?fù)浣Y(jié)構(gòu)圖（visio繪制）。防毒墻網(wǎng)絡(luò)版中的防病毒功能是通過(guò)客戶機(jī)提供的，客戶機(jī)向服務(wù)器報(bào)告并從服務(wù)器獲取更新。計(jì)算機(jī)病毒的危害：(1) 傳染性(2) 未經(jīng)授權(quán)而執(zhí)行(3) 隱蔽性(4) 潛伏性(5) 破壞性(6) 不可預(yù)見性病毒的預(yù)防措施：(1) 安裝防病毒軟件(2) 定期升級(jí)防病毒軟件(3) 不隨便打開不明來(lái)源 的郵件附件(4) 盡量減少其他人使用你的計(jì)算機(jī)(5) 及時(shí)打系統(tǒng)補(bǔ)丁(6) 從外面獲取數(shù)據(jù)先檢察(7) 建立系統(tǒng)恢復(fù)盤(8) 定期備份文件2） 病毒防護(hù)網(wǎng)絡(luò)版網(wǎng)絡(luò)工作站的防護(hù)位于企業(yè)防毒體系中的最底層，對(duì)企業(yè)計(jì)算機(jī)用戶而言，也是最后一道防、殺病毒的要塞。Windows Server 2003操作系統(tǒng)是目前企業(yè)使用比較成熟和廣泛的網(wǎng)絡(luò)服務(wù)器器平臺(tái)，其安全性相對(duì)于Windows Server 2000有了極大的提高。掃描報(bào)告還能列出需要升級(jí)的最近安裝的更新。l 檢查將確定SQL Server服務(wù)賬戶在被掃描的計(jì)算機(jī)上是否為本地或Domain Administrators組的成員，或者是否有SQL Server服務(wù)賬戶在LocalSystem上下文中運(yùn)行。l 檢查將確定SQL Server Guest賬戶是否具有訪問(wèn)數(shù)據(jù)庫(kù)（MASTER、TEMPDB和MSDB除外）的權(quán)限。l 檢查將確定是否有本地SQL Server賬戶采用了簡(jiǎn)單密碼（如空白密碼）。l 檢查將確定IIS日志記錄是否已啟用，以及W3C擴(kuò)展日志文件格式是否已使用。MBSA ：l 檢查將確定MSADC（樣本數(shù)據(jù)訪問(wèn)腳本）和腳本虛擬目錄是否已安裝在被掃描的 IIS計(jì)算機(jī)上。 l 檢查將列出被掃描計(jì)算機(jī)上的每一個(gè)本地用戶當(dāng)前采用的和建議的IE區(qū)域安全設(shè)置。 l 檢查將確定正在接受掃描的計(jì)算機(jī)是否為一個(gè)域控制器。MBSA ：l 檢查將確定并列出屬于Local Administrators 組的用戶賬戶。目前常用的漏洞掃描工具有：（1）微軟安全掃描工具M(jìn)BSAMBSA（Microsoft Baseline Security Analyzer ）是微軟公司提供的免費(fèi)安全掃描工具，系統(tǒng)管理員可以通過(guò)它來(lái)對(duì)一些常用的微軟安全漏洞進(jìn)行評(píng)估，包括缺少的安全更新。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描是一種花費(fèi)低、效果好、見效快、獨(dú)立于網(wǎng)絡(luò)運(yùn)行、安裝運(yùn)行簡(jiǎn)單的網(wǎng)絡(luò)工具，可以減少網(wǎng)絡(luò)管理員大量的手工重復(fù)勞動(dòng)，有利于保持全網(wǎng)安全的穩(wěn)定和統(tǒng)一標(biāo)準(zhǔn)。2） 漏洞掃描漏洞掃描式網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。防火墻本身不具備查殺病毒、木馬的功能。但是防火墻也存在一定的局限性：l 防火墻不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題，對(duì)于防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也無(wú)法處理；l 防火墻無(wú)法解決TCP/IP等協(xié)議的漏洞，例如Dos攻擊（拒絕服務(wù)攻擊）。一個(gè)windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會(huì)被不斷暴露出來(lái)，這些早先被發(fā)現(xiàn)的漏洞也會(huì)不斷被系統(tǒng)供應(yīng)商微軟公司發(fā)布的補(bǔ)丁軟件修補(bǔ)，或在以后發(fā)布的新版系統(tǒng)中得以糾正。漏洞會(huì)影響到的范圍很大，包括系統(tǒng)本身及其支 撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。與復(fù)雜的IPSec VPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。雖然它的實(shí)現(xiàn)會(huì)復(fù)雜一些，但其安全性比其他協(xié)議都完善得多。L2TP 是一個(gè)工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，它和PPTP的功能大致相同。PPTP在基于 TCP/IP 協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建 VPN連接，實(shí)現(xiàn)從遠(yuǎn)程計(jì)算機(jī)到專用服務(wù)器的安全數(shù)據(jù)傳輸。（3）Extranet VPN利用VPN將企業(yè)網(wǎng)伸至合作伙伴與客戶。在Access VPN的應(yīng)用中