【文章內(nèi)容簡(jiǎn)介】 括包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為 。 加強(qiáng)防火墻的使用 ， 可以經(jīng)濟(jì) 、有效地保證網(wǎng)絡(luò)安全 。 一般將防火墻內(nèi)的網(wǎng)絡(luò)稱為“ 可信賴的網(wǎng)絡(luò) ” ， 而將外部的因特網(wǎng)絡(luò)稱為 “ 不可信賴的網(wǎng)絡(luò) ” 。 防火墻可用來(lái)解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問(wèn)題 。 但防火墻也不是萬(wàn)能的 ， 簡(jiǎn)單地購(gòu)買一個(gè)商用的防火墻往往不能得到所需要的保護(hù) ， 但正確地使用防火墻則可將安全風(fēng)險(xiǎn)降低到可接受水平 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 換句話說(shuō) ， 防火墻的作用就好比一道安全門 ， 通過(guò)這道 “ 門 ” 可以控制進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)的流通 ，另一方面它又要允許網(wǎng)絡(luò)數(shù)據(jù)的流通 。 正是由于這種網(wǎng)絡(luò)的管理機(jī)制及安全策略的不同 ， 才使防火墻的規(guī)則制訂呈現(xiàn)出不同的表現(xiàn)形式 。 歸納起來(lái) ， 有兩種形式 ， 第一種是除了非允許不可的都被禁止 ， 第二種是除了非禁止不可的都被允許 。 其中第一種形式的特點(diǎn)是非常安全但可用性差 ， 第二種形式的特點(diǎn)是易用但不夠安全 ， 所以目前大多數(shù)防火墻都在兩者之間采取折中的方式制定規(guī)則 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 加密技術(shù)是網(wǎng)絡(luò)信息安全主動(dòng)的 、 開(kāi)放型的防范手段 ， 對(duì)于敏感數(shù)據(jù)應(yīng)采用加密處理 ， 并且在數(shù)據(jù)傳輸時(shí)采用加密傳輸 ， 目前加密技術(shù)主要有兩大類：一類是基于對(duì)稱密鑰的加密算法 ， 也稱私鑰算法；另一類是基于非對(duì)稱密鑰的加密算法 ， 也稱公鑰算法 。 加密手段 ， 一般分軟件加密和硬件加密兩種 。 軟件加密成本低而且實(shí)用靈活 ， 更換也方便 ， 硬件加密效率高 ， 本身安全性高 。 密鑰管理包括密鑰產(chǎn)生 、 分發(fā) 、 更換等 ， 是數(shù)據(jù)保密的重要一環(huán) 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 何謂 “ 密鑰 ” ？ “ 密鑰 ” 是指一段用來(lái)加密解密的字符串 。 ◇ 對(duì)稱加密法 使用這種方法 ， 客戶端與服務(wù)器端所使用的密鑰是一樣的 ， 就像我們用鑰匙將房子上了鎖 ，需要用同一把鑰匙才能把鎖打開(kāi) ， 這種方法也稱之為私鑰密法 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 ◇ 非對(duì)稱加密法 使用這種方法 ， 客戶端與服務(wù)器端所擁有的密鑰是不一樣的 ， 客戶端的密鑰稱為公鑰 ， 而服務(wù)端所擁有的則為私鑰 。 公鑰是用來(lái)加密用 ，可放置在公開(kāi)場(chǎng)合 ， 不限定任何人領(lǐng)??；經(jīng)公鑰加密的資料 ， 只能由私鑰解密 ， 因此私鑰通常由提供服務(wù)的服務(wù)商保管 。 此方法被稱之為公鑰加密法 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 用戶識(shí)別和驗(yàn)證也是一種基本的安全技術(shù) 。其核心是識(shí)別訪問(wèn)者是否屬于系統(tǒng)的合法用戶 ，目的是防止非法用戶進(jìn)入系統(tǒng) 。 目前一般采用基于對(duì)稱密鑰加密或公開(kāi)密鑰加密的方法 ， 采用高強(qiáng)度的密碼技術(shù)來(lái)進(jìn)行身份認(rèn)證 。 比較著名的有 Kerberos、 PGP等方法 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 訪問(wèn)控制是控制不同用戶對(duì)信息資源的訪問(wèn)權(quán)限 。 根據(jù)安全策略 ， 對(duì)信息資源進(jìn)行集中管理 ， 對(duì)資源的控制粒度有粗粒度和細(xì)粒度兩種 ，可控制到文件 、 Web的 HTML頁(yè)面 、 圖形 、 CCT、Java應(yīng)用 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 計(jì)算機(jī)病毒從 1981年首次被發(fā)現(xiàn)以來(lái) ， 在近20年的發(fā)展過(guò)程中 ， 在數(shù)目和危害性上都在飛速發(fā)展 。 因此 ， 計(jì)算機(jī)病毒問(wèn)題越來(lái)越受到計(jì)算機(jī)用戶和計(jì)算機(jī)反病毒專家的重視 ， 并且開(kāi)發(fā)出了許多防病毒的產(chǎn)品 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 漏洞檢測(cè)和安全風(fēng)險(xiǎn)評(píng)估技術(shù) ， 可預(yù)知主體受攻擊的可能性和具體地指證將要發(fā)生的行為和產(chǎn)生的后果 。 該技術(shù)的應(yīng)用可以幫助分析資源被攻擊的可能指數(shù) ， 了解支撐系統(tǒng)本身的脆弱性 ， 評(píng)估所有存在的安全風(fēng)險(xiǎn) 。 網(wǎng)絡(luò)漏洞掃描技術(shù) ， 主要包括網(wǎng)絡(luò)模擬攻擊 、 漏洞檢測(cè) 、報(bào)告服務(wù)進(jìn)程 、 提取對(duì)象信息以及評(píng)測(cè)風(fēng)險(xiǎn) 、 提供安全建議和改進(jìn)措施等功能 ， 幫助用戶控制可能發(fā)生的安全事件 ， 最大可能地消除安全隱患 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 入侵行為主要是指對(duì)系統(tǒng)資源的非授權(quán)使用 。 它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞 ， 可以造成系統(tǒng)拒絕合法用戶的服務(wù)等危害 。 入侵檢測(cè)是一種增強(qiáng)系統(tǒng)安全的有效技術(shù) 。 其目的就是檢測(cè)出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng) 。 檢測(cè)時(shí) ， 通過(guò)對(duì)系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評(píng)估 ， 并根據(jù)評(píng)估結(jié)果來(lái)鑒別系統(tǒng)中行為的正常性 ， 從而幫助系統(tǒng)管理員進(jìn)行安全管理或?qū)ο到y(tǒng)所受到的攻擊采取相應(yīng)的對(duì)策 。 返回本章首頁(yè) 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 微軟為了提高 Windows 2022的安全進(jìn)行了很多技術(shù)上的創(chuàng)新 ， Windows 2022在安全方面比以前的 Windows 系統(tǒng)有很大的提高 ，但 Windows 2022的安全問(wèn)題同樣不容忽視 。 10． 4 Windows 2022安全配置技術(shù) 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 微軟通常會(huì)不定期的推出針對(duì)系統(tǒng)更新的Service Pack， Service Pack的安裝是系統(tǒng)安全必不可少的環(huán)節(jié) ， Service Pack的推出一般周期較長(zhǎng) ，象 Windows 2022 標(biāo)準(zhǔn)版是 2022年發(fā)行的 ， 微軟直到 2022年 4月才推出 Service Pack 1。 針對(duì)系統(tǒng)漏洞方面的補(bǔ)丁微軟一般會(huì)單獨(dú)提供補(bǔ)丁程序 ，如大家熟知的沖擊波補(bǔ)丁就是單獨(dú)提供的 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 1． 在線升級(jí) Windows Update是我們用來(lái)升級(jí)系統(tǒng)的組件 ，通過(guò)它來(lái)更新系統(tǒng) ， 能夠擴(kuò)展系統(tǒng)的功能 ， 讓系統(tǒng)支持更多的軟 、 硬件 ， 解決各種兼容性問(wèn)題 ，讓系統(tǒng)更安全 、 更穩(wěn)定 。 在線升級(jí)步驟如下： 步驟 1：保證系統(tǒng)能接入 Inter ， 單擊 “ 開(kāi)始 ” → “ Windows Update”連接到微軟的更新站點(diǎn) 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 步驟 2：在 Windows Update頁(yè)面中 ， 出現(xiàn)“ 正在搜索 Windows Update軟件的最新版本 ” 提示 ， 系統(tǒng)需要一些的檢測(cè)時(shí)間 ， 如果期間出現(xiàn)安全警告請(qǐng)按 “ 確定 ” ， 單擊 “ 查看以尋找更新 ” ，接著還會(huì)出現(xiàn) “ 復(fù)查并安裝更新 ” ， 單擊 “ 立即安裝 ” → “ 確定 ” ， 系統(tǒng)將自動(dòng)下載程序并安裝 ，期間可能會(huì)提示重啟 ， 請(qǐng)按系統(tǒng)提示操作 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 2． 離線升級(jí) 在線升級(jí)對(duì)網(wǎng)速要求較高 ， 如果網(wǎng)速不穩(wěn)定 ， 很容易引起升級(jí)失敗 ， 我們也可以把需要更新的程序下載后再進(jìn)行升級(jí) 。 經(jīng)常訪問(wèn)微軟的官方 網(wǎng) 站 獲 取 更 新 信 息 ， 網(wǎng) 址 ： 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 3． 自動(dòng)升級(jí) 設(shè)置方法：桌面 → “ 我的電腦 ” → “ 右鍵屬性 ” → “ 自動(dòng)更新 ” 如圖 ， 選定“ 保持我的計(jì)算機(jī)更新 ” ,在設(shè)置中設(shè)置自動(dòng)更新方式 ， 按 “ 確定 ” 。 設(shè)置完成后 ， 系統(tǒng)不定期在后臺(tái)訪問(wèn)微軟的更新網(wǎng)站 ， 如有新的補(bǔ)丁系統(tǒng)將自動(dòng)下載 ， 并通知安裝 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 Windows 2022 標(biāo)準(zhǔn)版本中集成了 Inter 連接防火墻 (Inter Connection Firewall， 簡(jiǎn)稱 ICF)功能 ， 但功能顯得較弱 ， 微軟在 Service Pack 1中加入了功能更強(qiáng)完善的 Windows防火墻代替 ICF。 Windows 防火墻是一個(gè)基于主機(jī)的狀態(tài)防火墻 ， 它會(huì)斷開(kāi)未經(jīng)防火墻許可的通信 。 Windows防火墻可以通過(guò)組策略對(duì)防火墻進(jìn)行各種設(shè)置 。 和其他的防火墻不同 ， Windows 防火墻和系統(tǒng)緊密集成 ， 可以為系統(tǒng)提供更加安全的保護(hù) 。 Windows 防火墻對(duì)話框包括：常規(guī) 、 例外 、 高級(jí)選項(xiàng)卡 。 Windows防火墻 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 1． 常規(guī)設(shè)置 在 “ 常規(guī) ” 選項(xiàng)卡中 ， 您可以進(jìn)行下列操作 ， 如圖 。 ◇ 啟用 （ 推薦 ） 默認(rèn)情況下 Windows Firewall處于關(guān)閉狀態(tài) ， 選擇對(duì) “ 高級(jí) ” 選項(xiàng)卡中選定的所有網(wǎng)絡(luò)連接啟用 Windows 防火墻 。 啟用 Windows 防火墻后將只允許請(qǐng)求的和例外的傳入通信 。例外通信在 “ 例外 ” 選項(xiàng)卡中進(jìn)行配置 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 圖 Windows 防火墻界面 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 不允許例外 點(diǎn)擊該選項(xiàng)將只允許請(qǐng)求的傳入通信 ， 例外傳入通信則不被允許 。 不管 “ 高級(jí) ” 選項(xiàng)卡中的設(shè)置如何 ， “ 例外 ” 選項(xiàng)卡中的設(shè)置將被忽略 ， 所有的網(wǎng)絡(luò)連接都將得到保護(hù) 。 ◇ 關(guān)閉 （ 不推薦 ） 選擇該選項(xiàng)將禁用 Windows 防火墻 。 不推薦使用此選項(xiàng) ， 尤其是對(duì)于可以直接從 Inter 進(jìn)行訪問(wèn)的網(wǎng)絡(luò)連接 ， 除非已經(jīng)使用了第三方的主機(jī)防火墻產(chǎn)品 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 2． 例外設(shè)置 在 “ 例外 ” 選項(xiàng)卡中 ， 如圖 ， 您可以啟用或禁用一個(gè)現(xiàn)有的程序或服務(wù) ， 或者維護(hù)用于定義例外通信的程序和服務(wù)列表 。在 “ 常規(guī) ” 選項(xiàng)卡中選定 “ 不允許例外 ” 選項(xiàng)后 ， 例外通信將不被允許 。 有一組預(yù)定義的程序 ， 其中包括：文件和打印共享 、 遠(yuǎn)程桌面 、 UPnP 框架 ， 這些預(yù)定義程序和服務(wù)是不能被刪除的 。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 圖 Widnows 防火墻例外選項(xiàng)卡界面 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 3． 高級(jí)設(shè)置 在 “ 高級(jí) ” 選項(xiàng)卡包括網(wǎng)絡(luò)連接設(shè)置、安全日志、ICMP、 默認(rèn)設(shè)置設(shè)置項(xiàng)，如圖 。 圖10.5 防火墻高級(jí)選項(xiàng)卡界面 【 例 101】 允許客戶端用 Ping對(duì)服務(wù)器進(jìn)行測(cè)試。 啟用 Windows 防火墻后 ， 防火墻默認(rèn)不允許其他機(jī)器用 Ping對(duì)服務(wù)器進(jìn)行測(cè)試 ， 如需允許 必 須 手 工 設(shè) 置 ， 假 設(shè) 服 務(wù) 器 IP地址為。 操作步驟如下： 步驟 1 ： 在 客 戶 端 “ 開(kāi)始 ” → “ 運(yùn)行 ” → “ cmd” ， 在提示符下輸入 “ Ping ”， 系統(tǒng)提示 Request timed out.，說(shuō)明 Ping不通 。 步驟 2:在服務(wù)器端 “ 開(kāi)始 ” → “ 控制面板 ” → “ Windows防火墻 ” → “ 高級(jí) ” → 選擇相應(yīng)的本地連接 → “ 設(shè)置 ” → “ icmp”→ 選擇“ 允許傳入響應(yīng)請(qǐng)求 ” → “ 確定 ” 。 步驟 3：在客戶端開(kāi)始 → 運(yùn)行 → cmd，在提示符下輸入 Ping ，系統(tǒng)將提示與服務(wù)器 Ping測(cè)試成功。 第 10章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 安全配置向?qū)? 微軟在 Service Pack 1新增了 “ 安全配置向?qū)?” 安全工具 。 安全配置向?qū)Э梢詫?duì)服務(wù)器角色