【正文】 錄端口 25 SMTP SMTP服務(wù)器所開放的端口，用于發(fā)送郵件 53 Domain Name Server（ DNS） DNS服務(wù)器所開放的端口 80 HTTP 用于網(wǎng)頁瀏覽 13 13139 NETBIOS Name Service 其中 13 138是 UDP端口，當(dāng)通過網(wǎng)上鄰居傳輸文件時(shí) 用這個(gè)端口。而 139端口：通過這個(gè)端口進(jìn)入的連接試 圖獲得 NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于 windows文 件和打印機(jī)共享和 SAMBA。還有 WINS Registration也 用它 443 Https 網(wǎng)頁瀏覽端口，能提供加密和通過安全端口傳輸?shù)牧? 一種 HTTP 3389 超級終端 WINDOWS 2022/2022終端開放此端口 遠(yuǎn)程訪問與 VPN ? 遠(yuǎn)程訪問是指能夠通過透明方式將位于工作場所以外或遠(yuǎn)程位置上的特定計(jì)算機(jī)連接到網(wǎng)絡(luò)中的一系列相關(guān)技術(shù)。 ? VPN是 virtual private work的縮寫，即虛擬專用網(wǎng)，是指通過加密的隧道來提供兩個(gè)主機(jī)或網(wǎng)絡(luò)穿越不安全的網(wǎng)絡(luò)來實(shí)現(xiàn)安全訪問的網(wǎng)絡(luò)。 VPN客戶端與服務(wù)器的關(guān)系 撥號遠(yuǎn)程訪問的組成 VPN遠(yuǎn)程訪問連接組成元素 VPN協(xié)議 ? 端對端隧道協(xié)議 ： PPTP采用了 PPP所提供的身份驗(yàn)證、壓縮與加密機(jī)制。 PPTP能夠隨 TCP/IP協(xié)議一道自動(dòng)進(jìn)行安裝。 PPTP與 Microsoft端對端加密（ MPPE）技術(shù)提供了用以對保密數(shù)據(jù)進(jìn)行封裝與加密的首要 VPN服務(wù)。 ? 第二層隧道協(xié)議 ： L2TP依靠 Inter協(xié)議安全性（ IPSec）技術(shù)提供加密服務(wù)。 L2TP與 IPSec的結(jié)合產(chǎn)物稱為 L2TP/IPSec。 防火墻的選購 ? 弄清防火墻的產(chǎn)品分類 ? 考慮網(wǎng)絡(luò)的規(guī)模 ? 操作是否容易 ? 考慮防火墻的其它功能 ? 性價(jià)比 @2022 第八單元 防火墻的設(shè)計(jì) 學(xué)習(xí)目標(biāo) ? 通過設(shè)計(jì)防火墻系統(tǒng)來實(shí)現(xiàn)多級保護(hù)的功能 ? 描述在設(shè)計(jì)和增強(qiáng)安全方面的四種類型的防火墻 系統(tǒng) ? 實(shí)現(xiàn)包過濾防火墻 ? 了解選購防火墻產(chǎn)品的注意事項(xiàng) 堡壘主機(jī)的類型 ? 單宿主堡壘主機(jī)：只有一塊網(wǎng)卡的防火墻設(shè)備 ? 雙宿主堡壘主機(jī)：具有兩塊網(wǎng)卡的雙宿主主機(jī)構(gòu)成 ? 三宿主堡壘主機(jī)：具有三塊網(wǎng)卡以上的防火墻設(shè)備 三宿主堡壘主機(jī) 內(nèi)部堡壘主機(jī) ? 內(nèi)部堡壘主機(jī)是標(biāo)準(zhǔn)的單宿主堡壘或雙（多）宿主堡壘主機(jī)，存在于公司的內(nèi)部網(wǎng)絡(luò)中，也就是阻塞路由器或是內(nèi)部路由器。 理解 DMZ DMZ的作用 防火墻的設(shè)計(jì)原則 ? 保持設(shè)計(jì)的簡單性 ? 安排事故計(jì)劃 創(chuàng)建篩選路由器 創(chuàng)建單宿主堡壘主機(jī) 創(chuàng)建雙宿主堡壘主機(jī)和多宿主堡壘主機(jī) 創(chuàng)建屏蔽子網(wǎng)防火墻 實(shí)驗(yàn) 81~84 ? 用 win route創(chuàng)建一個(gè)內(nèi)部網(wǎng)絡(luò)。 ? 用 win route禁止 ICMP數(shù)據(jù)包的傳輸。 ? 用 win route控制 HTTP流量。 ? 用 win route控制對某個(gè)特定主機(jī)的訪問。 擴(kuò)展實(shí)驗(yàn) 81 ? Checkit Firewall ? Black ICE ? MS ISA Server ? Webtrends Firewall @2022 第九單元 通用安全原則與安全設(shè)計(jì) 學(xué)習(xí)目標(biāo) ? 描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則 ? 使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案 ? 了解網(wǎng)絡(luò)安全設(shè)計(jì)中的網(wǎng)絡(luò)拓樸結(jié)構(gòu) ? 描述配線房的安全注意事項(xiàng) ? 描述無線網(wǎng)絡(luò)安全 ? 設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò) 通用的安全原則介紹 ? 警惕所有的網(wǎng)絡(luò)活動(dòng) ? 必須要有一個(gè)安全策略 ? 不要采用獨(dú)立使用的系統(tǒng)或技術(shù) ? 盡可能使損壞最小化 ? 部署全公司范圍內(nèi)的執(zhí)行策略 ? 提供培訓(xùn) ? 使用完整的安全策略 ? 根據(jù)需求安置設(shè)備 ? 確定業(yè)務(wù)問題 ? 考慮物理安全性 損害最小化 ? 兩種最小化損害的方法是： – 采取嚴(yán)格的用戶訪問控制 – 隔離操作系統(tǒng)組件 安全策略是必須的 ? 制定安全策略要記住以下關(guān)鍵點(diǎn)： – 強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連續(xù)性。 – 當(dāng)對攻擊做出響應(yīng)的時(shí)候，安全策略是第一個(gè)需要考慮的資源。 – 安全策略應(yīng)該可以進(jìn)行變動(dòng)。有時(shí)，為了反映當(dāng)前業(yè)務(wù)的需求，策略將被更新。為了反映技術(shù)的變化和改進(jìn)，策略也會(huì)被更新。 – 當(dāng)安全策略發(fā)生變化時(shí)，要讓所有的員工都知道這些變化很重要。他們還必須確認(rèn)了解這些變化的本質(zhì)，并且同意遵守它們。通常，這個(gè)確認(rèn)應(yīng)該被書面記錄下來。 不要采取獨(dú)立應(yīng)用的系統(tǒng)或技術(shù) ? 沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全面的保護(hù)以對付所有的威脅。在各個(gè)方面使用多種技巧和技術(shù)的組合，可以避免單個(gè)技術(shù)的弱點(diǎn)，而能夠全面提高安全有效性。 校驗(yàn)數(shù)據(jù)備份 措施 描述 數(shù)據(jù)校驗(yàn) 讓所有的管理人員和中層管理人員確認(rèn)正確的數(shù)據(jù)已經(jīng)備份。 還要對備份數(shù)據(jù)抽樣并將其恢復(fù)。 介質(zhì)校驗(yàn) 保證用來備份數(shù)據(jù)的介質(zhì)是可靠的。 存儲(chǔ)地點(diǎn)校驗(yàn) 保證所有被存儲(chǔ)的數(shù)據(jù)放在一個(gè)安全的場所。 過程校驗(yàn) 如果數(shù)據(jù)需要從一個(gè)地點(diǎn)物理傳輸?shù)搅硪粋€(gè)地點(diǎn)，那么要采取 措施保證數(shù)據(jù)確實(shí)被送到了新的地點(diǎn)。 提供培訓(xùn) ? 終端用戶培訓(xùn) ? 管理員培訓(xùn) ? 高層管理人員 實(shí)施設(shè)備需求評估審核 ? 需求評估審核所涉及的步驟： – 同管理層協(xié)商確定特殊需求。 – 確定一種新技術(shù)將如何影響所有級別的終端用戶的日常工作。 – 與管理層一起保證資金安全。 – 進(jìn)行研究工作 ,確定適合組織機(jī)構(gòu)的產(chǎn)品。 – 研究網(wǎng)絡(luò)以保證新的解決方案在適合的地點(diǎn)、正確的時(shí)間被實(shí)現(xiàn)。 正確安置產(chǎn)品 ? 安放設(shè)備的時(shí)候，必須采取下列步驟： – 在獨(dú)立的子網(wǎng)內(nèi)測試系統(tǒng)。 即使你熟悉新近安裝的系統(tǒng)和網(wǎng)絡(luò)后臺(tái)程序 /服務(wù)，也要確認(rèn)服務(wù)器和后臺(tái)程序以你希望的方式運(yùn)行。 – 對系統(tǒng)使用漏洞掃描作為測試的一部分。 漏洞掃描能夠確定系統(tǒng)中是否有問題存在。有關(guān)這些掃描的更多內(nèi)容，將在后面章節(jié)中學(xué)習(xí)。 – 在生產(chǎn)服務(wù)器上升級所有的圖表和文檔。 確保將生產(chǎn)中的服務(wù)器保持當(dāng)前狀態(tài)，這樣能避免意外。 安全措施對業(yè)務(wù)的影響 ? 安全措施也會(huì)以下列方式影響業(yè)務(wù)和用戶： – 成本的增加 許多安全解決方案的費(fèi)用非常高。一個(gè)站點(diǎn)的防火墻許可證的費(fèi)用在 5000美元到20220美元之間，或更高。即使是能夠支付這筆大額費(fèi)用的組織機(jī)構(gòu)也需要證明這些開銷是正確的。 – 不方便之處 新的程序的措施可能會(huì)使用戶覺得不方便，特別是那些經(jīng)常出差和遠(yuǎn)程工作的用戶。記住要讓用戶意識到：開始的時(shí)候會(huì)稍微有些不方便，但長遠(yuǎn)的好處是將節(jié)約他們的時(shí)間和保護(hù)公司安全。 考慮物理安全性 ? 有關(guān)物理安全保護(hù)的問題包括： – 公司的防火墻是在一間上了鎖的房間內(nèi)嗎？公司所有的服務(wù)器如何？ – 網(wǎng)絡(luò)設(shè)備（如路由器、 WEB服務(wù)器、 FTP服務(wù)器）被關(guān)嚴(yán)和監(jiān)控了嗎？ – 有員工單獨(dú)在敏感區(qū)域工作嗎？ 人員維護(hù) ? 考慮下列問題： – 所有允許工作人員進(jìn)入系統(tǒng)的鑰匙、通行證和其他工具是否安全？ – 公司是否有策略準(zhǔn)許員工在工作時(shí)監(jiān)控維護(hù)人員？ 監(jiān)督方法 ? 提高物理安全性的選擇包括： – 用數(shù)字門卡替換標(biāo)準(zhǔn)的鎖。 – 將服務(wù)器放置在有鎖的門后。 – 安裝視頻監(jiān)視設(shè)備。 物理攻擊策略 ? 超級更改 超級更改包括使用一個(gè)應(yīng)用程序或操作系統(tǒng)去讀取另一個(gè)操作系統(tǒng)中的信息。使用超級更改程序可以修改用戶帳號信息、讀文件或創(chuàng)建文件和目錄。 ? 結(jié)構(gòu)滲透 類型包括： – 從門樞卸掉帶鎖的門，然后進(jìn)入房間。 – 或者偷竊，或者造一把新的，從而獲取房間的鑰匙。 – 爬行通過人造天花板，進(jìn)入房間。 實(shí)驗(yàn) 91 ? 對 Windows 2022 Server進(jìn)行物理攻擊。 網(wǎng)絡(luò)拓樸結(jié)構(gòu) 網(wǎng)絡(luò)拓樸結(jié)構(gòu) 網(wǎng)絡(luò)拓樸結(jié)構(gòu) 電源問題 ? 大多數(shù)桌面 UPS提供有限的清潔電源，但是卻可能在發(fā)生斷電時(shí)的切換過程中造成延遲，而這可能會(huì)中斷對延時(shí)敏感的數(shù)據(jù)傳輸。 ? 大多數(shù)發(fā)電機(jī)發(fā)出的都是所謂的“臟電”，即電壓可能起伏波動(dòng)、不穩(wěn)定。對于像電子設(shè)備這類電源敏感設(shè)備來說，這可能會(huì)造成問題。 POE ? POE即 Power Over Ether，以太網(wǎng)饋電適配器，適配器上提供 3個(gè)接口，一個(gè)直流電源接口，另外兩個(gè)是 RJ45接口。通過輸電適配器把電源轉(zhuǎn)接到五類網(wǎng)線的輔助電源線對，在一條五類網(wǎng)線上集成數(shù)據(jù)傳輸與供電功能，通過網(wǎng)線就可以向網(wǎng)絡(luò)設(shè)備供電，而無需為這些設(shè)備單獨(dú)鋪設(shè)電源線。 線纜的選擇 ? 需要考慮的因素包括： – 確定使用線纜的類別和布線的結(jié)構(gòu)。 – 傳輸頻率與傳輸速率。 – 屏蔽與非屏蔽。 – 抗電磁干擾 (EMI)的程度。 – 系統(tǒng)復(fù)元能力、網(wǎng)絡(luò)擴(kuò)展性。 – 網(wǎng)絡(luò)要求的生命周期。 – 其它特性，如防火、防腐蝕等。 無線網(wǎng)絡(luò)安全問題 ? 對無線網(wǎng)絡(luò)的威脅主要包括： – 偷聽傳輸?shù)臄?shù)據(jù) 可能導(dǎo)致機(jī)密數(shù)據(jù)泄漏、曝光未保護(hù)的用戶憑據(jù)、身份被盜用等。 – 中途截獲或修改傳輸數(shù)據(jù) 如果攻擊者可訪問網(wǎng)絡(luò)，他可接入惡意計(jì)算機(jī)來中途截獲、修改或延遲兩個(gè)合法方的通信。 – 哄騙 現(xiàn)有網(wǎng)絡(luò)訪問允許惡意用戶使用在網(wǎng)絡(luò)外同樣有效的方法來發(fā)送表面上似乎來自合法用戶的數(shù)據(jù)（例如，哄騙的電子郵件消息）。 – 免費(fèi)下載 入侵者還有可能利用您的網(wǎng)絡(luò)作為他自己訪問 Inter 的自由訪問點(diǎn)。 – 拒絕服務(wù) (DoS) 復(fù)雜的攻擊多是針對低層無線協(xié)議本身；不很復(fù)雜的攻擊則通過向 WLAN 發(fā)送大量的隨機(jī)數(shù)據(jù)而使網(wǎng)絡(luò)堵塞 。 實(shí)施無線網(wǎng)絡(luò) ? 考慮以下安全措施： – 掌控信號覆蓋的范圍 – 啟用無線設(shè)備的安全功能 – 使用安全性高的部署方式 – 使用一些針對無線網(wǎng)絡(luò)環(huán)境的入侵檢測軟件 無線加密協(xié)議 (WEP) 和 IEEE ? WEP (wired equivalent privacy) 是一種以 40 位共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機(jī)制。它是無線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法，它可以對每一個(gè)企圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識別，同時(shí)對網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行加密。 ? IEEE ，在數(shù)據(jù)加密方面，定義了 TKIP（ Temporal Key Integrity Protocol）、 CCMP（ CounterMode/CBCMAC Protocol）和 WRAP（ Wireless Robust Authenticated Protocol）三種加密機(jī)制。 Beaconing信標(biāo)幀 ? 無線局域網(wǎng)非常容易被探測到，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，無線接入點(diǎn)會(huì)定期地發(fā)送信標(biāo)幀，通常每 100 毫秒一個(gè)。通過信標(biāo)幀，用戶能夠知道這里存在一個(gè)可用的接入點(diǎn)。 鞏固匯聚層網(wǎng)絡(luò) ? 對匯聚層網(wǎng)絡(luò)設(shè)備提出的安全建議主要有以下幾點(diǎn)： – 使用用戶認(rèn)證機(jī)制和安全密碼體系。 – 進(jìn)行 IP地址、 MAC地址、用戶名及卡號綁定。 – 配置訪問控制列表（ ACL）、 IP地址數(shù)量及連接數(shù)的限制。 – 流量整形、擁塞控制、隊(duì)列調(diào)度及 CAR等 QOS保障。 – 進(jìn)行安全日志管理和流量監(jiān)控。 應(yīng)用實(shí)例 ? 網(wǎng)絡(luò)系統(tǒng)及安全性分析 ? 網(wǎng)絡(luò)系統(tǒng)的安全性需求 ? 網(wǎng)絡(luò)安全整體解決方案的提出 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu) 典型企業(yè)的網(wǎng)絡(luò)安全實(shí)施拓?fù)鋱D