網(wǎng)絡(luò)安全方案設(shè)計(jì)服務(wù)器模塊

1、在在Windows Server 2003環(huán)境中規(guī)劃環(huán)境中規(guī)劃IPSec謝立靖謝立靖 導(dǎo)入導(dǎo)入為什么為什么TCP/IP是不安全的？是不安全的？漏洞威脅風(fēng)險(xiǎn)漏洞威脅風(fēng)險(xiǎn) 漏洞：硬件漏洞，操作系統(tǒng)漏洞，應(yīng)用程序漏洞，管理漏洞 威脅1）竊聽(tīng) 2）數(shù)據(jù)篡改 3）身份欺騙（IP地址欺騙） 4）盜用口令攻擊（Password-Based Attacks） 5）拒絕服務(wù)攻擊（Denial-of-Service Attack）6）中間人攻擊（Man-in-the-Middle Attack） 7）盜取密鑰攻擊（Compromised-Key Attack） 8）Sniffer 攻擊（Sniffer Attac

2、k） 9）應(yīng)用層攻擊（Application-Layer Attack） 提要提要默認(rèn)默認(rèn) IPSec 策略策略規(guī)劃規(guī)劃 IPSecIPSec 故障排除故障排除Lesson:默認(rèn)默認(rèn) IPSec 策略策略默認(rèn)默認(rèn) IPSec 策略策略客戶端（僅響應(yīng)）服務(wù)器（請(qǐng)求安全）安全服務(wù)器（需要安全）IPSec 連接規(guī)則連接規(guī)則對(duì)所有對(duì)所有 IP IP 通訊總是使用通訊總是使用 Kerberos Kerberos 信信任請(qǐng)求安全。允許與不響應(yīng)請(qǐng)求的客戶任請(qǐng)求安全。允許與不響應(yīng)請(qǐng)求的客戶端的不安全通訊端的不安全通訊正常通訊正常通訊 ( (不安全的不安全的) )。使用默認(rèn)的響應(yīng)。使用默認(rèn)的響應(yīng)規(guī)則與請(qǐng)示安全的

3、服務(wù)器協(xié)商。只有與服規(guī)則與請(qǐng)示安全的服務(wù)器協(xié)商。只有與服務(wù)器的請(qǐng)求協(xié)議和端口通訊是安全的務(wù)器的請(qǐng)求協(xié)議和端口通訊是安全的對(duì)所有對(duì)所有 IP IP 通訊總是使用通訊總是使用 Kerberos Kerberos 信任請(qǐng)求安全。信任請(qǐng)求安全。不允許與不被信任的客戶端的不安全通訊不允許與不被信任的客戶端的不安全通訊IPSec 連接規(guī)則連接規(guī)則規(guī)則規(guī)則描述描述IP篩選器列表篩選器列表通過(guò)出站和入站篩選器來(lái)指定安全通信類型篩選器操作篩選器操作指定處理通信的方式（允許、阻止、加密等）身份驗(yàn)證方法身份驗(yàn)證方法Kerberos、預(yù)共享密鑰、CA練習(xí)：使用策略練習(xí)：使用策略練習(xí)中使用到的拓?fù)鋱D練習(xí)中使用到的拓?fù)鋱D

4、客戶端（VMware虛擬機(jī)，OS為XP） IP Address:192.168.1.1/24網(wǎng)關(guān)：192.168.1.254虛擬網(wǎng)卡：VMnet4虛擬內(nèi)存：128M服務(wù)器端（VMware虛擬機(jī)，OS為Windows server 2003企業(yè)版）IP Address:192.168.1.254/24虛擬網(wǎng)卡：VMnet4虛擬內(nèi)存：256M以以“客戶端（僅響應(yīng)）客戶端（僅響應(yīng)）”為例，測(cè)試默認(rèn)策略為例，測(cè)試默認(rèn)策略開(kāi)始管理工具本地安全策略開(kāi)始管理工具本地安全策略服務(wù)器端的操作右鍵單擊右鍵單擊“客戶端（僅響應(yīng)）客戶端（僅響應(yīng)）”指指派派服務(wù)器端的操作客戶端的操作控制面板管理工具本地安全策略控制面板

5、管理工具本地安全策略客戶端的操作右鍵單擊右鍵單擊“客戶端（僅響應(yīng)）客戶端（僅響應(yīng)）”指指派派在客戶端的測(cè)試使用使用Ping命令進(jìn)行測(cè)試命令進(jìn)行測(cè)試自定義策略。可以完全自定義策略，也可在默認(rèn)策自定義策略?？梢酝耆远x策略，也可在默認(rèn)策略基礎(chǔ)上自定義，以下練習(xí)中使用完全自定義策略略基礎(chǔ)上自定義，以下練習(xí)中使用完全自定義策略服務(wù)器端的操作打開(kāi)打開(kāi)“本地安全設(shè)置本地安全設(shè)置”右鍵單擊右鍵單擊“IP安全策略安全策略，在本地計(jì)算機(jī)，在本地計(jì)算機(jī)”創(chuàng)建創(chuàng)建IP安全策略安全策略服務(wù)器端的操作單擊單擊“下一步下一步”在在“名稱名稱”欄內(nèi)填寫恰當(dāng)?shù)牟呗悦?，在欄?nèi)填寫恰當(dāng)?shù)牟呗悦?，在“描述描述欄?nèi)填寫能夠說(shuō)明該策

6、略功能的說(shuō)明性文字欄內(nèi)填寫能夠說(shuō)明該策略功能的說(shuō)明性文字，然后單擊，然后單擊“下一步下一步”服務(wù)器端的操作服務(wù)器端的操作單擊單擊“下一步下一步”單擊單擊“下一步下一步”服務(wù)器端的操作服務(wù)器端的操作單擊單擊“是是”服務(wù)器端的操作單擊單擊“完成完成”服務(wù)器端的操作單擊單擊“添加添加”服務(wù)器端的操作單擊單擊“下一下一步步”單擊單擊“下一下一步步”服務(wù)器端的操作服務(wù)器端的操作單擊單擊“下一下一步步”服務(wù)器端的操作選中選中“控制控制139端口的訪問(wèn)端口的訪問(wèn)”，然后單擊，然后單擊“編輯編輯”在在“描述描述”欄內(nèi)填寫能恰當(dāng)描述篩選器功能的說(shuō)欄內(nèi)填寫能恰當(dāng)描述篩選器功能的說(shuō)明性文字，然后單擊明性文字，然后單

7、擊“編輯編輯”服務(wù)器端的操作服務(wù)器端的操作源地址：一個(gè)特定的源地址：一個(gè)特定的IP地址，地址，192.168.1.1目標(biāo)地址：我的目標(biāo)地址：我的IP地址地址單擊單擊“協(xié)議協(xié)議”選項(xiàng)卡選項(xiàng)卡服務(wù)器端的操作選擇協(xié)議類型：選擇協(xié)議類型：TCP設(shè)置設(shè)置IP協(xié)議端口：從任意端口、到此端口（協(xié)議端口：從任意端口、到此端口（139）單擊單擊“確定確定”服務(wù)器端的操作單擊單擊“確定確定”服務(wù)器端的操作單擊單擊“下一下一步步”服務(wù)器端的操作然后單擊然后單擊“下一步下一步”服務(wù)器端的操作選擇選擇“使用此字符串保護(hù)密鑰交換（預(yù)共享密鑰）使用此字符串保護(hù)密鑰交換（預(yù)共享密鑰）”，在文本框中填入，在文本框中填入“123

8、”，然后單擊，然后單擊“下一步下一步”單擊單擊“完成完成”服務(wù)器端的操作服務(wù)器端的操作將將“”前的勾去掉，然后單擊前的勾去掉，然后單擊“確確定定”客戶端的操作控制面板管理工具本地安全策略控制面板管理工具本地安全策略客戶端的操作右鍵單擊右鍵單擊“IP安全策略，在本地計(jì)算機(jī)安全策略，在本地計(jì)算機(jī)”創(chuàng)建創(chuàng)建IP安全策安全策略略客戶端的操作單擊單擊“下一步下一步”客戶端的操作在在“名稱名稱”欄內(nèi)填寫適當(dāng)?shù)牟呗悦Q，在欄內(nèi)填寫適當(dāng)?shù)牟呗悦Q，在“描述描述”欄欄內(nèi)填寫可以說(shuō)明該策略功能的文字，然后單擊內(nèi)填寫可以說(shuō)明該策略功能的文字，然后單擊“下下一步一步”客戶端的操作單擊單擊“下一步下一步”客戶端的操作單

9、擊單擊“下一步下一步”客戶端的操作單擊單擊“是是”客戶端的操作去掉去掉“編輯屬性編輯屬性”前的勾，然后單擊前的勾，然后單擊“完成完成”客戶端的操作雙擊雙擊“訪問(wèn)訪問(wèn)139端口端口”客戶端的操作去掉去掉“”前的勾，然后單擊前的勾，然后單擊“添添加加”客戶端的操作單擊單擊“添加添加”客戶端的操作按圖所示填寫，去掉按圖所示填寫，去掉“使用使用添加向?qū)砑酉驅(qū)А鼻懊娴墓?，然后單擊前面的勾，然后單擊“添加添加”客戶端的操作選擇選擇“協(xié)議協(xié)議”選項(xiàng)卡選項(xiàng)卡客戶端的操作按圖所示選擇、填寫，然后按圖所示選擇、填寫，然后“確定確定”客戶端的操作單擊單擊“確定確定”客戶端的操作選中選中“訪問(wèn)訪問(wèn)139端口端口”，

10、然后選擇，然后選擇“篩選器操篩選器操作作”客戶端的操作選中選中“需要安全需要安全”，然后選擇，然后選擇“身份驗(yàn)證身份驗(yàn)證方法方法”選項(xiàng)卡選項(xiàng)卡客戶端的操作單擊單擊“編輯編輯”客戶端的操作按圖所示選擇、填寫，然后按圖所示選擇、填寫，然后“確定確定”客戶端的操作單擊單擊“應(yīng)用應(yīng)用”，然后，然后“確確定定”單擊單擊“應(yīng)用應(yīng)用”，然后，然后“確確定定”客戶端的操作客戶端的操作右鍵單擊右鍵單擊“訪問(wèn)訪問(wèn)139端口端口”，然后單擊，然后單擊“指指派派”測(cè)試測(cè)試在命令提示符中輸入命令：在命令提示符中輸入命令：netstat -an，紅框部分表示，紅框部分表示服務(wù)器在服務(wù)器在139端口偵聽(tīng)傳入的連接端口偵聽(tīng)傳

11、入的連接服務(wù)器端的操作客戶端的操作在命令提示符中輸入命令：在命令提示符中輸入命令：telnet 192.168.1.254 139，然，然后回車后回車客戶端的操作如果如圖顯示，表示此時(shí)客戶端已經(jīng)通過(guò)如果如圖顯示，表示此時(shí)客戶端已經(jīng)通過(guò)139端口端口與服務(wù)器相連與服務(wù)器相連服務(wù)器端的操作在命令提示符中輸入命令：在命令提示符中輸入命令：netstat -an，紅框部分表示，紅框部分表示服務(wù)器此時(shí)已經(jīng)與服務(wù)器此時(shí)已經(jīng)與192.168.1.1 建立了連接建立了連接Lesson: 規(guī)劃規(guī)劃 IPSec確定確定 IPSec 策略部署方式策略部署方式確定驗(yàn)證模式確定驗(yàn)證模式確定確定 IPSec 策略必要性策

12、略必要性規(guī)劃規(guī)劃 IPSec 最佳方案最佳方案本地策略部署本地策略部署 IPSec 指導(dǎo)方針指導(dǎo)方針確定確定 IPSec 策略部署方式策略部署方式在一個(gè)異構(gòu)環(huán)境中在一個(gè)異構(gòu)環(huán)境中Active DirectoryActive Directory使用本地策略使用本地策略使用使用Active Directory確定驗(yàn)證模式確定驗(yàn)證模式認(rèn)證方式認(rèn)證方式環(huán)境環(huán)境Kerberos V5 安安全協(xié)議全協(xié)議客戶端和服務(wù)器端是Windows 2000版本以上，并且做為AD域的一部分證書證書Internet訪問(wèn)遠(yuǎn)程訪問(wèn)資源外部業(yè)務(wù)合作伙伴未運(yùn)行Kerberos V5安全協(xié)議的計(jì)算機(jī)需要證書授權(quán)中心預(yù)共享密鑰預(yù)共享密鑰通信雙方的計(jì)算機(jī)必須手動(dòng)配置IPSec密鑰以明文方式存儲(chǔ)，因此安全性較差確定確定 IPSec 策略必要性策略必要性確定企業(yè)的需要確定企業(yè)的需要評(píng)估潛在的安全風(fēng)險(xiǎn)以確定IPSec是否可以減輕這些風(fēng)險(xiǎn)確定規(guī)則和策略創(chuàng)建一個(gè)新策略或者修改一個(gè)已經(jīng)存在的策略創(chuàng)建一個(gè)新策略或者修改一個(gè)已經(jīng)存在的策略規(guī)劃規(guī)劃 IPSec 最佳方案最佳方案最佳實(shí)踐最佳實(shí)踐評(píng)估發(fā)往網(wǎng)絡(luò)上的信息類型評(píng)估發(fā)往網(wǎng)絡(luò)上的信息類型確定信息的存儲(chǔ)地確定信息的存儲(chǔ)地評(píng)估網(wǎng)絡(luò)攻擊的弱點(diǎn)評(píng)估網(wǎng)絡(luò)攻擊的弱點(diǎn)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全規(guī)劃在安全規(guī)劃下測(cè)試在安全規(guī)劃下測(cè)試IPSec策略策略本地