TCPIP基础-IP安全,远程访问及LDAP

《TCPIP基础-IP安全,远程访问及LDAP》由会员分享，可在线阅读，更多相关《TCPIP基础-IP安全,远程访问及LDAP（5页珍藏版）》请在金锄头文库上搜索。

1、六 IP 安全,远程访问及 LDAP 使用 PKI（公钥基础结构）配置网络安全一、 PKI介绍1、公共密钥加密技术一个私用密钥（Private key）一个公共密钥（Public key）:对所有潜在的响应者公开使用公钥加密时，自用相应的私钥才能解开。确认收件人2、公共密钥身份验证使用私钥加密时，自用相应的公钥才能解开。确认发件人3、证书颁发机构（CA）CA负责提供和指派加密密钥、解密密钥和身份验证。CA 通过发放证书来发布密钥。外部的 CA和内部的 CA发放证书的过程收回证书4、证书颁发机构的层次结构根 CA/下层 CA5、Windows 2000 PKIWindows 2000 PKI的主

2、要组件 证书服务 活动目录 用于 PKI的发布服务 起用了 PKI功能的应用程序安全性协议Windows 2000 PKI采用了工业安全性协议：SSL/IPSec证书的用途服务器验证/客户机验证/程序代码签署/安全电子邮件/EFS/IPSec二、 配置验证服务1、选择 CA 企业根 CA 安装企业根 CA的必备条件AD/DNS/对 DNS、AD 和 CA服务器的管理特权/企业管理员的成员 企业下层 CA 独立存在的根 CA 独立存在的下层 CA2、安装证书服务安装组件：CA/证书（可以用 MMC管理）/证书服务的 Web注册支持3、创建子 CA4、备份和恢复证书服务三、 使用证书1、使用证书申

3、请向导MMC证书插件2、使用证书服务 Web页3、查看证书四、 管理证书1、出版证书2、吊销证书3、发布 CRL4、导入和导出证书 导入证书： 安装由另一用户、计算机或 CA 发送给您的文件中的证书。 还原受损或丢失的以前备份的证书。 从证书持有者以前使用的计算机上安装证书及其相应的私钥。 导出证书： 备份证书。 备份证书及其相关私钥。 复制证书以在另一台计算机上使用。 从证书持有者当前的计算机上删除证书及相关私钥，以在另一台计算机上安装。 当使用证书申请向导时，只有基本 EFS和 EFS 故障恢复代理证书才有标记为可导出的相关私钥。如果要申请其他类型的证书，并想使其私钥可导出到 PKCS #

4、12 文件，则需要使用 Windows 2000 证书服务 Web 页上的“高级申请”页。5、配置 AD认证为了鉴别外部用户，必须具备下述条件： 外部用户必须有证书。 外部用户必须由用户帐号。 外部用户的证书必须由这样的 CA发放，该 CA是一个 Site、域或者某个机构的信任 CA，或者出现在他们的证书信任列表中。正是在该 Site、域或者某个机构中创建了该用户帐号。 你必须在该外部用户证书和活动目录帐号之间创建一个名称映射。你已经为了鉴定的需要创建了这一活动目录帐号。五、 排错第六章 使用 IPsec 配置网络安全一、 Ipsec的介绍1、网络的安全性2、IPSec 在网络中的角色IPSe

5、c通过下述方法增强网络数据安全性： 在进行数据交换之前，先相互验证计算机。 在两个计算机之间建立安全性协作关系。 加密要交换的数据。IPSec策略二、 实现 IPSec1、启用 IPSec 管理 IPSec策略 使用预定义的 IPSec策略：客户机/服务器/安全服务器 激活 IPSec策略2、使用 IPSec实现计算机之间安全： 传输模式3、使用 IPSec实现网络之间安全： 通道模式4、定制 IPSec策略 规则组件 隧道设置 网络类型 验证方法 IP过滤器列表 IP过滤器操作 默认的响应规则5、选择 IPSec加密机制身份验证加密技术： SHA 160位 MD5 128位数据包加密技术 5

6、6个二进制位的 DES 40个二进制位的 DES 3DES 与其他 DES加密技术相比，这种高级安全性办法将对处理器的使用增加到 2.5倍6、测试 IPSec策略的实施利用 ping命令确认合法的网络连接利用 IPSec Monitor确认某个策略已经被指派：运行ipsecmon7、优化 IPSec性能三、 针对服务器安全性设置 TCP/IP四、 排错第九章 使用 IAS 扩展远程访问能力一、 IAS介绍1、Windows2000 网络中的 IAS和 RADIUS2、IAS 的用途和使用二、 安装和配置 IAS1、安装一个 IAS SRV 添加/删除程序Windows 组件网络2、配置 IAS

7、 SRV 授权 配置 RADIUS Client3、配置远程访问服务器使用 RADIUS验证4、配置远程访问服务器使用 RADIUS记帐配置记帐信息的日志第十一章 为网络配置 Internet 访问一、 选择连接到 Internet1、使用 Router连接到 Internet2、使用防火墙增强 Internet连接的安全3、使用 NAT连接到 Internet4、使用 Internet连接共享连接到 Internet5、使用 Proxy Server连接到 Internet6、Internet 连接选择的比较二、 使用 Router配置 Internet访问三、 使用 NAT配置 Inter

8、net访问1、安装 NAT2、安装 NAT为 NAT安装路由接口介绍 Windows 2000 中的活动目录一、 活动目录介绍1. 什么是活动目录活动目录是 Windows 2000 网络中目录服务的实现方式。目录服务是一种网络服务，它存储网络资源的信息并使得用户和应用程序能访问这些资源。2. 活动目录的对象活动目录的对象主要包括用户、组、计算机和打印机，但网络中的所有服务器、域和站点等也可认为是活动目录中的对象。3. 活动目录的 Schema 活动目录的 Schema 含有活动目录中所有对象的定义； 在 Windows 2000 的网络中，整个森林只有一个 Schema； Schema 保存

9、在活动目录中。4. 轻量级目录访问协议（LDAP） 辨别名（Distinguished Names ）CN=Zwb, OU=Teacher, DC=Easthome, DC=Com 相关辨别名（Relative Distinguished Names）相关辨别名是辨别名中唯一能标示这个对象的部分，通常为辨别名中最前面的一个。二、 活动目录的逻辑结构1. 域（Domain） 域是 Win2000 活动目录的核心单元，是对象的容器； 域是安全的边界。在缺省的情况下，一个域的管理员只能管理他自己的域； 一个域的管理员要管理其它的域，需要专门的授权。2. 组织单元（Organizational Uni

10、ts） OU 是域下面的容器对象，是 Win2000 中最小的管理单元。域的管理员可以指定某个用户去管理某个 OU； OU 也可以向域一样做成树状的结构，即 OU 下面还可以有OU。3. 树和森林（Trees and Forests） 树（Trees）Win 2000 中的树共享连续的名字空间（Namespace） ； 双向、传递信任（Two-Way, Transitive Trusts）缺省情况下，Win2000 中父域和子域、树和树之间的信任关系都是双向的，而且是可传递的。 森林（Forests）森林由一棵或多棵树组成。森林中的树不共享一个连续的名字空间，但共享一个普通 Schema 和

11、Global Catalog。 注意：在缺省的情况下，两个森林之间没有信任关系。如果你想要在两个森林间建立联系，需手工建立信任关系。4. 全局目录（Global Catalog ） Global Catalog（GC ）是一个包含活动目录中所有对象的属性信息（不是完全信息，是子集）的仓库，它为用户提供以下两种重要功能：1) 在整个森林中查找活动目录的信息；2) 用通用组成员信息登录到网络。 活动目录中的第一个域控制器自动成为 GC，为了平衡登录和查询流量，你可以设置额外的 GC。 GC 中的对象包含访问权限，如果你对某个对象没有权限，在查找时你将看不到这个对象。三、 活动目录的物理结构在 Wi

12、n2000 的活动目录中，逻辑结构和物力结构是两个概念。逻辑结构用来组织网络资源，物理结构用来设置和管理网络流量。活动目录的物理结构由域控制器和站点组成。1. 域控制器（Domain Controller）：存储目录数据，管理登录进程、验证和目录搜索。 活动目录复制 多主复制模式（Multi-Master Replication Model） 活动目录的物理结构决定复制在什么时候发生和如何发生 单主操作：对从森林中添加/删除域这样的操作，不适合用多主复制的模式，需要单主复制。2. 站点（Sites） 站点由一个或多个高速连接的 IP 子网构成；创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器。