《网络安全实用教程配套人民邮电出版ch10》由会员分享,可在线阅读,更多相关《网络安全实用教程配套人民邮电出版ch10(93页珍藏版)》请在金锄头文库上搜索。
1、第第10章章 Internet安全与应用安全与应用1本章有五小节:本章有五小节:10. 1 电子邮件安全电子邮件安全10. 2 Internet电子欺骗与防范电子欺骗与防范10. 3 Internet连接防火墙与连接防火墙与 Windows防火墙应用防火墙应用10. 4 VPN安全安全10. 5 Internet Explorer安全应用实例安全应用实例2101 电子邮件安全电子邮件安全10.1.1 电子邮件的安全漏洞电子邮件的安全漏洞1电子邮件协议l常用的电子邮件协议有SMTP和POP3,它们都属于TCP/IP协议簇。默认状态下,分别通过TCP端口25和110建立连接。lSMTP是一组用于从
2、源地址到目的地址传输邮件的规范,用来控制邮件的中转方式。lPOP协议负责从邮件服务器中检索电子邮。3101 电子邮件安全电子邮件安全10.1.1电子邮件的安全漏洞电子邮件的安全漏洞2电子邮件的安全漏洞(1)缓存漏洞(2)Web信箱漏洞(3)历史记录漏洞(4)密码漏洞(5)攻击性代码漏洞4101 电子邮件安全电子邮件安全10.1.2电子邮件安全技术与策略电子邮件安全技术与策略1电子邮件安全技术(1)端到端的安全电子邮件技术l端到端的安全电子邮件技术可保证邮件从被发出到被接收的整个过程中,内容保密,无法修改,并且不可否认。目前,成熟的端到端安全电子邮件标准有PGP和S/MIME。(2)传输层的安全
3、电子邮件技术l目前主要有两种方式实现电子邮件在传输过程中的安全,一种是利用SSLSMTP和SSLPOP,另一种是利用VPN或者其他的IP通道技术,将所有的TCP/IP传输(包括电子邮件)封装起来。 5101 电子邮件安全电子邮件安全10.1.2电子邮件安全技术与策略电子邮件安全技术与策略2电子邮件安全策略(1)选择安全的客户端软件(2)利用防火墙技术(3)对邮件进行加密(4)利用病毒查杀软件(5)对邮件客户端进行安全配置6101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例1Web邮箱安全配置 Web邮箱有很多种,用户根据个人习惯选择合适的邮箱,下面以163邮
4、箱为例,介绍Web邮箱的安全配置。7101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例1Web邮箱安全配置 (1)防密码嗅探l163邮箱在登录时采用了SSL加密技术,它对用户提交的所有数据先进行加密,然后再提交到网易邮箱,从而可以有效防止黑客盗取用户名、密码和邮件内容,保证了用户邮件的安全。用户在输入用户名和密码时,选择“SSL安全登录”即可实现该功能。当用户单击“登录”或回车后,会发现地址栏中的http:/瞬间变成https:/,之后就又恢复成http:/,这就是SSL加密登。8101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全
5、应用实例1Web邮箱安全配置 (2)来信分类功能l邮箱的来信分类功能是根据用户设定的分类规则,将来信投入指定文件来,或者拒收来信。这样,不仅能够防止垃圾邮件,还可以过滤掉一些带病毒的邮件,减少了病毒感染的机会。9101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例1Web邮箱安全配置 (2)来信分类功能l登录网易邮箱,点击“设置”进入“邮箱设置”界面。选择“邮件收发设置”“来信分类”“新建来信分类”,打开“编辑分类规则”界面,设置分类规则。 10101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例1Web邮箱安全配置 (3)反
6、垃圾邮件处理l默认情况下网易邮箱具有反垃圾邮件的功能,用户通过单击“设置”“反垃圾设置”“反垃圾级别”,打开“反垃圾级别”界面。 11101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例1Web邮箱安全配置 (4)黑名单和白名单l用户通过点击“设置”“反垃圾设置”“黑名单设置”或“白名单设置”,打开黑名单和白名单的设置界面。12101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置l使用邮件客户端可以不用登录Web页就能收发邮件,如果用户有多个Web邮箱,还可集中到同一个客户端下,省掉了登录多
7、个邮箱的麻烦。lFoxmail使用多种技术对邮件进行判别,能够准确识别垃圾邮件与非垃圾邮件,最大限度地减少用户因为处理垃圾邮件而浪费的时间。数字签名和加密功能,可以确保电子邮件的真实性和保密性。 13101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (1)邮箱访问口令l由于邮件客户端软件将多个电子邮件账户实时登录在计算机上,因此为了防止当用户离开自己计算机时被别人非法查阅邮件信息,最好为邮箱设置账户访问口令。单击菜单栏中的“邮箱”“设置邮箱账户访问口令”,弹出 “口令”对话框。 14101 电子邮件安全电子邮件安全10.
8、1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (1)邮箱访问口令15101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (2)垃圾邮件设置lFoxmail6.5提供了强大的反垃圾邮件功能,用户通过单击“工具”“反垃圾邮件功能设置”命令,就会弹出 “反垃圾邮件设置”对话框,它包括常规、规则过滤、贝叶斯过滤、黑名单和白名单选项卡。16101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (2)垃圾邮件设置17101 电
9、子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (2)垃圾邮件设置l在 “规则过滤”选项卡中,将“使用规则判定接收到的邮件是否为垃圾邮件”选中,然后根据当前邮箱遭受垃圾邮件的多少来决定“过滤强度”的强弱。 18101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (2)垃圾邮件设置“贝叶斯过滤”是一种智能型的反垃圾邮件设计,它通过让Foxmail不断的对垃圾与非垃圾邮件的分析学习,来提高自身对垃圾邮件的识别准确率。19101 电子邮件安全电子邮件安全10.1.
10、3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (2)垃圾邮件设置单击“学习”按钮,弹出邮件学习向导,可通过“浏览”选择要学习的内容,如选择学习的类型是“按垃圾邮件标记学习”。单击“下一步”按钮,弹出学习过程窗口。如果发现学习结果不再有用,可单击“贝叶斯过滤”选项卡中的“高级”按钮,清除学习记录。 20101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (2)垃圾邮件设置21101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安
11、全配置 (2)垃圾邮件设置l在“黑名单”选项卡中,用户只需要单击“添加”按钮,将一些确认的垃圾邮件地址输入到黑名单中就可完成对该邮件地址发来的所有邮件的监控。22101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (3)邮件加密 lFoxmail全面支持安全电子邮件技术,兼容多种加密、解密算法,可应用于各种重要商务活动中处理机密信息时加密邮件、接收和发送数字签名23101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例2Foxmail客户端软件的安全配置 (3)邮件加密 l申请完数字证书,在
12、发送加密并且签名的邮件前,还要进行如下设置。单击“工具”“系统设置”命令,弹出“设置”对话框,选择“安全”选项卡。将“对所有待发邮件的内容和附件进行加密”和“对所有待发邮件进行签名”选中,单击“确定”按钮,完成设置。这样一些机密的邮件就可以安全的发送到目的邮箱了。24101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例3OutlookExpress客户端软件的安全配置 (1)工具“选项”设置:在OutlookExpress菜单栏中单击“工具”“选项”,弹出 “选项”对话框进行以下安全配置:邮件加密和签名设置 回执选项设置 使用纯文本格式 备份邮件资料25101
13、 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例3OutlookExpress客户端软件的安全配置 (1)工具“选项”设置26101 电子邮件安全电子邮件安全10.1.3 电子邮件安全应用实例电子邮件安全应用实例3OutlookExpress客户端软件的安全配置 (2)邮件规则的设置 l在OutlookExpress“工具”菜单栏的“邮件规则”选项中,可以对邮件、新闻及发件人名单进行设置并过滤符合相关条件的垃圾邮件。2710.2 Internet电子欺骗与防范电子欺骗与防范10.2.1 ARP电子欺骗电子欺骗1ARP协议lARP是负责将IP地址转化成对应的MAC
14、地址的协议。 l为了得到目的主机的MAC地址,源主机就要查找其ARP缓存,若没有找到,源主机就会发送一个ARP广播请求数据包。此ARP请求数据包包含源主机的IP地址、MAC地址和目的主机的IP地址。它向以太网上的每一台主机询问“如果你是这个IP地址,请回复你的MAC地址”。只有具有此IP地址的主机收到这份广播报文后,向源主机回送一个包含其MAC地址的ARP应答。 2810.2.1 ARP电子欺骗电子欺骗2ARP欺骗攻击原理lARP请求是以广播方式进行的,主机在没有接到请求的情况下也可以随意发送ARP响应数据包,且任何ARP响应都是合法的,无需认证,自动更新ARP缓存,这些都为ARP欺骗提供了条
15、件。 10.2 Internet电子欺骗与防范电子欺骗与防范2910.2.1 ARP电子欺骗电子欺骗2ARP欺骗攻击原理l当LAN中的某台主机B向主机A发送一个自己伪造的ARP应答,如果这个应答是B冒充C伪造的,即IP地址为C的IP地址,而MAC地址是B的。当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,建立新的IP地址和MAC地址的映射关系,从而,B取得了A的信任。这样,以后A要发送给C的数据包就会直接发送到B的手里。10.2 Internet电子欺骗与防范电子欺骗与防范3010.2.1 ARP电子欺骗电子欺骗2ARP欺骗攻击原理l例子:一个入侵者想非法进入某台主机,他知道这台主机
16、的防火墙只对192.0.0.3开放23号端口(Telnet),而他必须要使用Telnet来进入这台主机,所以他要进行如下操作:10.2 Internet电子欺骗与防范电子欺骗与防范3110.2.1 ARP电子欺骗电子欺骗2ARP欺骗攻击原理(1)研究192.0.0.3主机,发现如果他发送一个洪泛(Flood)包给192.0.0.3的139端口,该机器就会应包而死。(2)主机发到192.0.0.3的IP包将无法被机器应答,系统开始更新自己的ARP对应表,将192.0.0.3的项目删去。(3)入侵者把自己的IP改成192.0.0.3,再发一个ping命令给主机,要求主机更新ARP转换表。10.2
17、Internet电子欺骗与防范电子欺骗与防范3210.2.1 ARP电子欺骗电子欺骗2ARP欺骗攻击原理(4)主机找到该IP,然后在APR表中加入新的IP地址与MAC地址的映射关系。(5)这样,防火墙就失效了,入侵者的MAC地址变为合法,可以使用Telnet进入主机了。l现在,假如该主机不只提供Telnet,还提供r命令(如rsh、rcopy、rlogin),那么,所有的安全约定都将无效,入侵者可放心地使用该主机的资源而不用担心被记录什么。10.2 Internet电子欺骗与防范电子欺骗与防范3310.2.1 ARP电子欺骗电子欺骗3ARP欺骗攻击的防御采用如下措施可有效的防御ARP攻击:(1
18、)不要把网络的安全信任关系仅建立在IP地址或MAC地址的基础上,而是应该建立在IP+MAC基础上(即将IP和MAC两个地址绑定在一起)。(2)设置静态的MAC地址到IP地址的对应表,不要让主机刷新设定好的转换表。(3)除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。(4)使用ARP服务器,通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,确保这台ARP服务器不被攻击10.2 Internet电子欺骗与防范电子欺骗与防范3410.2.1 ARP电子欺骗电子欺骗3ARP欺骗攻击的防御(5)定期清除计算机中的ARP缓存信息,达到防范ARP欺骗攻击的目的。(6)使用A
19、RP监控服务器。当进行数据传输时,客户端把ARP数据包捕获发送给服务器端,由服务器端进行处理。(7)划分多个范围较小的VLAN,一个 VLAN内发生的ARP欺骗不会影响到其他VLAN内的主机通信,缩小了ARP欺骗攻击影响的范围。(8)使用交换机的端口绑定功能。(9)使用防火墙连续监控网络。10.2 Internet电子欺骗与防范电子欺骗与防范3510.2.2 DNS电子欺骗电子欺骗1DNS欺骗lDNS欺骗是攻击者冒充域名服务器的一种欺骗行为。DNS欺骗攻击是危害性较大,攻击难度较小的一种攻击技术。当攻击者危害DNS服务器并明确地更改主机名与IP地址映射表时,DNS欺骗就会发生。 10.2 In
20、ternet电子欺骗与防范电子欺骗与防范3610.2.2DNS电子欺骗2DNS欺骗攻击原理DNS欺骗是攻击者冒充域名服务器的一种欺骗行为。DNS欺骗攻击是危害性较大,攻击难度较小的一种攻击技术。当攻击者危害DNS服务器并明确地更改主机名与IP地址映射表时,DNS欺骗就会发生。 10.2 Internet电子欺骗与防范电子欺骗与防范3710.2.2 DNS电子欺骗电子欺骗2DNS欺骗攻击原理在域名解析过程中,客户端首先以特定的标识(ID)向DNS服务器发送域名查询数据报,在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据报。这时,客户端会将收到的DNS响应数据报的ID和自己发送的查询数
21、据报的ID相比较,两者如匹配,则表明接收到的正是自己等待的数据报;如果不匹配,则丢弃之。10.2 Internet电子欺骗与防范电子欺骗与防范3810.2.2 DNS电子欺骗电子欺骗2DNS欺骗攻击原理攻击者的欺骗条件只有一个,那就是发送的与ID匹配的DNS响应数据报在DNS服务器发送响应数据报之前到达客户端。 在主要由交换机搭建的网络环境下,要想实现DNS欺骗,攻击者首先要向攻击目标实施ARP欺骗。 10.2 Internet电子欺骗与防范电子欺骗与防范3910.2.2 DNS电子欺骗电子欺骗2DNS欺骗攻击原理假设用户、攻击者和DNS服务器在同一个LAN内,则其攻击过程如下。(1)攻击者通
22、过向攻击目标以一定的频率发送伪造ARP应答包改写目标机的ARP缓存中的内容,并通过IP续传方式使数据通过攻击者的主机再流向目的地;攻击者配合嗅探器软件监听DNS请求包,取得ID和端口号。(2)取得ID和端口号后,攻击者立即向攻击目标发送伪造的DNS应答包。用户收到后确认ID和端口号无误,以为收到了正确的DNS应答包。而其实际的地址很可能被导向攻击者想让用户访问的恶意网站,用户的信息安全受到威胁。(3)当用户再次收到DNS服务器发来的DNS应答包时,由于晚于伪造的DNS应答包,因此被用户抛弃;用户的访问被导向攻击者设计的地址,一次完整的DNS欺骗完成。10.2 Internet电子欺骗与防范电子
23、欺骗与防范4010.2.2DNS电子欺骗3DNS欺骗攻击的防范(1)直接使用IP地址访问对少数信息安全级别要求高的网站应直接使用(输入)IP地址进行访问,这样可以避开DNS对域名的解析过程,也就避开了DNS欺骗攻击。(2)DNS服务器冗余借助于“冗余”思想,可在网络上配置两台或多台DNS服务器,并将其放置在网络的不同地点。 10.2 Internet电子欺骗与防范电子欺骗与防范4110.2.2 DNS电子欺骗电子欺骗3DNS欺骗攻击的防范(3)MAC与IP地址绑定DNS欺骗是攻击者通过改变或冒充DNS服务器的IP地址实现的,所以将DNS服务器的MAC地址与IP地址绑定,保存在主机内。这样,每次
24、主机向DNS发出请求后,都要检查DNS服务器应答中的MAC地址是否与保存的MAC地址一致。 (4)加密数据防止DNS欺骗攻击最根本的方法是加密传输的数据。对服务器来说应尽量使用SSH等支持加密的协议,对一般用户则可使用PGP之类的软件加密所有发到网络上的数据。10.2 Internet电子欺骗与防范电子欺骗与防范4210.2.2 DNS电子欺骗电子欺骗3DNS欺骗攻击的防范有一些例外情况不存在DNS欺骗:如果IE中使用代理服务器,那么DNS欺骗就不能进行,因为此时客户端并不会在本地进行域名请求;如果访问的不是本地网站主页,而是相关子目录文件,这样在自定义的网站上不会找到相关的文件,DNS欺骗也
25、会以失败告终。10.2 Internet电子欺骗与防范电子欺骗与防范4310.2.3 IP电子欺骗电子欺骗1IP电子欺骗原理IP电子欺骗是建立在主机间的信任关系基础上的。由于IP协议不是面向链接的,所以IP层不保持任何连接状态的信息。因此,可以在IP包的源地址和目标地址字段中放入任意的IP地址。假如某人冒充主机B的IP地址,就可以使用rlogin登录到主机A,而不需任何口令认证。这就是IP电子欺骗的理论依据。 10.2 Internet电子欺骗与防范电子欺骗与防范4410.2.3 IP电子欺骗电子欺骗2IP电子欺骗过程(1)使被信任主机丧失工作能力由于攻击者将要代替真正的被信任主机,他必须确保
26、真正的被信任主机不能收到任何有效的网络数据,否则将会被揭穿。比如,使用SYN洪泛攻击使被信任主机失去工作能力。(2)序列号取样和推测先与被攻击主机的一个端口(如25)建立起正常连接,并将目标主机最后所发送的初始序列号(ISN)存储起来;然后还需要估计他的主机与被信任主机之间的往返时间。10.2 Internet电子欺骗与防范电子欺骗与防范4510.2.3 IP电子欺骗电子欺骗2IP电子欺骗过程(3)对目标主机的攻击攻击者可伪装成被信任主机的IP地址,然后向目标主机的513端口(rlogin的端口号)发送连接请求。目标主机立刻对连接请求做出反应,发送SYN/ACK确认数据包给被信任主机。此时被信
27、任主机处于瘫痪状态,无法收到该包。随后攻击者向目标主机发送ACK数据包,该包使用前面估计的序列号加1。如果攻击者估计正确,目标主机将会接收该ACK。连接就正式建立。10.2 Internet电子欺骗与防范电子欺骗与防范4610.2.3 IP电子欺骗电子欺骗3IP电子欺骗的防范(1)抛弃基于IP地址的信任策略(2)进行包过滤(3)使用加密方法(4)使用随机的初始序列号10.2 Internet电子欺骗与防范电子欺骗与防范4710.2.4 Internet电子欺骗防范实例电子欺骗防范实例1IP地址绑定设置对合法用户进行IPMAC端口绑定,可防止恶意用户通过更换自己地址上网的行为。 现以S3562系
28、列交换机为例介绍IP地址与MAC地址和端口的绑定设置,如图10.26所示。用户的IP地址为10.1.1.2,MAC地址为0000-0000-0001。10.2 Internet电子欺骗与防范电子欺骗与防范4810.2.4 Internet电子欺骗防范实例电子欺骗防范实例1IP地址绑定设置(1)采用DHCP-SECURITY实现IP与MAC绑定配置端口的静态MAC地址SwitchAmac-addressstatic0000-0000-0001interfaceethernet0/1vlan1配置IP和MAC对应表SwitchAdhcp-security10.1.1.20000-0000-0001
29、static配置DHCP-Server组号(否则不允许执行下一步)SwitchA-vlan-interface1dhcp-server1启动三层地址检测SwitchA-vlan-interface1address-checkenable10.2 Internet电子欺骗与防范电子欺骗与防范4910.2.4 Internet电子欺骗防范实例电子欺骗防范实例1IP地址绑定设置(2)采用AM命令来实现IP与MAC绑定启动AM功能SwitchAamenable进入端口视图SwitchAvlan10将E0/1加入到vlan10SwitchA-vlan10portethernet0/1创建(进入)vlan
30、10的虚接口SwitchAinterfacevlan-interface1010.2 Internet电子欺骗与防范电子欺骗与防范5010.2.4 Internet电子欺骗防范实例电子欺骗防范实例1IP地址绑定设置(2)采用AM命令来实现IP与MAC绑定为vlan10的虚接口配置IP地址SwitchA-vlan-interface10ipadd10.1.1.1255.255.255.0进入E0/1端口SwitchAinterfaceethernet0/1该端口只允许起始IP地址为10.1.1.2的10个IP地址上网SwitchA-ethernet0/1amip-pool10.1.1.21010
31、.2 Internet电子欺骗与防范电子欺骗与防范5110.2.4 Internet电子欺骗防范实例电子欺骗防范实例2IP、MAC与端口绑定设置通过ACL可实现静态MAC与端口捆绑(端口E0/1仅允许MAC为0.0.1的PC1接入、动态MAC与端口捆绑(端口E0/1仅允许一个任何MAC地址的主机接入)、IP与端口捆绑(端口E0/1仅允许IP地址为1.0.0.2的主机接入)、IP与MAC捆绑(vlan1下的主机MAC为0.0.1的PC1必须使用IP地址1.0.0.2才可以通过交换机)以及MAC、IP与端口捆绑(端口E0/1仅仅允许MAC地址为0.0.1且IP地址为1.0.0.2的主机接入)。10
32、.2 Internet电子欺骗与防范电子欺骗与防范5210.2.4 Internet电子欺骗防范实例电子欺骗防范实例2IP、MAC与端口绑定设置三层交换机SwitchA有两个端口E0/1、E0/2分别属于vlan1、vlan2;vlan1和vlan2的三层接口地址分别是1.0.0.1/8和2.0.0.1/8,上行口G1/1是trunk端口,并允许vlan3通过。10.2 Internet电子欺骗与防范电子欺骗与防范5310.2.4 Internet电子欺骗防范实例电子欺骗防范实例2IP、MAC与端口绑定设置现以3526E交换机为例介绍其设置。(1)静态MAC与端口捆绑设置创建ACL(200#)
33、SwitchAaclnum200定义规则禁止E0/1去往任意端口的数据包SwitchA-acl-link-200rule0denyingressinterfaceethernet0/1egressany定义规则允许MAC地址0.0.1从E0/1发住任意端口SwitchA-acl-link-200rule1permitingress0.0.1interfaceethernet0/1egressany下发访问控制列表SwitchApacket-filterlink-group20010.2 Internet电子欺骗与防范电子欺骗与防范5410.2.4 Internet电子欺骗防范实例电子欺骗防范实
34、例2IP、MAC与端口绑定设置(2)动态MAC与端口捆绑设置定义端口最大MAC地址学习数为1SwitchA-ethernet0/2mac-addressmax-mac-count1(3)IP与端口捆绑设置注:这是用QACL命令实现的,该功能在S3526系列交换机上可以使用静态DHCP和AM命令分别实现。创建ACL(1#)SwitchAaclnum1定义规则禁止所有的IP报文SwitchA-acl-basic-1rule0denysourceany定义规则允许源地址1.0.0.2主机SwitchA-acl-basic-1rule1permitsource1.0.0.20创建ACL(200#)Sw
35、itchAaclnum20010.2 Internet电子欺骗与防范电子欺骗与防范5510.2.4 Internet电子欺骗防范实例电子欺骗防范实例2IP、MAC与端口绑定设置定义规则SwitchA-acl-link-200rule0denyingressinterfaceE0/1egressanySwitchA-acl-link-200rule1permitingressinterfaceE0/1egressany下发ACL,禁止E0/1的所有IP报文SwitchApacket-filterip-group1rule0link-group200rule0下发ACL,允许主机1.0.0.2报文
36、通过E0/1SwitchApacket-filterip-group1rule1link-group200rule110.2 Internet电子欺骗与防范电子欺骗与防范5610.2.4 Internet电子欺骗防范实例电子欺骗防范实例2IP、MAC与端口绑定设置(4)IP与MAC捆绑设置创建ACL(1#)SwitchAaclnumber1定义规则允许特定IPSwitchA-acl-basic-1rule0permitsource1.0.0.20创建ACL(200#)SwitchAaclnumber200定义规则禁止特定MACSwitchA-acl-link-200rule0denyingre
37、ss10000-0000-00010000-0000-0000egressany定义规则允许特定MACSwitchA-acl-link-200rule1permitingress10000-0000-00010000-0000-0000egressany下发访问控制列表,禁止特定MAC0.0.1SwitchApacket-filterlink-group200rule0下发ACL,允许符合IP的特定macSwitchApacket-filterip-group1rule0link-group200rule110.2 Internet电子欺骗与防范电子欺骗与防范5710.2.4 Internet
38、电子欺骗防范实例电子欺骗防范实例2IP、MAC与端口绑定设置(5)IP、mac和端口捆绑设置创建ACL(1#)SwitchAaclnumber1定义规则允许1.0.0.2主机SwitchA-acl-basic-1rule0permitsource1.0.0.20创建ACL(200#)SwitchAaclnumber200定义规则禁止E0/1发往任何端口的数据SwitchA-acl-link-200rule0denyingressinterfaceE0/1egressany定义规则允许0.0.1主机从E0/1去往任意端口SwitchA-acl-link-200rule1permitingress
39、10000-0000-00010000-0000-0000egressany下发ACLSwitchApacket-filterlink-group200rule0SwitchApacket-filterip-group1rule0link-group200rule110.2 Internet电子欺骗与防范电子欺骗与防范5810.3 Internet连接防火墙与连接防火墙与 Windows 防火墙应用防火墙应用1Internet 连接防火墙连接防火墙Internet连接防火墙(InternetConnectionFirewall,ICF)建立在客户机与Internet之间,可以使用户请求的数据通
40、过、阻碍没有请求的数据包,是一个基于包的、保护网络与外部系统边界的安全系统。591Internet 连接防火墙连接防火墙通常,ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通信,并且检查每个消息的源/目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通信表。在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。602Windows防火墙的应用(1)打开Windows防火墙控制台在WindowsXP系统,单击“开始”“设置”“控制面板”,在控制面板中
41、双击“Windows防火墙”图标,打开“Windows防火墙”控制台。612Windows防火墙的应用(2)添加例外程序或端口当用户在本地运行一个应用程序并将其作为Internet服务器提供服务时,Windows防火墙将会弹出一个新的安全警报对话框。通过对话框中的选项可以将此应用程序或服务添加到Windows防火墙的例外项中。 622Windows防火墙的应用(3)网络连接设置在“高级”选项卡中包含了“网络连接设置”、“安全日志记录”、“ICMP”和“默认设置”4组选项,可以根据实际情况进行配置。632Windows防火墙的应用(4)安全日志设置Windows防火墙的安全记录功能可以提供一种方
42、式来创建防火墙活动的日志文件,能够记录被许可的和被拒绝的通信。 642Windows防火墙的应用(5)默认设置如果要将所有Windows防火墙设置恢复为默认状态,可在图中的“默认设置”处点击“还原为默认值”按钮,即可将前面所有Windows防火墙设置还原为默认状态。652Windows防火墙的应用(6)组策略设置Windows防火墙也可以通过组策略进行防火墙状态、允许的例外等设置。其操作过程为:第1步:选择“开始”“运行”,在“运行”对话框中输入“gpedit.msc”并回车,打开WindowsXP组策略编辑器。进入组策略编辑器后,就可配置Windows防火墙了。第2步:从左侧窗格中依次展开“
43、计算机配置”“管理模板”“网络”“网络连接”“Windows防火墙”。从图中Windows防火墙下可以看到两个分支设置,一个是域配置文件,一个是标准配置文件。当计算机连接到有域控制器的网络中(即有专门的管理服务器)时,是域配置文件起作用;否则,是标准配置文件起作用。即使没有配置标准配置文件,缺省值也会生效。662Windows防火墙的应用(7)命令行配置Windows防火墙的配置和状态信息还可以通过命令行工具Netsh.exe进行。可在命令提示符窗口输入“netshfirewall”命令获取防火墙信息和修改防火墙设定。“netshfirewall”命令的参数及其含义如下:?-显示命令列表add
44、-添加防火墙配置 delete-删除防火墙配置dump-显示一个配置脚本help-显示命令列表reset-将防火墙配置重置为默认值set-设置防火墙配置show-显示防火墙配置67104 VPN安全安全10.4.1 VPN概述概述1VPN简介 VPN是利用公用网络来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。 VPN由物理上分布在不同地点的网络通过公用网络连接构成的虚拟子网,并采用认证、访问控制、数据保密性和完整性等安全措施,使得数据通过安全的“加密管道”在公用网络中传输。 68104 VPN安全安全10.4.1 VPN概述概述1VPN简介VPN类似于点
45、到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。VPN常用的连接方式有:通过Internet实现远程访问、通过Internet实现网络互连和连接企业内部网络计算机等。VPN允许远程通信方、销售人员或企业分支机构使用Internet等公用网络的路由基础设施以安全的方式与位于企业LAN端的企业服务器建立连接。通过VPN,网络对每个使用者都是“专用”的。69104 VPN安全安全10.4.1 VPN概述概述2VPN安全技术VPN可采用多种安全技术来保证安全。这些安全技术主要有隧道(tunneling)技术、加密/解密(encryptiondecryption)技术、密钥管理(keym
46、anagement)技术和身份认证(authentication)技术等,它们都由隧道协议支持。70104 VPN安全安全10.4.1 VPN概述概述2VPN安全技术(1)隧道技术隧道技术是VPN的基本技术,类似于点对点连接技术。它是在公用网络上建立的一条数据通道(隧道),数据包通过这条隧道传输。使用隧道传递的数据可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共网络进行路由。 71104 VPN安全安全10.4.1 VPN概述概述2VPN安全技术(
47、2)加密/解密技术加密/解密技术是在VPN应用中将认证信息、通信数据等由明文转换为密文和由密文变为明文的相关技术,其可靠性主要取决于加密/解密的算法及强度。72104 VPN安全安全10.4.1 VPN概述概述2VPN安全技术(3)密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥。现行密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。SKIP协议主要是利用Diffie-Hellman算法法则,在网络中传输密钥;在Internet安全连接和密钥管理协议(ISAKMP)中,双方都有两个密钥,分别用于公用和私用。73104 VPN安全安全10.4.1 VPN概述概述2VP
48、N安全技术(4)身份认证技术在正式的隧道连接开始之前,VPN要运用身份认证技术确认使用者和设备的身份,以便系统进一步实施资源访问控制或用户授权。74104 VPN安全安全10.4.1 VPN概述概述3VPN的安全性(1)密码与安全认证(2)扩展安全策略(3)日志记录75104 VPN安全安全10.4.1 VPN概述概述4VPN的应用领域(1)移动用户远程访问公司总部(2)总部与分支机构在公用网上组建虚拟企业内部网(3)企业内部网与合作伙伴网络连接形成外域网76104 VPN安全安全10.4.2VPN的配置与应用实例1VPN服务器的安装第1步:依次进入“开始”“程序”“管理工具”,单击“路由和远
49、程访问”,在列出的本地服务器(OWNER-4T1BSHEEX)上点击右键,选择“配置并启用路由和远程访问”。77104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例1VPN服务器的安装第2步:打开“路由和远程访问安装向导”窗口,跳过欢迎界面,点击“下一步”按钮。现假设服务器是公用网络上的一般服务器,不是具有路由功能的服务器,安装有单网卡,这里选择“自定义配置”单选项,点击“下一步”按钮。78104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例1VPN服务器的安装第3步:在出现的窗口中选择“VPN访问”,点击“下一步”按钮,配置向导完成示。第4步:在图
50、10.42中的提示“路由和远程访问服务现在已被安装。要开始服务吗?”下,点击“是”按钮,启动VPN服务。79104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例2VPN服务器的配置第1步:在图中右键单击服务器(OWNER-4T1BSHEEX),选择“属性” 。选择启用此计算机作为“路由器”或“远程访问服务器”复选项。80104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例2VPN服务器的配置第2步:在该“属性”窗口中选择“IP”选项卡,勾选“启用IP路由”和“允许基于IP的远程访问和请求拨号连接”。在“IP地址指派”中选择“静态地址池”,设置IP地址
51、范围。点击“添加”按钮,在出现的“新建地址范围”对话框中输入起始IP地址和结束IP地址,这样就设置了一个IP地址范围。81104 VPN安全10.4.2 VPN的配置与应用实例的配置与应用实例2VPN服务器的配置第3步:点击“确定”按钮,出现如图所示窗口,再点击“确定”按钮,即完成IP地址设置。82104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例3添加VPN用户并赋予用户拨入权限在VPN服务器上,利用“管理工具”中的“计算机管理”添加用户。这里以添加一个“ysliu”用户为例,过程如下:第1步:依次进入“开始”“程序”“管理工具”,单击“计算机管理”打开其控制台。第2
52、步:依次展开“系统工具”“本地用户和组”,单击“用户”,则可以看到所有的本地用户。83104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例3添加VPN用户并赋予用户拨入权限第3步:右键单击“用户”,选择“新用户”项来新建一个用户。用户名可以取为“ysliu”,并选择和确认密码(从安全角度考虑,用户名和密码要设置的复杂些),并将“用户下次登录时必须更改密码”前的选项取消。单击“创建”按钮,即创建完一个用户。如果还想创建其他用户,重复以上过程即可。第4步:创建好“ysliu”用户后,在“计算机管理”控制台的用户栏即可看到该用户。84104 VPN安全安全10.4.2 VPN的
53、配置与应用实例的配置与应用实例3添加VPN用户并赋予用户拨入权限第5步:右键单击用户名“ysliu”,选择“属性”,出现新用户属性窗口。在“ysliu属性”窗口点击“确定”按钮。第6步:打开 “拨入”选项卡,在“远程访问权限(拨入或VPN)”选项组下点选“允许访问”(允许这个用户通过VPN拨入服务器)。点选“分配静态IP地址”,并选择一个VPN服务器中静态IP范围内的一个IP地址作为该用户的IP,这里设为202.108.42.69。第7步:单击“确定”按钮,返回“计算机管理”控制台。85104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例3添加VPN用户并赋予用户拨入权限
54、第1步:在客户机上依次选择“开始”“设置”“控制面板”,打开“网络连接”,点击“创建一个新的连接”,在“新建连接向导”中选择“连接到我的工作场所网络” 。第2步:单击“下一步”按钮后,在“创建下列连接”栏中单选 “虚拟专用网络连接”。第3步:单击“下一步”按钮后,在 “连接名”对话框中为连接输入一个公司名(如“ABC”);单击“下一步”后,在出现的对话框中输入准备连接的VPN服务器的IP地址或域名,如。86104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例3添加VPN用户并赋予用户拨入权限第4步:单击“下一步”后,“完成”新建连接。这样,在“控制面板”的“网络连接”中的
55、“虚拟专用网络”下面,就可以看到刚才新建的“ABC”连接。第5步:在“ABC”连接上点击右键,选择“属性”,在弹出的窗口中点击“网络”选项卡,选中“Internet协议(TCP/IP)”。87104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例3添加VPN用户并赋予用户拨入权限第6步:点击图中的“属性”按钮,在弹出的窗口中再点击“高级”按钮,把“在远程网络上使用默认网关”前面的勾去掉。注意:如果不去掉这个勾,客户端拨入到VPN后,将使用远程的网络作为默认网关,致使客户端只能连通VLAN而连不上Internet。第7步:现在可以开始拨号进入VPN了。双击“ABC”连接,出现
56、登录窗口。第8步:在登录窗口点击“属性”按钮,出现 “宽带连接属性”窗口。88104 VPN安全安全10.4.2 VPN的配置与应用实例的配置与应用实例3添加VPN用户并赋予用户拨入权限第10步:进行高级安全设置后,在对话框的用户名和密码栏分别输入分配给该客户端的用户名和密码。然后点击“连接”按钮,片刻后即可看到此次拨号连接完成的显示,表示已经拨通入网了。89105 Internet Explorer安全应安全应用实例用实例1Internet安全设置安全设置打开InternetExplorer,点击菜单栏中的“工具”“Internet选项”,点开“安全”选项卡。在“安全”选项卡中选择“Inte
57、rnet”,就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置,但最好是根据自己的实际情况亲自调整一下。点击下方的“自定义级别”,这里就显示了IE安全设置。 90105 Internet Explorer安全应安全应用实例用实例2可信站点的安全设置可信站点的安全设置在“Internet选项”的“安全”选项卡下,点击“受信任的站点”,然后点击“站点”按钮,在新窗口中输入希望添加的网络地址(例如http:/),然后点击右侧的“添加”按钮即可。 91105 Internet Explorer安全应安全应用实例用实例3Internet内容的安全设置打开“Internet选项”中的“内容”选项卡,可看到有“分级审查”、“证书”和“个人信息”三栏。 92105 Internet Explorer安全应安全应用实例用实例4Internet的高级安全设置打开“Internet选项”的“高级”选项卡,可根据实际情况对“设置”中的各“安全”项进行具体设置。93
