网络技术应用与实训第八章网络安全技术

《网络技术应用与实训第八章网络安全技术》由会员分享，可在线阅读，更多相关《网络技术应用与实训第八章网络安全技术（108页珍藏版）》请在装配图网上搜索。

1、第八章 网络安全技术,内容提要 Windows 2000操作系统的补丁下载和使用 Windows 2000安全性设置 网络防病毒软件的安装和使用 IE浏览器的安全配置 天网防火墙的设置和应用,实训8-1 Windows 2000操作系统的补丁下载和使用,实训目标,学会使用漏洞检测工具MBSA，检测系统的漏洞，学会下载并安装系统补丁，以加深学生对网络安全概念的理解。 掌握漏洞检测工具MBSA的使用。 掌握补丁的下载、安装及作用。,背景资料,网络操作系统和其他工具、应用软件一样，不可能是百分之百的无缺陷和无漏洞的。 例如“Windows”系列操作系统，存在诸如 资源共享漏洞 资源共享密码漏洞 CO

2、M漏洞 全拼输入法漏洞 Win2000的账号泄露 空登录等问题.,系统的漏洞和缺陷就是病毒和黑客进行攻击的首选通道，黑客侵入网络的事件，大部分是利用漏洞进行的。 据调查显示，在计算机网络安全问题中，大量系统入侵事件都是因为用户没有及时的安装系统的补丁造成的。 实际上只要事先安装好漏洞补丁软件，就可以防止系统被感染。因此，对于企业的网络管理人员来说，日常重要的管理维护任务之一是及时更新系统，及时修补系统漏洞。,知识要点,计算机网络安全概述,网络安全就是要保证网络信息的安全，即要实现安全通信。安全通信具有下面4个特性 保密性 只有发送方和预定的接收方能够理解传输报文的内容。要求对报文进行加密，使得

3、截获者不能解密截取到的报文。 身份鉴别 发送方和接收方都应该能证实通信的另一方确实具有他们所声称的身份。,报文完整性和不可否认性 即使发送方和接收方可以互相鉴别对方的身份，他们还需要确保传输的报文内容在传输过程中未被改变（恶意篡改或意外改动），同时接收方要证实一个报文确实来自所宣称的发送方。 可用性和访问控制 任何非法的用户（或攻击者）不能阻止合法用户使用网络基础设施，保证任何攻击者无法阻止合法用户使用网络、主机、网站或其它基础设施。 访问控制机制可区分网络的合法用户和非法用户，只允许拥有适当的访问权限的用户以定义明确的方式对资源进行访问。,计算机网络系统面临的威胁,在计算机网络上进行通信时，

4、面临的威胁主要包括 截获，攻击者从网络上窃听信息 中断，攻击者有意中断网络上的通信 篡改，攻击者有意更改网络上的信息 伪造，攻击者使用假的信息在网络上传输,计算机网络系统自身面临的威胁包括 物理设备的安全威胁 常见的威胁有偷窃、废物搜寻和间谍活动等。例如，因为计算机里存储的数据价值远远超过计算机本身，所以计算机偷窃行为造成的损失往往数倍于被偷设备的价值。 计算机系统的脆弱性。主要来自计算机操作系统和网络通信协议的不安全性。 达到C2级的系统（如Windows 2000、Unix、Linux）的安全性高，能用作服务器操作系统。但是，C2级系统也存在安全漏洞。 和操作系统绑定的TCP/IP（IPv

5、4）通信协议也存在着很多安全漏洞。,引起网络系统不安全的因素,来自外部的不安全因素 网络上存在的攻击。有些别有用心的人企图通过网络攻击的手段截获信息。 来自网络系统本身 网络中存在着硬件、软件、通信、操作系统或其他方面的缺陷与漏洞，给网络攻击者以可乘之机。 网络安全管理方面 网络管理者缺乏警惕性、忽视网络安全，或对网络安全技术不了解，没有制定切实可行的网络安全策略和措施。 网络安全协议 在互联网上使用的协议是TCP/IP，其IPv4 版在设计之初没有考虑网络安全问题，协议本身存在安全的机制。,网络安全规范和措施,解决网络安全问题包括 采取安全的技术 加强安全检测与评估 安全检测和评估主要包括网

6、络、保密性以及操作系统的检测与评估。 构筑安全体系结构 在安全体系结构方面，目前主要参照ISO 于1989年制定的OSI 网络安全体系结构，包括安全服务和安全机制，主要解决网络信息系统中的安全与保密问题。,加强安全管理 安全管理可以分为技术管理和行政管理两方面。 制定网络安全方面的法律和法规等 用备份和镜像技术提高数据完整性。 定期检测病毒 安装补丁程序 提高物理安全 采用Internet防火墙 仔细阅读日志 加密文件,实训环境,软件环境 Windows XP/2000/2003，Internet Explore 6.0 硬件环境 计算机 网络环境 本地局域网并连接到Internet上,实训内

7、容,漏洞检测工具MBSA的使用,步骤1、运行MBSA 直接运行mbsasetup.msi程序，进入安装界面，按照提示完成安装。运行MBSA。 步骤2、选择扫描对象 在界面的左边窗口单击“Pick a computer to scan”扫描一台计算机，右边窗口显示计算机信息输入界面，可以输入要扫描的计算机名或 IP地址。 也可以单击“Pick Multiple computer to scan”扫描多台计算机，右边窗口输入要扫描的域或 IP地址范围。,步骤3、选择扫描选项 MBSA有五个扫描选项： “Check for windows vulnerabilities(检查Windows的系统漏洞

8、)” “Check for weak password （检查弱口令）” “Check for IIS vulnerabilities（检查IIS的系统漏洞）” “Check for SQL vulnerabilities（检查SQL程序的系统漏洞）” “Check for hotfixes（检查Windows的更新补丁）” 步骤4、开始扫描 单击“Start Scan”开始扫描,掌握补丁的下载、安装及作用,步骤1、在MBSA的检查结果中查找 “Windows的系统漏洞”，在微软 的网站上下载相应的补丁。 步骤2、安装补丁程序。 步骤3、再次运行MBSA检测系统，比较 MBSA的两次检测结果。

9、,思考练习,1、常用的漏洞检测工具有哪些？ 2、补丁的作用是什么？,实训8-2 Windows 2000安全性设置,实训目标,学会Windows 2000安全性设置方法。增强对网络安全概念的理解。 掌握禁用不必要的服务 掌握禁用或删除不必要的帐户 掌握设置更加可靠的密码策略 掌握设置帐户的锁定策略,背景资料,现在有很多人认为微软的东西漏洞太多，微软的系统安全性极差。实际上各种操作系统都有很多漏洞，只不过微软的东西用的人最多，加上很多应用者水平不是很高，不会作各种安全设置，所以才会让人有Windows操作系统安全性很差的感觉。 其实，做好了各项安全设置之后，Windows 网络操作系统的安全性绝

10、对不会比Linux系统差。,操作系统上市6个月后系统漏洞数目比较,在实际应用中，由于Windows网络操作系统的易用性与易管理性，有很多中小型企业选择Windows网络操作系统作为服务器操作系统。 中小企业利用Windows 2000网络操作系统+IIS软件来构建企业网站，使得企业不必投入大量的金钱在服务器的管理上，不必请很专业的管理员，不必支付一份可以节省的高薪，就能开办一个不错的企业网站。所以，对于中小型企业来说采用windows系统已经足够，而没有必要采用Linux或Unix系统。 熟悉Windows系统的安全性问题，以及掌握系统安全设置的方法和技巧，是非常有用的。,知识要点,Windo

11、ws 2000操作系统基准安全,定制自己的Windows 2000 SERVER 版本的选择 Windows 2000有各种语言的版本，可以选择英文版或简体中文版，建议使用英文版。 中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月 。 组件的定制 Windows 2000在默认情况下会安装一些常用的组件，这些默认安装是极度危险的。 管理应用程序的选择 选择一个好的远程管理软件是非常重要，这不仅仅是安全方面的要求，也是应用方面的需要,正确安装Windows 2000 SERVER 分区和逻辑盘的分配最少建立三个分区（系统区，应用程序区和文件区）。 系统区只安装操作系统 应用程序区放置安全

12、性较低的应用程序和服务 文件区用来存放重要的资料 Windows 2000的安装顺序也会对系统的安全造成影响 在完全安装并配置好Windows 2000 SERVER之前，一定不要把主机接入网络。 补丁的安装 补丁应该在所有应用程序安装完之后。,安全配置Windows 2000 SERVER 验证所有磁盘分区是否都用NTFS文件系统 需要确保管理员账号密码至少要有6位长，并且要有数字、字母和标点等多种字符类型。 禁用不必要的服务 禁用不需要的网络服务。尤其应该考虑关闭服务器IIS组件及文件和打印共享的Server服务。 禁用所有非活动帐户，删除不再需要的帐户。,保护注册表防止匿名访问，只有管理

13、员才应具有对注册表的远程访问权限， 设置更加可靠的密码策略 使用 “本地安全策略” 管理单元来加强接受密码的系统策略。 设置帐户的锁定策略 windows 2000包含帐户锁定功能，将在管理员指定的登录失败次数之后禁用帐户。 安装最新的 Service Pack,实训环境,软件环境 Windows XP/2000/2003，Internet Explore 6.0 硬件环境 计算机,实训内容,禁用不必要的服务,步骤1、进入“计算机管理”界面 选择开始程序 管理工具，然后单击计算机管理。 在“计算机管理（本地）”中，展开“服务和应用程序”，然后单击服务。当前所运行服务的状态列中显示已启动 。 步

14、骤2、禁用不必要的服务 找出 “要停止的服务” ，右击该服务选择属性，在属性中选择依存关系选项卡。 如果要立即停止服务，单击“停止”。 如果显示停止其他服务对话框，依赖于该服务的其他服务也将被停止。记下受影响的服务后，单击是。,禁用或删除不必要的帐户,步骤1、进入“计算机管理”界面 选择开始 程序 管理工具，然后单击计算机管理。 在“计算机管理（本地）”下，展开“系统工具”，然后单击“本地用户和组”中的用户。 步骤3、查看系统的活动帐户列表，并且 禁用所有非活动帐户，删除不再 需要的帐户。,设置更加可靠的密码策略,步骤1、进入“本地安全策略”界面 选择开始程序 管理工具，然后单击“本地安全策略

15、” 。 在“本地安全策略”下，展开“帐户策略”，然后单击“密码策略”。 步骤2、设置密码策略 将最小密码长度设置为6个字符 设置一个适合您网络的密码最短期限（通常介于1至7天之间） 设置一个适合您网络的最长密码期限（通常不超过42天） 设置最小为6的密码历史记录维护（使用“记住密码”选项） 步骤3、设置完成后创建一测试账户, 并设置一 个1-5位的密码并测试。,设置帐户的锁定策略,步骤1、进入“本地安全策略”界面 选择开始 程序 管理工具，然后单击“本地安全策略”或“域安全策略”。 在“本地安全策略”下，展开“帐户策略”，然后单击“帐户的锁定策略”。 步骤2、右击“账户锁定阀值”，将其设置为“

16、启用在 3至5次尝试失败之后的锁定”。 步骤3、右击“复位帐户锁定计数器”，将其设置为 “在不少于30分钟之后复位计数器”。 步骤4、右击“帐户锁定时间”，将锁定时间设置为 “永久”。 步骤5、用测试账户的错误密码登录系统3次,观察 结果。,思考练习,1安装完Windows 2000后，基准安全配置有哪些？ 2描述可靠的密码策略的设置方法。,实训8-3 网络防病毒软件的安装和使用,实训目标,学会防病毒软件的安装和使用方法 掌握瑞星防病毒软件的安装 掌握瑞星防病毒软件的使用 掌握诺顿防病毒软件的安装和使用,背景资料,如何防范和清除病毒已经不是什么新鲜的话题了，对于企业网络的网管来说，这却依然是一

17、个不容忽视的问题。 由于局域网中计算机数量众多，一旦局域网中的计算机被病毒感染，不仅传播速度快，清理难度也大，造成的经济损失也比个人用户中毒后的损失要高得多。,作为一名合格的企业网络管理人员 除了熟悉局域网中病毒防范的难点外，更应熟悉如何在局域网服务器上安装和配置合适的网络防病毒软件。 熟悉流行的工作站上的防病毒软件的性能、安装、配置和使用方法，熟悉流行防病毒软件的使用技巧。 能根据企业网络现状选购合适的防病毒软件版本，提高工作站用户使用防病毒软件的水平，减少企业网络感染病毒的机会。,知识要点,计算机病毒及其特征,计算机病毒 是指一种入侵程序，它可以通过插入自我复制的代码的副本感染计算机，并删

18、除重要文件、修改系统或执行某些其他操作，从而造成对计算机上的数据或计算机本身的损害。 计算机病毒一般具有以下特征： 隐蔽性 欺骗性 执行性 感染性和传播性 可触发性 破坏性,病毒的分类,主要的分类方式为按病毒的感染特性和按病毒的传播途径来分。 按病毒的感染特性来分 系统病毒、蠕虫病毒、木马黑客、破坏性程序、网页脚本病毒。 按病毒的传播途径来分类 文件型病毒、引导型病毒、混合型病毒,病毒的命名规则,虽然每个反病毒公司的病毒命名规则都不一样，但大体都是采用前缀命名法来表示一个病毒。病毒命名形式为 病毒前缀是指一个病毒的种类，用于区别病毒的种族。如木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 W

19、orm。 病毒名是指一个病毒的家族特征，用于区别和标识病毒的家族，如著名的CIH病毒的家族名都是统一的“ CIH ”，振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征，用于区别具体某个家族病毒的某个变种的，一般采用英文中的26个字母来表示，如 Worm.Sasser.b表示振荡波蠕虫病毒的变种B。,常见病毒前缀的详细解释 系统病毒的前缀是：Win32、PE、Win95、W32、W95其中之一。 蠕虫病毒的前缀是：Worm 木马病毒的前缀是：Trojan 黑客病毒的前缀是：Hack 脚本病毒的前缀是：Script或VBS、JS 宏病毒的前缀是：Macro；第二前缀是

20、：Word、Word97、Excel、Excel97其中之一。 破坏性程序病毒的前缀是：Harm,计算机病毒的防范,计算机病毒的预防措施 新购置的计算机软硬件系统的测试 在保证硬盘无计算机病毒的情况下，尽量使用硬盘引导系统。 在自己的机器上用别人的软盘或U盘前应进行检查。 安装网络服务器时，应保证安装环境和网络操作系统本身没有感染计算机病毒。 为各个卷分配不同的用户权限 安装防病毒软件,瑞星防病毒和诺顿防病毒软件,瑞星防病毒软件的主要功能和特色有 三重病毒分析过滤 未知病毒行为检测技术的运用 实时邮件监控和防护 提供Lotus Notes邮件监控功能 硬盘数据保护 利用脚本虚拟机技术查杀未知宏

21、病毒及网页病毒 Windows内存杀毒 支持众多压缩格式，并能查杀多层压缩文件 二进制增量升级,诺顿(Norton AntiVirus) 是著名的赛门铁克公司出品的一款防杀病毒的软件，通常它也被称作 NAV。 Norton AntiVirus可以检测到上万种已知和未知的病毒，并且提供了一个实时病毒监控程序，每当开机时，监控程序便会常驻在内存中，再从磁盘、网络、E-mail附件中打开文件时，它便会自动检查文件的安全性，如果文件内有病毒，便会立即警告，并进行适当处理。,实训环境,软件环境 Windows XP/2000/2003，瑞星、诺顿防病毒软件 硬件环境 计算机,实训内容,瑞星防病毒软件的安

22、装,步骤1、启动安装瑞星防病毒软件 运行安装程序根目录下的Autorun.exe程序。 在弹出的安装界面中选择“安装瑞星杀毒软件”。 在弹出的语言选择框中，选择合适的语言，（如“中文简体”） 步骤2、完成安装 进入安装欢迎界面，关闭其他应用程序后，选择下一步。 阅读“最终用户许可协议”，选择“我接受”，按下一步。 在“检查序列号”窗口中，正确输入产品序列号和12位ID号，按下一步。,在“瑞星系统内存扫描”窗口中，程序将进行系统内存扫描，确保您安装瑞星杀毒软件时系统环境的无毒、完整。按下一步。 在“安装类型”窗口中，用户可自行选择“全部”、“典型”、“最小”和“定制”四种安装类型中的一种进行安装

23、，按下一步。 在“安装目录”窗口中，用户指定瑞星杀毒软件的安装目录，按下一步。,在“选择程序组”窗口中输入程序组名称，按下一步。 在“安装信息”窗口中，显示了安装路径和程序组名称的信息，请确认后按下一步开始复制文件。 文件复制完成后，在“结束”窗口中，可以选择“运行瑞星主程序”、“运行监控中心”和“运行注册向导”三项中的任意一项来启动程序，最后选择完成。,瑞星防病毒软件的配置,步骤1、密码设置 在瑞星杀毒软件主程序界面中，选择设置密码，进入“设置密码对话框”，即可设置或修改密码。 密码的设置，可以防止未经许可的情况下，擅自关闭瑞星计算机监控程序或者修改“瑞星设置”选项。,步骤2、病毒查杀 在主

24、窗口的“查杀目录”中选择要扫描的文件夹或者其它目标，在“操作”菜单中选择“杀毒”，系统开始手动杀毒。 在瑞星杀毒软件主程序界面中，选择设置详细设置 定制任务 定时扫描，将“扫描频率”设为“每天一次”，将“时间”设为12:00，再按确定保存设置。系统会定时杀毒。,步骤3、查看查杀日志 在瑞星杀毒软件主界面中，选择操作 历史记录，即可查看查杀日志。将扫描的结果记录下来。 右击“瑞星计算机监控”图标，在右键菜单中选择“网络黑名单”，即可打开网络黑名单列表，查看曾入侵本机进行传播病毒的计算机的名称和IP地址。,步骤4、单击添加，手动添加已知的网 络黑名单。 步骤6、自动查杀设置 在瑞星工具面板中，双击

25、“嵌入式杀毒工具”图标，弹出“瑞星嵌入式查杀设置工具”对话框，在支持软件的列表中，列出了已经安装的软件，选中这些软件。 这些软件在接收文件后会自动调用瑞星杀毒软件扫描病毒。,步骤7、计算机监控 右击“瑞星计算机监控”图标，在右键菜单中选择“监控设置”。 “计算机监控”下分别单击“文件监控”、“内存监控”、邮件监控、引导区监控、网页监控、注册表监控、漏洞攻击监控，在右边窗口设置或查看相应的内容。 步骤8、定时升级 在瑞星杀毒软件主程序界面中，选择设置定时升级设置，升级频率设置为“一周一次”，升级时刻为“每周一的12：00”，并选择“自动检测最新版本”。,诺顿防病毒软件的安装与设置,步骤1、双击安

26、装程序，按提示完成安装。 步骤2、打开诺顿防毒软件，选择 配置 文件系统 自动防护 排除 文件和文件夹。 步骤3、选择以 “文件/文件夹” 方式排除，然 后选择不扫描的文件夹。,步骤4、 设置发现病毒“删除受感染的文件”，如果操作失败可以选择“不操作（仅记录）”或“清除文件中的病毒”。 为了更节约系统资源，避免每次发现病毒时需要提示确认，要关闭诺顿警告提示 。,思考练习,1使用防病毒软件时关键要注意哪些问题？,实训8-4 IE浏览器的安全配置,实训目标,掌握IE浏览器的安全配置方法 掌握Cookie的管理 掌握禁用或限制使用Java、Java小程序脚本、ActiveX控件和插件的方法。 掌握调

27、整自动完成功能的设置,背景资料,网页打不开，网速缓慢这些都是上网经常会遇到的问题，很多人把这些问题统统归结为网站的问题，这是不公正的。实际上这些问题往往与使用浏览器的方法有着密切联系。 IE浏览器是普通网民最常使用的软件之一，也是最容易受到网络攻击的软件。很多用户往往都会安装第三方软件来避免这种攻击。其实，在IE中有很多容易被用户忽视的安全设置，如果能合理的利用起来就能在很大程度上避免网络攻击。 IE浏览器优化设置有很多，通过一些实用的技巧，降低IE浏览器对系统的安全威胁。,知识要点,浏览器安全设置,Internet Explore是使用最广泛的浏览器，它使用方便，功能强大，但由于它支持Jav

28、ascript脚本和Acitve X控件的等元素，使得浏览网页时留下了很多安全隐患。 利用网页进行攻击是很难防范的，没有特别有效的方法，而且安全的配置都是以失去很多功能为代价的。,管理Cookie的技巧 在IE 中，打开 “工具”菜单的“Internet属性”中的“隐私”标签，专门用来管理Cookie。 Cookie有六个安全级别，分别是 阻止所有Cookie 高 中高 中 (默认级别) 低 接受所有Cookie，分别对应从严到松的Cookie策略，我们可根据需要方便地进行设定。 通过IE 6.0的Cookie策略，就能个性化地设定浏览网页时的Cookie规则，更好地保护自己的信息，增加使用I

29、E的安全性。,禁用或限制使用Java、Java小程序脚本、ActiveX控件和插件 互联网上经常使用Java、JavaApplet、ActiveX编写的脚本，它们可能会获取用户的用户标识、IP地址和口令等信息，影响系统的安全。 对Java、Java小程序脚本、ActiveX控件和插件的使用进行限制。,对不同的区域设置不同的安全级别 选中IE“工具”菜单的“Internet属性”中的“安全”标签，在这里IE 将 Internet划分四个区域，分别是 Internet 本地Intranet 受信任的站点 受限制的站点 用户可以将网站分配到具有适当安全级的区域。 通过图8-4-2中的“自定义级别”对

30、不同的区域设置不同的安全级别。,图8-4-2中的“自定义级别”,通过“自定义级别”进行设置 安全级别包括 ActiveX控件和插件 Microsoft VM 脚本 下载 用户验证 其他 每一项均可展开进行详细配置 对于一些不安全或不太安全的控件或插件以及下载操作，应该予以禁止、限制或至少要进行提示。,调整自动完成功能的设置 自动完成功能 使用户在第一次使用Web地址、表单、表单的用户名和密码后（如果同意保存密码），在下一次再想进入同样的Web页及输入密码时，只需输入开头部分，后面的就会自动完成。 通过调整“自动完成”功能的设置来提高安全性 只选择针对Web地址、表单和密码使用“自动完成”功能。

31、 只在某些地方使用此功能 清除任何项目的历史记录,实训环境,软件环境 Windows XP/2000/2003，Internet Explore 6.0 硬件环境 计算机 网络环境 本地局域网并连接到Internet上,实训内容,管理Cookie,步骤1、进入网站（含cookie功能），记 下访问结果。 步骤2、设置Cookie级别为“高” 打开IE的“工具”菜单的“Internet工具”中的“隐私”。 移动活动游标，将Cookie设置为高，这将阻止所有Cookies。 步骤3、再次进入网站（含cookie功能），记下 访问结果。 步骤4、设置Cookie级别为“中” 移动活动游标，将Cook

32、ie设置还原为中。 单击“编辑”，输入网站名并单击允许或拒绝，指定站点永远不可以使用Cookie。 步骤5、再次进入网站（含cookie功能），记下 访问结果。,禁用或限制使用Java、Java小程序脚本、ActiveX控件和插件,步骤1、选中 “Internet工具”中的“安全” 标签 步骤2、添加受信任的站点 单击“受信任的站点”后点击“站点”按钮，输入不会损坏计算机和数据的站点并点击“添加”按钮。 步骤3、添加受限制的站点 单击“受限制的站点”后点击“站点”按钮，输入可能会损坏计算机和数据的站点并点击“添加”按钮，添加受限制的站点 。,步骤4、添加Intranet中的所有网站 单击“本地

33、Intranet”，并单击“站点”后输入组织单位的Intranet的所有网站。 步骤5、添加Internet区域 单击“Internet”，该区域可添加所有不在以上三个区域的站点。,步骤6、设置Java、Java小程序脚本、 ActiveX控件 选中任一区域后，在“该区域的安全级别”中单击自定义级别。 在安全级别“Microsoft MV”将Java权限设置成相应的级别。 在安全级别“脚本”中将“Java小程序脚本”设为“启用”、“禁用”或“提示”。 在安全级别“ActiveX控件和插件”中对不同安全级别的ActiveX控件设置不同的安全级别。 步骤7、选择“添加受限制的站点”后单击自 定义级

34、别,调整自动完成功能的设置,步骤1、在Internet Explorer的 “工具”菜 单上，单击“Internet选项”并选 择“内容”标签。 步骤2、在“个人信息”区域，单击“自动 完成”。 步骤3、选中要使用的“自动完成”选项的 复选框。 步骤4、单击“清除表单”和“清除密码”。,思考练习,1要想做到“上网无忧，安全冲浪”我们可以采取哪些措施？,实训8-5 天网防火墙的设置和应用,实训目标,了解防火墙的基本功能，学会天网防火墙个人版的使用方法，包括： 掌握天网防火墙的安装。 学会系统设置方法。 学会安全级别和IP规则设置。 学会应用程序规则设置。 掌握系统安全检测和修复,背景资料,随着互

35、联网的普及，越来越多的个人使用互联网提供的各种便利服务，例如网络银行、网上购物、网上交费等。但是，也有许多不法分子利用一些网络软件、系统中的漏洞和个人用户缺乏网络安全的基本知识进行非法活动，给用户带来巨大的损失。 许多个人用户也开始关心网上交易的安全性问题了，考虑如何保护个人资产安全问题。,对于许多个人用户来说，使用个人防火墙、防病毒软件等预防措施，是目前一个较好的选择。 但是，要使得防火墙发挥其预防和保护作用，用户必须进行正确的安装和设置，否则会达不到应有的效果。,知识要点,防火墙技术,防火墙 指两个网络之间执行访问控制策略（允许、拒绝、检测）的一系列部件的组合，包括硬件和软件，目的是保护网

36、络不被他人侵扰。 可通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽内部的信息、结构和运行状况，从此来实现网络的安全。,防火墙的基本功能 防火墙是安全策略的检查站 所有进出网络的信息都必须经过防火墙，只有满足访问策略的请求才能通过。能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。 防火墙能有效防止内部网络相互影响 可以将局域网分割成几个不同的网段，利用防火墙隔开不同的网段，有效防止网段之间相互影响。,防火墙是网络安全的屏障 防火墙通过过滤不安全的服务极大的提高内部网络的安全性。 对网络存取和访问进行监控审计 防火墙就能记录下所有的访问并作出日志记录，同时也能提供网络

37、使用情况的统计数据。当发生可疑动作时，防火墙能提供网络是否受到监测和攻击的详细信息。,天网防火墙个人版,个人版是天网实验室制作的供个人电脑使用的网络安全程序。 根据系统管理者设置的安全规则把守网络，提供强大的访问控制、应用选通、信息过滤等功能。 将网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全规则。 有一个非常灵活的规则设置系统，用户可以利用这个系统设置一系列的规则来实现网络安全。,天网防火墙个人版配置,天网防火墙个人版安全级别分为低、中、高、扩、自定义五级。 低 所有应用程序初次访问网络时都将询问 已经被认可的程序则按照设置的相应规则运作 计算机将完全信任局域网，允许局

38、域网内部的机器访问自己提供的各种服务（文件、打印机共享服务） 禁止互联网上的机器访问这些服务,中（默认的安全等级） 所有应用程序初次访问网络时都将询问 已经被认可的程序则按照设置的相应规则运作 禁止局域网内部和互联网的机器访问自己提供的网络共享服务 局域网和互联网上的机器将无法看到本机器 开放动态规则管理，允许授权运行程序开放端口,高 所有应用程序初次访问网络时都将询问 已经被认可的程序则按照设置的相应规则运作 禁止局域网内部和互联网的机器访问自己提供的网络共享服务 局域网和互联网上的机器将无法看到本机器。 除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。,扩 基于“中”

39、安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序、基于TCP或UDP端口监听和未许可的服务。 适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。,访问网络规则,IP规则设置 IP规则是针对整个系统的网络层数据包监控而设置的。 利用自定义IP规则，用户可针对个人不同的网络状态，设置自己的IP安全规则，使防御手段更周到、更实用。 用户可以点击“自定义IP规则”键 或者在“安全级别”中点击 进入IP规则设置界面。,应用程序规则 对应用程序数据传输封包进行底层分析拦截功能，它可以控制应用程序发送和接收数据传输包的类型、通讯端口，并且决定拦截还是通

40、过。 对应用程序发送数据传输包的监控，可以了解到系统目前有哪些程序正在进行通讯，禁止没有经同意的程序数据通讯操作。,日志记录功能 把所有不合规则的数据传输封包拦截并且记录下来，如果选择监视TCP和UDP数据传输封包，那么发送和接受的每个数据传输封包也将被记录下来。 每条记录从左到右分别是发送/接受时间、发送IP地址、数据传输封包类型、本机通讯端口，对方通讯端口，标志位。,实训环境,软件环境 Windows XP/2000/2003 天网个人防火墙（ 硬件环境 计算机 网络环境 本地局域网,实训内容,掌握天网防火墙安装,步骤1、按安装程序的提示步骤安装天网 防火墙。 安全级别设置 安装时可选择系

41、统的安全级别，也可在后面的配置中再进行配置。 局域网信息设置 如果安装防火墙的计算机在局域网中，选择“我的电脑在局域网”选项，并输入IP地址。,常用程序设置 在windows系统中，有许多正常的网络程序，可以在安装的“常用应用程序设置”中预先设置允许这些程序访问网络。 重新启动计算机,学会系统设置方法,步骤1、打开“天网防火墙个人版”主窗口 选择开始程序天网防火墙个人版，单击菜单项。 步骤2、在主界面上单击“系统设置”按钮，进入基本设置 “启动” “应用程序权限” “自动保存日志”等内容,学会安全级别和IP规则设置,步骤1、安全级别的设置 在5级安全级别中选择“自定义”的安全级别，在“自定义I

42、P规则”中选择“禁止别人用ping命令探测” 从另外的计算机ping 主机XXX。查看防火墙日志文件并记录与该次ping有关的信息。 步骤2、添加规则 在“自定义IP规则”中单击按钮，添加一条新的规则“允许FTP的数据通道”，定义来自任何地址的0-21端口的TCP数据包“通行”或“拦截”。 步骤3、保存设置 在“通行”或“拦截”两种情况下分别连接ftp站点，查看日志信息，记录与两次ftp相关的信息。,学会应用程序规则设置,步骤1、单击“应用程序规则”按钮 步骤2、设置规则 在应用程序访问网络权限设置中找到Internet Explore，单击“选项”按钮，将“TCP协议可访问端口”的端口范围定

43、义为从80到80，限定IE只能通过80端口发送和接受数据。 在应用程序访问网络权限设置中找到QQ，单击“选项”按钮，将禁止使用UDP协议传输。,掌握系统安全检测和修复,步骤1、选择开始程序天 网防火墙个人版，单击“天网 安全检测修复系统”菜单项。 步骤2、记录检测到的系统漏洞。,思考练习,1. 为了防止他人利用系统的默认共享进行攻击如何设置防火墙的规则。,本章小结,学会使用漏洞检测工具MBSA，检测系统的漏洞，学会下载并安装系统补丁，加深学生对网络安全概念的理解。 学会Windows 2000安全性设置方法。掌握禁用不必要的服务、禁用或删除不必要的帐户、设置更加可靠的密码策略和设置帐户的锁定策略等操作，增强对网络安全概念的理解。 学会防病毒软件的安装和使用方法 掌握使用IE浏览器的“工具”选项中的“Internet选项”，进行安全配置的方法。 了解防火墙的基本功能，学会天网防火墙个人版的使用.,Thanks！,