項(xiàng)目13使用安全策略和防火墻實(shí)現(xiàn)訪問(wèn)安全.ppt

Windows Server 2008網(wǎng)絡(luò)組建項(xiàng)目化教程,課程標(biāo)準(zhǔn)(教學(xué)大綱) 教學(xué)設(shè)計(jì)方案(教案) PPT電子課件 教材習(xí)題參考答案 模擬試卷及參考答案(4套) IT認(rèn)證+全國(guó)技能大賽資料 知識(shí)拓展&網(wǎng)絡(luò)工程解決方案,主編：夏笠芹 方頌,“十二五”職業(yè)教育國(guó)家規(guī)劃教材選題立項(xiàng) 教材附帶的光盤資源,為了減少網(wǎng)絡(luò)攻擊行為的威脅,保障服務(wù)器的安全,迅達(dá)公司網(wǎng)絡(luò)管理員小劉,采取了以下措施來(lái)加固服務(wù)器:對(duì)Windows Server 2008本身安裝了最新的補(bǔ)丁程序修復(fù)系統(tǒng)漏洞;設(shè)置帳戶策略以防止密碼被盜;添加審核策略來(lái)跟蹤資源訪問(wèn)者;啟用并配置Windows Server 2008自帶的防火墻對(duì)進(jìn)、出服務(wù)器的數(shù)據(jù)包進(jìn)行篩選。,項(xiàng)目背景,項(xiàng)目13 使用安全策略和防火墻實(shí)現(xiàn)訪問(wèn)安全,知識(shí)目標(biāo) 了解：安全策略的含義； 熟悉：安全策略 掌握：常見安全策略的配置，高級(jí)安全Windows防火墻的配置 能力目標(biāo) 會(huì)進(jìn)行賬戶策略、審核策略的安全設(shè)置 會(huì)進(jìn)行用戶權(quán)限分配、安全選項(xiàng)的安全設(shè)置 會(huì)進(jìn)行Windows防火墻入站和出站規(guī)則的配置,教學(xué)目標(biāo),項(xiàng)目13 使用安全策略和防火墻實(shí)現(xiàn)訪問(wèn)安全,13.2 項(xiàng)目知識(shí)準(zhǔn)備,13.2.1 安全策略及類型,安全策略(security policy)規(guī)定了用戶在使用計(jì)算機(jī)、運(yùn)行應(yīng)用程序和訪問(wèn)網(wǎng)絡(luò)等方面的行為約束規(guī)則。合理運(yùn)用和設(shè)定安全策略,可以使計(jì)算機(jī)受到的安全威脅大大降低。根據(jù)影響范圍的不同,Windows Server 2008支持以下4種類型的安全策略: 本地安全策略:實(shí)現(xiàn)本地計(jì)算機(jī)的安全。包括帳戶策略、本地策略、公鑰策略、軟件限制策略和IP安全策略。 域控制器安全策略:實(shí)現(xiàn)域控制器的安全。 域安全策略:實(shí)現(xiàn)整個(gè)域的安全。 組策略:實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全。,13.2 項(xiàng)目知識(shí)準(zhǔn)備,13.2.2 認(rèn)識(shí)高級(jí)安全Windows防火墻,“高級(jí)安全Windows防火墻”(簡(jiǎn)稱WFAS)。WFAS的優(yōu)勢(shì)有： 支持雙向保護(hù),可以對(duì)出站、入站通信進(jìn)行過(guò)濾。 實(shí)現(xiàn)了更高級(jí)的出站和入站規(guī)則(防火墻規(guī)則)的創(chuàng)建與配置。 它將防火墻和Internet協(xié)議安全(IPSec)功能實(shí)現(xiàn)了集成。用戶可以設(shè)置連接安全規(guī)則請(qǐng)求或要求計(jì)算機(jī)在通信之前互相進(jìn)行身份驗(yàn)證,還可以配置通信時(shí)的密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)。,13.3 項(xiàng)目實(shí)施,任務(wù)13-1 帳戶策略的設(shè)置,1.密碼策略設(shè)置步驟如下： 步驟1步驟7,任務(wù)13-1 帳戶策略的設(shè)置,2.帳戶鎖定策略的設(shè)置 賬戶鎖定是指在某些情況下（如賬戶受到采用密碼詞典或暴力破解方式等），為保護(hù)該賬戶的安全而將此賬戶進(jìn)行鎖定，使其在一定時(shí)間內(nèi)不能再次使用，從而使破解失敗。 設(shè)置賬戶鎖定策略的步驟如下：步驟1步驟4,任務(wù)13-2 審核策略的設(shè)置,審核就是通過(guò)在計(jì)算機(jī)的安全日志中記錄選定類型的事件來(lái)跟蹤用戶和操作系統(tǒng)的活動(dòng)。 配置審核策略就是確定把哪些事件寫入計(jì)算機(jī)的安全日志中。 設(shè)置步驟：步驟1步驟6,任務(wù)13-3 用戶權(quán)限分配的設(shè)置,用戶權(quán)限是允許用戶在計(jì)算機(jī)系統(tǒng)或域中執(zhí)行的任務(wù)。 有兩種類型的用戶權(quán)限： 登錄權(quán)限控制為誰(shuí)授予登錄計(jì)算機(jī)的權(quán)限以及他們的登錄方式，比如拒絕本地登錄、允許本地登錄等； 特權(quán)控制對(duì)計(jì)算機(jī)上系統(tǒng)范圍的資源的訪問(wèn)，比如關(guān)閉系統(tǒng)、更改系統(tǒng)時(shí)間等。,任務(wù)13-3 用戶權(quán)限分配的設(shè)置,表13-2 常用的用戶權(quán)限分配,任務(wù)13-3 用戶權(quán)限分配的設(shè)置,用戶權(quán)限分配的設(shè)置步驟如下：進(jìn)入【本地安全策略】窗口在左窗格中展開【本地策略】單擊【用戶權(quán)限分配】在右窗格中雙擊【從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)】策略,打開【從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī) 屬性】對(duì)話框,從此可以看出Everyone組也允許通過(guò)網(wǎng)絡(luò)連接到此計(jì)算機(jī),即網(wǎng)絡(luò)中的所有用戶都可以訪問(wèn)到這臺(tái)計(jì)算機(jī),基于安全的考慮,可以把Everyone組刪除。單擊【添加用戶和組】/【刪除】按鈕,可以添加或刪除具有從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)的用戶和組,任務(wù)13-4 “安全選項(xiàng)”的設(shè)置,在“安全選項(xiàng)”中的安全策略，是一些和操作系統(tǒng)安全有關(guān)的設(shè)置。下表列出了幾個(gè)常用的安全選項(xiàng)：,任務(wù)13-4 “安全選項(xiàng)”的設(shè)置,“安全選項(xiàng)” 的設(shè)置步驟如下： 步驟1步驟4,任務(wù)13-5 高級(jí)安全Windows防火墻的配置,防火墻是通過(guò)檢查傳入的數(shù)據(jù)包并將其與一組規(guī)則進(jìn)行比較,從而決定是否讓數(shù)據(jù)包進(jìn)入到服務(wù)器或網(wǎng)絡(luò)的功能組件。 Windows防火墻工作在服務(wù)器的與外界連接的網(wǎng)絡(luò)適配器、DSL適配器或者撥號(hào)調(diào)制解調(diào)器等接口上。防火墻將哪些數(shù)據(jù)包拒之門外,又允許哪些數(shù)據(jù)包通過(guò),則取決于防火墻的配置。,任務(wù)13-5 高級(jí)安全Windows防火墻的配置,1啟動(dòng)/關(guān)閉Windows防火墻 在桌面上單擊【開始】【控制面板】在打開的【控制面板】窗口中雙擊【W(wǎng)indows防火墻】圖標(biāo)在打開的【W(wǎng)indows防火墻】窗口中單擊【啟用或關(guān)閉Windows防火墻】鏈接,打開【W(wǎng)indows防火墻設(shè)置】對(duì)話框在【常規(guī)】選項(xiàng)卡中選中【啟用】單選按鈕單擊【確定】后系統(tǒng)便啟動(dòng)“Windows防火墻”,如圖13-22所示。,任務(wù)13-5 高級(jí)安全Windows防火墻的配置,2入站規(guī)則的設(shè)置非標(biāo)準(zhǔn)的8080端口訪問(wèn)防火墻所在的Web服務(wù)器。 步驟1-步驟8,任務(wù)13-5 高級(jí)安全Windows防火墻的配置,3出站規(guī)則的設(shè)置 阻止當(dāng)前服務(wù)器主機(jī)訪問(wèn)其他Web服務(wù)器的設(shè)置 步驟1步驟9,項(xiàng)目13 使用安全策略和防火墻實(shí)現(xiàn)訪問(wèn)安全,項(xiàng)目知識(shí)準(zhǔn)備 安全策略及類型 認(rèn)識(shí)高級(jí)安全Windows防火墻 項(xiàng)目實(shí)施 帳戶策略的設(shè)置 密碼策略的設(shè)置 賬戶鎖定策略的設(shè)置 審核策略的設(shè)