伺服器監控ip安全策略
❶ 伺服器的IP安全策略問題
樓主您好
有禮了
我是專業的IDC伺服器工作人員,我來幫幫您
IP 安全策略里
您需要這樣去做
允許本機訪問外網的80(如果是其它的埠也可以)
而再設置一個本機對所有外網的埠的屏蔽
一般我做伺服器安全,就是這樣的
先ping 閉所有的外網到我的IP
再把想排除的埠,或者IP列進去
很高興為您解答,有什麼不明白的,歡迎與我咨詢,海騰數據---中尉
❷ 伺服器如何利用本地安全策略來限制訪問IP的流量
1.點擊 「開始菜單/設置/控制面板/管理工具」,雙擊打開」本地策月」,選中」ip安全策月,在本地計算機」右邊的空白位置右擊滑鼠,談出快捷菜單,選擇」創建ip安全策月」,彈出向導.在向導中點擊下一步 下一步,當顯示」安全通信請求」畫面時,把」激活默認相應規則」左邊的鉤去掉,點」完成」就創建了一個新的ip安全策月.
2.右擊該ip安全策月,在」屬性」對話框中,把」使用添加向導」左邊的鉤去掉,然後再點擊右邊的」添加」按紐添加新的規則,隨後彈出」新規則屬性」對話框,在畫面上點擊」添加」按紐,彈出ip篩選器列表窗口.在列表中,首先把」使用添加向導」左邊的鉤去掉,然後再點擊右邊的」添加」按紐添加新的篩選器.
3.進入」篩選器屬性』對話框,首先看到的是尋地址,源地址選」一個特定的IP地址」,目標地址選」我的ip地址」,在特定的IP地址那填上你要阻止的IP地址,點擊確定
4.在」新規則屬性」對話框中,選擇」新ip篩選器列表』然後點擊其左邊的復選框,表示已經激活.最後點擊」篩選器操作」選項卡中,把」使用添加向導」左邊的鉤去掉,點擊」添加」按鈕,進行」阻止」操作,在」新篩選器操作屬性」的」安全措施」選項卡中,選擇」阻止」,然後點擊」確定」
5.進入」新規則屬性」對話框,點擊」新篩選器操作」.,選取左邊的復選框,表示已經激活,點擊」關閉」按鈕,關閉對話框.最後」新ip安全策略屬性」對話框,在」新的ip篩選器列表」左邊打鉤,按確定關閉對話框.在」本地安全策略」窗口,用滑鼠右擊新添加的ip安全策略,然後選擇」指派」.
❸ 做一個伺服器安全策略
通通領航伺服器設置經驗總結
一 取消匿名訪問功能
默認情況下,Windows 2003系統的FTP伺服器是允許匿名訪問的,雖然匿名訪問為用戶上傳、下載文件提供方便,但卻存在極大的安全隱患。用戶不需要申請合法的賬號,就能訪問FTP伺服器,甚至還可以上傳、下載文件,特別對於一些存儲重要資料的FTP伺服器,很容易出現泄密的情況,因此建議用戶取消匿名訪問功能。
在Windows 2003系統中,點擊「開始→程序→管理工具→Internet服務管理器」,彈出管理控制台窗口。然後展開窗口左側的本地計算機選項,就能看到IIS5.0自帶的FTP伺服器,下面通通網路以默認FTP站點為例,介紹如何取消匿名訪問功能。
右鍵點擊「默認FTP站點」項,在右鍵菜單中選擇「屬性」,接著彈出默認FTP站點屬性對話框,切換到「安全賬號」標簽頁,取消「允許匿名連接」前的勾選,最後點擊「確定」按鈕,這樣用戶就不能使用匿名賬號訪問FTP伺服器了,必須擁有合法賬號才行。
二 啟用日誌記錄
Windows日誌記錄著系統運行的一切信息,但很多管理員對日誌記錄功能不夠重視,為了節省伺服器資源,禁用了FTP伺服器日誌記錄功能,這是萬萬要不得的。FTP伺服器日誌記錄著所有用戶的訪問信息,如訪問時間、客戶機IP地址、使用的登錄賬號等,這些信息對於FTP伺服器的穩定運行具有很重要的意義,一旦伺服器出現問題,就可以查看FTP日誌,找到故障所在,及時排除。因此一定要啟用FTP日誌記錄。
在默認FTP站點屬性對話框中,切換到「FTP站點」標簽頁,一定要確保「啟用日誌記錄」選項被選中,這樣就可以在「事件查看器」中查看FTP日誌記錄了。
當然,通通網路現在說的只是最基本最簡單的安全設置,並不能完全的防範病毒木馬以及黑客入侵,如果要加強伺服器的安全性,還要更進一步的對伺服器進行設置。
❹ 伺服器安全策略有哪些
一、修改windows默認的遠程埠
也許有高手認為自己做的挺安全的,就算是默認埠也不用被入侵以及被破密。其實修改默認的遠程埠一方面是防止入侵,另外一方面也是防止被掃描影響系統的穩定。
有了解過掃描3389軟體的人都知道,一般的攻擊者都是掃描3389埠的,所以改成其它的埠可以防止被掃描到您的主機。為什麼說另外一方面也是防止被掃描3389埠影響到系統的穩定呢?如果您的伺服器默認是使用3389埠,掃描軟體就會強力嘗試密碼字典里的密碼,與您的主機建議很多的連接,佔用系統里的資源導致伺服器出現卡的現象。所以修改默認的遠程埠是有幾個好處的,希望大家重視。
二、修改windows默認的用戶名
我們做安全也是針對攻擊的行為而製作相對的策略,攻擊的人嘗試密碼破解的時候,都是使用默認的用戶名administrator,當你修改了用戶名之後,它猜不出您的用戶名,即使密碼嘗試上千萬次都不會成功的,如果要使用用戶名字典再加下密碼字典,我估計攻擊者就沒有那個心思了,而且也不會一時間破密到您的用戶名。所以修改用戶名就會減低被入侵的可能。
那麼修改成什麼樣的用戶名才是比較安全呢?個人建議使用中文再加上數字再上字母這樣的用戶名就非常強大了。例如: 非誠勿擾ADsp0973
三、使用復雜的密碼
從掃描以及破解的軟體看,都是使用簡單的常用的密碼進行破解的,例如1q2w3e4r5t或者123456或者12345qwert等簡單的組合密碼,所以使用這些密碼是非常不安全的。我個人就建議避免使用簡單的密碼防止被破解。
建議使用的密碼里包含 大字字母+小字字母+數字+特殊字元。 長度至少要12以上這樣會好一些。
❺ 伺服器如何設置ip安全策略
開始-運行-pgedit.msc 打開計算機配置下的windows設置下的裡面的IP策略選項,新建策略,填寫名稱,激活策略規則不要勾選,然後點下一步,勾選編輯屬性,然後添加你需要禁止的IP段到我自己的IP這項,協議選任意,最後篩選器操作那裡添加一個名為deny的動作,動作類型選阻止,同時選擇這動作和旁邊的IP段,最後確定,然後右鍵-指派就可以了,希望我的回答對你有幫助。
❻ 如何設置IP安全策略,只允許特定IP訪問伺服器
03系統例舉
01.首先打開控制面板,進入「管理工具」,然後雙擊打開「本地安全策略」
02.使用滑鼠右鍵單擊左方的「ip
安全策略,在
本地計算機」選項,並選擇「創建
ip
安全策略」選項
03.點擊「下一步」按鈕
04.設置一個ip策略名稱,例如設置為「埠限制策略」,使用其它名稱也可以
05.點擊「下一步」按鈕
06.去掉「激活默認響應規則」選項的勾
07.點擊「下一步」按鈕
08.點擊「完成」按鈕
09.去掉右導」選項的勾
10.現在先開始添止所有機器訪問伺服器,點擊「添加」按鈕
11.點擊「添加」按鈕
12.設置ip篩選器的名稱,例如設置為「禁止所有機器訪問伺服器」,使用其它名稱也可以
13.點擊「添加」按鈕
14.如果該伺服器不打算上網,則可以將「源地址」設置為「任何
ip
地址」。如果需要上網,建議設置為「一個特定的
ip
子網」,並設置ip地址為與該伺服器ip地址相同的網段,例如伺服器ip地址是192.168.1.10,則可以設置為192.168.1.0,也就是前面3個數字是相同的,後面最後一位填1即可,並設置子網掩碼,這個設置和伺服器子網掩碼一致即可(具體請自行查看伺服器的子網掩碼),如果區域網都是在192.168.1.*的范圍,則直接設置為255.255.255.0即可
15.將「目標地址」設置為「我的
ip
地址」
16.點擊「確定」按鈕
17.點擊「確定」按鈕
18.選擇剛創建的ip篩選器(即12步中設置的名稱)
19.切換到「篩選器操作」選項頁
20.去掉「使用添加向導」選項的勾
21.點擊「添加」按鈕
22.選擇「阻止」選項
23.切換到「常規」選項頁
24.設置篩選器操作名稱,建議設置為「禁止」或「阻止」,使用其它名稱也可以
25.點擊「確定」按鈕
26.選擇剛創建的篩選器操作(即24步設置的名稱)
27.點擊「應用」按鈕
28.點擊「確定」按鈕
29.現在開始添加允許訪問該伺服器的機器,點擊「添加」按鈕
30.點擊「添加」按鈕
31.設置ip篩選器名稱,建議設置為「允許訪問的機器」,使用其它名稱也可以
32.點擊「添加」按鈕
33.將「源地址」設置為「一個特定的
ip
地址」,並設置下方的ip地址為允許訪問該伺服器的ip中的一個(每次只能添加一個,所以需要慢慢添加)
34.設置「目標地址」為「我的
ip
地址」
35.點擊「確定」按鈕
36.重復32至35步將要允許訪問該伺服器的ip全部添加
37.點擊「確定」按鈕
38.選擇剛創建的「ip
篩選器」(即31步設置的名稱)
39.切換到「篩選器操作」選項頁
40.選擇「許可」選項
41.點擊「應用」按鈕
42.點擊「確定」按鈕
43.點擊「確定」按鈕
44.使用滑鼠右鍵單擊剛創建的ip策略(即第4步設置的名稱),並選擇「指派」即可
45.以後需要添加、修改、刪除允許訪問的ip時,可以編輯該ip策略的ip篩選器進行設置
注意:需要注意的是並非設置了ip策略後就能100%保證其它機器無法訪問伺服器,因為如果他人知道您允許哪個ip訪問該伺服器,對方可以修改自己的ip地址,以獲得訪問許可權ip,這樣您的策略就失效了。因此您可能還需要在伺服器上綁定允許訪問該伺服器的ip地址的mac地址(可以使用arp
-s命令來綁定),並在路由器中對這些ip綁定mac地址。不過對方也可以修改mac地址來獲取訪問許可權,因此使用ip安全策略並非絕對安全。
❼ WIN7「IP安全策略」僅允許指定IP遠程訪問控制
一,新建IP安全策略
WIN+R打開運行對話框,輸入gpedit.msc進入組策略編輯器。
依次打開「本地計算機」策略–計算機配置–Windows設置–安全設置–IP安全策略,在 本地計算機上。
在右面的空白處右擊,選擇第一個菜單:創建IP安全策略,彈出的IP安全策略向導對話框。
點擊下一步。
在名稱里輸入339過慮,下一步。
取消激活默認響應規則,下一步。
選中編輯屬性,下一步。
二,新建IP篩選器
在彈出的新IP安全策略屬性對話框里取消使用「添加向導」,點擊添加。
在彈出的新規則屬性對話框里點擊添加。
起個名稱:放行指定IP的3389連接,點擊添加。
在彈出的對話框里選擇地址選項卡,源地址選擇一個特定的IP地址,目標地址選擇我的IP。取消鏡像。
再選擇協議選項卡,協議類型選擇TCP,設置IP協議埠為從任何埠到此埠3389。
單擊確定關閉IP篩選器屬性,再確定關閉IP篩選器列表。
在新規則屬性對話框里再點擊添加,依照上面的再添加一個IP篩選器,名稱為:阻止3389連接;源地址為任意IP,目標地址為我的IP。協議:TCP,埠3389。
三,給新建的IP篩選器加上篩選器操作
在新規則屬性對話框上選擇篩選器操作選項卡。
點擊添加。
選擇阻止,在常規選項卡里的名稱改為:阻止。點擊確定。
點擊新規則屬性對話框中的IP篩選列表,選中放行指定IP的3389連接(一定要讓它前面的那個圈子是選中狀態),然後再選擇篩選器操作選項卡,選中許可。確定。
在3389過濾屬性里,點擊添加,選擇阻止3389連接,按照上面的給它指定阻止的篩選器操作。
確定後,右擊3389過濾,選擇指派,不用重啟機器即可生效。
❽ 本機的IP安全策略、安全選項
如何啟用本地IPSec安全策略
方法一:利用MMC控制台
第一步:點擊「開始→運行」,在運行對話框中輸入「MMC」,點擊「確定」按鈕後,啟動「控制台」窗口。
第二步:點擊「控制台」菜單中的「文件→添加/刪除管理單元」選項,彈出「添加/刪除管理單元」對話框,點擊「獨立」標簽頁的「添加」按鈕,彈出「添加獨立管理單元」對話框。
第三步:在列表框中選擇「IP安全策略管理」點擊「添加」按鈕,在「選擇計算機」對話框中,選擇「本地計算機」,最後點擊「完成」。這樣就在「MMC控制台」啟用了IPSec安全策略。
方法二:利用本地安全策略
進入「控制面板→管理工具」選項,運行「本地安全設置」選項,在「本地安全設置」窗口中展開「安全設置」選項,就可以找到「IP安全策略,在本地計算機」。
IPSec安全策略的組成
為了增強網路通信安全或對客戶機器的管理,網路管理員可以通過在Windows系統中定義IPSec安全策略來實現。一個IPSec安全策略由IP篩選器和篩選器操作兩部分構成,其中IP篩選器決定哪些報文應當引起IPSec安全策略的關注,篩選器操作是指「允許」還是「拒絕」報文的通過。要新建一個IPSec安全策略,一般需要新建IP篩選器和篩選器操作。
PSec安全策略應用實例
目的:阻止區域網中IP為「192.168.0.2」的機器訪問Windows2003終端伺服器。
很多伺服器都開通了終端服務,除了使用用戶許可權控制訪問外,還可以創建IPSec安全策略進行限制。
第一步:在Windows
2003伺服器的IP安全策略主窗口中,右鍵點擊「IP安全策略,在本地計算機」,選擇「創建IP安全策略」選項,進入「IP安全策略向導」,點擊「下一步」,在「IP安全策略」名稱對話框中輸入該策略的名字如「終端服務過濾」,點擊「下一步」,下面彈出的對話框都選擇默認值,最後點擊「完成」按鈕。
第二步:為該策略創建一個篩選器。右鍵點擊「IP安全策略,在本地計算機」,在菜單中選擇「管理IP篩選器表和篩選器操作」,切換到「管理IP篩選器列表」標簽頁,點擊下方的「添加」,彈出的「IP篩選器列表」對話框,在「名稱」輸入框中輸入「終端服務」,點擊「添加」,進入「IP篩選器向導」窗口,點擊「下一步」,在「源地址」下拉列表框中選擇「一個特定IP地址」,然後輸入該客戶機的IP地址和子網掩碼,如「192.168.0.2」。點擊「下一步」後,在「目標地址」下拉列表框中選擇「我的IP地址」,點擊「下一步」,接著在「選擇協議類型」中選擇「TCP」協議,點擊「下一步」,接著在協議埠中選擇「從任意埠,到此埠」,在輸入框中填入「3389」,點擊「下一步」後完成篩選器的創建。
第三步:新建一個阻止操作。切換到「篩選器操作」標簽頁,點擊「添加」按鈕,進入到「IP安全篩選器操作向導」,點擊「下一步」,給這個操作起一個名字,如「阻止」,點擊「下一步」,接著設置「篩選器操作的行為」,選擇「阻止」單選項,點擊「下一步」,就完成了「IP安全篩選器操作」的添加工作。最後在IP安全策略主窗口中,雙擊第一步建立的「終端服務過濾」安全策略,點擊「添加」按鈕,進入「創建IP安全規則向導」,點擊「下一步」,選擇「此規則不指定隧道」,點擊「下一步」,在網路類型對話框中選擇「區域網」,點擊「下一步」,在接下來對話框中選擇默認值,點擊「下一步」,在IP篩選器列表中選擇「終端服務」選項,點擊「下一步」,接著在篩選器操作列表中選擇「阻止」,最後點擊「完成」。
完成了創建IPSec安全策略後,還要進行指派,右鍵單擊「終端服務過濾」,在彈出的菜單中選擇「指派」,這樣就啟用了該IPSec安全策略。區域網中IP為「192.168.0.2」的機器就不能訪問Windows
2003終端伺服器了。
Windows系統的IPSec安全策略也存在不足,一台機器同時只能有一個策略被指派。
❾ 申請網路安全策略時要提供哪些信息
網路的安全策略1.引言
隨著計算機網路的不斷發展,全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵,致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言,其網上信息的安全和保密尤為重要。因此,上述的網路必須有足夠強的安全措施,否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網路信息的保密性、完整性和可用性。
2.計算網路面臨的威脅
計算機網路所面臨的威脅大體可分為兩種:一是對網路中信息的威脅;二是對網路中設備的威脅。影響計算機網路的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有,歸結起來,針對網路安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網路所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網路正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害,並導致機密數據的泄漏。
(3)網路軟體的漏洞和「後門」:網路軟體不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網路內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦「後門」洞開,其造成的後果將不堪設想。
3.計算機網路的安全策略
3.1 物理安全策略
物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要採取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是採用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。
3.2 訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。
網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。
用戶名和口令驗證有效之後,再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的帳號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
3.2.2 網路的許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(IRM)可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;(3)審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。
3.2.3 目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(Modify)、文件查找許可權(File Scan)、存取控制許可權(Access Control)。用戶對文件或目標的有效許可權取決於以下二個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
3.2.4 屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。
3.2.5 網路伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
3.2.6 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形或文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
3.2.7 網路埠和節點的安全控制
網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護,並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶,靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之後,才允許用戶進入用戶端。然後,用戶端和伺服器端再進行相互驗證。
3.2.8 防火牆控制
防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型;
(1)包過濾防火牆:包過濾防火牆設置在網路層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
(2)代理防火牆:代理防火牆又稱應用層網關級防火牆,它由代理伺服器和過濾路由器組成,是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連,並對數據進行嚴格選擇,然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務(如多媒體)。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。
(3)雙穴主機防火牆:該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡,分別連接不同的網路。雙穴主機從一個網路收集數據,並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網路不被非法訪問。
4.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形 色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
5. 網路安全管理策略
在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。
網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房管理制度;制定網路系統的維護制度和應急措施等。
6. 結束語
隨著計算機技術和通信技術的發展,計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網路的脆弱性和潛在威脅,採取強有力的安全策略,對於保障網路的安全性將變得十分重要。