第3章 网络防御技术 指导教师:杨建国 2013年8月10日

第3章 网络防御技术 3.1 安全架构 3.2 密码技术 3.3 防火墙技术 3.4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术 3.10 可信计算 3.11 访问控制机制 3.12 计算机取证 3.13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计

3.14 服务器安全防御

服务器安全防范体系 2011年11月

培训目录 第一讲：安全基础知识 第二讲：服务器安全规范 第三讲：操作系统安全 第四讲：常见应用安全 第五讲：操作实践 服务器安全培训索引 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:5

《安全基础知识》主要内容(1) 信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 服务器安全培训索引 扫描：扫描目的、使用工具获取信息 网络监听：监听原理与作用 拒绝服务：Syn Flood、udp Flood、Icmp Flood 木马：木马的概念、入侵途径、隐藏方式、特洛依木马简介 SQL注入：讲解SQL注入的思路与过程，防范SQL注入的方法 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:6

《安全基础知识》主要内容(2) 主要安全技术 服务器安全培训索引 2017年3月11日2017年3月11日 Pages:7 防火墙技术简介： 包过滤、应用层网关、状态检测、优缺点 入侵检测技术简介 主机入侵检测、网络入侵检测 扫描技术简介 扫描器分类、工作原理、端口扫描 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:7

《服务器安全规范》主要内容(1) 服务器安全培训索引 2017年3月11日2017年3月11日 Pages:8 服务器维护安全规范 口令安全 访问控制 安全责任的划分 安全检查 服务器上禁止操作行为 系统日志管理 安全隐患通告 系统安全设置的问题 补丁管理流程 Autoup/Octopod简介、对比 补丁的下载、测试、上传、分发过程 补丁光盘的制作 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:8

《服务器安全规范》主要内容(2) 服务器安全培训索引 2017年3月11日2017年3月11日 Pages:9 目前采取的安全措施简介 日常监控、补丁管理、访问控制 主机安全配置、安全检查 漏洞扫描、漏洞跟踪与分析、安全通告 安全控管(octopod)、HIDS、防病毒 备份、日志集中 典型安全事件 介绍两个公司发生过的安全事件 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:9

《操作系统安全》主要内容(1) Windows系统安全 服务器安全培训索引 2017年3月11日2017年3月11日 Pages:10 内建帐号，内建组、SAM 、SID NTFS、用户权利、权限、共享权限 Windows系统服务与进程、日志系统 Windows安装配置过程（介绍安全原则性的内容） 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:10

《操作系统安全》主要内容(2) Linux系统安全 服务器安全培训索引 2017年3月11日2017年3月11日 Pages:11 用户与UID、用户组与GID 文件类型、文件的权限 加强Linux安全的几点建议 关闭不必要的服务、远程维护openssh 启用syslog、升级主要应用 查看登录情况、网络连接、进程、系统资源 iptables策略 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:11

《常见应用安全》主要内容(1) Web安全（IIS) 服务器安全培训索引 2017年3月11日2017年3月11日 Pages:12 删除：默认站点、示例文件、默认脚本、无用脚本映射 IIS工作目录修改、启用web日志、更改日志路径 Web站点权限设置、http 500错误重定向 禁用WebDav、启用ipsec保护 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:12

《常见应用安全》主要内容(2) 数据库安全(SQL Server 2000) 服务器安全培训索引 2017年3月11日2017年3月11日 补丁管理 新装数据库服务器的补丁要求 老数据库服务器的补丁要求 口令策略 数据库日志 去除部分危险扩展存储过程 数据库的端口保护 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:13

《操作实践》主要内容 讲解、演示以下内容： 服务器安全培训索引 2017年3月11日2017年3月11日 Pages:14 服务器安全配置过程（依据服务器安全规范要求） 更改、删除帐号 启用安全日志 网络安全设置 Winchk/autoup配置安装 Octopod功能介绍、基本操作 NetView功能介绍、基本操作 Syslog与Hids初始化操作 在命令行下配置IPSEC 2017年3月11日2017年3月11日 服务器安全培训索引 Pages:14

安全基础知识 网络安全部 2008年11月

主要内容 信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 主要的安全技术 安全基础知识 2017年3月11日2017年3月11日 安全基础知识

信息安全概念 信息安全的含义 安全基础知识 2017年3月11日2017年3月11日 保证信息内容在传储、传输和处理各环节的机密性、完整性和可用性 对信息的传播及内容具有控制能力 不受偶然的或者恶意的原因而遭到破坏、更改、泄露 保证信息系统连续可靠的运行 网络服务不中断 2017年3月11日2017年3月11日 安全基础知识

安全问题产生的根源 网络建设之初忽略了安全问题 TCP/IP协议本身缺乏安全性 操作系统及应用自身存在的漏洞 操作系统及应用不安全的配置 来自内网用户的安全威胁 缺乏有效的手段监视、评估网络的安全性 邮件病毒、Web页面中中恶意Java/ActiveX控件 代码中存在安全漏洞 管理中存在的安全问题 2017年3月11日2017年3月11日 安全基础知识

安全漏洞 漏洞的概念 可能存在于 安全基础知识 2017年3月11日2017年3月11日 在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统 可能存在于 网络设备：交换机、路由器的IOS存在的漏洞、配置错误 操作系统：Windows、Unix/Linux存在的漏洞 应用服务：IIS、Apache、Serv_u存在的漏洞 网络协议：TCP/IP存在的缺陷 应用程序：用C、C++、ASP、PHP代码中 …… 2017年3月11日2017年3月11日 安全基础知识

漏洞带来的威胁 如果攻击者获得了一般用户的访问权限，那他就很有可能再通过利用本地漏洞把自己提升为管理员权限： 安全基础知识 远程管理员权限 本地管理员权限 普通用户访问权限 权限提升 读取受限文件 远程拒绝服务 本地拒绝服务 远程非授权文件存取 口令恢复 欺骗 服务器信息泄露 其它 2017年3月11日2017年3月11日 安全基础知识

黑客攻击典型步骤 消除证据 留下后门 实施攻击 收集信息 exploit 扫描 漏洞分析 安全基础知识 2017年3月11日2017年3月11日 安全基础知识

常见的攻击方式 扫描 网络监听 DoS与DDoS攻击 特洛依木马 SQL 注入 2017年3月11日2017年3月11日 安全基础知识

通过扫描获取信息 安全基础知识 2017年3月11日2017年3月11日 收集目标服务器的信息 开放的端口和应用 操作系统类型 用户帐号信息 系统的漏洞 应用的漏洞 …… 2017年3月11日2017年3月11日 安全基础知识

网络监听 安全基础知识 2017年3月11日2017年3月11日 监听的目的是截获通信的内容 监听的手段是对协议进行分析 常用的工具 Sniffer pro、Wireshark都是网络监听、协议分析的工具。 Tcpdump 在共享网络中，可以监听所有流量 在交换环境中，必须设置端口镜像 通过协议分析，可获取敏感的明文信息 Telnet、smtp、pop3、ftp、http等应用层协议都是明文传输 2017年3月11日2017年3月11日 安全基础知识

共享和交换环境下的监听 共享式网络 交换式网络 安全基础知识 2017年3月11日2017年3月11日 通过网络的所有数据包发往每一个主机 通过HUB连接起来的子网 可以直接监听 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 可以通过配置“端口镜像”来实现监听 2017年3月11日2017年3月11日 安全基础知识

利用监听获取邮件密码 截获用户邮件口令 2017年3月11日2017年3月11日 安全基础知识

冒险岛抓包分析案例 设置抓包服务器 配置端口镜像 7x24小时抓包 进行协议分析 判断攻击类型 安全基础知识 2017年3月11日2017年3月11日 安全基础知识

拒绝服务DoS 定义 原理 特点 安全基础知识 2017年3月11日2017年3月11日 通过某些手段使得目标系统或者网络不能提供正常的服务 是针对可用性发起的攻击 原理 主要是利用了TCP/IP协议中存在的设计缺陷、操作系统或网络设备的网络协议栈存在的缺陷 特点 难于防范 2017年3月11日2017年3月11日 安全基础知识

拒绝服务的形式 资源耗尽和资源过载 错误的配置 物理部件故障 安全基础知识 2017年3月11日2017年3月11日 网络连接 带宽资源 其他资源，例如：磁盘空间被日志撑满 错误的配置 不当的配置造成某些服务无法访问 物理部件故障 2017年3月11日2017年3月11日 安全基础知识

拒绝服务攻击分类 拒绝服务攻击 主要介绍Syn flood、UDP Flood、ICMP Flood攻击 安全基础知识 Ping of death Teardrop Smurf Land 主要介绍Syn flood、UDP Flood、ICMP Flood攻击 2017年3月11日2017年3月11日 安全基础知识

Syn Flood攻击(1) TCP协议 SYN SYN +ACK ACK Server Client 安全基础知识 ESTABLISHED ESTABLISHED SYN_SEND SYN_RECV SYN SYN +ACK ACK Server Client 2017年3月11日2017年3月11日 安全基础知识

SYN Flood攻击(2) 原理： 安全基础知识 2017年3月11日2017年3月11日 利用TCP协议缺陷发送大量TCP半连接请求，使得目标机器不能进一步接受TCP连接 对TCP而言，半连接是指一个没有完成三次握手过程的会话 配合IP欺骗,短时间内不断发送SYN包，使服务器回复SYN/ACK,并不断重发直至超时 伪造的SYN包长时间占用未连接队列，达到上限后，服务器将拒绝响应SYN请求，正常的SYN请求被丢弃 利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统， 服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。 配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时。 这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。 2017年3月11日2017年3月11日 安全基础知识 32

SYN Flood攻击(3) Code Internet 安全基础知识 2017年3月11日2017年3月11日 攻击者 目标 SYN 172.18.1.1 Code 目标 192.0.2.1 Internet SYN 欺骗性的 IP 包 源地址是伪造的 目标地址是 192.0.2.1 TCP Open 2017年3月11日2017年3月11日 安全基础知识

SYN Flood攻击(4) Internet 安全基础知识 2017年3月11日2017年3月11日 攻击者 目标 SYN+ACK 172.18.1.1 目标 192.0.2.1 Internet SYN+ACK 未连接队列 达到上限 同步应答响应 源地址 192.0.2.1 目标地址不存在 TCP ACK 2017年3月11日2017年3月11日 安全基础知识

SYN Flood攻击案例 安全基础知识 2017年3月11日2017年3月11日 外高桥机房下载系统DLC服务器61.152.103.129遭到Syn-Flood攻击 2017年3月11日2017年3月11日 安全基础知识

UDP Flood攻击 原理： 安全基础知识 2017年3月11日2017年3月11日 UDP协议是无连接的协议，提供不可靠的传输服务 不需要用任何程序建立连接来传输数据 攻击者向目标机端口发送了足够多的 UDP 数据包的时候，整个系统就会瘫痪。 使用目标机忙于处理UDP报文，无法处理其它的正常报文，从而形成拒绝服务 2017年3月11日2017年3月11日 安全基础知识

ICMP Flood 原理 安全基础知识 2017年3月11日2017年3月11日 利用ping对网络进行诊断，发出ICMP 响应请求报文 计算机收到ICMP echo后会回应一个ICMP echo reply报文 攻击者向目标机发送大量的ICMP echo报文 目标机忙于处理这些报文，无法处理其它网络报文，从而形成拒绝服务 2017年3月11日2017年3月11日 安全基础知识 37

UDP Flood攻击案例 冒险岛三区服务器受到DDOS攻击事件 安全基础知识 2017年3月11日2017年3月11日 异常：发现大量发往UDP 8585端器的UDP包 影响：端口流出流量95.29M 上层交换机上联端口流量639.27M 处理方法：在6509上配置ACL过滤攻击报文 2017年3月11日2017年3月11日 安全基础知识

DDOS攻击介绍(1) 分布式拒绝服务（DDOS） Distributed Denial of Service 传统的拒绝服务是一台机器向受害者发起攻击 DDOS攻击是多台主机合作，同时向一个目标发起攻击 2017年3月11日2017年3月11日 安全基础知识

DDOS攻击介绍(2) 安全基础知识 2017年3月11日2017年3月11日 主控端 代理端 攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。 攻击者操纵整个攻击过程，它向主控端发送攻击命令。 主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的客户主机。主控端主机的 上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机 上。 代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发 来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。 2017年3月11日2017年3月11日 安全基础知识 40

模拟试题1 下面哪项不是Syn flood攻击的特征？ A 网络流量异常增大 B 服务器80端口建立了大量的TCP连接 C 服务器收到大量的SYN请求 D 未连接队列超过上限 2017年3月11日2017年3月11日 安全基础知识

特洛依木马 木马的由来 定义 安全基础知识 2017年3月11日2017年3月11日 木马的组成 古希腊人围攻特洛伊城时使用的木马计 计算机中的特洛伊木马的名字就是由此得来 定义 隐藏在正常程序中的一段具有特殊功能的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络攻击手段 木马的组成 server端：安装在目标机器上的软件 client端：用于控制目标机器的软件 2017年3月11日2017年3月11日 安全基础知识

木马入侵的途径 捆绑欺骗 危险下载点 网站挂马 利用系统漏洞入侵后安装木马 安全基础知识 2017年3月11日2017年3月11日 如把木马服务端和某个游戏捆绑成一个文件后中发给别人 危险下载点 攻破下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载 ； 直接将木马改名上载到FTP网站上，等待别人下载 网站挂马 在网站的网页中植入木马或插入下载木马的连接 主要是利用IE浏览器的漏洞 利用系统漏洞入侵后安装木马 2017年3月11日2017年3月11日 安全基础知识

木马的特征 隐蔽性 自动运行 功能的特殊性 安全基础知识 2017年3月11日2017年3月11日 包含在正常程序中，当用户执行正常程序启动 在用户难以察觉的情况下，完成一些危害用户的操作 没有图标,在任务管理器中隐藏 自动运行 增加一个服务 注册表启动项run 功能的特殊性 除了文件操作、设置口令、进行键盘记录、远程注册表操作 上传、下载以及锁定鼠标等功能 2017年3月11日2017年3月11日 安全基础知识

木马的隐藏方式 安全基础知识 2017年3月11日2017年3月11日 隐藏进程、端口 隐藏文件、目录 被控端反向连接控制端 端口复用 有些木马在使用80HTTP端口后，收到正常的HTTP请求仍然把它交给Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序 隐身技术 采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤 文件加壳 通过加壳隐藏特征，躲避杀毒软件的查杀 2017年3月11日2017年3月11日 安全基础知识

典型木马-灰鸽子 安全基础知识 2017年3月11日2017年3月11日 灰鸽子是国内著名的木马 远程控制、文件操作 运用 “反弹端口”突破防火墙 服务端上线通知 远程音频通讯，音视频监控 2017年3月11日2017年3月11日 安全基础知识

风云项目服务器中木马案例 安全基础知识 2017年3月11日2017年3月11日 HIDS监测到异常文件 使用杀毒软件扫描 文件加壳 病毒或木马 2008-03-16 01:16:10 999021372 220.166.63.5 192.168.1.5 感染文件=//?/C:/WINDOWS/LocalService.exe 风云测试区测试组loginserver 使用杀毒软件扫描 文件加壳 木马以webclient服务启动 2017年3月11日2017年3月11日 安全基础知识

SQL注入 安全基础知识 2017年3月11日2017年3月11日 利用SQL的语法，针对的是应用程序开发设计中的漏洞 攻击目标：控制服务器/获取敏感数据 2017年3月11日2017年3月11日 安全基础知识

SQL 注入的步骤 判断SQL注入漏洞 查找SQL注入点 判断后台数据库类型 确定XP_CMDSHELL可执行情况 获得后台管理的权限 2017年3月11日2017年3月11日 安全基础知识

判断SQL注入漏洞 安全基础知识 2017年3月11日2017年3月11日 语句 返回 获取信息 http://www.xxx.com/list.asp?id=49’ select * from 表名 where 字段=49’（list.asp运行异常） 返回 Microsoft OLE DB Provider for SQL Server 错误 '80040e14' 字符串 ' Order By Id DESC' 之前有未闭合的引号。 /list.asp，行290 获取信息 初步确定可能存在SQL INJECTION漏洞 2017年3月11日2017年3月11日 安全基础知识

查找注入点（1） 测试方法 可以注入 安全基础知识 2017年3月11日2017年3月11日 ①http://www.xxx.com/list.asp?id=49 ②http://www.xxx.com/list.asp?id=49 and 1=1 ③http://www.xxx.com/list.asp?id=49 and 1=2 经典的1=1 ，1=2测试法 可以注入 ① 正常显示（必然结果） ② 正常显示，内容基本与①相同 ③ 提示错误 2017年3月11日2017年3月11日 安全基础知识

查找注入点（2） 使用工扫描注入点 2017年3月11日2017年3月11日 安全基础知识

判断数据库类型 语句 判断 安全基础知识 2017年3月11日2017年3月11日 返回 http://www.xxx.com/list.asp?id=49 and 0<>(select @@version) 返回 Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14：22：05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195： Service Pack 4) ' 转换为数据类型为 int 的列时发生语法错误。 /list.asp，行290 判断 从MS SQL SERVER 后面的8.00.760可看出打了SP3 2017年3月11日2017年3月11日 安全基础知识

查询连接DB的权限 语句 返回 判断 安全基础知识 2017年3月11日2017年3月11日 http://www.xxx.com/list.asp?id=49 and 0<>(select user_name()) 返回 Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 将 nvarchar 值 'dbo' 转换为数据类型为 int 的列时发生语法错误。 /list.asp，行290 判断 权限很高，可以确定是服务器角色组中的成员 2017年3月11日2017年3月11日 安全基础知识

执行XP_CMDSHELL 条件 语句 结果 安全基础知识 2017年3月11日2017年3月11日 当前连接数据的帐号具有SA权限 master.dbo.xp_cmdshell扩展存储过程能够正确执行 语句 HTTP://xxx.xxx.xxx/list.asp?id=49；exec master..xp_cmdshell “net user aaa bbb /add”--　 HTTP://xxx.xxx.xxx/list.asp?id=49; exec master..xp_cmdshell “net localgroup aaa administrators /add”-- 结果 在操作系统中添加帐户aaa,密码为bbb 将新建的帐户aaa加入管理员组 2017年3月11日2017年3月11日 安全基础知识

获得web后台管理的权限 后台管理的认证页面一般有以下语句： 绕过登录认证 语句变形为 安全基础知识 select * from admin where username='XXX' and password='YYY‘ 绕过登录认证 语句变形为 select * from admin where username='abc' or 1=1 -- and password='123’ 轻易骗过系统，获取合法身份 2017年3月11日2017年3月11日 安全基础知识

如何防范SQL注入 对用户的输入进行严格的过滤 对变量类型进行检查 执行统一的代码规范 养成良好的习惯 …… 安全基础知识 2017年3月11日2017年3月11日 安全基础知识

模拟试题2 SQL注入漏洞与下列哪一项有关？ A 服务器的安全配置问题 B 操作系统的安全漏洞 C 数据库的安全漏洞 D 代码安全问题 2017年3月11日2017年3月11日 安全基础知识

主要安全技术 防火墙技术 入侵检测技术 扫描技术 …… 2017年3月11日2017年3月11日 安全基础知识

防火墙的概念 防火墙定义： 安全基础知识 2017年3月11日2017年3月11日 防火墙是位于两个(或多个)网络间，实施网间的隔离和访问控制的一组组件的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 2017年3月11日2017年3月11日 安全基础知识

防火墙的作用 部署在网络边界处 安全基础知识 2017年3月11日2017年3月11日 实现网络的隔离与访问控制 阻止未经授权的访问流量 对网络实施保护，以避免各种IP欺骗和路由攻击 在防火墙可以监视一些安全事件的发生情况 在防火墙也可以实现NAT地址转换，Internet日志、审计，甚至计费等功能 2017年3月11日2017年3月11日 安全基础知识

防火墙的局限性 不能防止内部的攻击 针对应用层的攻击防御效果不佳 容易成为网络的瓶颈和单点故障 安全基础知识 2017年3月11日2017年3月11日 安全基础知识

防火墙的类型 包过滤防火墙 应用层网关（代理服务器） 状态检测防火墙 2017年3月11日2017年3月11日 安全基础知识

包过滤防火墙(1) 是一种基于网络层的安全技术 网络层 链路层 物理层 安全基础知识 2017年3月11日2017年3月11日 基本的思想 过滤器建立一组规则，根据IP包是否匹配规则中指定的条件进行判断 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 过滤规则包括源和目标IP地址、协议、源和目标端口号 网络层 链路层 物理层 外部网络 内部网络 2017年3月11日2017年3月11日 安全基础知识

包过滤防火墙(2) 在网络层上进行监测 通常在路由器上实现 优点： 缺点： 安全基础知识 2017年3月11日2017年3月11日 并没有考虑连接状态信息 通常在路由器上实现 优点： 实现简单 对用户透明 缺点： 无法识别基于应用层的攻击 2017年3月11日2017年3月11日 安全基础知识

应用层网关(1) 也称为代理服务器(proxy) 安全基础知识 2017年3月11日2017年3月11日 位于客户机与服务器之间,完全阻挡了二者间的数据交流 外部系统与内部之间没有直接的数据通道 发送请求 转发请求 客 户 网 关 服务器 转发响应 请求响应 2017年3月11日2017年3月11日 安全基础知识

应用层网关(2) 优点 缺点 安全基础知识 2017年3月11日2017年3月11日 在应用层上实现 有些服务要求建立直接连接，无法使用代理 可以针对应用层进行侦测和扫描 可实现基于用户的认证 可提供理想的日志功能 比较安全 缺点 有些服务要求建立直接连接，无法使用代理 对系统的整体性能有影响 2017年3月11日2017年3月11日 安全基础知识

状态检测防火墙 建立状态连接表，将进出网络的数据当成一个个的会话，利用状态表跟踪每个会话状态 对每个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态 提供了完整的对传输层的控制能力 2017年3月11日2017年3月11日 安全基础知识

入侵检测技术 安全基础知识 2017年3月11日2017年3月11日 什么是IDS？ 作用 分类 Intrusion Detection System 入侵检测系统 作用 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 分类 主机入侵检测（HIDS） 网络入侵检测（NIDS） 2017年3月11日2017年3月11日 安全基础知识

主机主侵检测HIDS 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源 系统日志 系统调用 文件完整性检查 安全基础知识 2017年3月11日2017年3月11日 安全基础知识

网络入侵检测NIDS 安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载 通过端口镜像实现 （SPAN / Port Monitor） Console Switch Monitored Servers 2017年3月11日2017年3月11日 安全基础知识

IDS检测技术 基于特征（Signature-based） 基于异常（Anomaly-based） 安全基础知识 建立并维护一个已知攻击知识库 判别当前行为活动是否符合已知的攻击模式 基于异常（Anomaly-based） 首先建立起用户的正常使用模式，即知识库 标识出不符合正常模式的行为活动 2017年3月11日2017年3月11日 安全基础知识

扫描技术 什么是扫描器？ 安全基础知识 2017年3月11日2017年3月11日 自动检测远程或本地主机安全性弱点的程序 可以发现远程服务器开放的TCP端口、提供的服务和软件版本 间接地或直观地了解到远程主机所存在的安全问题 2017年3月11日2017年3月11日 安全基础知识

扫描器的分类 安全基础知识 2017年3月11日2017年3月11日 主机扫描器 网络扫描器 系统扫描器 数据库扫描器 Web扫描器 商业的 在系统本地运行检测系统漏洞的程序 网络扫描器 基于网络可远程检测目标网络和主机系统漏洞的程序 系统扫描器 数据库扫描器 Web扫描器 商业的 非商业的 …. 2017年3月11日2017年3月11日 安全基础知识

扫描工作原理 主动模拟对系统进行攻击的行为 记录、分析系统的反应，发现其中的漏洞和脆弱性 典型步骤是： 安全基础知识 发送信息探测数据包 等待目的主机或设备的响应 分析回来的数据包的特征 判断是否具有该漏洞或脆弱性 有时不能单靠一次过程就能完成，而是要分析一系列过程情况 2017年3月11日2017年3月11日 安全基础知识

端口扫描 安全基础知识 2017年3月11日2017年3月11日 Port scanning: 找出网络中开放的服务 基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用 端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器 Nmap Nessus FoundStone …… 2017年3月11日2017年3月11日 安全基础知识

小结 信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 主要的安全技术 安全基础知识 扫描、监听、DoS&DDoS、木马、SQL注入 主要的安全技术 防火墙、入侵检测、漏洞扫描 2017年3月11日2017年3月11日 安全基础知识

服务器安全规范 网络安全部 2008年11月

培训内容 服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件 2017年3月11日2017年3月11日 服务器安全规范

服务器维护安全规范 口令安全 访问控制 安全责任的划分 安全检查 服务器上禁止操作行为 系统日志管理 安全隐患通告 系统安全设置的问题 2017年3月11日2017年3月11日 服务器安全规范

口令安全 2017年3月11日2017年3月11日 服务器安全规范 适用范围 口令强度 操作系统口令（administrator、root） FTP口令 数据库口令（SA 、root） 后台管理口令 …… 口令强度 口令最小位数要求（12位） 口令复杂性要求（大小写字母+数字+字符） 口令不能与用户名相同 严禁出现空口令、弱口令 电话号码、单词、生日等有意义的字母或数字不能作为口令 2017年3月11日2017年3月11日 服务器安全规范

口令安全(2) 口令的保管与使用 口令更改 不在不安全的地方记录口令 原则上每三个月更改一次 服务器被入侵必须立即更改口令 岗位调整、离职必须立即更改口令 2017年3月11日2017年3月11日 服务器安全规范

服务器的维护 服务器维护的环境要求 日常维护流程的制定 2017年3月11日2017年3月11日 服务器安全规范 不允许在家直接登录服务器，可申请Openvpn跳板机权限 不允许从他人电脑上登录服务器 任何情况下严禁在公共环境(如：网吧)登录服务器 日常维护流程的制定 游戏的安装、撤消、并区、变更等操作 依据规范的要求制定标准操作流程 2017年3月11日2017年3月11日 服务器安全规范

访问控制(1) 访问控制策略 部署硬件防火墙 2017年3月11日2017年3月11日 服务器安全规范 网络访问控制 主机访问控制 Netscreen Windows环境使用ipsec Linux环境使用iptables 2017年3月11日2017年3月11日 服务器安全规范

访问控制(2) 访问控制策略的制定 游戏服务器上线前必须确保： 最小化授权原则 不被允许的就是被禁止的 iptables已配置且启用 ipsec已配置且启用 2017年3月11日2017年3月11日 服务器安全规范

安全职责的划分(1) 网络安全部职责 2017年3月11日2017年3月11日 服务器安全规范 服务器安全的整体规划 安全规范的制定与修改 漏洞跟踪、发现隐患、发布安全通告 协助相关部门落实安全规范 协助相关部门排除安全隐患 履行安全规范落实的监督与检查职责 履行安全隐患排除的监督与检查职责 安全事件的处理 2017年3月11日2017年3月11日 服务器安全规范

安全职责的划分(2) 服务器维护部门职责 2017年3月11日2017年3月11日 服务器安全规范 根据安全规范，负责具体安全工作的开展和落实 操作流程的制定 具体管理规定的制定 根据网络安全部的建议进行安全改进 负责排除安全隐患 协助网络安全部进行安全事件处理 2017年3月11日2017年3月11日 服务器安全规范

安全检查(1) 安全检查的范围 2017年3月11日2017年3月11日 服务器安全规范 新装服务器：漏洞、补丁、端口、进程、配置 新发布游戏客户端：病毒扫描 新安装的应用 网站代码的安全检查 出现异常的服务器 …… 2017年3月11日2017年3月11日 服务器安全规范

安全检查(2) 重装系统的条件 服务器被入侵 感染蠕虫、病毒、中木马 关机时间超过6周 关机期间外界公布了重大安全漏洞 新装服务器不满足安全规范要求 服务器曾出现严重漏洞且存在被利用可能性 2017年3月11日2017年3月11日 服务器安全规范

安全检查(3) 通过安全检查的条件 转移出项目的服务器 2017年3月11日2017年3月11日 服务器安全规范 操作系统及应用满足安全设置要求 转移出项目的服务器 删除所有软件与数据 应用程序 Winchk Octopod 2017年3月11日2017年3月11日 服务器安全规范

服务器上禁止的操作行为 服务器上禁止以下操作 收发邮件 使用浏览器上网查阅资料 使用浏览器进行与工作无关的访问 程序开发与调试 玩游戏 非工作用途的操作 存放与工作无关的文件 2017年3月11日2017年3月11日 服务器安全规范

系统日志管理1 2017年3月11日2017年3月11日 服务器安全规范 日志是进行事后追查与分析的重要手段 日志的种类 维护日志 维护日志、应用日志 维护日志 系统日志 应用日志 安全日志 应用访问日志 Web日志 Email日志 FTP日志等 2017年3月11日2017年3月11日 服务器安全规范

系统日志管理2 对系统日志的要求 2017年3月11日2017年3月11日 服务器安全规范 服务器有记录维护情况的日志 与维护有关的日志要保存3个月以上 定期查看日志，发异常要及时报告 原则上不得随意删除系统日志 2017年3月11日2017年3月11日 服务器安全规范

安全隐患通告 网络安全部 相应部门 安全部监督与检查 2017年3月11日2017年3月11日 服务器安全规范 漏洞的跟踪与分析 扫描分析安全隐患 发布安全隐患通告 相应部门 按照通告要求消除隐患 安全部监督与检查 资源的合理请求大大超过资源的支付能力 对已经满载的Web服务器进行过多的请求 2017年3月11日2017年3月11日 服务器安全规范 94

系统安全设置问题(1) 新装应用要通知安全部进行漏洞跟踪 不安装与工作无关的应用 不安装来历不明的软件 不使用盗版软件 部署游戏程序前要满足以下要求： 补丁齐全 应用配置满足安全规范要求 iptables或ipsec已启用 已通过安全部的检查 2017年3月11日2017年3月11日 服务器安全规范

系统安全设置问题(2) 只能从受信任的网站下载软件和补丁 原则上只使用pcanywhere进行远程控制 数据库的端口应进行IP限制 应用程序不能使用SA连接数据库 去除不安全的扩展存储过程 (如：xp_cmdshell) 2017年3月11日2017年3月11日 服务器安全规范

模拟试题3 服务器的口令应在多久修改一次？ A 1个月 B 2个月 C 3个月 D 4个月 2017年3月11日2017年3月11日 服务器安全规范

培训内容 服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件 2017年3月11日2017年3月11日 服务器安全规范

补丁管理流程1 针对windows环境的两套补丁管理系统 特点 2017年3月11日2017年3月11日 服务器安全规范 Winchk/autoup Octopod 安全部补丁服务器 特点 Autoup适用于快速分发安装补丁，但不能准确检查补丁安装的情况 Octopod适用于有选择的批量安装和补丁检查，检查准确，可靠性高 安全部补丁服务器用于下载单个补丁和下载补丁光盘ISO 2017年3月11日2017年3月11日 服务器安全规范

补丁管理流程2 Winchk/Autoup 2017年3月11日2017年3月11日 服务器安全规范

补丁管理流程3 Octopod 2017年3月11日2017年3月11日 服务器安全规范 被控端服务器 用户端 OCTOPOD服务器 Https连接 SSH连接 端口转发 Port forwarding Https连接 SSH连接1 SSH连接2 OCTOPOD服务器 被控端服务器 内网服务器 2017年3月11日2017年3月11日 服务器安全规范

补丁管理流程4 补丁收集 补丁测试 上传补丁 2017年3月11日2017年3月11日 服务器安全规范 登录微软网站下载补丁 Win2000和win2003中英文版补丁安装测试 上传补丁 向Autoup服务器上传补丁 向Octopod服务器上传补丁 向安全部补丁服务器上传补丁 制作补丁光盘并发布到安全部补丁服务器上 2017年3月11日2017年3月11日 服务器安全规范

补丁管理流程5 2017年3月11日2017年3月11日 服务器安全规范 补丁的分发与安装 安全部更新《盛大网络服务器维护安全规范》中的内容 服务器定时从Autoup上下载补丁并安装 Octopod可以通过针对部分主机操作，也可通过脚本自动成批的安装补丁 安全部更新《盛大网络服务器维护安全规范》中的内容 IDC支持部各机房与合作单位下载最新的补丁光盘镜像刻录光盘 补丁检查 补丁是否已安装 补丁是否已生效 2017年3月11日2017年3月11日 服务器安全规范

补丁管理流程6 补丁检查工具对比 2017年3月11日2017年3月11日 服务器安全规范 Winchk 存在不足，检查结果不准确 Octopod 使用微软的工具，检查结果相对准确 2017年3月11日2017年3月11日 服务器安全规范

培训内容 安全概念 服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件 2017年3月11日2017年3月11日 服务器安全规范

目前采取的安全措施(1) 日常监控 补丁管理 访问控制 2017年3月11日2017年3月11日 服务器安全规范 监控部7x24小时监控 Winchk HIDS 补丁管理 Autoup Octopod 访问控制 Ipsec（Windows) Iptables(Linux) 2017年3月11日2017年3月11日 服务器安全规范

目前采取的安全措施(2) 2017年3月11日2017年3月11日 服务器安全规范 主机安全加固 安全检查 漏洞扫描 漏洞跟踪与分析 新装服务器安全配置 安全检查 新装服务器安全检查 游戏客户端新版本病毒检查 网站代码安全检查 漏洞扫描 新装机的漏洞扫描 每周定期漏洞扫描 漏洞跟踪与分析 新应用的漏洞查询与分析 每天的漏洞跟踪 2017年3月11日2017年3月11日 服务器安全规范

目前采取的安全措施(3) 服务器操作平台 身份认证 备份 磁带备份 Web备份 后台db备份 2017年3月11日2017年3月11日 Octopod 身份认证 Gina认证 PAM认证 密宝认证 Web登录验证码 备份 磁带备份 Web备份 后台db备份 2017年3月11日2017年3月11日 服务器安全规范

目前采取的安全措施(4) 2017年3月11日2017年3月11日 服务器安全规范 主机HIDS 防病毒 日志审计 网络流量监控 关键点的完整性检查等 病毒扫描情况检查 防病毒 江民防病毒模块 通过Octopod和HIDS调用 90%以上的项目都已部署 日志审计 SYSLOG日志收集 对游戏服务器的日志集中收集与管理 网络流量监控 通过NetView查看流量 交换机端口、网卡的流入与流出 2017年3月11日2017年3月11日 服务器安全规范

培训内容 安全概念 服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件 2017年3月11日2017年3月11日 服务器安全规范

典型安全事件(1) 2017年3月11日2017年3月11日 服务器安全规范 事件1：子公司吉盛服务器网页中被植入木马 时间：2004.7.29 IP地址：61.152.101.128 发现问题： 首页index.asp被修改 <iframe src="exe.htm" width="0" height="0" frameborder="0"></iframe> d:\sicent\sicentbbs\下，有两个文件exe.htm和exe.chm 事件原因：使用了有漏洞的动网论坛代码 事件结果：重装服务器、删除动网代码、检查所有代码 2017年3月11日2017年3月11日 服务器安全规范

典型安全事件(2) 2017年3月11日2017年3月11日 服务器安全规范 事件2：一台测试机被植入r_server 时间：2005.3.3 IP地址：61.172.247.28 发现问题： 61.172.247.28 r_server tcp 4000 c:\winnt\system32\r_server.exe 原因： SQL Server 2000 的SA口令为空 结果： 重装服务器、修改口令 2017年3月11日2017年3月11日 服务器安全规范

小结 造成安全问题的因素很多 绝对安全是不存在的 减少安全问题的途径： 2017年3月11日2017年3月11日 服务器安全规范 人：员工专业能力的提高、责任心的增强、经验的积累 技术：技术的进步 管理：安全制度不断完善，并得到有效执行 2017年3月11日2017年3月11日 服务器安全规范

课间休息 2017年3月11日2017年3月11日 服务器安全规范

操作系统安全 网络安全部 2008年11月

主要内容 Windows系统安全 Linux系统安全 2017年3月11日2017年3月11日 操作系统安全 Windows安全特性

Windows的安全特性 2017年3月11日2017年3月11日 操作系统安全 Windows的安全机制是建立在对象的基础之上的，它是构成Windows操作系统的基本元素 Windows 中首要的对象类型有： 文件、目录、存储器、驱动器或系统程序等 所有对象的操作必须事先得到授权并由操作系统来执行，防止外部程序直接访问网络数据 Windows 正是通过控制程序对对象的访问来获得高的安全级别 2017年3月11日2017年3月11日 操作系统安全

系统内建帐户 2017年3月11日2017年3月11日 操作系统安全

系统内建组 Windows 2000具有一些内建的组，将帐户放到一个组中的所有账户都会继承这些权限。 最简单的一个例子是本地的Administrators组，放到该组中的用户账户具有本地计算机的全部权限 2017年3月11日2017年3月11日 操作系统安全

SAM (Security Accounts Manager) 在独立的Windows 2000计算机上，安全账户管理器负责保存用户账户名和口令的信息 SAM组成了注册表的5个配置单元之一，它在文件%systemroot%\system32\config\sam中实现 在Windows 2000域控制器上，用户账户和散列的数据保存在活动目录中(默认为%systemroot%\ntds\ntds.dit)。 2017年3月11日2017年3月11日 操作系统安全

安全标识符SID 2017年3月11日2017年3月11日 操作系统安全 Win NT/2K内部对安全主体的操作是通过一个称为安全标识符(Security Identifier，SID)的全局惟一的48位数字来进行的 SID是对每一个用户和工作组分配的唯一的标志号 内部进程引用帐户的SID而不是用户名和帐号 同一台机器上，删除一个帐号，再建立同用户名的帐号，其SID也不同，不能继承前用户的访问权限 2017年3月11日2017年3月11日 操作系统安全

SID的格式 S-1-5-21-1507001333-1204550764-1011284298-500 SID带有前缀S，它的各个部分之间用连字符隔开 第一个数字(本例中的1)是修订版本编号 第二个数字是标识符颁发机构代码(对Win2K来说总是为5) 后面是4个子颁发机构代码(本例中是21和后续的3个长数字串) 最后一个是相对标识符(Relative Identifier，RID，本例中是500) 2017年3月11日2017年3月11日 操作系统安全

RID RID对所有的计算机和域来说都是一个常数。 带有RID 500的SID总是代表本地计算机的Administrator账户。 RID 501是Guest账户 Windows 2000总是将具有RID 500的帐户识别为管理员 2017年3月11日2017年3月11日 操作系统安全

NTFS文件系统 2017年3月11日2017年3月11日 操作系统安全 微软推荐采用NTFS文件系统 (服务器安全规范也要求采用NTFS) 文件和目录有两种访问许可权限： 共享访问许可权 用于用户与共享文件系统远程连接 用户试图通过共享方式访问文件时，系统检查共享许可权限； 文件许可权 是直接分配给文件或目录的访问权，以任何方式访问文件系统时，都要受文件许可权限的限制。 2017年3月11日2017年3月11日 操作系统安全

用户权利、权限和共享权限 网络安全性依赖于给用户或组授予的能力 2017年3月11日2017年3月11日 操作系统安全 权利:在系统上完成特定动作的授权，由系统指定给内置组也可以由管理员将其扩大到组和用户上。 权限:可以授予用户或组的文件系统能力。 共享:用户可以通过网络使用的文件夹。 2017年3月11日2017年3月11日 操作系统安全

Windows系统的用户权利 2017年3月11日2017年3月11日 操作系统安全 权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。 当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。 2017年3月11日2017年3月11日 操作系统安全

Windows系统的用户权限 2017年3月11日2017年3月11日 操作系统安全 权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作 指定允许哪些用户可以使用这些对象，以及如何使用 权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力 这些任务是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O) 2017年3月11日2017年3月11日 操作系统安全

Windows系统的目录权限 如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目。 2017年3月11日2017年3月11日 权限级别 RXWDPO 允许的用户动作 No Access   用户不能访问该目录 List RX 可查看目录中的子目录和文件名，也可以进入其子目录 Read 具有List权限，用户可以读取目录中的文件和 运行目录中的应用程序 Add XW 用户可以添加文件和子录 Add and Read RXW 具有Read和Add的权限 Change RXWD 有Add和Read的权限， 另外还可以更改文件的内容，删除文件和子目录 Full control 有Change的权限，另外用户可以更改权限和获取目录的所有权 　 　如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目。 2017年3月11日2017年3月11日 操作系统安全

Windows系统的文件权限 2017年3月11日2017年3月11日 操作系统安全 权限级别 RXWDPO 允许的用户动作 No Access   用户不能访问该文件 Read RX 用户可以读取该文件，如果是应用程序可以运行 Change RXWD 有Read的权限，还可修改和删除文件 Full control 包含Change的权限，还可以更改权限和获取文件的有权 2017年3月11日2017年3月11日 操作系统安全

Windows系统的共享权限(1) 2017年3月11日2017年3月11日 操作系统安全 共享只适用于文件夹（目录） 如果文件夹不是共享的，那么在网 络上就不会有用户看到它，也就更不能访问。 要使网络用户可以访问 服务器上的文件和目录，必须首先对它建立共享。  2017年3月11日2017年3月11日 操作系统安全

Windows系统的共享权限(2) 2017年3月11日2017年3月11日 操作系统安全 共享权限级别 允许的用户动作 No Access(不能访问) 禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享 Read(读) 目录的子目录，还允许查看文件的数据 和运行应用程序 Change(更改) 具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录 Full control(完全控制) 具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷) 2017年3月11日2017年3月11日 操作系统安全

Windows的系统服务(1) 服务包括三种启动类型 自动 - Windows 2000启动的时候自动加载服务 2017年3月11日2017年3月11日 操作系统安全

Windows的系统服务(2) 2017年3月11日2017年3月11日 操作系统安全 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 下每一 服务项目子项都有一个 Start 数值 Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 Start 内容的定义 0、1、2、3、4 等五种状态 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义 3 代表让使用 者以手动的方式载入 4， 则是代表禁用的状态 2017年3月11日2017年3月11日 操作系统安全

Windows的系统进程(1) 基本的系统进程 2017年3月11日2017年3月11日 操作系统安全 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序 svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印 explorer.exe 资源管理器 internat.exe 输入法 2017年3月11日2017年3月11日 操作系统安全

Windows的系统进程(2) 附加的系统进程（不是必要的） 2017年3月11日2017年3月11日 操作系统安全 mstask.exe 允许程序在指定时间运行 regsvc.exe 允许远程注册表操作 winmgmt.exe 提供系统管理信息 inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理 tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序 termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 桌面会话以及运行在服务器上的基于 Windows 的程序 dns.exe 应答对域名系统(DNS)名称的查询和更新请求 …… 2017年3月11日2017年3月11日 操作系统安全

Windows的Log系统(1) 三种类型的事件日志： 系统日志 应用程序日志 安全日志 2017年3月11日2017年3月11日 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。 安全日志 跟踪事件如登录、注销、改变访问权限以及系统启动和关闭。 注意：安全日志的默认状态是关闭的。 2017年3月11日2017年3月11日 操作系统安全

Windows的Log系统(2) 日志在系统的位置是： 日志文件在注册表的位置是： 2017年3月11日2017年3月11日 操作系统安全 %SYSTEMROOT%\system32\config\SysEvent.Evt %SYSTEMROOT%\system32\config\SecEvent.Evt %SYSTEMROOT%\system32\config\AppEvent.Evt 日志文件在注册表的位置是： HKEY_LOCAL_MACHINE\System\Current Control Set\Services\Eventlog 2017年3月11日2017年3月11日 操作系统安全

Windows安全配置与管理 安装 访问控制 用户和组的权限管理 账号安全策略 网络服务 文件系统安全 打开安全日志 其它的安全设置 2017年3月11日2017年3月11日 操作系统安全

安装 2017年3月11日2017年3月11日 操作系统安全 使用正版可靠安装盘 将系统安装在NTFS分区上 系统和数据要分开存放在不同的磁盘 最小化安装服务（不需要IIS等组件请不要安装） 只安装必需的协议 安装最新的Service Pack 与hotfix 安装系统和为系统打补丁时不能连接网络 2017年3月11日2017年3月11日 操作系统安全

访问控制 对Windows 服务器的访问应该只允许授权访问，以及可靠用户。 系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问。 使用ipsec策略实现访问控制 在pcanywhere中做IP限制 系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问。 尽量将访问来源控制在最小范围内。 2017年3月11日2017年3月11日 操作系统安全

用户和组的权限管理 2017年3月11日2017年3月11日 操作系统安全 控制好服务器上用户的权限，应小心地设置目录和文件的访问权限。 访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。 默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），应根据应用的需要进行权限重设。 2017年3月11日2017年3月11日 操作系统安全

权限控制时的原则 2017年3月11日2017年3月11日 操作系统安全 权限是累计的 文件权限比文件夹权限高 利用用户组来进行权限控制 如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限； 拒绝的权限要比允许的权限高（拒绝策略会先执行） 若用户属于一个被拒绝访问某个资源的组 不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。 应非常小心地使用拒绝 文件权限比文件夹权限高 利用用户组来进行权限控制 仅给用户真正需要的权限，权限最小化原则是安全的重要保障 2017年3月11日2017年3月11日 操作系统安全

帐户安全策略(1) 重命名管理员帐号 设置帐号规则保证帐号安全 确认密码强度足够 2017年3月11日2017年3月11日 操作系统安全 Administrator 设置帐号规则保证帐号安全 帐户锁定阀值设为30次 帐户锁定时间设为30分钟 复位帐户锁定计数器设为30分钟之后 确认密码强度足够 密码的位数要符合安全规范的要求 2017年3月11日2017年3月11日 操作系统安全

网络服务 2017年3月11日2017年3月11日 操作系统安全 限制对外开放的端口 禁用snmp服务 只允许开放特定端口 公司目前使用IPSEC进行windows主机的保护 禁用snmp服务 原则上应禁用Terminal Service终端服务 将不必要的服务设置为手动 2017年3月11日2017年3月11日 操作系统安全

NetBIOS的安全设置 2017年3月11日2017年3月11日 操作系统安全 禁用NetBIOS会话服务(139端口)) 禁用SMB 禁用TCP/IP上的NetBIOS 禁用SMB 禁用445端口 在本地连接属性中禁用文件和打印机共享 禁止匿名连接 HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 中的RestrictAnonymous = 2 多数用户可能会认为禁用了TCP/IP上的NetBIOS就已经成功地禁止了对他们的计算机的SMB访问。这是错误的。这个设置只是禁用了NetBIOS会话服务，即TCP端口139 Windows 2000在TCP 445上运行了另一个SMB监听程序。系统版本高于NT4 Service Pack 6a的Windows SMB客户端在试图与TCP 139建立连接失败后，会自动转向TCP 445，因此空会话仍然能够被客户建立，即使TCP 139已经禁用或阻塞 2017年3月11日2017年3月11日 操作系统安全 145

Windows平台上的共享资源 2017年3月11日2017年3月11日 操作系统安全 系统默认共享 admin$ C$ D$ 文件资源的共享 打印服务的共享 IPC$也是一个共享资源 关闭打开的管理共享 HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\LanmanServer\Parameters 键值 AutoShareServer 类型 REG_DWORD 数据 0 2017年3月11日2017年3月11日 操作系统安全

文件系统安全(1) 2017年3月11日2017年3月11日 操作系统安全 WFP（Windows File Protection）即Windows文件保护。 防止系统文件被不匹配的版本替换或是覆盖 微软把Windows 2000安装光盘上的所有重要文件都加以保护 包括：dll、exe、fon、ocx、sys、和tff结尾的文件等 备份在%SYSTEMROOT%/system32/dllcache 文件夹下。 2017年3月11日2017年3月11日 操作系统安全

文件系统安全(2) 2017年3月11日2017年3月11日 操作系统安全 当WFP监控到这些文件被覆盖或替换后就开始工作 若该文件没有做备份，系统会提示插入Windows 2000的安装光盘以复原该文件。 2017年3月11日2017年3月11日 操作系统安全

安全日志 Windows的默认安装未打开安全审核 Windows2000下 2017年3月11日2017年3月11日 操作系统安全 本地安全策略->审核策略中打开相应的审核 推荐的审核是： 账户管理     成功 失败 登录事件     成功 失败 对象访问 策略更改 成功 失败 特权使用              系统事件 成功 失败 目录服务访问 账户登录事件 成功 失败 过程追踪 成功 失败 2017年3月11日2017年3月11日 操作系统安全

模拟试题4 Windows日志文件存放在哪个目录？ A c:\winnt\ B c:\winnt\system32\config C c:\winnt\system32 D c:\winnt\system\config 2017年3月11日2017年3月11日 操作系统安全

主要内容 Windows系统安全 Linux系统安全 2017年3月11日2017年3月11日 操作系统安全 Windows安全特性

Linux口令安全 2017年3月11日2017年3月11日 操作系统安全 /etc/passwd 由用户名、口令、UID 、 GID、用户名全称、用户的主文件目录、shell 等七个域组成 passwd字段中的第一个字符是“*”,则不允许登录 passwd文件中的口令字段使用一个“x”来代替 /etc/shadow存放加密后的口令 2017年3月11日2017年3月11日 操作系统安全

用户与UID 2017年3月11日2017年3月11日 操作系统安全 用户标识UID是系统内部对每个用户的唯一标识 Linux通过/etc/passwd 文件实现用户名与 UID之间的映射关系 Linux的所有保护均以UID为基础 2017年3月11日2017年3月11日 操作系统安全

用户组与GID 2017年3月11日2017年3月11日 操作系统安全 Linux 将用户分成组 用户组也有组名和组标识符GID 分组是便于以用户组为单位实施保护 /etc/group 文件包含一个列表，列举每一个用户组以及所对应的GID 记录的各字段属性依次定义如下： 组名 口令 组标识号 用户列表 2017年3月11日2017年3月11日 操作系统安全

文件类型 文件的类型 后9个字符代表文件权限 2017年3月11日2017年3月11日 操作系统安全 - 普通文件 d 目录 c 字符设备 - 普通文件 d 目录 c 字符设备 b 块设备 l 符号连接 s  套接字文件 p 命名管道文件 后9个字符代表文件权限 分为3组，每组3位 2017年3月11日2017年3月11日 操作系统安全

文件权限 -rwxr-xr-x 1 root root 2617 Mar 26 2003 check 文件的授权 r 允许读 w 允许写 x 允许执行(对于目录表示进入) s SUID或SGID …… 三种类型的用户： 第一组：owner 文件的拥有者 第二组：group 同组用户 第三组：other 其它用户 改变文件的授权 chmod命令改变许可方式 r=4 w=2 x=1 rwx r-x r- - 7 5 4 chgrp与chown 命令 改变文件的属主与组名 修改后原属主和组员无法修改回来 -rwxr-xr-x 1 root root 2617 Mar 26 2003 check 2017年3月11日2017年3月11日 操作系统安全

帐号的安全 2017年3月11日2017年3月11日 操作系统安全 处理没有口令的帐户 删除对系统无用的发行商的帐户（如adm、lp、uucp、gopher等）及其相应的组 保护ROOT帐户 控制使用范围 定期更改口令 检查sulog（记录了su 使用情况） 2017年3月11日2017年3月11日 操作系统安全

关闭不必要的服务 检查/etc/xinetd.conf文件和/etc/services文件 ntsysv 将不需要的服务关掉（如finger、tftp等） ntsysv 2017年3月11日2017年3月11日 操作系统安全

远程维护 禁用明文传输的telnet 应使用openssh替代telnet 2017年3月11日2017年3月11日 操作系统安全

syslog 2017年3月11日2017年3月11日 操作系统安全 syslogd是一个专门用于记录日志信息的服务 配置文件/etc/syslog.conf 可以记录本地日志，也可以记录远程的日志信息 可以指定把什么样的日志消息记录到哪个文件中 2017年3月11日2017年3月11日 操作系统安全

升级主要应用 及时升级，消除漏洞 2017年3月11日2017年3月11日 操作系统安全 Kernel Apache Php Tomcat Openssh Mysql Qmail Sendmail …… 2017年3月11日2017年3月11日 操作系统安全

查看登录情况 2017年3月11日2017年3月11日 操作系统安全 last：列出目前与过去登入系统的用户相关信息 root pts/0 222.66.40.68 Thu Apr 6 17:20 still logged in root pts/0 222.66.40.68 Thu Apr 6 16:37 - 16:49 (00:12) root pts/0 222.66.40.68 Thu Apr 6 15:43 - 15:46 (00:02) root pts/0 222.66.40.68 Mon Apr 3 17:49 - 17:50 (00:01) wtmp begins Mon Apr 3 17:49:24 2006 lastlog：查看用户最后一次登录信息的报告 root pts/0 222.66.40.68 Wed Mar 29 18:04:18 +0800 2006 heping pts/3 222.66.40.68 Mon Feb 20 12:22:54 +0800 2006 lishuqing **Never logged in** zhujun pts/0 222.66.40.68 Mon Feb 20 12:51:02 +0800 2006 xiaoqiang **Never logged in** zouwei pts/3 60.63.184.124 Sun Mar 19 13:21:53 +0800 2006 zhenglei pts/0 218.82.213.120 Sat Mar 25 22:41:40 +0800 2006 w：查看当前在线上的用户情况 5:20pm up 10 days, 7:39, 1 user, load average: 0.00, 0.00, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 222.66.40.68 5:20pm 0.00s 0.03s 0.01s w 2017年3月11日2017年3月11日 操作系统安全

Iptables策略 2017年3月11日2017年3月11日 操作系统安全 禁止所有的转发数据（FORWARD），允许所有的流出数据（OUTPUT）； 具体的安全策略全部实施在流入数据上（INPUT）； 允许所有在从127.0.0.1到127.0.0.1的内部通讯； 允许对外交换DNS数据，tcp/udp 53端口； 允许ping和被ping 允许公司IP地址的完全访问 允许公司跳板机IP地址完全访问 2017年3月11日2017年3月11日 操作系统安全

系统资源占用监控 2017年3月11日2017年3月11日 操作系统安全 异常的系统资源占用 CPU资源 top 磁盘资源 df,du 网络连接 netstat 2017年3月11日2017年3月11日 操作系统安全

系统异常事件监控 2017年3月11日2017年3月11日 操作系统安全 异常进程 异常端口和网络活动 异常用户活动 配置文件或设备的变动 ps 异常端口和网络活动 lsof 异常用户活动 w,last,shell history 配置文件或设备的变动 异常的重要文件变动 Login,su,….. 2017年3月11日2017年3月11日 操作系统安全

系统日志的监控 Message Syslog Lastlog Shell history Other logs 系统日志文件的变化 2017年3月11日2017年3月11日 操作系统安全

长期的系统维护 时刻注意安全漏洞和补丁发布 定期分析日志系统，发现潜在攻击 注意账号和口令的安全问题 注意观察系统异常 管理员，才是关键! 2017年3月11日2017年3月11日 操作系统安全

模拟试题6 执行chmod 766 check后，check文件正确的权限应该是（ ） A -rwxr-xr-x 1 root root 2617 Mar 26 2008 check B -rwxr--r-- 1 root root 2617 Mar 26 2008 check C -rwxrw-rw- 1 root root 2617 Mar 26 2008 check D -rwxrwxrwx 1 root root 2617 Mar 26 2008 check 2017年3月11日2017年3月11日 操作系统安全

小结 2017年3月11日2017年3月11日 操作系统安全 Windows系统 Linux系统 内建帐户/组、SID、SAM NTFS文件系统及用户、目录 、文件的权限 系统服务与log系统 系统的安装与配置 Linux系统 口令安全、UID/GID 文件类型与权限、系统服务 帐号安全与、远程维护 syslog、iptables 监控日志、系统资源和异常事件 2017年3月11日2017年3月11日 操作系统安全

常见应用安全 网络安全部 2008年11月

主要内容 Web安全 IIS安全 数据库安全 SQL Server 2017年3月11日2017年3月11日 常见应用安全

IIS概述 IIS(Internet Information Server)是当今流行的Web服务器 IIS主要安全问题 2017年3月11日2017年3月11日 常见应用安全

IIS的漏洞 以前关于IIS的漏洞层出不穷 如：IIS的Unicode漏洞 …… 2017年3月11日2017年3月11日 常见应用安全

IIS组件的安装 以下仅以IIS 5.0为例 只安装基本的组件 卸载不用的组件 2017年3月11日2017年3月11日 常见应用安全 Internet服务管理器 Word Wide Web 服务器 公用文件 卸载不用的组件 Internet服务管理器（HTML）：基于Web 的IIS服务器管理页面，应卸载它 SMTP和NNTP：如果不使用服务器转发邮件和提供新闻组服务也应卸载 2017年3月11日2017年3月11日 常见应用安全

删除不用的文件和站点 2017年3月11日2017年3月11日 常见应用安全 删除默认脚本和示例文件 删除默认web站点 c:\inetpub c:\WINNT\system32\inetsrv\iisadmin c:\WINNT\system32\inetsrv\iisadmpwd 删除默认web站点 2017年3月11日2017年3月11日 常见应用安全

删除无用的脚本映射(1) 2017年3月11日2017年3月11日 常见应用安全 基于 Web 的密码重设 .htr Internet 数据库连接器（所有的 IIS 5 Web 站点应使用 ADO 或类似的技术） .idc 服务器端包含程序 .stm、.shtm 和 .shtml Internet 打印 .printer 索引服务器 .htw、.ida 和 .idq 2017年3月11日2017年3月11日 常见应用安全

删除无用的脚本映射(2) 2017年3月11日2017年3月11日 常见应用安全 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件 IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。 如果不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器。 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 主属性 选择 WWW 服务 | 编辑 | 主目录 | 配置 2017年3月11日2017年3月11日 常见应用安全

IIS目录重新定向 不要使用系统默认的web路径 自定义Web主目录路径并作相应的权限设置 例如 Web主目录可以设置为 d:\website 2017年3月11日2017年3月11日 常见应用安全

启用Web日志 2017年3月11日2017年3月11日 常见应用安全 日志记录是非常重要的 更改默认日志文件路径 加载 Internet Information Services 工具。 右键单击站点，然后从上下文菜单中选择“属性”。 单击“网站”选项卡。 选中“启用日志”复选框。 从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。 单击“属性”。 更改默认日志文件路径 例如：D:\Logfiles 2017年3月11日2017年3月11日 常见应用安全

Web站点权限设定 2017年3月11日2017年3月11日 常见应用安全 Web 站点权限： 授予的权限： 读 允许 写 不允许 脚本源访问 目录浏览 建议关闭 索引资源 执行 推荐选择 “仅限于脚本” 2017年3月11日2017年3月11日 常见应用安全

HTTP500错误重定向 2017年3月11日2017年3月11日 常见应用安全 增加SQL注入难度 在IIS中将“HTTP500 内部服务器错误” 出错页面通过URL重定向到一个定制的页面文件 目前可以通过OCTOPOD系统进行操作 2017年3月11日2017年3月11日 常见应用安全

禁用WebDAV WebDAV 2017年3月11日2017年3月11日 常见应用安全 WebDAV 扩展了 HTTP/1.1 协议，允许客户端发布、锁定和管理 Web 中的资源。 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters 处加一个键值：数值名称为DisableWebDAV 数据类型为DWORD数值数据为1 2017年3月11日2017年3月11日 常见应用安全

其它安全问题 2017年3月11日2017年3月11日 常见应用安全 涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现 涉及到与数据库连接地用户名与口令应给予最小的权限 防止ASP主页.inc文件泄露问题 防止UltraEdit等编辑器生成xxx.asp.bak存在于web目录下 Web目录下的文件及目录应有统一的命名规范 后台管理页面应有IP限制，登录口令应符合安全规范的要求 2017年3月11日2017年3月11日 常见应用安全

主要内容 Web安全 IIS安全 数据库安全 SQL Server 2000安全 2017年3月11日2017年3月11日 常见应用安全

SQL Server 2000 安全 概述 微软的SQL Server 2000是一种广泛使用的数据库 数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果 数据库的安全问题易被忽视 数据库安全除了自身的问题外还取决于： 操作系统的安全性 Web应用中asp脚本是否对用户提交的输入做了严格的过滤 2017年3月11日2017年3月11日 常见应用安全

安装补丁 新装服务器 老服务器 目前要求安装Service Pack 4 再安装修补Service Pack4一个内存BUG的补丁 KB899761 老服务器 在确保安装有Service Pack 3的基础上可以暂时不装Service Pack 4 2017年3月11日2017年3月11日 常见应用安全

口令策略 2017年3月11日2017年3月11日 常见应用安全 数据库口令也要符合服务器安全规范的要求 应用程序中不能用SA连接数据库 口令长度 口令复杂性 空口令和弱口令 定期修改密码 应用程序中不能用SA连接数据库 2017年3月11日2017年3月11日 常见应用安全

数据库日志 在实例属性中选择“安全性”，将其中的审核级别选为全部 2017年3月11日2017年3月11日 常见应用安全 这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件 定期查看SQL Server日志检查是否有可疑的登录事件发生 2017年3月11日2017年3月11日 常见应用安全

扩展存储过程 2017年3月11日2017年3月11日 常见应用安全 去除不必要的扩展存储过程 去除xp_cmdshell 有些存储过程能很容易地被人利用起来提升权限或进行破坏 例如：当SA为空口令，就可以利用xp_cmdshell执行系统命令 去除xp_cmdshell use master sp_dropextendedproc 'xp_cmdshell' 2017年3月11日2017年3月11日 常见应用安全

保护端口 2017年3月11日2017年3月11日 常见应用安全 SQL Server 2000使用的端口 限制策略 更改默认的端口 tcp 1433 udp 1434 限制策略 禁止访问udp 1434端口 仅允许受信任的IP访问tcp 1433端口 更改默认的端口 在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口 2017年3月11日2017年3月11日 常见应用安全

模拟试题7 以下哪项的描述是正确的？（ ） 2017年3月11日2017年3月11日 常见应用安全 A 所有的Sql Server 都必须安装SP4 B 所有的Sql Server 都必须安装SP3 C 新装Sql Server 必须安装SP3，老的Sql Server必须安装SP4 D 新装Sql Server 必须安装SP4，老的Sql Server必须安装SP3 2017年3月11日2017年3月11日 常见应用安全

小结 IIS安全 SQL Server安全 2017年3月11日2017年3月11日 常见应用安全 组件，示例文件、应用程序、脚本映射 禁用父路径 、web目录重定向、日志 500错误重定向、webDAV SQL Server安全 补丁、口令、日志 护展存储过程、端口限制 2017年3月11日2017年3月11日 常见应用安全

课间休息 2017年3月11日2017年3月11日 常见应用安全

操作实践 网络安全部 2008年11月

主要内容 服务器帐号处理 启用安全日志 网络安全设置 Winchk/autoup的安装 Octopod Netview Syslog与HIDS初始化 IPSEC配置 2017年3月11日2017年3月11日 操作实践

服务器帐号处理 2017年3月11日2017年3月11日 操作实践 删除不必要的帐号 更改管理员帐号名 如果确认不使用终端服务 可删除TsinternetUser 更改管理员帐号名 根据需要改成指定的名称 Administrator adminpub adminweb Bnbadmin …… 2017年3月11日2017年3月11日 操作实践

启用安全日志 2017年3月11日2017年3月11日 操作实践 系统默认未开启 开启方法 开始->控制面版->本地安全设置 ->本地安全策略->本地策略->审核策略 2017年3月11日2017年3月11日 操作实践

网络安全设置 2017年3月11日2017年3月11日 操作实践 禁用“Microsoft网络客户端” 禁用“ Tcp/Ip上的NetBIOS” 操作方法 点击网络连接图标 点击“属性” 取消这两项前的“√” 再选Internet协议点“属性” 点“高级”，再先wins 选“禁用tcp/ip上的netbios” 2017年3月11日2017年3月11日 操作实践

Winchk/autoup的安装 2017年3月11日2017年3月11日 操作实践 下载安装包 安装autoup/winchk 安装很简单 ftp://autoup:NewProgram@61.152.103.189 下载autoup_inst.exe 安装autoup/winchk 安装很简单 选择操作系统 选择电信或网通 2017年3月11日2017年3月11日 操作实践

Octopod客户端的安装 2017年3月11日2017年3月11日 操作实践 Octopod客户端安装 客户端安装非常简单 双击后自动安装完成 2017年3月11日2017年3月11日 操作实践

Octopod简介1 Octopod操作平台 …… 2017年3月11日2017年3月11日 操作实践 跨平台的维护与管理 与设备平台共享数据，实现信息的流转 集成了大量的操作 严格的权限控制 详细的审计日志 全面的信息管理 多重条件的服务器查询 服务器分组批量操作 包含了安全、运维、游戏多种类型的操作 …… 2017年3月11日2017年3月11日 操作实践

Octopod简介2 查询服务器 Ip、MAC、区、组、名称等多种条件组合快速查找服务器 2017年3月11日2017年3月11日 操作实践

Octopod简介3 例1：查看系统用户 2017年3月11日2017年3月11日 操作实践

Octopod简介4 例2：查看病毒扫描结果 2017年3月11日2017年3月11日 操作实践

Octopod简介5 例3：查看进程打开的端口 2017年3月11日2017年3月11日 操作实践

Octopod简介6 例4：查看打补丁情况 2017年3月11日2017年3月11日 操作实践

Octopod简介7 例5：使用Octopod为服务器打补丁 2017年3月11日2017年3月11日 操作实践 若发现缺少补丁，则会安装相应的补丁 2017年3月11日2017年3月11日 操作实践

Octopod简介8 其它功能 2017年3月11日2017年3月11日 操作实践

Netview简介1 查看网络流量日常工作中必不可少的 Netview提供以下查看流量的方法 2017年3月11日2017年3月11日 按交换机 按防火墙 按电信端口 按机架 按项目、区、组 按IP、资产号 …… 2017年3月11日2017年3月11日 操作实践

Netview简介2 例1：查看某IP的流量 2017年3月11日2017年3月11日 操作实践

Netview简介3 例1：查看某IP的流量 2017年3月11日2017年3月11日 操作实践

Netview简介4 例1：查看某IP的流量 2017年3月11日2017年3月11日 操作实践

Netview简介5 例2：查看交换机上联端口的流量 2017年3月11日2017年3月11日 操作实践

Netview简介6 例2：查看交换机上联端口的流量 2017年3月11日2017年3月11日 操作实践

Netview简介7 正确区分 in和out（查看2950端口流量） out in 2017年3月11日2017年3月11日 操作实践 Cisco3550 out Cisco2950 in 2017年3月11日2017年3月11日 操作实践

Syslog初始化1 为服务器配置远程syslog 2017年3月11日2017年3月11日 操作实践

Syslog初始化2 服务器上会安装EvtSys服务 2017年3月11日2017年3月11日 操作实践

HIDS初始化1 HIDS策略 2017年3月11日2017年3月11日 操作实践 可通知HIDS管理员配置和定义 在Octopod中启动HIDS 2017年3月11日2017年3月11日 操作实践

HIDS初始化2 HIDS插件定制 2017年3月11日2017年3月11日 操作实践 项目组向HIDS管理员提出需求 系统软件开发部定制开发 HIDS管理员配置部署策略 例如： 曾为某项目组定制过检查进程的插件 定时检查某进程是否运行 发现进程停止运行，向事件平台报警 网络监控部发现报警事件后，进行处理或通知相关人员 2017年3月11日2017年3月11日 操作实践

IPSEC设置 使用工具实施IPSEC 编写批处理实施IPSEC 2017年3月11日2017年3月11日 操作实践

使用工具实施IPSEC 2017年3月11日2017年3月11日 操作实践 特点 缺点 图形化界面操作简单 对操作人员要求不高 只能关闭部分端口 不能全面保护主机 2017年3月11日2017年3月11日 操作实践

编写批处理实施IPSEC (1) ipsecpol.exe ipsec指派的策略 目前公司使用静态策略 IPSECPOL.EXE是微软resourcekit中带的安全管理工具 是IPSEC图形化管理界面(MMC)的命令行工具 可通过脚本方便的进行IPSEC策略配置 仅适合在windows 2000下使用 在windows server 2003下该工具名称为：ipseccmd.exe ipsec指派的策略 静态策略：策略指派后一直存在的，不受系统与服务重起的影响 动态策略：策略在指派期间有效，但是系统或者服务的重启会消失 目前公司使用静态策略 2017年3月11日2017年3月11日 操作实践

编写批处理实施IPSEC (2) 2017年3月11日2017年3月11日 操作实践 ipsecpol的几个常用参数 -w指定策略为静态模式 -p指定策略名称 -o清除-p指定的策略 -r指定规则名称，一个策略中可以有多个规则 -f指定过滤列表，若有多个规则可用空格区分 -x激活策略 过滤列表的格式 ip/mask:port=ip/mask:port:protocol ip代表IP地址 /mask为子网掩码 port为端口号 protocol为协议（TCP、UDP) =左边为源地址，=右边为目标地址 2017年3月11日2017年3月11日 操作实践

编写批处理实施IPSEC (3) 2017年3月11日2017年3月11日 操作实践 在编写批处理脚本时要注意的几个问题 ip/mask:port=ip/mask:port:protocol Ip/mask可以用*和0代替，*代表任意地址，0代表本机地址 例如 10.0.0.0/255.255.255.0 =代表规则对单方向有效，=也可换成+ +代表规则对两个方向都有效 -p选项后的策略名称相同则将规则添加到此策略中 -r选项后的规则名相同则新规则代替旧规则 2017年3月11日2017年3月11日 操作实践

ipsec策略举例 2017年3月11日2017年3月11日 操作实践 ipsecpol -w REG -p “shanda” -o ipsecpol -w REG -p "shanda" -f *=0:21:tcp -r "blockT21" -n BLOCK 向策略shanda中添加一条规则：禁止任何地址访问21端口 ipsecpol -w REG -p "shanda" -f 61.172.247.98=0:5631:tcp -r "allowT4" -n PASS 只允许61.172.247.98访问本机的 tcp 5631端口 ipsecpol -w REG -p "shanda" -f 61.172.247.98=0:5632:udp -r "allowU9" -n PASS 只允许61.172.247.98访问本机的UDP 5632端口 ipsecpol -x -w REG -p "shanda" 激活并执行策略shanda ipsecpol -w REG -p "shanda" -f *+0 -r "BLOCK123" -n BLOCK 问题：这条命令执行后会产生什么样的作用？ 2017年3月11日2017年3月11日 操作实践

IPSEC策略部署演示 IPSEC策略部署实例（命令行） 2017年3月11日2017年3月11日 操作实践