局域网管理维护与故障排除概述
[时间:2011-2-2]  [文章来源:上海百络]  [责任编辑:master]

    局域网管理维护与故障排除概述

    v      熟悉网络防火墙

    v      在局域网中安装和配置Ipsec

    v      构筑网络安全访问防火墙与局域网管理软件

    案例目标

            通过本章的学习,让用户从更深层次上认识保证网络安全的有利武器,并了解其相应的特点功能。通过相应的设置工作保证网络的安全,为局域网的安全防护保驾护航。

     

     

    准备工作

    材料准备

    1)熟悉什么是IPsec标准

    2ISAServer2004安装软件

    知识准备

                在局域网的维护过程中免不了要使用网络防火墙,因此,就必须在使用之前了解一下,所使用的防火墙是否具有如下特性:

          1)安全、成熟、国际领先的特性以及专有的硬件平台和操作系统平台。

          2)采用高性能的全状态检测(Stateful Inspection)技术。

          3)具有优异的管理功能,提供优异的GUI管理界面。

          4)支持多种用户认证类型和多种认证机制,支持内容过滤以及动态和静态地址翻译(NAT)。能够与入侵检测系统互动。

     

    准备工作

    v      知识准备

    5)支持用户分组以及分组认证和授权。

    6)支持高可用性,单台防火墙的故障不能影响系统的正常运行。

    7)支持本地管理、远程管理、日志管理和对日志的统计分析。

    8)实时告警功能,在不影响性能的情况下,支持较大数量的连接数。

    9)在保持足够的性能指标的前提下,能够提供尽量丰富的功能。

    10)可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯。

    11)支持在线升级、虚拟防火墙及对虚拟防火墙的资源限制等功能。

     

    在局域网中配置与应用IPsec

     

    v      VPN的实现方法

                 VPNVirtual Private Network(虚拟专用网络)的简称,是专用网络的延伸,包含了类似Internet的共享或公共网络连接,通过VPN可以模拟点对点专用连接的方式,通过共享或公共网络在两台计算机之间发送数据。

     

                 因为VPN具有良好的保密性和不受干扰性,能使连接的双方进行自由而安全的点对点连接,从而受到广大用户的青睐,究竟这个VPN是如何实现的呢?

    在局域网中配置与应用IPsec

    v      VPN的实现方法

     

           下面就来介绍一下如何通过路由和远程访问实现VPN的方法。

            1.搭建VPN服务器

            使用VPN可以在实际的应用过程中保证局域网的安全,要想使用VPN,首先就需要搭建VPN服务器。

            2.赋予用户权限

           如前所述,尽管VPN的保密性非常好,但并不是任何人都可以使用VPN服务器的,只有赋予权限的用户才有使用权,所以赋予用户权限是一项不容忽视的工作。

           3. 创建VPN连接

           VPN服务器的搭建工作已完成,接下来的工作就是创建相应的连接了。

           4. 实现VPN的连接

           完成安装设置工作之后,接下来就是实现VPN的连接了,被赋予权限的用户可以拨入VPN服务器,发挥其独特的功能。

    在局域网中配置与应用IPsec

    Windows内实施IPsec策略

            Windows内实现IPsec策略之前必须了解IPsec的相关知识,即IPSec实施在组策略的级别。组策略是分级的,并且多种组策略要素可以被结合来创造整体系统策略。这意味着可以针对多种形势建立多种IPSec策略,而不是整个系统拥有一个空的策略。

           另外就是IPSec策略并不普遍兼容。微软首先在Windows 2000种引进了IPSec策略,因此运行Windows 2000/XP2003的系统中均可以使用IPSec策略。

            Windows内实施IPSec策略实际上是指服务器、客户端和安全服务器3种策略。有一点需要说明的是:这种服务器策略并不一定非得用在服务器上,还可以用在客户端上。

    l       服务器策略

    l       客户端策略

    l       安全服务器策略

    Windows内实施IPsec策略

    了解相关的策略之后,就是实施IPsec策略了。不过还要根据用户构成网络的系统类型进行相应策略的实施,如果用户拥有Windows 2000Windows 2003服务器,并和运行各种操作系统的工作站在一起,则应该在机构中所有的机器上应用服务器 IPSec策略。

            这样,运行IPSec策略的所有主机之间的每个会话就均需IPSec加密。尽管如此,服务器策略并不提供任何保证。如果一个计算机拒绝使用IPSec加密,则会话将不被加密。

           另外,通过设置组策略使得所有服务器之间的通信都需要IPSec加密。这样,就可以知道服务器之间的通信将是安全的,然后为其他的选择可使用的加密。

            此时的活动目录需要均被已有服务器、域控制器和计算机的容器对象,只用创建两个不同的组策略对象即可,一个是基于安全服务器策略,另一个是基于服务器策略。基于服务器策略对象的组策略对象不经修改就可以用于计算机容器。

            然而,基于安全服务器策略的策略对象不能按照原样使用。如果用户按照当前的形式使用这种策略,所有的服务器通信都将被加密。相反,一定得使用策略对象的过滤器功能来创建一个过滤器,这个过滤器将过滤服务器之间所有需要IPSec加密的通信。

            为了做到这一点,将过滤器构建在IP地址和网段之上。还应该为所有没在过滤列表中但又安全要求的通信设计策略。然后服务器之间的通信的加密得到了保证,并且服务器和工作站之间的通信的加密也可以请求(而非要求)。

    v      全面认识防火墙

    防火墙是一个或一组在网络之间执行访问控制策略的系统。实现防火墙的实际方式各不相同:有以硬件实现的防火墙,也有以软件实现的防火墙,甚至还有通过软硬件结合形成的防火墙。

     

            防火墙原则上是一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通行。简单点说就是有这样一堵竖立在目的计算机和黑客的计算机之间,可以防止黑客对用户计算机进行入侵。但这堵墙却不会影响用户把数据传送出去。

     

            也就是说,没有了防火墙,用户连接着网络的计算机就像主人离开却没有锁门的房子,别人有可能会有意无意地闯进去扫荡一空。

    v      全面认识防火墙

    1. 防火墙的功能和缺陷

            所谓防火墙其实就是一个位于计算机和它所连接的网络之间的软件,对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。它还可以关闭不使用的端口,而且还能禁止特定端口的流出通信,封锁木马的置入途径。最后,它还可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

     

            防火墙的主要功能有如下几点:

     

            网络安全的屏障

            强化了网络安全策略

            防火墙能对网络的存取和访问进行监控审计

            防止内部信息的外泄

    2. 防火墙的结构

            防火墙结构虽然有很多种,但总体上却可以分为包过滤型应用代理型两大类。包过滤型以美国Cisco公司的PIX防火墙为代表;而应用代理型以美国NAI公司的Gauntlet防火墙为代表。

            下面简单介绍一下这两种防火墙的特点:

            1. 包过滤防火墙

            包过滤防火墙检查每个通过的数据包或丢弃或允许通过,是允许通过还是丢弃取决于所建立的一套规矩。在本质上,包过滤防火墙有两个或两个以上网络适配器或接口。包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,工作流程如图所示。

     

    2. 应用代理型

            应用代理型防火墙工作最高层,即应用层。它完全阻隔了网络通信数据流,通过对每种应用服务编制专门的代理程序,实现监控应用层通信数据流的目的。如图所示即为应用代理型防火墙的网络结构示意图。

     

     

    2. 选购适合的防火墙

           用户在选购防火墙时,需要注意如下几方面的内容:

         1)防火墙的种类

         2)用户节点数

         3)折衷考虑

         4NAT功能

         5VPN功能

         6)日志功能

         7)防火墙的规则

           另外,用户还需要知道,防火墙是否支持自动次序独立规则,因为防火墙上的规则需要排成非常特定的次序,否则将无法进行正常工作。

    选用合适的局域网管理软件上网行为管理软件作为补充

     

     



    [关闭本页]
  关键词:  局域网管理
首页 |  局域网监控软件使用说明 |  局域网管理软件用户问答 |  网络管理软件典型案例 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证