Ⅰ 交換機可否實現訪問控制功能如何實現
可以再上面創建acl 訪問控制列表
Ⅱ 邏輯安全的訪問控制可採取哪兩種措施
以下17個習題請同學們以小組形式進行課前預習,並取得共識。下節課我們以小組抽簽形式,隨機抽取題目,並立即由組內一名學生回答問題,答題正確全組成員都得10分。在某小組答題時,其他同學注意傾聽,其後可進行補充答題,凡補充答題正確,補充答題小組全體加1分。若某組答題不全面,全班無人補充,最後教師補充,則全班都扣1分。
分組表:A1組包括A1、B1、C1、D1座位同學;A2組包括A2、B2、C2、D座位同學,以此類推;E1組包括E1、F1、G1座位同學;E2組包括E2、F2、G2座位同學,以此類推。
題目:
1. 邏輯安全的訪問控制可採取哪兩種措施?
2. 信息加密的安全措施有哪兩種方法?
3. 物理安全中防靜電的最佳措施是什麼?
4. 防電磁泄漏可用哪三種方法?
5. 計算機病毒共有七個特徵,其中那四個特點是所有病毒共有的特點?
6. 討論如何正確使用殺病毒軟體?(可以根據以下討論:是否計算機殺毒軟體安裝越多越好;殺毒軟體是否萬能的,只要安裝了,就能殺防所有病毒;是否需要及時升級病毒庫等等)
7. 請分別說說防病毒軟體與防火牆的功能與特點(包括區別)。
8. 計算機信息安全分為物理與邏輯安全,物理與邏輯安全各包括哪些方面?並請判斷下面一個案例屬於哪個物理安全,一台計算機沒有聯網,也沒有人從中下載資料,但信息被人竊取。
9. 計算機環境維護需採取哪些措施?
10. 有一種病毒進入計算機後,一般人發現不了,但在某一特定時間發作,破壞計算機系統,根據以上情況,反映了病毒哪些特徵?
11. 針對計算機病毒,除可用防病毒軟體外,還需注意做到哪幾點?(簡單扼要敘述)
12. 當前計算機犯罪有哪些行為?我們經常收到一些垃圾郵件,討論為什麼會收到垃圾郵件,這應是哪種犯罪行為?
13. 預防計算機犯罪應從哪幾方面著手?其中青少年上網公約體現了哪方面的預防措施?
14. 目前計算機網路安全產品包括哪幾種?其中防火牆與網路入侵檢測產品的區別是什麼?
15. 請討論說出國內外5個著名的防病毒軟體。
16. 計算機病毒的定義是什麼?
17. 請討論說出計算機病毒與計算機木馬的本質區別。
教育站點伺服器主機的選擇
在選擇教育站點伺服器主機時,除了考慮諸如功能、性能和價格等因素外,更重要的要考慮安全需求,伺服器很多,但它們的安全性能是不一樣的,要使教育站點具有安全性就必須選擇滿足安全需求的伺服器,網路教育站點的安全需求一般包括:
⑴較小的易受攻擊性
⑵只能由授權用戶進行管理的限制能力
⑶拒絕訪問伺服器中沒有發布的信息的能力
⑷關閉操作系統或伺服器軟體中不必要的網路服務的能力
⑸訪問各種外部可執行程序(如CGI scripts、伺服器plug-ins)的可控能力
⑹為偵測入侵或企圖入侵,記錄教育站點伺服器活動的能力
2 教育網路分段及虛擬網路(VLAN)運用和劃分原則
對區域網來說,網路分段和VLAN的運用是保證教育網路安全的有效措施。
2.1 教育網路分段改善安全性能。
教育網路分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在於將非法用戶與網路資源相互隔離,從而達到限制用戶非法訪問的目的。教育網路分段可分為物理分段和邏輯分段兩種方式:
物理分段通常是指將網路從物理層和數據鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現對網路的物理分段。
邏輯分段則是指將整個系統在網路層(ISO/OSI模型中的第三層)上進行分段。例如,對於TCP/IP網路,可把網路分成若干IP子網,各子網間必須通過路由器、路由交換機、網關或防火牆等設備進行連接,利用這些中間設備(含軟體、硬體)的安全機制來控制各自網間的訪問。在實際應用過程中可採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性能控制。
2.2 運用VLAN改變安全性能
乙太網從本質基於廣播機制,但應用了交換和VLAN技術後,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。
由以上運行機制帶來的網路安全的好處是顯而易見的:
信息只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。
通過虛擬網設置的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。
2.3 VLAN 之間的劃分原則
VLAN 的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來劃分VLAN;可以將主要的伺服器系統單獨劃分作一個VLAN,如資料庫伺服器、電子郵件伺服器等。也可以按照教育機構、對象的設置來劃分VLAN,如可以按照教育機構伺服器管理員所在的網路單獨作為一個leader VLAN(LVLAN),其它層次的分別作為另一個或幾個VLAN,並且控制LVLAN與其他VLAN之間的單向信息流向,即允許LVLAN查看其他VLAN的相關信息,其他VLAN不能訪問LVLAN的信息。VLAN之內的連接採用交換實現,VLAN 與VLAN之間採用路由實現。
3 伺服器主機和伺服器軟體的配置
3.1 教育站點伺服器與內部網路隔離
公用伺服器主機是一個供公眾訪問的計算機,無論主機及其應用軟體配置的如何好,總會有人發現新的入侵點,入侵者可以觀察或捕獲到內部主機之間的網路通信,也可能進入內部主機,獲得更詳細的信息,為此需要把伺服器主機與內部網路隔離,如圖1所示。
圖1 WEB伺服器網路結構
3.2 在一個更安全的主機上維持一個可靠的教育站點內容拷貝。
當伺服器上的信息完整性受到破壞時,需要一個可信賴的拷貝來恢復.建議把一個可靠的信息拷貝存貯於與伺服器主機隔離的更安全的主機上(即放在網路防火牆內的內部網路上),並且除了教育站點管理員可以訪問這個拷貝外,其它用戶(無論是內部還是外部的)都不能訪問拷貝。
3.3 教育站點伺服器主機只提供基本的網路服務
現代的計算機具有可提供多種服務和應用的功能,如果多項服務和應用同時在一台主機上提供,會使主機的安全性能減弱,為此,應該按以下方法來配置教育站點伺服器:
⑴.盡可能多地關掉服務和應用,然後有選擇地打開那些基本的教育服務;
⑵.確定你打算支持教育伺服器的功能(如CGI腳本);
⑶.如果有其它的方法提供同樣功能,選擇更安全的方法;
⑷.一旦最少的教育服務和應用確定後,確保它們在主機上是可用的;
⑸.當所有配置選項確定後,為關鍵系統軟體生成並記錄加密校驗或其它完整校驗信息。
3.4 配置教育站點伺服器,增加安全性
由於不同的機構組織對公用站點的需求是不一樣的,因此伺服器軟體已提供了各種軟體配置選項以滿足不同站點的需求.省缺的配置設定可能是對「典型」站點的最優設定,當然這是銷售商想像的最優化,一般是基於性能需求或容易安裝來設定的.但在安裝教育站點伺服器軟體時,必須認真仔細地按安全需求配置伺服器.
⑴.配置教育站點伺服器日誌能力
教育站點伺服器日誌文件記錄著伺服器對每一請求的響應行為信息,分析這些日誌可以得到有用的用戶信息和安全信息.目前有許多日誌文件分析工具,大部分可對兩種標准日誌文件格式進行分析,這兩種格式是「Common Log Format」和「Extended Common Log Format」 ,伺服器應該配置成能生成兩種格式中任意一種格式的日誌文件。
⑵. 配置教育站點伺服器的輔助網路服務
一般教育站點伺服器可同時提供其它的網路服務,如文件傳輸協議(FTP),gopher協議,電子郵件或按受從客戶機來的文件上載等,為增加教育站點伺服器的安全性,在確定不需要這些服務的條件下,建議關閉所有的輔助服務
⑷. 配置教育站點伺服器的本地或遠程管理
利用教育站點主機控制台來管理教育站點,這樣可以控制在教育站點伺服器(防火牆外)與管理工作站(防火牆內)之間的網路傳輸,以增加安全性。
但是在許多情況下,教育站點伺服器管理不得不從遠程進行管理,這時必須要保證:
①.伺服器主機有很強的驗證用戶身份能力,特別要避免傳送明文口令,除非這是一個一次性口令。
②.伺服器主機只允許從某個特定遠程主機進行遠程管理
③.在管理主機與伺服器之間的網路傳輸不應有這樣的信息,這些信息如果入侵者截獲後,可訪問到伺服器或內部網路。
⑸.確定操作系統提供什麼樣的訪問控制
有些操作系統可以對教育站點服務的遠程訪問文件加以限制,這些進程可以限制為對某些文件的只讀訪問,而對一些文件不允許訪問。
⑹ . 利用文件訪問控制來實現:
①. 公用教育站點的內容文件只能讀,不能由伺服器管理進程來寫
②. 存貯教育站點內容的目錄不能由伺服器管理進程來寫
③. 公用教育站點內容文件只能由伺服器管理進程來寫
④. 教育站點伺服器日誌文件可由伺服器進程寫,但不能作為教育站點內容來讀
⑤. 教育站點伺服器日誌文件只能由管理進程讀
⑥. 任何由教育站點伺服器進程生成的臨時文件(如在生成動態頁面時所需的臨時文件)必須限制在某個特定的子目錄下。
⑺. 不允許目錄列表服務
按照教育站點協議(http),一個以斜杠結束的URL是請求列出一個目錄中的文件。按一般的規則,即使該目錄下的所有文件都是准備發布的文件,也不允許伺服器對這類請求有響應。這類請求表示試圖用非教育站點提供的方法來定位信息,當瀏覽有困難或鏈接斷裂了,用戶就可能企圖重新排序。入侵者可用此方法定位那些由教育站點介面隱藏的信息。可以從伺服器日誌文件中查出這類請求。
⑻.配置伺服器使之不能提供指定文件目錄數以外文件的服務。
具體的實現可以通過伺服器軟體本身的配置選擇,也可以通過操作系統選擇。必須避免在文件目錄樹中使用鏈接或別名,因為它指出了伺服器主機或網路中的其它文件。
⑼. 確保伺服器日誌文件或配置文件不能作為公用教育站點內容文件。
日誌文件應該存貯在伺服器主機上,而不是傳送到內部網路的另一台主機上,同樣,伺服器配置文件或參考文件也應保持在伺服器主機上。
利用伺服器配置選項和操作系統訪問控制,確保這些文件不能傳送給用戶,即使用戶知道這些文件的名字(URLs)。如果可能,把這些文件放在公用數據目錄樹以外的地方。
⑽. 當所有的的配置選擇完成好後,要為伺服器軟體生成一個密碼校驗或其它的完整檢驗基準信息。
4 網路教育站點伺服器管理
4.1 用安全模式管理教育站點伺服器
教育站點伺服器管理包括為伺服器增加新內容,檢查伺服器日誌,安裝新的外部程序以及改變伺服器配置等等。這些管理可以在伺服器控制台上完成,也可以通過網路在另一主機上來管理,無論從哪裡來管,一定要確保其安全性,特別是以遠程主機管理伺服器時,安全更加重要。
⑴.當選用遠程主機來管理教育站點伺服器時,應選用安全的方式來管理
①.教育站點伺服器主機應有很強的用戶身份驗證功能,要避免使用明文形式傳輸密碼口令。
②.教育站點伺服器從某一特定主機進行管理,主機的驗證不依賴於網路解析信息,如IP地址或DNS名等。
③.在管理員主機與伺服器之間的網路傳輸過程中,不應給入侵者提供訪問伺服器或內部網路的信息。
⑵.如果允許,可使用活動存貯介質把教育站點的內容拷貝到教育站點伺服器上。
⑶ .當需要在另一台主機上檢查伺服器的日誌文件時,要用安全方法把日誌文件傳送到那台主機上。
⑷.當伺服器的配置或站點內容改變後,要生成一個新的加密校驗或其它的完整校驗信息。
4.2 檢查目錄和文件有無意外的改變
網路環境中的文件系統包括了大量軟體和數據文件,目錄和文件的意外改變,特別是那些訪問受到限制的目錄和文件的意外改變,表明發生了某種入侵。入侵者為了隱藏他們在系統中的存在,通常用相同功能的程序替換系統的原有程序並修改日誌文件,或在系統中生成新的文件。所以,利用檢查系統的目錄和文件的更改信息的方法,可盡早發現入侵。
⑴. 為系統文件建立優先順序和檢查時間表。
⑵. 對關鍵文件和目錄一個權威參考數據,這些數據包括:
·在文件系統中的位置
·可選擇的路徑
·文件的內容、目錄的入口
·實際長度、如可能還應有分配的單元
·文件和目錄生成和最後修改的時間、日期
·所屬權和訪問許可設定
⑶. 按照建立的計劃,用權威參考數據比較文件的屬性和內容,查驗目錄和文件的完整性。
⑷.查驗丟失的文件或目錄
⑸.查驗任何新的文件和目錄
⑹.調查已發現的任何意外改變的原因
4.3 檢查系統和網路日誌
日誌文件記錄了系統和網路中發生的異常和意外活動,入侵者經常在日誌文件中留下了其活動的足跡,因此定期地檢查系統和網路日誌是發現入侵者的方法之一。日誌文件依操作系統、運行的應用軟體和配置的不同而不同,表1給出了典型的日誌文件包含的信息。
Ⅲ 根據策略來控制網路訪問通斷的設備有哪些
伺服器、防火牆、交換機、路由器,客戶機。
一個有效的網路訪問控制策略應該將那些不法之徒阻擋在外,並只能根據內部人員的身份、所連接的地點、所連接的時間等,確保其訪問網路資源。同時,一個有效的網路訪問控制應該使企業的網路保持靈活性。 下面我們看一些實現有效的網路訪問控制的具體措施:
一般說來,你可以根據你的業務因素,從以下三種訪問控制方法中進行選擇以滿足你的網路需要:
●IEEE 802.1X
●Web身份驗證
●MAC身份驗證
選擇一個網路架構設備
網路架構設備,如交換機、接入點和WAN路由器可以提供對RADIUS驗證的支持,並且支持上述全部的驗證形式。這些設備可以直接控制客戶端與網路的連接。考慮到不同邊緣設備的不同性能,任何增強安全策略的特定設備的能力都依賴於所用的訪問控制方法以及客戶端是否在尋求一個有線或無線的連接。
選擇RADIUS伺服器
遠程身份驗證撥入用戶服務(RADIUS)是一個工業標准協議,可以提供身份驗證、授權和賬戶服務;它用在提供用戶網路訪問的設備與對進入的用戶進行身份驗證的設備之間。RADIUS定義了三種公共的部件:
●訪問客戶
●網路接入(訪問)伺服器
●RADIUS伺服器
即使你有多種多樣的應用環境,你也只能在網路中使用一種類型的RADIUS伺服器(例如,你可以使用微軟的IAS伺服器或者FreeRADIUS)。在這方面,你應該根據網路中的所用的應用環境選擇自己的RADIUS伺服器。這也是對一個中央用戶資料庫進行投資(LDAP或者活動目錄)的時機。
選擇EAP方法(如果使用802.1x的話)
只有在你使用802.1x訪問控制方法時,可擴展身份驗證協議(EAP)的方法才具有重要意義。你需要考慮兩個因素:客戶對網路的驗證和網路對客戶的驗證。
集成所有的網路段
一旦你部署了網路中各種不同的分段,你就可以通過將所有的分段集成到一個統一的總體中來實施優化。
考慮採用身份驅動管理
身份驅動管理(IDM)提供了基於用戶身份而不是網路設備的網路訪問控制,它允許你在網路的中心設置一個網路訪問策略的實施,並將它動態地運用於網路的邊緣。
通過上述的措施你應該已經部署了一個比較健全的NAC方案。
Ⅳ 交換機訪問控制列表的問題
首先,你要清楚一個問題就是
在交換機、防火牆等設備的訪問控制里系統默認的最後一項就是
DENY ANY TO ANY
無需人工配置
訪問控制列表它就是逐行匹配,系統最後默認禁止任何訪問。
你需要做的就是配置你需要的,比如:
1.ALLOW 192.168.1.0/24 TO 192.168.2.0/24
.........
工作時系統就按規則來,一條一條,從上到下,從第一條規則開始。就是按照ACL標號順序。
如果都不匹配,則匹配最後一條。
DENY ANY TO ANY
結束它的訪問。
所有的網路設備都遵循這個原則,一樣的。
你的問題:
1.DENY ANY TO ANY
2.ALLOW 192.168.1.0/24 TO 192.168.2.0/24
當192.168.1.1,發送一條信息的時候,在第一條就禁止了,然後不再看第二條了。
你這里的第一條配置的多餘,去掉把。只配置你需要的,允許它訪問的,不允許的系統最後都默認禁止了,無需配置。
希望能幫到你。呵呵。