网络安全实训报告
于确保安全 HTTP 访问的默认设置。但是,应该根据特定的部署方案,自定义这些默认设置。 例如,对于 Web 发布方案,应允许下列方法:OPTIONS、TRACE、GET、HEAD以及 POST。
阻止特定签名时,阻止的是通过 HTTP 建立隧道通讯以及可通过请求头、响应头和正文中的特定模式来描述的应用程序(如 Windows Messenger)。HTTP 签名阻止不会阻止使用不同类型的内容编码或范围请求的应用程序。 它假定所有 HTTP 请求和响应都采用 UTF-8 编码。如果使用的是另一编码方案,将不会执行签名阻止。 HTTP 筛选器不支持折叠的 HTTP 头,如 RFC 2616 中的定义。
3.5 实现安全的 VPN 解决方案
NetEye VPN作为企业的一个网络设备放在企业的内部网中,系统管理员通过集中式的管理工具可以在不同的分支机构之间建立安全隧道;并且设置不同用户或用户组的访问控制规则,从而对网络中的信息流有选择地处理,提高用户网络的性能。下图是NetEye VPN为企业提供VPN服务的拓朴结构图如图3.13
图3.13 VPN拓扑结构图
从上图可以看出,NetEye VPN提供了三种类型的VPN服务:一种是企业内部VPN, 即企业部与企业分支机构之间建立的网络到网络的VPN;第二种是企业外部VPN,即企业内部网与其合作伙伴、供应商、客户之间建立的VPN;第三种就是远程访问VPN,即远程移动用户或在家工作的企业员工通过与本地ISP连接,并与企业内部网建立的VPN。
14
网络安全实训报告
3.6 规划和配置身份验证和授权策略项目
管理安全组的工具如图3.14
图3.14 管理安全组的工具
在服务器操作系统中信任使用的身份验证方法如图3.15
图3.15 身份认证方法
与服务器操作系统相关的信任类型如图3.16
15
网络安全实训报告
图3.16 信任类型
3.7 安装和配置证书颁发机构及部署和管理证书
PKI 和证书颁发机构简介
PKI是基于公钥算法和技术,为网上通信提供安全服务的基础设施。 PKI 是应用程序和加密技术的组合,可以让组织保护其通信和业务事务 是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。 管理证书
应用程序检查证书状态的方法、证书验证测试、多媒体演示:证书链引擎、吊销证书的原因码、证书服务发布 CRL 的方式、CRL 发布间隔的规划标准、发布 CRL 发布点的位置、修改发布位置的方法
3.8 加密文件系统的规划、部署和故障排除
EPS简介
EFS 能为 NTFS 磁盘卷上的文件提供文件级别的加密 EFS 的默认配置无需管理工作——用户可以立即开始加密文件 EFS 使用对称和非对称加密算法来加密文件 EFS 的工作原理
当用户初次加密文件时,EFS 会在本地证书存储区内寻找供 EFS 使用的该用户的
16
网络安全实训报告
证书 (公钥)
如果证书可用,EFS为该文件生成一个随机数,作为文件加密密钥(FEK,File Encryption Key),并用它加密文件,加密算法可用DESX、3DES(Data Encryption Standard)、AES等对称加密算法
如果证书不可用,EFS向联机的CA申请证书,如果不存在CA,则计算机生成自签名证书
EFS用证书中的公钥采用RSA(Rivest、Shamir、Adleman)加密算法对FEK加密 EFS将加密后的FEK存储在该加密文件的头中的DDF(Data Decrypton Field,数据解密字段)中
如要实现加密文件共享,可用共享人的公钥对该文件的FEK加密,一起存在DDF中,DDF上限为256K,最多可存大约800个证书 使用 PKI 的域环境中规划和实现 EFS
在使用 PKI 的域环境中规划 EFS 的指导方针 确定计算机上是否在使用 EFS 的方法 更改域的恢复策略的方法 迁移到新证书的方法
在 Windows XP 中启用 3DES 算法的方法 在关机时清除页面文件的方法
17
网络安全实训报告
总 结
通过对这次论文编写,把平时学习中学到的知识运用了到其中。同时也加深了我对平时学习中所没有接触过的知识的一个了解。从而提升了自己各方面的能力使我收益非浅,能够初步的从网络的安全组建进行设计与规划,把vpn运用在企业网络中和相关的网络基础知识等。虽然我开始时遇到了很大困难,但是通过平时的学习和老师,同学的帮忙,最终都能够解决。
通过这次的设计让我明白了自己很多的不足,但是也学会了很多。如利用各种方法去解决问题,而且去寻找问题的症结才能对症下药。在那个的来说这次实践让我学会了很多要组建一个完善的校园网络我还应该考虑更多,去学习更多如校园的先进性、可靠性、经济性、可管理性、可扩展性和安全性等需要更深一步去了解。
18