内容发布更新时间 : 2025/2/13 4:50:32星期一 下面是文章的全部内容请认真阅读。

第8章 网络安全管理

学习目标：

了解系统安全的概念，了解Windows 2000 Server所提供的安全机制；掌握实现计算机安全管理的安全策略配置；掌握实现计算机网络安全保护的防火墙配置；掌握实现远程客户安全访问本地局域网的RAS和VPN配置；掌握终端服务的配置和系统性能的监视及优化；了解Windows 2000 Server安全检查和评估的基本内容。

本章主要内容：

? ? ? ? ? ?

网络安全概述

网络安全配置与分析 RAS配置与管理 VPN配置与管理 终端服务

系统性能及安全评估

教学难点：

安全策略配置，防火墙配置，RAS和VPN配置，终端服务的配置和系统性能的监视及优化。

本章项目概述：

1、“本地安全策略”的配置

了解Windows 2000 Server的安全机制和“本地安全策略”配置的主要内容，掌握基本的“本地安全策略”配置和“事件查看器”的使用，

2、Windows 2003“防火墙”的配置（可选）

了解Windows 2003 的“Internet连接防火墙”的配置。 3、RAS的配置与管理

了解远程访问的概念和作用，掌握Windows 2000 Server 的RAS远程访问服务器的配置与管理，掌握RAS远程访问客户机的配置。

4、VPN配置

了解VPN的概念、使用的安全协议，掌握VPN服务的配置和管理。 5、终端服务的安装和使用

了解终端服务的概念和作用，掌握终端服务的安装和使用。

第一节 网络安全概述

了解网络安全的总体目标和Windows 2000 Server在那些方面提供了相应的安全机制。 网络安全一般是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，确保系统能连续可靠正常地运行，网络服务不中断。网络安全包括物理安全、逻辑安全、操作系统安全和联网安全等，Windows 2000 Server为保证系统的安全提供了各种相应的安全机制，主要包括：

140

? 分布式环境下的用户身份验证 ? 访问控制机制

? 动态目录服务（Active Directory Service） ? 数据加密服务 ? 统一的安全策略

? 安全部署应用程序（确保运行在其上的应用程序的安全性） ? 辅助日常管理任务 ? 其他

总的来说，计算机系统安全的目标主要在于提供完整性、控制、可用性和审核。

? 完整性：计算机系统必须保证准确性、可靠性以及机密性，系统存储的数据是可靠

的和安全的，并且用户所要求进行的任何数据操作都必须准确执行并且不会被篡改。

? 控制：对计算机系统的访问以及对其资源的分配都是在管理控制下进行的。

? 可用性：当用户试图对一个系统、应用程序或数据文件进行访问时，它总是准备好

的、可使用的。

? 审核：检查某件事是否按照它被期望的方式进行的过程。

第二节 网络安全配置与分析

一、认证

认证是一个实体（一台计算机、一个人或其他任何东西）向另外的实体证明其身份的能力。

其他的认证系统

? 相互认证（如客户和服务器的相互认证） ? 计算机到计算机的认证

? 认证算法（如Kerberos,可以使得口令信息在被输入系统后更能抵抗电子攻击） ? 证书的使用（在密钥分配中起辅助作用的数据结构） ? 某些特殊设备

? 智能卡（如信用卡般大小的设备，上面有嵌入式的芯片，芯片中包含认证信息） ? 生理特征识别设备（它依靠人体的某些生理特征来进行认证） 二、授权

授权是用来发现用户是否有权进行他所请求进行的活动的过程。 三、审核

审核是检查某件事是否按照它被期望的方式进行的过程。Windows 2000 Server在默认情况下并不起用审核功能，但可以通过设定一种审核策略来启用。

审核可追踪的事件： ? 用户的登录与注销 ? 验证用户帐户

? 文件、文件夹与打印机的访问 ? 用户帐户与组的变更

? 访问Active Directory对象 ? 关机与重新启动 四、安全策略

安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包含当规则不被遵守时会激发的规程动作的一个表达。

141

IPSec是一个标准的网络协议，用来保护网络上的两台计算机之间的通讯。它被用于加密虚拟专用网（VPN）中传递的数据，还用于协商一条安全的连接，和对两个计算机间传输的数据进行加密。

表8-1：IPSec的三种默认策略

服务器（要求安全性） 这种服务器会请求加密的通讯，但它也不会拒绝一条来自不能加入此机密通讯的客户的连接 安全服务器（要求安全性） 客户机（只响应） 这种策略要求安全、加密的通讯，它不会加入任何不加密的通讯。 具有这个策略集合的计算机不会要求协商或加密的通信。如果它被邀请加入，它就会加入。 五、病毒防治 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

病毒具有传染和破坏的作用，Internet 的发展孕育了网络病毒。 反病毒技术包括检测病毒和杀病毒两方面，而病毒的清除都是以有效的病毒探测为基础的。对病毒的防治主要通过安装杀毒软件和良好的系统管理运行机制来实现。

六、放火墙

防火墙主要是通过防止对网络进行未授权访问来保证网络的安全性，防火墙一般既可以由硬件设备也可以由软件来实现。

Windows 2003 提供的防火墙称为Internet连接防火墙，它允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。

项目一：“本地安全策略”的配置

项目环境：操作环境要求一台运行Windows 2000 Server的计算机，网络地址为192.168.1.x，配置“本地安全策略”须具有Administrator组权限。

1、单击“开始”→“程序”→“管理工具”→“本地安全策略”→单击“树”窗口中“帐户策略”下的“密码策略”→双击“密码长度最小值”条目→输入需要设定的最小密码长度→确定→双击“密码必须符合复杂性要求”条目→启用“密码必须符合复杂性要求”策略→确定。

142