长治职业技术学院信息工程系毕业设计
- 17 -
长治职业技术学院信息工程系毕业设计
第三章 网络服务的安全配置
一、网络服务
仅仅安装完操作系统是不行的,此时的服务器还没有提供各种网络服务,因此需要对服务器进行一系列的设置。下面介绍几种特别重要的网络服务。 1、DNS服务
DNS(域名解析系统)是基于TCP/IP的网络中最重要的网络服务之一,最主要的作用是提供主机名到IP地址的解析服务。在Windows 2000 Server 组成的网络中,DNS服务居于核心地位,如果没有DNS,Windows 2000网络将无法工作。所以在Windows 2000网络中,至少要有一台DNS服务器。 2、域控制器
在Windows NT/2000中有“域”的概念。带有“域”的网络能够实现“单一账号单录,普遍资源访问”,也就是说只要在域控制器上有一个合法账号,就可以访问域中其他的服务器的资源。如果没有域控制器,只能构成一个对等网。对等网在权限控制、资源管理上是很麻烦的。因此首先要在网络中安装域控制器;如果网络中已经有了域控制器,可以不必再安装域控制器,但可以将这台服务器设置成备份域控制器,当一台域控制器出故障的时候,另外一台域控制器可以接替它的工作。 3、DHCP服务
DHCP(动态主机配置协议)是服务器向其他客户机提供IP地址以及其他网络服务的IP地址(如DNS、默认网关的IP地址等)的网络服务。数量在几十台以上的计算机网络中,使用DHCP会带来很大的方便,客户机的IP地址、DNS的IP地址、默认网关的IP地址等都可以实现自动分配,这会大大降低网络的管理难度。除非只有几台计算机,否则都应该采用DHCP。 4、Web服务
Web服务是服务器提供的基本功能,尤其是在校园网中,怎么可能没有校园主页呢?在将校园网主页的数据复制到服务器中之后,需要重新设置一下Web服务,使校园网主页能够正常运转。
- 18 -
长治职业技术学院信息工程系毕业设计
二、网络服务安全管理
(一)关闭不需要的服务
只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000/2003的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。 (二)关闭不用的端口。
(三)只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口.
常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3(邮件服务)。
常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。
Windows的每一项服务都对应相应的端口,比如众如周知的www服务的端
口是80,smtp是25,ftp是21,win2000/XP安装中这些服务都是默认开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭了无用的服务。 关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 2、关闭80口:关掉WWW服务。在“服务”中显示名称为\Publishing Service\,通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它
- 19 -
长治职业技术学院信息工程系毕业设计
提供的功能是跨网传送电子邮件。
4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。关闭139端口的方法是在“网络和拨号连接”——“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在以上各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。
(四)禁止建立空连接
Windows 2000/XP的默认安装允许任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。 (五)限制不必要的用户数量
去掉所有的duplicate user 账户, 测试账户, 共享账户,普通部门账户等等。用户组策略设置相应权限,并且经常检查系统的账户,删除已经不在使用的账户。这些账户很多时候都是黑客们入侵系统的突破口,系统的账户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统账户超过10个,一般都能找出一两个弱口令账户。我曾经发现一台主机197个账户中竟然有180个账户都是弱口令账户。 (六)创建2个管理员账号
- 20 -
相关推荐:
loading