配置本地安全策略
配置本地安全策略———端口的保护
IP安全策略设置方法
一、适用范围:
它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通过:控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。
二、找到“IP安全策略,在本地计算机”:
“IP安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:1是点“开始”-“运行”-输入secpol.msc,点确定;2是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。右击它,在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。
三、建立新的筛选器:
1、在“IP安全策略,在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单,打开“管理IP筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签,在“IP筛选器列表”下的文本框下面能看到三个按钮:“添加”、“编辑”和“删除”。
2、点“添加”按钮,打开叫做“IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的“编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用‘添加向导’”这样的文本说明。
3、取消默认的对“使用‘添加向导’”的勾选,在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入:“病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号(可
以用复制、粘贴来操作),主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。
这时可以点“确定”按钮,保存本“筛选器”。但由于它没有任何内容,所以会蹦出来“IP筛选器列表警告”对话框,提示“这个IP筛选器列表是空的。没有匹配的IP数据包。您想……吗?”,因为保存是目的,所以选择“是”。
4、这里我们不点“确定”,不保存空的筛选器,直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的,具体方法见下一步。
四、添加“筛选器”要操作的端口:
1、点“IP筛选器列表”对话框中的“添加”按钮,打开“筛选器属性”对话框。这个对话框里面有三个标签:“寻址”、“协议”和“描述”。
2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们现在要做的是“进入端口”的阻止设置,也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统,所以我们在“源地址”下选择“任何IP地址”,在“目标地址”下选择“我的IP地址”,取消对“镜像……”复选框的勾选;如果是做“出端口”则在“源地址”下选择“我的IP 地址”,在“目标地址”下选择“任何IP地址”,同样不选择“镜像”。
3、在“协议”标签下,默认状态下只有“选择协议类型”选项框可操作。点一下选项框右边的小三角按钮,打开选项列表,根据端口的协议类型来选择(我们可以操作的主要是“TCP”和“UDP”,在下面所列的“要做的筛选器”下要做的筛选器列表如:“病毒常驻端口”、“打印与共享”等,在它们下面所列的端口号前面都用括号把相应的类型做了标记)。选择了类型后,下面的“设置IP协议端口”成为可选状态,因为不允许别人进,所以就在上半部保留默认选择的“从任意端口”,在下半部选择“到此端口”,选择之后它下面的文本框变成可操作状态,在里面输入一个端口。因为每次只能输入一个端口,所以要做多少个端口就得操作多少次。这一步如果是做“出端口”,则应在选择好“协议类型”后在“设置IP 协议端口”的上半部选择“从此端口”,然后输入一个端口,下半部保留默认选择的“到任意端口”。
4、在“描述”标签下只有一个“描述”文本输入框。可以在里面输入自己心仪的描述。通常只对入端口做描述:阻止任意地址任意端口访问我的***端口。然后点“确定”,完
成对这个端口的操作。因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定,所以想加快速度,可以先做描述,再做协议,端口输入“回车”就“确定”了。也可以不作描述,这样更快。
5、确定后,在“IP筛选器列表”对话框下的“筛选器”下的文本框中就能看到刚才添加的“筛选器”了。这里说的“筛选器”,事实上就是我们刚才添加的“端口”,可以拖动下面的滚动条查看咱们刚才或叫以前输入的内容是否正确,如果有误,可以双击它打开进行修改。也可以选中它后点“编辑”按钮进行修改,当然也可以点“删除”按钮删除它。
6、“病毒常驻端口”后所列的端口添加完后,在“IP筛选器列表”对话框下点“确定”按钮,完成对“病毒常驻端口”的操作。
五、如法炮制,完成对全部筛选器的添加:
完成对“病毒常驻端口”的操作后,返回到“三”-“2”之步骤,继续添加“打印与共享端口”等,直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。
六、创建“IP 安全策略”并添加“筛选器”和“筛选器操作”:
1、创建“IP安全策略”。在“本地安全设置”对话框中左边的树状图中找到“IP安全策略,在本地计算机”,右击,选择“创建IP安全策略”,出来“IP安全策略向导”对话框;点“下一步”,出现副标题为“IP 安全策略名称命名……”的对话框,下面有两个文本框,自上而下是“名称”和“描述”。这里不用描述,直接在“名称”下输入自己心仪的名字就行,为表述方便,假定取名为“我的IP安全策略”;点“下一步”,出来副标题为“安全通讯请求指定……”的对话框,只有一个“激活默认响应规则”的复选框,取消对它的默认勾选,点“下一步”,到“完成”对话框,也只有一个“编辑属性”的复选框,取消对它的默认勾选,点“完成”。这样在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。
2、选中它,点操作菜单,点“属性”;或右击它点“属性”;或双击打开它,出来“我的IP安全策略属性”对话框。里面有两个标签:“规则”和“常规”。我们只对“规则”做操作。在“规则”下只有一个“IP安全规则”文本框,同样这里不能直接输入,点下面的“添加”按钮,出来“新规则属性”对话框,里面有五个标签,我们需要操作的是“IP 筛选器列表”和“筛选器操作”标签。选择“IP筛选器列表”标签,在“IP筛选器列表”文本框中能看到刚才创建“病毒常驻端口”等筛选器了。
3、选择第一个或最后一个(因为每次只能添加一个,这样方便下面依次操作),为方便表述,咱们假设选择“病毒常驻端口”。这里的“选择”,指的是在筛选器前面的复选圈中点上小黑点,这样就“选择”上了。
4、选择上后,不做任何操作,转而选择“筛选器操作”标签,这里有个“筛选器操作”列表框,我们要到这里去选择“阻止”。通常这里没有“阻止”,这就需要添加。点列表框下的“添加”按钮,出来“新筛选器操作属性”对话框,下面有两个标签,“安全措施”和“常规”。在“安全措施”下找到“阻止”,在它前面的复选框中点上黑点,再选择“常规”标签,把“名称”下文本框中默认的“新筛选器操作”改为“阻止”。点“确定”,自动返回到“筛选器操作”标签,这下在“筛选器操作”列表框中看到“阻止”了,把它前面的复选圈中点上黑点(选中它),点“确定”。
5、点“确定”后,自然返回到“我的IP安全策略”对话框,这下在“IP安全规则”下的“IP筛选器列表”下就能看到刚才添加上的“筛选器操作”为阻止的筛选器了。
七、如法炮制,完成对“IP筛选器列表”中所有筛选器的添加:
返回“六”-“2”的步骤,事实上只要不停电,或没有关闭窗口,目前应该就在这一步,点“IP安全规则”列表框下的“添加”按钮,把“IP筛选器列表”中所有的,事实上也是我们刚才做的筛选器逐一、全部添加进去。
八、指派“我的IP安全策略”:
上面的工作完成后,回到“本地安全设置”对话框,在右边的名称标签栏下找到“我的IP安全策略”,选中它,到“操作”菜单或右击它,选择“指派”。
要做的筛选器
病毒常驻端口:
(UDP) 1026 69 (TCP) 135 443 4444
打印与共享端口:
(UDP) 137 138 (TCP) 139 445
木马入端口:
木马入1 (TCP) 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989
木马入2 (TCP) 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 23 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3024 3128 3150 3210 3333 3996 30303 30999 31338
木马入3 (TCP) 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 5000 5550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 7789 80 99 9400 9401 9402
其它入(UDP) 139 1433 445 53(TCP)113 121 1029 1068 1080 1092 2023 20168 23444 23445 30129 4899 4950 43958 45576 53 520 5001 5554 5800 5900 50505 660 6000 6129 6771 6939 707 7511 808 8011 8102 8888 9995 9996
木马出端口:
木马出1 (TCP) 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989
木马出2 (TCP) 19 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3024 3128 3150 3210 3333 3996 30303 30999 31338
木马出3 (TCP) 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 5000 5550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 7789 80 99 9400 9401 9402
配置本地安全策略———加密的保护
IP安全策略设置方法
一、适用范围:
它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通
过:控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。
二、找到“IP安全策略,在本地计算机”:
“IP安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:1是点“开始”-“运行”-输入secpol.msc,点确定;2是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。右击它,在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。
三、建立新的筛选器:
1、在“IP安全策略,在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单,打开“管理IP筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签,在“IP筛选器列表”下的文本框下面能看到三个按钮:“添加”、“编辑”和“删除”。
2、点“添加”按钮,打开叫做“IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的“编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用‘添加向导’”这样的文本说明。
3、取消默认的对“使用‘添加向导’”的勾选,在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入:“病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号(可以用复制、粘贴来操作),主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。
这时可以点“确定”按钮,保存本“筛选器”。但由于它没有任何内容,所以会蹦出来“IP筛选器列表警告”对话框,提示“这个IP筛选器列表是空的。没有匹配的IP数据包。您想……吗?”,因为保存是目的,所以选择“是”。
4、这里我们不点“确定”,不保存空的筛选器,直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的,具体方法见下一步。
四、添加“筛选器”要操作的端口:
1、点“IP筛选器列表”对话框中的“添加”按钮,打开“筛选器属性”对话框。这个对话框里面有三个标签:“寻址”、“协议”和“描述”。
2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们现在要做的是“进入端口”的阻止设置,也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统,所以我们在“源地址”下选择“任何IP地址”,在“目标地址”下选择“我的IP地址”,取消对“镜像……”复选框的勾选;如果是做“出端口”则在“源地址”下选择“我的IP 地址”,在“目标地址”下选择“任何IP地址”,同样不选择“镜像”。
3、在“协议”标签下,默认状态下只有“选择协议类型”选项框可操作。点一下选项框右边的小三角按钮,打开选项列表,根据端口的协议类型来选择(我们可以操作的主要是“TCP”和“UDP”,在下面所列的“要做的筛选器”下要做的筛选器列表如:“病毒常驻端口”、“打印与共享”等,在它们下面所列的端口号前面都用括号把相应的类型做了标记)。选择了类型后,下面的“设置IP协议端口”成为可选状态,因为不允许别人进,所以就在上半部保留默认选择的“从任意端口”,在下半部选择“到此端口”,选择之后它下面的文本框变成可操作状态,在里面输入一个端口。因为每次只能输入一个端口,所以要做多少个端口就得操作多少次。这一步如果是做“出端口”,则应在选择好“协议类型”后在“设置IP 协议端口”的上半部选择“从此端口”,然后输入一个端口,下半部保留默认选择的“到任意端口”。
4、在“描述”标签下只有一个“描述”文本输入框。可以在里面输入自己心仪的描述。通常只对入端口做描述:阻止任意地址任意端口访问我的***端口。然后点“确定”,完成对这个端口的操作。因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定,所以想加快速度,可以先做描述,再做协议,端口输入“回车”就“确定”了。也可以不作描述,这样更快。
5、确定后,在“IP筛选器列表”对话框下的“筛选器”下的文本框中就能看到刚才添加的“筛选器”了。这里说的“筛选器”,事实上就是我们刚才添加的“端口”,可以拖动下面的滚动条查看咱们刚才或叫以前输入的内容是否正确,如果有误,可以双击它打开进行修改。也可以选中它后点“编辑”按钮进行修改,当然也可以点“删除”按钮删除它。
6、“病毒常驻端口”后所列的端口添加完后,在“IP筛选器列表”对话框下点“确定”按钮,完成对“病毒常驻端口”的操作。
五、如法炮制,完成对全部筛选器的添加:
完成对“病毒常驻端口”的操作后,返回到“三”-“2”之步骤,继续添加“打印与共享端口”等,直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。
六、创建“IP 安全策略”并添加“筛选器”和“筛选器操作”:
1、创建“IP安全策略”。在“本地安全设置”对话框中左边的树状图中找到“IP安全策略,在本地计算机”,右击,选择“创建IP安全策略”,出来“IP安全策略向导”对话框;点“下一步”,出现副标题为“IP 安全策略名称命名……”的对话框,下面有两个文本框,自上而下是“名称”和“描述”。这里不用描述,直接在“名称”下输入自己心仪的名字就行,为表述方便,假定取名为“我的IP安全策略”;点“下一步”,出来副标题为“安全通讯请求指定……”的对话框,只有一个“激活默认响应规则”的复选框,取消对它的默认勾选,点“下一步”,到“完成”对话框,也只有一个“编辑属性”的复选框,取消对它的默认勾选,点“完成”。这样在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。
2、选中它,点操作菜单,点“属性”;或右击它点“属性”;或双击打开它,出来“我的IP安全策略属性”对话框。里面有两个标签:“规则”和“常规”。我们只对“规则”做操作。在“规则”下只有一个“IP安全规则”文本框,同样这里不能直接输入,点下面的“添加”按钮,出来“新规则属性”对话框,里面有五个标签,我们需要操作的是“IP 筛选器列表”和“筛选器操作”标签。选择“IP筛选器列表”标签,在“IP筛选器列表”文本框中能看到刚才创建“病毒常驻端口”等筛选器了。
3、选择第一个或最后一个(因为每次只能添加一个,这样方便下面依次操作),为方便表述,咱们假设选择“病毒常驻端口”。这里的“选择”,指的是在筛选器前面的复选圈中点上小黑点,这样就“选择”上了。
4、选择上后,不做任何操作,转而选择“筛选器操作”标签,这里有个“筛选器操作”列表框,我们要到这里去选择“协商安全”。点列表框下的“添加”按钮,出来“新增安全属性”对话框,下面有三个标签,“加密并保持完整性”、“仅保持完整性”、“自定义”。选择“仅保持完整性”点“确定”,自动返回到“新筛选器操作属性”标签,单击“关闭”回到“新规则属性”。确保不选择“允许和不支持IPSec的计算机进行不安全的通信”项,单击“确定”回到“筛选器操作”对话框。单击新添加的筛选器操作旁边的单行按钮激活设置的筛选器操作。
5、在“新规则属性”中选择身份验证方法。单击“添加”打开“新身份验证方法属性”,选择“此字符串用来保护密钥交换”,并输入共享密钥字符串。单击“确定”回到“身份验证方法”。选择“上移”使“预先共享的密钥”在为首选。
6、指派“我的IP安全策略”:
上面的工作完成后,回到“本地安全设置”对话框,在右边的名称标签栏下找到“我的IP安全策略”,选中它,到“操作”菜单或右击它,选择“指派”。
IP安全策略详细设置
首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3
我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:
接着回到图3界面,单击"管理筛选器操作"页栏 单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:
好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7: 这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8
华为路由器路由策略和策略路由
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
操作系统的安全策略基本配置原则(最新版)
操作系统的安全策略基本配置 原则(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0307
操作系统的安全策略基本配置原则(最新 版) 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安
全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务
操作系统的安全策略基本配置原则(正式)
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
防火墙安全策略配置
防火墙安全策略配置 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
一、防火墙设置外网不能访问内网的方法: 1、登录到天融信防火墙集中管理器; 2、打开“高级管理”→“网络对象”→“内网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”→“子网”,填入子网名称(自己命名),如“120段”,地址范围中,输入能够上网机器的所有IP范围(能够上网的电脑IP 范围)。点击确定。 3、在“网络对象”中选择“外网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”“子网”,填入子网名称(自己命名),如“外网IP”,地址范围中,输入所有IP范围。点击确定。
4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”,在右边的窗口中,点击右键,选择“增加”,点击“下一步”。 B、在“策略源”中选择“外网IP”(刚才设置的外网IP),点击“下一步”。
C、在“策略目的”中选择“内网”和“120段”(刚才设置的上网IP),点击“下一步”。
D、在“策略服务”中,我们不做任何选择,直接点击“下一步”。(因为我们要限制所有外网对我们内网的访问,在此我们要禁用所有服务,因此不做选择) E、在“访问控制”中,“访问权限”选择“禁止”(因为我们上一步没有选择服务,在此我们选择禁止,表示我们将禁止外网对我们的所有服务),“访问时间”选择“任何”,“日志选项”选择“日志会话”,其他的不做修改,点击“下一步”。
F、最后,点击“完成”。 5、至此,我们就完成了对外网访问内网的设置。
juniper路由器配置
juniper路由器配置 一.路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串: setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap: setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2.停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: setsystemno-redirects 接口级别停止广播转发使用如下命令: setinterfacesfxp0unit0familyinetno-redirects 3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止: setsystemdhcp-relaydisable 4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable 5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolspimdisable 6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolssapdisable 7.禁止IPSourceRouting源路由 setchassisno-source-route 二.路由器登录控制: 1.设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2.设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: setcliidle-timeout15
Juniper路由器安全配置方案
Juniper路由器安全配置方案 一. 路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: set system processes snmp disable 使用如下命令来设置SNMP通讯字符串: set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串: set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap: set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端: set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2. 停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: set system no-redirects 接口级别停止广播转发使用如下命令: set interfaces fxp0 unit 0 family inet no-redirects 3. 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止: set system dhcp-relay disable 4. 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止: set protocols igmp interface all disable 5. 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止: set protocols pim disable
Windows 安全配置规范
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
Cisco路由器安全配置简易方案
一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置
Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server
涉密计算机安全策略配置完整版
涉密计算机安全策略配 置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、modem等); 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座; 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码,该密码由安全保密管理员掌握; 2、设置BIOS开机密码,该密码由用户掌握; 3、BIOS最优先启动设置为硬盘启动,其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统,禁止安装Ghost版操作系统; 2、更改A d m i n i s t r a t o r用户名并设置密码,禁用Guest帐户,删除多余帐户; 3、关闭操作系统的默认共享,同时禁止设置其它共享; 4、设置屏保时间10分钟,屏保恢复需用密码; 5、不得安装《软件白名单》外的软件; 6、对操作系统与数据库进行补丁升级(每季度一次〉; 7、定期输出安全审计记录报告(每月一次) 8、清理一切私人信息:私人照片、mp3、电影等等。 9、根据规定设置系统策略,关闭非必要服务;〔见后) 五、安全保密防护软件的部署 1、安装正版杀毒软件,涉密计算机(瑞星杀毒软件),涉密中间机、非涉密中间 机(瑞星杀毒软件);杀毒软件每半个月更新一次病毒库并全盘扫描; 2、安装主机监控审计软件与介质绑定系统; 六、关闭计算机不必要的应用服务 原则:在没有特殊情况下应当关闭不必要的服务。如果有特殊需求,应当主动申请提出。 详细配置说明
2020年(安全生产)C路由器的安全配置方案
(安全生产)C路由器的安 全配置方案
Cisco路由器的安全配置方案 壹,路由器访问控制的安全配置 1,严格控制能够访问路由器的管理员。任何壹次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: A,如果能够开机箱的,则能够切断和CON口互联的物理线路。 B,能够改变默认的连接属性,例如修改波特率(默认是96000,能够改为其他的)。C,配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list1permit192.168.0.1 Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec 5,建议采用权限分级策略。如:
Router(Config)#usernameBluShinprivilege10G00dPa55w0rd Router(Config)#privilegeEXEClevel10telnet Router(Config)#privilegeEXEClevel10showipaccess-list 6,为特权模式的进入设置强壮的密码。不要采用enablepassword设置密码。而要采用enablesecret命令设置。且且要启用Servicepassword-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则壹定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的且发数目;采用访问列表严格控制访问的地址;能够采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:Router(Config)#ipftpusernameBluShin Router(Config)#ipftppassword4tppa55w0rd Router#copystartup-configftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(CiscoDiscoveryProtocol)。如: Router(Config)#nocdprun Router(Config-if)#nocdpenable 2,禁止其他的TCP、UDPSmall服务。 Router(Config)#noservicetcp-small-servers Router(Config)#noserviceudp-samll-servers 3,禁止Finger服务。
操作系统的安全策略基本配置原则
操作系统的安全策略基 本配置原则 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,
很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统
操作系统的安全策略基本配置原则通用版
管理制度编号:YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
操作系统的安全策略基本配置原则 通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了
Cisco路由器安全配置方案
Cisco路由器安全配置方案 一、路由器网络服务安全配置1 禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp run Router(Config-if)# no cdp enable2 禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3 禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger4 建议禁止HTTP服务。Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。5 禁止BOOTp服务。Router(Config)# no ip bootp server6 禁止IP Source Routing。Router(Config)# no ip source-route7 建议如果不需要ARP-Proxy 服务则禁止它,路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast9 禁止IP Classless。Router(Config)# no ip classless10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RW12 如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-server2 19、1 50、 32、xxx13 明确禁止不使用的端口。如:Router(Config)# interface eth0/3Router(Config)# shutdown 二、路由器访问控制的安全配置(可选)路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强
本地安全策略
本地安全策略 任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。 任务目的: 1.掌握Windows Server 2003账户策略使用方法。 2.掌握Windows Server 2003审核策略的使用方法。 3.掌握本地策略的使用方法。 任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。 任务具体内容: 一、备份本地安全策略 依次打开“开始”、“程序”、“管理工具”、“本地安全策略”,右键“安全设置”,“导出策略”,输入文件名bak.inf,确定。文件名可以任选,只要你知道是它是最原始的安全策略便可。 二、恢复本地安全策略 1.在做恢复本地安全策略以前,先建立一个用户,不给口令, 应该顺利建成。 2.进入本地安全策略,右键“安全设置”,“导入策略”可以看到许多安全模板,包括你上面备份的那一个,这些安全模板是 Server 2003自带的几套,系统管理员可以不作任何更改将其
应用到系统中来,不同模板安全级别不同,作用网管员应该熟 悉这些模板,在具体工作时,你可以在这些模板的基础上,自 定义出适合具体工作场合的模板。 3.导入hisecde.inf策略,重新建一个用户,如同(1)一样,不给口令,结果?不能建用户,原因:因为本地安全策略与原 来的不同了,它使用了另外一个系统已经设置好的要求用户口 令的安全策略。 4.导入备份的本地安全策略bak.inf,导入结束后,你再从新建一个用户,结果?说明了什么? 三、帐户策略 1.用管理员登录,新建一个user1用户,不输入密码,是否能建成? 进入本地安全策略,再进入帐户策略,再进入密码策略,双击密码 长度最小值,输入4,退出。这时新建一个用户user2,不输入密 码,是否能建成?有什么提示?输入3位密码,结果如何?输入4 位密码,结果如何?再进入本地策略中的帐户策略,双击密码必须 符合复杂性要求,先已启用,退出。这时再新建一个用户user3, 输入密码abcd,1234,a1b2,a1b:,哪个能建成用户?从而说明密 码必须符合复杂性要求是指:该密码必须由字母、数字、符号三种 组成,缺一不可。最后复原:取消密码必须符合复杂性要求和把密 码长度最小值设为0。 2.用管理员登录,新建一个user4用户,只选下次登录时改变密码, 再建一个用户user5,输入密码:user5,只选用户不能修改密码。 分别用user4和user5登录,是否都能登录?用管理员登录,进入 安全策略,再进入密码策略,把密码最长保存期改为30天,再修 改系统时间,向后延长30天,分别用user4和user5登录,有什 么提示?能否登录?为什么?用user4用户登录,能否自己修改密 码?用管理员登录,进入安全策略,再进入密码策略,把密码最短 存留期改为60天,用user4用户登录,能否自己修改密码?用管
涉密计算机安全策略配置
涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、moden等); 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座; 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码,该密码由安全保密管理员掌握; 2、设置BIOS 开机密码,该密码由用户掌握; 3、B IOS最优先启动设置为硬盘启动,其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统,禁止安装Ghost 版操作系 统; 2、更改Admi ni st rat or 用户名并设置密码,禁用Guest 帐户,删除多余帐户; 3、关闭操作系统的默认共享,同时禁止设置其它共享; 4、设置屏保时间10分钟,屏保恢复需用密码; 5、不得安装《软件白名单》外的软件; 6、对操作系统与数据库进行补丁升级(每季度一次〉; 7、定期输出安全审计记录报告(每月一次) &清理一切私人信息:私人照片、mp3电影等等。 9、根据规定设置系统策略,关闭非必要服务;〔见后) 五、安全保密防护软件的部署 1 、安装正版杀毒软件,涉密计算机(瑞星杀毒软件),涉密中间机、非涉密中间机(瑞星杀毒软件);杀毒软件每半个月更新一次病毒库并全盘扫描;2、安装主机监控审计软件与介质绑定系统; 六、关闭计算机不必要的应用服务原则:在没有特殊情况下应当关闭不必要的服务。如果有特殊需求,应当主动申请提出。 详细配置说明
路由器安全设置
挑选路由器 1.更改用于访问路由器的密码。除了默认应该没事,但不要在字典 里用一个词。 2.关闭工作区 3.无线网络加密应用原子发射光谱法测定湿法a2您的Wi - Fi密码 长度至少应为14个字符
4.关闭UPnP和NAT - PMP以保护您自己和互联网的其他部分。 有关详细信息,请参阅关掉东西页。 5.聪明点选择一个SSID(网络名称) 6.尽可能使用密码保护的来宾网络,不仅针对来宾,也针对物联网 设备。 7.定期检查路由器正在使用的DNS服务器。它们应该属于您的ISP 或您手动配置的ISP。否则,您的路由器可能遭到黑客攻击。显示当前DNS服务器的一个站点是完美隐私网站。 8.测试路由器对于使用一些在线测试器的开放端口 9.定期更新路由器固件 10.吃你的蔬菜 详细说明安全路由器配置 1.建议设立一个新路由器。基本计划:在路由器离线的情况下进行最 明显的几项更改,在另一台路由器后面联机以获取最新固件,然后进行其余更改,最后,在路由器WAN端口连接到另一台路由器上的LAN端口后,使用NMAP扫描新路由器的WAN / Internet端以查找开放端口。 2.设置好的路由器密码(不是WiFi密码)。从不使用默认密码。字典 里不要用一个词。如果你必须使用一个普通的单词或名字,至少在它前面加上一个数字(例如3巴贝斯路)。如果您的路由器还允许您更改userid (很少允许),那么也可以更改它。
3.关掉文字处理系统 4.选择不受欢迎的范围地址有助于防止许多路由器攻击 5.关闭您不使用的功能会减少攻击面。可能应禁用的功能包括远程 管理(即远程管理、远程GUI或WAN访问)、SNMP、UPnP、NAT - PMP、远程登录等。特别关掉电源。 6.如果需要远程管理,有多种方法可以使其更安全。看到了吗安全 检查表更多信息。 7.如果您的任何Wi - Fi网络(路由器可以创建多个)使用默认SSID (网络名称),请更改它。不要选择一个明显表明网络属于您的名称。更多... 8.除了选择WPA2之外,加密还有更多的内容。首先使用AES, 而不是TKIP。此外,Wi - Fi密码需要足够长才能阻止暴力攻击,我的最佳猜测是14个字符就足够了。而且,你真的不应该使用任何人以前用过的密码。更多... 9.客人网络是你最好的朋友。不仅可用于访客,还可用于物联网设 备。它们应该有密码保护。来宾网络通常与主网络隔离。查看路由器为来宾网络提供的所有配置选项,以确保它们是隔离的。这安全核对表页面列出了您可能找到的选项。 10.网络隔离:来宾网络只是开胃品,使用VLAN进行网络隔离才是 真正的美味。看到了吗虚拟局域网更多信息。 11.锁定从LAN侧对路由器的访问。这安全检查表页面提供了十多 个可能的选项(请参阅“本地管理”主题)
华为路由器路由策略和策略路由配置与管理
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。