1、点击证书助手页面的重试按钮。
2、更换浏览器,打开证书安装界面,加载策略。
3、鼠标移至证书助手软件图标上,右键以管理员身份运行,尝试重新连接。03系统例举
01首先打开控制面板,进入“管理工具”,然后双击打开“本地安全策略”
02使用鼠标右键单击左方的“ip
安全策略,在
本地计算机”选项,并选择“创建
ip
安全策略”选项
03点击“下一步”按钮
04设置一个ip策略名称,例如设置为“端口限制策略”,使用其它名称也可以
05点击“下一步”按钮
06去掉“激活默认响应规则”选项的勾
07点击“下一步”按钮
08点击“完成”按钮
09去掉右导”选项的勾
10现在先开始添止所有机器访问服务器,点击“添加”按钮
11点击“添加”按钮
12设置ip筛选器的名称,例如设置为“禁止所有机器访问服务器”,使用其它名称也可以
13点击“添加”按钮
14如果该服务器不打算上网,则可以将“源地址”设置为“任何
ip
地址”。如果需要上网,建议设置为“一个特定的
ip
子网”,并设置ip地址为与该服务器ip地址相同的网段,例如服务器ip地址是192168110,则可以设置为19216810,也就是前面3个数字是相同的,后面最后一位填1即可,并设置子网掩码,这个设置和服务器子网掩码一致即可(具体请自行查看服务器的子网掩码),如果局域网都是在1921681的范围,则直接设置为2552552550即可
15将“目标地址”设置为“我的
ip
地址”
16点击“确定”按钮
17点击“确定”按钮
18选择刚创建的ip筛选器(即12步中设置的名称)
19切换到“筛选器 *** 作”选项页
20去掉“使用添加向导”选项的勾
21点击“添加”按钮
22选择“阻止”选项
23切换到“常规”选项页
24设置筛选器 *** 作名称,建议设置为“禁止”或“阻止”,使用其它名称也可以
25点击“确定”按钮
26选择刚创建的筛选器 *** 作(即24步设置的名称)
27点击“应用”按钮
28点击“确定”按钮
29现在开始添加允许访问该服务器的机器,点击“添加”按钮
30点击“添加”按钮
31设置ip筛选器名称,建议设置为“允许访问的机器”,使用其它名称也可以
32点击“添加”按钮
33将“源地址”设置为“一个特定的
ip
地址”,并设置下方的ip地址为允许访问该服务器的ip中的一个(每次只能添加一个,所以需要慢慢添加)
34设置“目标地址”为“我的
ip
地址”
35点击“确定”按钮
36重复32至35步将要允许访问该服务器的ip全部添加
37点击“确定”按钮
38选择刚创建的“ip
筛选器”(即31步设置的名称)
39切换到“筛选器 *** 作”选项页
40选择“许可”选项
41点击“应用”按钮
42点击“确定”按钮
43点击“确定”按钮
44使用鼠标右键单击刚创建的ip策略(即第4步设置的名称),并选择“指派”即可
45以后需要添加、修改、删除允许访问的ip时,可以编辑该ip策略的ip筛选器进行设置
注意:需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器,因为如果他人知道您允许哪个ip访问该服务器,对方可以修改自己的ip地址,以获得访问权限ip,这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址(可以使用arp
-s命令来绑定),并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限,因此使用ip安全策略并非绝对安全。使用代理服务器是使用了缓存、过滤性能策略。代理服务器是一种位于客户端和服务器之间的中介服务器,它可以提高网络性能、安全性和隐私性。使用代理服务器有以下几个性能策略:
1、缓存:代理服务器可以缓存常用的网页,以便下次访问时更快地加载。
2、过滤:代理服务器可以过滤掉不需要的内容,例如广告、恶意软件等。
3、记录:代理服务器可以记录用户的访问历史、流量等信息。中国石油广域网经过第二次扩充与提升,已经成为全国最大的企业网之一,它遍布全国,又直通国外下属企业。在这种形势下,安全威胁更加严峻。 计算机信息系统安全是一个动态过程。美国国际互联网安全系统公司(ISS)对此提出P2DR模型,其关键是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)四方面。按照P2DR的观点,完整的动态安全体系需要防护措施(如网络或单机防火墙、文件加密、身份认证、 *** 作系统访问控制、数据库系统访问控制等)、动态检测机制(入侵检测、漏洞扫描等)、先进的资源管理系统(及时发现问题并做出响应)。
中国石油按照信息安全P2DR模型制定的信息安全系统体系结构包括安全运行中心、网络边界管理系统、网络准入控制、网络管理系统、病毒监控与升级管理系统、系统加固与监控管理系统、CA认证中心、密钥管理与分发系统、数据库防护系统、容灾系统、内容访问监控系统和电子邮件监控系统。
中国石油广域网安全基础设施
●防火墙系统
中国石油广域网十分庞大,下属单位很多,遍布全国,连通世界上很多国家的分支企业。因此需要在网络各个相连处部署强力防火墙,确保网络的安全性。另外,在区域网络中心的服务器群前,加两台防火墙,以负载均衡方式,用千兆光纤连接到区域网络中心路由器上。在两台防火墙都正常工作情况下,可以提供约两倍于单台设备的性能,即约4Gbps的防火墙吞吐量,当一台防火墙出现故障时,另一台防火墙保证网络不间断运行,保障服务器群的高可用性。
利用防火墙技术,能在内外网之间提供安全保护; 但有如下局限性: 入侵者可寻找防火墙可能敞开的后门进行袭击; 网络结构改变有时会造成防火墙安全策略失效,攻击者可以绕防火墙实施攻击; 入侵者可能来自防火墙内部; 防火墙可能不能提供实时入侵检测。
●入侵检测系统
入侵检测系统分为基于网络和基于主机两种类型。基于网络的入侵检测系统对所在网段的IP数据包进行分析监测,实时发现和跟踪有威胁或隐患的网络行为。基于主机的入侵检测系统安装在需要保护的主机上,为关键服务提供实时保护。通过监视来自网络的攻击、非法闯入和异常进程,能实时检测出攻击,并做出切断服务、重启服务器进程、发出警报、记录入侵过程等动作。
入侵检测在网络中设置关键点,收集信息,并加以分析,查找违反安全策略的行为和遭到袭击的迹象。它是第二道安全闸门,对内外攻击和误 *** 作提供实时保护,又不影响网络性能。其具体功能如下: 监视、分析用户及系统活动; 系统构造和弱点审计; 识别已知进攻的活动模式并向相关人员报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; *** 作系统的审计跟踪管理,并识别用户违反安全策略的行为。
中国石油12个区域网络中心,均配备入侵检测系统,监控内外网入侵行为。
●漏洞扫描系统
漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口,并记录目标的响应,收集关于某些特定项目的有用信息,例如正在进行的服务、拥有这些服务的用户是否支持不记名登录、是否有某些网络服务需要鉴别等。
漏洞扫描系统可安装在便携机中,在网络比较空闲时检测。检测方式可本地可远程; 可临时检测某网段,也可固定检测某网段,但是检测范围不可跨越防火墙。
●查杀病毒系统
中国石油网络上各个局域网普遍设立查杀病毒软件服务器,不断更新杀毒软件,及时向用户机下推最新版本杀毒软件。大大减轻了病毒泛滥和造成的损失。
网络安全策略管理
中国石油全网提供统一安全策略,各级分别部署,从而提高全网整体安全。
企业网络安全策略分为四个方面:检测评估、体系结构、管理措施和网络标准,并构成动态循环系统(图1)。安全检测与评估随着安全标准的提高而改进,评估结果是网络体系结构的完善的依据,安全策略管理必须随之改进与增强; 技术的进步和网络安全要求的提高,促使网络标准的完善与改进。
网络安全检测与评估涉及网络设备、网络 *** 作系统、应用软件、专业软件、数据库、电子商务、Web网站、电子邮件等。安全体系结构涉及物理、场地、环境、访问控制、数据传输与保存、路由控制。安全管理措施涉及网络设备、软件、密钥。
路由器和交换机策略管理是上述安全管理措施中的重要方面。它们的策略维护通过访问控制列表(ACL)实现。这种工作容易出错,因而应采用专用工具软件集中管理。所采用的管理软件有管理设备ACL的WEB接口,通过这个接口对IP过滤列表进行编辑及下载,简化了管理工作量,实现了大型网络路由器和交换机上策略参数的集中管理。
分系统设计
除了上述基础设施外,还必须有属于“上层建筑”安全措施。这便是分系统设计。
●安全运行中心
中国石油信息系统地域分散、规模庞大,与多个业务系统耦合性很强,如何将现有安全系统纳入统一管理平台,实现安全事件全局分析和动态监控,是中国石油广域网面临的主要问题。
建立安全运行中心,实现对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件,并处理各种安全突发事件。安全运行中心不仅可以将不同类型安全产品实现统一管理,还可以将网络中不同位置、不同系统中单一安全事件进行收集、过滤、关联分析,得出网络全局风险事件集,提供安全趋势报告,并通过远程状态监控、远程分发、实现快速响应,有效控制风险事件。
安全运行中心功能模块包括安全配置模块、网络监控模块、内容监管模块、安全事件与预警模块以及应急响应模块,具体功能模块如图2所示。下边介绍几种主要功能。
(1)安全配置管理
包括防火墙、入侵检测、等安全系统的安全规则、选项和配置,各种 *** 作系统、数据库、应用等系统配置的安全设置、加固和优化措施。可实现策略创建、更新、发布、学习和查询。
(2)网络监控
模块可提供对网络设备、网络安全设备、网络拓扑、服务器、应用系统运行情况的可视化监控,确定某个安全事件是否会发生,事件类型、影响程度和范围。预警: 对网络设备、安全设备、主机系统、服务器、数据库系统日志信息的收集、集中存储、分析、管理,及时发现安全事件,并做出相应预警。
(3)内容监管
内容发布监控、内容访问监控以及内容传播监控。
中国石油信息安全系统安全运行中心由总部、区域中心、地区公司三级结构组成。
总部级: 制定统一安全配置,收集所有汇总上来的数据,并对其进行统一分析、管理。通过这种逐级逐层多级化模式管理,达到对信息安全全方位防御的目的。
区域中心级: 执行对管辖范围内所有地区公司安全运行中心的监控,也可监控区域内的网络安全、主机安全、数据库安全、应用系统安全等,并向总部安全运行中心上报相关数据。
地区公司级: 部署总部的统一安全配置,监控地区公司内部网络、主机、数据库、应用系统安全等,收集分析安全事件并做出及时响应,生成分析报告,定期向区域中心汇总。
●网络边界管理系统
中国石油网络按照其应用性质的不同和安全要求的不同,划分为不同的安全域。整个网络安全符合木桶原则: 最低木板决定木桶装水量; 网络安全最薄弱环节决定整个网络的安全性。
由于网络中不可控制的接入点比较多,导致全网受攻击点明显增多。通过网络边界管理系统可以最大限度保护内部业务数据的安全,其中重点保护与Internet直接连接的区域。
按照业务不同的安全程度要求,中国石油各个企业网络划分若干安全区域:
(1)业务区域: 企业重要信息集中在此,这里有核心数据库,可与相关单位交换信息。
(2)生产区域: 主要指各炼化企业的生产网络,实现生产在线监控和管理信息的传递。
(3)办公区域: 各单位的办公网,用户访问企业业务系统与互联网、收发电子邮件等。
(4)对外服务区: 通过因特网对外发布信息和进行电子商务的区域,该区域日趋重要。
(5)因特网接入区: 因特网浏览信息、对外交流的窗口,最易受攻击,要重点保护。
通过边界管理系统在中国石油各局域网边界实施边界管理,在内部部署入侵检测系统实施全面安全保护,并在对外连接处和必要的部位部署防火墙进行隔离。
通过入侵检测系统和防火墙联动,可以对攻击行为实时阻断,提高安全防护的有效性。
●网络准入控制系统
中国石油网络准入控制系统分四部分: 策略服务器、客户端平台、联动设备和第三方服务器(图3)。
(1)安全策略服务器: 它是网络准入控制系统的管理与控制中心,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
(2)安全客户端平台: 它是安装在用户终端系统上的软件,可集成各种安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。
(3)安全联动设备: 它是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全管理系统管理平台作为安全策略服务器,提供标准协议接口,支持同交换机、路由器等各类网络设备的安全联动。
(4)第三方服务器: 为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,实现安全产品功能的整合。
链接
中国石油广域网安全设计原则
在中石油广域网络安全系统的设计中应遵循以下设计原则:
●高度安全与良好性能兼顾: 安全与性能相互矛盾,安全程度越高,性能越受影响。任何事物没有绝对安全,也不总是越安全越好。安全以投资、性能、效率的付出为代价。在安全系统设计中,对不同安全程度要求,采用不同安全措施,从而保证系统既有高度安全保障,又有良好系统性能。所谓高度安全,指实现的安全措施达到信息安全级别的要求,对关键信息可以再高一个级别。
●全方位、均衡性和层次性: 全方位、均衡性安全设计保证消除网络中的漏洞、后门或薄弱环节; 层次性设计保证当网络中某个安全屏障(如防火墙)被突破后,网络仍受到其他安全措施(如第二道防火墙)的保护。
●主动和被动相结合: 主动对系统中安全漏洞进行检测,及时消除安全隐患; 被动实施安全策略,如防火墙措施、ACL措施等等。两者完美结合,有效实现安全。
●切合实际: 有的放矢、行之有效,避免措施过度导致性能不应有的下降。
●易于实施、管理与维护。
●可伸缩性: 系统必须留有多余接口,以适应拓展需要。
●对产品和技术选择系统六原则: 先进性、标准性、简易性、实用性、集成性和扩展性。通通领航服务器设置经验总结
一 取消匿名访问功能
默认情况下,Windows 2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在Windows 2003系统中,点击“开始→程序→管理工具→Internet服务管理器”,d出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS50自带的FTP服务器,下面通通网络以默认FTP站点为例,介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项,在右键菜单中选择“属性”,接着d出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号才行。
二 启用日志记录
Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。
当然,通通网络现在说的只是最基本最简单的安全设置,并不能完全的防范病毒木马以及黑客入侵,如果要加强服务器的安全性,还要更进一步的对服务器进行设置。1 安装NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议。
2 开启Guest账号:右击我的电脑\管理\用户有个Guest,双击之去掉“账户已停用”前面的勾。
3 右击我的电脑\属性\计算机名,查看该选项卡中出现的局域网工作组名称名称一致
4 使用winxp防火墙的例外:winxp防火墙在默认状态下是全面启用的,这意味着运行计算机的所有网络连接,难于实现网上邻居共享。同时,由于windows防火墙默认状态下是禁止“文件与打印机共享的”,所以,启用了防火墙,往往不能共享打印,解决办法是:进入“本地连接”窗口,点“高级”\“设置”\“例外”\在程序与服务下勾选“文件和打印机共享”。
5 删除“拒绝从网络上访问这台计算机”项中的guest账户:运行组策略(gpeditmsc)\本地计算机\计算机配置\windows设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机。如果其中有guest,则将其删除。(原因是:有时xp的guest是不允许访问共享的)
禁用“帐户:使用空白密码的本地帐户只允许进行控制台登录”
6 取消“使用简单文件共享”方式:资源管理器\工具 --文件夹选项FONT face=Times New Roman>\查看\去掉“使用简单文件共享(推荐)”前面的勾。
7 检查注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边窗口RestrictAnonymous的值是否为0。(默认是0,你可跳过去。如果不行在回到这里;如没有这一项,不管它。)
8 勾选“本地连接\属性\Microsoft网络的文件和打印机共享”。
9 运行服务策略“Servicesmsc”。启动其中的“Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可把它改为手动启动,然后再使用其他程序在你的网络上发布信息。
10 无法启动Clipbook服务。错误1068:依存服务或组无法启动。需要这样的步骤(你可以看他们的依存关系):首先开启 Network DDE DSDM (如果已开启,进入第二步),其次开启 Network DDE,然后开启 Clipbook。
1、首先我们选择鼠标单击打开服务器中的安全策略功能选项。
2、设定举例,这里选择设定限制一个IP范围。
3、首先创建两个网段规则,右键单击空白区域。
4、选择鼠标单击新IP筛选器的功能选项。创建IP地址范围。
5、设置两个网段后,设置两个策略,一个用于权限,一个用于阻止。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)