基于Windows Server 2003 企业安全体系的设计和部署(毕业设计)

格式：doc
大小：5.05 MB
文档页数：67

下载文档原格式

基于Window Server 2003小型办公局域网的安全搭建

【ｅｗｒｓ】Ａ；ｗｔｅ；ｉｗｌｔＫｙｏｄＬＮＳｉｓＦｅａ；ｐｃｈｒｌＦ
０引言．
局域网（ｏａＡｅＮｅｒ）在一个局部的地理区域范Ｌｃｒａｔｋ是ｌｗｏ围内，各种计算机。外部设备和数据库等互相联接起来组成将的计算机通信网。它可以通过数据通信网或专用数据电路，与远方的局域网、据库或处理中心相连接，数构成一个大范围的信息处理系统。称ＬＮ，指在某一区域内由多台计算机互简Ａ是
改进了很多功能：进了Ａｔｅｒｃｒ（动目录）改进了改ｃｖｅｔｙ活ｉＤｉｏ；
规模比较小的企业都投入资金搭建属于自己的小型局域网，以
【摘要】伴随者计算机技术的发展，网络信息化已经逐渐变的更加安全。而对于一个部门或者小型企业而言，搭建属于自己的局
域网至关重要。文以安全、用、单的思路去搭建局域网，网方式选择星型拓扑结构，作系统选择Ｗｉｄｗｓｒｅ０３专本实简组操ｎｏｅｖｒ０２业服务器操作系统，针对应用给出了Ｗｅ、ｒ、并ｂＦＰ邮件、印机等服务器的解决方案，终搭建出一个安全、靠、效的小型办－打最可高
Ｔｃｎｌｇｎｐｌｃｔｏｓ・技术应用ｅｈｏｏｙａｄＡｐｉａｉｎ
基于ＷｉｄｗＳｒｅ０３ｎｏｅｖｒ０２

Windows2003 Server的安全配置

硬盘目录权限设置和删除不需要的目录1．C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了2．Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX 等应用程序就无法运行。

c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

3．删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击4．打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令：sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令：sc config Schedule start= disabledserver服务 [禁止默认共享]命令：sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令：sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令：sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令：sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令：sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令：sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令：sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。

Windows2003Server安全配置完整篇（3）服务器教程-电脑资料

Windows2003Server安全配置完整篇（3）服务器教程-电脑资料四、磁盘权限设置C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了，。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

另外，还将：net.exe NET命令cmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！format.exe大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问。

实训：windows Server 2003安全配置

4. 清空远程可访问的注册表路径
（1）打开组策略编辑器，依次展开“计算机配置 →Windows 设置→安全设置→本地策略→安全选项”，在右侧窗口中找到 “网络访问：可远程访问的注册表路径”，如图622所示。（2）然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可，如图6-23所示。
图6-17 组策略编辑器图6-18 添加脚本
2. 杜绝非法访问应用程序
（1）打开“组策略编辑器”窗
口。然后依次打开“组策略控
制台→用户配置→管理模板→
系统”中的“只运行许可的
Windows应用程序”并启用此图6-19 只运行许可的Windows应用程序策略，如图6-19所示。
（2）然后点击下面的“允许的
图6-27 TCP/IP属性
（2）关闭445端口
• 445端口可以让用户在局域网中轻松访问各种共享文件夹或共享打印机，但它也是冲击波病毒最爱光顾的的端口。
• 1）运行regedit，找到项 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\S ervices\NetBT\Parameters]；
（3）选中“账户锁定策略”目录，在右边窗口中列出了可设置的各种账户锁定项目，如图6-31所示。
（4）在右侧的策略窗口中，双击 “账户锁定阈值”策略，显示 “账户锁定阈值属性”对话框，如图6-32所示。
图6-31 账户锁定策略图6-32 账户锁定阈值属性
（5）在“在发生以下情况之后，锁定账户”文本框中，键入无效登录的次数，例如3，则表示3次无效登录后，锁定登录所使用的账户。（6）单击“确定”按钮，显示如图6-33所示的“建议的数值改动“对话框。本策略的更改将同步更改其他关联策略。单击“确定”按钮即可完成其他关联策略的设定。

windowsserver2003WEB服务器IIS的安全配置

windowsserver2003WEB服务器IIS的安全配置摘要：针对目前windows server 2003Web服务器所存在的安全隐患，阐述了如何通过IIS 服务器组件的安全管理来提高IIS 的安全机制，建立一个高安全性的Web 服务器。

关键字：WEB 服务器IIS安全配置IIS即Internet Information Services互联网信息服务，通过使用超文本传输协议HTTP传输信息，它是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

有很多其他的服务器软件如Netscape的服务器、Apache for Win服务器等，但是IIS是Windows平台下最简单易用的服务器，IIS作为当今流行的Web服务器之一，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为IIS设置中不可忽视的重要组成部分。

下面将通过以下几个方面来阐述加强IIS安全机制的方法一、IIS安全安装首先IIS需要安装在非系统分区上。

在默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患，原因是一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区，所以需要将IIS安装到其他分区，即便入侵者能绕过IIS的安全机制，也很难访问到系统分区；其次在安装时修改IIS的默认路径，IIS的默认安装的路径是\inetpub，Web服务的页面路径是\inetpub\wwwroot，这是任何一个熟悉IIS的人都知道的，当然这些人中包括了入侵者，所以需要更改成其他路径；最后需要及时打好IIS的补丁，它就会成为一个比较安全的服务器平台，能为我们提供安全稳定的服务。

二、删除不需要的IIS组件IIS默认安装后有些不需要的多余的组件会造成安全威胁，需要从系统中删除，降低隐患。

比如Internet服务管理器(HTML)组件，它是基于Web 的IIS服务器管理页面，一般情况下不会通过Web进行管理，可以卸载它；SMTP Service 和NNTP Service组件，这两个组件是用来转发邮件和提供新闻组服务的，不需要这个功能可以删除；样本页面和脚本，这些样本可被用来从Internet上执行应用程序和浏览服务器，建议删除，三、删除IIS示例IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录里存放的是用来示范安装和应用该技术的示例应用程序，没有多少实际的作用，反而会让黑客利用存放的位置发动恶意攻击，所以可以直接删除。

关于中网云服务器,中网云主机windows2003系统的安全、稳定、备份等相关设置

关于中网云服务器windows2003系统的安全、稳定、备份等相关设置一、中网云服务器系统权限的设置１、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限；系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cmd.exe 文件只给Administrators 组和SYSTEM 的完全控制权限;２、本地安全策略设置：开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests组通过终端服务允许登陆：只加入Administrators组和Remote Desktop Users组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名管道全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户３、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServerWorkstation 系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

windows2003服务器安全设置论文

windows2003服务器安全设置论文【摘要】：随着网络的不断发展，网络安全的问题越来越严重，windows2003服务器安全设置就显得越来越重要，如果你的计算机上没有预防病毒.插件.木马之类的东西容易受到他们的伤害，这章我们学习windows2003服务器安全设置关键词:windows2003安全设置目录:一.操作系统安装与更新二.系统管理员帐号三.磁盘访问权限四.系统帐号数据库五.默认共享六.关闭端口一.操作系统安装与更新在安装Windows Server2003操作系统时，为提高系统安全，建议采用最小化方式安装，只安装网络服务所必需的模块。

在安装之前尽量把局域网断开，当产生新的服务需求时，再安装相应的服务模块，并及时进行安全设置。

Windows Server2003常见的版本有:Web.standard.enterprises.datacenter如有可能，尽量安装英文版本的操作系统。

因为微软公司总是最先发布英文版本的补丁，中文版本的补丁相对滞后一段时间。

二.系统管理员帐号Windows2003里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。

下面我们来谈谈2003中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。

分配给该组的默认权限允许对整个系统进行完全控制。

Power Users，高级用户组，Power Users可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。

分配给Power Users组的默认权限允许Power Users组的成员修改整个计算机的设置。

但Power Users不具有将自己添加到Administrators组的权限。

在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。

windowsserver2003 WEB服务器系统的安全配置

windowsserver2003 WEB服务器系统的安全配置摘要：随着Internet 的广泛使用，如何设置Web 服务器使服务器承载的网站在网络中较为安全的运行，值得我们关注研究。

本文以Windows server 2003 Web 服务器为环境，就本人对Web 服务器的应用经验对WEB服务器系统的安全设置加以阐述和研究。

关键字：WEB 服务器系统安全配置一、开启防火墙，关闭不需要的端口首先开启防火墙，具体做法：本地连接--属性--Internet协议(TCP/IP)--高级，在高级选项卡中使用”Internet连接防火墙”，这是windows 2003 自带的防火墙，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

之后关闭不需要的端口或者增加需要的端口。

笔者一般只开3389，21 ，80 ，1433 端口。

修改远程桌面连接端口，默认的连接端口3389为其他端口，修改注册表.，开始--运行--regedit ，依次展HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WDS/RDPWD/TDS/TCP ，右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/，右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) ，需要注意的是：在WINDOWS2003 防火墙里需要添加端口10000 ，修改完毕.重新启动服务器.设置生效。

二、禁用不必要的服务禁用不必要的服务，提高系统的安全性和效率。

开始-运行中输入命令services.msc，会有一系列服务显示出来，其中TCP/IPNetBIOS Helper；Server；Computer Browser ；Task scheduler；Messenger；Distributed File System；Distributed linktracking client；Error reporting service ；Microsoft Serch；NTLMSecuritysupportprovide；PrintSpooler；Remote Registry；Remote Desktop Help Session Manager；Workstation等这些服务可根据自身需求禁用，默认禁用的服务如没特别需要的话不要启动。

对Windowsserver2003系统进行安全设置

任务名称与背景
任务名称：对Windows server 2003系统进行安全设置。任务背景：张老师办公室的计算机新安装了 Windows server 2003操作系统，该系统具有高性能、高可靠性和高安全性等特点。 Windows server 2003 在默认安装的时候，基于安全的考虑已经实施了很多安全策略。但由于服务器操作系统的特殊性，在默认安装完成后还需要张老师对系统操作系统进行加固，进一步提升服务器操作系统的安全，保证业务系统以及数据库系统的安全。
参赛说明
参赛课程名称：网络信息安全
参赛人姓名：崔炜参赛人所在学校：天津铁道职业技术学院课程简介：本课程力求突出实用、全面、简单、生动的特点，通过本课程的学习，能够使学生对网络信息安全有一个比较清晰的概念，能够配置单机系统的安全，能够防范网络攻击，能够保证信息安全，能够进行网络结构安全的分析和设计。
工作任务
学习目标
实践操作检查评价
问题探究
知识拓展
学习目标
1. 知识目标
2. 能力目标
返回学习目标上页下页
1. 知识目标
1 2 3 4
返回学习目标
理解Windows操作系统安全的基本理论理解用户账号及访问权限的基本概念；掌握账户安全策略在系统安全中的作用掌握注册表的功能及在系统安全中的作用理解IE安全设置的基本概念
返回工作任务上页下页
实践操作
1. 更改Administrator账户名称 2.创建陷阱账号 3.管理帐户 4. 磁盘访问权限配置 5. 组策略的配置 6. 注册表基本知识及安全配置
返回实践操作上页下页
1.更改Administrator账户名称

用WindowsServer2003搭建安全服务器服务器教程-电脑资料

用WindowsServer2003搭建安全服务器服务器教程-电脑资料启用并配置文件服务Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”，启动该工具之后，可以看到当前服务器上启用的所有服务，并可对这些服务进行管理，。

点击该界面上的“添加或删除角色”链接，将启动一个配置服务器的向导。

点击“下一步”进入到“服务器角色”步骤，在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”，开始启用和配置文件服务的过程。

根据系统提示进行配额设置，磁盘配额功能可以限制用户对磁盘空间的使用，方便进行磁盘空间管理。

将磁盘空间限制设置为300MB，将警告设置为260MB，并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项，电脑资料《用Windows Server 2003搭建安全服务器服务器教程》(https://www.)。

这种情况下用户将无法使用超过300MB以上的硬盘空间，并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。

完成配额设置后点击“下一步”进入索引服务设置界面，默认的选项是不启用索引服务。

虽然索引服务可以加快文件检索的速度，但是由于它要消耗不少的服务器资源，所以如果不需要很频繁检索文件的话，建议保留默认的设置。

在确认以上设置之后，安装向导会弹出一个用于建立共享文件夹的向导。

首先需要选择共享文件夹的路径，例如C:/Inetpub/home。

之后进入维护共享名和关于该共享描述的界面，通常情况下维持默认设置即可。

点击下一步开始为共享设置权限，基本的权限包括了完全访问和读写权限。

选择“使用自定义共享和文件夹权限”，点击自定义按钮之后弹出自定义权限设置界面。

在这里可以根据需要对不同用户设置不同的权限，例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限，为Guest用户设置读取权限，使匿名用户可以下载该文件夹中的文件，同时删除原有的Everyone这项，屏蔽所有其他用户权限。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

常州信息职业技术学院学生毕业设计（论文）报告系别：计算机（软件）学院专业：计算机网络技术班号：计算机网络技术085学生姓名：学生学号：0808010设计（论文）题目：基于Windows Server 2003企业安全体系的设计和部署指导教师：设计地点：常州信息职业技术学院起迄日期：2010.6.18—2010.8.28毕业设计（论文）任务书专业计算机网络技术班级计算机网络技术085 姓名一、课题名称：基于Windows Server 2003安全体系的设计和部署二、主要技术指标：账户的安全、文件的安全、病毒的防护、补丁、应用程序过滤、包过滤技术、ARP攻击防护、IPSec、路由、NAT、端口映射、两种VPN、SSL、入侵检测三、工作内容和要求：在Windows Server 2003的基础上，设计企业网络拓扑图，从单机、内网、内网与Internet三个层次分析网络中存在的威胁，针对不同的威胁采用相应的技术加固网络，从而设计完成一个安全的企业网络架构。

要求：1.安全体系设计和部署只用安装了Windows Server 2003的PC机来完成；2.设计的拓扑符合目前企业网络使用的主流拓扑结构，能够防御目前企业网络所遇到的主要威胁；3.分单机、内网、内网与Internet三个层次来设计和部署安全方案，完成企业安全体系的建立；四、主要参考文献：《网络操作系统管理—Windows Server 2003的管理》（高等教育出版社）《网络基本架构的实现和管理》（高等教育出版社）《网络安全的实现和管理》（高等教育出版社）学生（签名）年月日指导教师（签名）年月日教研室主任（签名）年月日系主任（签名）年月日毕业设计（论文）开题报告基于Windows Server 2003企业安全体系的设计和部署目录基于WINDOWS SERVER 2003企业安全体系的设计和部署 (I)摘要 (1)ABSTRACT (2)前言 (3)一、网络安全技术简介 (4)1.单机安全 (4)1.1 账户的安全 (4)1.2 文件的安全 (4)1.3 病毒的防护 (5)1.4 补丁 (5)1.5 应用程序过滤 (5)2.局域网的安全 (6)2.1 包过滤技术 (6)2.2 ARP攻击 (6)2.3 IPS EC (6)3.网间安全 (7)3.1 NAT (7)3.2 端口映射 (7)3.3 VPN (7)3.4 IPS EC (8)3.5 SSL (8)3.6 入侵检测 (8)3.7 应用层网关 (8)二、安全体系的设计和部署 (9)1安全体系的设计 (9)1.1 安全体系拓扑图 (9)1.2 拓扑图说明 (9)2关键安全技术的应用 (11)2.1 EFS文件加密 (11)2.2 局域网内IPS EC应用 (14)2.3 NAT和端口映射 (25)2.4 远程拨入VPN (34)2.5 站点到站点VPN (44)2.6 SSL加密WEB访问 (52)2.7 ISA的部署应用 (55)小结 (57)结束语 (58)答谢辞 (59)参考文献 (60)摘要网络安全已经成为当今网络领域的主流话题。

随着各种中小企业也如雨后春笋般成长起来，如何在中小企业中实现企业网络安全也变得迫在眉睫。

网络安全在普通人眼里，主要涉及单机、局域网和局域网接入Internet之间的安全，本文试图就中小企业网络，在Windows Server 2003的基础上实现企业网络安全。

在本设计中，主要介绍了EFS、IPSec、SSL、VPN、防火墙的设计与部署，按照单机、局域网和、网间的顺序介绍了相关层次的主要安全威胁以及相应的解决方案。

解决了信息加密问题，远程访问问题以及局域网安全问题等一系列问题，是特别针对于中小企业的要求来设计完成的企业网络架构，对中小企业的网络安全架构具有很好的参考价值。

关键词：EFS、IPSec、VPN、SSL、ISA Server 2006AbstractNetwork security has become the mainstream of network. With all sorts of SMEs are springing up, enterprise network security how to grow up in small and medium-sized enterprises has become urgent. In ordinary people's eyes, network security mainly involving single security，LAN security and LAN access Internet security. This paper try to make the Enterprise network security true on the basic of Windows Server 2003 which is widely applied in small and medium-sized enterprises.In this design, introduces the EFS, IPSec, SSL, VPN and firewall’s design and deployment, in accordance with the stand-alone LAN and LAN access Internet introduced the order of the main security threats related to levels and the corresponding solutions. Solve the problem of information encryption, remote access issues and a range of issues such as local area network security issues, particularly the requirements for the small and medium enterprise network architecture design is completed, the network security framework for SMEs has a good reference value.Key words: EFS、IPSec、VPN、SSL、ISA Server 2006前言在信息化的今天，中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。

企业信息设施在提高企业效益的同时，也给企业带来了风险隐患。

中小企业的资金流比较薄弱，这使得中小企业在网络安全方面的投入总显得底气不足。

而企业又着眼于国内外领先的厂商产品，在这样的市场背景下，基于Windows Server 2003体系建立安全的企业网络体系，被一些企业所选择。

本设计就这个趋势，结合企业的实际需要，完成网络安全的基础架构，设计针对复杂网络应用的一体化解决方案，具备了处理突发事件、实时监控、提供安全策略配置，使用企业网络管理员能够很容易地完善自身安全体系。

网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。

任何安全系统必须建立在技术、组织和制度这三个基础之上。

本文着重于技术，从单机、局域网和网间三个方向，着重介绍了EFS加密、VPN系统、IPSec 加密、SSL和防火墙部署。

本设计通过模仿企业的真实场景，部署相应的安全技术，保证企业网络的安全，提供了对中小企业网络的解决方案，希望会对中小企业的网络安全架构会有所帮助。

一个人的力量毕竟是有限的，如有不足，欢迎指正批评，感谢大家的支持。

一、网络安全技术简介1.单机安全单机安全，就是相当于在网线拔掉之后，计算机可能会遇到的安全问题，涉及的安全技术主要有下面的几个方面：1.1账户的安全在系统装好后，默认的系统管理员账户是administrator，因为其是众所周知的，所以这个账户的极不安全的，首先要做的就是重命名这个账户，然后新建一个最小用户权限的账户administrator，可以起到保护系统管理员账户的作用，同时也可以通过审核账户登录事件来查看是否有人企图用这个账户登录系统，如果有可以尽早采取安全措施。

还有就是禁用一般不会用到的Guest账户，等到需要时再开启[5]。

通过组策略里面的账户策略，设定密码策略，可以启用密码复杂性要求，设定密码长度的最小值，设定密码最长和最短存留期，设定强制密码历史为0（即不保存密码），通过这些来保证用户密码的安全。

还可以设置账户锁定策略，防止有人用不同的密码试探登录系统窃取用户重要文件及信息。

通过授权，赋予不同用户特定的权限，要求其只可以访问授权的文件，这样，保证了资源共享，也保证了用户私密资料不会被未授权用户获取。

1.2文件的安全日常中可能遇到的安全隐患是笔记本丢失导致主机硬盘数据被窃取，导致用户重要文件和信息的泄露。

在微软现在主流的XP或2003操作系统中，提供了文件级别的EFS（Encry File System，加密文件系统）加密技术[4]。

EFS是Windows 2000及以上Windows版本中，磁盘格式为NTFS的文件加密，它对用户是透明的。

也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。

而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的提示。

EFS加密的用户验证过程是在登录Windows 时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

在EFS 中，采用来自用户证书的公钥对文件加密密钥进行加密。

要对文件解密，必须提供只有文件所有者才有的私钥。

因此，如果笔记本或主机硬盘被盗，偷盗者重新装系统或夹在硬盘到其他计算机，进去访问原有加密文件，是拒绝访问的，因为用户证书的公钥已经丢失。

另外，还有专门针对特定文件的加密技术，如针对word和PDF等的加密技术，也可以保证文件的安全。

1.3病毒的防护现在优盘的使用很是普遍，它也成为了一些病毒传播的载体，因此，即使不进行联网，也可能在使用优盘的过程中中毒，因此，杀毒软件的安装必须的。

1.4补丁补丁是对于大型软件系统(如微软操作系统)在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序。

如果不及时打补丁，很有可能被恶意程序代码攻击，造成操作系统瘫痪[3]。

1.5应用程序过滤有些应用程序并不常用，在有某些操作时也许会触发这个应用程序的运行，这时可以通过Windows自带防火墙，设定防火墙阻止这类特定应用程序的运行，从而保证系统的安全[1]。