网关堡垒机设计方案
堡垒机设计方案
网关型堡垒机:
网关型的堡垒机被部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。
堡垒机要求:4核cup 10G 内存 硬盘100G Winxp 系统
一. Winxp系统安装,系统激活。(最好用server版本系统)
2.产品秘钥:3FKBQ-32TH7-D3TJB-YBWTQ-D26VQ
3.系统激活工具:小马哥激活工具
二.先设置管理员账号和密码,然后设置远程到本机的账户和密码。
1.重命名系统管理员账户名称及禁止来宾用户。设置方法在本地策略—安全选项分支中,找到“账号:来宾账号状态”策略右击属性,设置为已停用,最后确定退出。
然后再上图最下方找到:账户:重命名系统管理员账户
2.密码最好在8位以上字母数字组合,最好定期修改密码
密码策略启用,以及相关要求如下:
3.分配本地用户权限. 管理员指派特定权限给租户或者单个用户账号。在“安全设置”中,定位于“本地策略→用户权利指派”,而后在其右侧的设置视图中针对各项策略分别进行安全设置。
4.活动IP安全策略,关闭可能的危险端口
单击"开始"菜单,然后选择"设置→控制面板",在弹出的"控制面板"中,双击"管理工具"图标,进入到"管理工具"中,再次双击其中的"本地安全策略"图标并进入到"本地安全策略"对话框中。用鼠标右击"IP安全策略",选择"创建IP安全策略"命令,在弹出的"IP安全策略向导"对话框中,单击"下一步"按钮,输入IP安全策略的名称
如"屏蔽135端口",再次单击"下一步"按钮,保持默认参数设置不变,直至完成位置,这样就创建出来了一个"屏蔽135端口"的安全策略,单击"确定"按钮返回。
然后设置筛选器:
鼠标右击"IP安全策略",选择"管理IP筛选器和筛选器操作",进入到相应得对话框中,在"管理IP筛选器列表"页面中,点击"添加"按钮,在弹出的"IP筛选器列表"中输入名称"屏蔽135端口",单击"添加"按钮,再点击"下一步"按钮。在目标地址中选择"我的IP地址",点击"下一步"按钮,在协议中选择"TCP"(一般选择此项,根据具体的端口设定,如关闭ICMP协议时,这里选择ICMP),如图3所示,点击"下一步"按钮,在设置IP协议端口中选择从任意端口到此端口,在此端口中输入135,点击"下一步"按钮,即可完成屏蔽135端口的设置,单击"确定"按钮返回。其他端口的设置与此类似如下图:
然后筛选器操作:
在"管理IP筛选器和筛选器操作"对话框,进入到"管理筛选器操作"页面,点击"添加"按钮后,再单击"下一步"按钮,在名称中输入"拒绝",点击"下一步"按钮。在筛选器操作中选择"阻止"项,点击"下一步"按钮,这样在管理筛选器操作中就会增加"拒绝"一项了。
单击"关闭"按钮返回到"本地安全设置"对话框中。
在"本地安全设置"对话框中双击左侧窗口中的"IP安全策略 在本地计算机",我们可以看到右侧窗口中会出现"屏蔽135端口"字样,用鼠标右击这个新建的IP安全策略"屏蔽135端口",选择"属性"。在规则中选择"添加",点击"下一步"按钮,选择"此规则不指定隧道",接着点击"下一步"按钮,在选择网络类型中选择"所有网络连接",点击"下一步"按钮,在IP筛选器列表中选择"屏蔽135端口。
点击"下一步"按钮,在出现的窗口中选中前面操作中添加的"拒绝",单击"下一步"按钮,这样就将筛选器加入到了名为 "屏蔽135端口"的IP安全策略中了,单击"确定"按钮返回
再然后指派:
完成了"屏蔽135端口"的IP安全策略的建立,但是在未被指派之前,它并不会起作用。用鼠标右击"屏蔽135端口",选择"指派"后,IP安全策略就生效了。同样的方法还可以关闭其他的无用端口,这样我们就亲手创建一个了安全的网络防火墙
三.部署Win2003 安全策略:
1.删除共享:查看当前共享可以通过在命令行下输入net share,也可以在控制面板--计算机管理,依次点击”系统工具“--”共享文件“--”共享“查看
net share admin$/delete
net share c$/delete,.... 其他驱动器共享依次删除
2.禁止IPC空连接
在开始--运行,输入regedit,把注册表中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa位置的RestrictAnonymous值由0改为1。需要重新启动机器生效。但是上面的注册表修改后,重启机器只是禁止简历空连接,ipc$服务还是会启动,如果想完全禁止,可以直接把控制面板--管理工具--服务,将右侧server服务先停止掉,然后禁用即可,不过这样也会影响网络共享等,需要共享时可以再启动该服务即可。
注释:在初次安装系统时还打开了默认共享即打开所有逻辑共享和系统目录winnt或windown共享。方便管理员的管理,但是无意之中,导致系统安全性降低。
3,关闭139端口
在鼠标右键网上邻居--本地连接,选取”internet协议(tcp/ip)“,点击属性,点击高级,选择wins,下面有一项”禁用tcp/ip的NETBIOS“,勾上即可。
4,关闭445端口
在开始--运行,输入regedit,在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters在右侧窗口中新建键值,名称SMBDeviceEnabled,类型REG_DWORD,键值为0。
针对139端口和445端口说明:445端口和139端口一起是IPC$入侵的主要通道。我们可以通过该端口在局域网中轻松访问各种共享文件夹或共享打印机,黑客可能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!我们所能做的就是想办法不让黑客有机可乘,封堵住445端口和139端口漏洞
5,禁止服务
控制面板--管理工具--服务,关闭一下服务:
1、Alerter——通知所选用户和计算机有关系统管理级警报(建议关闭)
2、ClipBook——启用“剪贴簿查看器”储存信息并与远程计算机共享(建议关闭,如果使用共享时发现问题,顺便检查这个设置)
3、DistributedLink Tracking Server——用于局域网更新连接信息(个人用户一般不需要,改手动),把Distributed Link Tracking Client改手动
4、IndexingService——提供本地或远程计算机上文件的索引内容和属性(建议关闭)
5、Messenger——信使服务(建议关闭)
6、NetMeetingRemote Desktop Sharing——允许受权用户通过NetMeeting在网络上互相访问(建议关闭)
7、Network DDE——为在同一台计算机或不同计算机上运行的程序提供动态数据交换(建议关闭)
8、Network DDEDSDM——管理动态数据交换 (DDE) 网络共享](建议关闭)
9、PerformanceLogs And Alerts——记录机器运行状况而且定时写入日志或发警告(可选关闭)
10、Remote DesktopHelp Session Manager——远程帮助服务(建议关闭)
11、RemoteRegistry——使远程计算机用户修改本地注册表(建议关闭)
12、Routing andRemote Access——在局域网和广域往提供路由服务(如果不清楚就关闭掉)
13、Server——支持此计算机通过网络的文件、打印、和命名管道共享(如果不需要共享文件打印机,则可关闭)
14、TCP/IPNetBIOSHelper——提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络(如果你的网络不用Netbios或WINS,建议关闭)
注释:如服务中存在此服务建议按照以上说明设置,如果无此选项,无需设置。
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能会出现严重问题。这些问题可能需要重新安装操作系统才能解决。
6.本地策略
依次打开:系统和安全--管理工具--本地安全策略--本地策略--审核策略
1.审核策略更改(选择成功失败)
2.审核登陆事件(选择成功失败)
3.审核对象访问(选择失败)
4.审核跟踪过程(无审核)
5.审核目录服务访问(无审核)
6.审核特权使用(选择失败)
7.审核系统事件(选择成功失败)
8.审核帐户登陆时间(选择成功失败)
9.审核帐户管理(选择成功失败)
8.本地安全策略
依次打开:系统和安全--管理工具--本地安全策略--本地策略--安全选项
1、交互式登陆:不需要按 Ctrl+Alt+Del(启用)
2、交互式登录: 不显示上次的用户名(禁用)
3、网络访问:不允许SAM帐户的匿名枚举(启用)
4、网络访问:可匿名的共享(将策略设置里的值删除)
5、网络访问:可匿名的命名管道(将策略设置里的值删除)
6、网络访问:可远程访问的注册表路径(将策略设置里的值删除)
7、设备: 将 CD-ROM 的访问权限仅限于本地登录的用户(启用)
9.用户权限分配
1、从网络访问此计算机,如果不需要可以把除administrators外全部删除。
2、从远程系统强制关机,全部帐户删除。
3、拒绝从网络访问这台计算机,将SUPPORTxxx这个帐户删除。
11,用户和组策略
管理工具——计算机管理——本地用户和组——用户,删除Support_388945a0和HelpAssistant帐户。