2025年网络最高安全指南Windows系统（精选8篇）.docx

该【2025年网络最高安全指南Windows系统（精选8篇） 】是由【haha】上传分享，文档一共【49】页，该文档可以免费在线阅读，需要了解更多关于【2025年网络最高安全指南Windows系统（精选8篇） 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。2025年网络最高安全指南Windows系统（精选8篇）
篇1：网络最高安全指南Windows系统
一般被保护的内部 网络 可分成两部分，一部分是内部通讯区，只允许内部用户访问，绝对禁止外部用户访问，另一部分是停火区DMZ，对外提供有条件的服务，前者是系统的核心子网，后者易受到外部的攻击，是一个比较危险的子网环境。一方面要求严格保护内部子网，
一般被保护的内部网络可分成两部分，一部分是内部通讯区，只允许内部用户访问，绝对禁止外部用户访问，另一部分是停火区DMZ，对外提供有条件的服务。前者是系统的核心子网，后者易受到外部的攻击，是一个比较危险的子网环境。一方面要求严格保护内部子网，另一方面又要满足DMZ对外提供服务的需要，因此，必须采用分别保护的策略，对上述两个区域进行保护。两个区域要尽量独立，即使DMZ受到外部攻击，内部子网仍处于防火墙的保护之下。
本文介绍利用Linux的iptables工具来建立一个具有DMZ的防火墙。
一、软硬件要求
充当防火墙的机器是一台支持iptables的Linux系统，装有三个网卡。
二、具体配置
步骤1：配置内核
，在编译新内核时，要求选择和netfilter相关的项目，这些项目通常都是位于“Networking options”子项下。
步骤2：环境构造
这里给出一个用于测试的例子，实际应用可根据具体的情况进行设置。
对外提供服务的内部主机构成一个停火区（），防火墙的两个网卡eth1、eth2分别通过hub1、hub2与停火区、内部通讯区相连，另一个网卡eth0通过直连线（或hub）与路由器的网卡eth1相连，路由器的另一网卡eth0通过一个hub与外部通讯区相连。如图所示。
路由器增加以下设置：
route add -net netmask gw
arp -i eth1 -Ds eth1 pub
防火墙的设置为：
route add default gw
route add -host gw
route add -net netmask gw eth1
。
。
。
步骤3：建立规则
在防火墙上创建如下脚本并运行之。
#!/bin/sh
######## default firewall rules-deny all ########
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
###############################################
# Rules between EXTERNAL LAN and INTERNAL LAN #
###############################################
######## masquerade INTERNAL Address to when going out ########
iptables -t nat -A POSTROUTING -s -d -o eth0 -j SNAT --to
######## deny all from EXTERNAL LAN to INTERNAL LAN directly ########
iptables -t nat -A PREROUTING -s -d -i eth0 -j DROP
######################################
# Rules between DMZ and INTERNAL LAN #
######################################
######## allow INTERNAL LAN to DMZ ########
iptables -A FORWARD -p icmp -s -d -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A FORWARD -s -d -i eth2 -j ACCEPT
######## forbid DMZ to INTERNAL LAN except following instance ########
iptables -A FORWARD -p tcp -s -d ! --syn -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -s --sport 20 -d -i eth1 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 0 -s -d -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A FORWARD -p udp -s -d --sport 53 -j ACCEPT
######################################
# Rules between EXTERNAL LAN and DMZ #
######################################
### allow EXTERNAL LAN to DMZ but deny all from EXTERNAL LAN to DMZ directly ###
iptables -t nat -A PREROUTING -s -d -i eth0 -j DROP
### REAL_XX is real address of XX server in DMZ ###
### MASQ_XX is the masquaded address of REAL_XX supplied to EXTERNAL LAN ###
######## allow DNS service ########
iptables -t nat -A PREROUTING -p udp -d MASQ_DNS -s --dport 53 -i eth0 -j DNAT --to REAL_DNS
iptables -A FORWARD -p udp -s -d REAL_DNS -i eth0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d -s REAL_DNS -i eth1--sport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d MASQ_DNS -s --dport 53 -i eth0 -j DNAT --to REAL_DNS
iptables -A FORWARD -p tcp -s -d REAL_DNS -i eth0 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -d -s REAL_DNS -i eth1 --sport 53 ! --syn -j ACCEPT
######## allow HTTP service ########
iptables -t nat -A PREROUTING -p tcp --dport 80 -d MASQ_HTTP -s -i eth0 -j DNAT --to REAL_HTTP
iptables -A FORWARD -p tcp -s -d REAL_HTTP -i eth0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d -s REAL_HTTP -i eth1 --sport 80 ! --syn -j ACCEPT
######## allow FTP service ########
iptables -t nat -A PREROUTING -p tcp --dport 21 -d MASQ_FTP -s -i eth0 -j DNAT --to REAL_FTP
iptables -A FORWARD -p tcp -s -d REAL_FTP -i eth0 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s REAL_FTP -d -i eth1--sport 20 -j ACCEPT
iptables -A FORWARD -p tcp -d -s REAL_FTP -i eth1--sport 21 ! --syn -j ACCEPT
．．．．．．
### You can add other services in DMZ here such as TELNET、SMTP、POP3 & IMAP etc. ###
．．．．．．
######## deny DMZ to EXTERNAL LAN except to external smtp server ########
iptables -t nat -A POSTROUTING -p tcp --dport 25 -d -s REAL_SMTP -o eth0 -j SNAT --to MASQ_SMTP
iptables -A FORWARD -p tcp -s REAL_SMTP -d -i eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -d REAL_SMTP -s -i eth0--sport 25 ! --syn -j ACCEPT
通过以上步骤，具有DMZ的防火墙达到了以下目标：
1．内部通讯区可以无限制的访问外部通讯区以及DMZ，但访问外部通信区时防火墙进行了源地址转换，
2．外部通讯区可以通过对外公开的地址访问DMZ的服务器，由防火墙完成对外地址到服务器实际地址的转换。
3．外部通讯区不能访问内部通讯区以及防火墙。
4．DMZ不可以访问内部通讯区。
5．除外部通讯区邮件服务器外，DMZ不能访问外部通讯区。
原文转自：
篇2：Windows 安全问答Windows系统
一天，盆盆不小心把Windows 2000的登录密码给误改了，现在硬是“鬼子不能进村”，遂急呼汤汤来帮忙， 旁门左道不通 盆盆：汤汤，快救救我吧，我的电脑现在六亲不认，自家人不能进自家门。我该怎么办，不会要重装吧？ 汤汤：钥匙丢了，正门自然不让进，但我们
一天，盆盆不小心把Windows 2000的登录密码给误改了，现在硬是“鬼子不能进村”，遂急呼汤汤来帮忙。
旁门左道不通
盆盆：汤汤，快救救我吧，我的电脑现在六亲不认，自家人不能进自家门。我该怎么办，不会要重装吧？
汤汤：钥匙丢了，正门自然不让进，但我们可以试试 ――“输入法漏洞”，当系统启动到登录界面时，按“Ctrl+Shift”调出任一输入法，并激活其帮助文档，右击“选项”按钮，点击“跳到url”……（为了安全原因，此处省去百余字）。运气不错，果然进入了。
盆盆：太感谢你了，不过还有一个地方也让我“郁闷”，万一哪天别人也从这个“密道”里潜入我的系统，那我怎么办？
汤汤：说得对，Windows 2000有那么大一个窟窿，一旦有不怀好意的人进来，那你的机器就算是铜墙铁壁，也会“四十万人齐卸甲”。“Service Pack”，把这个窟窿眼堵上吧（如图1）。
图1 下载最新的“Service Pack”
治标更要治本
汤汤：尽管外界对微软的产品有颇多微词，贬低微软甚至还成了业界的一种时尚。但是平心而论，Windows 2000的安全性能还是很不错的，尤其是和它的前辈Windows 98相比，可以说是上了一个台阶。今天我就给你讲讲如何对Windows 2000进行安全配置吧。
首先，对你的管理员账号（Administrator）进行“易容术”（重命名），这样就可以防止一些穷举密码工具的骚扰。比如把你的管理员账号改名为“你的仆人”，这样就算有无聊的人想搞破坏，也万难“篡位”成功。
盆盆：这个方法很不错，但是怎么改呢？
汤汤：右击“我的电脑→管理”，展开“计算机管理”窗口里的“本地用户和组”，点击“用户”，在右面的详细窗格里右击你的管理员账号，选“重命名”即可。 盆盆：我的电脑有好几个人在用，我给他们分别创建了User组账号，现在有一个朋友说他不能关机了，这是怎么回事啊？
汤汤：那么多的用户就他一个无法关机，显然不是软硬件配置问题。这里要隆重推荐一位明星――“用户权力指派”，此公专司用户权限的分配与仲裁，相当于球场上的裁判，如果存在分配不公，那多半是这位裁判吹了“黑哨”。要请动这位裁判并不难，只需进入“管理工具→本地安全策略→本地策略”，然后展开窗口里的“用户权力指派”即可（如图2）。
图2 为用户指派不同权力
现在我们来看看它是如何来裁断这个用户的：你只需在图2所示的右边详细窗格里找到“关闭系统”，在右键菜单里选“安全性”，然后把这个用户添加进去即可，
盆盆：没想到这个裁判权力这么大，那它还有什么别的功能吗？
汤汤：那当然了，下面举几个简单例子。一些操作权限（特别是处理不当会危及整个系统的），通常只赋予管理员组的用户，例如管理“审核和安全日志”、“远程关机”、“安装驱动程序”等。当然你也可以把这些权力下放给信得过的用户。
比如说安装驱动程序，如果每次都要劳动你的大驾，也是有点无趣，不妨委派给你的亲信去操作，大可不必大权独揽、事必躬亲。还有，你的机器是一个单机环境，没必要从网络访问，你应该把“拒绝从网络访问此计算机”的权限赋给Everyone组的成员，这样还可以对 入侵说不，套用一句现成的广告词：算是治到根本上了。
君子请勿动手
盆盆：我突发奇想，想让每个用户登录系统的时候，屏幕上都显示一句话：“本系统属于盆盆，任何人都不要试图进行破坏”，好让他人知道，“君子动口不动手”，不知道可不可以，是不是要改注册表啊？
汤汤：这种小Case当然用不着劳动注册表的大驾，这时候我们要有请另一个“腕儿”――“安全选项”。说来也巧，它正好和“用户权力指派”同处一个办公室（都位于“本地安全策略”控制台下）。在图2所示的窗口单击“安全选项”，然后在右边详细窗格找到“用户视图登录时消息文字”，双击即出现图3所示的界面。在文本框里输入你想要的警示语，完成之后重新登录看看，你就没事偷着乐吧！