《第9章计算机网络安全1资料》由会员分享,可在线阅读,更多相关《第9章计算机网络安全1资料(66页珍藏版)》请在金锄头文库上搜索。
1、第6章网络安全主要内容第一节网络安全概述第二节威胁网络安全的因素第三节网络遭受攻击的形式第四节网络安全防范措施第五节网络安全解决方案第六节防火墙实用技术第七节MSProxyServer的安全第八节WindowsNT中的Web安全第一节网络安全概述主要内容网络安全的含义网络安全的标准网络安全的特征网络安全的结构层次主要的网络安全威胁6.1.1网络安全的含义网络安全就其本质而言是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。简单来讲,网络安全可包括如下三个部分:l系统不被侵入。l数据不丢失。l网络中的计算机不被病
2、毒感染。6.1.2网络安全的标准1运行系统安全2网络上系统信息的安全3网络上信息传播的安全4网络上信息内容的安全6.1.3网络安全的特征网络安全应具有以下四个方面的特征:l保密性l完整性l可用性l可控性6.1.4网络安全的结构层次网络的安全层次分为物理安全、控制安全、服务安全和协议安全。1物理安全l自然灾害、物理损坏、设备故障、意外事故等。l电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入、痕迹泄露。l操作失误、意外疏漏。l计算机系统机房环境的安全漏洞。6.1.4网络安全的结构层次2控制安全l计算机操作系统的安全控制主要用于保护存储在硬盘上的信息和数据。l网络接口模块的安全控制在网络环境下对
3、来自其他机器的网络通信进程进行安全控制。l网络互联设备的安全控制对整个子网内所有主机的传输信息和运行状态进行安全监测和控制。6.1.4网络安全的结构层次3服务安全服务安全包括:对等实体认证服务、访问控制服务、数据加密服务、数据完整服务、数据源点认证服务、禁止否认服务等。6.1.4网络安全的结构层次4TCPIP协议安全TCPIP协议安全主要用于解决下列问题:lTCPIP协议数据流采用明文传输。l源地址欺骗(Sourceaddressspoofing)或IP欺骗(IPspoofing)。l源路由选择欺骗(SourceRoutingspoofing)。l路由信息协议攻击(RIPAttacks)。l鉴
4、别攻击(AuthenticationAttacks)。lTCP序列号欺骗攻击(TCPSYNFloodingAttack),简称SYN攻击。l易欺骗性(Easeofspoofing)。6.1.5主要的网络安全威胁1网络安全威胁的表现形式l自然灾害、意外事故。l计算机犯罪。l人为行为,例如使用不当,安全意识差等。l“黑客”行为,由于黑客的入侵或侵扰。l内部泄密。l外部泄密。l信息丢失。l电子谍报,例如信息流量分析、信息窃取等。l信息战。l网络协议中的缺陷。6.1.5主要的网络安全威胁l假冒合法用户l非授权访问l干扰系统的正常运行l破坏数据完整l传播病毒l窃听l重传l伪造l篡改l服务封锁攻击l行为否
5、认2网络安全威胁的特征第二节威胁网络安全的因素主要内容内部因素各种外部威胁病毒简介6.2.1内部因素1操作系统的脆弱性2计算机系统的脆弱性3协议安全的脆弱性4数据库管理系统安全的脆弱性5人为因素6.2.2各种外部威胁1物理威胁2网络威胁(1)网络连接(2)网络媒介3身份鉴别4病毒感染5系统漏洞病毒简介病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分:复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。(1)病毒的分类文件病毒、引导病毒、混合型病毒、异形病毒、宏病毒(2)病毒的传播方式病毒一旦进入系统以后,通常用以下两种方式传播:l通过磁盘的关
6、键区域:主要感染工作站。l通过可执行文件:主要感染服务器。(3)病毒的工作方式变异、触发、破坏病毒简介(4)计算机病毒的特征传染性、隐蔽性、潜伏性、破坏性(5)计算机病毒的破坏行为l攻击系统数据区。l攻击文件。l干扰系统运行。l干扰键盘输入或屏幕显示。l攻击CMOS。l干扰打印机的正常工作。l网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。病毒简介(6)网络病毒的特点传染方式多、传染速度快、清除难度大、破坏性强、激发形式多样、潜在性(7)常见的网络病毒电子邮件病毒、Java程序病毒、ActiveX病毒、网页病毒(8)网络对病毒的敏感性对文件病毒的敏感性、对引
7、导病毒的敏感性、对宏病毒的敏感性病毒简介(9)网络计算机病毒的防治第一,加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。(10)防毒、杀毒软件的选择选购防毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等第三节网络遭受攻击的形式主要内容服务封锁攻击电子邮件攻击缓冲区溢出攻击网络监听攻击黑客技术6.3.1服务封锁攻击服务封锁攻击是指一个用户占有大量的共享资源,使系统没有剩余的资源给其他用户再提供服务的一种攻击方
8、式。服务封锁攻击的结果是降低系统资源的可用性,这些资源可以是CPU时间、磁盘空间、MODEM、打印机,甚至是系统管理员的时间。服务封锁攻击是针对IP的核心进行的。服务封锁攻击的方式很多6.3.2电子邮件攻击现在的电子邮件攻击主要表现如下形式:l窃取、篡改数据l伪造邮件l服务封锁l病毒6.3.3缓冲区溢出攻击缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会引发缓冲区溢出。攻击者可以设置一个超过限缓冲区长度的字符串,然后植入缓冲区,向一个空间有限的缓冲区植入超长字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严
9、重时可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统超级权限6.3.4网络监听攻击在网络中,当信息进行传播的时候,可以利用某种工具,将网络接口设置在监听的模式,从而截获网络中正在传播的信息,然后进行攻击。6.3.5黑客技术黑客(Hacker)一般是指计算机网络的非法入侵者。1黑客的攻击步骤信息收集,对系统的安全弱点进行探测与分析,实施攻击。2黑客的手法(1)口令的猜测或获取:字典攻击、假登录程序、密码探测程序、修改系统。(2)IP欺骗与窥探(3)扫描(4)缓冲区溢出6.3.5黑客技术3防黑客技术(1)防字典攻击和口令保护(2)预防窥探(3)防止IP欺骗(4)建立完善
10、的访问控制策略(5)信息加密(6)其他安全防护措施6.3.5黑客技术4黑客攻击的处理对策(1)发现黑客(2)处理原则(3)发现黑客后的处理对策l不理睬。l使用write或者talk工具询问他们究竟想要做什么。l跟踪这个连接,找到入侵者的来路和身份l管理员可以使用一些工具来监视入侵者。l杀死这个进程来切断入侵者与系统的连接。拔下调制解调器或网线,或者关闭服务器。l找出安全漏洞并修补漏洞,再恢复系统。l最后,记录下整个事件的发生发展过程,归档保存,并从中吸取经验教训。第四节网络安全防范措施主要内容保护策略专用网络的保护个人计算机系统的保护上网防范措施6.4.1保护策略1用备份和镜像技术提高数据可靠
11、性2创建安全的网络环境3数据加密4防治病毒5安装补丁程序6仔细阅读日志7提防虚假的安全8构筑防火墙6.4.2专用网络的保护1窃听与监视2身份鉴别3局域网的漏洞4过分复杂的安全配置5管理失误是最严重的问题6.4.3个人计算机系统的保护1防备来自网络的病毒2不运行来历不明的软件3加强计算机密码管理6.4.4上网防范措施1设置警告提示2使用多种浏览器软件3及时进行软件升级4手工修改注册表5使用病毒检测防护软件第五节网络安全解决方案主要内容网络信息安全模型安全策略设计依据网络安全解决方案网络安全技术措施网络安全的评估6.5.1网络信息安全模型1政策、法律、法规2增强的用户认证3授权4加密5审计与监控6
12、.5.2安全策略设计依据制订网络安全策略时应考虑如下因素:l对于内部用户和外部用户分别提供哪些服务程序。l初始投资额和后续投资额(新的硬件、软件及工作人员)。l方便程度和服务效率的平衡。l复杂程度和安全等级的平衡。l网络性能。6.5.3网络安全解决方案1信息包筛选2应用网关3加密与确认6.5.4网络安全技术措施(1)物理层的安全防护:主要通过制定物理层的管理规范和措施来提供安全解决方案。(2)链路层的安全防护:主要是利用链路加密措施对数据进行加密保护。它加密所有用户数据并在目的结点完成解密。(3)网络层的安全防护:网络层主要采用防火墙作为安全防护手段,实现初级安全防护。也可以根据一些安全协议实
13、施加密保护。还可进行入侵检测。(4)传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层应支持对等实体认证服务、访问控制服务、数据保密服务、数据完整服务、数据源点认证服务。(5)应用层的安全防护:可以实施强大的基于用户的身份认证,还可加强数据的备份和恢复环节。6.5.4网络安全技术措施在实际的安全设计中,往往综合采用下列技术措施:1身份验证2访问授权(Authorization)3实时侵入检测技术4网络分段5选择集线器6VLAN技术7VPN技术8防火墙技术6.5.5网络安全的评估网络系统的安全措施应实现如下目标:l对存取的控制;l保持系统和数据的完整;l能够对系统进行
14、恢复和对数据进行备份。第六节防火墙实用技术主要内容防火墙技术概述防火墙的类型防火墙的配置6.6.1防火墙技术概述1防火墙的组成部分包过滤器、链路级网关和应用级网关或代理服务器。典型的防火墙如图所示。6.6.1防火墙技术概述2防火墙的作用弥补网络服务的脆弱性、控制对网络的存取、集中的安全管理、网络使用情况的记录及统计3防火墙的局限性绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。4基本防火墙壁设计在设计防火墙时必须确定:防火墙的行为准则、机构的安全策略、费用、系统的组件或构件。防火墙有两种相反的行为准则:拒绝没有特
15、别允许的任何服务l允许没有特别拒绝的任何服务6.6.2防火墙的类型1包过滤防火墙如图所示:6.6.2防火墙的类型2代理防火墙由代理服务器和过滤路由器组成,它将过滤器和软件代理技术结合在一起。3双宿主机防火墙该防火墙是用主机来执行安全管制功能。一台双宿主机配置有多个网卡,分别连接不同的网络。6.6.3防火墙的配置1包过滤路由器2双宿主网关双宿主网关仅用一个代理服务器(如图所示),代理服务器就是安装于双宿主机的代理服务器软件。6.6.3防火墙的配置3主机过滤防火墙主机过滤防火墙由分组过滤路由器和应用网关组成(如图所示)。6.6.3防火墙的配置4子网过滤防火墙在主机过滤配置上再加一个路由器,形成一个
16、被称为非军事区的子网(如图所示),这个子网还可能被用于信息服务器和其他要求严格控制的系统,形成三道防火线。第七节MSProxyServer的安全主要内容代理服务器的工作过程代理服务器用作防火墙6.7.1代理服务器的工作过程l代理服务器拦截网络内部用户发往Internet服务器的请求。l它把自己的地址作为源地址,对请求重新打包,然后把请求发给目标Web服务器。l当Web服务器返回一个响应时,这个响应将被发送给代理服务器。l代理服务器确认这个响应是正确的,然后,再转发给内部用户。6.7.2代理服务器用作防火墙如图所示:第八节WindowsNT中的Web安全主要内容WindowsNT的安全体系结构WindowsNT4.0本身的安全漏洞WindowsNT登录安全系统配置WindowsNT资源访问控制安全系统的设置WindowsNT安全审核系统的配置Windows
