《08-网络安全与网络管理的学习精编版》由会员分享,可在线阅读,更多相关《08-网络安全与网络管理的学习精编版(53页珍藏版)》请在金锄头文库上搜索。
1、计算机网络技术,第8章 网络安全与网络管理,学习内容: 网络安全的定义和面临的威胁 病毒的定义、分类、特点及防治 黑客的概念、攻击目的和防范措施 防火墙的概念和功能特点 网络管理的基本概念 简单网络管理协议SNMP,8.1 网络安全概述,网络安全问题已经成为信息化社会的一个焦点问题; 每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。,网络安全的概念,网络安全是指网络系统的硬件、软件及其系统的数据不受到偶然的或者恶意的因素而遭到破坏、更改和泄露,系统连续可靠的正常地运行,网络服务不中断。网络安全包括五个基本要素:机
2、密性、完整性、可用性、可控性与可审查性。 机密性:是指网络信息的内容不会被未授权的第三方所知。 完整性:指信息在存储或传输时不被篡改、破坏,不出现信息包的丢失、乱序等。 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。 可控性:可以控制授权范围内的信息流向及行为方式。 可审查性:对出现的网络安全问题提供调查的依据和手段。,构成对网络安全威胁的主要因素与相关技术的研究 网络防攻击问题 网络安全漏洞与对策问题 网络中的信息安全保密问题 网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题,网络防攻击问题,服务攻击: 对网络提供某种服务的服务
3、器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常; 非服务攻击: 不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。,网络防攻击主要问题需要研究的几个问题,网络可能遭到哪些人的攻击? 攻击类型与手段可能有哪些? 如何及时检测并报告网络被攻击? 如何采取相应的网络安全策略与网络安全防护体系?,网络安全漏洞与对策的研究,网络信息系统的运行涉及到: 计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议 网络安全漏洞也会表现在以上几个方面。,网络中的信息安全保密,信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连
4、网计算机中的信息不会 被未授权的网络用户非法使用; 信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击;,网络中的信息安全保密问题,数据加密与解密,将明文变换成密文的过程称为加密; 将密文经过逆变换恢复成明文的过程称为解密。,网络内部安全防范问题,网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为; 对网络与信息安全有害的行为包括:有意或无意地泄露网络用户或网络管理员口令;违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞;违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据;违反网络使用规定,越权修改网络系统配置,造成
5、网络工作不正常; 解决来自网络内部的不安全因素必须从技术与管理两个方面入手。,网络防病毒问题,目前,70%的病毒发生在计算机网络上; 连网微型机病毒的传播速度是单机的20倍,网络服务器消除病毒所花的时间是单机的40倍; 电子邮件病毒可以轻易地使用户的计算机瘫痪,有些网络病毒甚至会破坏系统硬件。,网络数据备份与恢复、灾难恢复问题,如果出现网络故障造成数据丢失,数据能不能被恢复? 如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?,网络安全机制:,网络安全机制(security mechanisms)可分为两类:一类与安全服务有关,另一类与管理功能有关。ISO
6、7498-2建议了以下八种机制。 (1)加密机制:加密是确保数据保密性。 (2)数字签名机制:数字签名用来确保数据真实性和进行身份验证。 (3)访问控制机制:访问控制按照事先确定的规则来决定主体对客体 的访问是否合法。 (4)数据完整性机制:数据完整性是保证数据不被修改。 (5)认证机制:计算机网络中认证机制主要有站点认证、报文认证、 用户和进程的认证。 (6)信息流填充机制:信息流填充使攻击者不知道哪些是有用信息, 哪些是无用信息,从而挫败信息流分析攻击。 (7)路由控制机制:路由控制机制可根据信息发送者的申请选择安全 路径,以确保数据安全。 (8)公正机制:主要是在发生纠纷时进行公正仲裁用
7、。,8.2 计算机病毒及黑客入侵,1、计算机病毒特点 灵活性 传播性 隐蔽性 潜伏性 破坏性,2、计算机病毒的类型,引导型病毒 可执行文件病毒 宏病毒 混合型病毒,3、造成网络感染病毒的主要原因 70%的病毒发生在网络上; 将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右; 从网络电子广告牌上带来的病毒约占7%; 从软件商的演示盘中带来的病毒约占6%; 从系统维护盘中带来的病毒约占6%; 从公司之间交换的软盘带来的病毒约占2%; 其他未知因素约占27%; 从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。,4、网络病毒的危害,网络病毒感染一般是从用户工作
8、站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所; 网络服务器在网络病毒事件中起着两种作用:它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代理人,在工作站之间迅速传播与蔓延病毒; 网络病毒的传染与发作过程与单机基本相同,它将本身拷贝覆盖在宿主程序上; 当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。,5、网络病毒的防治措施,不使用或下载来源不明的软件。 不轻易上一些不正规的网站。 提防电子邮件病毒的传播。一些邮件病毒会利用 ActiveX 控件技术,当以 HTML 方式
9、打开邮件时,病毒可能就会被激活。 经常关注一些网站、 BBS 发布的病毒报告,这样可以在未感染病毒时做到预先防范。 及时更新操作系统,为系统漏洞打上补丁。 对于重要文件、数据做到定期备份。,6、典型网络防病毒软件的应用,网络防病毒可以从以下两方面入手:一是工作站,二是服务器; 网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒; 网络防病毒软件一般允许用户设置三种扫描方式:实时扫描、预置扫描与人工扫描; 一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。,
10、常用杀毒软件,瑞星杀毒软件 金山杀毒软件 诺顿杀毒软件,7、黑客的概念及特征,黑客群体扩大化 黑客的组织化和集团化 黑客行为的商业化 黑客行为的政治化,黑客是指为那些利用计算机某种技术或其他手段,善意或恶意地进入其非授权范围以内的计算机或网络空间的人。,8、常见的黑客攻击方法,Web欺骗技术 放置特洛伊木马程序 口令攻击 (1)暴力破解 (2)密码控测 (3)网络监听 (4)登录界面攻击法 电子邮件攻击 网络监听 端口扫描攻击 缓冲区溢出,9、防范黑客的措施,提高安全意识 使用防火墙 使用反黑客软件 尽量不暴露自己的IP 安装杀毒软件 做好数据的备份,8.3 网络防火墙技术,8.3.1 防火墙
11、的基本概念 防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件; 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。,防火墙的功能及作用,防火墙实际上是一种保护装置,防止非法入侵,以保护网络数据 , 在互联网服务中可实现多个目的。 1) 限定访问控制点。 2) 防止侵人者侵入。 3) 限定离开控制点。 4) 有效地阻止破坏者对计算机系统进行破坏。 总之,防火墙在互联网中是分离器、限制器、分析器。,防火墙的位置与作用,防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界; 构成防火墙系统的
12、两个基本部件是:包过滤路由器和应用级网关; 最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成; 由于组合方式有多种,因此防火墙系统的结构也有多种形式。,8.3.2 防火墙的主要类型,包过滤防火墙,包过滤防火墙工作在OSI参考模型的网络层, 根据数据包包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地点出口端,其余的数据包则从数据流中丢弃。,包过滤防火墙的工作原理,代理防火墙,代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理
13、技术结合在一起。 过滤路由器负责网络互联,并对数据进行严格选择 , 然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似一个数据转发器,它主要控制哪些用户能访问哪些服务类型。,应用级网关的结构,应用代理的工作原理,双穴主机防火墙,该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双空主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护内部网络不被非法访问。,8.3.3 主要的防火墙产品,Checkpoint
14、公司的Firewall-1防火墙 Sonic System公司的Sonicwall防火墙 NetScreen公司的NetScreen防火墙 Alkatel公司的Internet Device防火墙 NAI公司的Gauntlet防火墙 中国的“天网”、“网络卫士”、“蓝盾”,天网防火墙,天网防火墙,安全规则设置 这是系统最重要,也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。 规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。,工具条:点击上面的按钮
15、来导入,增加,修改,删除规则。由于规则判断是由上而下的,可以通过点击调“规则上下移动”按钮调整规则的顺序,当调整好顺序后,可按保存按钮保存修改。当规则增加或修改后,为了让这些规则生效,还要点击”应用新规则“按钮。 规则列表 :列出了所有的规则的名称,该规则所对应的数据包的方向,该规则所控制的协议,本机端口,对方地址和对方端口,以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志,标记为钩表示改规则有效,否则表示无效。当改变这些标志后,按保存键。,8.4 网络管理技术,8.4.1 网络管理的基本概念 网络管理涉及以下三个方面: 网络服务提供是指向用户提供新的服务类型、增加网
16、络设备、提高网络性能; 网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复; 网络处理是指网络线路、设备利用率数据的采集、分析,以及提高网络利用率的各种控制。,网络管理系统的基本结构:,管理对象 管理对象是经过抽象的网络元素,对应于网络中具体可以操作的数据。 管理进程 管理进程是负责对网络设备进行全面的管理与控制的软件。 管理协议 管理协议负责在管理系统与被管理对象之间传递与负责操作命令。,管理信息库,管理信息库(MIB)是管理进程的一部分,用于记录网络中被管理对象的状态参数值; 一个网络的管理系统只能有一个管理信息库,但管理信息库可以是集中存储的,也可以由各个网络设备记录本地工作参数; 网络管理员只要查询有关的管理信息库,就可获得有关网络设备的工作状态和工作参数; 在网络管理过程中,使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种:事件驱动与轮询驱动方法。,8.4.2 OSI管理功能域,配置管理(configuration management) 故障管理(fault management) 性能管理(perfor
