收藏
下载资源

linux-基础教程课件-第8章网络安全

上传人:F****n 文档编号:88023267 上传时间:2019-04-17 格式:PPT 页数:74 大小:1.48MB
返回 下载 相关 举报
linux-基础教程课件-第8章网络安全_第1页
第1页 / 共74页
linux-基础教程课件-第8章网络安全_第2页
第2页 / 共74页
linux-基础教程课件-第8章网络安全_第3页
第3页 / 共74页
linux-基础教程课件-第8章网络安全_第4页
第4页 / 共74页
linux-基础教程课件-第8章网络安全_第5页
第5页 / 共74页
点击查看更多>>
资源描述

《linux-基础教程课件-第8章网络安全》由会员分享,可在线阅读,更多相关《linux-基础教程课件-第8章网络安全(74页珍藏版)》请在金锄头文库上搜索。

1、第8章 网络安全,通过对本章的学习,读者应该掌握以下主要内容: 计算机网络安全的基本概念及Linux系统安全 防火墙技术基本知识 用iptables实现包过滤型防火墙,8.1 计算机网络安全基础知识,8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全,其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。下面给出网络安全的一个通用定义: 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破

2、坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,8.1.1 网络安全的含义 网络安全在不同的环境和应用中会得到不同的解释。 (1)运行系统安全,即保证信息处理和传输系统的安全。 (2)网络上系统信息的安全。 (3)网络上信息传播的安全,即信息传播后的安全。 (4)网络上信息内容的安全,即讨论的狭义的“信息安全”。,8.1.1 网络安全的含义 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力。 网络安全的结构层次包括:物理安全、安全控制和安全服务。 可见,计算机网络安全

3、主要是从保护网络用户的角度来进行的,是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。,8.1.2 网络安全的特征,网络安全应具有以下四个方面的特征: (1)保密性是指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 (2)完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可用性是指可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 (4)可控性是指对信息的传播及内容具有控制能力。

4、,8.1.3 对网络安全的威胁,与网络连通性相关的有三种不同类型的安全威胁: (1)非授权访问(Unauthorized Access)指一个非授权用户的入侵。 (2)信息泄露(Disclosure of Information)指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 (3)拒绝服务(Denial of Service)指使系统难以或不能继续执行任务的所有问题。,8.1.4 网络安全的关键技术,从广义上讲,计算机网络安全技术主要有: (1)主机安全技术: (2)身份认证技术: (3)访问控制技术: (4)密码技术: (5)防火墙技术: (6)安全审计技术: (7)

5、安全管理技术:,8.1.5 Linux系统的网络安全策略,1简介 一般认为,计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。 如何确保网络操作系统的安全,是网络安全的根本所在。只有网络操作系统安全可靠,才能保证整个网络的安全。,8.1.5 Linux系统的网络安全策略,2Linux网络操作系统的基本安全机制 Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制,如果这些安全机制配置不当,就会使系统存在一定的安全隐患。因此,网络系统管理员必须小心地设置这些安全机制。,8.1.5 Linux系统的网络安全策略,2Linux网络操作系统的基本安全机制 (1)L

6、inux系统的用户帐号 /etc/passwd /etc/shadow (2)Linux的文件系统权限 只读,可写,可执行, 允许SUID,允许SGID (3)合理利用Linux的日志文件 /var/log/lastlog:记录最后进入系统的用户信息lastlog /var/log/secure:记录系统自开通以来所有用户的登录时间和地点 /var/log/wtmp:记录用户的登录时间、地点和注销时间last,8.1.5 Linux系统的网络安全策略,3Linux网络系统可能受到的攻击和安全防范策略 Linux操作系统是一种公开源码的操作系统,因此比较容易受到来自底层的攻击,系统管理员一定要有

7、安全防范意识,对系统采取一定的安全措施,这样才能提高Linux系统的安全性。 (1)Linux网络系统可能受到的攻击类型 1)“拒绝服务”攻击;2)“口令破解”攻击;3)“欺骗用户”攻击;4)“扫描程序和网络监听”攻击。,8.1.5 Linux系统的网络安全策略,3Linux网络系统可能受到的攻击和安全防范策略 (2)Linux网络安全防范策略 1)仔细设置每个内部用户的权限; 2)确保用户口令文件/etc/shadow的安全; 3)加强对系统运行的监控和记录; 4)合理划分子网和设置防火墙; 5)定期对Linux网络进行安全检查 ; 6)制定适当的数据备份计划确保系统万无一失 。,8.1.5

8、 Linux系统的网络安全策略,4加强对Linux网络服务器的管理,合理使用各种工具 (1)利用记录工具,记录对Linux系统的访问 (2)慎用Telnet服务 (3)合理设置NFS服务和NIS服务 (4)小心配置FTP服务 (5)合理设置POP-3和Sendmail等电子邮件服务 (6)加强对WWW服务器的管理,提供安全的WWW服务 (7)最好禁止提供finger 服务 /usr/bin,8.1.6 Linux网络安全工具,1sudo sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性,如果用户需要每天以root身份做一些日常工

9、作,经常执行固定的几个只有root身份才能执行的命令,那么用sudo是非常适合的。,8.1.6 Linux网络安全工具,1sudo 以Redhat 9.0为例,介绍sudo的安装及设置过程: 一般情况下,Redhat 9.0中都已经缺省安装了当前较新的版本sudo-1.6.6-3。如果你的系统中没有安装,你能从下面的地址中下载for Redhat Linux的rpm package。 ftp:/ftp.rediris.es/sites/ #rpm -ivh sudo* /usr/sbin/visudo编辑/etc/sudoers文件,8.1.6 Linux网络安全工具,1sudo sudoer

10、s文件是由一个选择性的主机别名(host alias)节区,一个选择性的指令别名(command alias)节区和使用者说明(user specification)节区所组成的。 所有的指令别名或主机别名必须以自己的关键字作为开始(Host_Alias/Cmnd_Alias)。,1sudo 使用者说明节区格式: 使用者 接取群组 : 接取群组 . 接取群组 := 主机象征 = op指令象征 ,op指令象征. 主机象征 := 一个小写的主机名称或主机别名。 指令象征 := 一个指令或指令别名。 op := 逻辑的 ! 否定运算元。 主机别名节区格式: Host_Alias 主机别名 = 主机列

11、表 Host_Alias := 这是一个关键字。 主机别名 := 一个大写的别名。 主机列表 := 以逗号间隔的一些主机名称。 指令别名节区格式: Cmnd_Alias 指令别名 = 指令列表 Cmnd_Alias := 这是一个关键字。 指令别名 := 一个大写的别名。 指令列表 := 以逗号间隔的一些指令。,8.1.6 Linux网络安全工具,1sudo 例如:#Host alias specification Host_Alias HUB=: REMOTE=merlin,kodiakthorn,spirit Host_Alias MACHINES=kalkan,alpo,milkbone

12、s #Command alias specification Cmnd_Alias LPCS=/usr/etc/lpc,/usr/ucb/lprm Cmnd_Alias SHELLS=/bin/sh,/bin/csh,/bin/tcsh #User specification wyh ALL=ALL,!SHELLS wj =/bin/tcsh, REMOTE=LPCS,8.1.6 Linux网络安全工具,2Sniffit sniffit 是一个有名的网络端口探测器,可以配置它在后台运行,以检测哪些TCP/IP端口上用户的输入/输出信息。最常用的功能是可以用来检测系统的23(telnet)和11

13、0(pop3)端口上的数据传送,得到系统的登录口令和mail帐号密码。 sniffit 的主页在 http:/reptile.rug.ac.be/coder/sniffit/sniffit.html 用户在根目录运行: #tar -xvfz sniff* 解开所有文件到对应目录,阅读其中的README.FIRST。,8.1.6 Linux网络安全工具,2Sniffit sniffit -i 以交互式图形界面查看所有在指定网络接口上的输入/输出信息。 例如:为了得到所有用户通过某接口a.b.c.d接收邮件时所输入的pop3帐号和密码, #sniffit -p 110 -t a.b.c.d & #

14、sniffit -p 110 -s a.b.c.d &,8.1.6 Linux网络安全工具,2Sniffit 记录文件放在目录/usr/doc/sniffit*下面:log file根据访问者的IP地址,随机用高端端口号和用来检测的网络接口IP地址和检测端口来命名。它利用了TCP/IP协议天生的虚弱性,因为普通的telnet和pop3所传的用户名和密码信息都是明文,不带任何方式的加密。 因此对telnet/ftp,可以用ssh/scp来替代。sniffit检测到的ssh/scp信息基本上是一堆乱码,因此不需要担心ssh所传送的用户名和口令信息会被第三方所窃取。,8.1.6 Linux网络安全工

15、具,3nmap nmap 是用来对一个比较大的网络进行端口扫描的工具,它能检测该服务器有哪些TCP/IP端口目前正处于打开状态。可以运行它来确保已经禁止掉不该打开的不安全的端口号。 nmap的主页在http:/www.insecure.org/nmap/index.html,8.1.6 Linux网络安全工具,3nmap 例:nmap 211.85.192.1 Starting nmap V.3.00(www.insecure.org/nmap/) Interesting ports on (211.85.192.1): (The 1588 ports scanned but not shown below are in state:closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 119/tcp open nntp,8.2 防火墙技术,8.2.1 什么是防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙是提供信息安全服务,实现网络和信息安全的基础设施。,8.

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号