《计算机网络技术 教学课件 ppt 徐立新 第6章 网络安全技术》由会员分享,可在线阅读,更多相关《计算机网络技术 教学课件 ppt 徐立新 第6章 网络安全技术(39页珍藏版)》请在金锄头文库上搜索。
1、计算机网络技术,第6章 网络安全技术,6.1网络安全概述,6.2常见的网络攻击方法,6.3常见的网络安全防御技术,6.4网络安全防御实例,6.5网络监听工具,第6章 网络安全技术,本章将扼要地介绍计算机网络安全的基本概念、常见的网络攻击技术及安全防御技术等,最后通过对一个校园网、一个个人电脑的网络安全防御方案来阐述计算机网络安全技术的具体应用。 本章主要学习内容如下。 计算机网络安全的基本概念。 常见的网络攻击方法。 常见的网络安全防卫技术。 单位网络安全防御实例。 个人电脑安全防御实例。 网络监听工具软件Sniffer的使用。, 6.1 网络安全概述,计算机网络上的通信面临以下了4种威胁。
2、(1)截获(Interception)。 (2)中断(Interruption)。 (3)篡改(Modification)。 (4)伪造(Fabrication)。,6.1.1 网络面临的安全威胁,主动攻击从类型上可以划分为以下4种。 (1)更改报文流。 (2)拒绝报文服务。 (3)伪造连接初始化。 (4)恶意程序攻击。 对于主动攻击,可以采取适当措施加以检测,如使用加密技术、身份认证技术等。但对于被动攻击,通常是检测不出来的。,网络安全技术就是通过解决网络安全存在的问题,确保信息在网络环境中的存储、处理与传输的安全。网络安全构成威胁的主要因素: 1网络防攻击技术 2网络安全漏洞与对策的研究
3、3网络中的信息安全问题 4防抵赖问题 5网络内部安全防范 6网络防病毒 7网络数据备份与恢复及灾难恢复,6.1.2 计算机网络安全研究的主要问题,6.1.3 计算机网络及信息安全的目标,1可靠性 2可用性 3保密性 4完整性 5不可抵赖性 6可控性, 6.2 常见的网络攻击方法,常见的攻击方式、方法主要有以下几种。 1网络监听 2拒绝服务攻击 3缓冲区溢出攻击 4木马攻击 5扫描类攻击 6欺骗攻击, 6.3 常见的网络安全防御技术,1防火墙技术,防火墙是一种网络安全防护系统,是由硬件和软件构成的用来在网络之间执行控制策略的系统。防火墙安装的位置一定是在内部网络与外部网络之间。其结构如图6-2所
4、示。,图6-2 防火墙的位置与作用,防火墙的主要功能如下。 (1)检查所有从外部网络进入内部网络的数据包。 (2)检查所有从内部网络流出到外部网络的数据包。 (3)执行安全策略,限制所有不符合安全策略要求的分组通过; (4)具有防攻击能力,保证自身的安全性。,2认证技术,认证技术主要解决网络通信过程中通信双方的身份认可。认证方式一般有账户名/口令认证、使用摘要算法的认证、基于PKI(公钥基础设施)的认证等。 目前有关认证的使用技术主要有消息认证、身份认证和数字签名。,3加密技术,数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。如图6-3所
5、示。,图6-3 加密和解密过程示意图,4VPN技术,VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN可分为以下三大类。 (1)企业各部门与远程分支之间的Intranet VPN。 (2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN。 (3)企业与合作伙伴、客户、供应商之间的Extranet VPN。,5入侵检测技术,入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的
6、信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。,6安全扫描技术,安全扫描技术是指在黑客对系统发动攻击之前,主动检查本机或网络上存在的可以被黑客利用的各种安全隐患,然后采取相应的措施。 扫描技术分为两大类,一是对主机的扫描,另外一种是对网络的扫描,后者是重点。 网络扫描技术又可以分为Ping扫射、端口扫描和漏洞扫描等技术。,7网络防病毒技术,由于网络环境下的计算机病毒是网络系统的最大攻击者,具有强大的传染性和破坏性,因此,网络防病毒技术已成为网络安全防御技术的又一重要研究课题。网络防毒技术可以直观地分为: (1)病毒预防技术。 (2)病毒检测技术。 (3)病毒清除技术。, 6.
7、4 网络安全防御实例,6.4.1 实例一:校园网安全防御,高校校园网以服务于教学、科研为的宗旨,这决定其必然是一个管理相对宽松的开放式系统,无法做到像企业网一样进行严格统一的管理,这使得保障校园网安全成为一个大挑战。 上海交通大学从自身情况出发,其安全方案主要包括以下6个方面。,1网络关键路由交换设备的安全配置,其安全机制如下。 (1)对蠕虫病毒常见传播端口和其他特征的控制,可有效控制蠕虫病毒大面积扩散。 (2)对常见木马端口和系统漏洞开放端口的控制,可有效降低网络攻击增加扫描的成功率。 (3)对IP源地址的检查将使部分攻击者无法冒用合法用户的IP地址发动攻击。 (4)对部分ICMP报文的控制
8、将有助于降低Sniffer攻击的威胁。,2采取静态IP地址管理模式 上海交通大学长期以来一直采用校园网用户静态IP地址管理模式。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次“用户MAC地址接入交换机端口”的绑定,并在用户楼内三层交换机上实现“用户IP地址MAC地址”的一一绑定,使用这种方法来确认最终用户,消除IP地址盗用等情况。,3中央集中控制病毒,在病毒的防控方面,学校采取中央集中控制管理的模式,统一采购网络版杀毒软件,免费提供给校内用户使用,使得病毒库可以及时快速升级。此外,建立一个校内网络安全站点,及时发布安全公告,提供一些
9、安全建议和相关安全工具下载也是十分必要的。,4积极防范网络攻击,在校园网边界出口部署了IDS,核心路由器上启用了NetFlow、sFlow等进行监控,对关键的网络节点通过端口镜像、分光等方式进行进一步分析处理网络数据包,通过部署基于Nessus的漏洞扫描服务器对校园网计算机进行定期安全扫描。及时查看并分析处理这些监控数据和报表有助于在第一时间发现异常网络安全事件并进行处理,防患于未然。,5统一身份认证,对于无线网络的安全而言,用户接入认证是非常关键的。网络中心使用了校内统一身份认证来限制校外用户未经授权的无线访问。由于WEP认证具有天然的弱安全性,网络中心又同时提供了基于IEEE802.1x的
10、认证平台进行校内统一身份认证并鼓励用户使用。,6鼓励学生当网管,宿舍网的网络安全管理在很多学校往往是比较头疼的,上海交大网络中心在这方面取得了让学校师生满意的成绩,而且,网络中心也没有太多人力深陷其中。根本原因还是在学校有关部门的大力配合下,建立了一支由数百人组成的学生宿舍网管员队伍,每个楼都配有至少一名学生网管员,一般在楼内招聘。,6.4.2 实例二:个人电脑安全防御,1杀毒软件不可少 2个人防火墙不可替代 3分类设置密码并使密码设置尽可能复杂 4不下载来路不明的软件及程序,不打开来历不明的邮件及附件 5警惕“网络钓鱼” 6防范间谍软件 7只在必要时共享文件夹 8不要随意浏览黑客网站、色情网
11、站 9定期备份重要数据, 6.5 网络监听工具,Sniffer网络分析仪是一个时网络故障、性能进行安全管理的有力工具,它能够自动地帮助网络专业人员维护网络,查找故障,极大地简化了发现和解决网络问题的过程,广泛适用于Ethernet、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等网络。,6.5.1 常用功能介绍,1Dashboard(网络流量表) 单击图6-4中所指的图标出现3个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络每秒通过的包数量(P
12、ackets),第三个表显示的是网络每秒的错误率(Errors)。通过这3个表可以直观地观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。,图6-4 网络流量表,2Host table(主机列表) 单击图6-6中所指的图标 ,出现图中显示的界面,选择图中所指的IP选项,界面中出现的是所有在线的本网主机地址及联到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需单击如图中所示的地即址出现图6-7所示界面。,图6-6 主机列表,图6-7 192.168.113.88的连接地址,3Detail(协议列表) 单击图6-8所示的“Detail”图标,图6-8
13、中显示的是整个网络中的协议分布情况,可清楚地看出哪台机器运行了哪些协议。,图6-8 网络协议分布图,4Bar(流量列表) 单击图6-9所示的“Bar”图标,图6-9中显示的是整个网络中的机器所用带宽前10名的情况。显示方式是柱状图,图6-10显示的内容与图6-9相同,只是显示方式是饼图。,图6-9 流量列表柱状图,5Matrix(网络连接) 单击图6-11中箭头所指的图标,出现全网的连接示意图,图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。将鼠标放到线上可以看出连接情况。单击鼠标,右键在弹出的菜单中可选择放大(zoom)此图。,图6-10 流量列表饼图,图6-11 全网连接示意图,6.5.2 数据报文解码 下面对数据报文分层、以太报文结构、IP协议的解码分析做简单的描述,目的在于介绍Sniffer pro软件在协议分析中的功能作用并通过解码分析对协议做进一步了解。 1数据报文分层 2链路层报文结构 以太网帧结构如图6-14所示。,图6-14 以太网帧结构,3网络层报文结构,IP报头结构如图6-16所示。,图6-16 IP报头结构图,TCP报头结构和UDP报头结构分别如图6-18、图6-19所示。,图6-18 TCP报头结构,图6-19 UDP报头结构,本章小结,网络安全概述 常见的网络攻击方法 常见的网络安全防御技术 网络安全防御实例 网络监听工具,
