《计算机网络技术应用教学课件杨继第07章 网络安全管理》由会员分享,可在线阅读,更多相关《计算机网络技术应用教学课件杨继第07章 网络安全管理(35页珍藏版)》请在金锄头文库上搜索。
1、第7章 计算机网络安全,本 章 内 容 简 介 网络安全概述 网络安全策略与技术 防火墙技术 网络病毒的防治 网络管理、故障诊断与排除,7.1 计算机网络安全概述,网络安全的定义:是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏、使系统连续可靠正常地运行,网络服务不被中断。 本质上,是网络信息的安全; 广义上,泛指信息的保密、完整性、可用性、真实性和可控性相关技术和理论。,网络系统安全的要求: 物理安全:指系统设备及相关设施受到物理保护,避免遭到人为或自然的破坏。 逻辑安全: 完整性:指数据未经授权不能进行改变的特性; 保密性:指信息不泄漏给非授
2、权用户、实体或过程的特性; 可用性:指合法用户的正常请求能及时、正确、安全地得到服务或回应; 身份验证:目的是为了证实用户是否合法、是否有权使用信息资源; 不可抵赖性:指通过记录参与网络通信双方的身份认证、交易过程和通信过程等,使任何一方都无法否认其过去所参与的活动; 授权和访问控制:规定了合法用户对数据的访问能力,包括哪些用户有权访问数据、访问哪些数据、何时访问和对数据有什么操作权限。,第一节,计算机网络面临的威胁 截获:攻击者从网络上窃听信息。 中断:攻击者有意中断网络上的通信。 篡改:攻击者有意更改网络上的信息。 伪造:攻击者使假的信息在网络上传输。,第一节,影响网络安全的主要因素:,第
3、一节,操作系统的安全性,计算机病毒带来的威胁,使用者缺乏安全意识,缺乏有效的手段监视、 评估网络系统的安全性,7.2 网络安全策略与技术,网络安全策略:,物理安全策略,访问控制策略,信息加密策略,网络安全管理策略,网络安全技术 数据加密: 是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取信息真实内容的一种技术手段。 使用一组密码与被加密的数据进行混合运算。 明文:未加密的数据; 密文:加过密的数据; 加密:将明文映射成不可读、但仍不失真原信息的密文的过程; 解密:加密的反过程。 密钥:它是在加密和解密过程中所使用的参数。 算法:将明文转换为密文,及将密文还原成明文的变换规则。,第
4、二节,认证技术:是指对某个实体的身份加以鉴别和确认,从而证实是否名副其实或是否有效的过程。认证的基本思想是验证某一实体的一个或多个参数的真实性和有效性。 口令认证: 每个用户都有一个标识和口令; 特点是价格低廉、容易实现、用户界面友好; 数字签名: 以加密技术为基础,核心技术是采用加密技术中的加、解密算法体制来实现对报文的数字签名; 功能:收方能够证实发方的真实身份; 发方事后不能否认所发送过的报文; 收方或非法者不能伪造或篡改报文。 常用的有:私人密钥和公用密钥。,第二节,7.3 防火墙技术,基本概念:是设置在企业内部网络和Internet网络之间的一道屏障,是在网络之间执行安全控制策略的系
5、统,它包括硬件和软件。 主要功能: 检查所有从外部网络进入内部网络,或所有从内部网络流向外部网络的数据包; 执行安全策略,限制所有不符合安全策略要求的数据包通过; 具有防攻击能力; 对内部网络安全保护; 有网络地址转换(NAT)。,第三节,主要类型: 包过滤路由器,第三节,包过滤防火墙,又称网络级防火墙,通常由一台路由器或一台充当路由器的计算机组成。,Internet/Intranet上的所有信息都是以IP数据包的形式传输的,包过滤路由器负责对所接收的每个数据包的IP地址,TCP或UDP分组头信息进行审查,以便确定其是否与某一条包过滤规则匹配。,包过滤防火墙检查每一条过滤规则,如果找到一个匹配
6、,且规则允许该数据包通过,则该数据包根据路由表中的信息向前转发;如果找到一个匹配,且规则拒绝此数据包,则该数据包将被舍弃。,包过滤防火墙对用户来说是全透明的,其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络,使用起来非常简洁、方便,且速度快、费用低。,包过滤防火墙也有其自身的缺点和局限性 ,例如它只检查地址和端口,对应用层上的黑客行为无能为力;包过滤规则配置比较复杂; 包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。,第三节,第三节,主要类型: 应用级网关:,应用级网关主要控制对应用程序的访问,它能够对进出的数据包进行分析、统计,防止在受信任的服务器与不受信任的主机间直
7、接建立联系。而且它还提供一种监督控制机制,使得网络内、外部的访问请求在监督机制下得到保护。,和包过滤防火墙一样,应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直接联系,它外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。,应用级网关具有较强的访问控制功能,是目前最安全的防火墙技术之一。但其每一种协议都需要相应的代理软件,实现起来比较困难,效率不如网络级防火墙高,而且对用户缺乏“透明度”。,实现方式:,第三节,单一包过滤路由器,双重宿防范网关,过滤主机网关,过滤子网防火墙,最基本,最简单的一种防火墙。,设置网关使
8、得两个网络不能直接通信。,只能访问到设防主机而不允许访问被保护的资源。,在外网和内网之间设立子网,7.4 网络病毒的防治,网络病毒的定义及来源: 来自文件下载 来自电子邮件 网络病毒的类型: 按破坏性可分: 1)良性病毒:仅仅显示信息、奏乐、发出声响,自我复制 2)恶性病毒:封锁、干扰、中断输入输出、使用户无法进行打印等正常工作,甚至电脑中止运行。 3)极恶性病毒:死机、系统崩溃、删除普通程序或系统文件,破坏系统配置,导致系统死机、崩溃、无法重启。 4)灾难性病毒:破坏分区表信息、主引导信息、删除数据文件、格式化硬盘等。,按连接方式分 : 1)源码型病毒:较为少见,亦难以编写。因为它要攻击高级
9、语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。 2)入侵型病毒:可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。 3)操作系统型病毒:可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。 4)外壳型病毒:将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。,第四节,病毒的表现形式 : 计算机无故死机。 计算机无法启动。 Windows系统无法正常启动。 微机运行速度明
10、显变慢。 曾正常运行的软件常报内存不足。 计算机打印和通信发生异常。 曾正常运行的应用程序发生死机或非法错误。 系统文件的时间、日期、长度发生变化。 运行Word,打开文档后,该文件另存时只能以模板方式保存。 无意中要求对软盘进行写操作。 磁盘空间迅速减少。,第四节,网络病毒的防护: 安装病毒防治软件 病毒防护 建立网站监控和恢复系统 网络安全的管理,第四节,7.5 网络管理、故障诊断与排除,网络管理的定义,网络管理是指组成网络的各种资源进行综合管理,以便充分发挥这些资源的作用。包括软件管理和硬件管理。,网络管理的作用,网络已成为保证网络高效、稳定、安全、可靠地运行的必要手段。,1.网络管理的
11、基本概念,网络管理技术,网络管理的要求 能同时具有网络监视和控制能力 能够支持所有的网络协议 提供尽可能大的管理的范围 网络管理的标准化 网络管理应具有一定的职能 网络管理在网络安全性方面应发挥更大的作用,第五节,第五节,2.网络管理的功能,配置管理:是指网络中每个设备的功能、相互间的连接关系和工作参数。 故障管理:用来维持网络的正确运行 性能管理:收集和统计网络中的主要性能指标 安全管理:保护网络资源的安全 记账管理:也叫计费管理,可以监控每个用户或用户群对网络系统的操作和对网络资源的使用。,第五节,3.网络管理协议和网管软件,网络管理协议(SNMP) 管理进程 管理代理 管理信息库,网络管
12、理软件,第五节,网络故障诊断及排除,网络故障排查思路 识别并描述故障现象 制定诊断方案,列举可能导致故障的原因 排除故障 Windows诊断工具,Ping 测试命令:用于确定本地主机是否能与网络中的另一台主机正常发送接收信息。 Netstat检测命令:用于检验本机各端口的网络连接情况。 IPConfig:用于显示当前的TCP/IP配置,以便人工检验TCP/IP配置是否正确。,Tracert tracert的作用:当数据报从你的计算机经过多个网关传送到目的地时,Tracert命令可以用来跟踪数据报使用的路由(路径)。该实用程序跟踪的路径是源计算机到目的地的一条路径,不能保证或认为数据报总遵循这个
13、路径。 这是验证通往远程主机路径的实用程序 用法: tracert -d -h maximum_hops -j host-list -w timeout target_name 参数: -d (不将IP转为主机名) -h maximum_hops (最大跟踪数量) -j host-list Loose source route along host-list. -w(time out 的时间) 最简单的用法就是 tracert hostname 其中hostname是计算机名或你想跟踪其路径的计算机的IP地址。,第五节,Windows诊断工具,Nbtstat:NBTSTAT命令可以用来查询涉及
14、到NetBIOS信息的网络机器。另外,它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。用法:nbtstat -a RemoteName -A IP_address -c -n -R -r -S -s -a列出为其主机名提供的远程计算机名字表。 -A列出为其IP地址提供的远程计算机名字表。 -c列出包括了IP地址的远程名字高速缓存器。 -n列出本地NetBIOS名字。 -r列出通过广播和WINS解析的名字。 -R消除和重新加载远程高速缓存器名字表。 -S列出有目的地IP地址的会话表。 -s列出会话表对话。,第五节,Windows诊断工具,Ne
15、t:用于使用和核查计算机之间的NetBIOS连接 通过键入 net /? 可查阅所有可用的 net 命令。或直接键入net. 通过键入 net help 命令可在命令行中获得 net 命令的语法帮助。 Net Computer 从域数据库中添加或删除计算机。该命令仅在运行 Windows NT Server 的计算机上可用。 net computer computername /add | /del,第五节,Windows诊断工具,第五节,常见故障及排除方法,传输介质故障 网卡故障 协议失配 网络广播风暴 计算机本身的问题,课外知识,黑客一词,源于英文Hacker,原指热心于计算机技术,水平高
16、超的电脑专家,尤其是程序设计人员。 但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。 黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。,课外知识,计算机网络上的通信总是面临以下4种威胁: 截获:攻击者从网络上窃听他人的通信内容 中断:攻击者有意中断他人的网络通信 篡改:攻击者故意篡改网络上传输的信息 伪造:攻击者伪造信息在网络上传送,十大超级老牌黑客,主要经历: 托瓦兹是Linux内核的发明人。他利用个人时间及器材创造出了这套当今全球最流行的操作系统内核之一。使自由软件从产业思想运动演变成为市场商业运动,从此改变了软件产业,乃至IT产业的面貌,林纳斯.托瓦兹,十大超级老牌黑客,主要经历: 德拉浦发现了在麦片盒里能够产生2600 赫兹的音调玩具哨子,使用麦片盒里的哨子可以免费打电话。这个发现给几代黑客引入了“盗用电话线路”打长途电话的辉煌思想,约翰.德拉浦,十大超级老牌黑客,主要经历: 年仅15岁的米特尼克闯入了“北美空中防务指挥系统”
