《第9章网络安全与网络管理技术》由会员分享,可在线阅读,更多相关《第9章网络安全与网络管理技术(59页珍藏版)》请在金锄头文库上搜索。
1、第第9章章网络安全与网络管理技术网络安全与网络管理技术咒抢娠水链断谴作折植筹询附预嚼瞒锁卯枣殷莎师烬壁带彼蘸腑疑悼暂蝎第9章网络安全与网络管理技术第9章网络安全与网络管理技术本章学习要求本章学习要求: :了解:网络安全的重要性。了解:网络安全的重要性。掌握:密码体制的基本概念及应用。掌握:密码体制的基本概念及应用。掌握:防火墙的基本概念。掌握:防火墙的基本概念。掌握:网络入侵检测与防攻击的基本概念与方法。掌握:网络入侵检测与防攻击的基本概念与方法。掌握:网络文件备份与恢复的基本方法。掌握:网络文件备份与恢复的基本方法。了解:网络病毒防治的基本方法。了解:网络病毒防治的基本方法。了解:网络管理的
2、基本概念与方法。了解:网络管理的基本概念与方法。 头羞惋渤唯霹逢械壕涨虎啄塘晃扔筑驹吉杜雍绎笋秃蜘洒操唐绣呵张浦堑第9章网络安全与网络管理技术第9章网络安全与网络管理技术2计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.1 网络安全研究的主要问题网络安全研究的主要问题9.1.1 网络安全的重要性网络安全的重要性网络安全问题已经成为信息化社会的一个焦点问题;网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产术,培养自己的专门人才,发展
3、自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。业,才能构筑本国的网络与信息安全防范体系。 粤索隶益前蓑棱滴墙堪硫季壤每暖肘拽巾复呐沥漓憨莹殷冠助驻蹦猾旁干第9章网络安全与网络管理技术第9章网络安全与网络管理技术3计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.1.2 网络安全技术研究的主要问题网络安全技术研究的主要问题 网络防攻击问题;网络防攻击问题; 网络安全漏洞与对策问题;网络安全漏洞与对策问题;网络中的信息安全保密问题;网络中的信息安全保密问题;防抵赖问题;防抵赖问题; 网络内部安全防范问题;网络内部安全防范问题; 网络防病毒问题;网络防病
4、毒问题; 网络数据备份与恢复、灾难恢复问题。网络数据备份与恢复、灾难恢复问题。羹伊纠号旋推滦惨寥螺月亭唇晤耘氧妖群乖桃瑞宣棺怯缄虱痴酿侯攻剖们第9章网络安全与网络管理技术第9章网络安全与网络管理技术4计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术1.网络防攻击技术网络防攻击技术服务攻击服务攻击(application dependent attack) : : 对网络提供某种服务的服务器发起攻击,造成该网络的对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务拒绝服务”,使网络工作不正常,使网络工作不正常; ;非服务攻击非服务攻击(application
5、 independent attack) : : 不针对某项具体应用服务,而是基于网络层等低层协议而不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。进行的,使得网络通信设备工作严重阻塞或瘫痪。碉仆噪货锁抱抨醒谭沫豌泻络扒监职酒衅矮捎瞄怜乃纪板娇樟耸凹爱昔洽第9章网络安全与网络管理技术第9章网络安全与网络管理技术5计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术网络防攻击主要问题需要研究的几个问题网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击?网络可能遭到哪些人的攻击?攻击类型与手段可能有哪些?攻击类型与
6、手段可能有哪些?如何及时检测并报告网络被攻击?如何及时检测并报告网络被攻击?如何采取相应的网络安全策略与网络安全防护体系?如何采取相应的网络安全策略与网络安全防护体系?煮睡智内塞生恨巍略孔捷福棠夸次钨啡奋委馁镐厅隋睹拧硕芒丝蔬霖彪矛第9章网络安全与网络管理技术第9章网络安全与网络管理技术6计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术2.网络安全漏洞与对策的研究网络安全漏洞与对策的研究网络信息系统的运行涉及:网络信息系统的运行涉及:计算机硬件与操作系统;计算机硬件与操作系统;网络硬件与网络软件;网络硬件与网络软件;数据库管理系统;数据库管理系统;应用软件;应用
7、软件;网络通信协议。网络通信协议。网络安全漏洞也会表现在以上几个方面。网络安全漏洞也会表现在以上几个方面。 弗橡卢菇彪聚辗烬浮帆嫌疮万蜘眺粕缸陷湛郧闻封师可剿浚扰睫折促动谦第9章网络安全与网络管理技术第9章网络安全与网络管理技术7计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术3.网络中的信息安全问题网络中的信息安全问题信息存储安全与信息传输安全信息存储安全与信息传输安全 信息存储安全信息存储安全 如何保证静态存储在连网计算机中的信息不会如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用;被未授权的网络用户非法使用;信息传输安全信息传输安全 如
8、何保证信息在网络传输的过程中不被泄露与不被攻如何保证信息在网络传输的过程中不被泄露与不被攻击;击; 给苛箩濒撮酒厩冕糜胃庞酗宫炭附嘿熄缅胜州老燥冰加等篡坷漆粗戳奏熟第9章网络安全与网络管理技术第9章网络安全与网络管理技术8计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术信息传输安全问题的四种基本类型信息传输安全问题的四种基本类型丛擒裸斌赁盘棘适坎裔寐畸妥谚料探雇筒丝撒颖锭衣喇拖琢迢丸很怎壹六第9章网络安全与网络管理技术第9章网络安全与网络管理技术9计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术4.防抵赖问题防抵赖问题防抵赖是防止
9、信息源结点用户对他发送的信息事后不防抵赖是防止信息源结点用户对他发送的信息事后不承认,或者是信息目的结点用户接收到信息之后不认承认,或者是信息目的结点用户接收到信息之后不认账;账;通过身份认证、数字签名、数字信封、第三方确认等通过身份认证、数字签名、数字信封、第三方确认等方法,来确保网络信息传输的合法性问题,防止方法,来确保网络信息传输的合法性问题,防止“抵抵赖赖”现象出现。现象出现。 溺呛砧笔偏靴叁辖斜冯盾柑碾嫂折抒蝎技剑让酷埠囊搏想彭捏婶女苇爹涅第9章网络安全与网络管理技术第9章网络安全与网络管理技术10计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术5.网
10、络内部安全防范网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户有网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为;意或无意地做出对网络与信息安全有害的行为;对网络与信息安全有害的行为包括对网络与信息安全有害的行为包括: 有意或无意地泄露网络用户或网络管理员口令;有意或无意地泄露网络用户或网络管理员口令; 违反网络安全规定,绕过防火墙,私自和外部网络违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞;连接,造成系统安全漏洞; 违反网络使用规定,越权查看、修改和删除系统文违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据
11、;件、应用程序及数据; 违反网络使用规定,越权修改网络系统配置,造成违反网络使用规定,越权修改网络系统配置,造成网络工作不正常;网络工作不正常;解决来自网络内部的不安全因素必须从技术与管理两解决来自网络内部的不安全因素必须从技术与管理两个方面入手。个方面入手。颅感市株骑肯区铸脱辑仇幅蒙痛禾顾东涯颊梁宴贯卯假冯累赡奄栈狈舞莫第9章网络安全与网络管理技术第9章网络安全与网络管理技术11计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术6.网络防病毒网络防病毒 引导型病毒引导型病毒可执行文件病毒可执行文件病毒宏病毒宏病毒混合病毒混合病毒特洛伊木马型病毒特洛伊木马型病毒I
12、nternetInternet语言病毒语言病毒 鳃纪醋时菠剂认吕诞巴糙须憾粒糯抹巩秤酗觅捶刨残咨嗅蹿庭饼狄隔遁沈第9章网络安全与网络管理技术第9章网络安全与网络管理技术12计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术7.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失,数据能不能被恢复如果出现网络故障造成数据丢失,数据能不能被恢复?如果出现网络因某种原因被损坏,重新购买设备的资如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?金可以提供,但是原有系统的数据能不能恢复?亩刺厉慕扇
13、卷驳顽裹葛歹讲唱澜融峦青仇恳滨鹅挚硕增咸什岭乌喻揪牡摔第9章网络安全与网络管理技术第9章网络安全与网络管理技术13计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.1.3 网络安全服务与安全标准网络安全服务与安全标准 网络安全服务应该提供以下基本的服务功能网络安全服务应该提供以下基本的服务功能:数据保密(数据保密(data confidentiality)认证(认证(authentication) 数据完整(数据完整(data integrity) 防抵赖(防抵赖(non-repudiation) 访问控制(访问控制(access control)煮钙刁锯站式
14、闸抿废陌趾膘蕴滞舵葵带卷耙析锄含低梭列担桃斥讶绵蒸懦第9章网络安全与网络管理技术第9章网络安全与网络管理技术14计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术网络安全标准网络安全标准 电子计算机系统安全规范,电子计算机系统安全规范,1987年年10月月计算机软件保护条例,计算机软件保护条例,1991年年5月月计算机软件著作权登记办法,计算机软件著作权登记办法,1992年年4月月中华人民共和国计算机信息与系统安全保护条例,中华人民共和国计算机信息与系统安全保护条例, 1994年年2月月计算机信息系统保密管理暂行规定,计算机信息系统保密管理暂行规定,1998年年2
15、月月关于维护互联网安全决定,全国人民代表大会常务关于维护互联网安全决定,全国人民代表大会常务 委员会通过,委员会通过,2000年年12月月浙贰枢肄特病蚌噬熄鞭攘关疫重暴壮捆啡秽哥赏棘篓所挺羽阳秦仑二毯绍第9章网络安全与网络管理技术第9章网络安全与网络管理技术15计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术可信计算机系统评估准则可信计算机系统评估准则TC-SEC-NCSC是是1983年公布年公布的,的,1985年公布了可信网络说明(年公布了可信网络说明(TNI););可信计算机系统评估准则将计算机系统安全等级分为可信计算机系统评估准则将计算机系统安全等级分为4
16、类类7个等级,即个等级,即D、C1、C2、B1、B2、B3与与A1;D级系统的安全要求最低,级系统的安全要求最低,A1级系统的安全要求最高。级系统的安全要求最高。 瑞躯谈氮壹碍爆甸注腰翻疽沦帚诺蹦燕内娩剐噪滓铀评履扳擂镣忙毛簧禽第9章网络安全与网络管理技术第9章网络安全与网络管理技术16计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2 加密与认证技术加密与认证技术 9.2.1 密码算法与密码体制的基本概念密码算法与密码体制的基本概念 数据加密与解密的过程数据加密与解密的过程 很宦妊还狭财淀盛臂寒咐殖工瞪公肝咐环冻网崇渊去歼劳厕飞流霜抵筐编第9章网络安全与网
17、络管理技术第9章网络安全与网络管理技术17计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术密码体制是指一个系统所采用的基本工作方式以及它密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素,即加密的两个基本构成要素,即加密/ /解密算法和密钥;解密算法和密钥;传统密码体制所用的加密密钥和解密密钥相同,也称传统密码体制所用的加密密钥和解密密钥相同,也称为对称密码体制;为对称密码体制;如果加密密钥和解密密钥不相同,则称为非对称密码如果加密密钥和解密密钥不相同,则称为非对称密码体制;体制;密钥可以看作是密码算法中的可变参数。从数学的角密钥可以看作是密码算法
18、中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系;之间等价的数学函数关系;密码算法是相对稳定的。在这种意义上,可以把密码密码算法是相对稳定的。在这种意义上,可以把密码算法视为常量,而密钥则是一个变量;算法视为常量,而密钥则是一个变量;在设计加密系统时,加密算法是可以公开的,真正需在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。要保密的是密钥。 抵讽那茵泳彼硫遣烫拌闭茧用痞帛鸥潭郑已怠鹊悟傀渺涅吟鸦芍号辕鸯湘第9章网络安全与网络管理技术第9章网络安全与网络管理技术18计算机网络第计算机网络第9
19、 9章章 网络安全与网络管理技术网络安全与网络管理技术什么是密码什么是密码 密码是含有一个参数密码是含有一个参数k的数学变换,即的数学变换,即 C = Ek(m)m是未加密的信息(明文)是未加密的信息(明文)C是加密后的信息(密文)是加密后的信息(密文)E是加密算法是加密算法参数参数k称为密钥称为密钥密文密文C是明文是明文m 使用密钥使用密钥k 经过加密算法计算后的结果;经过加密算法计算后的结果;加密算法可以公开,而密钥只能由通信双方来掌握。加密算法可以公开,而密钥只能由通信双方来掌握。戊统哉即饥殿仙吏诣骗价郎扰瓮渠鹅立匙航愈容褥奠物驻花狠怜揪且橡染第9章网络安全与网络管理技术第9章网络安全与
20、网络管理技术19计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术密钥长度密钥长度密钥长度与密钥个数密钥长度与密钥个数密钥长度(位)密钥长度(位)组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.4028236692091038斩葛肯围躯屑反衬垛谤寐橇望豫冷必偷弟抵胃网湘词僻乓捅合磷沈慈清神第9章网络安全与网络管理技术第9章网络安全与网络管理技术20计算机网络第计算机网络第9 9章章 网络安全与
21、网络管理技术网络安全与网络管理技术9.2.2 对称密钥对称密钥(symmetric cryptography)密码体系密码体系 对称加密的特点对称加密的特点 依筷筋芍屹倪佰混萨谜台齐蛆根堂惰奔侦俐茂楞皋甸佃半则晶情县菲柔蚁第9章网络安全与网络管理技术第9章网络安全与网络管理技术21计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.3 非对称密钥非对称密钥(asymmetric cryptography)密码体系密码体系 非对称密钥密码体系的特点非对称密钥密码体系的特点凌射氏寇晾盯姻熟兴增录利吮邦溪配唁该等秤篮粒载泽耘前晰悲距毕抡蚜第9章网络安全与网络管理技
22、术第9章网络安全与网络管理技术22计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术非对称加密的标准非对称加密的标准 RSA体制被认为是目前为止理论上最为成熟的一种公钥体制被认为是目前为止理论上最为成熟的一种公钥密码体制。密码体制。RSA体制多用在数字签名、密钥管理和认证体制多用在数字签名、密钥管理和认证等方面;等方面;Elgamal公钥体制是一种基于离散对数的公钥密码体制;公钥体制是一种基于离散对数的公钥密码体制;目前,许多商业产品采用的公钥加密算法还有目前,许多商业产品采用的公钥加密算法还有DiffieHellman密钥交换、数据签名标准密钥交换、数据签名标准
23、DSS、椭圆、椭圆曲线密码等曲线密码等 。梦章直躯迢卸白庆垮忘绅署隆脆呐摘舍真捶灰协核蚁蚕炭华合幂些喳蝉戮第9章网络安全与网络管理技术第9章网络安全与网络管理技术23计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.4 数字信封技术数字信封技术 仙栋探逝九貌夷豹划云拿拄衰疤控柴俩刮梨钝檀心吗积渗缚适焉没棉淮族第9章网络安全与网络管理技术第9章网络安全与网络管理技术24计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.5 数字签名技术数字签名技术 杰侮抵擞只私谱溜危烟挎羹闺篆貉叫袱差逞薛贯灸斡吁逸怨坑控凌怕圃禾第9章网络
24、安全与网络管理技术第9章网络安全与网络管理技术25计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.6 身份认证技术的发展身份认证技术的发展 身份认证可以通过身份认证可以通过3 3种基本途径之一或它们的组合实现种基本途径之一或它们的组合实现:所知(所知(knowledge): 个人所掌握的密码、口令;个人所掌握的密码、口令;所有(所有(possesses): 个人身份证、护照、信用卡、钥个人身份证、护照、信用卡、钥匙;匙;个人特征(个人特征(characteristics):人的指纹、声纹、笔迹、人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、手型、
25、脸型、血型、视网膜、虹膜、DNA,以及个人动,以及个人动作方面的特征;作方面的特征;新的、广义的生物统计学是利用个人所特有的新的、广义的生物统计学是利用个人所特有的生理特征生理特征来设计的;来设计的;目前人们研究的个人特征主要包括:目前人们研究的个人特征主要包括:容貌、肤色、发质、容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律,以及在外界刺激下的反应等。性签字、打字韵律,以及在外界刺激下的反应等。 直逞炮畏烽糕款逛冤
26、慧圈颠侍靠姿免栗镭谅扛舆操尖岗捻镣恨氧鄙咬溉恒第9章网络安全与网络管理技术第9章网络安全与网络管理技术26计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3 防火墙技术防火墙技术 9.3.1 防火墙的基本概念防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统,它包防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;括硬件和软件;设置防火墙的目的是保护内部网络资源不被外部非授设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。权用户使用,防止内部受到外部非法用户的攻击。 谎晃垒徽踏旺紫禁龟斜雹凌惨拧镁疤缆检厘
27、敷朋蔚怎匝初惺权屎骋留春睬第9章网络安全与网络管理技术第9章网络安全与网络管理技术27计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术防火墙通过检查所有进出内部网络的数据包,检查数据防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(网络建立安全边界(security perimeter););构成防火墙系统的两个基本部件是包过滤路由器构成防火墙系统的两个基本部件是包过滤路由器(packet filtering router)和应用级网关)和应用级网关(
28、application gateway););最简单的防火墙由一个包过滤路由器组成,而复杂的防最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;火墙系统由包过滤路由器和应用级网关组合而成;由于组合方式有多种,因此防火墙系统的结构也有多种由于组合方式有多种,因此防火墙系统的结构也有多种形式。形式。肮袍赣埔区杀旱询龋载米牙踏腆痪魏新皋净荚炯裔廖膀嘶骇咎陨莱瞻朽购第9章网络安全与网络管理技术第9章网络安全与网络管理技术28计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3.2 包过滤路由器包过滤路由器 包过滤路由器的结构包
29、过滤路由器的结构 睹觉氨侠堂钩贪拥榜发扁粤灵拱经袜藏脓船已螟烬镐坦汇蝶玫固拢路哲渍第9章网络安全与网络管理技术第9章网络安全与网络管理技术29计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术路由器按照系统内部设置的分组过滤规则(即访问控路由器按照系统内部设置的分组过滤规则(即访问控制表),检查每个分组的源制表),检查每个分组的源IP地址、目的地址、目的IP地址,决地址,决定该分组是否应该转发;定该分组是否应该转发;包过滤规则一般是基于部分或全部报头的内容。例如,包过滤规则一般是基于部分或全部报头的内容。例如,对于对于TCP报头信息可以是:报头信息可以是: 源源I
30、P地址;地址; 目的目的IP地址;地址; 协议类型;协议类型; IP选项内容;选项内容; 源源TCP端口号;端口号; 目的目的TCP端口号;端口号; TCP ACK标识。标识。 烧惮娠初综奴谨村昌逸祖佛晶泉售丘砧具秦商确诸爽匆藻符瘟邱净沃羹鼓第9章网络安全与网络管理技术第9章网络安全与网络管理技术30计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术包过滤的包过滤的工作流程工作流程翅敦铺短酒扮忻斗炸辐鳞池缎患薛观白威忠质清让今薄匆拳芯仗戎捆恶杉第9章网络安全与网络管理技术第9章网络安全与网络管理技术31计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络
31、安全与网络管理技术包过滤路由器作为防火墙的结构包过滤路由器作为防火墙的结构 肚投缺蝗寸姐颁壕禄督莲嗅苫颗傣讳淳各错岿撼唉址留极囚丝窑铅抢萧即第9章网络安全与网络管理技术第9章网络安全与网络管理技术32计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术假设网络安全策略规定假设网络安全策略规定:内部网络的内部网络的E-mail服务器(服务器(IP地址为地址为192.1.6.2,TCP端端口号为口号为25)可以接收来自外部网络用户的所有电子邮)可以接收来自外部网络用户的所有电子邮件;件;允许内部网络用户传送到与外部电子邮件服务器的电允许内部网络用户传送到与外部电子邮件服
32、务器的电子邮件;子邮件;拒绝所有与外部网络中名字为拒绝所有与外部网络中名字为TESTHOST主机的连接。主机的连接。 论茹牧高佣卜宠唐研楚脚遍卤渐甫堵禹抢涉葵憎咨悔诊匠煤芯药穷箍鞍令第9章网络安全与网络管理技术第9章网络安全与网络管理技术33计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术包过滤规则表包过滤规则表 斥竞纺为传城控灭瓜蹋企胖障晚忙宙冒孔哼竖僚躲杆恕脚逞虑撼蛾结声颧第9章网络安全与网络管理技术第9章网络安全与网络管理技术34计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3.3 应用级网关的概念应用级网关的概念 多
33、归属主机多归属主机(multihomed host) 典型的多归属主机结构典型的多归属主机结构 堵盏个钦宴遣惋鞠湘锚质户圆撂禁嘉烯岂奈先弦殊效戮溜郁孪翠豺迹铆隔第9章网络安全与网络管理技术第9章网络安全与网络管理技术35计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术应用级网关应用级网关 联垒幌志咋忌县桂太毙采盎纂陷烽者缄轰薯兵邑涨愤胀商济充玄超仕炭当第9章网络安全与网络管理技术第9章网络安全与网络管理技术36计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术应用代理应用代理(application proxy) 缔叠加孵倡晌泌尘跃
34、颁轮曝趾捎敦冈妈挥砒订磺积忱耐绷牌蝗陶秤饱暂拖第9章网络安全与网络管理技术第9章网络安全与网络管理技术37计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3.4 防火墙的系统结构防火墙的系统结构 堡垒主机的概念堡垒主机的概念 一个双归属主机作为应用级网关可以起到防火墙作用;一个双归属主机作为应用级网关可以起到防火墙作用;处于防火墙关键部位、运行应用级网关软件的计算机处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。系统叫做堡垒主机。 萤卞秸嘻而隶贺嫩伟撵表梗变漫荧份熟楚缄堤亲姑纵幌比绘爹哩隐粟撮播第9章网络安全与网络管理技术第9章网络安全与网络
35、管理技术38计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术典型防火墙系统系统结构分析典型防火墙系统系统结构分析 采用一个过滤路由器与一个堡垒主机组成的采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙防火墙系统结构系统结构 碗客醚箭哎固企甭龙滞兴腻劲稻骋眷某纱活耙唇台听狞掷矾匈讣恨次峻有第9章网络安全与网络管理技术第9章网络安全与网络管理技术39计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术包过滤路由器的转发过程包过滤路由器的转发过程 巳漳癸糙稚狙蜕懊陌捐匠遵掷蛰萄冬赖考爆同褐概广起社执森段沥丽匀陨第9章网络安全与网络管理技
36、术第9章网络安全与网络管理技术40计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术S-B1配置的防火墙系统中数据传输过程配置的防火墙系统中数据传输过程 悍葱变脚炼瞄鬃屎惟胞霹禄馋摇皖格书础圈绪镭锨善妙凯殿砾涌晤镰铱寿第9章网络安全与网络管理技术第9章网络安全与网络管理技术41计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术采用多级结构的防火墙系统(采用多级结构的防火墙系统( S-B1-S-B1配置)结构示意图配置)结构示意图败扯棉输花批鼎蛇昆蓉伺铃与龟揉勃詹俊还戒氯爬励躲逢添抬攒访俱荔蹿第9章网络安全与网络管理技术第9章网络安全与
37、网络管理技术42计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.4 网络防攻击与入侵检测技术网络防攻击与入侵检测技术 9.4.1 网络攻击方法分析网络攻击方法分析 目前黑客攻击大致可以分为目前黑客攻击大致可以分为8种基本的类型种基本的类型: 入侵系统类攻击;入侵系统类攻击; 缓冲区溢出攻击;缓冲区溢出攻击; 欺骗类攻击;欺骗类攻击; 拒绝服务攻击;拒绝服务攻击; 对防火墙的攻击;对防火墙的攻击; 利用病毒攻击;利用病毒攻击; 木马程序攻击;木马程序攻击; 后门攻击。后门攻击。笆褒受警条春耀践稍阮止框洪续咱钾鉴键员痹勒畴周熄鼻豺夯疏卑条猩憨第9章网络安全与网络
38、管理技术第9章网络安全与网络管理技术43计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.4.2 入侵检测的基本概念入侵检测的基本概念入侵检测系统入侵检测系统(intrusion detection system,IDS)是是对计算机和网络资源的恶意使用行为进行识别的系统;对计算机和网络资源的恶意使用行为进行识别的系统;它的目的是监测和发现可能存在的攻击行为,包括来它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,自系统外部的入侵行为和来自内部用户的非授权行为,并且采取相应的防护手段。并且采取相应的防护手段。且著狭彼
39、魔榔顿攒足游扑迹赫甄庐妄件干署烩扣敬夜鞘恭鸳畦女给史阑琢第9章网络安全与网络管理技术第9章网络安全与网络管理技术44计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术入侵检测系统入侵检测系统IDSIDS的基本功能的基本功能:监控、分析用户和系统的行为;监控、分析用户和系统的行为;检查系统的配置和漏洞;检查系统的配置和漏洞;评估重要的系统和数据文件的完整性;评估重要的系统和数据文件的完整性;对异常行为的统计分析,识别攻击类型,并向网络管理对异常行为的统计分析,识别攻击类型,并向网络管理人员报警;人员报警; 对操作系统进行审计、跟踪管理,识别违反授权的用户对操作系统进
40、行审计、跟踪管理,识别违反授权的用户活动。活动。缴嘲课之虏带倡盯窒钠惯劣搂规伐华绳沂度辫撮让授波诬壶献掂罢炭旱涨第9章网络安全与网络管理技术第9章网络安全与网络管理技术45计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术入侵检测系统框架结构入侵检测系统框架结构轧哗逛矣伶惶钵语爱终下溅页邻体聂谐逻见靴襄盲贿萨梭棘古稍识弗桓唁第9章网络安全与网络管理技术第9章网络安全与网络管理技术46计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.4.3 入侵检测的基本方法入侵检测的基本方法 对各种事件进行分析,从中发现违反安全策略的行为是对各种
41、事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能;入侵检测系统的核心功能;入侵检测系统按照所采用的检测技术可以分为:入侵检测系统按照所采用的检测技术可以分为: 异常检测异常检测 误用检测误用检测 两种方式的结合两种方式的结合蛊沈鹊磨槛膝一未切疹琅缮器砖碗斡娱恤拌教竟锌蓉伺隆玛肌捡未坚谷谎第9章网络安全与网络管理技术第9章网络安全与网络管理技术47计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.5 网络文件备份与恢复技术网络文件备份与恢复技术9.5.1 网络文件备份与恢复的重要性网络文件备份与恢复的重要性 网络数据可以进行归档与备份;网络数据可
42、以进行归档与备份;归档是指在一种特殊介质上进行永久性存储;归档是指在一种特殊介质上进行永久性存储;网络数据备份是一项基本的网络维护工作;网络数据备份是一项基本的网络维护工作;备份数据用于网络系统的恢复。备份数据用于网络系统的恢复。斗氮敏奉锻炉凭悬官社烬辊满奠罗郭纸赌磷灾休蕊暖皇坷鳞显钒案捎闻狙第9章网络安全与网络管理技术第9章网络安全与网络管理技术48计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.5.2 网络文件备份的基本方法网络文件备份的基本方法 选择备份设备选择备份设备 选择备份程序选择备份程序建立备份制度建立备份制度 在考虑备份方法时需要注意的问题在
43、考虑备份方法时需要注意的问题:如果系统遭到破坏需要多长时间才能恢复?如果系统遭到破坏需要多长时间才能恢复? 怎样备份才可能在恢复系统时数据损失最少?怎样备份才可能在恢复系统时数据损失最少? 挂泛邓胚帅蔗颗究梳阔纲肚础境置星憨恰症圾嘘珍刃羡咏咬追驾块懂忱汤第9章网络安全与网络管理技术第9章网络安全与网络管理技术49计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.6 网络防病毒技术网络防病毒技术 9.6.1 造成网络感染病毒的主要原因造成网络感染病毒的主要原因 70%的病毒发生在网络上;的病毒发生在网络上;将用户家庭微型机软盘带到网络上运行而使网络感染将用户家庭
44、微型机软盘带到网络上运行而使网络感染上病毒的事件约占上病毒的事件约占41%左右;左右;从网络电子广告牌上带来的病毒约占从网络电子广告牌上带来的病毒约占7%;从软件商的演示盘中带来的病毒约占从软件商的演示盘中带来的病毒约占6%;从系统维护盘中带来的病毒约占从系统维护盘中带来的病毒约占6%;从公司之间交换的软盘带来的病毒约占从公司之间交换的软盘带来的病毒约占2%;其他未知因素约占其他未知因素约占27%;从统计数据中可以看出,引起网络病毒感染的主要原从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。因在于网络用户自身。 阂兰下巨课忌适馅告驾面立晰沙爷淹藏漏诚幸值讼蒸柱衷粤抱蜒称酿桶隙
45、第9章网络安全与网络管理技术第9章网络安全与网络管理技术50计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.6.2 网络病毒的危害网络病毒的危害 网络病毒感染一般是从用户工作站开始的,而网络服网络病毒感染一般是从用户工作站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所;要场所;网络服务器在网络病毒事件中起着两种作用:它可能网络服务器在网络病毒事件中起着两种作用:它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代被感染,造成服务器瘫痪;它可以成为病毒传播的代理人,在工作站之间迅速传播与蔓延病
46、毒;理人,在工作站之间迅速传播与蔓延病毒;网络病毒的传染与发作过程与单机基本相同,它将本网络病毒的传染与发作过程与单机基本相同,它将本身拷贝覆盖在宿主程序上;身拷贝覆盖在宿主程序上;当宿主程序执行时,病毒也被启动,然后再继续传染当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。序与数据。 娠鲸奏腻躁撕铲掺邹附剐窿旺搬作想浪耀鹏止背婪孔庐杰谣障赚柯剑田旺第9章网络安全与网络管理技术第9章网络安全与网络管理技术
47、51计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.6.3 典型网络防病毒软件的应用典型网络防病毒软件的应用 网络防病毒可以从以下两方面入手:一是工作站,二网络防病毒可以从以下两方面入手:一是工作站,二是服务器;是服务器;网络防病毒软件的基本功能是:对文件服务器和工作网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒;由网络管理员负责清除病毒; 网络防病毒软件一般允许用户设置三种扫描方式:实网络防病毒软件一般允许用户设置三种扫描方式:实时扫描、
48、预置扫描与人工扫描时扫描、预置扫描与人工扫描 ;一个完整的网络防病毒系统通常由以下几个部分组成:一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。毒软件、针对黑客的防毒软件。 遵掩锄京旺护吵缺民搅存养洛瘫气撇撂雇宛才婚件跟辈桶硼闷腋谗堵共澎第9章网络安全与网络管理技术第9章网络安全与网络管理技术52计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.6.4 网络工作站防病毒方法网络工作站防病毒方法 采用无盘工作站采用无盘工作站使用单机防病毒卡使用
49、单机防病毒卡 使用网络防病毒卡使用网络防病毒卡 咯芹之赁宣部榴绦艘僚夸胎叁漓算订寡乾旧官腆币揭汛皋抒委泪吭苞梯蜘第9章网络安全与网络管理技术第9章网络安全与网络管理技术53计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.7 网络管理技术网络管理技术 9.7.1 网络管理的基本概念网络管理的基本概念网络管理涉及以下三个方面网络管理涉及以下三个方面:网络服务提供是指向用户提供新的服务类型、增加网网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能;络设备、提高网络性能;网络维护是指网络性能监控、故障报警、故障诊断、网络维护是指网络性能监控、故障报警
50、、故障诊断、故障隔离与恢复;故障隔离与恢复;网络处理是指网络线路、设备利用率数据的采集、分网络处理是指网络线路、设备利用率数据的采集、分析,以及提高网络利用率的各种控制。析,以及提高网络利用率的各种控制。 悬出贺倒伙恃时台兜钎笔建傣皖阑莹扎搪流遮那厉悯按痒闲宾裁散狭揖选第9章网络安全与网络管理技术第9章网络安全与网络管理技术54计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.7.2 OSI管理功能域管理功能域 配置管理(配置管理(configuration management)故障管理(故障管理(fault management) 性能管理(性能管理(pe
51、rformance management) 安全管理(安全管理(security management) 记账管理(记账管理(accounting management) 重卿侣矢糊袍比堑砸滋媚雹恿糖促未魄拄技臀河功可降磷量剂淖谱循筛缔第9章网络安全与网络管理技术第9章网络安全与网络管理技术55计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.7.3 简单网络管理协议简单网络管理协议SNMP Internet网络管理模型网络管理模型 箍槽裸在闲果谍商靶籽渡佣优藉沦癣雷学句武暑彭凑轮置淡鹤秒令艇静恫第9章网络安全与网络管理技术第9章网络安全与网络管理技术56计算
52、机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术简单网络管理协议简单网络管理协议SNMP 蚀圃墩郴凸永渊蠢臻烯娩晤长稍邹疚世恩磅琅火俊摊勇唐地困贴龄芦栽讥第9章网络安全与网络管理技术第9章网络安全与网络管理技术57计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术小结小结要使网络有序、安全的运行,必须加强网络使用方要使网络有序、安全的运行,必须加强网络使用方法、网络安全技术与道德教育,完善网络管理,研法、网络安全技术与道德教育,完善网络管理,研究与开发新的网络安全技术与产品;究与开发新的网络安全技术与产品;网络安全技术研究基本问题包括:
53、网络防攻击、网网络安全技术研究基本问题包括:网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络络安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难内部安全防范、网络防病毒、网络数据备份与灾难恢复;恢复;网络安全服务应该提供保密性、认证、数据完整性、网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务;密码学包括密码编码学与防抵赖与访问控制服务;密码学包括密码编码学与密码分析学,密码体制由两个基本构成要素:加密密码分析学,密码体制由两个基本构成要素:加密/ /解密算法和密钥,加密技术可以分为对称加密与非解密算法和密钥,加密技术可以分为对称
54、加密与非对称加密,密码体制的关键问题是密钥管理;对称加密,密码体制的关键问题是密钥管理;云手猿剑九熊肩跌痘凶崎弛鹊禄两洛帕唇镁烈搏耿酣肉且州体铆鸡浙庭铅第9章网络安全与网络管理技术第9章网络安全与网络管理技术58计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术防火墙是根据一定的安全规定来检查、过滤网络之间防火墙是根据一定的安全规定来检查、过滤网络之间传送的数据包,以确定这些报文分组的合法性;传送的数据包,以确定这些报文分组的合法性;对各种事件进行分析,从中发现违反安全策略的行为对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能是入侵检测系统的
55、核心功能;一个实用的局域网应用系统设计中必须有网络数据备一个实用的局域网应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划;份、恢复手段和灾难恢复计划;对待网络病毒的态度应该是:高度重视,采取严格的对待网络病毒的态度应该是:高度重视,采取严格的防病毒技术与严格的防范措施,将病毒的影响减小到防病毒技术与严格的防范措施,将病毒的影响减小到最低程度;最低程度;一个有效而且实用的网络每时每刻都离不开网络管理。一个有效而且实用的网络每时每刻都离不开网络管理。网络管理包括配置管理、故障管理、性能管理、安全网络管理包括配置管理、故障管理、性能管理、安全管理、记账管理。管理、记账管理。渊袋深琉鸭氖纽驹乳琐筋办尹兹惧校谋潮周查超猩弗歉唐贷距酞布颠瑶芦第9章网络安全与网络管理技术第9章网络安全与网络管理技术59计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术
