计算机网络技术与应用课件

《计算机网络技术与应用课件》由会员分享，可在线阅读，更多相关《计算机网络技术与应用课件（91页珍藏版）》请在金锄头文库上搜索。

1、中国经济出版社高等院校工科规划教材中国经济出版社高等院校工科规划教材中国经济出版社高等院校工科规划教材中国经济出版社高等院校工科规划教材计算机网络技术与应用计算机网络技术与应用第第9章章 网络安全与网络管理网络安全与网络管理计算机网络技术与应用计算机网络技术与应用计算机网络技术与应用计算机网络技术与应用2本章内容本章内容q网络安全基础 q网络攻击 q防火墙技术 q加密、认证和访问控制技术 q网络管理 q应用案例瑞星软件防火墙第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理39.1 网络安全基础网络安全基础 q网络安全概述 q网络安全面临的主要威胁

2、 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理49.1.1 网络安全概述网络安全概述 q网络安全体系需要在以下几个方面提供安全服务 ：l保密性（Confidentiality）l身份认证（Authentication） l不可抵赖性（Non-reputation） l数据完整性（Data Integrity） l访问控制（Access Control） 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理59.1.2 网络安全面临的主要威胁网络安全面临的主要威胁 q网络安全威胁的主要类型 ：l信息泄

3、漏l信息破坏l拒绝服务 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理6网络通信过程中面临的主要威胁网络通信过程中面临的主要威胁 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理对网络通信的主动攻击和被动攻击 79.2 网络攻击网络攻击 q网络攻击概述 q拒绝服务攻击 q恶意代码 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理89.2.1 网络攻击概述网络攻击概述 q网络攻击人员 q系统漏洞 q远程攻击 第第第第9 9章章章章 网络安全与网络管理网

4、络安全与网络管理网络安全与网络管理网络安全与网络管理9网络攻击人员网络攻击人员q攻击动机：获取利益、被关注、危害他人 。q攻击人员的类型：l黑客：挑战网络系统的安全性，窃取敏感数据。l间谍：窃取敌对方的军事、政治、经济等方面的机密信息。l公司人员：入侵竞争对手的网络系统，以获取某种经济利益，也可以被看做是工业间谍的一种。l组织内部人员：出于好奇、报复、自我保护、获取经济利益等目的而对内部网络进行入侵。l犯罪人员：主要是为了牟取经济利益而对目标网络进行入侵。l恐怖主义者：对计算机网络进行入侵，以达到各种恐怖目的。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安

5、全与网络管理10系统漏洞系统漏洞 q漏洞是指系统在硬件、软件或防护策略上的缺陷。q漏洞的存在很广泛，几乎所有的网络结点（如路由器、防火墙、服务器、客户机等）都可能存在漏洞。 q漏洞的发现和修正通常存在这样一个周期：l系统发布和使用l漏洞暴露（出现有效的攻击）l发布补丁进行系统修正l新的漏洞出现（出现新的有效攻击）。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理11远程攻击的过程远程攻击的过程 q寻找目标主机和收集目标信息 lPing ，TraceRoute ，测试目标主机可能开放了哪些服务和端口。q获取目标主机的管理权限 l暴力破解、利用系统

6、漏洞和使用木马程序等 。q隐蔽自己的攻击行为 l清除日志记录、隐藏进程、隐藏连接等 。q对主机实施破坏或将主机作为傀儡主机以攻击其他主机 q为以后的攻击留出后门 l修改目标主机的系统配置，在目标主机上安装各种远程操作程序 。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理129.2.2 拒绝服务攻击拒绝服务攻击 q拒绝服务攻击的类型 q分布式拒绝服务攻击 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理13拒绝服务攻击的类型拒绝服务攻击的类型q拒绝服务攻击的类型主要有：洪泛攻击、Ping of De

7、ath攻击、SYN攻击、泪滴攻击、Smurf攻击等。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理14Smurf攻击攻击qSmurf攻击结合使用了ICMP回复和IP欺骗的方法，通过向目标系统发送大量网络数据，造成目标系统拒绝服务。qICMP（网际控制报文协议）用于处理错误信息和交换控制信息，通过该协议，可以确定网络中的某台主机是否响应，从而为判断主机是否出现故障提供依据。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理15Smurf攻击的过程攻击的过程q（1）攻击者向网络上的路由器发送ICMP

8、请求，找出网络上回应ICMP请求的路由器。q（2）用伪造的IP源地址向路由器的广播地址发送ICMP消息，这个伪造的IP地址是被攻击主机的IP地址。q（3）路由器将ICMP消息广播到网络上与其相连的每一台主机。q（4）这些主机进行ICMP回应，向这个伪造的IP地址（即目标主机的IP地址）发送大量的响应数据包，从而影响被攻击主机的性能并导致被攻击主机边界的网络阻塞。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理16Smurf攻击原理图攻击原理图第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理17Sm

9、urf攻击攻击q例如，采用300kbps流量的ICMP Echo (PING)包广播到200台主机，会产生200个ping回应，从而产生60Mbps的流量。这些流量流向被攻击的主机，会造成该主机的服务停止。q为了防御此类攻击，应采取以下措施：l关闭主机或路由器广播地址对ping请求的响应功能。l对路由器进行配置，使其不直接将数据包转发给广播地址。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理18分布式拒绝服务攻击分布式拒绝服务攻击 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理199.2.3

10、恶意代码恶意代码 q恶意代码（Malicious Code）又称为恶意软件（Malicious Software, Malware），是能够在计算机系统上进行非授权操作的代码。q恶意代码具有以下特征：恶意的目的、本身是程序，通过执行发生作用。q恶意代码的主要类型包括：病毒、蠕虫、特洛伊木马、逻辑炸弹、恶意网页、流氓软件和后门程序等。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理20计算机病毒计算机病毒 q中华人民共和国计算机信息系统安全保护条例中对计算机病毒给出的定义是：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，

11、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”q从该定义可以看出，计算机病毒具有两大特征：破坏性和传染性。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理21计算机病毒计算机病毒q计算机病毒代码的结构包含三个部分：引导部分、传染部分和表现部分。l引导部分负责将病毒主体加载到内存，为实施传染做准备。l传染部分负责将病毒代码复制到新的传染目标上去。l表现部分是指在一定的触发条件下进行病毒发作。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理22计算机病毒计算机病毒q计算机病毒的防治包括

12、防毒、查毒和解毒。q病毒的检测方法主要包括：l特征代码法l校验和法l行为监测法l软件模拟法第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理23蠕虫代码蠕虫代码 q蠕虫代码主要是通过网络漏洞进行传播和扩散。q蠕虫代码包括三个基本模块：传播模块、隐藏模块和操作模块。l传播模块负责通过网络进行蠕虫代码的传播；l隐藏模块负责在入侵目标主机后进行蠕虫程序的隐藏，以防止被发现；l操作模块负责对计算机执行控制、监视或破坏操作。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理24蠕虫代码蠕虫代码q关键的传播模块又可

13、分为三个子模块：扫描、攻击和复制。l扫描模块负责在网络上寻找存在漏洞的主机，将其作为下一步攻击的对象。l攻击模块负责对存在漏洞的主机进行攻击，获取该主机的高层权限（如管理员权限）。l复制模块负责将蠕虫程序通过网络复制到目标主机，并在新的主机上启动蠕虫程序。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理25蠕虫程序与普通病毒的比较蠕虫程序与普通病毒的比较 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理26特洛伊木马特洛伊木马 q特洛伊木马程序是一种恶意程序，它表面上执行正常功能，实际上隐蔽地执行恶

14、意操作，实施对主机的非授权访问。q完整的木马程序包括两个部分：服务器端程序和控制端程序。q“中了木马”是指被安装了木马的服务器端程序，这时控制端可以通过与服务器端的连接，对服务器端的主机进行各种控制，如上传和下载文件，窃取账号和密码，修改注册表信息，控制鼠标、键盘，重启计算机等。 q木马程序在传播时，往往与正常文件绑定在一起，因此很难被发现。例如，某些软件下载网站的软件中就有可能被绑定了木马程序。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理27木马程序的特点木马程序的特点 q隐蔽性l虽然它在系统启动时就自动运行，但是通常不会在任务管理器中出

15、现，甚至不会在服务管理器中出现。q自动加载运行l木马程序为了控制服务器端，通常在系统启动时开始运行。q与目标建立连接l控制端木马程序通常利用TCP和UDP与目标主机的指定端口建立连接。q许多木马程序在主机上具有多重备份，可以相互恢复。当一个木马文件被删除后，其他木马文件会进行恢复和运行。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理28逻辑炸弹逻辑炸弹 q逻辑炸弹是一种特殊的程序，在满足某种逻辑条件时，它会被激活，并产生破坏。q逻辑炸弹程序没有传播功能，它只针对特定的受害者。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安

16、全与网络管理网络安全与网络管理29恶意网页恶意网页 q恶意网页是指网页中含有恶意代码，能够对访问者的电脑进行非法设置或攻击。恶意网页的几种典型破坏包括： l修改IE的起始页。l修改IE工具栏，如工具按钮、地址栏等。l修改或禁止IE的右键功能。l下载木马程序。l禁止对注册表进行修改。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理30流氓软件流氓软件 q流氓软件是一类特殊的软件，一方面，它具有正常的功能（如下载、多媒体播放等），另一方面，它包含一些恶意行为（如弹出广告、在系统中开后门等），会对用户带来某种程度的危害。其特点包括： l强制安装。l难

17、以卸载。l弹出广告。l浏览器劫持。l恶意收集用户信息。l恶意卸载。l恶意捆绑。l故意妨碍其他同类软件使用的行为。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理319.3 防火墙技术防火墙技术 q防火墙的基本概念 q包过滤防火墙 q代理服务器防火墙 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理32防火墙的基本概念防火墙的基本概念 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理33防火墙的优点和局限性防火墙的优点和局限性q防火墙的优点l防火墙作为内

18、部网络的访问控制点，可以禁止未经授权的用户（攻击者、破坏者、网络间谍等）通过外部网络访问内部网络，也禁止某些易受攻击的服务进入或离开受保护的内网。l防火墙可以为内部网络的主机提供集中的安全保护。l防火墙可以记录和统计网络的使用情况。q防火墙的局限性l防火墙不能防范来自内部网络的攻击。l不能防范绕过防火墙的攻击。l不能防范计算机病毒。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理349.3.2 包过滤防火墙包过滤防火墙 q包过滤防火墙通常由路由器来实现，也被称为包过滤路由器或屏蔽路由器。q包过滤防火墙对进出网络的IP包进行监视和过滤，对不安全的包

19、进行屏蔽。q包过滤规则的设计是该类防火墙的关键所在严密的包过滤规则能够加强防火墙的安全性。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理35包过滤防火墙示意图包过滤防火墙示意图第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理36包过滤路由器包过滤路由器q包过滤路由器对进出的IP包进行审查，将其与预先设计好的各种包过滤规则相匹配，从而决定是否丢弃或拒绝某些IP包。q包过滤路由器在审查IP包时，主要是对IP包的包头信息进行分析，而不考虑包所携带的数据内容。q包头信息主要包括：源IP地址、目的IP地址

20、、封装的协议（TCP、UDP、ICMP）、TCP/UDP源端口、TCP/UDP目的端口等。另外，在进行包过滤时，还要利用路由器的IP包输入接口和IP包输出接口等信息。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理37某些常用网络服务使用的端口某些常用网络服务使用的端口 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理38包包过过滤滤防防火火墙墙对对数数据据包包的的处处理理过过程程 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理39包过滤防火墙过滤

21、规则的设定包过滤防火墙过滤规则的设定q下面是一个包过滤防火墙访问控制规则的例子：q允许网络202.206.215.0访问主机222.199.135.0的http服务（80端口）；q允许IP地址为202.206.215.7和202.206.215.8的主机通过Telnet（23端口）连接到主机222.199.135.1上；q允许任意IP地址的主机访问主机222.199.136.0提供的DNS服务（53端口）；q不允许其他数据包的进入。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理409.3.3 代理服务器防火墙代理服务器防火墙 q代理服务器防火墙

22、是一种特定的服务器程序，它是基于软件的，与基于路由器的包过滤防火墙有较大的不同。q代理服务器防火墙位于外部网络与内部网络之间，它接收客户端的请求，然后根据已制定好的安全控制规则决定是否将其转发给真正的服务器。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理41代理服务器的主要功能代理服务器的主要功能q接收和解释客户端发来的请求。q作为新的客户端创建与服务器的连接。q接收服务器发来的响应。q解释服务器发来的响应并将其转发给客户端。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理42代代理理服服务务

23、器器的的工工作作原原理理 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理43代理服务器防火墙的优缺点代理服务器防火墙的优缺点 q代理服务器的主要优点包括：l与包过滤路由器相比，配置容易。l能够生成各种日志记录 ，对流量分析、安全检查及计费提供帮助。l能够提供更好的访问控制 。l能够对数据内容进行过滤。q代理服务器的主要缺点包括：l速度较慢。l代理服务对用户不透明。 l对于每种应用层协议要使用不同的代理服务。 l代理服务不能提高低层协议的安全性 。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理44

24、9.4 加密、认证和访问控制技术加密、认证和访问控制技术 q加密技术 q公开密钥基础设施 q身份认证技术 q访问控制技术 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理459.4.1 加密技术加密技术 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理整个加密/解密过程可表示为：D(E(P)=P。46使用一个密钥的加使用一个密钥的加/解密过程解密过程 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理可表示为：DK(EK(P)=P 47使用两个密钥的加使

25、用两个密钥的加/解密过程解密过程 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理可表示为：DK2(EK1(P)=P 48对称密钥加密算法对称密钥加密算法 q对称密钥加密算法的加密密钥能够通过解密密钥推算出来，反之亦然。q大部分对称密钥加密算法的加密密钥和解密密钥是相同的，这些算法也被称为单密钥算法。q在密码体系中，加密算法和解密算法通常是公开的。q对于对称密钥加密算法来说，通信的发送方和接收方在安全通信之前要协商一个共享的密钥，该密钥必须通过一个安全的渠道被通信双方所知悉。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与

26、网络管理网络安全与网络管理49对称密钥加密算法对称密钥加密算法qDES（Data Encryption Standard，数据加密标准）lDES是典型的对称密钥算法，它是由IBM公司在20世纪70年代研究出来的。lDES算法使用56位的密钥，将64位的明文块转换成64位的密文块。l其密钥空间有256种组合。 q三重DES(Triple DES)l三重DES的密钥长度是112位。l加密过程分三个主要步骤：首先将明文块用密钥的前56位进行加密，然后将结果用密钥的后56位进行加密，最后再用密钥的前56位进行加密。l其密钥空间有2112种组合，很难破解。 第第第第9 9章章章章 网络安全与网络管理网络

27、安全与网络管理网络安全与网络管理网络安全与网络管理50非对称密钥加密算法非对称密钥加密算法 q非对称密钥加密算法又称为公开密钥算法。它采用不同的加密密钥和解密密钥，而且解密密钥不能通过加密密钥计算出来。q这样就可以将加密密钥公开，每个人都可以使用加密密钥进行信息加密，而只有拥有解密密钥的人才能对加密的信息进行解密。q在公开密钥加密系统中，这个公开的加密密钥被称为公开密钥（简称公钥）；而解密密钥被称为秘密密钥（又被称为私有密钥，简称私钥）。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理51使用非对称密钥的加使用非对称密钥的加/解密过程解密过程 第

28、第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理52非对称密钥加密算法非对称密钥加密算法q公开密钥加密技术较好地解决了密钥的交换问题。自1976年公开密钥的思想被提出以来，国际上已出现了多种公开密钥加密算法。比较流行的有基于大整数因子分解问题的RSA算法、基于椭圆曲线上的离散对数问题的Differ-Hellman算法等。qRSA算法与DES算法相比，其主要缺点是：产生密钥的过程复杂；由于需要进行大数运算，计算速度很慢。因此，RSA算法主要用于少量数据的加密，如对DES密钥的加密，从而解决DES密钥的分发问题。而DES算法的运算速度很快，适合进行大量

29、数据的加密。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理539.4.2 公开密钥基础设施公开密钥基础设施 q一个利用对称密钥和非对称密钥进行数据加密通信的例子:qAlice和Bob要通过网络进行秘密通信。qAlice Bob：我是Alice,这是我的公钥Ka。你选择一个会话密钥K（对称密钥），然后将K用Ka加密后发送给我。qBob Alice:将数据通信用的会话密钥K用Alice的公钥Ka加密后发送给Alice。qAlice：使用自己的私钥Pa解密Ka（K），得到会话密钥K。qAlice Bob:使用会话密钥K加密并传输信息。qBob Al

30、ice: 使用会话密钥K加密并传输信息。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理54中间人攻击中间人攻击 qMallory首先截获Alice的公钥Ka，并将自己的公钥Km发送给Bob。qBob收到公钥Km后，会把它当作Alice的公钥Ka，他用Km加密准备用于加密信息的会话密钥K，并将其（Km（K）传送给Alice。q当Mallory进一步截获到它以后，就会用自己的私钥进行解密，从而得到会话密钥K，然后再用Alice的公开密钥重新加密会话密钥K,并将其传送给Alice。q这样Mallory就得悉了Alice和Bob用于加密信息的会话密钥K

31、，从而可以对Alice和Bob之间的加密通信进行窃听并解密。这种攻击方式称为中间人攻击。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理55公开密钥基础设施公开密钥基础设施q这种攻击之所以成功的原因在于：Bob无法判断接收到的公钥是否就是Alice本人的，即其无法判断公钥所有人的真实身份。这个问题会影响信息传输的保密性、不可否认性和信息交换的完整性。q为了解决这些安全问题，可以利用公开密钥基础设施（Public Key Infrastructure, PKI）中的技术。q根据X.509标准给出的定义，PKI是软件、硬件、人员、策略和规程的集合，它

32、通过管理密钥和数字证书为基于公钥的安全服务提供支持。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理56数字证书数字证书 q数字证书用于管理用户的公钥：它将用户公钥与用户的其他特征信息（如名称、E-mail等）绑定在一起，并通过可信任的第三方机构认证机构（Certification Authority，CA）进行电子签名，从而证明公钥和用户身份的一致性。q数字证书的主要类型包括：客户证书（个人证书）、站点证书（服务器证书）和软件开发者证书。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理57一个数

33、字证书的例子一个数字证书的例子第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理58证书认证机构（证书认证机构（CA）q证书认证机构（CA）的基本功能是签发和管理数字证书。它能够接收用户注册请求，处理、批准或拒绝请求，颁发证书。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理59身份认证技术身份认证技术 q用户名/密码方式 q智能卡方式 q动态口令方式 q生物特征认证方式 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理609.4.4 访问控制技术访问

34、控制技术 q访问控制（Access Control）是在身份认证的基础上，根据用户的身份决定其能够访问哪些资源以及对这些资源能够进行哪些操作。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理61基于角色的访问控制基于角色的访问控制 q基于角色的访问控制（RBAC）中的要素主要包括用户、角色和许可。l用户是指能够独立访问计算机系统中数据或其他资源的主体。l角色是指根据用户在组织或某一任务中的位置，定义他所拥有的权利和责任。l许可是指允许对资源进行的操作。l一个角色可以包含多个用户，一个用户也可以具有多个角色；每个角色可具有多种操作许可，每种许可也

35、可授权给多个角色。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理629.5 网络管理网络管理 q网络管理就是利用各种工具、应用程序和设备，帮助网络管理员对计算机网络进行监视和维护。q通过收集网络中各种设备的工作状态、性能参数，可以帮助网络管理员正确地分析网络工作状况，从而对各网络设备进行有效地控制，实现网络的高效、正常运行。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理639.5.1 网络管理体系结构网络管理体系结构 q主要由管理实体、被管理的设备和负责实现两者之间通信的网络管理协议构成。q

36、典型的网络管理协议包括：简单网络管理协议（Simple Network Management Protocol，SNMP）和公共管理信息协议（Common Management Information Protocol，CMIP）。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理64网络管理体系结构网络管理体系结构第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理659.5.2 ISO网络管理模型网络管理模型 q国际标准化组织（ISO）提出了网络管理模型，很好地阐述了网络管理的主要功能。l性能管理（

37、Performance Management）l配置管理（Configuration Management）l记账管理（Accounting Management）l故障管理（Fault Management）l安全管理（Security Management）。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理66性能管理性能管理 q性能管理的目标是通过测量和改进网络性能的各个方面，使得网络性能能够满足要求。q反映网络性能的参数包括：网络吞吐量、用户响应时间、传输延迟、线路利用率、平均无故障时间等。q性能管理包括三个主要步骤：l首先，收集反映网络

38、性能的数据；l然后，对这些性能数据进行分析，确定正常的网络性能指标；l最后，对每一项重要的性能参数设定报警门限，当网络性能变量值超出预设门限时，表明网络性能出现了问题。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理67配置管理配置管理 q配置管理的目的是监视网络与系统的配置信息，跟踪和管理各种版本的软硬件要素对网络运行的影响。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理68配置管理配置管理q每个网络设备都有相关联的种种软硬件版本信息。例如，一个工作站被配置了以下版本的软硬件：l操作系统，V

39、3.5。l以太网接口，V5.6。lTCP/IP软件，V2.0。lNFS 软件，V5.0。l串行通信控制器，V1.1。lX.25软件，V1.1。lSNMP 软件，V3.0。q配置管理子系统将配置信息保存在数据库中，可以在需要的时候进行方便地查询。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理69记账管理记账管理 q记账管理用于统计用户对网络的使用情况。q对于网络通信服务公司和ISP来说，记账管理能够帮助他们实现对用户的合理收费以及掌握网络的利用率情况。q对于单位内部网来说，通过统计用户的网络使用时间、网络资源利用率等参数，可以适当地控制和调节用

40、户对网络资源的访问，从而提高网络资源的利用率，满足更多用户的需求。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理70记账管理记账管理q记账管理包括以下几个步骤：l对所有重要网络资源的使用情况进行测量；l通过对这些测量结果进行分析，得到当前的网络使用模式；l进行有效的使用限额分配；l为了对网络使用方式进行优化，需要不断地进行资源使用情况的测量，及时做出调整。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理71故障管理故障管理 q故障管理的目的包括检测、记录和通知用户故障的发生，以及在必要时自动修

41、复网络故障。q网络故障能够引起网络瘫痪或使网络性能下降，因此，为了保证网络的有效运行，必须加强网络故障管理。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理72故障管理故障管理q故障管理的具体内容包括：l通过诊断测试，发现网络故障并对故障进行隔离；l对故障进行修复或通过启动备用设备以恢复网络的正常运行；l记录故障的检测和解决过程。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理73安全管理安全管理 q安全管理的目的是根据本地策略控制对网络资源的访问，防止用户对网络资源进行有意或无意的破坏，禁止未授

42、权用户对敏感信息的访问。q例如，一个安全管理子系统能够监视用户的登录情况并拒绝登录口令错误的用户进入系统。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理74安全管理安全管理q安全管理子系统可以将网络资源分成两大类：受控资源和非受控资源。l对于企业外部用户来说，其对内网中任何资源的访问往往都是不允许的；l对于大部分企业内部用户来说，其对某些特定资源的访问，往往也是不允许的。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理75安全管理安全管理q安全管理子系统需要完成以下任务：l确定敏感的网络资源（

43、包括系统硬件、软件和数据）；l确定用户对敏感网络资源的访问权限；l在敏感网络资源的访问点上进行监视并记录对敏感网络资源的非法访问。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理769.5.3 简单网络管理协议简单网络管理协议 q简单网络管理协议（Simple Network Management Protocol，SNMP）属于应用层协议，它用于在网络设备之间交换管理信息。qSNMP能够帮助网络管理员管理和维护网络，提高网络的可靠性和可用性。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理77S

44、NMP管理模型的组成管理模型的组成 q通过SNMP管理的网络主要包括三个部分：网络管理系统（Network Management System，NMS）、被管理的设备、代理（Agent）。l网络管理系统负责监视和控制被管理的设备，在被管理的网络上至少存在一个NMS。l被管理的设备（某个网络结点）通过SNMP代理收集和存储设备的管理信息并通过SNMP将信息发给NMS。被管理设备的具体类型包括路由器、交换机、网桥、集线器、访问服务器、打印机等。l代理是驻留在被管理设备上的软件模块。代理负责收集设备管理信息并发送给NMS。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理

45、网络安全与网络管理78SNMP的消息类型的消息类型 qNMS和代理之间通过消息进行通信，有5种类型的消息：GetRequest、GetNextRequest、SetRequest 、GetResponse和Trap。lGetRequest消息：通过SNMP代理获取被管理设备的参数。lGetNextRequest消息：用于从代理中获取紧跟当前参数值的下一个参数值。lSetRequest消息：对网络设备进行配置，包括设备名、设备属性等参数。lGetResponse消息：对请求消息进行响应，如提供差错状态、参数值列表等。lTrap消息：由代理向NMS主动发出的消息，用于报告某些事件的发生。 第第第第

46、9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理799.6 应用案例应用案例瑞星软件防火墙瑞星软件防火墙 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理80防火墙软件的日志文件防火墙软件的日志文件q事件的类型主要分为以下10类：l防火墙系统事件：记录防火墙的启动和关闭、网络的连接和断开等事件。l攻击事件：记录防火墙受到的攻击事件。lIP事件：记录防火墙规则要求软件记录的IP信息。lTCP事件：记录防火墙规则要求软件记录的TCP信息。lUDP事件：记录防火墙规则要求软件记录的UDP信息。l用户编辑IP规则事

47、件：记录用户对IP规则进行编辑的事件。l用户编辑访问规则事件：记录用户对访问规则进行编辑的事件。l用户配置防火墙事件：记录用户对防火墙配置的事件。l木马扫描事件：记录对内存中木马进行扫描的事件。l ARP欺骗事件：记录防火墙软件阻止ARP欺骗的事件。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理81规则设置规则设置 q黑名单设置 q白名单设置 q端口开关设置 q可信区设置 qIP规则设置 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理82黑名单设置黑名单设置q黑名单指的是禁止与本机进行通信的设

48、备列表。例如，曾对本机发起攻击的计算机可以被列入黑名单。q对黑名单中的记录可以进行增加、删除、导入、导出操作。增加黑名单记录时，可对某一特定IP地址的设备进行限制，也可对某个地址范围内的设备进行限制。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理83白名单设置白名单设置q白名单为本机完全信任的设备列表。例如，VPN服务器就可被加入白名单。对白名单的操作与对黑名单的操作类似。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理84端口开关设置端口开关设置q设置允许或禁止进行通信的本地端口或远程端口。

49、 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理85可信区设置可信区设置 q通过对可信区的设置，可以将局域网与互联网区分对待。结合可信区服务（如允许Ping入、Ping出，局域网中放行敏感端口，局域网中放行对方敏感端口），可以方便局域网内部设备之间的通信。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理86IP规则设置规则设置 q设置IP层的包过滤规则。q瑞星防火墙采用软件方式进行IP包的过滤，因此，设置的过滤规则越多，防火墙软件的性能就越低。q每条IP规则具体包括：规则名称、地址、协议、本地端

50、口、对方端口、报警方式设置等项目。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理87网站访问控制网站访问控制q通过设置网站访问规则，可以屏蔽不适合浏览的网站。通过将含有病毒或木马等的恶意网站的URL放入黑名单，可以有效地过滤这些恶意网站对本机的侵害。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理88ARP欺骗防御设置欺骗防御设置 qARP（Address Resolution Protocol）的中文名称是地址解析协议，它将IP地址转换为物理地址（MAC地址）。qARP欺骗是通过发送虚假的AR

51、P包给局域网内的主机，从而冒充他人的身份来欺骗局域网中的其他主机。q例如，某个中了ARP木马的电脑，通过ARP欺骗将自己伪装成路由器，欺骗其他主机与其通信，这样它就可以将修改过的网络数据发送给其他主机，而在这个数据中可能插入了盗取用户账户信息的程序。q瑞星防火墙通过定时检查本机ARP缓存、启用ARP静态地址绑定规则、拒绝IP地址冲突攻击等方法进行ARP欺骗防御。 第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理89本章小结本章小结 q网络安全体系需要在以下几个方面提供安全服务：保密性、身份认证、不可抵赖性、数据完整性和访问控制。q网络安全面临的主

52、要威胁：信息泄露、信息破坏和拒绝服务。q网络通信过程中面临的主要威胁：信息被截获、通信被中断、数据被篡改和信息被伪造。q网络攻击概述：网络攻击人员的类型、系统漏洞和远程攻击的概念。q拒绝服务攻击和分布式拒绝服务攻击。q恶意代码：病毒、蠕虫、特洛伊木马、逻辑炸弹、恶意网页和流氓软件。q防火墙的基本概念以及防火墙的优缺点。q包过滤防火墙和代理服务器防火墙。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理90本章小结本章小结q加密技术：加密/解密过程、对称和非对称密钥加密算法。q公开密钥基础设施的概念、数字证书的概念、证书认证机构（CA）的功能。q身份认证的方式：用户名/密码方式、智能卡方式、动态口令方式和生物特征认证方式。q访问控制的基本概念和基于角色的访问控制。q网络管理体系结构：管理实体、被管理的设备和网络管理协议。qISO网络管理模型：性能管理、配置管理、记账管理、故障管理和安全管理。q简单网络管理协议：SNMP管理模型的组成和SNMP的消息类型。q瑞星软件防护墙的配置和使用。第第第第9 9章章章章 网络安全与网络管理网络安全与网络管理网络安全与网络管理网络安全与网络管理91