《第6部分网络安全》由会员分享,可在线阅读,更多相关《第6部分网络安全(97页珍藏版)》请在金锄头文库上搜索。
1、皋唆莉步逆流疆洞湃粹廉肆赖诽柔映律荒殊阉酶奎霹吾泌建誊铅掷鲁寿孙第6部分网络安全第6部分网络安全第第6章章网络安全网络安全睹验轻珠局帆空蔷定怠伞食谚蚜党汞葱烤梗浆朽庐秩柑驻拨极朝塑皂役杀第6部分网络安全第6部分网络安全主主要要内内容容第一节第一节网络安全概述网络安全概述第二节第二节威胁网络安全的因素威胁网络安全的因素第三节第三节网络遭受攻击的形式网络遭受攻击的形式第四节第四节网络安全防范措施网络安全防范措施第五节第五节网络安全解决方案网络安全解决方案第六节第六节防火墙实用技术防火墙实用技术第七节第七节MS Proxy ServerMS Proxy Server的安全的安全第八节第八节Windo
2、ws NTWindows NT中的中的WebWeb安全安全畜如愉梅食要槛硝牧冀啸云仓剔熄慌圾盂渗姬闺掖啮奄沤鞠为捐执司邦仑第6部分网络安全第6部分网络安全皋唆莉步逆流疆洞湃粹廉肆赖诽柔映律荒殊阉酶奎霹吾泌建誊铅掷鲁寿孙第6部分网络安全第6部分网络安全第一节第一节网络安全概述网络安全概述淄控施至觉馈课执僳凋趋蛛檬扇界牙哈勺恒疮肠抿胚魁迎延刺圈刨炊乱摆第6部分网络安全第6部分网络安全主主要要内内容容网络安全的含义网络安全的含义网络安全的标准网络安全的标准网络安全的特征网络安全的特征网络安全的结构层次网络安全的结构层次主要的网络安全威胁主要的网络安全威胁拨纹颐拯狞斡俩鬼策懦跃龟恐边若陶彬型札葱夫杯拴
3、人炯峨组替腰盎交沮第6部分网络安全第6部分网络安全6.1.1 6.1.1 网络安全的含义网络安全的含义网网络络安安全全就就其其本本质质而而言言是是网网络络上上的的信信息息安安全全。从从广广义义上上讲讲,凡凡是是涉涉及及到到网网络络上上信信息息的的保保密密性性、完完整整性性、可可用用性性、真真实实性性和和可可控控性性的的相相关关技技术术和和理理论,都是网络安全的研究领域。论,都是网络安全的研究领域。网网络络安安全全是是指指网网络络系系统统的的硬硬件件、软软件件及及其其系系统统中中的的数数据据受受到到保保护护,不不受受偶偶然然的的或或者者恶恶意意的的原原因因而而遭遭到到破破坏坏、更更改改、泄泄露露
4、,系系统统连连续续可可靠靠正正常常的的运运行,网络服务不中断。行,网络服务不中断。捍米婚鸳钮挨韩臣重季枉嵌锭束逐鄂娜椅扦蹲咯葫朽落渝芥抓勇裙恋袋粹第6部分网络安全第6部分网络安全6.1.2 6.1.2 网络安全的标准网络安全的标准1运运行行系系统统安安全全,即即保保证证信信息息处处理理及及传传输输系统的安全。系统的安全。2网络上系统信息的安全:包括口令鉴别、网络上系统信息的安全:包括口令鉴别、权限控制、病毒防治等。权限控制、病毒防治等。3网网络络上上信信息息传传播播的的安安全全,即即信信息息传传播播后后的的安安全全,包包括括信信息息过过滤滤等等。侧侧重重于于非非法法信息的传播。信息的传播。4网
5、网络络上上信信息息内内容容的的安安全全:侧侧重重于于信信息息的的保密性、真实性和完整性。保密性、真实性和完整性。阂瑟晴烬蚂釜缔交畜倪胶矛枯莽绘绵筹柏蓉卡溶同狮辉亭泽肄谍币贴汗虽第6部分网络安全第6部分网络安全6.1.3 6.1.3 网络安全的特征网络安全的特征网络安全应具有以下四个方面的特征:网络安全应具有以下四个方面的特征: l l保保密密性性:指指信信息息不不泄泄露露给给非非授授权权的的用用户户、实体或过程,或供其利用的特性。实体或过程,或供其利用的特性。 l l完完整整性性:指指数数据据未未经经授授权权不不能能进进行行改改变变的的特特性性,即即信信息息在在存存储储和和传传输输过过程程中中
6、保保持持不不被被修修改改、不不被被破坏和丢失的特性。破坏和丢失的特性。 l l可可用用性性:指指可可被被实实休休访访问问并并按按需需求求使使用用的的特特性性,即即当当需需要要时时应应能能存存取取所所需需的的信信息息。网网络络环环境境下下拒拒绝绝服服务务、破破坏坏网网络络和和有有关关系系统统的的正正常常运运行行等等都都属属于于对对可可用用性性的攻击。的攻击。 l l可可控控性性:指指对对信信息息的的传传播播即即内内容容具具有有控控制制能力。能力。揉我评沽笨援钙押乞八彝姥船裂抗翔侥续树村犯稼溺镁炭怖泅冬焊郎凿臻第6部分网络安全第6部分网络安全6.1.5 6.1.5 主要的网络安全威胁主要的网络安全
7、威胁 1网络安全威胁的表现形式网络安全威胁的表现形式l l自然灾害、意外事故。l计算机犯罪。l人为行为,例如使用不当,安全意识差等。l“黑客”行为,由于黑客的入侵或侵扰。l内部泄密。l外部泄密。l信息丢失。l电子谍报,例如信息流量分析、信息窃取等。l信息战。l网络协议中的缺陷。饯罪芳超停伏庞谷怕京当选恋荣匆撼被绪晾烩著蓟斋劝肯盒河卑服满送暗第6部分网络安全第6部分网络安全6.1.5 6.1.5 主要的网络安全威胁主要的网络安全威胁l l 假冒合法用户l非授权访问l干扰系统的正常运行l破坏数据完整l传播病毒l l窃听l重传l伪造l篡改l服务封锁攻击l行为否认2网络安全威胁的特征网络安全威胁的特征
8、漠酗砌容图黑俄懊涩效诽啡糕是尼型加趁蛰挽倘羌稍质工详泽铅制润勾揣第6部分网络安全第6部分网络安全皋唆莉步逆流疆洞湃粹廉肆赖诽柔映律荒殊阉酶奎霹吾泌建誊铅掷鲁寿孙第6部分网络安全第6部分网络安全第二节第二节威胁网络安全的因素威胁网络安全的因素锡展涂壮策荡抑晨人纲鸿障馆淌永跋冤涅读哩魔霖李慧原蕉喝症鄙癌钦兼第6部分网络安全第6部分网络安全主主要要内内容容内部因素内部因素各种外部威胁各种外部威胁病毒简介病毒简介漂攘泵啡着访胸账岗嚼先苫当奴邦强围痰铸窄箩淬梅瞬箱坝烂爱目蛤穴勘第6部分网络安全第6部分网络安全6.2.1 6.2.1 内部因素内部因素1操作系统的脆弱性:操作系统的脆弱性: a a、体系结构
9、本身就是不安全的一种因素、体系结构本身就是不安全的一种因素 b b、可以创建进行又是一个不安全的因素、可以创建进行又是一个不安全的因素 c c、远程过程调用服务(、远程过程调用服务(RPCRPC)以及它所安排的)以及它所安排的无口令入口也是黑客的一个通道无口令入口也是黑客的一个通道2计算机系统的脆弱性计算机系统的脆弱性:主要来自于操作系统主要来自于操作系统的不安全性和通信协议的不安全性的不安全性和通信协议的不安全性3协议安全的脆弱性协议安全的脆弱性:网络中使用的:网络中使用的TCP/IP协协议以及议以及FTP、E-mail、NFS等都包含着影响网络等都包含着影响网络安全的因素。安全的因素。莉沃
10、泻营郊芦侣浴铰匪藐汉鸦润迂证骇蝶赵熬述看划印阔匙苗拒认陀散哥第6部分网络安全第6部分网络安全安全的因素。黑客经常采用安全的因素。黑客经常采用SOCK、TCP预测或预测或使用远程访问使用远程访问(RPC)进行直接扫描等方法对防火墙进行直接扫描等方法对防火墙进行攻击。进行攻击。4数据库管理系统安全的脆弱性数据库管理系统安全的脆弱性:它必须与操作:它必须与操作系统的安全配套,可见它是一个先天足儿。系统的安全配套,可见它是一个先天足儿。5人为因素人为因素:缺少安全管理员,特别是高素质:缺少安全管理员,特别是高素质的网络管理员。缺少安全管理规范,缺少安全检的网络管理员。缺少安全管理规范,缺少安全检查、测
11、试,缺少安全监控等因素。查、测试,缺少安全监控等因素。腋脉验硼沁覆五型卵住届骂逊揽馆象圃醇灭雁残忙狼级毗童柔摩陷弛降腮第6部分网络安全第6部分网络安全6.2.2 6.2.2 各种外部威胁各种外部威胁1物物理理威威胁胁:指指用用于于保保护护计计算算机机硬硬件件和和存存储储介介质质的的装装置置和和工工作作程程序序。常常见见物物理理安安全全有有偷偷窃窃、废废物物搜搜寻寻和和间间谍谍活活动等。它是计算机安全的最重要方面。动等。它是计算机安全的最重要方面。2网络威胁:网络威胁:(1)电子窃听 (2)拨号的安全问题 (3)冒名顶替现象既哑耕畴紧现骏走口玛媚判绦缴盐兽梯域晃纤本官朱怪芒丹粕葫依算容烛第6部分
12、网络安全第6部分网络安全3身身份份鉴鉴别别:是是计计算算机机判判断断一一种种是是否否有有权权使使用用它它的的过过程程。目目前前的的监监别别一一般般是是以以口口令令形形式式的的,但但是是它它十十分分脆脆弱弱,却却实实现现简简单单,所以仍被广泛使用。所以仍被广泛使用。a、口令圈套,、口令圈套,b、密码字典、密码字典4病毒感染病毒感染5系系统统漏漏洞洞:也也被被称称为为陷陷阱阱,它它通通常常是是由由操操作作系系统统的的开开发发者者有有意意设设置置的的,这这样样它它们们就就能能够够在在用用户户失失去去了了对对系系统统的的所所有有访访问问权权时时仍仍能能进进入入系系统统。TCP/IP中中存存在在的的很很
13、多多的安全漏洞的安全漏洞恿却妊棕驶诊记廊詹隙攒后饱娘蔚抉诱法溪娶矮昧瓦蚊罐睡滥胺虫吨隘宜第6部分网络安全第6部分网络安全病毒简介病毒简介病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分:复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。(1)病毒的分类)病毒的分类 文件病毒、引导病毒、混合型病毒、异形病毒 、宏病毒(2 2)病毒的传播方式)病毒的传播方式病毒一旦进入系统以后,通常用以下两种方式传播:l 通过磁盘的关键区域:主要感染工作站。l 通过可执行文件:主要感染服务器。(3 3)病毒的工作方式)病毒的工作方式 变异 、触发 、破坏 硫旅
14、铲辽脑药奢债铱摘驼逻狡锹桑垮阳密届斑免孟惟腺沼仰振象漓斑鲸型第6部分网络安全第6部分网络安全病毒简介病毒简介(6)网络病毒的特点)网络病毒的特点 传染方式多、传染速度快、清除难度大、破坏性强、激发形式多样、潜在性(7)常见的网络病毒)常见的网络病毒 电子邮件病毒 、Java程序病毒 、ActiveX病毒 、网页病毒(8)网络对病毒的敏感性)网络对病毒的敏感性 对文件病毒的敏感性 、对引导病毒的敏感性 、对宏病毒的敏感性 椰篷观索龄哲瘦镣区卜氖运叛依鳃虑滓册第鹿鼻脊锤它漾炔则飞辅兼温纪第6部分网络安全第6部分网络安全病毒简介病毒简介(9 9)网络计算机病毒的防治)网络计算机病毒的防治第一,加强网
15、络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。(1010)防毒、杀毒软件的选择)防毒、杀毒软件的选择 选购防毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等 饿缘惧微筑淑讽音瑶幢尘蟹足七妙扔璃稳肇予描驾洒休称叮跳娠瘁观订女第6部分网络安全第6部分网络安全目前常见网络病毒及处理冲击波(冲击波(Worm.Blaster)病毒)病毒病毒介绍:该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机
16、,找到后就利用DCOMRPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。渊甄箍娠脐轨饿的划谦懦列霹爪咋梆海肋挞钓瘪禽兜潮汝厚奇凿墒讣街友第6部分网络安全第6部分网络安全病毒发作现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。病毒详细
17、说明:1.病毒运行时会将自身复制到window目录下,并命名为:msblast.exe。2.病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。目前常见网络病毒及处理文努锰驶班翅入揪秧掳席谎粹盎叙翘支雨庶水逮洋识瘩初烈村挖常半僚帽第6部分网络安全第6部分网络安全目前常见网络病毒及处理3.病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。4.病毒会修改注册表,在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下键值:w
18、indowsautoupdate=msblast.exe,以便每次启动系统时,病毒都会运行。5.病毒体内隐藏有一段文本信息:IjustwanttosayLOVEYOUSAN!billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!篡逃宰审稻标记音前扶喀蕉胶溯拄隋倪悉恼招怪侩塌会东坊分膝幌篙印苑第6部分网络安全第6部分网络安全6.病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻
19、击时,会首先搜索子网的IP地址,以便就近攻击。7.当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。8.当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。染狠深郡羔暑收排帧埋饲批渝微窘雀十睹宿擦桶残扎夸枕鼠纽诺暇熙裁树第6部分网络安全第6部分网络安全9.当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,WindowsXP系统可能会自动重启计算机。该蠕虫不能成功攻击WindowsServer2003
20、,但是可以造成WindowsServer2003系统的RPC服务崩溃,默认情况下是系统反复重启。10.病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。睬兑勘叹脂涤饯冰饯苍孺藤躯悄辕宦卯料像介绰杖闸益喉疲辑豢陶杖抢离第6部分网络安全第6部分网络安全手工清除方案:一、DOS环境下清除该病毒:1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.CDC:windows(或CDc:winnt)2.查找目录中的“msblast.exe”病毒文件。dirmsblast.exe/s/p
21、3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。Delmsblast.exe目前常见网络病毒及处理验贝仍段思梁屑首仇穿雀甭勋隙征逢窄前诌典失舰耍娜恿芥缚纷提鞠硒脐第6部分网络安全第6部分网络安全二、在安全模式下清除病毒如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。给系统打补丁方案:当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。目前常见网络病毒及处理崔结萄壬膛劣裕暑悄阶鞘期铡粱架咒脑预孙棠王帮愚殊坝
22、阅屈粪充外忱胆第6部分网络安全第6部分网络安全目前常见网络病毒及处理“硬盘杀手”病毒“硬盘杀手”病毒的破坏力全面超越CIH病毒:它利用网络漏洞和共享目录进行网络感染,传播能力也远远超过CIH!运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,此文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉。龄泵篡佃墅裔厘图炬洪妥涤痉拯尝黄嚣堪然破拉
23、誊囱好兹嚼猜今窍棒睡兽第6部分网络安全第6部分网络安全1、由于该病毒在局域网内发播速度极快,所以局域网用户最好使用网络版杀毒软件,并进行全网查杀。2、检查注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun是否存在键值mqbkup或者mqbkupdbs,如果存在请删除此键值。3、如果用户的机器操作系统是Windows9X,请用户打开Windows系统目录下的Win.ini文件,删除run=c:windowsmqbkup.exe所在的行。4、在程序任务列表中删除mqbkup.exe。5、如果系统已经重新启动,请立即关闭机器
24、,切断电源,以免硬盘数据进一步丢失。仕酝街失厄举蚁里自宗墅饺怯片横谈娄诌汝比匣冻足转巢元叮走滴雨霸形第6部分网络安全第6部分网络安全特洛伊Win32.Revcuss.H破坏性:中04年11月15病毒特性:Win32.Revcuss.H是尝试盗取用户网络银行信息的特洛伊。这个变体病毒针对英国的几个金融机构,它是大小为27,136字节的Win32可执行文件。感染方式:运行时,Win32.Revcuss.H把自己拷贝到:%System%userhandler.exe%Windows%winuser.exe病毒修改注册键值来确保每次系统运行时都执行userhandler.exe:HKLMSoftwar
25、eMicrosoftWindowsCurrentVersionRunUserHandler=%System%userhandler.exe目前常见网络病毒及处理冬惦喷共胖夷协琉盘报馅成补怒愿蓝绵瘪瘸瓶咒曝囤誉保褂匿淘扁坦俯换第6部分网络安全第6部分网络安全危害:盗取敏感信息最初,运行时,Revcuss利用系统Inter资源管理器PHP文件发送请求:vb-puterpaul.co.uk用这个IP地址:67.15.72.14病毒会隐藏它的特性,并创建新的Desktop,名称是Default000。它阻止的所有资源管理器有下列标题:AbbeyankingBarclaysIbank.Transfert
26、oanotherorganisationCreatewelcometosmilebanking一旦建立,它使用下列地址核对用户的银行帐户:https:/ibank.barclays.co.uk/fp/.https:/membershipdetailsbelowhttps:/cukehb2.cd.citibank.co.uk/HomeBankingSecure/Pers/StartSession.asphttps:/ 绍奸伯倒碍床搅橙姜喷诅刮迪渔嚼鸣吴株乓崎专腑缄算劫蜗敝勿宽芍呵蔗第6部分网络安全第6部分网络安全6.3.1 6.3.1 服务封服务封- -锁攻击锁攻击服务封锁攻击是指一个用户占有大
27、量的共享资源,服务封锁攻击是指一个用户占有大量的共享资源,使系统没有剩余的资源给其他用户再提供服务的一使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是降低系统资源种攻击方式。服务封锁攻击的结果是降低系统资源的可用性,这些资源可以是的可用性,这些资源可以是CPU时间、磁盘空间、时间、磁盘空间、MODEM、打印机,甚至是系统管理员的时间。、打印机,甚至是系统管理员的时间。服务封锁攻击是针对服务封锁攻击是针对IPIP的核心进行的。的核心进行的。服务封锁攻击的方式很多服务封锁攻击的方式很多 秃愁援露靳砷侍公茨副悄澡烫烽拔喷蔼升浮宾烫哉砚碉侵版缅郝纠词蔗革第6部分网络安全第6
28、部分网络安全6.3.2 6.3.2 电子邮件攻击电子邮件攻击现在的电子邮件攻击主要表现如下形式:现在的电子邮件攻击主要表现如下形式:l l窃取、篡改数据窃取、篡改数据l l伪造邮件伪造邮件l l服务封锁服务封锁l l病毒病毒懂规都笑脊趣阐庸渠扩肺晓促褂狭记裕桔薛吝完柔规兴蚤猜抒会靖芍埠机第6部分网络安全第6部分网络安全6.3.3 6.3.3 缓冲区溢出攻击缓冲区溢出攻击缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会引发缓冲区溢出。攻击者可以设置一个超过限缓冲区长度的字符串,然后植入缓冲区,向一个空间有限的缓冲区植入超长字符串可能会出现两个
29、结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重时可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统超级权限楷极笔指沉丝鞍搔征迁守严六几胶惹副何肉禽迈悦壕样脖硕奶码活双粹宇第6部分网络安全第6部分网络安全6.3.4 6.3.4 网络监听攻击网络监听攻击在网络中,当信息进行传播的时候,可以利用某种工具,将网络接口设置在监听的模式,从而截获网络中正在传播的信息,然后进行攻击。执丹珊烙歧救要蚊详散畸统洼嘿榴撬霓亭乳熊疽削今泄霉匣晒漱蛮积绊翠第6部分网络安全第6部分网络安全皋唆莉步逆流疆洞湃粹廉肆赖诽柔映律荒殊阉酶奎霹吾泌建誊铅掷鲁寿孙第6部分网络安全第6部
30、分网络安全第四节第四节网络安全防范措施网络安全防范措施 拾淋拷禹盆熙仟妨胁垮驱圆斋夸誉淖狄茂溅激跳趾叙杭山围按尺焊嘶员赵第6部分网络安全第6部分网络安全6.4.1 6.4.1 物理安全防范物理安全防范1、电梯和楼梯不可直接进入机房。、电梯和楼梯不可直接进入机房。2、要有足够照明,防止非法进入的设备、要有足够照明,防止非法进入的设备3、外部容易进出口处要设置栅栏或者监控设备及报警系、外部容易进出口处要设置栅栏或者监控设备及报警系统。统。4、供电系统要独立、供电系统要独立5、微机室、微机室100m内不得有危险设施(易燃易爆物品等)内不得有危险设施(易燃易爆物品等)6、设备要加锁或是胶粘等、设备要加
31、锁或是胶粘等7、防静电、防尘、放火、防水措施(地线、隔离墙等)、防静电、防尘、放火、防水措施(地线、隔离墙等)蚂驾誊窿俊鹃郁相投段婴粕郑涝彬葡佳酗咕腾褥丽撵定萨怠陛渡贵蒜贵盅第6部分网络安全第6部分网络安全6.4.2网络安全的常规防护措施1采用备份来避免损失2帮助用户自助3预防引导病毒4预防文件病毒5将访问控制加到PC机6防止无意的信息披露7使用服务器安全弊闰咱韭卸瘴找丁溅驾拉辖盈茸湘萄劝汇槐限乔妇窜凉捆桓猛泅芯骤瓣僻第6部分网络安全第6部分网络安全8使用网络操作系统的安全功能9阻止局外人攻击10不要促成过早的硬件故障11为灾难准备硬件12学习数据恢复的基本知识13制定安全恢复策略返回本节返回
32、本节氖议固贪恨病蕴饭汤峰绿碍敲喳袱伸旬朽芜谤浆纂雷卓点贬秋趣厘敷畦侄第6部分网络安全第6部分网络安全6.4.3网络安全控制措施1物理访问控制2逻辑访问控制3组织方面的控制4人事控制5操作控制肮堕尚摩挤靠帽烃空严柞浮砰海颅恐惰携赖僳更玖良品俺摸仗恭悲贵雇遣第6部分网络安全第6部分网络安全6应用程序开发控制7工作站控制8服务器控制9数据传输保护返回本节返回本节翌朵菊瓢页虎邱品涪盎膳摄溺垂猪垮勘泌叼铀壤垫兜鲁渠朔戮磐诽焚戮筏第6部分网络安全第6部分网络安全6.4.5网络安全实施过程中需要注意的一些问题1网络安全分级应以风险为依据2有效防止部件被毁坏或丢失可以得到最佳收益3安全概念确定在设计早期4完善
33、规则5注重经济效益规则兄热钧绰抵式滚沤击它诞酣散肋苫准旦再铅掩泳呆史富怎接傻葬辉狭潘甜第6部分网络安全第6部分网络安全6对安全防护措施进行综合集成7尽量减少与外部的联系8一致性与平等原则9可以接受的基本原则10时刻关注技术进步返回本节返回本节屏动佐痰厂愁蹦僚袭玩痔索范讥何采枪冀钵积帆琳揣树雌牌厅荧史珠赊遮第6部分网络安全第6部分网络安全皋唆莉步逆流疆洞湃粹廉肆赖诽柔映律荒殊阉酶奎霹吾泌建誊铅掷鲁寿孙第6部分网络安全第6部分网络安全第五节第五节网络安全解决方案网络安全解决方案 共围桑卒衣稗避咯药匙故气理营兢从着臂巢授肌高匪邵屹里陈茧阮身吊匡第6部分网络安全第6部分网络安全6.5.1网络信息安全模
34、型网络信息安全模型1政策、法律、法规政策、法律、法规2增强的用户认证增强的用户认证3授权授权4加密加密5审计与监控审计与监控宫溢董丽小尾碟碰宏侦桔春窥柞烯涯灸攫障烂榷乖帅削须溜摊炮柏敬邓村第6部分网络安全第6部分网络安全6.5.2安全策略设计依据安全策略设计依据制订网络安全策略时应考虑如下因素:制订网络安全策略时应考虑如下因素:l l 对对于于内内部部用用户户和和外外部部用用户户分分别别提提供供哪哪些些服务程序。服务程序。l l初初始始投投资资额额和和后后续续投投资资额额(新新的的硬硬件件、软件及工作人员)。软件及工作人员)。l l方便程度和服务效率的平衡。方便程度和服务效率的平衡。l l复杂
35、程度和安全等级的平衡。复杂程度和安全等级的平衡。l l网络性能。网络性能。雇售氰总镣悍滚忘坊硅燃淋捶昂硼们饶龄息矮辱累厂沏赤绅受根阿穆五醋第6部分网络安全第6部分网络安全6.5.3网络安全解决方案网络安全解决方案1信息包筛选信息包筛选2应用网关应用网关3加密与确认加密与确认醉沈芒钒含恶宇扭私敷杠忘段岁眠倔深啥菱功猛窃侣渤挛怂鸥韭崔听计守第6部分网络安全第6部分网络安全6.5.4网络安全技术措施网络安全技术措施(1)物物理理层层的的安安全全防防护护:主主要要通通过过制制定定物物理理层层的的管管理理规规范范和和措措施施来提供安全解决方案。来提供安全解决方案。(2)链链路路层层的的安安全全防防护护:
36、主主要要是是利利用用链链路路加加密密措措施施对对数数据据进进行行加加密保护。它加密所有用户数据并在目的结点完成解密。密保护。它加密所有用户数据并在目的结点完成解密。(3)网网络络层层的的安安全全防防护护:网网络络层层主主要要采采用用防防火火墙墙作作为为安安全全防防护护手手段段,实实现现初初级级安安全全防防护护。也也可可以以根根据据一一些些安安全全协协议议实实施施加加密密保保护。还可进行入侵检测。护。还可进行入侵检测。(4)传传输输层层的的安安全全防防护护:传传输输层层处处于于通通信信子子网网和和资资源源子子网网之之间间,起起着着承承上上启启下下的的作作用用。传传输输层层应应支支持持对对等等实实
37、体体认认证证服服务务、访访问问控控制制服服务务、数数据据保保密密服服务务、数数据据完完整整性性服服务务、数数据据源源点点认认证证服务。服务。(5)应应用用层层的的安安全全防防护护:可可以以实实施施强强大大的的基基于于用用户户的的身身份份认认证证,还可加强数据的备份和恢复环节。还可加强数据的备份和恢复环节。位甫肪驱铂垮贝碾列饥遵脚禄措锥酮小铣叠隘逾壳逸减饿祁齿锐诊撒缝钻第6部分网络安全第6部分网络安全6.5.4网络安全技术措施网络安全技术措施在实际的安全设计中,往往综合采用下列技术措施:在实际的安全设计中,往往综合采用下列技术措施:1 1身份验证身份验证2访问授权(访问授权(Authorizat
38、ion)3实时侵入检测技术实时侵入检测技术4网络分段网络分段5选择集线器选择集线器6VLAN技术技术7VPN技术技术8防火墙技术防火墙技术炕预澜适冒椿坯捻值嫂索鞍盔壕咯蜘淘必袒灭含谨趴饥茧拯鄂堤虹上擦财第6部分网络安全第6部分网络安全6.5.5网络安全的评估网络安全的评估网网络络系系统统的的安安全全措措施施应应实实现现如如下目标:下目标:l对存取的控制;l保持系统和数据的完整;l能够对系统进行恢复和对数据进行备份。袱讫御翅碗阎签骚榷柏饵枕勒禁升霄谗滔瘟疵谈姑沧野粗宇酵苟寸抢拳辩第6部分网络安全第6部分网络安全皋唆莉步逆流疆洞湃粹廉肆赖诽柔映律荒殊阉酶奎霹吾泌建誊铅掷鲁寿孙第6部分网络安全第6部
39、分网络安全第六节第六节防火墙实用技术防火墙实用技术傍倪慨己窜遇驼皖税学袋曝宋俊坞沃肺井泊宵痕蹄抢糜拌伤稽胜决尊谓木第6部分网络安全第6部分网络安全防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施油信鞍褐惫并蜂盈酮赐天刹骗噬哈睬郊迹呈悄彪孪甭欠加砌听药衍恤蔑饯第6部分网络安全第6部分网络安全6.6.1防火墙技术概述防火墙技术概述 1防火墙的组成部分防火墙的组成部分包过滤器、链路级网关和应用级网关或代理服务器。典型的防火墙如图所示。揖谈汾臀倔形厚傲嘴剥毒欢
40、芽习铬耕雌压确狡鞍称栋舷攒遇夹墩蔽莉炎和第6部分网络安全第6部分网络安全6.6.1防火墙技术概述防火墙技术概述 2防火墙的作用防火墙的作用弥补网络服务的脆弱性、控制对网络的存取、集中的安全管理、网络使用情况的记录及统计3防火墙的局限性防火墙的局限性绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。4基本防火墙壁设计基本防火墙壁设计在设计防火墙时必须确定:防火墙的行为准则、机构的安全策略、费用、系统的组件或构件。防火墙有两种相反的行为准则:拒绝没有特别允许的任何服务l允许没有特别拒绝的任何服务蜀掘辩丸馁座刽策苹鹤熬寿
41、购弓型粕淤徒霄炉原库谋江犁荚结侣烽设馁眨第6部分网络安全第6部分网络安全6.6.2防火墙的类型防火墙的类型1包过滤防火墙包过滤防火墙如图所示:闭耻惰逸歇鼠喳肠摘抬盯吹蹬矗讳式访庶斥总余投柏练俗衅芋尧麦蔫绅惊第6部分网络安全第6部分网络安全6.6.2防火墙的类型防火墙的类型2代理防火墙代理防火墙 由代理服务器和过滤路由器组成,它将过滤器和软件代理技术结合在一起。 3双宿主机防火墙双宿主机防火墙 该防火墙是用主机来执行安全管制功能。一台双宿主机配置有多个网卡,分别连接不同的网络。 撩嗽极追触肺或赣镇解愿谰幂某返挨架陷怎兆戎火四妥它嘘泥烦漳边顷蝉第6部分网络安全第6部分网络安全6.6.3防火墙的配置
42、防火墙的配置 1包过滤路由器包过滤路由器 2双宿主网关双宿主网关双宿主网关仅用一个代理服务器(如图所示),代理服务器就是安装于双宿主机的代理服务器软件。魏阎唯灶燎盂块藏揪西目妻樱暂隐苟遣准斑柔傍葛煮礼蜜墩竞妒滩隋逗炙第6部分网络安全第6部分网络安全6.6.3防火墙的配置防火墙的配置 3主机过滤防火墙主机过滤防火墙主机过滤防火墙由分组过滤路由器和应用网关组成(如图所示)。 悲忿持丧甄忱种全曾牡糠跑霖搜液钻呐杏法毛疥宴邱鼓硒无吼秒仍感耀愤第6部分网络安全第6部分网络安全6.6.3防火墙的配置防火墙的配置 4子网过滤防火墙子网过滤防火墙 在主机过滤配置上再加一个路由器,形成一个被称为非军事区的子网(
43、如图所示),这个子网还可能被用于信息服务器和其他要求严格控制的系统,形成三道防火线。 掇贝乡漆栓幼翠耍颧陡燕揖痹秋尊溺卒示殉叉蔡液局烬霓椽粹认襄贩跺穗第6部分网络安全第6部分网络安全(1)代理防火墙的原理:代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图所示。6.6.4代理防火墙总硅箔煎诣硼艾鞋颇阵锗蛙砍娠囱皆讹扑阳妖愁霹沥吃溜犯台司召框梦壤第6部分网络安全第6部分网络安全舟倘俏松冷落竣困胺供刷往拖托子铸佛琶甫熏榷离阴栅苗馏筏寅雨拴捅榴
44、第6部分网络安全第6部分网络安全(2)应用层网关型防火墙:主要保存Internet上那些最常用和最近访问过的内容:在Web上,代理首先试图在本地寻找数据,如果没有,再到远程服务器上去查找。为用户提供了更快的访问速度,并且提高了网络安全性。应用层网关的工作原理如图上所示。应用层网关防火墙最突出的优点就是安全,缺点就是速度相对比较慢。俐瞬帕横披汐措咐畅亢缉穴蹈母凝觅傅派诀砖蒲嚏恢矾骏吻沉翱囤苯眩氛第6部分网络安全第6部分网络安全(3)电路层网关防火墙在电路层网关中,包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包,如图左所示。电路层网关防火墙的工作原理如图右所示电路层网关防火墙的特
45、点是将所有跨越防火墙的网络通信链路分为两段。虏增洪妆臣添京献裁宜辅鸟复烘逾河桨华驶盂藏茧沙吱兴雇峰脚衰苔姆慌第6部分网络安全第6部分网络安全代理防火墙(4)代理技术的优点1)代理易于配置。2)代理能生成各项记录。3)代理能灵活、完全地控制进出流量、内容。4)代理能过滤数据内容。5)代理能为用户提供透明的加密机制。6)代理可以方便地与其他安全手段集成。北贸锈蚤露口毋浮翰杖玛举恤磊秋搭圾翁嚏含盘苞藉牲砚锌俭展序亏患份第6部分网络安全第6部分网络安全代理防火墙(5)代理技术的缺点1)代理速度较路由器慢。2)代理对用户不透明。3)对于每项服务代理可能要求不同的服务器。4)代理服务不能保证免受所有协议弱
46、点的限制。5)代理不能改进底层协议的安全性。凑碱骤幌皂誉锨憨菏象半娜跋绅韭迅郝殃理哀澜佬佐们燃曙目壤滨兴瓷嫡第6部分网络安全第6部分网络安全表表9.1两种防火墙技术两种防火墙技术 6.6.5两种防火墙技术的对比瓮庞忙饮阔锰腮筹赔备掸袭自蒙炬可显迸厩迫油篓破靳损钮挡歪伺契迫青第6部分网络安全第6部分网络安全6.6.6防火墙的主要技术及实现方式1双端口或三端口的结构2透明的访问方式3灵活的代理系统4多级的过滤技术5网络地址转换技术(NAT)6网络状态监视器庭圣遭颅蒂巨倾侵褂鸵防悔辛她艳烟屿窖图炳厩佑效除旋胜甩闷围怪拔幌第6部分网络安全第6部分网络安全7Internet网关技术8安全服务器网络(SS
47、N)9用户鉴别与加密10用户定制服务11审计和告警12应用网关代理熙坞晶养逆蛾羚乡广否组项践芜蔡罪雌削技孺垫霹葬帧和技忌涅殆氯疾窑第6部分网络安全第6部分网络安全13回路级代理服务器14代管服务器15IP通道(IPTunnels)16 隔 离 域 名 服 务 器 ( Split DomainNameSever)17邮件转发技术(MailForwarding)秃剩烛龙呈谭伙攒昼控躲轻羽新谐聋蚁奋谤逼泵夫毯驶别略虾婴它但博吊第6部分网络安全第6部分网络安全6.6.7Windows2000环境下防火墙及NAT的实现1实现方法通过网络地址转换把内部地址转换成统一的外部地址,避免了使用代理服务所引起的账
48、号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测,可以启用MicrosoftProxyServer的动态包过滤功能和IP分段过滤,达到端口隐形的效果。拌倦苫龋烃脐你鬃费烬汪顿券榨哮靳辜饮玉涉谷鸯酞琵耙哉萎冬情吠街归第6部分网络安全第6部分网络安全动态包过滤规则动态包过滤规则核忍畜疡肠屠鲜骤勉庞幽承谣佳德贼塔跺岭襄卉燕毙振医匪彪鼠惊情凭嚏第6部分网络安全第6部分网络安全2案例环境假定有一台Web服务器(WWW),地址为 10.1.0.20, 其 完 整 域 名 为 :,对应解析的IP地址为192.168.0.10,在其上装有两块网卡,命名为本地连
49、接1和本地连接2,它们的IP地址分别为:10.1.0.1和192.168.0.9。售频癣汤邑尉泵酉鳃焙瓣珐电粳拾窟阀旦瓶谍胸税筐车逾遗您误撂畅韶殊第6部分网络安全第6部分网络安全3MSWindows2000NAT网络地址转换的实现(1)路由和远程访问服务(2)网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。珐贷龟战笑律尝思石裹肌捣脊施攻降札纸瞳转驮翘美仙坞廖锯砍阵庶雕茬第6部分网络安全第6部分网络安全地址和特殊端口配置谈墨迸圃冬搁泪忘碌剿瑞业乳攫垄拄蔑头嗅磕贵挤泌细掂镊炮刁考暮颁朝第6部分网络安全第6部分网络安全内部地址欺骗过滤内部地址欺骗过滤配置配置道回中蛾漾告
50、炮妄撰剃摩倔笋岩帆窖习钞匠架配匙颗疥蒲祸熬嫂着萤售蠕第6部分网络安全第6部分网络安全外部地址欺骗过滤外部地址欺骗过滤配置配置茹彰呢孰效闺株媒魔洲咽耐摹而即遵疵轴咙蝴蚁躇柴闯宰曝竖影竿蜒龄觅第6部分网络安全第6部分网络安全4MSProxyServer动态包过滤和反向代理ProxyServer功能的配置界面如图所示。(1)MSProxyServer动态过滤记录文件的详细说明如表所示。(2)MSProxyServer动态包过滤的实现如表所示。沉速须矣小侠街肋欲颁善函渺命电女跋唁堆楷蹋陷对休脖韧惕肘骋础剪昆第6部分网络安全第6部分网络安全ProxyServer功能的配置界面幂金题哪企鬃融佐嘴扎郸练暖奢
51、磕酗孺兑更彰烁语瘟澄挪蓖痔匀俯颊柴撞第6部分网络安全第6部分网络安全一条记录条目的说明舶最镣獭栽惑敦貌伯创玖爷戌辑拭活恒钨敬宝拢迫伐黑痊明烷唁伙册蹲皆第6部分网络安全第6部分网络安全皋唆莉步逆流疆洞湃粹廉肆赖诽柔映律荒殊阉酶奎霹吾泌建誊铅掷鲁寿孙第6部分网络安全第6部分网络安全第七节第七节MS Proxy ServerMS Proxy Server的安全的安全 娥呻悍解造垢徘寐邓绅端阳技纠涪洱渊谋噎芹窒鸥派禁啥涩黍氢扮慢育悯第6部分网络安全第6部分网络安全6.7.1代理服务器代理服务器的工作过程的工作过程 l代理服务器拦截网络内部用户发往Internet服务器的请求。l它把自己的地址作为源地址,对请求重新打包,然后把请求发给目标Web服务器。l当Web服务器返回一个响应时,这个响应将被发送给代理服务器。l代理服务器确认这个响应是正确的,然后,再转发给内部用户。珊教咏摸尧舆载锦制厅骏讥妙东寿妄败然瞅晨娃馆左先乐蔽灰馁只枝蹬胶第6部分网络安全第6部分网络安全6.7.2代理服务器用作防火墙代理服务器用作防火墙 如图所示: 呼驶爪些寂逛线舱辩拴坪掏储届英妨近惊合谅硒遏混匣骨芭硕獭繁尔汀芳第6部分网络安全第6部分网络安全理论课程到此结束谢谢使用!铬款畸辉剂杰稠肪弗俏阻嫂好冤酵设腕伺傈赘赐擦驭悦嘴歪楞黄航器背葛第6部分网络安全第6部分网络安全
