網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理的學(xué)習(xí).ppt

計算機網(wǎng)絡(luò)技術(shù) 第8章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理 學(xué)習(xí)內(nèi)容 網(wǎng)絡(luò)安全的定義和面臨的威脅病毒的定義 分類 特點及防治黑客的概念 攻擊目的和防范措施防火墻的概念和功能特點網(wǎng)絡(luò)管理的基本概念簡單網(wǎng)絡(luò)管理協(xié)議SNMP 8 1網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全問題已經(jīng)成為信息化社會的一個焦點問題 每個國家只能立足于本國 研究自己的網(wǎng)絡(luò)安全技術(shù) 培養(yǎng)自己的專門人才 發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè) 才能構(gòu)筑本國的網(wǎng)絡(luò)與信息安全防范體系 網(wǎng)絡(luò)安全的概念 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件 軟件及其系統(tǒng)的數(shù)據(jù)不受到偶然的或者惡意的因素而遭到破壞 更改和泄露 系統(tǒng)連續(xù)可靠的正常地運行 網(wǎng)絡(luò)服務(wù)不中斷 網(wǎng)絡(luò)安全包括五個基本要素 機密性 完整性 可用性 可控性與可審查性 機密性 是指網(wǎng)絡(luò)信息的內(nèi)容不會被未授權(quán)的第三方所知 完整性 指信息在存儲或傳輸時不被篡改 破壞 不出現(xiàn)信息包的丟失 亂序等 可用性 得到授權(quán)的實體在需要時可訪問數(shù)據(jù) 即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作 可控性 可以控制授權(quán)范圍內(nèi)的信息流向及行為方式 可審查性 對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段 構(gòu)成對網(wǎng)絡(luò)安全威脅的主要因素與相關(guān)技術(shù)的研究網(wǎng)絡(luò)防攻擊問題網(wǎng)絡(luò)安全漏洞與對策問題網(wǎng)絡(luò)中的信息安全保密問題網(wǎng)絡(luò)內(nèi)部安全防范問題網(wǎng)絡(luò)防病毒問題網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù) 災(zāi)難恢復(fù)問題 網(wǎng)絡(luò)防攻擊問題 服務(wù)攻擊 對網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊 造成該網(wǎng)絡(luò)的 拒絕服務(wù) 使網(wǎng)絡(luò)工作不正常 非服務(wù)攻擊 不針對某項具體應(yīng)用服務(wù) 而是基于網(wǎng)絡(luò)層等低層協(xié)議而進行的 使得網(wǎng)絡(luò)通信設(shè)備工作嚴重阻塞或癱瘓 網(wǎng)絡(luò)防攻擊主要問題需要研究的幾個問題 網(wǎng)絡(luò)可能遭到哪些人的攻擊 攻擊類型與手段可能有哪些 如何及時檢測并報告網(wǎng)絡(luò)被攻擊 如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護體系 網(wǎng)絡(luò)安全漏洞與對策的研究 網(wǎng)絡(luò)信息系統(tǒng)的運行涉及到 計算機硬件與操作系統(tǒng)網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件數(shù)據(jù)庫管理系統(tǒng)應(yīng)用軟件網(wǎng)絡(luò)通信協(xié)議網(wǎng)絡(luò)安全漏洞也會表現(xiàn)在以上幾個方面 網(wǎng)絡(luò)中的信息安全保密 信息存儲安全與信息傳輸安全信息存儲安全如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會被未授權(quán)的網(wǎng)絡(luò)用戶非法使用 信息傳輸安全如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻擊 網(wǎng)絡(luò)中的信息安全保密問題 數(shù)據(jù)加密與解密 將明文變換成密文的過程稱為加密 將密文經(jīng)過逆變換恢復(fù)成明文的過程稱為解密 網(wǎng)絡(luò)內(nèi)部安全防范問題 網(wǎng)絡(luò)內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有意或無意地做出對網(wǎng)絡(luò)與信息安全有害的行為 對網(wǎng)絡(luò)與信息安全有害的行為包括 有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令 違反網(wǎng)絡(luò)安全規(guī)定 繞過防火墻 私自和外部網(wǎng)絡(luò)連接 造成系統(tǒng)安全漏洞 違反網(wǎng)絡(luò)使用規(guī)定 越權(quán)查看 修改和刪除系統(tǒng)文件 應(yīng)用程序及數(shù)據(jù) 違反網(wǎng)絡(luò)使用規(guī)定 越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置 造成網(wǎng)絡(luò)工作不正常 解決來自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)與管理兩個方面入手 網(wǎng)絡(luò)防病毒問題 目前 70 的病毒發(fā)生在計算機網(wǎng)絡(luò)上 連網(wǎng)微型機病毒的傳播速度是單機的20倍 網(wǎng)絡(luò)服務(wù)器消除病毒所花的時間是單機的40倍 電子郵件病毒可以輕易地使用戶的計算機癱瘓 有些網(wǎng)絡(luò)病毒甚至?xí)茐南到y(tǒng)硬件 網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù) 災(zāi)難恢復(fù)問題 如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失 數(shù)據(jù)能不能被恢復(fù) 如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞 重新購買設(shè)備的資金可以提供 但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù) 網(wǎng)絡(luò)安全機制 網(wǎng)絡(luò)安全機制 securitymechanisms 可分為兩類 一類與安全服務(wù)有關(guān) 另一類與管理功能有關(guān) ISO7498 2建議了以下八種機制 1 加密機制 加密是確保數(shù)據(jù)保密性 2 數(shù)字簽名機制 數(shù)字簽名用來確保數(shù)據(jù)真實性和進行身份驗證 3 訪問控制機制 訪問控制按照事先確定的規(guī)則來決定主體對客體的訪問是否合法 4 數(shù)據(jù)完整性機制 數(shù)據(jù)完整性是保證數(shù)據(jù)不被修改 5 認證機制 計算機網(wǎng)絡(luò)中認證機制主要有站點認證 報文認證 用戶和進程的認證 6 信息流填充機制 信息流填充使攻擊者不知道哪些是有用信息 哪些是無用信息 從而挫敗信息流分析攻擊 7 路由控制機制 路由控制機制可根據(jù)信息發(fā)送者的申請選擇安全路徑 以確保數(shù)據(jù)安全 8 公正機制 主要是在發(fā)生糾紛時進行公正仲裁用 8 2計算機病毒及黑客入侵 1 計算機病毒特點靈活性傳播性隱蔽性潛伏性破壞性 2 計算機病毒的類型 引導(dǎo)型病毒可執(zhí)行文件病毒宏病毒混合型病毒 3 造成網(wǎng)絡(luò)感染病毒的主要原因70 的病毒發(fā)生在網(wǎng)絡(luò)上 將用戶家庭微型機軟盤帶到網(wǎng)絡(luò)上運行而使網(wǎng)絡(luò)感染上病毒的事件約占41 左右 從網(wǎng)絡(luò)電子廣告牌上帶來的病毒約占7 從軟件商的演示盤中帶來的病毒約占6 從系統(tǒng)維護盤中帶來的病毒約占6 從公司之間交換的軟盤帶來的病毒約占2 其他未知因素約占27 從統(tǒng)計數(shù)據(jù)中可以看出 引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶自身 4 網(wǎng)絡(luò)病毒的危害 網(wǎng)絡(luò)病毒感染一般是從用戶工作站開始的 而網(wǎng)絡(luò)服務(wù)器是病毒潛在的攻擊目標 也是網(wǎng)絡(luò)病毒潛藏的重要場所 網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種作用 它可能被感染 造成服務(wù)器癱瘓 它可以成為病毒傳播的代理人 在工作站之間迅速傳播與蔓延病毒 網(wǎng)絡(luò)病毒的傳染與發(fā)作過程與單機基本相同 它將本身拷貝覆蓋在宿主程序上 當(dāng)宿主程序執(zhí)行時 病毒也被啟動 然后再繼續(xù)傳染給其他程序 如果病毒不發(fā)作 宿主程序還能照常運行 當(dāng)符合某種條件時 病毒便會發(fā)作 它將破壞程序與數(shù)據(jù) 5 網(wǎng)絡(luò)病毒的防治措施 不使用或下載來源不明的軟件 不輕易上一些不正規(guī)的網(wǎng)站 提防電子郵件病毒的傳播 一些郵件病毒會利用ActiveX控件技術(shù) 當(dāng)以HTML方式打開郵件時 病毒可能就會被激活 經(jīng)常關(guān)注一些網(wǎng)站 BBS發(fā)布的病毒報告 這樣可以在未感染病毒時做到預(yù)先防范 及時更新操作系統(tǒng) 為系統(tǒng)漏洞打上補丁 對于重要文件 數(shù)據(jù)做到定期備份 6 典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用 網(wǎng)絡(luò)防病毒可以從以下兩方面入手 一是工作站 二是服務(wù)器 網(wǎng)絡(luò)防病毒軟件的基本功能是 對文件服務(wù)器和工作站進行查毒掃描 檢查 隔離 報警 當(dāng)發(fā)現(xiàn)病毒時 由網(wǎng)絡(luò)管理員負責(zé)清除病毒 網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式 實時掃描 預(yù)置掃描與人工掃描 一個完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個部分組成 客戶端防毒軟件 服務(wù)器端防毒軟件 針對群件的防毒軟件 針對黑客的防毒軟件 常用殺毒軟件 瑞星殺毒軟件金山殺毒軟件諾頓殺毒軟件 7 黑客的概念及特征 黑客群體擴大化黑客的組織化和集團化黑客行為的商業(yè)化黑客行為的政治化 黑客是指為那些利用計算機某種技術(shù)或其他手段 善意或惡意地進入其非授權(quán)范圍以內(nèi)的計算機或網(wǎng)絡(luò)空間的人 8 常見的黑客攻擊方法 Web欺騙技術(shù)放置特洛伊木馬程序口令攻擊 1 暴力破解 2 密碼控測 3 網(wǎng)絡(luò)監(jiān)聽 4 登錄界面攻擊法電子郵件攻擊網(wǎng)絡(luò)監(jiān)聽端口掃描攻擊緩沖區(qū)溢出 9 防范黑客的措施 提高安全意識使用防火墻使用反黑客軟件盡量不暴露自己的IP安裝殺毒軟件做好數(shù)據(jù)的備份 8 3網(wǎng)絡(luò)防火墻技術(shù) 8 3 1防火墻的基本概念防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng) 它包括硬件和軟件 設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用 防止內(nèi)部受到外部非法用戶的攻擊 防火墻的功能及作用 防火墻實際上是一種保護裝置 防止非法入侵 以保護網(wǎng)絡(luò)數(shù)據(jù) 在互聯(lián)網(wǎng)服務(wù)中可實現(xiàn)多個目的 1 限定訪問控制點 2 防止侵人者侵入 3 限定離開控制點 4 有效地阻止破壞者對計算機系統(tǒng)進行破壞 總之 防火墻在互聯(lián)網(wǎng)中是分離器 限制器 分析器 防火墻的位置與作用 防火墻通過檢查所有進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包 檢查數(shù)據(jù)包的合法性 判斷是否會對網(wǎng)絡(luò)安全構(gòu)成威脅 為內(nèi)部網(wǎng)絡(luò)建立安全邊界 構(gòu)成防火墻系統(tǒng)的兩個基本部件是 包過濾路由器和應(yīng)用級網(wǎng)關(guān) 最簡單的防火墻由一個包過濾路由器組成 而復(fù)雜的防火墻系統(tǒng)由包過濾路由器和應(yīng)用級網(wǎng)關(guān)組合而成 由于組合方式有多種 因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式 8 3 2防火墻的主要類型 包過濾防火墻 包過濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層 根據(jù)數(shù)據(jù)包包頭源地址 目的地址和端口號 協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過 只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地點出口端 其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄 包過濾防火墻的工作原理 代理防火墻 代理防火墻又稱應(yīng)用層網(wǎng)關(guān)級防火墻 它由代理服務(wù)器和過濾路由器組成 是目前較流行的一種防火墻 它將過濾路由器和軟件代理技術(shù)結(jié)合在一起 過濾路由器負責(zé)網(wǎng)絡(luò)互聯(lián) 并對數(shù)據(jù)進行嚴格選擇 然后將篩選過的數(shù)據(jù)傳送給代理服務(wù)器 代理服務(wù)器起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用 其功能類似一個數(shù)據(jù)轉(zhuǎn)發(fā)器 它主要控制哪些用戶能訪問哪些服務(wù)類型 應(yīng)用級網(wǎng)關(guān)的結(jié)構(gòu) 應(yīng)用代理的工作原理 雙穴主機防火墻 該防火墻是用主機來執(zhí)行安全控制功能 一臺雙穴主機配有多個網(wǎng)卡 分別連接不同的網(wǎng)絡(luò) 雙穴主機從一個網(wǎng)絡(luò)收集數(shù)據(jù) 并且有選擇地把它發(fā)送到另一個網(wǎng)絡(luò)上 網(wǎng)絡(luò)服務(wù)由雙空主機上的服務(wù)代理來提供 內(nèi)部網(wǎng)和外部網(wǎng)的用戶可通過雙穴主機的共享數(shù)據(jù)區(qū)傳遞數(shù)據(jù) 從而保護內(nèi)部網(wǎng)絡(luò)不被非法訪問 8 3 3主要的防火墻產(chǎn)品 Checkpoint公司的Firewall 1防火墻SonicSystem公司的Sonicwall防火墻NetScreen公司的NetScreen防火墻Alkatel公司的InternetDevice防火墻NAI公司的Gauntlet防火墻中國的 天網(wǎng) 網(wǎng)絡(luò)衛(wèi)士 藍盾 天網(wǎng)防火墻 天網(wǎng)防火墻 安全規(guī)則設(shè)置這是系統(tǒng)最重要 也是最復(fù)雜的地方 可以非常靈活的設(shè)計合適自己使用的規(guī)則 規(guī)則是一系列的比較條件和一個對數(shù)據(jù)包的動作 就是根據(jù)數(shù)據(jù)包的每一個部分來與設(shè)置的條件比較 當(dāng)符合條件時 就可以確定對該包放行或者阻擋 通過合理的設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在你的機器之外 工具條 點擊上面的按鈕來導(dǎo)入 增加 修改 刪除規(guī)則 由于規(guī)則判斷是由上而下的 可以通過點擊調(diào) 規(guī)則上下移動 按鈕調(diào)整規(guī)則的順序 當(dāng)調(diào)整好順序后 可按保存按鈕保存修改 當(dāng)規(guī)則增加或修改后 為了讓這些規(guī)則生效 還要點擊 應(yīng)用新規(guī)則 按鈕 規(guī)則列表 列出了所有的規(guī)則的名稱 該規(guī)則所對應(yīng)的數(shù)據(jù)包的方向 該規(guī)則所控制的協(xié)議 本機端口 對方地址和對方端口 以及當(dāng)數(shù)據(jù)包滿足本規(guī)則時所采取的策略 在列表的左邊為該規(guī)則是否有效的標志 標記為鉤表示改規(guī)則有效 否則表示無效 當(dāng)改變這些標志后 按保存鍵 8 4網(wǎng)絡(luò)管理技術(shù) 8 4 1網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理涉及以下三個方面 網(wǎng)絡(luò)服務(wù)提供是指向用戶提供新的服務(wù)類型 增加網(wǎng)絡(luò)設(shè)備 提高網(wǎng)絡(luò)性能 網(wǎng)絡(luò)維護是指網(wǎng)絡(luò)性能監(jiān)控 故障報警 故障診斷 故障隔離與恢復(fù) 網(wǎng)絡(luò)處理是指網(wǎng)絡(luò)線路 設(shè)備利用率數(shù)據(jù)的采集 分析 以及提高網(wǎng)絡(luò)利用率的各種控制 網(wǎng)絡(luò)管理系統(tǒng)的基本結(jié)構(gòu) 管理對象管理對象是經(jīng)過抽象的網(wǎng)絡(luò)元素 對應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù) 管理進程管理進程是負責(zé)對網(wǎng)絡(luò)設(shè)備進行全面的管理與控制的軟件 管理協(xié)議管理協(xié)議負責(zé)在管理系統(tǒng)與被管理對象之間傳遞與負責(zé)操作命令 管理信息庫 管理信息庫 MIB 是管理進程的一部分 用于記錄網(wǎng)絡(luò)中被管理對象的狀態(tài)參數(shù)值 一個網(wǎng)絡(luò)的管理系統(tǒng)只能有一個管理信息庫 但管理信息庫可以是集中存儲的 也可以由各個網(wǎng)絡(luò)設(shè)備記錄本地工作參數(shù) 網(wǎng)絡(luò)管理員只要查詢有關(guān)的管理信息庫 就可獲得有關(guān)網(wǎng)絡(luò)設(shè)備的工作狀態(tài)和工作參數(shù) 在網(wǎng)絡(luò)管理過程中 使網(wǎng)絡(luò)管理信息庫中數(shù)據(jù)與實際網(wǎng)絡(luò)設(shè)備的狀態(tài) 參數(shù)保持一致的方法主要有兩種 事件驅(qū)動與輪詢驅(qū)動方法 8 4 2OSI管理功能域 配置管理 configurationmanagement 故障管理 faultmanagement 性能管理 performancemanagement 安全管理 securitymanagement 記賬管理 accountingmanagement 配置管理配置管理是最基本的網(wǎng)絡(luò)管理功能 主要用于配置和優(yōu)化網(wǎng)絡(luò) 配置管理就是在網(wǎng)絡(luò)建立 擴充 改造以及業(yè)務(wù)的開展過程中 對網(wǎng)絡(luò)的拓撲結(jié)構(gòu) 資源配備 使用狀態(tài)等配置信息進行定義 監(jiān)測和修改 故障管理故障管理的功能是迅速發(fā)展和糾正故障 動態(tài)維護網(wǎng)絡(luò)的有效性 故障管理主要功能有報警監(jiān)測 故障定位 故障隔離 故障恢復(fù)以及維護故障日志 性能管理性能管理保證有效地運營網(wǎng)絡(luò)并提供約定的服務(wù)質(zhì)量 性能管理包括性能檢測功能 性能分析功能和性能管理控制功能 計費管理計費管理的功能是正確地計算和收取用戶使用網(wǎng)絡(luò)服務(wù)的費用 進行網(wǎng)絡(luò)資源利用率的統(tǒng)計和網(wǎng)絡(luò)的成本效益核算 安全管理安全管理的作用是提供信息的保密 認證和完整性保護機制 使網(wǎng)絡(luò)中的服務(wù) 數(shù)據(jù)和系統(tǒng)免受侵擾和破壞 安全管理主要包括 風(fēng)險分析功能 安全服務(wù)功能 告警 日志和報告功能以及網(wǎng)絡(luò)管理系統(tǒng)保護功能 8 4 3簡單網(wǎng)絡(luò)管理協(xié)議SNMP SNMP是目前TCP IP網(wǎng)絡(luò)中應(yīng)用最廣泛的協(xié)議 其前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議 SGMP 用來對通信線路進行管理 隨后對其改進并加入了符合Internet定義的SMI和MIB體系結(jié)構(gòu) 改進后的協(xié)議