網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)課件

1、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)2022/7/28網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)學(xué)習(xí)內(nèi)容:網(wǎng)絡(luò)安全的重要性及其研究的主要問題。密碼體制的基本概念及應(yīng)用。防火墻的基本概念。網(wǎng)絡(luò)入侵檢測與防攻擊的基本概念與方法。網(wǎng)絡(luò)文件備份與恢復(fù)的基本方法。網(wǎng)絡(luò)病毒防治的基本方法。網(wǎng)絡(luò)管理的基本概念與方法。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)9.1 網(wǎng)絡(luò)安全研究的主要問題網(wǎng)絡(luò)安全的重要性非法獲取重要信息，信息欺詐，破壞與網(wǎng)絡(luò)攻擊，法律與道德問題；網(wǎng)絡(luò)安全涉及到技術(shù)、管理與法制環(huán)境等多個方面；網(wǎng)絡(luò)安全問題已經(jīng)成為信息化社會的一個焦點問題；每個國家只能立足于本國，研究自己的網(wǎng)絡(luò)安全技術(shù)，培養(yǎng)自己的專門人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè)，才能構(gòu)筑本國的網(wǎng)

2、絡(luò)與信息安全防范體系。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全技術(shù)研究的主要問題 目的：確保信息在網(wǎng)絡(luò)環(huán)境中存儲、處理和傳輸安全；網(wǎng)絡(luò)防攻擊問題； 網(wǎng)絡(luò)安全漏洞與對策問題；網(wǎng)絡(luò)中的信息安全保密問題；防抵賴問題； 網(wǎng)絡(luò)內(nèi)部安全防范問題； 網(wǎng)絡(luò)防病毒問題； 網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)1.網(wǎng)絡(luò)防攻擊技術(shù)服務(wù)攻擊（application dependent attack）: 對網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成該網(wǎng)絡(luò)的“拒絕服務(wù)”，使網(wǎng)絡(luò)工作不正常;非服務(wù)攻擊（application independent attack）: 不針對某項具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而

3、進(jìn)行的，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)防攻擊主要問題需要研究的幾個問題網(wǎng)絡(luò)可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網(wǎng)絡(luò)被攻擊？如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護(hù)體系？解決：加強對網(wǎng)絡(luò)系統(tǒng)的管理網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)2.網(wǎng)絡(luò)安全漏洞與對策的研究網(wǎng)絡(luò)信息系統(tǒng)的運行涉及：計算機硬件與操作系統(tǒng)；網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件；數(shù)據(jù)庫管理系統(tǒng)；應(yīng)用軟件；網(wǎng)絡(luò)通信協(xié)議。網(wǎng)絡(luò)安全漏洞也會表現(xiàn)在以上幾個方面。解決：主動檢測網(wǎng)絡(luò)安全漏洞。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)3.網(wǎng)絡(luò)中的信息安全問題信息存儲安全 如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會 被未授權(quán)的網(wǎng)絡(luò)用戶非

4、法使用；信息傳輸安全 如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻擊； 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)信息傳輸安全問題的四種基本類型網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)解決網(wǎng)絡(luò)中的信息安全問題的方法加密與解密加密過程明文密文信息源結(jié)點解密過程密文明文信息目的結(jié)點數(shù)據(jù)加密與解密過程網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)4.防抵賴問題防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不承認(rèn);或者是信息目的結(jié)點用戶接收到信息之后不認(rèn)賬；通過身份認(rèn)證、數(shù)字簽名、數(shù)字信封、第三方確認(rèn)等方法，來確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)5.網(wǎng)絡(luò)內(nèi)部安全防范網(wǎng)絡(luò)內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有意或無意地做

5、出對網(wǎng)絡(luò)與信息安全有害的行為；對網(wǎng)絡(luò)與信息安全有害的行為包括： 有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令； 違反網(wǎng)絡(luò)安全規(guī)定，繞過防火墻，私自和外部網(wǎng)絡(luò)連接，造成系統(tǒng)安全漏洞； 違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序及數(shù)據(jù)； 違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成網(wǎng)絡(luò)工作不正常；解決來自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)與管理兩個方面入手。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)6.網(wǎng)絡(luò)防病毒 引導(dǎo)型病毒可執(zhí)行文件病毒宏病毒混合病毒特洛伊木馬型病毒Internet語言病毒 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)微軟的應(yīng)對發(fā)布對應(yīng)的清除工具和清除方法/security發(fā)布新的安全工具 中下載相應(yīng)的補丁程序，為

6、避免流量花費，可在“北大天網(wǎng)”搜索國內(nèi)的FTP下載，如沒有出國帳號可上網(wǎng)查免費出國代理地址，速度可能會慢點。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)病毒監(jiān)控:網(wǎng)上傳播的大量文件都攜帶有病毒。上網(wǎng)同時最好實時運行病毒檢測程序。下載的軟件在運行之前要先殺一次毒。新病毒不斷出現(xiàn)，病毒庫要經(jīng)常更新。不要打開來歷不明帶附件的電子郵件。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)建議:只裝一個TCP/IP協(xié)議，IPX/SPX和NetBEUI協(xié)議能不裝就不裝。硬盤共享不要設(shè)成完全訪問，或共享完后立即停止。收發(fā)E-mail時盡量采用文本形式，避免.doc，.exe附件。不要從ftp站點下載運行不明用途的軟件。不運行端口掃描程序

7、，端口掃描會嚴(yán)重影響其它網(wǎng)絡(luò)用戶的使用。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)“紅色代碼”病毒的工作原理 病毒利用IIS的 .ida 漏洞進(jìn)入系統(tǒng)并獲得 SYSTEM 權(quán)限 (微軟在2001年6月份已發(fā)布修復(fù)程序 MS01-033)病毒產(chǎn)生 100 個新的線程99 個線程用于感染其它的服務(wù)器第100個線程用于檢查本機, 并修改當(dāng)前首頁在 7/20/01 時所有被感染的機器回參與對白宮網(wǎng)站 的自動攻擊.網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)尼母達(dá) Nimada的工作原理4 種不同的傳播方式IE瀏覽器: 利用IE的一個安全漏洞 (微軟在2001年3月份已發(fā)布修復(fù)程序 MS01-020)IIS服務(wù)器: 和紅色代碼病毒相同, 或直接

8、利用它留下的木馬程序. (微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復(fù)程序和解決方案)電子郵件附件: (已被使用過無數(shù)次的攻擊方式)文件共享: 針對所有未做安全限制的共享網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)特洛伊木馬現(xiàn)在互聯(lián)網(wǎng)上有許多特洛伊木馬程序，像著名的BO、Backdoor、Netbus及國內(nèi)的Netspy等等。嚴(yán)格地說，它們屬于（Client/Sever）程序，因為它們往往帶有一個用于駐留在用戶機器上的服務(wù)器程序，以及一個用于訪問用戶機器的客戶端程序。所以不要運行來歷不明的程序。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)一、人工備份：如右圖所示，進(jìn)行備份操作，系統(tǒng)管理員最重要的工作就是做好備份備份網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理

9、技術(shù)二、自動備份：對重要的數(shù)據(jù)要定期備份，比如WEBMAIL上對E盤網(wǎng)站的數(shù)據(jù)每星期備份一次網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)A、選擇不同的備份向?qū)О凑掌聊坏奶崾具M(jìn)行操作即可B、還原向?qū)、緊急修復(fù)磁盤舉例對E盤的一個文件夾進(jìn)行備份和恢復(fù)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)7.網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新購買設(shè)備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全服務(wù)與安全標(biāo)準(zhǔn)網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本的服務(wù)功能：數(shù)據(jù)保密（data confidentiality）

10、認(rèn)證（authentication） 數(shù)據(jù)完整（data integrity） 防抵賴（non-repudiation） 訪問控制（access control）網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 國內(nèi)：電子計算機系統(tǒng)安全規(guī)范，1987年10月計算機軟件保護(hù)條例，1991年5月計算機軟件著作權(quán)登記辦法，1992年4月中華人民共和國計算機信息與系統(tǒng)安全保護(hù)條例， 1994年2月計算機信息系統(tǒng)保密管理暫行規(guī)定，1998年2月關(guān)于維護(hù)互聯(lián)網(wǎng)安全決定，全國人民代表大會常務(wù) 委員會通過，2000年12月網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)國外：可信計算機系統(tǒng)評估準(zhǔn)則TC-SEC-NCSC是1983年公布的，1985年

11、公布了可信網(wǎng)絡(luò)說明（TNI）；可信計算機系統(tǒng)評估準(zhǔn)則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)9.2 加密與認(rèn)證技術(shù) 密碼算法與密碼體制的基本概念 密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本構(gòu)成要素，即加密/解密算法和密鑰；傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對稱密碼體制；如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制；網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學(xué)的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數(shù)學(xué)函數(shù)關(guān)系

12、；在設(shè)計加密系統(tǒng)時，加密算法是可以公開的，真正需要保密的是密鑰。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)什么是密碼 密碼是含有一個參數(shù)k的數(shù)學(xué)變換，即 C = Ek（m）m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，參數(shù)k稱為密鑰加密算法可以公開，而密鑰只能由通信雙方來掌握。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)密鑰長度密鑰長度與密鑰個數(shù)密鑰長度（位）組合個數(shù)40240=109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.4028236692091038密鑰的位數(shù)越

13、長，破譯的困難也越大，安全性也越好。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)對稱密鑰密碼體系 對稱加密的特點 密鑰在通信中要嚴(yán)格保密，如何安全傳遞密鑰？密鑰管理？網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)典型對稱加密算法 數(shù)據(jù)加密標(biāo)準(zhǔn)（data encryption standard,DES）是典型的對稱加密算法，由IBM公司提出，經(jīng)過ISO認(rèn)證；目前廣泛應(yīng)用育銀行業(yè)中的電子資金轉(zhuǎn)帳領(lǐng)域；64位密鑰長度，其中8位用于奇偶校驗，用戶使用其余的56位，不是非常安全；其它一些對稱加密算法：IDEA算法，RC2算法、RC4算法與Skipjack算法等。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)非對稱密鑰密碼體系 非對稱密鑰密碼體系的特點加密的公鑰可以公開，而

14、解密的私鑰必須保密，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)非對稱加密的標(biāo)準(zhǔn) 公鑰和私鑰數(shù)學(xué)相關(guān)，成對出現(xiàn)，但是不能通過公鑰計算出私鑰；可以解決身份認(rèn)證和防抵賴問題；和對稱加密算法相比，簡化了密鑰的數(shù)目；公鑰加密技術(shù)的缺點：加密算法法雜，加密和解密的速度慢；RSA體制被認(rèn)為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面；Elgamal公鑰體制是一種基于離散對數(shù)的公鑰密碼體制，密文依賴于隨機數(shù)，又稱概率加密體制；目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有DiffieHellman密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)DSS、橢圓曲線密碼等 。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)數(shù)字信封技術(shù) 數(shù)字信封技

15、術(shù)的工作原理發(fā)送數(shù)據(jù)：對稱加密算法對稱加密的密鑰：非對稱加密算法網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)數(shù)字簽名技術(shù) 確定發(fā)送人身份，防抵賴網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)身份認(rèn)證技術(shù)的發(fā)展 身份認(rèn)證可以通過3種基本途徑之一或它們的組合實現(xiàn)：所知: 個人所掌握的密碼、口令；所有: 個人身份證、護(hù)照、信用卡、鑰匙；個人特征:人的指紋、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作方面的特征；新的、廣義的生物統(tǒng)計學(xué)是利用個人所特有的生理特征來設(shè)計的；生物統(tǒng)計學(xué)與網(wǎng)絡(luò)安全、身份認(rèn)證結(jié)合起來是目前網(wǎng)絡(luò)安全研究中的一個重要課題。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)9.3 防火墻技術(shù) 防火墻的基本概念防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控

16、制策略的系統(tǒng)，它包括硬件和軟件；設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)防火墻通過檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界；構(gòu)成防火墻系統(tǒng)的兩個基本部件是包過濾路由器和應(yīng)用級網(wǎng)關(guān)；最簡單的防火墻由一個包過濾路由器組成，而復(fù)雜的防火墻系統(tǒng)由包過濾路由器和應(yīng)用級網(wǎng)關(guān)組合而成；由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)包過濾路由器 包過濾路由器的結(jié)構(gòu) 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過濾規(guī)則（即訪問控制表），檢查每

17、個分組的源IP地址、目的IP地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)；包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如，對于TCP報頭信息可以是： 源IP地址； 目的IP地址； 協(xié)議類型； IP選項內(nèi)容； 源TCP端口號； 目的TCP端口號； TCP ACK標(biāo)識。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)包過濾的工作流程關(guān)鍵：制定包過濾規(guī)則網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)包過濾路由器作為防火墻的結(jié)構(gòu) 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)假設(shè)網(wǎng)絡(luò)安全策略規(guī)定：內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（IP地址為，TCP端口號為25）可以接收來自外部網(wǎng)絡(luò)用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡(luò)用戶傳送到與外部電子郵件服務(wù)器的電子郵件；拒絕所有與外部網(wǎng)絡(luò)中名字為TESTHO

18、ST主機的連接。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)包過濾規(guī)則表 包過濾在網(wǎng)絡(luò)層、傳輸層對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行監(jiān)控，但是網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源和服務(wù)的訪問發(fā)生在應(yīng)用層，必須在應(yīng)用層對用戶身份認(rèn)證和訪問操作分類檢查和過濾，這個功能是由應(yīng)用級網(wǎng)關(guān)完成的。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)9.3.3 應(yīng)用級網(wǎng)關(guān)的概念 多歸屬主機（網(wǎng)關(guān)）：多個網(wǎng)絡(luò)接口卡 典型的多歸屬主機結(jié)構(gòu) 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)應(yīng)用級網(wǎng)關(guān)雙歸屬主機可以用于網(wǎng)絡(luò)安全與網(wǎng)絡(luò)服務(wù)的代理在應(yīng)用層過濾進(jìn)出內(nèi)部網(wǎng)絡(luò)特定服務(wù)的用戶請求與響應(yīng)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)應(yīng)用代理應(yīng)用級網(wǎng)關(guān)：在應(yīng)用層“轉(zhuǎn)發(fā)”合法的應(yīng)用請求應(yīng)用代理：隔離了用戶主機與被訪問服務(wù)器之間的數(shù)據(jù)包交換通道

19、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)一、代理服務(wù)器的工作機制 代理服務(wù)器的使用ABC二、代理服務(wù)器存在的理由 1、局域局內(nèi)沒有與外網(wǎng)相連的機器通過內(nèi)網(wǎng)的代理服務(wù)器連接到 外網(wǎng) 2、為了獲得更大的速度，通過頻寬較大的proxy與目標(biāo)主機連接3、同一地區(qū)未互聯(lián)的不同網(wǎng)絡(luò)通過代理建立連接 4、可以免費訪問因特網(wǎng) 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)三、誰架設(shè)了代理服務(wù)器1、是大型機關(guān)、企業(yè)事業(yè)、教育機構(gòu) 2、ISP 四、 局域網(wǎng)連接共享實現(xiàn)代理(配置最簡單)19414141網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)WinRoute共享代理上網(wǎng)詳解 （網(wǎng)上有更詳細(xì)的幫助文件）主要功能1、DNS緩存和轉(zhuǎn)發(fā)DNS域名查詢信息2、可以端口映射實現(xiàn)反向代理

20、功能，讓外部訪問受NAT保護(hù)的內(nèi)部網(wǎng)絡(luò)所提供的一些功能網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)3、它具有路由器的尋徑功能，讓局域網(wǎng)里的多臺計算機使用同一個IP地址訪問因特網(wǎng)，還能自動保護(hù)內(nèi)部網(wǎng)絡(luò)不受到外部的攻擊4、該軟件支持基于IP地址的過濾和限制，提供限制可訪問的URL的安全功能、利用該軟件提供的DHCP服務(wù)器功能，可以動態(tài)分配局域網(wǎng)上的計算機的TCP/IP地址。、為保證安全，用戶可以通過該軟件定義一個過濾規(guī)則，對經(jīng)過代理服務(wù)器的數(shù)據(jù)信息進(jìn)行過濾 、它能提供代理服務(wù)器功能，并且可以設(shè)置緩存這樣就可以大幅度提高游覽的速度。(這個功能是非常有用的) 、它還可以作為電子郵件服務(wù)器來使用，利用它來接受和發(fā)送電子郵件。

21、（基本不用） 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)winroute的安裝1、安裝前：在安裝WinRoute4.1代理服務(wù)器軟件之前，必須要求所在的機器應(yīng)既能連接到因特網(wǎng)又能被局域網(wǎng)內(nèi)的機器訪問 2、安裝：到站點下載后，雙擊“wrp41en.exe”進(jìn)行安裝，安裝完后不要重新啟動網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)3、漢化：雙擊“HBC-WinRoutePro4127-Ronnier.exe”彈出如下窗口，選擇winroute的安裝路徑，漢化成中文，重新啟動即可使用4、初始化設(shè)置：右鍵點擊任務(wù)欄上的winroute圖標(biāo)，選啟動參數(shù)設(shè)置，彈出如下如圖所示的窗口，點選所需的選項網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)參數(shù)設(shè)置1、登錄：右鍵點擊

22、任務(wù)欄上的winroute圖標(biāo)，選winroute管理，彈出如左圖所示的界面，新安裝的winroute4。1的admin用戶密碼是沒有你可以直接按確定就可以了。 2、改變管理員密碼：單擊“設(shè)置”賬號，在右圖所示的窗口中點擊“編輯”按鈕，改變Admin的密碼網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)3、撥號設(shè)置：因現(xiàn)在基本是寬帶，用時可參考教材4、雙網(wǎng)卡設(shè)置：在網(wǎng)絡(luò)屬性中對兩塊網(wǎng)卡的Tcp/ip屬性進(jìn)行設(shè)置網(wǎng)卡1： ip地址 6 掩碼： 網(wǎng)關(guān)： Dns: 6網(wǎng)卡1直接與internet相連網(wǎng)卡2： ip地址 掩碼： 網(wǎng)關(guān)： 空 Dns: 6網(wǎng)卡2與內(nèi)部局域網(wǎng)相連網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)5、接口表設(shè)置：設(shè)置接口表，如左

23、圖所示，為了啟用地址轉(zhuǎn)換功能，需打開連接外網(wǎng)網(wǎng)卡的NAT功能。選中下面的網(wǎng)卡，點屬性，彈出右圖，選中上面的復(fù)選框。是否對本機進(jìn)行特殊處理網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)6、代理服務(wù)器設(shè)置：設(shè)置代理服務(wù)器本機的代理端口本機上一級代理的IP地址和端口網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)在訪問界面中可設(shè)置使用代理的情況下，限制用戶對外網(wǎng)的訪問比如：所有用戶都可訪問*.*.只有imacbl和yyyhan可以訪問*.*網(wǎng)址網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)7、DHCP服務(wù)器設(shè)置：設(shè)置DHCP服務(wù)器，彈出左圖所示窗口，查看已有的租用，可點擊“新建范圍”彈出右圖所示窗口，添加新的租用范圍：比如：添加IP：-54掩碼 ：DNS : 6網(wǎng)關(guān) ：(

24、連接局域網(wǎng)網(wǎng)卡的IP地址)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)在上頁左圖中點擊“添加租用”，可彈出下圖，可以為一些機器保留固定的IP地址在上頁左圖中點擊“編輯”，可對已有的一此設(shè)置進(jìn)行修改網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)8、DNS服務(wù)器設(shè)置DNS服務(wù)器，啟用DNS轉(zhuǎn)發(fā)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)winroute的高級設(shè)置1、數(shù)據(jù)包過濾器：如圖所示打開數(shù)據(jù)包過濾器網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)數(shù)據(jù)包過濾器配置舉例，如下的配置將強制除之外的所有局域網(wǎng)計算機必須通過代理對外界的WEB服務(wù)器進(jìn)行訪問可直接對外進(jìn)行訪問6可直接對外進(jìn)行訪問所有的計算機不允許對外界的80端口（即WEB）進(jìn)行訪問選擇對內(nèi)的網(wǎng)卡進(jìn)行配置網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)2、端

25、口映射：對249.16的web訪問轉(zhuǎn)向內(nèi)網(wǎng)中對代理機器FTP的訪問轉(zhuǎn)向內(nèi)網(wǎng)中對249.17的web訪問轉(zhuǎn)向內(nèi)網(wǎng)中類似上述描述：3389端口為WIN2K的終端服務(wù)4899端口為下節(jié)課要講的遠(yuǎn)程控制軟件所用44333為WINROUTE的遠(yuǎn)程管理所用端口網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)3、遠(yuǎn)程管理:A、設(shè)置高級遠(yuǎn)程管理，如圖1B、設(shè)置高級端口映射，如圖2C、將WrAdmin.exe文件拷貝到遠(yuǎn)程要管理的計算機上，執(zhí)行后，再圖3的winroute主機處輸入被管理的Winroute主機IP地址選中這一條必須加上網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)防火墻的系統(tǒng)結(jié)構(gòu) 堡壘主機的概念 一個雙歸屬主機作為應(yīng)用級網(wǎng)關(guān)可以起到防火墻作用；

26、處于防火墻關(guān)鍵部位、運行應(yīng)用級網(wǎng)關(guān)軟件的計算機系統(tǒng)叫做堡壘主機。需要注意的問題可靠的操作系統(tǒng)；刪除不必要的服務(wù)和應(yīng)用軟件，保留必需的服務(wù)；安裝代理軟件；配置資源保護(hù)、用戶身份鑒別與訪問控制，設(shè)置審計與日志功能；設(shè)計堡壘主機防攻擊方法，以及破壞后的應(yīng)急方案。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析 采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻系統(tǒng)結(jié)構(gòu) 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)包過濾路由器的轉(zhuǎn)發(fā)過程 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)采用多級結(jié)構(gòu)的防火墻系統(tǒng)（ S-B1-S-B1配置）結(jié)構(gòu)示意圖安全緩沖區(qū)（非軍事區(qū)）網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理

27、技術(shù)9.4 網(wǎng)絡(luò)防攻擊與入侵檢測技術(shù) 網(wǎng)絡(luò)攻擊方法分析 目前黑客攻擊大致可以分為8種基本的類型： 入侵系統(tǒng)類攻擊； 緩沖區(qū)溢出攻擊； 欺騙類攻擊； 拒絕服務(wù)攻擊； 對防火墻的攻擊； 利用病毒攻擊； 木馬程序攻擊； 后門攻擊。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)入侵檢測的基本概念入侵檢測系統(tǒng)是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別的系統(tǒng)；它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為，并且采取相應(yīng)的防護(hù)手段。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)入侵檢測系統(tǒng)IDS的基本功能：監(jiān)控、分析用戶和系統(tǒng)的行為；檢查系統(tǒng)的配置和漏洞；評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對異常行為的統(tǒng)計分析

28、，識別攻擊類型，并向網(wǎng)絡(luò)管理人員報警； 對操作系統(tǒng)進(jìn)行審計、跟蹤管理，識別違反授權(quán)的用戶活動。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)入侵檢測系統(tǒng)框架結(jié)構(gòu)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)入侵檢測的基本方法 對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能；入侵檢測系統(tǒng)按照所采用的檢測技術(shù)可以分為： 異常檢測 誤用檢測 兩種方式的結(jié)合網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)9.5 網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù)網(wǎng)絡(luò)文件備份與恢復(fù)的重要性網(wǎng)絡(luò)數(shù)據(jù)可以進(jìn)行歸檔與備份；歸檔是指在一種特殊介質(zhì)上進(jìn)行永久性存儲；網(wǎng)絡(luò)數(shù)據(jù)備份是一項基本的網(wǎng)絡(luò)維護(hù)工作；備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)文件備份的基本方法 選擇備份設(shè)備

29、選擇備份程序建立備份制度 在考慮備份方法時需要注意的問題：如果系統(tǒng)遭到破壞需要多長時間才能恢復(fù)？ 怎樣備份才可能在恢復(fù)系統(tǒng)時數(shù)據(jù)損失最少？ 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)9.6 網(wǎng)絡(luò)防病毒技術(shù) 造成網(wǎng)絡(luò)感染病毒的主要原因70%的病毒發(fā)生在網(wǎng)絡(luò)上；將用戶家庭微型機軟盤帶到網(wǎng)絡(luò)上運行而使網(wǎng)絡(luò)感染上病毒的事件約占41%左右；從網(wǎng)絡(luò)電子廣告牌上帶來的病毒約占7%；從軟件商的演示盤中帶來的病毒約占6%；從系統(tǒng)維護(hù)盤中帶來的病毒約占6%；從公司之間交換的軟盤帶來的病毒約占2%；其他未知因素約占27%；從統(tǒng)計數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶自身。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)病毒的危害 網(wǎng)絡(luò)病毒

30、感染一般是從用戶工作站開始的，而網(wǎng)絡(luò)服務(wù)器是病毒潛在的攻擊目標(biāo)，也是網(wǎng)絡(luò)病毒潛藏的重要場所；網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種作用：它可能被感染，造成服務(wù)器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；網(wǎng)絡(luò)病毒的傳染與發(fā)作過程與單機基本相同，它將本身拷貝覆蓋在宿主程序上；當(dāng)宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運行；當(dāng)符合某種條件時，病毒便會發(fā)作，它將破壞程序與數(shù)據(jù)。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用 網(wǎng)絡(luò)防病毒可以從以下兩方面入手：一是工作站，二是服務(wù)器；網(wǎng)絡(luò)防病毒軟件的基本功能是：對文件服務(wù)器和工作站進(jìn)行查

31、毒掃描、檢查、隔離、報警，當(dāng)發(fā)現(xiàn)病毒時，由網(wǎng)絡(luò)管理員負(fù)責(zé)清除病毒； 網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式：實時掃描、預(yù)置掃描與人工掃描 ；一個完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務(wù)器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)工作站防病毒方法 采用無盤工作站使用單機防病毒卡 使用網(wǎng)絡(luò)防病毒卡 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)防病毒建議1、關(guān)于病毒的十誡2、合理設(shè)置殺毒軟件3、合理設(shè)置電子郵件工具4、合理設(shè)置瀏覽器的安全級別5、慎重對待郵件附件6、不要隨便點擊不明鏈接7、不要隨意接收文件8、盡量從大型的專業(yè)網(wǎng)站下載軟件9、設(shè)置始終顯示

32、文件的擴展名10、及時升級郵件程序和操作系統(tǒng)11、啟用網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)1、關(guān)于病毒的十誡(1)對于從因特網(wǎng)上下載的可執(zhí)行文件和WORDEXECEL文件一定要非常小心，在打開這些東西之前一定要進(jìn)行非常仔細(xì)的檢查。不要相信任何人發(fā)來的郵件，即使是來自你的朋友，即使郵件的主題是“我愛你”，因為你的朋友很可能已經(jīng)被病毒感染，打開郵件的附件之前一定要三思而后行。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)關(guān)于病毒的十誡（2）局域網(wǎng)的管理員應(yīng)該特別注意的是，將所有共享目錄的可執(zhí)行文件設(shè)置成只讀文件，限制普通權(quán)限的用戶對這些目錄的文件擁有寫權(quán)限。在運行新的軟件之前一定要使用反病毒軟件進(jìn)行仔細(xì)的檢測，最好在一臺和局

33、域網(wǎng)隔離的電腦上首先安裝和運行新的軟件以防止出現(xiàn)病毒或其他對局域網(wǎng)的破壞。最好是購買正版的軟件，不要購買盜版軟件，特別是那種將多個正版軟件放在一張光盤上的所謂合集軟件。在網(wǎng)上下載軟件使用時一定要小心，到有大量用戶的知名站點下載，這樣下載的軟件中包括病毒的可能性相對要小一些。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)關(guān)于病毒的十誡（3）在任何時候都不要禁止你的病毒防火墻，如果病毒防火墻和你要使用的軟件有沖突，那么使用另外一種病毒防火墻代替它。定期備份你的數(shù)據(jù)，這是最重要的防患于未然的方法，在發(fā)生病毒感染時，備份你的數(shù)據(jù)可以最大限度的減小你的損失。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)關(guān)于病毒的十誡（4）將你的電腦的引導(dǎo)順序設(shè)置為“

34、C：A：”，這樣可以防止軟盤中的引導(dǎo)病毒感染你的硬盤。發(fā)現(xiàn)機器有異常表現(xiàn)，立即關(guān)機，然后進(jìn)行殺毒處理。如果沒有殺毒軟件，可在備份了數(shù)據(jù)之后重新安裝軟件，注意一定要使用一張確信沒有病毒的引導(dǎo)磁盤來引導(dǎo)機器之后在安裝軟件。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)關(guān)于病毒的十誡（5）及時升級你的殺毒軟件，一周一次的升級頻率已經(jīng)無法滿足需要，或許具有主動才病毒代碼發(fā)送的升級方式是你的選擇。不要過于相信廠商的宣傳，發(fā)現(xiàn)最多病毒的軟件不一定是最好的軟件，掌握足夠的病毒知識，擁有自己的判斷才能真正保護(hù)自己的電腦安全。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)2、合理設(shè)置殺毒軟件如果安裝的殺毒軟件具備掃描電子郵件的功能，比如瑞星的“POP3掃描”

35、，“注冊表監(jiān)控”，盡量將這些功能全部打開，其它的殺毒軟件也必須打開類似的網(wǎng)絡(luò)過濾掃描功能。另外，現(xiàn)在的病毒發(fā)展速度越來越快，通過網(wǎng)絡(luò)傳播的時間越來越短，因此必須及時升級更新殺毒軟件的病毒庫和掃描引擎。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)3、合理設(shè)置電子郵件工具如果是使用Outlook Express作為郵件的收發(fā)程序，為了盡量避免郵件病毒的威脅，建議在“選項”中的“發(fā)送”設(shè)置中，選擇使用“純文本”格式發(fā)送電子郵件，要知道，現(xiàn)在大部分流行的郵件收發(fā)工具都支持以HTML方式撰寫新郵件，而使用“純文本”格式發(fā)送郵件，不但可以有效防止無意中被植入惡意的HTML代碼，同時也可以減少郵件體積，加快發(fā)送速度。網(wǎng)絡(luò)安全和網(wǎng)

36、絡(luò)管理技術(shù)4、合理設(shè)置瀏覽器的安全級別在控制面板中的“Internet選項”中，進(jìn)行合理的“安全”設(shè)置，不要隨意降低安全級別，以減少來自惡意代碼和ActiveX控件的威脅，在系統(tǒng)推薦的默認(rèn)設(shè)置級別“中”的基礎(chǔ)上，點擊“自定義級別”按鈕，可以進(jìn)一步進(jìn)行更嚴(yán)格的設(shè)置，建議嘗試著每次只更改一兩個項目，如果導(dǎo)致不能正常上網(wǎng)，或者上網(wǎng)不方便了，則適當(dāng)?shù)亟档桶踩O(shè)置，多試幾次直到找到適合自己的最佳安全設(shè)置組合。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)5、慎重對待郵件附件如果收到郵件附件中有可執(zhí)行文件（如.EXE、.COM等）或者帶有“宏”的文檔（.doc等），不要直接打開，最好先用“另存為”把文件保存到磁盤上，然后用殺毒軟

37、件查殺一遍，確認(rèn)沒有病毒后再打開。不要打開擴展名為VBS、SHS或者PIF的附件，因為這類文件幾乎不會作為正常的附件發(fā)送，卻經(jīng)常地被病毒或蠕蟲所利用。另外，絕對不要打開帶有雙擴展名的附件，如“.BMP.EXE”或者“.TXT.VBS”等。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)6、不要隨便點擊不明鏈接如果收到不明郵件，一定不要隨便點擊其中的鏈接，防止其帶有惡意代碼，同樣我們在上網(wǎng)的時候，也不要經(jīng)不住一些無聊話語的誘惑，隨便輕意點擊一些無名小站的不明鏈接，因為它們經(jīng)常被用來引誘用戶去執(zhí)行該文件。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)7、不要隨意接收文件除非對方是你絕對信得過的朋友，且已經(jīng)約定好了要發(fā)送文件，否則，不要隨意接收從在線聊天系統(tǒng)（Oicq、IRC等）發(fā)送過來的文件，無論對方用什么樣的花言巧語也不要輕易上當(dāng)。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)8、盡量從大型的專業(yè)網(wǎng)站下載軟件一些BBS或者公共新聞組常常是病毒制造者發(fā)布新病毒的地方，盡量不要從這些地方下載軟件，要下載軟件的話，到大家都比較熟悉的專業(yè)網(wǎng)站進(jìn)行下載，有效保證下載軟件的安全。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理技術(shù)9、設(shè)置始終顯示文件的擴展名在資源管理器中，選擇“工具”|“文件夾選項”|“查看”，去掉“隱藏已知文件類型的擴展名”前的對號，這樣就可以使那些想偽裝成正常文件的病毒文件原形畢露，發(fā)現(xiàn)有什么異常擴