計算機網(wǎng)絡(luò)復(fù)習(xí)專用第9章

計算機網(wǎng)絡(luò)復(fù)習(xí)專用第9章第一頁，共66頁。本章學(xué)習(xí)要求:了解：網(wǎng)絡(luò)安全的重要性理解：密碼體制的基本概念及應(yīng)用掌握：防火墻的基本概念掌握：網(wǎng)絡(luò)入侵檢測與防攻擊的基本概念與方法掌握：網(wǎng)絡(luò)文件備份與恢復(fù)的基本方法了解：網(wǎng)絡(luò)病毒防治的基本方法了解：網(wǎng)絡(luò)管理的基本概念與方法《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)2第二頁，共66頁。9.1網(wǎng)絡(luò)安全研究的主要問題9.1.1網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全問題已經(jīng)成為信息化社會的一個焦點問題：信息欺詐、網(wǎng)絡(luò)攻擊、情報竊取、病毒等；每個國家只能立足于本國，研究自己的網(wǎng)絡(luò)安全技術(shù)，培養(yǎng)自己的專門人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè)，才能構(gòu)筑本國的網(wǎng)絡(luò)與信息安全防范體系?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)3第三頁，共66頁。9.1.2網(wǎng)絡(luò)安全技術(shù)研究的主要問題

網(wǎng)絡(luò)防攻擊問題網(wǎng)絡(luò)安全漏洞與對策問題網(wǎng)絡(luò)中的信息安全問題防抵賴問題

網(wǎng)絡(luò)內(nèi)部安全防范問題網(wǎng)絡(luò)防病毒問題垃圾郵件與灰色軟件問題網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)4第四頁，共66頁。1.網(wǎng)絡(luò)防攻擊技術(shù)服務(wù)攻擊（applicationdependentattack）

:對網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成該網(wǎng)絡(luò)的“拒絕服務(wù)”，使網(wǎng)絡(luò)工作不正常;非服務(wù)攻擊（applicationindependentattack）

:不針對某項具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進行的，使得網(wǎng)絡(luò)通信設(shè)備（如路由器、交換機）工作嚴重阻塞或癱瘓?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)5第五頁，共66頁。網(wǎng)絡(luò)防攻擊主要問題需要研究的幾個問題網(wǎng)絡(luò)可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網(wǎng)絡(luò)被攻擊？如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護體系？《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)6第六頁，共66頁。2.網(wǎng)絡(luò)安全漏洞與對策的研究網(wǎng)絡(luò)信息系統(tǒng)的運行涉及：計算機硬件與操作系統(tǒng)網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件數(shù)據(jù)庫管理系統(tǒng)應(yīng)用軟件網(wǎng)絡(luò)通信協(xié)議網(wǎng)絡(luò)安全漏洞也會表現(xiàn)在以上幾個方面?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)7第七頁，共66頁。網(wǎng)絡(luò)安全漏洞的存在是不可避免的；網(wǎng)絡(luò)軟件的漏洞和“后門”是進行網(wǎng)絡(luò)攻擊的首選目標；網(wǎng)絡(luò)安全研究人員與網(wǎng)絡(luò)管理人員也必須主動地了解本系統(tǒng)的計算機硬件與操作系統(tǒng)、網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用軟件，以及網(wǎng)絡(luò)通信協(xié)議可能存在的安全問題，利用各種軟件與測試工具主動地檢測網(wǎng)絡(luò)可能存在的各種安全漏洞，并及時地提出對策與補救措施。《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)8第八頁，共66頁。3.網(wǎng)絡(luò)中的信息安全問題對信息的攻擊手段：主動攻擊：破壞信息的有效性和完整性；被動攻擊：對信息的截獲、竊取和破譯；信息安全包括：信息存儲安全：如何保證靜態(tài)存儲在聯(lián)網(wǎng)計算機中的信息不會被未授權(quán)的網(wǎng)絡(luò)用戶非法使用；信息傳輸安全：如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻擊；《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)9第九頁，共66頁。信息傳輸安全問題的四種基本類型《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)10第十頁，共66頁。數(shù)據(jù)加密與解密的過程

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)11第十一頁，共66頁。4.防抵賴問題防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不承認，或者是信息目的結(jié)點用戶接收到信息之后不認賬；如何防抵賴是電子商務(wù)、電子政務(wù)應(yīng)用中必須解決的重要問題；通過身份認證、數(shù)字簽名、數(shù)字信封、第三方確認等方法，來確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)12第十二頁，共66頁。5.網(wǎng)絡(luò)內(nèi)部安全防范網(wǎng)絡(luò)內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有意或無意地做出對網(wǎng)絡(luò)與信息安全有害的行為；對網(wǎng)絡(luò)與信息安全有害的行為包括：

?有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令；

?違反網(wǎng)絡(luò)安全規(guī)定，繞過防火墻，私自和外部網(wǎng)絡(luò)連接，造成系統(tǒng)安全漏洞；

?違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序及數(shù)據(jù)；

?違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成網(wǎng)絡(luò)工作不正常；解決來自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)與管理兩個方面入手?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)13第十三頁，共66頁。6.網(wǎng)絡(luò)防病毒

引導(dǎo)型病毒可執(zhí)行文件病毒宏病毒混合病毒特洛伊木馬型病毒Internet語言病毒

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)14第十四頁，共66頁。7.垃圾郵件與灰色軟件目前網(wǎng)絡(luò)垃圾郵件幾乎達到失控的地步；“灰色軟件”包括間諜程序、廣告程序、后門程序、下載程序、植入程序等。Internet中灰色軟件的危害威脅已呈急劇上升的趨勢；2005年，垃圾郵件繼續(xù)泛濫，由此引起的網(wǎng)絡(luò)釣魚攻擊越演越烈：仿造電子銀行、電子商務(wù)等網(wǎng)站，下載木馬程序或騙取用戶帳號和密碼。《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)15第十五頁，共66頁。8.網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題設(shè)計一個網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全時，需考慮以下問題：如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新購買設(shè)備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？一個實用的網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計中必須有網(wǎng)絡(luò)數(shù)據(jù)備份、恢復(fù)手段和災(zāi)難恢復(fù)策略與實現(xiàn)方法的內(nèi)容，這也是網(wǎng)絡(luò)安全研究的一個重要內(nèi)容?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)16第十六頁，共66頁。9.1.3網(wǎng)絡(luò)安全標準

《電子計算機系統(tǒng)安全規(guī)范》，1987年10月《計算機軟件保護條例》，1991年5月《計算機軟件著作權(quán)登記辦法》，1992年4月《中華人民共和國計算機信息與系統(tǒng)安全保護條例》，1994年2月《計算機信息系統(tǒng)保密管理暫行規(guī)定》，1998年2月《關(guān)于維護互聯(lián)網(wǎng)安全決定》，全國人民代表大會常務(wù)委員會通過，2000年12月《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)17第十七頁，共66頁。美國國防部黃皮書（可信計算機系統(tǒng)評估準則TC-SEC-NCSC）是1983年公布的，1985年公布了可信網(wǎng)絡(luò)說明（TNI）；可信計算機系統(tǒng)評估準則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)18第十八頁，共66頁。9.2加密與認證技術(shù)

9.2.1密碼算法與密碼體制的基本概念

數(shù)據(jù)加密與解密的例子

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)19第十九頁，共66頁。密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本構(gòu)成要素，即加密/解密算法和密鑰；傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對稱密碼體制；如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制；密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學(xué)的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數(shù)學(xué)函數(shù)關(guān)系；密碼算法是相對穩(wěn)定的。在這種意義上，可以把密碼算法視為常量，而密鑰則是一個變量；在設(shè)計加密系統(tǒng)時，加密算法是可以公開的，真正需要保密的是密鑰?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)20第二十頁，共66頁。什么是密碼

密碼是含有一個參數(shù)k的數(shù)學(xué)變換，即

C=Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法參數(shù)k稱為密鑰密文C是明文m使用密鑰k經(jīng)過加密算法計算后的結(jié)果；加密算法可以公開，而密鑰只能由通信雙方來掌握。《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)21第二十一頁，共66頁。密鑰長度

密鑰長度與密鑰個數(shù)：用窮舉法進行猜測時需要嘗試的密鑰個數(shù)。密鑰長度（位）組合個數(shù)40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×1038《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)22第二十二頁，共66頁。9.2.2對稱密鑰密碼體系

對稱加密（symmetriccryptography）的特點

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)23第二十三頁，共66頁。9.2.3非對稱密鑰密碼體系

非對稱密鑰（asymmetriccryptography）密碼體系特點《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)24第二十四頁，共66頁。非對稱加密的標準

RSA體制被認為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認證等方面；Elgamal公鑰體制是一種基于離散對數(shù)的公鑰密碼體制；目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有DiffieHellman密鑰交換、數(shù)據(jù)簽名標準DSS、橢圓曲線密碼等?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)25第二十五頁，共66頁。9.2.4數(shù)字信封技術(shù)：將傳統(tǒng)的對稱加密與非對稱加密算法結(jié)合起來。

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)26第二十六頁，共66頁。9.2.5數(shù)字簽名技術(shù)：保證信息傳輸過程中數(shù)據(jù)的完整性，實現(xiàn)對發(fā)送者的身份認證，防止信息交換中的抵賴現(xiàn)象發(fā)生。

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)27第二十七頁，共66頁。例子假設(shè)生成單向散列函數(shù)的辦法是：

對一段英文消息中字母a、e、h、o出現(xiàn)的次數(shù)進行計數(shù)，生成的消息摘要的值H取字母a、e、h的出現(xiàn)次數(shù)相乘，再加上字母o出現(xiàn)的次數(shù)的運算結(jié)果。那么，對于一段英文消息：

thecombinationtothesafeistwo，seven，thirty-five.按照生成的消息摘要值的規(guī)則：

H0=（2×6×3）+4=40如果有人截獲了這段消息，并把它修改為：

Youarebeingfollowed,usebackroadshurry.按照生成的消息摘要值的規(guī)則：

H’=（3×4×1）+4=16通過檢查消息摘要值的方法可以發(fā)現(xiàn)發(fā)送的消息是否被人篡改?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)28第二十八頁，共66頁。數(shù)字簽名的工作過程：發(fā)送方使用單向散列函數(shù)對要發(fā)送的信息進行運算，生成信息摘要；發(fā)送方使用自己的私鑰，利用非對稱加密算法，對生成的信息摘要進行數(shù)字簽名；發(fā)送方通過網(wǎng)絡(luò)將信息本身和已進行數(shù)字簽名的信息摘要發(fā)送給接收方；接收方使用與發(fā)送方相同的單向散列函數(shù)，對收到的信息進行運算，重新生成信息摘要；接收方使用發(fā)送方的公鑰對接收的信息摘要解密；將解密的信息摘要與重新生成的信息摘要進行比較，以判斷信息在發(fā)送過程中是否被篡改過?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)29第二十九頁，共66頁。9.2.6身份認證技術(shù)的發(fā)展

身份認證可以通過3種基本途徑之一或它們的組合實現(xiàn)：所知（knowledge）：個人所掌握的密碼、口令；所有（possesses）：個人身份證、護照、信用卡、鑰匙；個人特征（characteristics）：人的指紋、聲音、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作方面的特征；新的、廣義的生物統(tǒng)計學(xué)是利用個人所特有的生理特征來設(shè)計的；目前人們研究的個人特征主要包括：容貌、膚色、發(fā)質(zhì)、身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習(xí)慣性簽字、打字韻律，以及在外界刺激下的反應(yīng)等。

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)30第三十頁，共66頁。9.3防火墻技術(shù)

9.3.1防火墻的基本概念防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)31第三十一頁，共66頁。防火墻通過檢查所有進出內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)包的合法性，限制所有不符合安全策略要求的數(shù)據(jù)包通過，判斷是否會對網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界（securityperimeter）；構(gòu)成防火墻系統(tǒng)的兩個基本部件是：包過濾路由器（packetfilteringrouter）應(yīng)用級網(wǎng)關(guān)（applicationgateway）最簡單的防火墻由一個包過濾路由器組成，而復(fù)雜的防火墻系統(tǒng)由包過濾路由器和應(yīng)用級網(wǎng)關(guān)組合而成，其結(jié)構(gòu)有多種形式。《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)32第三十二頁，共66頁。9.3.2包過濾路由器

包過濾路由器的結(jié)構(gòu)

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)33第三十三頁，共66頁。路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過濾規(guī)則（即訪問控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)；普通路由器只對分組的網(wǎng)絡(luò)層報頭進行處理，而包過濾路由器需要檢查TCP報頭的端口號字節(jié)；包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如，對于TCP報頭信息可以是：?源、目的IP地址?協(xié)議類型

?IP選項內(nèi)容

?源、目的TCP端口號

?TCPACK標識《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)34第三十四頁，共66頁。包過濾的工作流程《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)35第三十五頁，共66頁。包過濾路由器作為防火墻的結(jié)構(gòu)

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)36第三十六頁，共66頁。假設(shè)網(wǎng)絡(luò)安全策略規(guī)定：內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（IP地址為192.1.6.2，TCP端口號為25）可以接收來自外部網(wǎng)絡(luò)用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡(luò)用戶通過內(nèi)部郵件服務(wù)器傳送到外部網(wǎng)絡(luò)的電子郵件；拒絕所有與外部網(wǎng)絡(luò)中名字為TESTHOST主機的連接。

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)37第三十七頁，共66頁。包過濾規(guī)則表

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)38第三十八頁，共66頁。9.3.3應(yīng)用級網(wǎng)關(guān)的概念

多歸屬主機（multi--homedhost）

典型的多歸屬主機結(jié)構(gòu)：具有多個網(wǎng)絡(luò)接口卡的主機《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)39第三十九頁，共66頁。應(yīng)用級網(wǎng)關(guān)：將多歸屬主機應(yīng)用于應(yīng)用層的用戶身份認證與服務(wù)請求的合法性檢驗?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)40第四十頁，共66頁。應(yīng)用代理（applicationproxy）：是應(yīng)用級網(wǎng)關(guān)的另一種形式。它完全接管了用戶對服務(wù)器的訪問，隔離了用戶主機與被訪問服務(wù)器之間數(shù)據(jù)包的交換通道?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)41第四十一頁，共66頁。9.3.4防火墻的系統(tǒng)結(jié)構(gòu)

堡壘主機的概念

一個雙歸屬主機作為應(yīng)用級網(wǎng)關(guān)可以起到防火墻作用；處于防火墻關(guān)鍵部位、運行應(yīng)用級網(wǎng)關(guān)軟件的計算機系統(tǒng)叫做堡壘主機?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)42第四十二頁，共66頁。典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析

采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻系統(tǒng)結(jié)構(gòu)《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)43第四十三頁，共66頁。包過濾路由器的轉(zhuǎn)發(fā)過程《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)44第四十四頁，共66頁。S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)45第四十五頁，共66頁。采用多級結(jié)構(gòu)的防火墻系統(tǒng)（

S-B1-S-B1配置）結(jié)構(gòu)示意圖《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)46第四十六頁，共66頁。9.4網(wǎng)絡(luò)防攻擊與入侵檢測技術(shù)

9.4.1網(wǎng)絡(luò)攻擊方法分析

目前黑客攻擊大致可以分為8種基本的類型：入侵系統(tǒng)類攻擊緩沖區(qū)溢出攻擊欺騙類攻擊拒絕服務(wù)攻擊對防火墻的攻擊利用病毒攻擊木馬程序攻擊后門攻擊《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)47第四十七頁，共66頁。9.4.2入侵檢測的基本概念入侵檢測系統(tǒng)IDS是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)；它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為，并且采取相應(yīng)的防護手段?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)48第四十八頁，共66頁。入侵檢測系統(tǒng)IDS的基本功能：監(jiān)控、分析用戶和系統(tǒng)的行為；檢查系統(tǒng)的配置和漏洞；評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理人員報警；

對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶活動。《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)49第四十九頁，共66頁。入侵檢測系統(tǒng)框架結(jié)構(gòu)

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)50第五十頁，共66頁。9.4.3入侵檢測的基本方法

對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能；入侵檢測系統(tǒng)按照所采用的檢測技術(shù)可以分為：異常檢測：已知網(wǎng)絡(luò)的正?；顒訝顟B(tài)，當前網(wǎng)絡(luò)不符合正常狀態(tài)時，認為有攻擊發(fā)生。誤用檢測：使用某種模型或特征描述方法，對已知的攻擊進行表達，符合該模型的行為即判定為入侵。兩種方式的結(jié)合按照檢測的對象，入侵檢測系統(tǒng)可分為：基于主機、網(wǎng)絡(luò)、目標、應(yīng)用的入侵檢測系統(tǒng)?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)51第五十一頁，共66頁?；谥鳈C的入侵檢測系統(tǒng)的基本結(jié)構(gòu)

數(shù)據(jù)源：系統(tǒng)日志、應(yīng)用程序日志?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)52第五十二頁，共66頁。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基本結(jié)構(gòu)

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)53網(wǎng)絡(luò)﹡在網(wǎng)絡(luò)上監(jiān)聽整個網(wǎng)段的數(shù)據(jù)流，通過分析和異常檢測或特征對比，發(fā)現(xiàn)網(wǎng)絡(luò)入侵事件。第五十三頁，共66頁。9.5網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù)9.5.1網(wǎng)絡(luò)文件備份與恢復(fù)的重要性

網(wǎng)絡(luò)數(shù)據(jù)可以進行歸檔與備份；歸檔是指在一種特殊介質(zhì)上進行永久性存儲；網(wǎng)絡(luò)數(shù)據(jù)備份是一項基本的網(wǎng)絡(luò)維護工作；備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)54第五十四頁，共66頁。9.5.2網(wǎng)絡(luò)文件備份的基本方法

選擇備份設(shè)備選擇備份程序建立備份制度

在考慮備份方法時需要注意的問題：如果系統(tǒng)遭到破壞需要多長時間才能恢復(fù)？

怎樣備份才可能在恢復(fù)系統(tǒng)時數(shù)據(jù)損失最少？

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)55第五十五頁，共66頁。9.6網(wǎng)絡(luò)防病毒技術(shù)

9.6.1造成網(wǎng)絡(luò)感染病毒的主要原因70%的病毒發(fā)生在網(wǎng)絡(luò)上；將用戶家庭微型機軟盤帶到網(wǎng)絡(luò)上運行而使網(wǎng)絡(luò)感染上病毒的事件約占41%左右；從網(wǎng)絡(luò)電子廣告牌上帶來的病毒約占7%；從軟件商的演示盤中帶來的病毒約占6%；從系統(tǒng)維護盤中帶來的病毒約占6%；從公司之間交換的軟盤帶來的病毒約占2%；其他未知因素約占27%；從統(tǒng)計數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶自身?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)56第五十六頁，共66頁。9.6.2網(wǎng)絡(luò)病毒的危害

網(wǎng)絡(luò)病毒感染一般是從用戶工作站開始的，而網(wǎng)絡(luò)服務(wù)器是病毒潛在的攻擊目標，也是網(wǎng)絡(luò)病毒潛藏的重要場所；網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種作用：它可能被感染，造成服務(wù)器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；網(wǎng)絡(luò)病毒的傳染與發(fā)作過程與單機基本相同，它將本身拷貝覆蓋在宿主程序上；當宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運行；當符合某種條件時，病毒便會發(fā)作，它將破壞程序與數(shù)據(jù)?！队嬎銠C網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)57第五十七頁，共66頁。9.6.3典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用

網(wǎng)絡(luò)防病毒可以從以下兩方面入手：一是工作站，二是服務(wù)器；網(wǎng)絡(luò)防病毒軟件的基本功能是：對文件服務(wù)器和工作站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時，由網(wǎng)絡(luò)管理員負責清除病毒；網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式：實時掃描、預(yù)置掃描與人工掃描；一個完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務(wù)器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。

《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)58第五十八頁，共66頁。9.6.4網(wǎng)絡(luò)工作站防病毒方法

采用無盤工作站使用單機防病毒卡

使用網(wǎng)絡(luò)防病毒卡《計算機網(wǎng)絡(luò)》第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)59第五十九頁，共66頁。9.7網(wǎng)絡(luò)管理技術(shù)

9.7.1網(wǎng)絡(luò)管理的基本概念

網(wǎng)絡(luò)管理涉及以下三個方面：網(wǎng)絡(luò)服務(wù)提供(networkserviceprovisioning)是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能；網(wǎng)絡(luò)維護(networkmaintenance)是指網(wǎng)絡(luò)性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復(fù)；網(wǎng)絡(luò)處理(networkadministration)是指網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用