網絡安全與網絡管理的學習.ppt

計算機網絡技術 第8章網絡安全與網絡管理 學習內容 網絡安全的定義和面臨的威脅病毒的定義 分類 特點及防治黑客的概念 攻擊目的和防范措施防火墻的概念和功能特點網絡管理的基本概念簡單網絡管理協(xié)議SNMP 8 1網絡安全概述 網絡安全問題已經成為信息化社會的一個焦點問題 每個國家只能立足于本國 研究自己的網絡安全技術 培養(yǎng)自己的專門人才 發(fā)展自己的網絡安全產業(yè) 才能構筑本國的網絡與信息安全防范體系 網絡安全的概念 網絡安全是指網絡系統(tǒng)的硬件 軟件及其系統(tǒng)的數據不受到偶然的或者惡意的因素而遭到破壞 更改和泄露 系統(tǒng)連續(xù)可靠的正常地運行 網絡服務不中斷 網絡安全包括五個基本要素 機密性 完整性 可用性 可控性與可審查性 機密性 是指網絡信息的內容不會被未授權的第三方所知 完整性 指信息在存儲或傳輸時不被篡改 破壞 不出現信息包的丟失 亂序等 可用性 得到授權的實體在需要時可訪問數據 即攻擊者不能占用所有的資源而阻礙授權者的工作 可控性 可以控制授權范圍內的信息流向及行為方式 可審查性 對出現的網絡安全問題提供調查的依據和手段 構成對網絡安全威脅的主要因素與相關技術的研究網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數據備份與恢復 災難恢復問題 網絡防攻擊問題 服務攻擊 對網絡提供某種服務的服務器發(fā)起攻擊 造成該網絡的 拒絕服務 使網絡工作不正常 非服務攻擊 不針對某項具體應用服務 而是基于網絡層等低層協(xié)議而進行的 使得網絡通信設備工作嚴重阻塞或癱瘓 網絡防攻擊主要問題需要研究的幾個問題 網絡可能遭到哪些人的攻擊 攻擊類型與手段可能有哪些 如何及時檢測并報告網絡被攻擊 如何采取相應的網絡安全策略與網絡安全防護體系 網絡安全漏洞與對策的研究 網絡信息系統(tǒng)的運行涉及到 計算機硬件與操作系統(tǒng)網絡硬件與網絡軟件數據庫管理系統(tǒng)應用軟件網絡通信協(xié)議網絡安全漏洞也會表現在以上幾個方面 網絡中的信息安全保密 信息存儲安全與信息傳輸安全信息存儲安全如何保證靜態(tài)存儲在連網計算機中的信息不會被未授權的網絡用戶非法使用 信息傳輸安全如何保證信息在網絡傳輸的過程中不被泄露與不被攻擊 網絡中的信息安全保密問題 數據加密與解密 將明文變換成密文的過程稱為加密 將密文經過逆變換恢復成明文的過程稱為解密 網絡內部安全防范問題 網絡內部安全防范是防止內部具有合法身份的用戶有意或無意地做出對網絡與信息安全有害的行為 對網絡與信息安全有害的行為包括 有意或無意地泄露網絡用戶或網絡管理員口令 違反網絡安全規(guī)定 繞過防火墻 私自和外部網絡連接 造成系統(tǒng)安全漏洞 違反網絡使用規(guī)定 越權查看 修改和刪除系統(tǒng)文件 應用程序及數據 違反網絡使用規(guī)定 越權修改網絡系統(tǒng)配置 造成網絡工作不正常 解決來自網絡內部的不安全因素必須從技術與管理兩個方面入手 網絡防病毒問題 目前 70 的病毒發(fā)生在計算機網絡上 連網微型機病毒的傳播速度是單機的20倍 網絡服務器消除病毒所花的時間是單機的40倍 電子郵件病毒可以輕易地使用戶的計算機癱瘓 有些網絡病毒甚至會破壞系統(tǒng)硬件 網絡數據備份與恢復 災難恢復問題 如果出現網絡故障造成數據丟失 數據能不能被恢復 如果出現網絡因某種原因被損壞 重新購買設備的資金可以提供 但是原有系統(tǒng)的數據能不能恢復 網絡安全機制 網絡安全機制 securitymechanisms 可分為兩類 一類與安全服務有關 另一類與管理功能有關 ISO7498 2建議了以下八種機制 1 加密機制 加密是確保數據保密性 2 數字簽名機制 數字簽名用來確保數據真實性和進行身份驗證 3 訪問控制機制 訪問控制按照事先確定的規(guī)則來決定主體對客體的訪問是否合法 4 數據完整性機制 數據完整性是保證數據不被修改 5 認證機制 計算機網絡中認證機制主要有站點認證 報文認證 用戶和進程的認證 6 信息流填充機制 信息流填充使攻擊者不知道哪些是有用信息 哪些是無用信息 從而挫敗信息流分析攻擊 7 路由控制機制 路由控制機制可根據信息發(fā)送者的申請選擇安全路徑 以確保數據安全 8 公正機制 主要是在發(fā)生糾紛時進行公正仲裁用 8 2計算機病毒及黑客入侵 1 計算機病毒特點靈活性傳播性隱蔽性潛伏性破壞性 2 計算機病毒的類型 引導型病毒可執(zhí)行文件病毒宏病毒混合型病毒 3 造成網絡感染病毒的主要原因70 的病毒發(fā)生在網絡上 將用戶家庭微型機軟盤帶到網絡上運行而使網絡感染上病毒的事件約占41 左右 從網絡電子廣告牌上帶來的病毒約占7 從軟件商的演示盤中帶來的病毒約占6 從系統(tǒng)維護盤中帶來的病毒約占6 從公司之間交換的軟盤帶來的病毒約占2 其他未知因素約占27 從統(tǒng)計數據中可以看出 引起網絡病毒感染的主要原因在于網絡用戶自身 4 網絡病毒的危害 網絡病毒感染一般是從用戶工作站開始的 而網絡服務器是病毒潛在的攻擊目標 也是網絡病毒潛藏的重要場所 網絡服務器在網絡病毒事件中起著兩種作用 它可能被感染 造成服務器癱瘓 它可以成為病毒傳播的代理人 在工作站之間迅速傳播與蔓延病毒 網絡病毒的傳染與發(fā)作過程與單機基本相同 它將本身拷貝覆蓋在宿主程序上 當宿主程序執(zhí)行時 病毒也被啟動 然后再繼續(xù)傳染給其他程序 如果病毒不發(fā)作 宿主程序還能照常運行 當符合某種條件時 病毒便會發(fā)作 它將破壞程序與數據 5 網絡病毒的防治措施 不使用或下載來源不明的軟件 不輕易上一些不正規(guī)的網站 提防電子郵件病毒的傳播 一些郵件病毒會利用ActiveX控件技術 當以HTML方式打開郵件時 病毒可能就會被激活 經常關注一些網站 BBS發(fā)布的病毒報告 這樣可以在未感染病毒時做到預先防范 及時更新操作系統(tǒng) 為系統(tǒng)漏洞打上補丁 對于重要文件 數據做到定期備份 6 典型網絡防病毒軟件的應用 網絡防病毒可以從以下兩方面入手 一是工作站 二是服務器 網絡防病毒軟件的基本功能是 對文件服務器和工作站進行查毒掃描 檢查 隔離 報警 當發(fā)現病毒時 由網絡管理員負責清除病毒 網絡防病毒軟件一般允許用戶設置三種掃描方式 實時掃描 預置掃描與人工掃描 一個完整的網絡防病毒系統(tǒng)通常由以下幾個部分組成 客戶端防毒軟件 服務器端防毒軟件 針對群件的防毒軟件 針對黑客的防毒軟件 常用殺毒軟件 瑞星殺毒軟件金山殺毒軟件諾頓殺毒軟件 7 黑客的概念及特征 黑客群體擴大化黑客的組織化和集團化黑客行為的商業(yè)化黑客行為的政治化 黑客是指為那些利用計算機某種技術或其他手段 善意或惡意地進入其非授權范圍以內的計算機或網絡空間的人 8 常見的黑客攻擊方法 Web欺騙技術放置特洛伊木馬程序口令攻擊 1 暴力破解 2 密碼控測 3 網絡監(jiān)聽 4 登錄界面攻擊法電子郵件攻擊網絡監(jiān)聽端口掃描攻擊緩沖區(qū)溢出 9 防范黑客的措施 提高安全意識使用防火墻使用反黑客軟件盡量不暴露自己的IP安裝殺毒軟件做好數據的備份 8 3網絡防火墻技術 8 3 1防火墻的基本概念防火墻是在網絡之間執(zhí)行安全控制策略的系統(tǒng) 它包括硬件和軟件 設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用 防止內部受到外部非法用戶的攻擊 防火墻的功能及作用 防火墻實際上是一種保護裝置 防止非法入侵 以保護網絡數據 在互聯(lián)網服務中可實現多個目的 1 限定訪問控制點 2 防止侵人者侵入 3 限定離開控制點 4 有效地阻止破壞者對計算機系統(tǒng)進行破壞 總之 防火墻在互聯(lián)網中是分離器 限制器 分析器 防火墻的位置與作用 防火墻通過檢查所有進出內部網絡的數據包 檢查數據包的合法性 判斷是否會對網絡安全構成威脅 為內部網絡建立安全邊界 構成防火墻系統(tǒng)的兩個基本部件是 包過濾路由器和應用級網關 最簡單的防火墻由一個包過濾路由器組成 而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網關組合而成 由于組合方式有多種 因此防火墻系統(tǒng)的結構也有多種形式 8 3 2防火墻的主要類型 包過濾防火墻 包過濾防火墻工作在OSI參考模型的網絡層 根據數據包包頭源地址 目的地址和端口號 協(xié)議類型等標志確定是否允許數據包通過 只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地點出口端 其余的數據包則從數據流中丟棄 包過濾防火墻的工作原理 代理防火墻 代理防火墻又稱應用層網關級防火墻 它由代理服務器和過濾路由器組成 是目前較流行的一種防火墻 它將過濾路由器和軟件代理技術結合在一起 過濾路由器負責網絡互聯(lián) 并對數據進行嚴格選擇 然后將篩選過的數據傳送給代理服務器 代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用 其功能類似一個數據轉發(fā)器 它主要控制哪些用戶能訪問哪些服務類型 應用級網關的結構 應用代理的工作原理 雙穴主機防火墻 該防火墻是用主機來執(zhí)行安全控制功能 一臺雙穴主機配有多個網卡 分別連接不同的網絡 雙穴主機從一個網絡收集數據 并且有選擇地把它發(fā)送到另一個網絡上 網絡服務由雙空主機上的服務代理來提供 內部網和外部網的用戶可通過雙穴主機的共享數據區(qū)傳遞數據 從而保護內部網絡不被非法訪問 8 3 3主要的防火墻產品 Checkpoint公司的Firewall 1防火墻SonicSystem公司的Sonicwall防火墻NetScreen公司的NetScreen防火墻Alkatel公司的InternetDevice防火墻NAI公司的Gauntlet防火墻中國的 天網 網絡衛(wèi)士 藍盾 天網防火墻 天網防火墻 安全規(guī)則設置這是系統(tǒng)最重要 也是最復雜的地方 可以非常靈活的設計合適自己使用的規(guī)則 規(guī)則是一系列的比較條件和一個對數據包的動作 就是根據數據包的每一個部分來與設置的條件比較 當符合條件時 就可以確定對該包放行或者阻擋 通過合理的設置規(guī)則就可以把有害的數據包擋在你的機器之外 工具條 點擊上面的按鈕來導入 增加 修改 刪除規(guī)則 由于規(guī)則判斷是由上而下的 可以通過點擊調 規(guī)則上下移動 按鈕調整規(guī)則的順序 當調整好順序后 可按保存按鈕保存修改 當規(guī)則增加或修改后 為了讓這些規(guī)則生效 還要點擊 應用新規(guī)則 按鈕 規(guī)則列表 列出了所有的規(guī)則的名稱 該規(guī)則所對應的數據包的方向 該規(guī)則所控制的協(xié)議 本機端口 對方地址和對方端口 以及當數據包滿足本規(guī)則時所采取的策略 在列表的左邊為該規(guī)則是否有效的標志 標記為鉤表示改規(guī)則有效 否則表示無效 當改變這些標志后 按保存鍵 8 4網絡管理技術 8 4 1網絡管理的基本概念網絡管理涉及以下三個方面 網絡服務提供是指向用戶提供新的服務類型 增加網絡設備 提高網絡性能 網絡維護是指網絡性能監(jiān)控 故障報警 故障診斷 故障隔離與恢復 網絡處理是指網絡線路 設備利用率數據的采集 分析 以及提高網絡利用率的各種控制 網絡管理系統(tǒng)的基本結構 管理對象管理對象是經過抽象的網絡元素 對應于網絡中具體可以操作的數據 管理進程管理進程是負責對網絡設備進行全面的管理與控制的軟件 管理協(xié)議管理協(xié)議負責在管理系統(tǒng)與被管理對象之間傳遞與負責操作命令 管理信息庫 管理信息庫 MIB 是管理進程的一部分 用于記錄網絡中被管理對象的狀態(tài)參數值 一個網絡的管理系統(tǒng)只能有一個管理信息庫 但管理信息庫可以是集中存儲的 也可以由各個網絡設備記錄本地工作參數 網絡管理員只要查詢有關的管理信息庫 就可獲得有關網絡設備的工作狀態(tài)和工作參數 在網絡管理過程中 使網絡管理信息庫中數據與實際網絡設備的狀態(tài) 參數保持一致的方法主要有兩種 事件驅動與輪詢驅動方法 8 4 2OSI管理功能域 配置管理 configurationmanagement 故障管理 faultmanagement 性能管理 performancemanagement 安全管理 securitymanagement 記賬管理 accountingmanagement 配置管理配置管理是最基本的網絡管理功能 主要用于配置和優(yōu)化網絡 配置管理就是在網絡建立 擴充 改造以及業(yè)務的開展過程中 對網絡的拓撲結構 資源配備 使用狀態(tài)等配置信息進行定義 監(jiān)測和修改 故障管理故障管理的功能是迅速發(fā)展和糾正故障 動態(tài)維護網絡的有效性 故障管理主要功能有報警監(jiān)測 故障定位 故障隔離 故障恢復以及維護故障日志 性能管理性能管理保證有效地運營網絡并提供約定的服務質量 性能管理包括性能檢測功能 性能分析功能和性能管理控制功能 計費管理計費管理的功能是正確地計算和收取用戶使用網絡服務的費用 進行網絡資源利用率的統(tǒng)計和網絡的成本效益核算 安全管理安全管理的作用是提供信息的保密 認證和完整性保護機制 使網絡中的服務 數據和系統(tǒng)免受侵擾和破壞 安全管理主要包括 風險分析功能 安全服務功能 告警 日志和報告功能以及網絡管理系統(tǒng)保護功能 8 4 3簡單網絡管理協(xié)議SNMP SNMP是目前TCP IP網絡中應用最廣泛的協(xié)議 其前身是簡單網關監(jiān)控協(xié)議 SGMP 用來對通信線路進行管理 隨后對其改進并加入了符合Internet定義的SMI和MIB體系結構 改進后的協(xié)議