高職-局域網(wǎng)組建與維護(hù)-10.ppt

主講 王祥金 局域網(wǎng)組建與維護(hù) 第10章局域網(wǎng)安全與防護(hù) 10 1網(wǎng)絡(luò)安全概述 局域網(wǎng)組建與維護(hù) 10 2WindowsServer2003安全管理 10 3網(wǎng)絡(luò)安全防護(hù) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 4案例 校園網(wǎng)安全防護(hù)體系 10 1網(wǎng)絡(luò)安全概述 隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展 網(wǎng)絡(luò)安全問題越來越被關(guān)注 計(jì)算機(jī)面臨的安全威脅是多方面的 主要的威脅可分為惡劣環(huán)境的影響 偶然故障和錯誤 人為的攻擊破壞以及計(jì)算機(jī)病毒感染4類 對于局域網(wǎng) 由于其自然環(huán)境相對安全和穩(wěn)定 所以對其安全性的研究主要集中在防止惡意用戶 病毒等破壞系統(tǒng)中的信息或干擾系統(tǒng)的正常工作 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件 軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù) 不會由于偶然或惡意的原因而遭到破壞 更改 泄露 系統(tǒng)連續(xù) 可靠 正常地運(yùn)行 網(wǎng)絡(luò)服務(wù)不中斷 廣義來說 凡是涉及到網(wǎng)絡(luò)上信息的保密性 完整性 可用性 真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域 局域網(wǎng)組建與維護(hù) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 1 1網(wǎng)絡(luò)安全的基本概念 1 網(wǎng)絡(luò)安全的基本內(nèi)容網(wǎng)絡(luò)安全是一個(gè)多層次 全方位的系統(tǒng)工程 根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)結(jié)構(gòu) 物理環(huán)境的安全性 物理層安全 操作系統(tǒng)的安全性 系統(tǒng)層安全 網(wǎng)絡(luò)的安全性 網(wǎng)絡(luò)層安全 應(yīng)用的安全性 應(yīng)用層安全 管理的安全性 管理層安全 局域網(wǎng)組建與維護(hù) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 1 1網(wǎng)絡(luò)安全的基本概念 2 計(jì)算機(jī)網(wǎng)絡(luò)安全等級劃分根據(jù)強(qiáng)制性國家標(biāo)準(zhǔn) 計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則 的定義 計(jì)算機(jī)網(wǎng)絡(luò)安全可以劃分為以下幾級 第1級 用戶自主保護(hù)級 第2級 系統(tǒng)審計(jì)保護(hù)級 第3級 安全標(biāo)記保護(hù)級 第4級 結(jié)構(gòu)化保護(hù)級 第5級 訪問驗(yàn)證保護(hù)級 安全等級越高 所付出的人力 物力資源代價(jià)也越高 系統(tǒng)的安全等級會隨著內(nèi)部 外部環(huán)境的變化而變化 局域網(wǎng)組建與維護(hù) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 1 2網(wǎng)絡(luò)安全威脅 計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲介質(zhì) 或程序 里 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合 1 計(jì)算機(jī)病毒的分類 按傳染方式來分類 可分為引導(dǎo)型病毒 文件型病毒和混合型病毒 按照計(jì)算機(jī)病毒的傳播介質(zhì)來分類 可分為單機(jī)病毒和網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒的傳播介質(zhì)不再是移動式載體 而是網(wǎng)絡(luò)通道 這種病毒的傳染能力更強(qiáng) 破壞力更大 局域網(wǎng)組建與維護(hù) 計(jì)算機(jī)病毒 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 1 2網(wǎng)絡(luò)安全威脅 2 計(jì)算機(jī)病毒的傳播途徑 通過不可移動的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播 通過移動存儲設(shè)備來傳播 這些設(shè)備包括優(yōu)盤 軟盤 磁帶等 大多數(shù)計(jì)算機(jī)都是從這類途徑感染病毒的 通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播 這種方式將成為病毒的第一傳播途徑 通過點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道傳播 預(yù)計(jì)在未來的信息時(shí)代 這種途徑很可能與網(wǎng)絡(luò)傳播途徑成為病毒擴(kuò)散的兩大 時(shí)尚渠道 局域網(wǎng)組建與維護(hù) 計(jì)算機(jī)病毒 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 1 2網(wǎng)絡(luò)安全威脅 3 計(jì)算機(jī)病毒的危害 病毒激發(fā)對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用 占用磁盤空間和對信息的破壞 搶占系統(tǒng)資源 影響計(jì)算機(jī) 網(wǎng)絡(luò)的運(yùn)行速度 系統(tǒng)的不穩(wěn)定與不可預(yù)見的危害 計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力 局域網(wǎng)組建與維護(hù) 計(jì)算機(jī)病毒 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 1 2網(wǎng)絡(luò)安全威脅 一般來說 網(wǎng)絡(luò)安全的基本目標(biāo)是實(shí)現(xiàn)信息的機(jī)密性 完整性 可用性和合法性 這也是基本的信息安全目標(biāo) 從行為的破壞性來說 網(wǎng)絡(luò)攻擊一般分為以下兩大類 非破壞性攻擊 即破壞系統(tǒng)的正常運(yùn)行但不進(jìn)入系統(tǒng) 這種攻擊不會得到對方系統(tǒng)內(nèi)的資料 破壞性攻擊 以侵入他人系統(tǒng)為目的 進(jìn)入系統(tǒng)后得到對方資料或修改資料 從攻擊的方法來說 網(wǎng)絡(luò)攻擊可分為被動攻擊和主動攻擊兩種 局域網(wǎng)組建與維護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)攻擊 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 1 3常見網(wǎng)絡(luò)攻擊手段 利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊通過電子郵件進(jìn)行攻擊解密攻擊后門軟件攻擊拒絕服務(wù)攻擊 局域網(wǎng)組建與維護(hù) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 10 2WindowsServer2003安全管理 事件查看器是服務(wù)器管理中最常使用的一個(gè)系統(tǒng)工具 通過對事件日志的查看 可以了解服務(wù)器的運(yùn)行狀況和安全事件 WindowsServer2003事件日志記錄了以下3個(gè)方面的事件 應(yīng)用程序日志系統(tǒng)日志安全日志 局域網(wǎng)組建與維護(hù) 10 2 1事件查看器 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 啟動WindowsServer2003時(shí) 事件日志服務(wù)會自動啟動 所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志 只有管理員才能訪問安全日志 局域網(wǎng)組建與維護(hù) 10 2 1事件查看器 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 啟動WindowsServer2003時(shí) 事件日志服務(wù)會自動啟動 所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志 只有管理員才能訪問安全日志 局域網(wǎng)組建與維護(hù) 10 2 1事件查看器 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 任務(wù)管理器提供了有關(guān)計(jì)算機(jī)性能 運(yùn)行的應(yīng)用程序和進(jìn)程的信息 可以使用多達(dá)15個(gè)參數(shù)評估正在運(yùn)行的進(jìn)程 還可以查看CPU和內(nèi)存使用情況的圖形和數(shù)據(jù) 局域網(wǎng)組建與維護(hù) 10 2 2任務(wù)管理器 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 選擇 開始 程序 管理工具 本地安全設(shè)置 命令 打開 本地安全設(shè)置 窗口 局域網(wǎng)組建與維護(hù) 10 2 3本地安全策略 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 設(shè)置計(jì)算機(jī)賬戶的密碼策略 局域網(wǎng)組建與維護(hù) 10 2 3本地安全策略 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 修改系統(tǒng)管理員名稱 局域網(wǎng)組建與維護(hù) 10 2 3本地安全策略 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 網(wǎng)絡(luò)安全防護(hù)是一個(gè)復(fù)雜的系統(tǒng)工程 需要使用各種軟件工具 硬件設(shè)備和應(yīng)用系統(tǒng)來實(shí)現(xiàn)對網(wǎng)絡(luò)的綜合防護(hù) 如防火墻 入侵檢測系統(tǒng) 漏洞掃描系統(tǒng) 網(wǎng)絡(luò)防病毒系統(tǒng) 防病毒網(wǎng)關(guān) 防信息泄露系統(tǒng)等 局域網(wǎng)組建與維護(hù) 10 3網(wǎng)絡(luò)安全防護(hù) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 防火墻是一種特殊的網(wǎng)絡(luò)互連設(shè)備 用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制 防止外網(wǎng)用戶以非法手段通過外網(wǎng)進(jìn)入內(nèi)網(wǎng)訪問內(nèi)網(wǎng)資源 保護(hù)內(nèi)網(wǎng)操作環(huán)境 它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查 以決定網(wǎng)絡(luò)之間的通信是否被允許 并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài) 局域網(wǎng)組建與維護(hù) 10 3 1防火墻 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 軟件防火墻又分為個(gè)人防火墻和系統(tǒng)網(wǎng)絡(luò)防火墻 前者主要服務(wù)于客戶端計(jì)算機(jī) Windows操作系統(tǒng)本身就有自帶的防火墻 其他如金山毒霸 卡巴斯基 瑞星 天網(wǎng) 360安全衛(wèi)士等都是目前較流行的防火墻軟件 局域網(wǎng)組建與維護(hù) 10 3 1防火墻 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 硬件防火墻 相對于軟件防火墻來說 硬件防火墻更具有客觀可見性 就是可以見得到摸得著的硬件產(chǎn)品 硬件防火墻有多種 其中路由器可以起到防火墻的作用 代理服務(wù)器同樣也具有防火墻的功能 局域網(wǎng)組建與維護(hù) 10 3 1防火墻 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 芯片級防火墻 其基于專門的硬件平臺 沒有操作系統(tǒng) 專有的ASIC芯片促使它們比其他種類的防火墻速度更快 處理能力更強(qiáng) 性能更高 生產(chǎn)這類防火墻較有名的廠商有NetScreen和FortiNet等 局域網(wǎng)組建與維護(hù) 10 3 1防火墻 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 防火墻所用的技術(shù)包過濾 PacketFiltering 型 應(yīng)用代理 ApplicationProxy 型 網(wǎng)絡(luò)地址轉(zhuǎn)換 監(jiān)測型 局域網(wǎng)組建與維護(hù) 10 3 1防火墻 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 入侵檢測系統(tǒng) Intrusion DetectionSystem IDS 是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)控 在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備 它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于IDS是一種積極主動的安全防護(hù)技術(shù) 局域網(wǎng)組建與維護(hù) 10 3 2入侵檢測系統(tǒng) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 計(jì)算機(jī)病毒具有傳染性 隱蔽性 潛伏性 破壞性 針對性 衍生性 寄生性及未知性等基本特點(diǎn) 計(jì)算機(jī)病毒的分類 文件型病毒引導(dǎo)區(qū)病毒宏病毒目錄鏈接型病毒 局域網(wǎng)組建與維護(hù) 10 3 3網(wǎng)絡(luò)防病毒系統(tǒng) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 網(wǎng)絡(luò)病毒的傳播方式和特點(diǎn) 局域網(wǎng)中大量共享資源的 數(shù)據(jù)開放性 造就了病毒感染的直接性 如果局域網(wǎng)中其中一臺電腦感染病毒 又通過服務(wù)器來進(jìn)行信息傳遞 就會感染服務(wù)器 一旦服務(wù)器感染病毒 所有需要經(jīng)過服務(wù)器的數(shù)據(jù)也會被順帶感染 進(jìn)而造成整個(gè)網(wǎng)絡(luò)感染病毒的情況 局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速 便捷地傳遞 如果其中一臺計(jì)算機(jī)感染病毒 任何與該電腦數(shù)據(jù)傳遞都會感染病毒 網(wǎng)絡(luò)使用者對病毒的安全意識不強(qiáng) 因此會造成經(jīng)常性的病毒感染 局域網(wǎng)組建與維護(hù) 10 3 3網(wǎng)絡(luò)防病毒系統(tǒng) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 網(wǎng)絡(luò)病毒防護(hù)策略 一定要實(shí)現(xiàn)全方位 多層次防毒 網(wǎng)管防毒是整體防病毒的首要防線 沒有管理的防毒系統(tǒng)是無效防毒系統(tǒng) 服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán) 局域網(wǎng)組建與維護(hù) 10 3 3網(wǎng)絡(luò)防病毒系統(tǒng) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 網(wǎng)絡(luò)防病毒系統(tǒng)的基本要求在局域網(wǎng)中 為了保證防病毒系統(tǒng)的一致性 完整性和自升級能力 必須有一個(gè)完善的病毒防護(hù)管理體系 負(fù)責(zé)病毒軟件的自動分發(fā) 自動升級 集中配置和管理 統(tǒng)一事件和告警處理 保證整個(gè)企業(yè)范圍內(nèi)病毒防護(hù)體系的一致性和完整性 完整的產(chǎn)品體系和高的病毒檢測率 功能完善的防病毒軟件控制臺 減少通過廣域網(wǎng)進(jìn)行管理的流量 方便易用的報(bào)表功能 對計(jì)算機(jī)病毒的實(shí)時(shí)防范能力 快速及時(shí)的病毒特征碼升級 局域網(wǎng)組建與維護(hù) 10 3 3網(wǎng)絡(luò)防病毒系統(tǒng) 第10章 局域網(wǎng)安全與防護(hù) 10 1節(jié) 10 2節(jié) 10 3節(jié) 10 4節(jié) 堅(jiān)持主動防御 動態(tài)防御 立體防御的原則 從預(yù)防 保護(hù) 響應(yīng)和管理方面入手 采取整體方案設(shè)計(jì) 分步實(shí)施的步驟 從邊界防御 漏洞掃描 病毒查殺 行為審計(jì) 網(wǎng)絡(luò)監(jiān)控 安