第10章 網(wǎng)絡(luò)安全技術(shù)課件

計(jì)算機(jī)網(wǎng)絡(luò)安全第10章網(wǎng)絡(luò)安全技術(shù)第10章網(wǎng)絡(luò)安全技術(shù)31網(wǎng)絡(luò)安全的威脅323334網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)安全設(shè)備第10章網(wǎng)絡(luò)安全技術(shù)10.1網(wǎng)絡(luò)安全的威脅網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全威脅根本源自于網(wǎng)絡(luò)自身的脆弱性。網(wǎng)絡(luò)的開放性和安全性本身即是一對固有矛盾，無法從根本上予以調(diào)和。再加上基于網(wǎng)絡(luò)的諸多已知和未知的人為與技術(shù)安全隱患，網(wǎng)絡(luò)很難實(shí)現(xiàn)自身的根本安全——當(dāng)網(wǎng)絡(luò)不僅作為信息傳遞的平臺和工具，而且擔(dān)當(dāng)起控制系統(tǒng)的中樞時(shí)，運(yùn)行于網(wǎng)絡(luò)平臺的各種應(yīng)用和服務(wù)，也必然地處于相應(yīng)的威脅中。第10章網(wǎng)絡(luò)安全技術(shù)10.1網(wǎng)絡(luò)安全的威脅威脅網(wǎng)絡(luò)安全的因素系統(tǒng)漏洞威脅第10章網(wǎng)絡(luò)安全技術(shù)10.1網(wǎng)絡(luò)安全的威脅威脅網(wǎng)絡(luò)安全的因素人為因素威脅操作失誤惡意攻擊黑客入侵踩點(diǎn)、掃描、突破、獲得管理權(quán)限、數(shù)據(jù)竊取、留取后門程序、清理痕跡。第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)信息安全系統(tǒng)體系結(jié)構(gòu)計(jì)算機(jī)安全通信保密安全信息安全第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)信息安全系統(tǒng)體系結(jié)構(gòu)計(jì)算機(jī)安全通信保密安全信息安全安全機(jī)制訪問控制保密性完整性可用性不可抵賴性安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)的產(chǎn)生國際組織信息安全標(biāo)準(zhǔn)國內(nèi)組織信息安全標(biāo)準(zhǔn)美國國防部安全計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全體系結(jié)構(gòu)體系結(jié)構(gòu)環(huán)境安全設(shè)備安全媒體安全網(wǎng)絡(luò)臨界點(diǎn)安全網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制網(wǎng)絡(luò)安全檢測審計(jì)與監(jiān)控網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)備份系統(tǒng)第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全體系結(jié)構(gòu)系統(tǒng)安全對操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性。盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，以提高系統(tǒng)的安全性。網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。通過專業(yè)的安全工具（安全檢測系統(tǒng)）定期對網(wǎng)絡(luò)進(jìn)行安全評估。第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全體系結(jié)構(gòu)信息安全在局域網(wǎng)絡(luò)內(nèi)，對不同的信息進(jìn)行區(qū)域規(guī)劃，執(zhí)行嚴(yán)格的授權(quán)訪問機(jī)制。將所有敏感信息都集中保存在網(wǎng)絡(luò)內(nèi)的文件服務(wù)器中制定嚴(yán)格的文件訪問權(quán)限將不同類型的用戶劃分于不同的用戶組或組織單位，并為用戶組和組織單位指定相應(yīng)的訪問權(quán)限安裝RMS服務(wù)，嚴(yán)格限制對敏感文件的操作其他基于交換機(jī)和路由器的安全措施第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全體系結(jié)構(gòu)應(yīng)用安全應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，并涉及到信息、數(shù)據(jù)的安全性，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲?jì)記錄。

管理的安全建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。

第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全關(guān)鍵技術(shù)網(wǎng)絡(luò)設(shè)備的安全地址和端口轉(zhuǎn)換控制虛擬終端訪問端口安全設(shè)置訪問列表MAC地址綁定VLAN安全控制HTTP訪問阻止蠕蟲病毒服務(wù)器安全網(wǎng)絡(luò)連接策略賬戶安全策略本地安全策略客戶端安全系統(tǒng)自動(dòng)更新安裝防病毒軟件使用代理服務(wù)器安裝個(gè)人防火墻第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全關(guān)鍵技術(shù)無線網(wǎng)絡(luò)安全加密傳輸身份驗(yàn)證修改SSID并禁止SSID廣播禁用DHCP服務(wù)禁用或修改SNMP設(shè)置使用訪問列表放置無線AP和天線第10章網(wǎng)絡(luò)安全技術(shù)10.2網(wǎng)絡(luò)安全解決方案安全管理安全管理規(guī)范負(fù)責(zé)原則、有限原則、分離原則網(wǎng)絡(luò)管理管理員可以在管理機(jī)器上對整個(gè)內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)上的防病毒軟件、入侵檢測探測器進(jìn)行綜合管理，同時(shí)利用安全分析軟件可以從不同角度對所有的設(shè)備、服務(wù)器、工作站進(jìn)行安全掃描，分析的安全漏洞，并采取相應(yīng)的措施。安全管理安全管理的主要功能指對安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險(xiǎn)情況；身份認(rèn)證；對資源或用戶動(dòng)態(tài)的或靜態(tài)的審計(jì)；對違規(guī)事件，自動(dòng)生成報(bào)警或生成事件消息；口令管理；密鑰管理；冗余備份。第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案數(shù)據(jù)備份網(wǎng)絡(luò)服務(wù)的備份第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案數(shù)據(jù)備份數(shù)據(jù)庫的備份數(shù)據(jù)庫備份是指對數(shù)據(jù)庫結(jié)構(gòu)和數(shù)據(jù)進(jìn)行拷貝，以便在數(shù)據(jù)庫出現(xiàn)故障的時(shí)候能夠恢復(fù)數(shù)據(jù)庫。數(shù)據(jù)庫故障是難以預(yù)測的，因此必須采取安全措施盡量防止數(shù)據(jù)庫出現(xiàn)故障。Access數(shù)據(jù)庫的備份SQLServer數(shù)據(jù)庫備份第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全地址和端口轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換動(dòng)態(tài)地址轉(zhuǎn)換端口復(fù)用地址第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全控制虛擬終端訪問Switch#configureterminalSwitch（config）#access-listaccess-lis-numberpermitip-addressSwitch（config）#linevty04Switch（config-line）#access-classaccess-class-numberinSwitch（config-line）#endSwitch#第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全端口安全MAC地址的靜態(tài)指定。當(dāng)啟用了端口安全功能時(shí)，網(wǎng)站管理員可以將MAC地址進(jìn)行編碼。這種方法雖然安全，但在管理時(shí)比較麻煩。MAC地址的動(dòng)態(tài)學(xué)習(xí)。如果沒有指定MAC地址，端口將為安全性打開學(xué)習(xí)功能，在端口上被發(fā)現(xiàn)的第一個(gè)源MAC地址將成為“安全”MAC地址。第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全設(shè)置訪問列表創(chuàng)建標(biāo)準(zhǔn)IP訪問列表的命令格式是：Switch（config-if）#access-listaccess-list-numbe{deny|permit}創(chuàng)建擴(kuò)展IP訪問列表的命令格式是：Switch（config-if）#access-listaccess-list-numbe{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard當(dāng)利用訪問列表阻止數(shù)據(jù)流進(jìn)入或離開某端口時(shí)：Switch（config-if）#ipaccess-groupaccess-list-number[in|out]第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全MAC地址綁定使用下述命令，可將MAC地址與IP地址綁定在一起：Switch（config-if）#arpip-addressmac-addressarpa使用下述命令，可將綁定在一起的MAC地址與IP地址拆開：Switch（config-if）#noarpip-addressmac-addressarpa第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全VLAN安全在集中式網(wǎng)絡(luò)環(huán)境下，通常將敏感部門的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有其他任何用戶節(jié)點(diǎn)，從而較好地保護(hù)這些主機(jī)中的資源。

第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全控制HTTP訪問CiscoIOS允許通過Web瀏覽器管理網(wǎng)絡(luò)設(shè)備，所需的HTTP服務(wù)器軟件可在IOS11.0及以后的版本中找到。若欲關(guān)閉HTTP遠(yuǎn)程管理服務(wù)，可使用下述命令：Switch（config）#noiphttpserver第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)設(shè)備安全阻止蠕蟲病毒創(chuàng)建擴(kuò)展訪問列表將訪問列表應(yīng)用于VLAN第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)連接和設(shè)備冗余連接冗余EtherChannel第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)連接和設(shè)備冗余中心設(shè)備冗余網(wǎng)關(guān)負(fù)載均衡協(xié)議第10章網(wǎng)絡(luò)安全技術(shù)10.3網(wǎng)絡(luò)穩(wěn)定性方案網(wǎng)絡(luò)連接和設(shè)備冗余模塊冗余第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)防火墻概述防火墻最基本的功能就是將內(nèi)、外網(wǎng)絡(luò)隔離開，不僅確保不讓非法用戶入侵，更要保證防止內(nèi)部信息的外泄。防火墻處于兩個(gè)網(wǎng)絡(luò)通信之間的一個(gè)檢查點(diǎn)，所有數(shù)據(jù)包必須通過防火墻。防火墻設(shè)備根據(jù)安全策略，對所經(jīng)過的數(shù)據(jù)包進(jìn)行監(jiān)視、過濾和檢查，達(dá)到保證網(wǎng)絡(luò)安全的目的。第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)防火墻技術(shù)數(shù)據(jù)包過濾技術(shù)代理技術(shù)狀態(tài)分析技術(shù)第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻防火墻的局限性與脆弱性無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼。墻無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。不經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。絕大多數(shù)單位因?yàn)椴环奖?，不要求防火墻防?nèi)。防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻不能防止人為或自然的破壞。當(dāng)防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻防火墻的局限性與脆弱性黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止其攻擊的。防火墻并不具備查殺病毒的功能。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻無能為力。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己，目前還沒有廠商保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護(hù)。第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻防火墻在網(wǎng)絡(luò)中的位置及連接常用連接方式第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻防火墻在網(wǎng)絡(luò)中的位置及連接連接局域網(wǎng)和廣域網(wǎng)第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻防火墻在網(wǎng)絡(luò)中的位置及連接連接內(nèi)部和第三方網(wǎng)絡(luò)第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)防火墻防火墻在網(wǎng)絡(luò)中的位置及連接連接同一部門的不同網(wǎng)絡(luò)第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備入侵檢測系統(tǒng)IDSIDS概述第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備入侵檢測系統(tǒng)IDS的缺陷：檢測范圍不夠廣檢測效果不理想無力防御UDP攻擊只能檢測，不能防御過分依賴檢測主機(jī)難以突破百兆瓶頸性能有待提高伸縮性差部署難度大安全策略不夠豐富第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備入侵檢測系統(tǒng)IDSIDS的優(yōu)勢缺陷：整體部署，實(shí)時(shí)檢測，對用戶當(dāng)前的操作進(jìn)行判斷，可及時(shí)發(fā)現(xiàn)入侵事件。對于入侵與異常不必做出阻斷通信的決定，能夠從容提供大量的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，有利于在事后入侵分析中評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。獨(dú)立于所檢測的網(wǎng)絡(luò)，使黑客難于消除入侵證據(jù)，便于入侵追蹤與網(wǎng)絡(luò)犯罪取證。同一網(wǎng)段或者一臺主機(jī)上一般只需部署一個(gè)監(jiān)測點(diǎn)就近監(jiān)測，即速度快、成本低。第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備入侵檢測系統(tǒng)IDS與防火墻聯(lián)動(dòng)第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備入侵防御系統(tǒng)IPS第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備入侵防御系統(tǒng)IPS的技術(shù)優(yōu)勢：在線安裝實(shí)時(shí)阻斷先進(jìn)的檢測技術(shù)特殊規(guī)則植入功能自學(xué)習(xí)與自適應(yīng)能力第10章網(wǎng)絡(luò)安全技術(shù)10.4網(wǎng)絡(luò)安全設(shè)備入侵防御系統(tǒng)IPS的缺陷：單點(diǎn)故障