局域網(wǎng)安全技術(shù)講義

單擊此處編輯母版標(biāo)題樣式單擊此處編輯母版副標(biāo)題樣式局域網(wǎng)安全技術(shù)講義單擊此處編輯母版標(biāo)題樣式單擊此處編輯母版副標(biāo)題樣式局域網(wǎng)安全1第六單元局域網(wǎng)安全技術(shù)能力目標(biāo)

1.防病毒軟件的使用。2.掌握防火墻安裝和配置。3.掌握Windows2000安全策略配置。4.掌握Windows2000系統(tǒng)安全技術(shù)。第六單元局域網(wǎng)安全技術(shù)能力目標(biāo)第六單元局域網(wǎng)安全技術(shù)知識背景網(wǎng)絡(luò)安全現(xiàn)狀

混合型威脅(RedCode,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量第六單元局域網(wǎng)安全技術(shù)知識背景混合型威脅拒絕服務(wù)攻擊發(fā)送第六單元局域網(wǎng)安全技術(shù)知識背景網(wǎng)絡(luò)安全面臨威脅自然災(zāi)害威脅

自然災(zāi)害威脅主要指火災(zāi)、地震、颶風(fēng)、雷擊、水災(zāi)等。偶然或人為事故造成的威脅主要包括軟硬件故障引發(fā)破壞，人們的誤操作引發(fā)的系統(tǒng)故障。網(wǎng)絡(luò)攻擊所謂網(wǎng)絡(luò)攻擊是指行為人利用各種技術(shù)和手段對計算機(jī)系統(tǒng)進(jìn)行非法操作、對計算機(jī)系統(tǒng)造成損害的行為。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景網(wǎng)絡(luò)安全面臨威脅計算機(jī)病毒計算機(jī)犯罪信息戰(zhàn)第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景網(wǎng)絡(luò)不安全的根源

物理安全問題物理安全問題還包括設(shè)備的位置安全、限制物理訪問、物理環(huán)境安全和地域因素等。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全缺陷系統(tǒng)軟件存在安全缺陷和漏洞協(xié)議存在安全隱患Internet自身特點(diǎn)人為因素第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景計算機(jī)網(wǎng)絡(luò)含義計算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景計算機(jī)網(wǎng)絡(luò)安全的內(nèi)容計算機(jī)網(wǎng)絡(luò)實體安全軟件系統(tǒng)安全計算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)安全計算機(jī)網(wǎng)絡(luò)安全管理第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景計算機(jī)網(wǎng)絡(luò)安全性指標(biāo)保密性(Confidentiality)保密性是指保障計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)中有保密要求的信息只能供經(jīng)過允許的人員經(jīng)過允許的方式使用的一種特性，保密性是針對數(shù)據(jù)的。完整性(Integrity)完整性是指保障計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)中的信息是安全的、準(zhǔn)確的、有效的，不因種種不安全因素而改變原有的內(nèi)容、形式、流向的一種特性，即不能為未授權(quán)的第三方修改。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景計算機(jī)網(wǎng)絡(luò)安全性指標(biāo)（續(xù)）可用性(Availability)可用性就是保障計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)中的資源無論何時、無論經(jīng)過何種處理，只要需要即可用，不因系統(tǒng)故障或其他原因使資源失效、丟失、或妨礙對資源的使用，也不能使有嚴(yán)格時間要求的服務(wù)不能得到及時響應(yīng)的一種特性。真實性(Authenticity)真實性是保障信息和系統(tǒng)中實體可信的一種特性，主要是指對信息完整性、系統(tǒng)實體的確認(rèn)。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景計算機(jī)網(wǎng)絡(luò)安全性指標(biāo)（續(xù)）實用性(Utility)實用性是對授權(quán)范圍內(nèi)的信息傳播和內(nèi)容具有控制能力的一種特性式。占有性(Possession)占有性保障實體對信息的占有權(quán)的一種特性。例如若系統(tǒng)中信息存儲介質(zhì)被盜用，則會導(dǎo)致對信息占有權(quán)的喪失。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景計算機(jī)網(wǎng)絡(luò)安全策略計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的計算機(jī)網(wǎng)絡(luò)與信息安全保護(hù)所必須遵守的規(guī)則。先進(jìn)的計算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)是計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全的根本保證；嚴(yán)格的安全管理；制訂嚴(yán)格的法律、法規(guī)。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景國外主要的安全評價準(zhǔn)則及其關(guān)系1991年歐洲信息技術(shù)評估標(biāo)準(zhǔn)(ITSEC)1993年加拿大可信計算機(jī)產(chǎn)品評估準(zhǔn)則（CTCPEC）1993年聯(lián)合公共準(zhǔn)則CC1993年美國聯(lián)邦準(zhǔn)則FC1999年CC成為國際標(biāo)準(zhǔn)1995年英國BS77992000年ISO177991985年美國可信計算機(jī)系統(tǒng)評價準(zhǔn)則(TCSEC)第六單元局域網(wǎng)安全技術(shù)知識背景1993年聯(lián)合公共準(zhǔn)則CC1第六單元局域網(wǎng)安全技術(shù)知識背景我國的安全標(biāo)準(zhǔn)(GB-17859-1999)公安部組織制定了《計算機(jī)信息系統(tǒng)安全等級劃分準(zhǔn)則》國家標(biāo)準(zhǔn)。準(zhǔn)則規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級，保護(hù)能力隨著安全保護(hù)等級的增高而逐漸增強(qiáng)，而且高保護(hù)等級包含了次高保護(hù)級的全部保護(hù)能力。該準(zhǔn)則將信息系統(tǒng)安全分為5個等級，分別是：自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗證保護(hù)級。

第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景安全技術(shù)概述信息安全技術(shù)主要有:信息加密技術(shù)、數(shù)字簽名技術(shù)、信息隱藏、數(shù)字水印技術(shù)等技術(shù)。

網(wǎng)絡(luò)安全技術(shù)主要有：入侵檢測技術(shù)、防火墻技術(shù)、安全網(wǎng)關(guān)保密技術(shù)、安全路由技術(shù)、安全通信協(xié)議、VPN技術(shù)。系統(tǒng)安全技術(shù)主要有身份認(rèn)證、訪問控制、密鑰管理技術(shù)等。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景防火墻基本概念防火墻（Firewall）是一種在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的界面上構(gòu)造的一個保護(hù)層或在網(wǎng)絡(luò)邊界上建立的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，并強(qiáng)制所有的連接都必須經(jīng)過此保護(hù)層或系統(tǒng)，在此保護(hù)層進(jìn)行檢查和連接，以保障計算機(jī)網(wǎng)絡(luò)的安全，只有那些被授權(quán)的通信才能通過此保護(hù)層，從而保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法入侵的系統(tǒng)。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景防火墻的結(jié)構(gòu)

防火墻Internet內(nèi)部網(wǎng)絡(luò)計算機(jī)1計算機(jī)2計算機(jī)3計算機(jī)n第六單元局域網(wǎng)安全技術(shù)知識背景防火墻Internet內(nèi)部網(wǎng)第六單元局域網(wǎng)安全技術(shù)知識背景防火墻功能1.防火墻是網(wǎng)絡(luò)安全的屏障，可以強(qiáng)化網(wǎng)絡(luò)安全策略２.防火墻可以對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計３.防火墻可以防止內(nèi)部信息的外泄４.防火墻保護(hù)脆弱的服務(wù)并進(jìn)行集中的安全管理第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)知識背景防火墻的分類

根據(jù)所用技術(shù)的不同來分類可分為軟件防火墻、硬件防火墻和軟硬一體化防火墻三類。根據(jù)應(yīng)用對象的不同來分類可分為企業(yè)級防火墻與個人防火墻。根據(jù)防御方式的不同來分類可分為包過濾型防火墻、應(yīng)用網(wǎng)關(guān)型、防火墻和代理服務(wù)型防火墻、復(fù)合型防火墻等四種。第六單元局域網(wǎng)安全技術(shù)知識背景第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置1.天網(wǎng)防火墻的配置:在天網(wǎng)防火墻的主面板上點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，在彈出的“系統(tǒng)設(shè)置”窗口中，點(diǎn)擊“規(guī)則設(shè)定”中的“向?qū)А保ㄒ娤马摚?，就會彈出設(shè)置向?qū)?。第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置1.天網(wǎng)防火墻的配置圖示(續(xù)上):第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置1.天網(wǎng)防火墻的配置圖示(續(xù)上):第六單元局域網(wǎng)安全技術(shù)在“安全級別設(shè)置”對話框中選擇好安全級別（局域網(wǎng)內(nèi)的用戶可以選擇“低”）后再點(diǎn)擊“下一步”按鈕，進(jìn)入“局域網(wǎng)信息設(shè)置”窗口。勾選“我的電腦在局域網(wǎng)中使用”，軟件便會自動探測本機(jī)的IP地址并顯示在下方。學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)在“安全級別設(shè)置”對話框中學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置2.江民黑客防火墻

的配置:在這款防火墻的主界面上點(diǎn)擊“IP規(guī)則設(shè)置”按鈕，彈出IP規(guī)則列表。在這個IP規(guī)則列表中，可找到和局域網(wǎng)有關(guān)的兩條IP規(guī)則：“允許本機(jī)連接局域網(wǎng)內(nèi)的其它機(jī)器”、“局域網(wǎng)內(nèi)的其它機(jī)器訪問本機(jī)（TCP）”(見下頁)。第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置2.江民黑客防火墻的配置，配置圖示如下(續(xù)上):第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置2.江民黑客防火墻的配置(續(xù)上):如果要修改“局域網(wǎng)內(nèi)的其它機(jī)器訪問本機(jī)(TCP)”規(guī)則，可點(diǎn)擊該規(guī)則所對應(yīng)的編輯按鈕，打開“反黑王規(guī)則設(shè)定”對話框，在其中的“對方IP地址”下拉列表中選擇“地址范圍”，并將本局域網(wǎng)的網(wǎng)段添加進(jìn)來即可。如果你真的不希望被網(wǎng)內(nèi)的其他用戶訪問，也可以在“局域網(wǎng)內(nèi)的其它機(jī)器訪問本機(jī)”這條規(guī)則內(nèi)進(jìn)行設(shè)置。第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置3.金山網(wǎng)鏢防火墻的配置:在金山網(wǎng)鏢的主界面中，點(diǎn)擊“共享管理”選項卡，在“共享管理”窗口列表中便會列出當(dāng)前所有的共享。選擇需要編輯的共享，然后在“共享管理”頁面上方通過點(diǎn)擊“編輯”、“刪除”、“添加”等圖標(biāo)，便可對共享文件進(jìn)行管理。另外，如果你想暫時中止某個文件夾的共享，只需要點(diǎn)擊該文件夾右側(cè)的“禁止”即可(見下頁)。第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置3.金山網(wǎng)鏢防火墻的配置(續(xù)上):第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1幾種網(wǎng)絡(luò)防火墻的配置3.金山網(wǎng)鏢防火墻的配置(續(xù)上):想要在局域網(wǎng)內(nèi)能夠正?；ピL，我們還需要做以下設(shè)置。在金山網(wǎng)鏢的主窗口菜單欄上點(diǎn)擊“工具→綜合設(shè)置→IP設(shè)置”，勾選“我的電腦處于局域網(wǎng)中”復(fù)選框，點(diǎn)擊“確定”按鈕使設(shè)置生效。

第六單元局域網(wǎng)安全技術(shù)學(xué)生實作1第六單元局域網(wǎng)安全技術(shù)第六單元局域網(wǎng)安全技術(shù)案例分析案例1－Win2000系統(tǒng)安全隱患與防范1.Win2000操作系統(tǒng)存在的安全隱患1)安裝隱患①將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝。Windows2000Server操作系統(tǒng)在安裝時存在一個安全漏洞，當(dāng)輸入Administrator密碼后，系統(tǒng)就自動建立了ADMIN$的共享，但是并沒有用剛剛輸入的密碼來保護(hù)它，這種情況一直持續(xù)到再次啟動后，在此期間，任何人都可以通過ADMIN$進(jìn)入這臺機(jī)器；同時，只要安裝一結(jié)束，各種服務(wù)就會自動運(yùn)行，而這時的服務(wù)器是滿身漏洞，計算機(jī)病毒非常容易侵入。第六單元局域網(wǎng)安全技術(shù)案例分析第六單元局域網(wǎng)安全技術(shù)案例分析案例1－Win2000系統(tǒng)安全隱患與防范②將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝。操作系統(tǒng)與應(yīng)用系統(tǒng)共用一個磁盤分區(qū)。在安裝操作系統(tǒng)時，將操作系統(tǒng)與應(yīng)用系統(tǒng)安裝在同一個磁盤分區(qū)，會導(dǎo)致一旦操作系統(tǒng)文件泄露時，攻擊者可以通過操作系統(tǒng)漏洞獲取應(yīng)用系統(tǒng)的訪問權(quán)限，從而影響應(yīng)用系統(tǒng)的安全運(yùn)行。③

采用FAT32文件格式安裝。FAT32文件格式不能限制用戶對文件的訪問，這樣可以導(dǎo)致系統(tǒng)的不安全。第六單元局域網(wǎng)安全技術(shù)案例分析第六單元局域網(wǎng)安全技術(shù)案例分析案例1－Win2000系統(tǒng)安全隱患與防范

④

采用缺省安裝。缺省安裝操作系統(tǒng)時，會自動安裝一些有安全隱患的組件，如：IIS、DHCP、DNS等，導(dǎo)致系統(tǒng)在安裝后存在安全漏洞。

⑤

系統(tǒng)補(bǔ)丁安裝不及時不全面。在系統(tǒng)安裝完成后，不及時安裝系統(tǒng)補(bǔ)丁程序，導(dǎo)致病毒侵入。

第六單元局域網(wǎng)安全技術(shù)案例分析第六單元局域網(wǎng)安全技術(shù)案例分析案例1－Win2000系統(tǒng)安全隱患與防范2)運(yùn)行隱患①默認(rèn)共享。系統(tǒng)在運(yùn)行后，會自動創(chuàng)建一些隱藏的共享。這些默認(rèn)共享給系統(tǒng)的安全運(yùn)行帶來了很大的隱患。②默認(rèn)服務(wù)。系統(tǒng)在運(yùn)行后，自動啟動了許多有安全隱患的服務(wù)這些服務(wù)在實際工作中如不需要，可以禁用。③安全策略。系統(tǒng)運(yùn)行后，默認(rèn)情況下，系統(tǒng)的安全策略是不啟作用的，這降低了系統(tǒng)的運(yùn)行安全性。

④管理員帳號。系統(tǒng)在運(yùn)行后，Administrat