搜索
1南京信息职业技术学院软件学院计算机网络技术2南京信息职业技术学院软件学院第8章网络安全与网络管理3南京信息职业技术学院软件学院学习内容:网络安全的定义和面临的威胁病毒的定义、分类、特点及防治黑客的概念、攻击目的和防范措施防火墙的概念和功能特点网络管理的基本概念简单网络管理协议SNMP4南京信息职业技术学院软件学院8.1网络安全概述网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。5南京信息职业技术学院软件学院网络安全的概念网络安全是指网络系统的硬件、软件及其系统的数据不受到偶然的或者恶意的因素而遭到破坏、更改和泄露,系统连续可靠的正常地运行,网络服务不中断。网络安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。机密性:是指网络信息的内容不会被未授权的第三方所知。完整性:指信息在存储或传输时不被篡改、破坏,不出现信息包的丢失、乱序等。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。6南京信息职业技术学院软件学院构成对网络安全威胁的主要因素与相关技术的研究网络防攻击问题网络安全漏洞与对策问题网络中的信息安全保密问题网络内部安全防范问题网络防病毒问题网络数据备份与恢复、灾难恢复问题7南京信息职业技术学院软件学院网络防攻击问题服务攻击:对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常;非服务攻击:不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。8南京信息职业技术学院软件学院网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击?攻击类型与手段可能有哪些?如何及时检测并报告网络被攻击?如何采取相应的网络安全策略与网络安全防护体系?9南京信息职业技术学院软件学院网络安全漏洞与对策的研究网络信息系统的运行涉及到:计算机硬件与操作系统网络硬件与网络软件数据库管理系统应用软件网络通信协议网络安全漏洞也会表现在以上几个方面。10南京信息职业技术学院软件学院网络中的信息安全保密信息存储安全与信息传输安全信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用;信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击;11南京信息职业技术学院软件学院网络中的信息安全保密问题信息源结点信息目的结点(d)信息被篡改非法用户篡改信息源结点信息目的结点(e)信息被伪造非法用户伪造信息源结点信息目的结点(b)信息被截获非法用户截获信息源结点信息目的结点(c)信息被窃听非法用户窃听12南京信息职业技术学院软件学院数据加密与解密将明文变换成密文的过程称为加密;将密文经过逆变换恢复成明文的过程称为解密。加密过程密文明文信息源结点解密过程密文明文信息目的结点13南京信息职业技术学院软件学院网络内部安全防范问题网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为;对网络与信息安全有害的行为包括:有意或无意地泄露网络用户或网络管理员口令;违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞;违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据;违反网络使用规定,越权修改网络系统配置,造成网络工作不正常;解决来自网络内部的不安全因素必须从技术与管理两个方面入手。14南京信息职业技术学院软件学院网络防病毒问题目前,70%的病毒发生在计算机网络上;连网微型机病毒的传播速度是单机的20倍,网络服务器消除病毒所花的时间是单机的40倍;电子邮件病毒可以轻易地使用户的计算机瘫痪,有些网络病毒甚至会破坏系统硬件。15南京信息职业技术学院软件学院网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失,数据能不能被恢复?如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?16南京信息职业技术学院软件学院网络安全机制:网络安全机制(securitymechanisms)可分为两类:一类与安全服务有关,另一类与管理功能有关。ISO7498-2建议了以下八种机制。(1)加密机制:加密是确保数据保密性。(2)数字签名机制:数字签名用来确保数据真实性和进行身份验证。(3)访问控制机制:访问控制按照事先确定的规则来决定主体对客体的访问是否合法。(4)数据完整性机制:数据完整性是保证数据不被修改。(5)认证机制:计算机网络中认证机制主要有站点认证、报文认证、用户和进程的认证。(6)信息流填充机制:信息流填充使攻击者不知道哪些是有用信息,哪些是无用信息,从而挫败信息流分析攻击。(7)路由控制机制:路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。(8)公正机制:主要是在发生纠纷时进行公正仲裁用。17南京信息职业技术学院软件学院8.2计算机病毒及黑客入侵1、计算机病毒特点灵活性传播性隐蔽性潜伏性破坏性18南京信息职业技术学院软件学院2、计算机病毒的类型引导型病毒可执行文件病毒宏病毒混合型病毒19南京信息职业技术学院软件学院3、造成网络感染病毒的主要原因70%的病毒发生在网络上;将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右;从网络电子广告牌上带来的病毒约占7%;从软件商的演示盘中带来的病毒约占6%;从系统维护盘中带来的病毒约占6%;从公司之间交换的软盘带来的病毒约占2%;其他未知因素约占27%;从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。20南京信息职业技术学院软件学院4、网络病毒的危害网络病毒感染一般是从用户工作站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所;网络服务器在网络病毒事件中起着两种作用:它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代理人,在工作站之间迅速传播与蔓延病毒;网络病毒的传染与发作过程与单机基本相同,它将本身拷贝覆盖在宿主程序上;当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。21南京信息职业技术学院软件学院5、网络病毒的防治措施不使用或下载来源不明的软件。不轻易上一些不正规的网站。提防电子邮件病毒的传播。一些邮件病毒会利用ActiveX控件技术,当以HTML方式打开邮件时,病毒可能就会被激活。经常关注一些网站、BBS发布的病毒报告,这样可以在未感染病毒时做到预先防范。及时更新操作系统,为系统漏洞打上补丁。对于重要文件、数据做到定期备份。22南京信息职业技术学院软件学院6、典型网络防病毒软件的应用网络防病毒可以从以下两方面入手:一是工作站,二是服务器;网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒;网络防病毒软件一般允许用户设置三种扫描方式:实时扫描、预置扫描与人工扫描;一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。23南京信息职业技术学院软件学院常用杀毒软件瑞星杀毒软件金山杀毒软件诺顿杀毒软件24南京信息职业技术学院软件学院7、黑客的概念及特征黑客群体扩大化黑客的组织化和集团化黑客行为的商业化黑客行为的政治化黑客是指为那些利用计算机某种技术或其他手段,善意或恶意地进入其非授权范围以内的计算机或网络空间的人。25南京信息职业技术学院软件学院8、常见的黑客攻击方法Web欺骗技术放置特洛伊木马程序口令攻击(1)暴力破解(2)密码控测(3)网络监听(4)登录界面攻击法电子邮件攻击网络监听端口扫描攻击缓冲区溢出26南京信息职业技术学院软件学院9、防范黑客的措施提高安全意识使用防火墙使用反黑客软件尽量不暴露自己的IP安装杀毒软件做好数据的备份27南京信息职业技术学院软件学院8.3网络防火墙技术8.3.1防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。28南京信息职业技术学院软件学院防火墙的功能及作用防火墙实际上是一种保护装置,防止非法入侵,以保护网络数据,在互联网服务中可实现多个目的。1)限定访问控制点。2)防止侵人者侵入。3)限定离开控制点。4)有效地阻止破坏者对计算机系统进行破坏。总之,防火墙在互联网中是分离器、限制器、分析器。29南京信息职业技术学院软件学院防火墙的位置与作用服务器外部网络防火墙服务器内部网络30南京信息职业技术学院软件学院防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界;构成防火墙系统的两个基本部件是:包过滤路由器和应用级网关;最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;由于组合方式有多种,因此防火墙系统的结构也有多种形式。31南京信息职业技术学院软件学院8.3.2防火墙的主要类型包过滤防火墙包过滤防火墙工作在OSI参考模型的网络层,根据数据包包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地点出口端,其余的数据包则从数据流中丢弃。32南京信息职业技术学院软件学院包过滤防火墙的工作原理33南京信息职业技术学院软件学院代理防火墙代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似一个数据转发器,它主要控制哪些用户能访问哪些服务类型。34南京信息职业技术学院软件学院应用级网关的结构Internet内部网络服务器工作站网络接口应用程序访问控制外部网络网络接口应用级网关防火墙35南京信息职业技术学院软件学院应用代理的工作原理外部网络代理服务器防火墙内部网络真正服务器Internet客户实际的连接虚拟的连接实际的连接36南京信息职业技术学院软件学院双穴主机防火墙该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双空主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护内部网络不被非法访问。37南京信息职业技术学院软件学院8.3.3主要的防火墙产品Checkpoint公司的Firewall-1防火墙SonicSystem公司的Sonicwall防火墙NetScreen公司的NetScreen防火墙Alkatel公司的InternetDevice防火墙NAI公司的Gauntlet防火墙中国的“天网”、“网络卫士”、“蓝盾”38南京信息职业技术学院软件学院天网防火墙39南京信息职业技术学院软件学院天网防火墙安全规则设置这是系统最重要,也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。40南京信息职业技术学院软件学院工具条:点击上面的按钮来导入,增加,修改,删除规则。由于规则判断是由上而下的,可以通过点击调“规则上下移动”按钮调整规则的顺序,当调整好顺序后,可按保存按钮保存修改。当规则增加或修改后,为了让这些规则生效,还要点击”应用新规则“按钮。规则列表:列出了所有的规则的名称,该规则所对应的数据包的方向,该规则所控制的