网络与系统安全实验1

网络与系统安全实验网络与系统安全实验概述网络与系统安全实验一、要求目标：理解信息安全的基本原理和技术;了解一些最新研究成果;掌握网络与信息安全的理论基础,具备研究与实践的基本能力。方式：讲授+实验考试：报告和作业网络与系统安全实验二、三个关键概念1、计算机安全（ComputerSecurity）对于一个自动化的信息系统，采取保护措施确保信息系统资源（包括硬件、软件、固件、信息/数据和通信）的保密性、完整性、可用性。NIST《计算机安全手册》2、网络安全（NetworkSecurity）保护数据在传输中安全的方法3、互联网安全（InternetSecurity）保护数据安全通过互联网络的方法网络与系统安全实验三、网络安全的核心需求网络安全核心地位的三个关键目标保密性（Confidentiality）数据保密性隐私性完整性（Integrity）（含不可否认性、真实性）数据完整性系统完整性可用性（Availability）真实性（Authenticity）可追朔性（Accountability）网络与系统安全实验四、OSI安全框架1、安全攻击，securityattack任何危及系统信息安全的活动。2、安全服务，securityservice加强数据处理系统和信息传输的安全性的一种服务。目的在于利用一种或多种安全机制阻止安全攻击。3、安全机制，securitymechanism用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。网络与系统安全实验1、安全攻击攻击/威胁？攻击的类型被动攻击主动攻击网络与系统安全实验1、安全攻击--被动攻击网络与系统安全实验1、安全攻击--被动攻击在未经用户同意和认可的情况下将信息泄露给系统攻击者，但不对数据信息做任何修改。常见手段：搭线监听；无线截获；其他截获。不易被发现。重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。网络与系统安全实验1、安全攻击—主动攻击网络与系统安全实验1、安全攻击—主动攻击涉及某些数据流的篡改或虚假流的产生。通常分为：假冒；重放；篡改消息；拒绝服务。能够检测出来。不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。网络与系统安全实验2、安全机制（X.800）特定的安全机制（specificsecuritymechanisms）:加密，数字签名，访问控制，数据完整性，认证交换，流量填充，路由控制，公证等普遍的安全机制（pervasivesecuritymechanisms）:可信功能，安全标签，事件检测，安全审计跟踪，安全恢复等网络与系统安全实验3、安全服务(X.800)可认证性-assurancethatthecommunicatingentityistheoneclaimed访问控制-preventionoftheunauthorizeduseofaresource机密性-Confidentiality-protectionofdatafromunauthorizeddisclosure完整性-Integrity-assurancethatdatareceivedisassentbyanauthorizedentity不可否认性-Non-repudiation-protectionagainstdenialbyoneofthepartiesinacommunication可用性-availability网络与系统安全实验五、网络安全模型网络与系统安全实验五、网络安全模型设计安全服务应包含四个方面内容：设计执行安全相关传输的算法产生算法所使用的秘密信息设计分配和共享秘密信息的方法指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务网络与系统安全实验六、国外网络安全标准（1）美国国防部TCSEC可信计算机系统标准评估准则(桔皮书)。该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(RainbowSeries)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A1级：A1级：验证设计级；B3级：安全域级B2级：结构化保护级B1级：标记安全保护级完全可信网络安全（B1、B2、B3）；C2级：受控存取保护级；C1级：自主安全保护剂D级：不可信网络安全。问题：以保密和单点机为主。网络与系统安全实验六、国外网络安全标准（2）欧洲ITSEC与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。网络与系统安全实验六、国外网络安全标准（3）加拿大CTCPEC该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。美国联邦准则(FC)该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。网络与系统安全实验六、国外网络安全标准（4）信息技术安全评价通用准则(CC)CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障（安全功能的可信度）分离,并将功能需求分为11类63族,将保障分为7类29族。99.7通过国际标准化组织认可,为ISO/IEC15408信息技术安全评估准则。网络与系统安全实验七、安全产品类型网络与系统安全实验八、教材和参考书教材1、《网络安全实验教程》（2版），刘建伟，张卫东，清华大学出版社2、《计算机系统安全实验教程》，陈波，于泠等，机械工业出版社，2009年2月.3、《密码编码学与网络安全—原理与实践》(第三版)，WilliamStallings[美]著.刘玉珍,王丽娜,傅建明等译，电子工业出版社，2004.参考书1、马建峰，马卓著，《Securityaccessinwirelesslocalareanetworks》，Springer,2009.2、王育民，刘建伟编著，《通信网的安全—理论与技术》，西安电子科技出版社3、胡道元、闵京华编著，《网络安全》（第一版），清华大学出版社.4、阙喜戎，孙锐等编著，《信息安全原理及应用》，清华大学出版.5、刘建伟，王育民编著，《网络安全技术与实践（2版）》，清华大学出版社6、曹天杰，张永平等编著，《计算机系统安全》，高等教育出版社。7、张波云，鄢喜爱等编著，《操作系统安全》，人民邮电出版社.8、卿斯汉,等编著，《操作系统安全（第2版）》，清华大学出版社.9.杨国富，等编著，《网络操作系统安全》，清华大学出版社.网络与系统安全实验实验一网络设备配置与使用网络与系统安全实验目录一、实验目的二、实验原理三、实验环境四、实验内容五、实验报告网络与系统安全实验一、实验目的了解网络信息安全环境的软硬件系统了解网络综合布线了解网络互连设备掌握网络设备的配置与使用网络与系统安全实验二、实验原理（一）网络信息安全环境的软硬件系统1.硬件系统防火墙网络入侵检测系统（NIDS）虚拟专用网络（VPN）物理隔离网卡路由器交换机集线器网络与系统安全实验二、实验原理（一）网络信息安全环境的软硬件系统2.软件系统脆弱性扫描系统病毒防护系统身份认证系统网络攻防软件主机入侵检测软件因特网非法外联监控软件网络与系统安全实验二、实验原理网络与系统安全实验二、实验原理网络与系统安全实验二、实验原理（二）网络综合布线网络与系统安全实验二、实验原理（三）网络互连设备1.路由器工作在OSI的第三层网络互连与路由选择根据IP地址转发数据实质上是一台微型计算机CPUOSRAMROM网络与系统安全实验二、实验原理（三）网络互连设备2.交换机工作在OSI的第二层三层交换机主机互连根据MAC地址转发数据组成高速背板交换引擎（矩阵）接口模板网络与系统安全实验三、实验环境PC机或笔记本路由器交换机网线网络与系统安全实验四、实验内容（一）路由器配置1.观察和记录给定型号路由器的端口2.使用线缆正确连接路由器和PC3.配置路由器路由器配置思路：配置之前，需要将组网需求具体化、详细化，包括组网目的、路由器在互联网中的角色、子网的划分、广域网类型和传输介质的选择、网络安全策略和网络可靠性需求等，然后根据以上要素绘出一个清晰完整的组网图。4.多路由器连接网络与系统安全实验四、实验内容（二）NAT的配置1.NAT(NetworkAddressTranslation)2.内部网络地址与外部网络地址3.配置访问控制列表标准IP访问控制列表扩展IP访问控制列表命名的IP访问控制列表网络与系统安全实验四、实验内容（三）交换机的配置1.交换机数据交换直通式交换存储转发交换2.MAC和端口映射表3.端口配置管理4.VLAN划分根据IP地址根据MAC地址软件划分网络与系统安全实验五、实验报告1.简述路由器的常见端口及作用2.写出配置三台路由器的命令3.写出VLAN的详细配置过程