搜索
长沙通信职院计算机信息工程系第九章计算机网络安全长沙通信职院计算机信息工程系[教学内容](1)计算机网络安全概念(2)常用的网络安全设备与技术(3)计算机病毒的分类、特点、特征和运行机制(4)病毒的检测和防治技术(5)防火墙的基本类型(6)常见的防火墙配置(7)网络攻击的分类、手段和防范措施[实践内容](1)查杀计算机病毒;(2)常用的个人防火墙进行配置;长沙通信职院计算机信息工程系计算机网络安全[教学要求](1)了解计算机网络安全方面的知识(2)了解计算机病毒的分类、特点、特征和运行机制(3)了解反病毒涉及的主要技术(4)掌握病毒的检测和防治技术(5)掌握防火墙的基本类型(6)熟悉常见的防火墙配置(7)了解网络攻击的分类、手段和防范措施(8)了解企业网安全防御技术长沙通信职院计算机信息工程系本次课内容介绍主要内容:―了解计算机网络安全―了解计算机病毒的分类、特点、特征和运行机制―了解反病毒涉及的主要技术―掌握病毒的检测和防治技术―掌握防火墙的基本类型―熟悉常见的防火墙配置重点内容:―病毒的检测和防治技术―防火墙的基本类型及配置长沙通信职院计算机信息工程系应用情景青职公司市场部小李刚上班,就打开计算机准备处理昨天销售部门报上来的数据分析表,一开机就发现计算机无法正常工作,也不能上网。打电话给计算机中心的小张请求帮助。小张发现操作系统无法正常启动,系统被计算机病毒破坏了。小张重新安装了操作系统,并安装了正版的杀病毒软件对计算机进行了杀毒处理。计算机终于可以正常工作了,小李悬着的心放了下来。小李请教小张如何才能防止类似的事情再次发生呢?长沙通信职院计算机信息工程系9.1了解计算机网络安全9.1.1计算机网络安全概述计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”长沙通信职院计算机信息工程系1.网络安全的属性在美国国家信息基础设施(NII)的文献中,给出了网络安全的五个属性。保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性:可被授权实体访问并按需求使用的特性。即网络信息服务在需要时允许授权用户或实体使用,或者是网络部分受损或需要降级使用时仍能为授权用户提供有效服务。可控性:对信息的传播及内容具有控制能力,不允许不良信息通过公共网络进行传输。可审查性:出现安全问题时提供依据与手段。长沙通信职院计算机信息工程系2.中小型网络安全面临的主要威胁(1)自然威胁自然威胁可能来自于各种自然灾害。(2)物理威胁物理威胁主要体现在物理设备上。(3)常见的网络安全威胁①网络攻击②非授权访问③计算机病毒长沙通信职院计算机信息工程系9.1.2常用的网络安全设备与技术(1)防火墙技术所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。(2)入侵检测系统入侵检测系统(intrusiondetectionsystem,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。长沙通信职院计算机信息工程系(3)漏洞扫描技术漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。(4)数据备份数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。长沙通信职院计算机信息工程系(5)防病毒技术从防病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。(6)数据加密技术数据加密技术是指对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。长沙通信职院计算机信息工程系“计算机病毒”定义指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。9.2防治计算机病毒长沙通信职院计算机信息工程系9.2.1计算机病毒与杀毒软件1.计算机病毒的特征计算机病毒作为一种特殊的程序具有以下特征。(1)非授权可执行性(2)隐蔽性(3)传染性:最重要的一个特征(4)潜伏性(5)表现性或破坏性(6)可触发性长沙通信职院计算机信息工程系(1)引导型病毒(2)文件型病毒(3)复合型病毒(4)变型病毒(5)宏病毒(6)网页病毒(7)“蠕虫”型病毒(8)木马病毒2.计算机病毒分类长沙通信职院计算机信息工程系3.计算机病毒的传播通过文件系统传播;通过电子邮件传播;通过局域网传播;通过互联网上即时通讯软件和点对点软件等常用工具传播;利用系统、应用软件的漏洞进行传播;利用系统配置缺陷传播,如弱口令、完全共享等;长沙通信职院计算机信息工程系计算机病毒的传播过程人为设计潜伏侵入系统传染触发运行破坏长沙通信职院计算机信息工程系1.如何防治病毒(1)要提高对计算机病毒危害的认识(2)养成备份重要文件等良好使用习惯(3)大力普及杀毒软件(4)采取措施防止计算机病毒的发作(5)开启计算机病毒查杀软件的实时监测功能(6)加强对网络流量等异常情况的监测(7)有规律的备份系统关键数据,建立应对灾难的数据安全策略9.2.2计算机病毒防治长沙通信职院计算机信息工程系2.如何选择计算机病毒防治产品①具有发现、隔离并清除病毒功能;②具有实时报警(包括文件监控、邮件监控、网页脚本监控等)功能;③多种方式及时升级;④统一部署防范技术的管理功能;⑤对病毒清除彻底,文件修复完整、可用;⑥产品的误报、漏报率较低;⑦占用系统资源合理,产品适应性较好。长沙通信职院计算机信息工程系9.3网络攻击与防御9.3.1网络黑客攻击1.黑客和入侵者在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”入侵者(攻击者)指怀有不良的企图,闯入远程计算机系统甚至破坏远程计算机系统完整性的人。长沙通信职院计算机信息工程系2.黑客攻击的主要手段黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。(1)后门程序(2)信息炸弹(3)拒绝服务(4)网络监听长沙通信职院计算机信息工程系3.黑客攻击的目的(1)获取数据(2)获取权限(3)非法访问(4)拒绝服务(5)暴露信息长沙通信职院计算机信息工程系黑客攻击的步骤第1步•信息收集:获取目标系统的信息,如网络拓扑结构、IP地址分配、端口的使用情况等。第2步•获得对系统的访问权限:通过口令猜测、社会工程、建立后门等攻击手段,利用系统存在的漏洞来获得对系统的访问权限。第3步•破坏系统或盗取信息:利用非法获得的对系统的访问权限,运行非法程序。第4步•消除入侵痕迹:入侵后尽力消除入侵痕迹,如更改或者删除系统文件或日志。长沙通信职院计算机信息工程系9.3.2网络攻击网络攻击是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。1.攻击的分类从攻击的行为分主动攻击与被动攻击。从攻击的位置分远程攻击、本地攻击和伪远程攻击。2.网络攻击手段(1)获取口令(2)放置特洛伊木马程序(3)的欺骗技术(4)电子邮件攻击(5)通过一个节点来攻击其他节点(6)网络监听(7)寻找系统漏洞(8)利用帐号进行攻击(9)偷取特权长沙通信职院计算机信息工程系9.3.2网络攻击的防范措施1.提高安全意识2.安装杀毒软件3.安装防火墙软件4.只在必要时共享文件夹5.定期备份重要数据长沙通信职院计算机信息工程系9.3.3企业网络安全防御1.VLAN(虚拟局域网)技术选择VLAN技术可较好地从链路层实施网络安全保障。2.网络分段网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。3.硬件防火墙技术设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。4.入侵检测技术长沙通信职院计算机信息工程系9.4防火墙技术9.4.1防火墙的基本类型防火墙是在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统,如图9-2所示。防火墙防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源;保护内部网络操作环境的特殊网络互联设备。它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。长沙通信职院计算机信息工程系防火墙示意图企业内联网部门子网分公司网络IInntteerrnneett图9-2防火墙示意图长沙通信职院计算机信息工程系1.防火墙的功能(1)过滤不安全服务和非法用户,禁止未授权的用户访问受保护的网络。(2)控制对特殊站点的访问。允许受保护网络的一部分主机如邮件服务器、FTP服务器和Web服务器等被外部网访问,而另一部分被保护起来,防止不必要的访问。(3)监视网络访问,提供安全预警。长沙通信职院计算机信息工程系2.防火墙的分类(1)网络级防火墙--包过滤路由器(2)电路级防火墙—电路网关(3)应用级防火墙—应用网关(4)监测型防火墙2.防火墙的基本类型长沙通信职院计算机信息工程系防火墙存在软件和硬件两种形式。具备包过滤功能的路由器(或充当路由器的计算机),通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,否则将数据拒之门外。优点:简单实用,实现成本较低,适合应用环境比较简单的情况。缺点:不能理解网络层以上的高层网络协议,无法识别基于应用层的恶意侵入。(1)包过滤路由器长沙通信职院计算机信息工程系下图给出了包过滤路由器结构示意图。Internet内部网络服务器工作站网络层数据链路层物理层网络层数据链路层物理层分组过滤规则包过滤路由器外部网络防火墙长沙通信职院计算机信息工程系(2)电路级防火墙—电路网关电路网关工作在传输层。不允许内部主机与外部之间直接进行TCP连接,而是建立两个TCP连接:一个在网关和内部主机上的TCP用户程序之间,另一个在网关和外部主机的TCP用户程序之间。通常用于内部网络对外部的访问,与堡垒主机相配合可设置成混合网关,对于向内的连接支持应用层服务,而对于向外的连接支持传输层功能。长沙通信职院计算机信息工程系(3)应用级防火墙—应用网关应用网关工作应用层,通常指运行代理服务器软件的一台计算机主机。代理服务器位于客户机与服务器之间。从客户机来看,代理服务器相当于一台真正的服务器。而从服务器来看,代理服务器又是一台真正的客户机。长沙通信职院计算机信息工程系应用网关的工作模型客户机客户实际的连接虚拟的连接实际的连接长沙通信职院计算机信息工程系应用网关优缺点缺点:使访问速度变慢在重负载下,代理服务器可能成为网络瓶颈。–优点:代理服务器拥有高速缓存,能够节约时间和网络资源外部网络只能看到代理服务器,看部到内网的具体结构比包过滤更可靠,而且会详细地记