第七单元 局域网安全技术精编版

,知识目标 1.理解网络安全现状。 2.理解网络面临的威胁。 3.理解计算机网络不安全根源。 4.掌握网络安全内容和主要指标。 5.掌握网络安全策略。 6.掌握网络安全标准和等级。 7.网络安全技术。,第六单元 局域网安全技术,能力目标 1.防病毒软件的使用。 2.掌握防火墙安装和配置。 3.掌握Windows2000安全策略配置。 4.掌握Windows2000系统安全技术。,第六单元 局域网安全技术,知识背景 网络安全现状,第六单元 局域网安全技术,知识背景 网络安全面临威胁 自然灾害威胁 自然灾害威胁主要指火灾、地震、飓风、雷击、水灾等。 偶然或人为事故造成的威胁 主要包括软硬件故障引发破坏，人们的误操作引发的系统故障。 网络攻击 所谓网络攻击是指行为人利用各种技术和手段对计算机系统进行非法操作、对计算机系统造成损害的行为。,第六单元 局域网安全技术,知识背景 网络安全面临威胁 计算机病毒 计算机犯罪 信息战,第六单元 局域网安全技术,知识背景 网络不安全的根源 物理安全问题 物理安全问题还包括设备的位置安全、限制物理访问、物理环境安全和地域因素等。 网络拓扑结构的安全缺陷 系统软件存在安全缺陷和漏洞 协议存在安全隐患 Internet自身特点 人为因素,第六单元 局域网安全技术,知识背景 计算机网络含义 计算机网络安全是指网络系统的硬件、软件及其系统中的 数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改 、泄露，系统连续可靠正常地运行，网络服务不中断。,第六单元 局域网安全技术,知识背景 计算机网络安全的内容 计算机网络实体安全 软件系统安全 计算机网络中的数据安全 计算机网络安全管理,第六单元 局域网安全技术,知识背景 计算机网络安全性指标 保密性(Confidentiality) 保密性是指保障计算机网络与信息系统中有保密要求的信息只能供经过允许的人员经过允许的方式使用的一种特性，保密性是针对数据的。 完整性(Integrity) 完整性是指保障计算机网络与信息系统中的信息是安全的、准确的、有效的，不因种种不安全因素而改变原有的内容、形式、流向的一种特性，即不能为未授权的第三方修改。,第六单元 局域网安全技术,知识背景 计算机网络安全性指标（续） 可用性(Availability) 可用性就是保障计算机网络与信息系统中的资源无论何时、无论经过何种处理，只要需要即可用，不因系统故障或其他原因使资源失效、丢失、或妨碍对资源的使用，也不能使有严格时间要求的服务不能得到及时响应的一种特性。 真实性(Authenticity) 真实性是保障信息和系统中实体可信的一种特性，主要是指对信息完整性、系统实体的确认。,第六单元 局域网安全技术,知识背景 计算机网络安全性指标（续） 实用性(Utility) 实用性是对授权范围内的信息传播和内容具有控制能力的一种特性式。 占有性(Possession) 占有性保障实体对信息的占有权的一种特性。例如若系统中信息存储介质被盗用，则会导致对信息占有权的丧失。,第六单元 局域网安全技术,知识背景 计算机网络安全策略 计算机网络与信息系统安全策略是指在一个特定的环 境里，为保证提供一定级别的计算机网络与信息安全保护 所必须遵守的规则。 先进的计算机网络与信息安全技术是计算机网络与信 息系统安全的根本保证；严格的安全管理；制订严格的法 律、法规。,第六单元 局域网安全技术,知识背景 国外主要的安全评价准则及其关系,第六单元 局域网安全技术,知识背景 我国的安全标准(GB-17859-1999) 公安部组织制定了计算机信息系统安全等级划分准则 国家标准。 准则规定了计算机系统安全保护能力的五个等级，保护能 力随着安全保护等级的增高而逐渐增强，而且高保护等级包含 了次高保护级的全部保护能力。该准则将信息系统安全分为5 个等级，分别是：自主保护级、系统审计保护级、安全标记保 护级、结构化保护级和访问验证保护级。,第六单元 局域网安全技术,知识背景 安全技术概述 信息安全技术 主要有:信息加密技术、数字签名技术、信息隐藏、 数字水印技术等技术。 网络安全技术 主要有：入侵检测技术、防火墙技术、安全网关保密技 术、安全路由技术、安全通信协议、VPN技术。 系统安全技术 主要有身份认证、访问控制、密钥管理技术等。,第六单元 局域网安全技术,知识背景 防火墙基本概念 防火墙（Firewall）是一种在内部网络与外部网络之间的 界面上构造的一个保护层或在网络边界上建立的网络通信监控 系统，并强制所有的连接都必须经过此保护层或系统，在此保 护层进行检查和连接，以保障计算机网络的安全，只有那些被 授权的通信才能通过此保护层，从而保护内部网络资源免遭非 法入侵的系统。,第六单元 局域网安全技术,知识背景 防火墙的结构,第六单元 局域网安全技术,知识背景 防火墙功能 1.防火墙是网络安全的屏障，可以强化网络安全策略 .防火墙可以对网络存取和访问进行监控审计 .防火墙可以防止内部信息的外泄 .防火墙保护脆弱的服务并进行集中的安全管理,第六单元 局域网安全技术,知识背景 防火墙的分类 根据所用技术的不同来分类 可分为软件防火墙、硬件防火墙和软硬一体化防火墙三类。 根据应用对象的不同来分类 可分为企业级防火墙与个人防火墙。 根据防御方式的不同来分类 可分为包过滤型防火墙、应用网关型、防火墙和代理服务型 防火墙、复合型防火墙等四种。,第六单元 局域网安全技术,学生实作1 几种网络防火墙的配置 1. 天网防火墙的配置: 在天网防火墙的主面板上点击“系统设置”按钮，在弹出的“系 统设置”窗口中，点击“规则设定”中的“向导”（见下页），就 会弹出设置向导。,第六单元 局域网安全技术,学生实作1 几种网络防火墙的配置 1. 天网防火墙的配置图示(续上):,学生实作1 几种网络防火墙的配置 1. 天网防火墙的配置图示(续上):,第六单元 局域网安全技术,在“安全级别设置”对话框中选择好安全级别（局域网内的用户可以选择“低”）后再点击“下一步”按钮，进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”，软件便会自动探测本机的IP地址并显示在下方。,学生实作1 几种网络防火墙的配置 2. 江民黑客防火墙 的配置: 在这款防火墙的主界面上点击“IP规则设置”按钮，弹出IP规则 列表。在这个IP规则列表中，可找到和局域网有关的两条IP规 则：“允许本机连接局域网内的其它机器”、“局域网内的其它 机器访问本机（TCP）”(见下页)。,第六单元 局域网安全技术,学生实作1 几种网络防火墙的配置 2. 江民黑客防火墙的配置，配置图示如下(续上):,第六单元 局域网安全技术,学生实作1 几种网络防火墙的配置 2. 江民黑客防火墙的配置(续上): 如果要修改“局域网内的其它机器访问本机(TCP)”规则，可点 击该规则所对应的编辑按钮，打开“反黑王规则设定”对话框， 在其中的“对方IP地址”下拉列表中选择“地址范围”，并将本 局域网的网段添加进来即可。如果你真的不希望被网内的其他 用户访问，也可以在“局域网内的其它机器访问本机”这条规则 内进行设置。,第六单元 局域网安全技术,学生实作1 几种网络防火墙的配置 3. 金山网镖防火墙的配置: 在金山网镖的主界面中，点击“共享管理”选项卡，在“共享管 理”窗口列表中便会列出当前所有的共享。选择需要编辑的共 享，然后在“共享管理”页面上方通过点击“编辑”、“删除”、“ 添加”等图标，便可对共享文件进行管理。另外，如果你想暂 时中止某个文件夹的共享，只需要点击该文件夹右侧的“禁止” 即可(见下页)。,第六单元 局域网安全技术,学生实作1 几种网络防火墙的配置 3. 金山网镖防火墙的配置(续上):,第六单元 局域网安全技术,学生实作1 几种网络防火墙的配置 3. 金山网镖防火墙的配置(续上): 想要在局域网内能够正常互访，我们还需要做以下设置。在金山 网镖的主窗口菜单栏上点击“工具综合设置IP设置”，勾选“我 的电脑处于局域网中”复选框，点击“确定”按钮使设置生效。,第六单元 局域网安全技术,第六单元 局域网安全技术,案例分析 案例1Win 2000系统安全隐患与防范 1. Win2000操作系统存在的安全隐患 1) 安装隐患 将服务器接入网络内安装。 Windows2000 Server操作系统在安装时存在一个安全漏洞， 当输入Administrator密码后，系统就自动建立了ADMIN$的 共享，但是并没有用刚刚输入的密码来保护它，这种情况一直 持续到再次启动后，在此期间，任何人都可以通过ADMIN$进 入这台机器；同时，只要安装一结束，各种服务就会自动运行 ，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。,第六单元 局域网安全技术,案例分析 案例1Win 2000系统安全隐患与防范 将服务器接入网络内安装。操作系统与应用系统共用一个磁盘分区。 在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区， 会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取 应用系统的访问权限，从而影响应用系统的安全运行。 采用FAT32文件格式安装。FAT32文件格式不能限制用户对文件的访 问，这样可以导致系统的不安全。,第六单元 局域网安全技术,案例分析 案例1Win 2000系统安全隐患与防范 采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐 患的组件，如：IIS、DHCP、DNS等，导致系统在安装后存在安全 漏洞。 系统补丁安装不及时不全面。在系统安装完成后，不及时安装系 统补丁程序，导致病毒侵入。,第六单元 局域网安全技术,案例分析 案例1Win 2000系统安全隐患与防范 2) 运行隐患 默认共享。系统在运行后，会自动创建一些隐藏的共享。这些 默认共享给系统的安全运行带来了很大的隐患。 默认服务。系统在运行后，自动启动了许多有安全隐患的服务 这些服务在实际工作中如不需要，可以禁用。 安全策略。系统运行后，默认情况下，系统的安全策略是不启 作用的，这降低了系统的运行安全性。 管理员帐号。系统在运行后，Administrator用户帐号是不能 被停用的，这意味着攻击者可以不停地尝试猜测账号的口令。,第六单元 局域网安全技术,案例分析 案例1Win 2000系统安全隐患与防范 页面文件。页面文件是用来存储没有装入内存的程序和数据文件 部分的隐藏文件。页面文件中可能含有一些敏感的资料，有可能 造成系统信息的泄露。 共享文件。默认状态下，每个人对新创建的文件共享都拥有完全 控制权限，这是非常危险的。 Dump文件。Dump文件在系统崩溃和蓝屏的时候是一份很有用的查 找问题的资料。然而，它也能够给攻击者提供一些敏感信息，造 成信息泄露。 WEB服务。系统本身自带的一些服务存在安全隐患。,第六单元 局域网安全技术,案例分析 案例1Win 2000系统安全隐患与防范 2. Win2000操作系统的安全防范对策 1) 安装对策 在安装、配置好操作系统，打补丁之前，不要把机器接入网络 在安装操作系统时，建议至少分三个磁盘分区。 采用NTFS文件格式安装操作系统，保证文件的安全，控制用户 对文件的访问权限。 在安装系统组件时，不要采用缺省安装，删除缺省的一些服务 在安装完操作系统后，应先安装应用系统，后安装系统补丁。,第六单元 局域网安全技术,案例分析 案例1Win 2000系统安全隐患与防范 2) 运行对策 关闭系统默认共享。