局域网组网技术第八章课件.ppt

局域网组网技术 第8章 局域网安全与管理8.1网络安全概述8.2 网络安全技术8.3 局域网安全隐患及措施 8.4 局域网管理工具 本章小结8.1网络安全概述伴随着全球经济高速发展的浪潮，以Internet为代表的全球性信息化也在逐日升温，计算机以及信息网络技术的应用正日益普及和广泛，伴随网络的日益普及，网络安全成为影响网络效能的重要问题如何使网络信息系统不受黑客和工业间谍等外部威胁的入侵，已成为保障信息化健康发展所要考虑的重要事情之一8.1.1 什么是网络安全网络环境里的安全指的是一种能够识别和消除网络环境里的安全指的是一种能够识别和消除不安全因素的能力网络系统的硬件、软件及不安全因素的能力网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续意的原因而遭到破坏、更改、泄露，系统连续可能正常运行、网络服务不中断可能正常运行、网络服务不中断网络安全包括五个基本要素：机密性、完整性、网络安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性可用性、可控性与可审查性8.1.2 安全威胁 一般认为，目前网络存在的威胁主要表现在：一般认为，目前网络存在的威胁主要表现在：非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问。

它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等8.1.2 安全威胁信息泄漏或丢失：指敏感数据在有意或无意信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏，信息在存储介质中丢失传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息或泄漏，通过建立隐蔽隧道等窃取敏感信息等8.1.2 安全威胁破坏数据完整性：以非法手段窃得对数据的使用权破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用扰用户的正常使用拒绝服务攻击：它不断对网络服务系统进行干扰，拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

相应的服务利用网络传播病毒：通过网络传播计算机病毒，其利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范破坏性大大高于单机系统，而且用户很难防范8.1.3 安全策略 安全策略是指在一个特定的环境里，为保证提安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则该供一定级别的安全保护所必须遵守的规则该安全策略模型包括了建立安全环境的三个重要安全策略模型包括了建立安全环境的三个重要组成部分，即：组成部分，即：威严的法律先进的技术严格的管理8.1.4 安全工作目的安全工作的目的就是为了在安全法律、法规、安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完成以下任务：术与安全管理措施，完成以下任务：使用访问控制机制，阻止非授权用户进入网络，即“进不来”，从而保证网络系统的可用性使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走”，同时结合内容审计机制，实现对网络资源及信息的可控性8.1.4 安全工作目的使用加密机制，确保信息不暴露给未授权的实使用加密机制，确保信息不暴露给未授权的实体或进程，即体或进程，即“看不懂看不懂”，从而实现信息的保，从而实现信息的保密性。

密性使用数据完整性鉴别机制，保证只有得到允许使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人的人才能修改数据，而其它人“改不了改不了”，从，从而确保信息的完整性而确保信息的完整性使用审计、监控、防抵赖等安全机制，使得攻使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者击者、破坏者、抵赖者“走不脱走不脱”，并进一步，并进一步对网络出现的安全问题提供调查依据和手段，对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性实现信息安全的可审查性8.2 网络安全技术8.2.1 8.2.1 防火墙技术防火墙技术目前在全球连入目前在全球连入InternetInternet的计算机中约有三分之的计算机中约有三分之一是处于防火墙保护之下一是处于防火墙保护之下网络防火墙技术是一种用来加强网络之间访问网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备内部网络操作环境的特殊网络互联设备目前的防火墙产品主要有堡垒主机、包过滤路目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关代理服务器以及电路层网关、由器、应用层网关代理服务器以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

屏蔽主机防火墙、双宿主机等类型8.2.1 防火墙技术防火墙的技术实现通常是基于所谓防火墙的技术实现通常是基于所谓“包过滤包过滤”技技术，而进行包过滤的标准通常就是根据安全策略术，而进行包过滤的标准通常就是根据安全策略制定的在防火墙中，包过滤的标准一般是靠网制定的在防火墙中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定络管理员在防火墙设备的访问控制清单中设定访问控制一般基于的标准有：包的源地址、包的访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向、数据包协议以及服目的地址、连接请求的方向、数据包协议以及服务请求的类型等务请求的类型等除了基于硬件的包过滤技术，防火墙还可以利用除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现代理服务器软件实现8.2.1 防火墙技术防火墙的职责就是根据本单位的安全策略，对防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络之间交流的数据进行检查外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外符合的予以放行，不符合的拒之门外虽然防火墙是目前保护网络免遭黑客袭击的有虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

无法防范数据驱动型的攻击8.2.2 入侵检测技术入侵检测技术的研究最早可追溯到入侵检测技术的研究最早可追溯到James James AdersonAderson在在19801980年的工作，他首先提出了入侵检年的工作，他首先提出了入侵检测的概念测的概念19871987年年Dorothy E Dorothy E DenningDenning提出入侵检测系统的抽象模型，首次将提出入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御问入侵检测的概念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方题的措施提出，与传统加密和访问控制的常用方法相比，法相比，IDSIDS是全新的计算机安全措施是全新的计算机安全措施19881988年的年的Morris Morris InternetInternet蠕虫事件使得蠕虫事件使得InternetInternet近近5 5天无法使用天无法使用该事件使得对计算机安全的需要迫在眉睫，从而该事件使得对计算机安全的需要迫在眉睫，从而导致了许多导致了许多IDSIDS系统的开发研制系统的开发研制8.2.2 入侵检测技术入侵检测（入侵检测（Intrusion Intrusion DetectionDetection）的定义为：识别针对计算机或网络）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此快速作出反应资源的恶意企图和行为，并对此快速作出反应的过程。

的过程IDSIDS能够检测未授权对象针对系统的入能够检测未授权对象针对系统的入侵企图或行为，同时监控授权对象对系统资源侵企图或行为，同时监控授权对象对系统资源的非法操作具体的功能是：的非法操作具体的功能是：从系统的不同环节收集信息；分析该信息，试图寻找入侵活动的特征；自动对检测到的行为做出响应；纪录并报告检测过程结果8.2.2 入侵检测技术入侵检测作为一种积极主动的安全防护技术，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和失误操作的实提供了对内部攻击、外部攻击和失误操作的实时保护，在网络系统受到危害之前拦截和响应时保护，在网络系统受到危害之前拦截和响应入侵入侵检测系统能很好地弥补防火墙的不入侵入侵检测系统能很好地弥补防火墙的不足，从某种意义上说是防火墙的补充足，从某种意义上说是防火墙的补充8.2.3 数据加密技术网络安全的另一个非常重要的手段就是数据加网络安全的另一个非常重要的手段就是数据加密技术，它是对信息进行重新编码，从而达到密技术，它是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获得信息真实隐藏信息内容，使非法用户无法获得信息真实内容的一种技术手段。

内容的一种技术手段数据加密是指在数据处理过程中将敏感数据转数据加密是指在数据处理过程中将敏感数据转换为不能识别的乱码，还原的过程则称为解密换为不能识别的乱码，还原的过程则称为解密，数据加、解密过程是由算法来具体实施的数据加、解密过程是由算法来具体实施的加密的技术主要分两种：加密的技术主要分两种：单匙技术双匙技术8.2.3 数据加密技术单匙技术单匙技术这种技术无论加密还是解密都是用同一把钥匙，是较为传统的一种加密方法发信人用某把钥匙将某重要信息加密，通过网络传给收信人，收信人再用同一把钥匙将加密后的信息解密这种方法也存在一个问题，即如果收信者和发信者不在同一地理位置，那么他们必须确保有一个安全渠道来传送加密钥匙，以保加密钥匙在传输过程中不会被泄漏8.2.3 数据加密技术双匙技术双匙技术此技术使用两个相关互补的钥匙：一个称为公用钥匙，另一个称为私人钥匙公用钥匙是大家被告知的，而私人钥匙则只有所有者自己知道发信者需用收信人的公用钥匙将重要信息加密，然后通过网络传给收信人收信人再用自己的私人钥匙将其解密公用钥匙是公开的，可以通过网络告知发信人，而只知道公用钥匙是无法导出私人钥匙的8.2.3 数据加密技术数据加密技术主要有两个用途，一是加密信息数据加密技术主要有两个用途，一是加密信息；另一个是信息数字署名，即发信者用自己的；另一个是信息数字署名，即发信者用自己的私人钥匙将信息加密，这就相当于在这条消息私人钥匙将信息加密，这就相当于在这条消息上署上了名。

任何人只有用发信者的公用钥匙上署上了名任何人只有用发信者的公用钥匙，才能解开这条消息才能解开这条消息8.2.3 数据加密技术在实际应用中为了达到更高的安全性，通常既在实际应用中为了达到更高的安全性，通常既需要进行保密又要进行署名，则可以将上面介需要进行保密又要进行署名，则可以将上面介绍的两个步骤联合起来即发信者先用自己的绍的两个步骤联合起来即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密，再私人钥匙署名再用收信者的公。