计算机网络技术2016新版第10章网络管理及安全1

1、2021-10-17计算机网络基础 杜煜1杜煜杜煜2021-10-172l计算机网络安全的概念；计算机网络安全的概念；l计算机网络对安全性的要求；计算机网络对安全性的要求；l访问控制技术和设备安全；访问控制技术和设备安全；l防火墙技术；防火墙技术；l网络安全攻击及解决方法；网络安全攻击及解决方法；l计算机网络安全的基本解决方案。计算机网络安全的基本解决方案。2021-10-173l背景介绍背景介绍l对计算机网络安全性问题的研究总是围绕着信息对计算机网络安全性问题的研究总是围绕着信息系统进行，其主要目标就是要保护计算资源，免系统进行，其主要目标就是要保护计算资源，免受毁坏、替换、盗窃和丢失，而计

2、算资源包括了受毁坏、替换、盗窃和丢失，而计算资源包括了计算机及网络设备、存储介质、软硬件、信息数计算机及网络设备、存储介质、软硬件、信息数据等。据等。2021-10-174l访问控制访问控制l选择性访问控制选择性访问控制l病毒和计算机破坏程序病毒和计算机破坏程序l加密加密l系统计划和管理系统计划和管理l物理安全物理安全l通信安全通信安全2021-10-175l保护系统和网络的资源免遭自然或人为的破坏；保护系统和网络的资源免遭自然或人为的破坏；l明确网络系统的脆弱性和最容易受到影响或破坏明确网络系统的脆弱性和最容易受到影响或破坏的地方；的地方；l对计算机系统和网络的各种威胁有充分的估计；对计算机

3、系统和网络的各种威胁有充分的估计；l要开发并实施有效的安全策略，尽可能减少可能要开发并实施有效的安全策略，尽可能减少可能面临的各种风险；面临的各种风险；l准备适当的应急计划，使网络系统在遭到破坏或准备适当的应急计划，使网络系统在遭到破坏或攻击后能够尽快恢复正常工作；攻击后能够尽快恢复正常工作；l定期检查各种安全管理措施的实施情况与有效性。定期检查各种安全管理措施的实施情况与有效性。2021-10-176l内部安全内部安全l对用户进行识别和认证，防止非授权用户访问系统；对用户进行识别和认证，防止非授权用户访问系统；l确保系统的可靠性，以避免软件的缺陷（确保系统的可靠性，以避免软件的缺陷（Bug）

4、成为系）成为系统的入侵点；统的入侵点；l对用户实施访问控制，拒绝其访问超出访问权限的资源；对用户实施访问控制，拒绝其访问超出访问权限的资源；l加密传输和存储的数据，防止重要信息被非法用户理解加密传输和存储的数据，防止重要信息被非法用户理解或修改；或修改；l对用户的行为进行实时监控和审计，检查其是否对系统对用户的行为进行实时监控和审计，检查其是否对系统有攻击行为，并对入侵的用户进行跟踪。有攻击行为，并对入侵的用户进行跟踪。l外部安全外部安全l加强系统的物理安全，防止其他用户直接访问系统；加强系统的物理安全，防止其他用户直接访问系统；l保证人事安全，加强安全教育，防止用户（特别是内部保证人事安全，

5、加强安全教育，防止用户（特别是内部用户）泄密。用户）泄密。 2021-10-177l解决问题：如何保护计算机系统内软件和数据不解决问题：如何保护计算机系统内软件和数据不被非法删改。被非法删改。l软件完整性软件完整性 l数据完整性数据完整性2021-10-178l解决问题：如何防止用户非法获取关键的敏感解决问题：如何防止用户非法获取关键的敏感信息，避免机密信息的泄露。信息，避免机密信息的泄露。l加密是保护数据的一种重要方法，也是保护加密是保护数据的一种重要方法，也是保护存储在系统中的数据的一种有效手段，人们存储在系统中的数据的一种有效手段，人们通常采用加密来保证数据的保密性。通常采用加密来保证数

6、据的保密性。2021-10-179l可用性是指无论何时，只要用户需要，系统和可用性是指无论何时，只要用户需要，系统和网络资源必须是可用的，尤其是当计算机及网网络资源必须是可用的，尤其是当计算机及网络系统遭到非法攻击时，它必须仍然能够为用络系统遭到非法攻击时，它必须仍然能够为用户提供正常的系统功能或服务。户提供正常的系统功能或服务。l为了保证系统和网络的可用性，必须解决网络为了保证系统和网络的可用性，必须解决网络和系统中存在的各种破坏可用性的问题。和系统中存在的各种破坏可用性的问题。2021-10-1710l创建安全的网络环境创建安全的网络环境l数据加密数据加密l调制解调器的安全调制解调器的安全

7、l灾难和意外计划灾难和意外计划l系统计划和管理系统计划和管理l使用防火墙技术使用防火墙技术2021-10-1711l网络安全脆弱点的几个方面网络安全脆弱点的几个方面l通信设备通信设备l网络传输介质网络传输介质l网络连接网络连接l网络操作系统网络操作系统l病毒攻击病毒攻击l物理安全物理安全2021-10-1712l防火墙防火墙l防火墙是在内部网与外部网之间实施安全防范的系统，防火墙是在内部网与外部网之间实施安全防范的系统，用于确定哪些内部资源允许外部访问，以及允许哪些用于确定哪些内部资源允许外部访问，以及允许哪些内部网用户访问哪些外部资源及服务；内部网用户访问哪些外部资源及服务；l防火墙的基本类

8、型有：防火墙的基本类型有：l包过滤型包过滤型l代理服务器型代理服务器型l堡垒主机堡垒主机 2021-10-1713l鉴别鉴别l报文鉴别报文鉴别l身份认证身份认证 l数字签名数字签名2021-10-1714l其他工具其他工具l访问控制访问控制l加加/解密技术解密技术l审计和入侵检测审计和入侵检测l安全扫描安全扫描2021-10-1715l作用：对访问系统及其数据的人进行识别，并检验其身作用：对访问系统及其数据的人进行识别，并检验其身份份用户是谁？该用户的身份是否真实？用户是谁？该用户的身份是否真实？ l基于口令的访问控制技术基于口令的访问控制技术l选用口令应遵循的原则选用口令应遵循的原则l增强口

9、令安全性措施增强口令安全性措施 l其他方法其他方法l选择性访问控制技术选择性访问控制技术 2021-10-1716l调制解调器安全调制解调器安全l通信介质的安全通信介质的安全l计算机与网络设备的物理安全计算机与网络设备的物理安全 2021-10-1717l使用防火墙可用于使用防火墙可用于“安全隔离安全隔离”，其实质就是限制什么数据可以，其实质就是限制什么数据可以“通通过过”防火墙进入到另一个网络防火墙进入到另一个网络l防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络进入到内部网络或者从内部到外部，其中包括的信息有电子邮件进入到内部

10、网络或者从内部到外部，其中包括的信息有电子邮件消息、文件传输、登录到系统以及类似的操作等。消息、文件传输、登录到系统以及类似的操作等。2021-10-1718l防火墙的优点防火墙的优点l允许网络管理员在网络中定义一个控制点，将内部网络与外部网络隔开；l审查和记录Internet使用情况的最佳点；l设置网络地址翻译器（NAT）的最佳位置；l作为向客户或其他外部伙伴发送信息的中心联系点；l防火墙的局限性防火墙的局限性l不能防范不经过防火墙产生的攻击；l不能防范由于内部用户不注意所造成的威胁；l不能防止受到病毒感染的软件或文件在网络上传输； l很难防止数据驱动式攻击；2021-10-17192021

11、-10-1720l防火墙的基本准则防火墙的基本准则l“拒绝一切未被允许的东西” l“允许一切未被特别拒绝的东西” l机构的安全策略机构的安全策略l必须以安全分析、风险评估和商业需要分析为基础； l防火墙的费用防火墙的费用l取决于它的复杂程度以及要保护的系统规模；2021-10-1721l包过滤路由器包过滤路由器 l可以决定对它所收到的每个数据包的取舍。可以决定对它所收到的每个数据包的取舍。l逐一审查每份数据包以及它是否与某个包过滤规则逐一审查每份数据包以及它是否与某个包过滤规则相匹配。相匹配。l过滤规则以过滤规则以IP数据包中的信息为基础：数据包中的信息为基础：lIP源地址、源地址、IP目的地

12、址、封装协议（目的地址、封装协议（TCP、UDP、ICMP等）、等）、TCP/UDP源端口、源端口、TCP/UDP目的目的端口、端口、ICMP报文类型、包输入接口和包输出接报文类型、包输入接口和包输出接口等。口等。l如果找到一个匹配，且规则允许该数据包通过，则如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。该数据包根据路由表中的信息向前转发。l如果找到一个匹配，且规则拒绝此数据包，则该数如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃据包将被舍弃 2021-10-17222021-10-1723l代理服务器代理服务器l代理服务器上安装有特殊用途的特别应用

13、程序，被称代理服务器上安装有特殊用途的特别应用程序，被称为代理服务或代理服务器程序。为代理服务或代理服务器程序。l使用代理服务后，各种服务不再直接通过防火墙转发，使用代理服务后，各种服务不再直接通过防火墙转发，对应用数据的转发取决于代理服务器的配置：对应用数据的转发取决于代理服务器的配置：l只支持一个应用程序的特定功能，同时拒绝所有其只支持一个应用程序的特定功能，同时拒绝所有其他功能；他功能；l支持所有的功能，比如同时支持支持所有的功能，比如同时支持WWW、FTP、Telnet、SMTP和和DNS等。等。 2021-10-17242021-10-1725l包过滤路由器允许信息包在外部系统与内部

14、系统之间的直包过滤路由器允许信息包在外部系统与内部系统之间的直接流动。代理服务器允许信息在系统之间流动，但不允许接流动。代理服务器允许信息在系统之间流动，但不允许直接交换信息包。直接交换信息包。l堡垒主机是堡垒主机是Internet上的主机能够连接到的、唯一的内部上的主机能够连接到的、唯一的内部网络上的系统，它对外而言，屏蔽了内部网络的主机系统，网络上的系统，它对外而言，屏蔽了内部网络的主机系统，所以任何外部的系统试图访问内部的系统或服务时，都必所以任何外部的系统试图访问内部的系统或服务时，都必须连接到堡垒主机上。须连接到堡垒主机上。l堡垒主机的特点：堡垒主机的特点：l堡垒主机的硬件平台上运行的是一个比较堡垒主机的硬件平台上运行的是一个比较“安全安全”的的操作系统，以防止操作系统受损，同时也确保了防火操作系统，以防止操作系统受损，同时也确保了防火墙的完整性。墙的完整性。l只有必要的服务才安装在堡垒主机内，如只有必要的服务才安装在堡垒主机内，如Telnet、DNS、FTP、SMTP和用户认证等。和用户认证等。2021-10-17262021-10-1727l特洛伊木马；特洛伊木马；l拒绝服务（拒绝服务（DoS） ；l邮件炸弹；邮件炸弹；l