网络信息安全_第四次课

1、第三章 计算机网络实体安全计算机网络实体安全l本章要点u网络机房及环境安全u网络实体的自然与人为灾害的防护u系统存储介质的保护u路由器的安全与配置u交换机的安全与配置第一节 计算机网络机房设施及环境安全计算机网络机房设施及环境安全（一）机房的安全保护（一）机房的安全保护按计算机系统的安全要求，计算机机房的安全可分为按计算机系统的安全要求，计算机机房的安全可分为A A级、级、B B级和级和C C级级三个基本级别三个基本级别:lA A级机房级机房的安全有严格的要求，有完善的机房安全措施，有最高的安全性和可靠性等。A级机房对场地选择、防火、防电磁泄漏、内部装修、供配电系统、空调系统、火灾报警和消防设

2、施、防水、防静电、防雷击、防鼠害等均有要求。lB B级机房级机房的安全有较严格的要求，有较完善的机房安全措施。lC C级机房级机房的安全有基本的要求，有基本的机房安全措施。C级要求机房确保系统一般运行时的最低安全性和可靠性。C级机房仅对防火、供配电系统、空调系统、火灾报警和消防设施有基本的要求。1机房场地的安全机房场地的安全 2机房装饰装修机房装饰装修3机房的出入管理机房的出入管理4机房的内部管理与维护机房的内部管理与维护5机房的环境设备监控机房的环境设备监控（二）机房的温度、湿度和洁净度（二）机房的温度、湿度和洁净度1温度温度 ：1035摄氏度摄氏度2湿度：湿度：30%80%3洁净度：洁净度

3、：灰尘直径小于灰尘直径小于0.5m，每升少于，每升少于1万粒万粒（三）机房的空调系统与电源保护（三）机房的空调系统与电源保护空调：空调：风冷风冷 水冷水冷电源：电源：1隔离和自动稳压隔离和自动稳压2稳压稳频器稳压稳频器3不间断电源（不间断电源（UPS）（四）机房的防火与防水（四）机房的防火与防水1机房的防火机房的防火(1) 建筑物防火建筑物防火(2) 设置火灾报警系统及灭火装置设置火灾报警系统及灭火装置(3) 加强防火安全管理加强防火安全管理2机房的防水机房的防水（五）机房的电磁干扰防护（五）机房的电磁干扰防护电磁干扰主要来自计算机系统外部和自身。电磁干扰主要来自计算机系统外部和自身。 通常可

4、采取以下措施来防止和减少电磁干扰的影响：l机房选择在远离电磁干扰源的地方，如离无线电广播发射塔、雷达站、工业电气设备、高压电力线和变电站等设施较远的地方。l建造机房时采用接地和屏蔽措施。良好的接地可防止外界电磁场干扰和设备间寄生电容的耦合干扰；良好的屏蔽（电屏蔽、磁屏蔽和电磁屏蔽）可减少外界的电磁干扰。（六）机房的雷电保护与接地系统（六）机房的雷电保护与接地系统1机房的接地系统机房的接地系统(1) 交流工作地交流工作地(2) 直流工作地直流工作地(3) 安全保护地安全保护地(4) 防雷保护地防雷保护地l2.机房的雷电保护机房的雷电保护(1) 外部无源保护外部无源保护(2) 内部保护内部保护l电

5、源部分保护电源部分保护 l信号部分保护信号部分保护 l内部接地处理内部接地处理 （七）机房的静电防护（七）机房的静电防护1静电产生的特点及危害静电产生的特点及危害(1) 静电的故障特点静电的故障特点(2) 静电的危害静电的危害2静电的防护静电的防护l机房建设时，在机房地面铺设防静电地板。l工作人员在工作时穿戴防静电衣服和鞋帽。l工作人员在拆装和检修机器时应在手腕上戴防静电手环（该手环可通过柔软的接地导线放电）。l保持机房内相应的温度和湿度等。（八）机房的电磁辐射保护（八）机房的电磁辐射保护1电磁辐射的形成与危害电磁辐射的形成与危害2电磁辐射的保护措施电磁辐射的保护措施具体对电磁辐射的保护可按以

6、下层次进行：具体对电磁辐射的保护可按以下层次进行：l设备保护设备保护 l建筑保护 l区域保护 l通信线路保护 lTEMPEST技术防护 第二节 计算机网络设备的安全保护计算机网络设备的安全保护 l路由器与交换机（一）路由器（一）路由器1、基本概念、基本概念l路由：路由：是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。l路由器：路由器：是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择（routing），这也是路由器名称的由来（router，转发者）。作为不同网络之间互相连接的枢纽，路由器系统构成了基于

7、TCP/IP 的国际互联网络 Internet 的主体脉络，路由器构成了 Internet 的骨架。2、路由器的安全配置、路由器的安全配置 （1）路由器的自身安全）路由器的自身安全l用户口令安全用户口令安全 使用service password encryption修改密码形式，将明文密码修改为密文密码。l配置登录安全配置登录安全 路由器配置方式：控制口、路由器配置方式：控制口、Telnet和和SNMP 使用#access list 20 permit host 192.168.151.1限制登录路由器的IP； 使用#arp 192.168.151.1 *.*.* arpa将IP地址与MAC地

8、址绑定。（2）路由器访问控制的安全策略）路由器访问控制的安全策略l控制合法路由器管理员数量，要有完备的路由器维控制合法路由器管理员数量，要有完备的路由器维护使用日志；护使用日志；l不要远程访问路由器；不要远程访问路由器；l维护网际操作系统；维护网际操作系统；l备份路由器配置文件；备份路由器配置文件；l配备路由器备用电源；配备路由器备用电源；l为特权模式设置强壮密码；为特权模式设置强壮密码；l控制控制CON（CONSOLE）端口访问；）端口访问；l3路由协议的安全配置路由协议的安全配置 (1) RIP路由协议验证 (2) OSPF路由协议验证 (3) EIGRP路由协议的验证 (4) 简单网管协

9、议SNMP的安全 4路由器的网络安全配置路由器的网络安全配置 (1) 物理结构的布局物理结构的布局 (2) 路由器的简单防火墙功能路由器的简单防火墙功能（二）交换机的安全与配置实践交换机的安全与配置实践 1交换机安全交换机安全(1) 安全交换机三层含义安全交换机三层含义 数据转发数据转发 区分用户区分用户 网络监控网络监控(2) 安全交换机的新功能安全交换机的新功能 1） 802.1x安全认证安全认证 2）流量控制）流量控制 3）防范）防范DDoS攻击攻击 4）虚拟局域网）虚拟局域网VLAN 5）基于）基于ACL的防火墙功能的防火墙功能 6）IDS功能功能人有了知识，就会具备各种分析能力，明辨是非的能力