《局域网组建与维护》项目十维护局域网安全课件

1、局域网组建与维护（局域网维护篇）2维护局域网安全项目十了解网络安全和防火墙相关概念。掌握配置Windows系统安全策略的方法。了解防范计算机病毒的基本方法。3为了保障用户的数据和软硬件安全，必须在局域网中采取一些维护安全的措施。”本项目将介绍维护局域网安全的基本方法。01认识网络安全4目录CONTENTS一网络安全概述二局域网安全基础防护任务一 认识网络安全一、网络安全概述1概念5网络安全（Network Security）指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。在网络中的计算机主要面临被动攻击和主动攻击两种安全威胁。其中，被动攻击指攻击者在

2、不干扰信息流的情况下从网络上截获并分析用户的通信内容；主动攻击指攻击者通过对数据的中断、篡改和伪造等方式更改信息和拒绝用户使用资源。任务一 认识网络安全一、网络安全概述2目标61423保密性保密性指网络中通信双方的通信数据无法被第三者破译，这一般通过加密算法实现。端点鉴别端点鉴别指网络在两台主机之间建立通信并为其传输信息时必须能够确认双方的真实身份。运行安全性运行安全性指计算机网络运行的安全性。信息完整性信息完整性指接收方必须收到完整的（未被篡改过）的信息。任务一 认识网络安全二、局域网安全基础防护1网络设备防护7路由器的安全配置路由器的安全隐患大体可分为两类，一类是黑客直接侵入路由器获得访问

3、和修改IOS的权限，另一类是黑客远程攻击路由器使其崩溃或运行效率显著下降。为此，必须对路由器进行一系列安全配置，包括及时更新路由器的IOS版本、加密路由器的所有管理方式、启用强口令、关闭不必要的服务等。交换机的安全配置虽然二层交换机上可进行的安全配置远不及三层设备，但仍可通过配置交换机实现网络流量控制、避免网络堵塞、防止广播风暴等功能，具体配置方法包括使用网管型二层交换机、及时更新交换机的IOS、备份交换机的配置文件、禁用未使用的端口和划分VLAN等。指能避开系统安全性控制或检查，获得对系统的访问权的程序；也称安全缺陷，指操作系统在逻辑设计上的缺陷或在编写时产生的错误，这些漏洞容易被入侵者利用

4、；指简单的、易被猜测或易被破解的口令；任务一 认识网络安全二、局域网安全基础防护2网络操作系统防护8网络操作系统虽然功能强大，但也存在一些安全隐患，包括弱口令、系统漏洞、后门程序、安全策略等。指操作系统在特定区域中规定的一套必须遵守的规则。弱口令系统漏洞后门程序安全策略针对上述安全隐患，可对网络操作系统进行设置和管理账户及账户组、设置NTFS磁盘权限、设置审核策略、清除默认共享、禁用进程间通信连接、关闭多余端口和杜绝非法应用程序访问等安全配置。任务一 认识网络安全任务实施为万事通公司服务器配置账户安全策略9现以配置万事通公司服务器中的Guest账户和Administrator账户为例，介绍配置

5、网络操作系统账户安全策略的基本方法。一、禁用Guest账户二、修改Administrator账户具体操作步骤请扫描右侧二维码。10通过为系统配置安全策略可在一定程度上维护局域网安全，但仅靠这些是远远不够的，还必须采取一些专门的网络安全防护技术，即防火墙技术。02认识防火墙11目录CONTENTS一防火墙概述二防火墙的工作原理任务二 认识防火墙一、防火墙概述1概念12防火墙原指汽车中用于把乘客和引擎隔开的部件，一旦汽车引擎失火，防火墙可以保证乘客的安全，计算机网络引用了这一术语。防火墙（Firewall）技术是一种访问控制技术，它可以严格控制局域网边界的数据传输，禁止任何不必要的通信，从而减少潜

6、在入侵的发生，尽可能地降低网络的安全风险。任务二 认识防火墙一、防火墙概述2分类13可看作是一种经过特殊编程的路由器，有制定网络中数据的访问控制策略的功能。防火墙一般安装在局域网与Internet的边界处，用来控制和过滤进出局域网的数据的控制和过滤。硬件防火墙有多种形式，有的以独立网络设备的形式存在于局域网中，有的作为功能模块集成在路由器或三层交换机上。硬件防火墙可以为整个网络部署安全策略，安全性较高，但价格较贵。（1）硬件防火墙任务二 认识防火墙一、防火墙概述2分类14也称为个人防火墙，它是指通过软件方式实现防火墙功能的程序，一般安装在主机的操作系统上。例如，Windows操作系统就自带了防

7、火墙软件。软件防火墙只针对个人的客户机制定安全策略，安全性远不如硬件防火墙，但成本较低。（2）软件防火墙任务二 认识防火墙二、防火墙的工作原理15软件防火墙可模拟硬件防火墙的功能，但二者的工作原理并不相同。以硬件防火墙为例，其安全防护功能主要由分组过滤路由器和代理服务器两种硬件完成。任务二 认识防火墙二、防火墙的工作原理16分组过滤路由器根据内置的数据访问控制策略对进出局域网的分组执行转发或者丢弃（即过滤），过滤规则基于分组的网络层或传输层首部的信息（如源/目的IP地址、源/目的端口和协议类型等）。分组过滤路由器具有简单、高效和透明等优点，但无法过滤高层的数据。（1）分组过滤路由器代理服务器可

8、以实现对高层（如应用层）报文的访问控制。当某应用客户进程向服务器发送请求报文时，会先发送给代理服务器，代理服务器在应用层打开该报文，查看该请求是否合法。如果请求合法，代理服务器就以客户进程的身份将请求报文转发给目的服务器；如果不合法，服务器就丢弃此报文。所有进出局域网的应用程序报文都必须通过防火墙的代理服务器。（2）代理服务器任务二 认识防火墙任务实施为万事通公司服务器配置端口安全策略17Windows操作系统的软件防火墙可以自定义安全策略，用户可以根据具体需要为计算机的程序或端口建立访问规则。现以禁用万事通公司企业网服务器的Telnet服务为例，介绍在Windows软件防火墙中配置端口安全策

9、略的方法。具体操作步骤请扫描右侧二维码。18计算机病毒由黑客恶意投放以窃取、篡改或破坏主机中的数据，对计算机网络的危害极大。防范计算机病毒是维护局域网安全的重要环节。完成本任务须了解防范计算机病毒的基本方法。03防范计算机病毒19目录CONTENTS一计算机病毒概述二计算机病毒的防治任务三 防范计算机病毒一、计算机病毒概述1概念20计算机病毒（Computer Virus）从狭义上讲是一种会“传染”给其他程序的恶意程序。“传染”指计算机病毒利用网络进行传播，并通过修改其他程序将自身或其变种复制到其他计算机中的过程。一种自动启动运行的恶意程序，它可通过网络的通信功能将自身从一个结点复制到另一个结

10、点。是一种通过显性的合法功能麻痹用户，掩盖其程序中隐性的非法功能的恶意程序。一种潜伏性的恶意程序，它如同一枚“定时炸弹”，平时并无害处，但当运行环境满足某种特定条件时，就执行一些特殊功能，对主机或网络造成破坏。黑客利用系统漏洞入侵系统，如同一个盗贼利用户主忘记锁门而入室盗窃一样。未经用户允许就安装运行在计算机上并损害用户利益的恶意程序，其典型特征是强制安装、捆绑安装、广告弹窗、浏览器主页劫持、占用大量内存、恶意收集用户信息、难以卸载或恶意卸载等。计算机蠕虫特洛伊木马（简称木马）逻辑炸弹后门入侵流氓软件任务三 防范计算机病毒一、计算机病毒概述2入侵途径21计算机病毒（以下可简称病毒）的入侵途径有

11、很多，大致可归纳为伪装欺骗入侵、利用操作系统漏洞入侵或二者的结合。病毒入侵的具体途径有直接点击激活、伪装成正常文件后诱导激活、和正常文件捆绑激活、浏览隐藏在邮件附件中的病毒时激活、利用操作系统autorun功能激活、利用TCP/IP端口漏洞激活、利用操作系统内存溢出激活等。22”小故事2017年，一种名为“WannaCry”的勒索型蠕虫病毒利用美国国家安全局泄露的445端口漏洞“永恒之蓝”迅速传播，短时间内攻击并感染了100多个国家的超过10万台计算机，造成了一场全球性的互联网灾难。据统计，事故共造成至少150个国家、30万名用户的计算机感染病毒，造成经济损失达80亿美元，并严重影响到金融、能

12、源、教育和医疗等众多行业。任务三 防范计算机病毒二、计算机病毒的防治1预防计算机病毒23防患于未然不使用来历不明的程序或软件。对于重要的数据信息要及时备份，以免因计算机感染病毒造成损失。养成良好的电脑使用习惯，定期优化，整理磁盘。保持系统软件防火墙为开启状态，防止网络上的病毒入侵，及时下载并更新操作系统补丁。在使用移动存储设备之前应先杀毒，确保安全再使用。安装最新的杀毒软件，实时监控系统状态，定期升级病毒库，养成定期进行全面杀毒的习惯。任务三 防范计算机病毒二、计算机病毒的防治2检测计算机病毒24计算机病毒具有隐蔽性、潜伏性和寄生性等特征，一般在其激活前无任何异常，激活后常作为后台程序运行，很

13、难被发现。目前检测计算机病毒的常用方法如下：（1）特征代码法特征代码法是检测已知病毒的最简单、开销最小的方法，基本原理是采集已知病毒样本到病毒数据库中。用特征代码法检测某文件是否感染病毒，实质上是检测此文件中是否含有病毒数据库中的病毒特征代码。优点：识别率高、误报警率低、所检测到的病毒均可杀灭。缺点：速度慢、无法检测多形态病毒、无法识别未知病毒和隐蔽型病毒等。（2）校验和法原理：校验和法指计算并保存正常文件内容的校验和，在使用文件时定期检查文件现在内容算出的校验和与原校验和是否一致，若一致则证明文件未感染病毒。优点：简单快速、可检测未知病毒和多形态病毒等缺点：误报警率较高、无法识别病毒名称和隐

14、蔽性病毒等。任务三 防范计算机病毒二、计算机病毒的防治2检测计算机病毒25（3）行为监测法原理：行为监测法指利用病毒的特有行为特征来监测病毒的方法。科研人员通过对病毒多年的观察和研究，发现病毒有一些比较特殊的共同行为。通过在系统中监视此行为即可检测系统是否存在病毒。优点：高效、可发现未知病毒等。缺点：误报警率较高、无法识别病毒名称和实现困难等。（4）软件模拟法原理：在某病毒造成系统异常但系统无法辨别此病毒时，可通过软件模拟法对病毒加以辨别：先运行一些已知正常的程序，再运行可疑程序，计算并比较正常程序前后的校验和，若校验和不同则证明可疑程序有问题。任务三 防范计算机病毒二、计算机病毒的防治3杀毒软件26杀毒软件也称反病毒软件或防毒软件，是用于消除电脑病毒的一类软件，也是计算机防御系统的重要组成部分，通常集成了监控识别、病毒扫描和清除、自动升级、主动防御等功能，有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能。任务三 防范计算机病毒任务实施为计算机安装杀毒软件并查杀病毒27步骤1 打开浏览器，访问，在打开的界面中单击“立即下载”按钮任务三 防范计算机病毒任务实施为计算机安装杀毒软件并查杀病毒28步骤2 双击下载完成的安装包，在弹出的“电脑管家”安装界面右下方选择安装路径后单击“一键安装”按钮。