网络管理员培训网络安全

网络管理员培训网络安全第一页，共三十三页，2022年，8月28日网络安全

计算机网络的迅猛发展，网络安全已成为网络发展中一个重要课题。由于网络传播信息快捷，隐蔽性强，在网络上难以识别用户的真实身份，网络犯罪、黑客攻击、有害信息传播等方面的问题日趋严重。网络安全的产生和发展，标志着传统的通信保密时代过渡到了信息安全时代。第二页，共三十三页，2022年，8月28日一、网络安全的基本概念

1、网络安全的基本要素

机密性：确保信息不暴露给未授权的实体或进程。

完整性：只有得到允许的人才能修改数据，且能判断出数据是否被篡改。

可用性：得到授权的实体在需要是可访问数据。

可控性：可控制授权范围内的信息流向及行为方式。

可审查性：对出现的网络安全问题提供调查的依据和手段。第三页，共三十三页，2022年，8月28日

２、网络安全威胁非授权访问信息泄露和丢失破坏数据的完整性拒绝服务攻击(DoS)利用网络传播病毒第四页，共三十三页，2022年，8月28日

3、网络安全控制技术

防火墙技术机密技术用户识别技术访问控制技术网络反病毒技术漏洞扫描技术入侵检测技术

第五页，共三十三页，2022年，8月28日二、可信计算机系统评估标准

产生问题：我们所建立的、管理的、使用的网络系统和信息系统是否是安全的？怎么样来评估系统的安全性？

第六页，共三十三页，2022年，8月28日

1、计算机系统安全评估准则综述

1983年，美国国家计算机安全中心（NCSC）公布了可信计算机系统评估准则（TCSEC，俗称桔皮书）

90年代西欧四国（英、法、德、荷）联合提出了信息技术安全评估标准（ITSEC，又称欧洲白皮书）

1993年，加拿大发布了“加拿大可信计算机产品评估准则”（CTCPEC）1993年同期，美国发布了“信息技术安全评估联邦准则”（FC）

1996年，6国7方提出了“信息技术安全评价通用准则”（CC）

1995年5月，ISO/IEC通过了将CC作为国际标准ISO/IEC15408信息技术安全评估准则的最后文本第七页，共三十三页，2022年，8月28日

2、可信计算机安全评估准则（TCSEC）TCSEC将计算机系统的安全等级、7个级别

D类安全等级：包括D1一个级别

C类安全等级：划分为C1和C2两类B类安全等级：分为B1、B2、B3三类A类安全等级：只包含A1一个级别D1、C1、C2、B1、B2、B3、A1安全级别低高第八页，共三十三页，2022年，8月28日3、我国计算机信息系统安全保护等级划分准则1999年2月9日,成立了“中国国家信息安全评测认证中心”2001年1月1日,执行《计算机信息系统安全保护等级划分准则》本准则规定了5个安全等级：第一级：对应于TCSEC的C1级第二级：对应于TCSEC的C2级第三级：对应于TCSEC的B1级第四级：对应于TCSEC的B2级第五级：对应于TCSEC的B3级第九页，共三十三页，2022年，8月28日三、防火墙1、防火墙的定义简单的说，防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合防火墙对不同网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。功能：

对进出的数据包进行过滤，滤掉不安全的服务和非法用户监视因特网安全，对网络攻击行为进行检测和警报记录通过防火墙的信息内容和活动控制对特殊站点的访问，封堵某些禁止的访问行为第十页，共三十三页，2022年，8月28日2、防火墙的相关概念非信任网络信任网络

DMZ

可信主机非可信主机公网IP地址保留IP地址包过滤地址转换第十一页，共三十三页，2022年，8月28日3、防火墙的基本分类及实现原理包过滤防火墙（静态包过滤防火墙）应用层网关防火墙（代理防火墙）状态检测防火墙（动态包过滤防火墙）

第十二页，共三十三页，2022年，8月28日静态包过滤防火墙这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。

第十三页，共三十三页，2022年，8月28日应用层网关防火墙（代理防火墙）代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。第十四页，共三十三页，2022年，8月28日状态检测防火墙（动态包过滤防火墙）这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（StatefulInspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或删减。第十五页，共三十三页，2022年，8月28日四、入侵检测系统（IDS）

传统的网络安全系统一般采用防火墙作为安全的第一道防线。但是攻击者的技术手段越来越高明，单纯的防火墙策略已无法满足对安全高度敏感的部门的需要。与此，网络环境越来越复杂，各种设备需要不断的升级、补漏，这使得网络管理员的工作不断加重，稍有疏忽可能造成安全隐患。在这种情况下，入侵检测系统成为了安全市场上新的热点。它是一种主动保护自己免受攻击的网络安全技术，作为防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。第十六页，共三十三页，2022年，8月28日1、入侵检测系统的功能监测并分析用户和系统的活动；检查系统配置的漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日常管理，并识别违反安全策略的用户活动。第十七页，共三十三页，2022年，8月28日2、入侵检测系统的分类可分为主机型和网络型。实际使用时，也可将二者结合使用。主机型IDS以系统日志、应用程序日志等作为数据源，也可通过其他手段（如监督系统调用）从所在主机收集信息并进行分析。

优点：系统的内在结构没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。

缺点：必须为不同的系统开发不同的程序，增加了系统的负荷。网络型IDS的数据源则是网上的数据包。

优点：简便，一个网段上只需安装一个或几个系统，便可以监测整个网段的情况。使用单独的计算机做这种应用，不会增加主机的负载。

缺点：由于现在的网络结构日益复杂，以及高速网络的普及，这种结构显示出其局限性。

第十八页，共三十三页，2022年，8月28日3、入侵检测系统的基本原理（1）信息收集入侵检测的基础是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。入侵检测很大程度上依赖于收集信息的可靠性和正确性。信息来源：系统和日志文件目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息

第十九页，共三十三页，2022年，8月28日（2）信号分析入侵检测的核心是信号分析，针对收集到的信息，采用三种技术手段进行分析：模式匹配，统计分析，和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。完整性分析：主要关注某个文件或对象是否被更改，利用强有力的加密机制，称为消息摘要函数，能识别微小的变化。第二十页，共三十三页，2022年，8月28日五、漏洞扫描网络系统的安全性取决于网络系统中最薄弱的环节。系统设置的不断更改，Hacker的技术的不断提高，网络系统的安全性是一个动态的过程。最有效的方式就是定期对网络系统进行安全性分析，及时发现并查找漏洞并进行修改。漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描系统，系统管理员能够发现所维护的WEB服务器的各种TCP端口的分配、提供的服务、WEB服务软件版本和这些服务及软件呈现在因特网上的安全漏洞。漏洞扫描技术是检测远程或本地系统安全脆弱性的一种安全技术。第二十一页，共三十三页，2022年，8月28日漏洞扫描系统的基本原理当用户通过控制平台发出了扫描命令之后，控制平台即向扫描模块发出相应的扫描请求，扫描模块在接到请求之后立即启动相应的子功能模块，对被扫描的主机进行扫描。通过对从被扫描主机返回的信息进行分析判断，扫描模块将扫描结果返回到控制平台，再由控制平台最终呈现给用户。网络漏洞扫描系统通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的回答。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与漏洞扫描系统提供的漏洞库进行匹配，如满足匹配条件，则视为漏洞存在。此外，通过模拟黑客攻击的方法，如模拟攻击成功则视为漏洞存在。第二十二页，共三十三页，2022年，8月28日六、网络防病毒系统（一）网络病毒简介

因特网的开放性为计算机病毒广泛传播提供了有利的环境，而因特网本身存在的漏洞也为培育新一代病毒提供了良好的条件。ActiveX技术和Java技术的应用，也让病毒制造者也有可乘之机，他们利用这种技术，把病毒渗透到计算机中，这就是近两年兴起的第二代病毒，既所谓的“网络病毒”。第二十三页，共三十三页，2022年，8月28日网络病毒相对于传统的计算机病毒，其特点和危害性主要表现在以下方面：破坏性强。直接影响网络工作，轻则降低速度，影响工作效率，重则使网络瘫痪。传播性强。普遍具有较强的再生机制，一接触就可通过网络扩散与传染。具有潜伏性和可激发性。针对性更强。扩散面广。传播速度快。难以彻底清除。网络大都采用C/S模式，这就需要从服务器和客户机两个方面采取防病毒措施。第二十四页，共三十三页，2022年，8月28日（二）基于网络的防病毒系统

1、网络病毒防护策略防毒一定要实现全方位、多层次防毒。网关防毒是整体防毒的首要防线。没有管理系统的防毒是无效的放毒系统。服务是整体防毒系统中极为重要的一环。

第二十五页，共三十三页，2022年，8月28日2、网络防病毒系统的组织形式系统中心的统一管理。远程安装升级。一般客户端的防毒。防病毒过滤网关。硬件防病毒网关。特点：高稳定性；操作简单、管理方便；接入方式简单易行；免维护；容错与集群。

第二十六页，共三十三页，2022年，8月28日新一代网络技术一、IPv6 为了消除IPv4面临的危机，IETF于1992年开始开发IPv6。IPv6继承了IPv4的优点，并根据IPv4十几年来的运用经验进行了大幅修改和功能扩充，其处理性能更加强大、高效。1、地址

IPv4与IPv6地址之间最明显的差别在于长度：IPv4地址长度为32位，而IPv6地址长度为128位。IPv4地址可以被分为2至3个不同部分(网络标识符、节点标识符，有时还有子网标识符)，IPv6地址中拥有更大的地址空间，可以支持更多的字段。

第二十七页，共三十三页，2022年，8月28日

1.1地址表达方式

IPv4地址一般以4部分间点分的方法来表示，即4个数字用点分隔。例如，下面是一些合法的IPv4地址，都用十进制整数表示：10.5.3.1。IPv6地址长度4倍于IPv4地址，表达起来的复杂程度也是IPv4地址的4倍。IPv6地址的基本表达方式是X:X:X:X:X:X:X:X，其中X是一个4位十六进制整数(16位)。每一个数字包含4位，每个整数包含4个数字，每个地址包括8个整数，共计128位(4×4×8=128)。例如，下面是一些合法的IPv6地址：

CDCD:910A:2222:5498:8475:1111:3900:2020

1030:0:0:0:C9B4:FF12:48AA:1A2B

2000:0:0:0:0:0:0:1

第二十八页，共三十三页，2022年，8月28日

某些IPv6地址中可能包含一长串的0(就像上面的第二和第三个例子一样)。当出现这种情况时，标准中允许用“空隙”来表示这一长串的0。换句话说，地址

2000:0:0:0:0:0:0:1

可以被表示为：

2000::1

两个冒号表示该地址可以扩展到一个完整的128位地址。在这种方法中，只有当16位组全部为0时才会被两个冒号取代，且两个冒号在地址中只能出现一次。

第二十九页，共三十三页，2022年，8月28日在IPv4和IPv6的混合环境中可能有第三种方法。IPv6地址中的最低32位可以用于表示IPv4地址，该地址可以按照一种混合方式表达，即，其中X表示一个16位整数，而