网络设备典型故障分析与排查网络设备维护常用网络故障诊断与维护工具KC09141605o11

广西大学邵洪涛2010年3月第七章常用网络故障诊断与维护工具学习内容：网络安全问题安全体系结构安全防范体系及设计原则计算机病毒的防治网络攻击与防护防火墙与网络边缘

安全学习目标：了解：网络安全体系的结构理解：安全防范体系机器设计原则掌握：计算机病毒的防治内网安全防护策略防火墙的技术发展7.1网络安全问题7.1.1网络安全问题的产生网络安全信息安全：信息的完整性、可用性、

保密性和可靠性。控制安全：身份认证、不可否认性、授权和访问控制互联网与生俱来的特性开放性交互性分散性7.1网络安全问题7.1.2网络安全成为人类共同面临的挑战在不到一代人的时间里，信息革命以及计算机进入了社会的每一领域，这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式，然而，这种美好的、新的时代也带有它自身的风险。所有计算机驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果，这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹，现在他们可以把手提电脑变成有效武器，可以造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处，继续使国家安全和经济繁荣得到保障，就必须保护计算机控制系统，使它们免受攻击。

克林顿《保护信息系统国家计划》7.1网络安全问题7.1.3我国网络安全问题日益突出计算机系统遭受病毒感染和破坏的情况相当严重电脑黑客活动已形成重要威胁信息基础设施面临网络安全的挑战网络政治颠覆活动频繁我国网络安全问题

日益突出的主要标志7.1网络安全问题7.1.4制约我国提高网络安全方法能力的因素1.缺乏自主的计算机网络和软件核心技术2.安全意识淡薄是网络安全的瓶颈3.运行管理机制的缺陷和不足制约了安全防范的力度4.缺乏制度化的防范机制1)网络安全管理方面人才匮乏2)安全措施不到位3)缺乏综合性的解决方案7.2安全体系结构7.2.1网络安全的需求和挑战1)应对各类情况，保证系统稳定运行2)确保意外情况下系统的安全恢复3)保证重要信息的秘密内容不被泄露管理角度技术管理角度1)做好冗余、备份的规划和管理工作2)合理规划信息系统管理和使用的各种角色3)管理系统中的权限4)保证信息存储的安全5)保证信息传输的安全6)系统管理和使用活动保存与查询7.2安全体系结构7.2.2安全体系结构身份鉴别访问控制数据保密数据完整性不可抵赖防病毒审计管理可用性物理环境基础平台业务系统安全管理身份认证

子系统加密

子系统安全防御与

响应子系统安全备份与

恢复子系统监控

子系统授权管理

子系统安全子系统系统单元安全特性安全体系结构7.2安全体系结构7.2.3安全体系结构的设计与实现物理层安全设计1.环境安全2.设备安全3.线路安全基础平台安全设计1.平台自身软件的安全考虑1.平台层的病毒问题平台层网络设计的重要安全环节1.网络隔离设计2.防火墙与DMZ(非军事区)的应用和设置3.入侵检测的应用和设置4.基础平台层的管理与安全5.基础平台层的安全审计应用层安全设计管理层面安全设计CA认证措施安全管理制度7.2安全体系结构7.2.4总结一个成功的信息网络系统必须面对以上这些方面进行统一考虑处理。忽视了其中某些方面，对于普通网络将造成损失，而对于特殊行业网络，将导致灾难性的后果。7.3安全防范体系及设计原则7.3.1OSI安全体系标准OpenSystemInterconnectReferenceModel(OSI)开放式系统互联参考模型网络安全(NetworkSecurity)安全攻击(SecurityAttack)安全机制(SecurityMechanism)安全服务(SecurityService)是指损害机构所拥有信息的安全的任何行为；是指设计用于检测、预防安全攻击或者恢复系统的机制；是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供，一种安全机制可用于提供一种或多种安全服务。安全攻击、安全机制、安全服务之间的关系释放消息内容流星分析伪装重放更改消息拒绝服务安全服务加密数字签名访问控制数据完整性认证交换流星填充路由控制公证对等实体认证数据源认证访问控制机密性流星机密性数据完整性非否认服务可用性安全攻击安全机制7.3安全防范体系及设计原则7.3.1OSI安全体系标准1.安全服务对象认证安全服务访问控制安全服务数据保密性安全服务数据完整性安全服务防抵赖性安全服务2.安全机制加密机制数字签名访问控制机制数据完整性机制认证交换机制防业务流量分析机制路由控制机制公证机制3.安全管理是对安全服务和安全机制进行管理，把管理信息分配到有关的安全服务和安全机制中去，并收集与它们的操作有关的信息。7.3安全防范体系及设计原则7.3.2安全防范体系应用层传输层网络层链路层物理层对象实体认证数据源认证访问控制机密性流量机密性数据完整性非否认服务可用性安全服务通信平台网络平台系统平台应用平台物理环境协议层次系统单元DISSP安全框架7.3安全防范体系及设计原则7.3.3网络安全防范体系层次安全管理网络层安全系统层安全应用层安全物理层安全1.物理环境的安全性(物理层安全)2.操作系统的安全性(系统层安全)3.网络的安全性(网络层安全)4.应用的安全性(应用层安全)5.管理的安全性(管理层安全)7.3安全防范体系及设计原则7.3.4网络安全防范体系设计原则网络信息安全木板原则网络信息安全整体性原则安全性评价与平衡原则标准化与一致性原则技术与管理相结合原则统筹规划，分布实施原则等级性原则动态发展原则易操作性原则网络

安全

防范

体系

设计

原则7.4计算机病毒的防治7.4.1病毒的定义病毒(Virus)：不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制或者在计算机程序中插入的破坏计算机功能或数据、影响计算机使用并能够自我复制的一组计算机指令或程序代码。7.4计算机病毒的防治7.4.2病毒的特征病毒的特征传染性隐蔽性破坏性可激发性潜伏性7.4计算机病毒的防治7.4.3病毒的分类1.根据计算机病毒攻击的系统分类

DOS病毒/WINDOWS病毒/

UNIX病毒/OS/2病毒/

LINUX病毒2.按照计算机病毒的链结方式分类 源码型病毒/嵌入型病毒 外壳型病毒 操作系统型病毒3.按照计算机病毒的破坏情况分类 良性病毒/

恶性病毒4.按照计算机病毒的寄生部位或传染对象分类 磁盘引导区病毒 操作系统病毒 可执行程序病毒5.按照计算机病毒激活时间分类6.按传播媒介分类

单机病毒/网络病毒7.4计算机病毒的防治7.4.4防治1.病毒预防技术2.病毒检测技术3.病毒消除技术4.病毒免疫技术5.加强计算机网络管理7.5网络攻击与防护7.5.1攻击技术分类探测攻击隐藏踩点扫描查点日志清理安装后门内核套件窃听欺骗拒绝服务数据驱动攻击获取口令恶意代码网络欺骗导致异常型资源耗尽型欺骗型键击记录网络监听非法访问数据攫取密码文件缓冲区溢出格式化字符串攻击输入验证攻击同步漏洞攻击信任漏洞攻击攻击者傀儡主机傀儡主机傀儡主机攻击目标Flood攻击DDoS守护进程…

攻击指令DDoS攻击原理与病毒技术结合的攻击1993…1996…199819992000200019991998…1995…19872004黑客攻击技术病毒技术融合新一代恶意代码(蠕虫、木马)嗅探IP欺骗劫持攻击自动扫描攻击拒绝服务攻击高级扫描工具Windows木马攻击Melissa分布式拒绝服务分布式攻击工具广泛传播的

特洛伊木马电子邮件传播的

恶意代码MelissaWindows木马攻击宏病毒StoneMichelangelo©Brain7.5网络攻击与防护7.5.2网络攻击的趋势1.自动化程度和攻击速度提高2.攻击工具越来越复杂3.发现安全漏洞越来越快4.越来越高的防火墙渗透率5.越来越不对称的威胁6.对基础设施形成越来越打的威胁7.5网络攻击与防护7.5.3网络防护网络安全防护设计原则：统一的安全策略管理网络整体防御实时威胁检测威胁主动隔离内网安全防护策略：为合作企业网建立内网型的边界防护；注意内网安全与网路边界安全的不同；限制VPN的访问；自动跟踪的安全策略；关掉无用的网络服务器；首先保护重要资源；创建虚拟边界防护；可靠的安全决策；内部网7.6防火墙与网络边缘技术7.6.1基本概念DMZ区防火墙(FireWall)是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合；有时也特指位于企业和组织内部网络与外部网络直接，按照一定的安全策略建立起来的硬件(或)软件的有机组成体，以防止黑客的攻击，限制网络互访，以保护内部网络的安全运行。DMZ(DemilitarizedZone)

(隔离区/非军事区)是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统直接的缓冲区。INTERNET用户服务器服务器路由器防火墙7.6防火墙与网络边缘技术7.6.2防火墙的基本特征内部网用户路由器防火墙INTERNET服务器

【基本特征】内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力典型的防火墙结构防火墙的过滤功能应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层Permit?外部报文报文允许通过防火墙的过滤功能7.6防火墙与网络边缘技术7.6.3防火墙的技术发展包过滤技术代理技术状态监视技术处理速度快易于配置不能防范黑客攻击不支持应用层协议不能处理新的安全威胁可以检查应用层、传输层和网络层的协议特征对数据包的检测能力比较强难于配置处理速度非常慢支持多种网络协议和应用协议可以方便地实现应用和服务的扩充可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息7.6防火墙与网络边缘技术7.6.3防火墙的类型1)软件防火墙2)硬件防火墙3)芯片级防火墙1)单一主机防火墙2)路由器集成式防火墙3)分布式防火墙1)边界防火墙2)个人防火墙3)混合防火墙从软、硬件

形式上划分从防火墙

结构划分按防火墙应用

部署位置划分本章小结1.为了满足安全计算机网络的需求，规避信息安全风险，可在以下4个层次上建立相应的安全体系：物理层安全、基础平台层安全、应用层安全、管理层安全。2.网络安全构成划分为6个子系统：身份认证子系统、加密子系统、安全防御与响应子系统、安全备份与恢复子系统、监控子系统、授权子系统。3.一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供。一种安全机制可用于提供一种或多种安全服务。4.计算机病毒是某些人利用计算机软、硬件所固