网络安全技术PPT(中职)完整全套教学课件_第1页
网络安全技术PPT(中职)完整全套教学课件_第2页
网络安全技术PPT(中职)完整全套教学课件_第3页
网络安全技术PPT(中职)完整全套教学课件_第4页
网络安全技术PPT(中职)完整全套教学课件_第5页
已阅读5页,还剩376页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络安全技术1项目1认识计算机网络安全产品市场环境2项目2测试安全产品的可用性并合理部署环境3项目3完成网络设备与终端系统的基本安全维护4项目4完成待定需求的安全接入控制任务5项目5典型渗透测试与防范1

网络安全硬件2网络安全软件3信息安全基本常项目一认识计算机网络安全产品市场环境认识计算机网络安全产品市场环境4安全行业法律法规单元一构件力学分析项目描述认识计算机网络安全产品市场环境

中职实习生小丁,来易阳网络安全公司面试实习岗位,经理给他的第一个任务就是让他先通过公司的产品资料和市场宣传资料了解公司的背景,查找并了解安全行业的软、硬件市场情况,学习信息安全基础、安全行业法律法规知识,然后再进一步熟悉公司所处行业的情况,在此过程中可以通过与其他各相关部门技术人员沟通,索要行业技术资料,也可以通过互联网查找自己需要的信息,但最终需要通过入职测试才能继续在公司实习。单元一构件力学分析能力目标1.了解网络安全行业的背景。2.了解网络安全行业市场的发展动向。3.掌握信息安全基础知识。4.了解网络安全行业基本法律法规。认识计算机网络安全产品市场环境单元一构件力学分析职业素养1.培养主动学习的意识。2.学会获取资料的多种方式。3.增强面试过程中的应试能力。4.积极关注网络安全行业的发展动态。认识计算机网络安全产品市场环境任务一网络安全硬件认识计算机网络安全产品市场环境任务目标任务描述

网络已渗透到人们生活的方方面面,极大地丰富了人们的沟通和生活方式,但也存在层出不穷的网路安全威胁问题。在此大背景下,网络安全产品由最初的防火墙、IDS/IPS、VPN产品,逐步出现了内容过滤、上网行为管理等越来越“智能”的产品,但也因此带来了网络安全产品市场的混乱。想要成为网络安全行业中的一员,首先应该了解该行业中硬件市场的现状及发展趋势,掌握一些主流网络安全硬件的使用方法。1.了解网络安全的概念。2.了解网络安全硬件市场的现状。3.熟识主流的网络安全硬件。知识储备一、网络安全简介1.概念任务一网络安全硬件认识计算机网络安全产品市场环境1

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全本质上是网络上信息的安全。广义上,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。知识储备一、网络安全简介2.主要特性任务一网络安全硬件认识计算机网络安全产品市场环境1(1)保密性(2)完整性(3)可用性(4)可控性(5)可审查性知识储备二、思科网络安全认证1.CCNA安全任务一网络安全硬件认识计算机网络安全产品市场环境1

该认证所验证的技能包括:在保持数据和设备的完整性、保密性和可用性的条件下安装、故障排除和监控网络设备,以及使用思科在安全架构中所采用的技术进行开发的能力。IT人员在完成了思科培训后,将会掌握关于核心安全技术、开发安全策略、抵御风险的知识。知识储备二、思科网络安全认证2.CCSP认证任务一网络安全硬件认识计算机网络安全产品市场环境1

CCSP的考试内容有:SECUR(SecuringCiscoIOSNetworks,CiscoIOS网络安全)、CSPFA(CiscoSecurePIXFirewallAdvanced,Cisco安全高级PIX防火墙)、CSIDS(CiscoSecureIntrusionDetectionSystem,Cisco安全入侵检测系统)、CSVPN(CiscoSecureVPN,Cisco安全VPN)、CSI(CiscoSAFEImplementation,CiscoSAFE实现)。知识储备二、思科网络安全认证3.CCIE安全任务一网络安全硬件认识计算机网络安全产品市场环境1

CCIE安全认证的步骤如下:(1)CCIE安全笔试v3.0即通过两小时的资格笔试,以获取参加实践考试的资格,笔试内容涵盖了网络的相关概念和一些设备命令的知识。(2)CCIE安全实验考试CCIE安全实验考试总长8小时,用于测试在限时的测试情况下,网络人士运行安全网络的能力。它要求必须在通过CCIE安全笔试后的3年内通过实验考试,以获取CCIE安全认证资格证书,且第一次尝试实验考试的时间必须在18个月内。案例分析三、安全沙盒1.简介任务一网络安全硬件认识计算机网络安全产品市场环境1

安全沙盒,简称DCSS(全称为DigitalChinaSecureSandBox),DCSS3008是神州数码网络公司专为网络安全攻防实验室研发的安全沙盒,是进行网络安全攻击和防御的模拟平台,用以锻炼学生动态网络安全维护的能力。案例分析三、安全沙盒1.简介任务一网络安全硬件认识计算机网络安全产品市场环境1(1)配置区:沙盒设备初始配置COM接口,能够对沙盒设备进行基本属性的信息配置管理。(2)管理区:包含沙盒与管理服务器连接接口与网络配置管理接口,能够进行沙盒设备管理、维护。(3)实验区:沙盒设备提供实验操作网络接口,图中的设备能够为10个实验者提供独立的虚拟实验环境平台。案例分析三、安全沙盒2.安全沙盒的部署任务一网络安全硬件认识计算机网络安全产品市场环境1图1-1-2SandBox部署示意图案例分析三、安全沙盒2.安全沙盒的部署任务一网络安全硬件认识计算机网络安全产品市场环境1案例分析三、安全沙盒3.安全沙盒系统的特点任务一网络安全硬件认识计算机网络安全产品市场环境1(1)提供多系统平台的教学(2)多种模式的攻防课件(3)全程自主操作的攻防演练(4)真实的攻防环境(5)模块化、可独立部署或融合部署(6)特色技术案例分析四、安全网关任务一网络安全硬件认识计算机网络安全产品市场环境1案例分析四、安全网关任务一网络安全硬件认识计算机网络安全产品市场环境1案例分析五、入侵检测系统任务一网络安全硬件认识计算机网络安全产品市场环境1知识拓展网络安全设备识别训练内容任务一网络安全硬件认识计算机网络安全产品市场环境1图1-1-7网络安全拓扑图任务二认识计算机网络安全产品市场环境任务目标任务描述网络安全软件

近些年网络的发展速度异常之快,新兴技术层出不穷,这些技术的发展给我们带来方便的同时,也让一些安全问题随之产生,并出现安全滞后的现象。物联网、云计算和移动互联网衍生出的复杂安全问题,让国家、政府、企业、个人陷入了比以往任何时候更为严重的网络威胁包围圈。信息安全产业界面临的将不再只是日新月异的网络攻击手段,而是更加激烈、更加艰巨的网络空间控制战和窃密与反窃密的斗争,这些安全问题的解决不仅要靠硬件设备的管理,还要配以软件安全策略。1.了解主流杀毒软件。2.了解系统与终端安全的知识。3.了解数据库安全的知识。知识储备一、网络杀毒软件1.瑞星杀毒软件网络版企业版任务二网络安全软件认识计算机网络安全产品市场环境2(1)“云安全”系统。(2)智能主动防御瑞。(3)智能全网漏洞管理。(4)强大的网络管理能力:①部署,②管理,③执行,④升级,⑤报警和日志,⑥二次开发。(5)兼容多种平台。(6)一体化智能服务体系。知识储备一、网络杀毒软件1.瑞星杀毒软件网络版企业版任务二网络安全软件认识计算机网络安全产品市场环境2知识储备一、网络杀毒软件2.金山毒霸网络版V7.0任务二网络安全软件认识计算机网络安全产品市场环境2

金山毒霸网络版V7.0是一套专为企业级网络环境设计的反病毒安全解决方案,它能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。金山毒霸网络版V7.0实现了集中式配置、部署、策略管理和报告,并支持管理员对网络安全进行实时审核,以确定哪些节点易于受到病毒的攻击,以及在出现紧急病毒情况时采取何种应急处理措施。网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作,并可以创建、部署和锁定安全策略和设置,使得网络系统保持最新状态和良好的配置。知识储备一、网络杀毒软件3.SymantecAntiVirus10.0企业版任务二网络安全软件认识计算机网络安全产品市场环境2(1)防病毒服务器硬件准备工作。(2)服务器软件安装工作。(3)安装的主界面将默认安装下列管理组件:①SymantecAntiVirus管理单元,②SymantecClientFirewall管理单元,③AV服务器分装工具,④客户端远程安装工具,⑤SymantecAntiVirus服务器。知识储备一、网络杀毒软件3.SymantecAntiVirus10.0企业版任务二网络安全软件认识计算机网络安全产品市场环境2图1-2-2安装主界面知识储备一、网络杀毒软件3.SymantecAntiVirus10.0企业版任务二网络安全软件认识计算机网络安全产品市场环境2知识储备二、系统与终端安全1.操作系统安全任务二网络安全软件认识计算机网络安全产品市场环境2WindowsServer2003服务器安全策略①正确划分文件系统格式,选择稳定的操作系统安装盘。②提高磁盘的安全性。系统盘、网站目录、数据备份盘权限要精确设置。③禁用不必要的服务,提高安全性和系统效率。④修改注册表,让系统更强壮。知识储备二、系统与终端安全2.Linux服务器安全策略任务二网络安全软件认识计算机网络安全产品市场环境2(1)内核级进程强制保护模块。(2)内核级网络强制访问模块。知识储备二、系统与终端安全3.身份认证技术任务二网络安全软件认识计算机网络安全产品市场环境2

数字证书是一种使用公钥体制进行身份认证的数据实体,它被用于管理SSR规则的设置与删除以及日志审计功能,可以标识唯一的安全管理员的身份。公钥体制保证从一个公开密钥不能推算出对应的密钥,因此不必对证书本身进行保密,证书都存放在公共服务器中。知识储备二、系统与终端安全4.审计日志技术任务二网络安全软件认识计算机网络安全产品市场环境2

SSRforUNIX的日志审计功能是通过内核直接写文件实现的,在各个权限判断的函数入口里都有写日志文件记录时间的行为,日志格式以二进制形式存放在SSR/log目录下,SSR自身对日志文件实施了保护。日志结构划分为各个事件的ID、行为字段、时间、成功与否等等,按照一定顺序排列,目前尚不具备手动排序功能。知识储备二、系统与终端安全5.系统安全记录文件任务二网络安全软件认识计算机网络安全产品市场环境2

操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果系统是直接连到Internet,可以发现有很多人对系统做Telnet/FTP登录尝试,可以运行“#more/var/log/securegreprefused”检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。知识储备二、系统与终端安全6.启动和登录安全性任务二网络安全软件认识计算机网络安全产品市场环境2(1)BIOS安全。(2)用户口令。(3)默认账号。(4)口令文件。(5)限制su命令。(6)减少登录信息。(7)重新启动机器命令案例分析三、数据库安全1.用户角色的管理和口令保密任务二网络安全软件认识计算机网络安全产品市场环境2

为了加强数据库在网络中的安全性,对于远程用户,应使用加密方式即通过密码访问数据库,加强网络上的DBA权限控制,如拒绝远程的DBA访问等。案例分析三、数据库安全2.数据保护任务二网络安全软件认识计算机网络安全产品市场环境2

一种数据保护是日志,Oracle数据库实例都提供日志,用以记录数据库中所进行的各种操作,包括修改、调整参数等,在数据库内部建立一个任何作业的完整记录。另一种数据是控制文档的备份,一般用于存储数据库物理结构的状态,控制文档中的某些状态信息在实例恢复和介质恢复期间用于引导Oracle数据库。案例分析三、数据库安全3.建立Oracle的审计机制任务二网络安全软件认识计算机网络安全产品市场环境2审计功能激活后,任何拥有表或视图的用户就能够进行如下审计操作:①使用SQL语句挑选审计选择项。②审计对该用户所拥有的表或视图的成功或不成功的存取企图。③有选择的审计各种类型的SQL操作(SELECT、UPDATE、INSERT、DELETE)。④控制审计的程度(以SESSION或ACCESS为单位)。另外,DBA用户还能够以下审计功能:①对成功的LOGON、LOGOFF、GRANT、REVOKE进行审计。②允许或禁止向审计追踪表寄数据。③为某些数据库表设定缺省选择项。知识拓展Linux平台下网络安全软件的部署训练内容任务二网络安全软件认识计算机网络安全产品市场环境2①Linux平台下常用的安全软件有哪些,分别有什么作用?②简述Linux操作系统的加固方案。③在虚拟机中为Linux操作系统安装常用的安全软件。任务三认识计算机网络安全产品市场环境任务目标任务描述信息安全基本常

随着信息技术的不断发展,信息日益成为一种重要的战略资源;信息技术的应用几乎涉及到了各个领域,信息技术正逐渐改变着人们的日常生活和工作方式;信息产业已经成为新的经济高速增长点,对信息的获取、处理和保障能力成为一个国家综合国力的重要组成部分,因此信息系统的安全问题变得越来越重要。目前,信息安全技术的水平发展虽然迅速,但是相应的信息安全问题变得日益严重,主要是因为对信息安全缺乏有效的管理。1.了解信息安全的知识。2.了解数据加密技术的知识。3.了解安全管理机制的知识。知识储备一、信息安全1.信息安全的基本概念任务三信息安全基本常认识计算机网络安全产品市场环境3

信息安全是指防止非法的攻击和病毒的传播,保证计算机系统和通信系统的正常运作,保证信息不被非法访问和篡改。信息安全主要包括保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全的根本目的是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求设有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。知识储备一、信息安全2.信息安全的主要威胁任务三信息安全基本常认识计算机网络安全产品市场环境3(1)信息泄露。(2)破坏信息的完整性。(3)拒绝服务。(4)非法使用(非授权访问)。(5)窃听。(6)业务流分析。(7)假冒。(8)旁路控制。(9)授权侵犯。(10)抵赖。(11)计算机病毒。(12)信息安全法律法规不完善。案例分析二、数据加密、认证技术1.加密的基本概念任务三信息安全基本常认识计算机网络安全产品市场环境3加密的基本功能包括:①防止不速之客查看机密的数据文件。②防止机密数据被泄露或篡改。③防止特权用户(如系统管理员)查看私人数据文件。④使入侵者不能轻易地查找一个系统的文件。案例分析二、数据加密、认证技术1.加密的基本概念任务三信息安全基本常认识计算机网络安全产品市场环境3加密的类型可以简单地分为以下三种:①根本不考虑解密问题。②私用密钥加密技术。③公开密钥加密技术。第一种加密技术主要是针对一些像口令加密的类型,它只需要被加密,并与以前的加密有所区别。第二种和第三种加密技术是按使用密钥的不同方法划分的。案例分析二、数据加密、认证技术2.加密技术任务三信息安全基本常认识计算机网络安全产品市场环境3(1)私用密钥加密技术。(2)公开密钥加密技术。案例分析二、数据加密、认证技术3.信息认证技术任务三信息安全基本常认识计算机网络安全产品市场环境3(1)数字签名技术。(2)身份识别技术。案例分析三、安全管理1.安全模型任务三信息安全基本常认识计算机网络安全产品市场环境3(1)状态机模型。(2)BellLaPadula模型。(3)Biba模型。(4)ClarkWilson模型。(5)信息流模型。(6)非干涉模型。(7)Brewer和Nash模型。(8)GrahamDenning模型。(9)HarrisonRuzzoUllman模型。案例分析三、安全管理2.信息安全体系任务三信息安全基本常认识计算机网络安全产品市场环境3(1)技术体系。(2)组织机构体系。(3)管理体系。知识拓展数据加密通信原理训练内容任务三信息安全基本常认识计算机网络安全产品市场环境3(1)了解下列加密技术的工作原理①对称密钥加密(保密密钥法)。②非对称密钥加密(公开密钥法)。③混合加密算法。④哈希(Hash)算法。⑤数字签名。⑥数字证书。⑦公共密钥体系。知识拓展数据加密通信原理训练内容任务三信息安全基本常认识计算机网络安全产品市场环境3(2)学会安装、使用下列两款加密软件①PGP(PrettyGoodPrivacy):它是一个基于RSA公匙加密体系的邮件加密软件。②Openssl:它是一个自由软件,包含了SSL接口、对称加密、非对称加密及PKCS接口等功能。知识拓展数据加密通信原理训练内容任务三信息安全基本常认识计算机网络安全产品市场环境3图1-3-1任务四认识计算机网络安全产品市场环境任务目标任务描述安全行业法律法规

在现代信息社会,各种各样信息安全行为在实施过程中产生了一些特殊的社会关系并由此导致了一系列的法律问题。为了调整这一领域的法律关系,平衡各信息主体的信息安全利益,必须建立一系列的相关法律法规。据不完全统计,截至目前,我国颁布、施行的有关信息安全管理方面的文件有70多个,国家鼓励企业在遵守国家法律法规基础上制定严格的法规,以保证信息系统的安全。1.了解国内信息安全的法律法规知识。2.掌握TCSEC标准的内容。知识储备一、概况任务四安全行业法律法规认识计算机网络安全产品市场环境4

我国的计算机安全立法工作开始于20世纪80年代。1997年10月1日起我国实行新刑法,第一次增加了计算机犯罪的罪名,包括非法侵入计算机系统罪,破坏计算机系统功能罪,破坏计算机系统数据程序罪,制作、传播计算机破坏程序罪等。这表明我国的计算机法制管理正在步入一个新阶段,并开始和世界接轨,计算机法的时代已经到来。案例分析二、TCSEC1.D类安全等级任务四安全行业法律法规认识计算机网络安全产品市场环境4

D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。案例分析二、TCSEC2.C类安全等级任务四安全行业法律法规认识计算机网络安全产品市场环境4

该类安全等级能够提供审计的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制(TrustedComputingBase,TCB)通过将用户和数据分开达到安全的目的。在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审计控制。在连接到网络上时,C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源隔离增强这种控制。另外,C2系统具有C1系统中所有的安全性特征。案例分析二、TCSEC3.B类安全等级任务四安全行业法律法规认识计算机网络安全产品市场环境4

B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。案例分析二、TCSEC4.A类安全等级任务四安全行业法律法规认识计算机网络安全产品市场环境4

A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型,所有的安装操作都必须由系统管理员进行,系统管理员进行的每一步安装操作都必须有正式文档。案例分析三、信息安全法律体系1.法律任务四安全行业法律法规认识计算机网络安全产品市场环境4

主要包括:《中华人民共和国宪法》、《中华人民共和国刑法》、《中华人民共和国治安管理处罚条例》、《中华人民共和国刑事诉讼法》、《全国人大常委会关于维护互联网安全的决定》等。这些基本法的规定,为我国建立和完善信息网络安全法律体系奠定了良好的基础。案例分析三、信息安全法律体系2.行政法规任务四安全行业法律法规认识计算机网络安全产品市场环境4

主要包括:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《互联网信息服务管理办法》等。案例分析三、信息安全法律体系3.部门规章及规范性文件任务四安全行业法律法规认识计算机网络安全产品市场环境4

主要包括《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》等。知识拓展软件著作权训练内容任务四安全行业法律法规认识计算机网络安全产品市场环境4①什么是软件著作权?②软件著作权包括哪些权利?③合作开发的软件著作权如何归属?④任职期间开发的软件著作权如何归属?谢谢观看网络安全技术1

防火墙初步认识2入侵检测初步知识3网络防毒软件项目二测试安全产品的可用性并合理部署使用环境测试安全产品的可用性并合理部署使用环境5流量整形设备初识4日志审计设备初识单元一构件力学分析项目描述测试安全产品的可用性并合理部署使用环境

经过面试后,实习生小丁来到一家大型企业做网络管理员,正好赶上公司网络在做安全升级,作为学习者的小丁协助网管秦工参与了设备进场、上架测试、设备版本调整、软件安装测试以及相关许可申请等相关工作,从而了解了典型的企业安全管理员最基本的工作内容。小丁与秦工正在网络设备间等待新设备到来,物流人员搬来若干设备,秦工手拿设备清单一边吩咐小丁查找对应设备,一边与供货厂商业务人员逐项记录确认,完成后秦工在收货确认栏签字。我们一起来体验设备验收与初步调试的过程吧!单元一构件力学分析能力目标1.掌握典型网络安全设备的验收过程。2.掌握典型安全专用设备的环境搭建与基本调试方法。3.掌握典型网络安全设备的工作原理与功能特性。4.了解典型安全管理员相关岗位的基础工作。测试安全产品的可用性并合理部署使用环境单元一构件力学分析职业素养1.培养认真负责的工作态度。2.养成细心观察的习惯。3.培养团队协作的意识。测试安全产品的可用性并合理部署使用环境任务一任务目标任务描述测试安全产品的可用性并合理部署使用环境防火墙初步认识

秦工与供货厂商技术人员共同打开防火墙包装箱,首先取出包装箱内的装箱单,按照装箱单逐一核对物品,确定无缺失后,吩咐小丁将防火墙取出放在调试架上。小丁接通防火墙的电源,搭建好简单的防火墙使用环境,开始逐一了解防火墙面板上的信息并测试每一端口。1.了解防火墙的工作原理。2.掌握常用的防火墙技术。3.掌握防火墙常用的配置方式。4.了解如何进行防火墙版本升级。知识储备一、防火墙简介1.概念任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。知识储备一、防火墙简介1.概念任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1知识储备一、防火墙简介2.防火墙技术任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1(1)包过滤技术。(2)应用代理技术。(3)状态监视技术。知识储备二、DCFW-1800E-V21.DCFW-1800E-V2简介任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1

DCFW-1800E-V2多核安全网关是新一代多功能安全网关产品,它主要面向大中型企业等网络使用环境,DCFW-1800E-V2安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面也得到了前所未有的提升。DCFW-1800E-V2安全网关支持如防ARP欺骗、上网行为管理、带宽管理、多PPPOE链路捆绑和用户认证等诸多丰富的功能,让它成为了中小型网络安全部署的首选产品。DCFW-1800E-V2安全网关提供8个GE接口,可充分满足中小型网络对安全设备的接口使用需求。知识储备二、DCFW-1800E-V22.DCFW-1800E-V2安全网关的特点任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1①采用专业64位多核MIPS处理器和128GCrossbar高速交换总线技术,带来多种安全性能的全面提升。②拥有先进的安全防护功能,除具有高级状态检测包过滤技术外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等。③采用基于硬件加速方案的高效专业防病毒引擎,结合会话流智能病毒扫描技术,能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀。知识储备二、DCFW-1800E-V22.DCFW-1800E-V2安全网关的特点任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1④提供基于深度应用识别的入侵防御解决方案,能有效防范网络中各种复杂的应用攻击。⑤采用的多核MIPS处理器提供了强大的VPN加解密性能,在功能上支持包括IPSec、GRE、SSL、L2TP等多种VPN业务。⑥具有丰富的2—7层应用识别能力和管控手段,可对网络中的各种P2P、IM、网游、炒股及在线视频等众多应用进行管控。⑦具有堪比专业流量整形设备的强大的流控功能,支持在设备各接口的上下行双方向上针对多种元素进行多级带宽控制。知识储备二、DCFW-1800E-V22.DCFW-1800E-V2安全网关的特点任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1⑧拥有完善的路由特性,支持静态路由、ISP路由、策略路由、动态路由(RIPv1&v2、OSPF、BGP)等。⑨拥有完善的NAT处理机制,支持当前各种源或目的地址转换功能。⑩独有DCSD防ARP欺骗机制,通过为网络中的客户端下发DCSD防ARP欺骗客户端,可彻底杜绝网络中的ARP欺骗问题,同时支持自动IPMAC绑定,防ARP攻击,反向ARP查询、DHCPSnooping等多种ARP安全防护手段。知识储备三、DCFW-1800E-V2的配置基础1.基本配置命令任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1知识储备三、DCFW-1800E-V2的配置基础2.配置方式任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1(1)开启Telnet管理功能图2-1-2用户口令和密码知识储备三、DCFW-1800E-V2的配置基础2.配置方式任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1(2)SSH知识储备三、DCFW-1800E-V2的配置基础2.配置方式任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1(3)WebUI防火墙的图形化界面案例分析四、DCFW-1800E-V2版本升级任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1①访问页面“系统”→“系统软件”。案例分析四、DCFW-1800E-V2版本升级任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1②选择“升级”按钮。案例分析四、DCFW-1800E-V2版本升级任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1③选择下次启动时调用的软件版本。案例分析四、DCFW-1800E-V2版本升级任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1③选择下次启动时调用的软件版本。知识拓展防火墙配置策略任务一防火墙初步认识测试安全产品的可用性并合理部署使用环境1方法一:确保流向外部的数据符合策略。方法二:在路由而不是防火墙上过滤不想要的数据。方法三:删除不需要使用的规则和对象。方法四:减少规则库的复杂度。方法五:控制传送流量。方法六:将使用较频繁的规则列于规则库靠前位置。方法七:避免DNS对象。方法八:防火墙界面的设置应与交换机和路由设置相匹配。方法九:将防火墙与VPN隔离。方法十:从防火墙卸载性能。方法十一:将软件升级到最新版本。任务二任务目标任务描述测试安全产品的可用性并合理部署使用环境入侵检测初步知识

订货方代表秦工与供货方一起打开入侵检测设备的包装箱,首先取出包装箱内的装箱单,按照装箱单逐一核对箱内物品,确定没有缺少后,吩咐小丁将入侵检测设备取出放在调试架上,然后对照说明书认识入侵检测设备的每个端口。在接通入侵检测设备的电源后,搭建好简单的设备使用环境,并逐一测试设备的端口。1.了解入侵检测的概念。2.掌握IDS的概念及原理。3.了解DCNIDS1800设备。4.掌握入侵检测设备工作环境的搭建。知识储备一、入侵检测简介1.概念任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2

入侵检测(IntrusionDetection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,因此它被认为是继防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下能对网络进行监测。知识储备一、入侵检测简介2.功能及优点任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境21.监督并分析用户和系统的活动。2.检查系统配置和漏洞。3.检查关键系统和数据文件的完整性。4.识别已知攻击的活动模式。5.对反常行为模式进行统计分析。6.提高了信息安全体系其他部分的完整性。7.提高了系统的监察能力。知识储备一、入侵检测简介2.功能及优点任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境28.跟踪用户从进入到退出的所有活动或影响。9.识别并报告数据文件的改动。10.发现系统配置的错误,必要时予以更正。11.识别特定类型的攻击,并向相应人员报警,以做出防御反应。12.可使系统管理人员最新的版本升级添加到程序中。13.允许非专家人员从事系统安全工作。14.为信息安全策略的创建提供指导。知识储备二、IDS简介1.概念任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2

IDS是英文“IntrusionDetectionSystems”的缩写,中文意思是“入侵检测系统”。它依照一定的安全策略,通过软硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦外部人员爬窗进入大楼,或内部人员有越界行为,实时监视系统就会发现情况并发出警告。知识储备二、IDS简介2.原理任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(1)入侵检测的第一步——信息收集。①系统日志。②目录以及文件中的异常改变。③程序执行中的异常行为。④物理形式的入侵信息。知识储备二、IDS简介2.原理任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(2)入侵检测的第二步——数据分析。①模式匹配。②统计分析。入侵检测的5种统计模型包括:A.操作模型。B.方差。C.多元模型。D.马尔柯夫过程模型。③完整性分析。知识储备二、IDS简介3.分类任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2

按入侵检测的手段,IDS的入侵检测模型可分为基于网络和基于主机两种;按入侵检测的技术基础,可分为基于标志的入侵检测和基于异常情况的入侵检测(anomalybased);按输入入侵检测系统的数据的来源,分为基于主机的入侵检测系统、基于网络的入侵检测系统和采用上述两种数据来源的分布式入侵检测系统;按入侵检测所采用的技术方法,分为基于用户行为概率统计模型的入侵检测方法、基于神经网络的入侵检测技术、基于专家系统的入侵检测技术和基于模型推理的入侵检测技术。知识储备二、IDS简介4.性能指标任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(1)准确性(Accuracy)。(2)处理性能(Performance)。(3)完备性(Completeness)。在此基础上,Debar等又增加了两个性能评价测度:(1)容错性(FaultTolerance)。(2)及时性(Timeliness)。案例分析三、DCNIDS-18001.DCNIDS-1800简介任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2案例分析三、DCNIDS-18002.DCNIDS-1800程序组件任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(1)Console(控制台)。(2)EC。(3)LogServer。(4)Sensor(传感器)。(5)Report(报表)和查询工具。案例分析三、DCNIDS-18003.安装顺序任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2案例分析三、DCNIDS-18004.DCNIDS-1800基本配置任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(1)传感器的标准出厂设置。案例分析三、DCNIDS-18004.DCNIDS-1800基本配置任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(2)Settimeanddate。案例分析三、DCNIDS-18004.DCNIDS-1800基本配置任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(3)Configurenetworking①Nameofthisstation。②Managementinterface。③IPaddress。④Networkmask。⑤Defaultroute。案例分析三、DCNIDS-18004.DCNIDS-1800基本配置任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2(4)配置事件收集器(EC)地址和通信密钥知识拓展安装部署入侵检测设备训练内容任务二入侵检测初步知识测试安全产品的可用性并合理部署使用环境2

掌握现实环境中入侵检测设备支撑环境的安装与配置。任务三任务目标任务描述测试安全产品的可用性并合理部署使用环境网络防毒软件

目前,形形色色的病毒伴随着企业网和互联网的快速发展而愈加猖獗,传播速度大大提高,感染的范围也越来越广。对于没有安装防病毒软件,或者病毒库更新不及时的网络来说,随时可能遭到病毒的攻击。一个安全的网络中,网络防毒软件是不可缺少的,而目前很多企业网络内部的PC机都是各自安装防病毒软件,不利于统一管理。1.了解防病毒软件的功能。2.掌握防病毒软件环境的搭建。3.掌握防病毒软件服务器端、客户端的使用方法。知识储备一、网络防毒软件1.网络病毒任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

网络病毒传染扩散极快,能在很短时间内传遍网络上的机器。Internet的发展给病毒的传播增加了新的途径,使病毒可能成为灾难。病毒的迅速传播,使反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,被浏览的或是被下载的文件可能存在病毒;另一种威胁来自电子邮件,大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。知识储备一、网络防毒软件2.病毒的特点任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3(1)寄生性。(2)传染性。(3)潜伏性。(4)隐蔽性。(5)破坏性。(6)可触发性。知识储备二、金山毒霸网络版v7.0任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3知识储备二、金山毒霸网络版v7.01.系统中心任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

系统中心是金山毒霸网络版V7.0进行信息管理和病毒防护的控制核心。系统中心基于CORBA与其他子系统(服务器端和客户端)连接,其他子系统在系统中心控制下协同完成工作。通过数据库技术,系统中心可以实时记录网络防护体系内每台计算机上的病毒防护信息、防毒设置信息和终端资源信息。知识储备二、金山毒霸网络版v7.02.系统中心控制台任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

系统中心控制台是整个金山毒霸网络版V7.0系统设置、使用和控制的操作平台。它的界面结构友好、直观,符合用户的使用与操作习惯。系统中心控制台基于Web结构开发,管理员无须安装额外的控制软件,网络内任何一台装有IE6.0及其以上浏览器的终端都能用于实现对整个网络的管理,真正做到了“管理无处不在”。知识储备二、金山毒霸网络版v7.03.升级服务器任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

升级服务器负责升级文件的更新与传递,还提供MS漏洞修补程(Hotfix)下载代理。升级服务器分两种类型:主升级服务器直接从外网更新升级文件,并负责向二级升级服务器分发(也可以向客户端及服务器端分发),一般主升级服务器与主系统中心绑定;二级升级服务器从主升级服务器(也可以是其他二级升级服务器)更新升级文件,并负责向客户端及服务器端分发,二级升级服务器一般与下级系统中心绑定。知识储备二、金山毒霸网络版v7.04.客户端任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

客户端面向网络中的客户机群提供反病毒安全防护,是金山毒霸网络版V7.0反病毒体系的执行终端之一。它能够实时监控系统的运行与操作,先进的反病毒“蓝芯”引擎确保它能够全面查杀硬盘及驻留系统内存中的病毒、蠕虫以及特洛伊木马,基于病毒行为检测的启发式查杀技术确保能及时发现潜在的未知威胁并采取相应安全措施,它基于传统的静态磁盘文件和狭义匹配技术,能更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。客户端的相关安全信息会及时反馈给系统中心,管理员能在最短时间内了解网络内安全状况,并通过系统中心向客户端发出指令,远程控制其操作及设置安全策略。客户端的升级过程无须人工参与,系统中心在获得最新更新后将向客户端自动分发。知识储备二、金山毒霸网络版v7.05.服务器端任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

服务器端面向网络中服务器群提供反病毒安全保护,是金山毒霸网络版V7.0的另一执行终端。它具备了客户端的所有功能(由于服务器不存在个人的邮件收发行为,服务器端不包括邮件监控),同时为了贴合服务器操作系统的性能特点,服务器端还进行了针对性优化处理,适用于服务器的海量高速运转。服务器端作为服务随系统启动,在无管理员登录系统的情况下,仍可接受管理。知识储备三、防毒软件安装部署1.系统中心安装任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3知识储备三、防毒软件安装部署2.升级服务器安装任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

金山毒霸网络版V7.0升级服务器是全网病毒库更新的基础,在安装过程中,需指定安装路径、指定主升级服务器IP地址和监听端口、指定所属系统中心IP地址及端口。主升级服务器直接从互联网上更新数据,二级升级服务器从主升级服务器上更新数据。必须保障在升级服务器安装时,所填写的所属系统中心IP及端口的正确性,从而保证升级服务器必须与系统中心绑定,这样才能使客户机在注册系统中心时,可以通过系统中心找到升级服务器。知识储备三、防毒软件安装部署3.客户机安装任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

客户机的安装可以根据管理员的需求定制采用Web页面(ActiveX)安装、远程安装、域脚本安装、光盘安装等方式,在较短的时间内完成网络内部众多客户端的安装作业,简单快速的实现整个网络反病毒体系的部署。在安装好金山毒霸网络版V7.0系统中心后,通过系统中心控制台进行Web页面(ActiveX)安装、远程控制安装或域脚本安装,光盘安装可通过本机进行。知识储备三、防毒软件安装部署4.Web页面安装任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

通过浏览器访问控制台网页,下载ActiveX控件即可实现安装,这种方式适用于各个客户端自行下载安装。知识储备三、防毒软件安装部署5.远程安装任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

可通过管理控制台,向所有网络邻居中的WindowsNT/2000/2003/2008服务器/工作站远程安装金山毒霸网络版V7.0客户端或服务器端,安装时需要目标客户端管理员口令。知识储备三、防毒软件安装部署6.域脚本安装任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

能够自动识别域服务器,并为域服务器配置登录脚本。当用户登录到本域时,可自动为其安装金山毒霸网络版V7.0客户端,系统管理员不须为每台计算机都进行手动或远程安装。案例分析任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3

学校刚买了一套金山毒霸网络版杀毒软件,请根据你掌握的知识描述如何在服务器上部署杀毒软件,客户端如何通过服务器实现杀毒。知识拓展网络版杀毒软件与单机版杀毒软件的区别训练内容任务三网络防毒软件测试安全产品的可用性并合理部署使用环境3①比较网络版杀毒软件与单机版杀毒软件的区别。②在真实环境中搭建网络版杀毒软件(http:///eduba.shtml,下载免费版金山毒霸)。任务四任务目标任务描述测试安全产品的可用性并合理部署使用环境日志审计设备初识

《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。这对管理互联网、规范上网行为和提高网络利用率等方面提出了很高的要求。公司新进了一台日志审计设备,秦工吩咐小丁搭建简单的日志审计设备使用环境,并逐一了解日志审计设备面板上的信息,然后测试每一端口。1.了解日志审计的重要性。2.掌握日志审计设备环境的搭建方法。3.掌握日志审计设备的基本配置。知识储备一、日志审计任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4

日志审计系统是一套分布式、跨平台的网络信息安全审计系统,它支持对各种网络设备(路由器、交换机、防火墙等)、服务器、数据库等通用应用服务系统以及各种特定业务系统在运行过程中产生的日志、消息、状态等信息的实时采集,在实时分析的基础上,检测各种软硬件系统的运行状态,发现各种异常事件并发出实时警告,提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,从而采取有效措施,以提高安全等级。知识储备二、DCBI-NetLog简介1.概述任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4

DCBI-NetLog分为三个模块:后台数据采集模块、数据库刷新模块和管理模块。后台数据采集模块对流过网络接口的IP包进行分析,并以文件形式记录访问日志;数据库刷新模块用于将文件形式访问日志写入数据,并可根据配置映射到DCBI-3000中的用户(包含与DCBI-3000的接口部分),数据库刷新可定时触发,也可手动触发;管理模块提供图形界面,供管理员查询统计管理访问日志用。知识储备二、DCBI-NetLog简介2.主要特性任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4(1)灵活的部署模式。(2)用户接入管理。(3)上网行为管理。①URL分类及访问控制。②行为识别及审计管理。③流量整形管理。④上网行为统计。知识储备三、典型应用任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4知识储备三、典型应用任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4知识储备四、应用举例:初始配置1.登录到DCBI-NetLog系统任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4知识储备四、应用举例:初始配置2.配置接口管理地址任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4进入到“系统管理”→“接口配置”页面。知识储备四、应用举例:初始配置3.设置监控端口任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4

这里的设置也很灵活,即管理端口之外任一个或多个网络接口均可作为监控的业务端口使用。知识储备四、应用举例:初始配置4.在本地网段中添加需要监控的网段范围任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4执行“系统管理”→“接口配置”→“本地网段”。知识储备四、应用举例:初始配置5.添加管理规则任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4执行“系统管理”→“配置管理”→“上网行为规则”,点击“添加”按钮。知识储备四、应用举例:初始配置6.添加更为细致的管理规则任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4

在添加规则时,选择某一个模块,然后在项目中选择合适的选项。案例分析任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4

通过日志审计可以监控异常访问,进行流量统计分析,生成调研报告,记录分析各种网络可疑行为、违规操作、敏感信息,协助定位安全事件源头,调查取证,防范和发现计算机网络犯罪活动,为信息系统制定安全策略,在最小风险内控提供有力的数据支撑。简单画出学校网络拓扑图,根据校园网络安全需求,画出防火墙、典型日志审计设备部署拓扑图。知识拓展Windows系统日志审计训练内容任务四日志审计设备初识测试安全产品的可用性并合理部署使用环境4①请分别叙述应用程序日志、安全日志、系统日志的作用。②在WindowsServer2008操作系统中查看、删除系统日志。任务五任务目标任务描述测试安全产品的可用性并合理部署使用环境流量整形设备初识

随着运营商、城域网、政府、教育、金融等行业用户信息化建设的发展,其关键业务越来越依赖互联网,网络的开放性和网络技术的迅速发展使得网络出口带宽作为一个重要资源越来越得到信息技术管理部门和运营部门的关注。通过流量分析法发现网络中各种应用对带宽的占用情况是实现带宽资源有效利用的第一步,在此基础之上通过基于应用的管理手段,实现了对关键应用的保障,阻断和限制了非关键性业务的应用。公司新进了一台流量整形设备,秦工吩咐小丁搭建简单的流量整形设备使用环境,并逐一了解流量整形设备面板上的信息,然后测试每一端口。1.了解流量整形的概念。2.掌握流量整形设备环境的搭建方法。3.掌握流量整形设备的基本配置知识。知识储备一、流量整形的定义任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5

流量整形的一个典型应用是利用下游网络结点的TP指标控制本地流量的输出。流量整形与流量监管的主要区别在于,流量整形对流量监管中需要丢弃的报文进行缓存,通常是将它们放入缓冲区或队列内。当令牌桶有足够的令牌时,再均匀地向外发送这些被缓存的报文。流量整形与流量监管的另一区别是,流量整形可能会增加延迟,而流量监管几乎不引入额外的延迟。知识储备二、流量整形的核心算法和分类1.核心算法任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5其核心算法有以下两种:漏桶算法(LeakyBucket)是网络世界中流量整形(TrafficShaping)或速率限制(RateLimiting)时经常使用的一种算法,它的主要目的是控制数据注入网络的速率,平滑网络上的突发流量。漏桶算法提供了一种机制,通过它,突发流量可以被整形以便为网络提供一个稳定的流量。令牌桶算法(TokenBucket),有时人们将漏桶算法与令牌桶算法错误地混淆在一起。知识储备二、流量整形的核心算法和分类2.常见分类任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5(1)GTS通用流量整形。①找到正确的流量整形的数值(CIR、Bc、Be)。②在接口模式下,使用trafficshaping命令启用流量整形。知识储备二、流量整形的核心算法和分类2.常见分类任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5(2)帧中继流量整形(FRTS)在以下4种情况下使用FRTS:①中心高速,分支低速时。②单条物理线路承载到不同目的地的众多VC时。③若FR发生了拥塞,想让路由器将数据流拦住(Throttle)时。④需要在同一条FR的VC上传输多种协议(IP、SNA)的数据流,并希望每种数据流都能占到一定BW时。知识储备二、流量整形的核心算法和分类2.常见分类任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5配置FRTS的步骤如下:①建立一个MAPCLASS,名字区分大小写。②定义流量整形的方法,比如设置平均速率和最高速率。③在接口上封装FRAMERELAY。④在端口上应用MAPCLASS5,开启流量整形,一般用于源端接口。知识储备三、DCFS流量整形任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5知识储备三、DCFS流量整形1.多业务融合网关任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5多业务融合网关DCFS是业内首款集成应用识别、应用控制、认证计费、会话审计四大功能的融合网关,支持丰富功能的同时,实现了用户投资效益最大化。知识储备三、DCFS流量整形2.行为识别、会话深层检测技术任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5

DCFS流量结合了DPI应用识别的准确和DFI应用识别的高效,立足本土设计和研发,对Internet流量保持了90%以上的应用识别率,并实现了业内领先的转发和控制能力,而且终身免费的协议库升级服务保障用户投资得到持续回报。知识储备三、DCFS流量整形3.带宽管理任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5

带宽通道分类方式灵活组合,带宽租借具有独特的带宽智能巡航功能,能进行带宽多维管理、主机下行速率精确控制和基于用户的QoS管理。知识储备三、DCFS流量整形4.会话控制任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5

能够实现会话全局控制、会话特殊控制、协议区分控制、链路区分控制、会话保护机制。知识储备三、DCFS流量整形5.认证计费功能任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5

支持本地用户认证,支持配合DCBI综合认证计费管理系统和DCSM内网安全管理系统,实现基于用户的准出控制、速率控制和应用控制管理。支持灵活的计费策略,配合DCSM内网安全管理系统,可以实现与WindowsAD、LDAP(如OpenLDAP、NovelleDirectory、SUNONEDirectory、IBMTivoli)等实现统一身份认证,实现网络层面认证与应用层面认证的统一管理,方便管理和维护认证用户,与DCSM认证计费产品配合实施外网出口认证。与接入交换机配合实现内网准入、外网计费的校园网安全和合理的接入运营管理。支持Web和Client两种认证方式,满足不同的认证方式和管控要求,能够实现结合认证和实施基于用户的管理。知识储备三、DCFS流量整形6.日志审计任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5

实现访问外部网络的会话级审计信息,提供用户名、源IP、源端口、目标端口、协议、起始时间、截止时间、数据表数量等详细会话信息。支持URL审计,配合DCSM系统,可以实现基于用户的URL审计,在日志系统可以基于用户名、IP地址、URL地址进行查询和统计。知识拓展帧中继中的带宽管理训练内容任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5①什么是帧中继?什么是CIR?②请举例说明帧中继的带宽控制。实训拓展实训一:配置防火墙混合模式策略任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5①将eth0口设置成路由接口,eth1和eth2口设置成二层接口,并设置Vswitch接口。②设置源NAT策略。③配置安全策略(放行策略)。实训拓展实训一:配置防火墙混合模式策略任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5知识拓展实训二:配置防火墙Web认证任务五流量整形设备初识测试安全产品的可用性并合理部署使用环境5谢谢观看网络安全技术1

交换机安全维护基础2防火墙安全维护3操作系统的基本安全维护项目三完成网络设备与终端系统的基本安全维护完成网络设备与终端系统的基本安全维护4服务器的漏洞查找及补丁升级单元一构件力学分析项目描述完成网络设备与终端系统的基本安全维护

小丁所实习的公司的园区网一直备受安全问题的折磨,总是不时出现网速变慢,服务器无法正常运行等问题,公司领导责令信息化部门在1个月内整顿,不能再出现网络问题,否则将影响公司业务的现象。秦工决定带着小丁一起分析网络中存在的安全问题,然后将安全提升的详细工作列出来,让小丁根据列出的步骤完成所有非安全网络设备的安全性工作,包括交换机、路由器、无线设备和终端系统几个部分的设置。单元一构件力学分析能力目标1.了解常用网络设备的安全维护方法。2.掌握常用网络设备的配置步骤。3.掌握操作系统安全策略的实施步骤。4.了解网络管理员、网络工程师的基本工作内容。完成网络设备与终端系统的基本安全维护单元一构件力学分析职业素养1.养成虚心学习的态度。2.培养严格执行工作命令的意识。3.加强责任心的培养。完成网络设备与终端系统的基本安全维护任务一任务目标任务描述完成网络设备与终端系统的基本安全维护交换机安全维护基础

交换机在企业网中占有重要的地位,是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起维护网络安全的一部分责任。因此,交换机安全的地位变得越来越重要,甚至已经成为网络建设必须考虑的因素。1.了解交换机存在的安全隐患。2.掌握交换机访问控制列表安全配置的知识。3.熟练动态ARP监测技术。知识储备一、交换机简介1.相关概念任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1

交换机(Switch,意为“开关”)是一种用于电信号转发的网络设备,它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机,其他常见的还有电话语音交换机、光纤交换机等。交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。知识储备一、交换机简介2.交换原理任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1

交换机工作在数据链路层,拥有一条带宽很高的背部总线和内部交换矩阵。交换机的所有端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表,以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,然后通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在,将广播到所有的端口,接收端口回应后,交换机会“学习”新的地址,并把它添加入到内部MAC地址表中。知识储备一、交换机简介3.交换机的功能任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1(1)学习。(2)转发/过滤。(3)消除回路。知识储备一、交换机简介4.交换技术任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1(1)端口交换。端口交换还可细分为:①模块交换将整个模块进行网段迁移。②端口组交换通常模块上的端口被划分为若干组,每组端口允许进行网段迁移。③端口级交换支持每个端口在不同网段之间进行迁移。知识储备一、交换机简介4.交换技术任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1(2)帧交换。对网络帧的处理方式一般有以下几种:①直通式。②存储转发。③碎片隔离。知识储备一、交换机简介4.交换技术任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1(3)信元交换。ATM技术采用固定长度为53个字节的信元交换。由于长度固定,因此便于用硬件实现。ATM采用专用的非差别连接,并行运行,可以通过一个交换机同时建立多个节点,但并不会影响每个节点之间的通信能力。ATM还容许在源节点、目标和节点之间建立多个虚拟链接,以保障足够的带宽和容错能力。ATM采用了统计时分的电路进行复用,因而能大大提高通道的利用率。ATM的带宽可以达到25MB、155MB、622MB甚至数GB的传输能力。但随着万兆以太网的出现,曾经代表网络和通讯技术未来发展方向的ATM技术,开始逐渐失去存在的意义。知识储备二、DCRS-5526S1.DCRS-5526S简介任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1知识储备二、DCRS-5526S2.DCRS-5526S的特点任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1(1)端口配置。(2)MAC地址控制。(3)VLAN配置。(4)三层转发与三层路由协议。(5)QoS。(6)ACL。(7)IEEE802.1x接入认证。(8)生成树。知识储备二、DCRS-5526S2.DCRS-5526S的特点任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1(9)带宽控制(端口限速)。(10)端口汇聚。(11)IGMPSnooping。(12)广播风暴抑制。(13)端口镜像。(14)DHCP服务器、中继、客户端。(15)RADIUS。(16)全面的网络管理。知识储备三、交换机安全基础1.Telnet安全任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1(1)关闭Telnet管理模式。(2)加密口令。知识储备三、交换机安全基础2.动态ARP检测任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1配置动态ARP检测的操作步骤如下:①校验两台交换机之间的连接。②进入全局配置模式。③在任一VLAN中启用动态ARP检测。④指定接口连接到另一台交换机,并且进入接口配置模式。⑤配置两台交换机之间的信任连接。⑥返回特权EXEC模式。⑦校验配置。⑧校验DHCP绑定。⑨检验动态ARP检测统计。⑩保存配置。知识储备三、交换机安全基础3.访问控制任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1根据不同的标准,AccessList有如下分类:(1)根据过滤信息分为:IpAccessList(三层以上信息)、MacAccessList(二层信息)、MacIpAccessList(二层以上信息)。(2)根据配置的复杂程度分为:标准(standard)和扩展(extended),扩展方式可以要求更加细致地过滤信息。(3)根据命名方式分为:数字(numbered)和命名(named)。案例分析任务一交换机安全维护基础完成网络设备与终端系统的基本安全维护1

为了管理方便,网络管理员经常会在交换机上开启Telnet管理功能,Telnet给管理带来方便的同时也给安全

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论