通信网络安全

通信网络安全第一页，共25页通信网络安全全文共25页，当前为第1页。第5章网络安全技术

第二页，共25页通信网络安全全文共25页，当前为第2页。5.1网络系统安全技术概述5.1.1网络系统面临的安全问题从系统和应用出发，网络的安全因素可以划分为五个安全层，即物理层、系统层、应用层、网络层和安全管理层。应该在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。1.物理层的安全风险2.网络层安全风险3.系统层的安全风险第三页，共25页通信网络安全全文共25页，当前为第3页。4.应用层安全风险（1）身份认证漏洞（2）DNS服务威胁（3）WWW服务漏洞（4）电子邮件系统漏洞5.管理层安全风险5.1.2网络安全产品信息安全和网络安全产品有以下几类：（1）防火墙。（2）安全路由器。（3）虚拟专用网(VPN)。（4）安全服务器。第四页，共25页通信网络安全全文共25页，当前为第4页。（5）认证中心和公钥机制。（6）用户认证产品。（7）安全管理中心。（8）数据恢复与容灾系统。（9）入侵检测系统（IDS）。（10）安全数据库。（11）安全操作系统。5.2信息防护技术5.2.1访问控制策略1.入网访问控制入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。第五页，共25页通信网络安全全文共25页，当前为第5页。2.文件和网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。文件系统的安全主要是通过设置文件的权限来实现的。（1）文件许可权文件属性决定了文件的被访问权限，即什么人能存取或执行该文件。（2）目录级安全控制网络应允许控制用户对目录、文件、设备的访问。第六页，共25页通信网络安全全文共25页，当前为第6页。（3）属性安全控制属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。（4）网络服务器安全控制网络允许在服务器控制台上执行一系列操作。5.2.2加密和认证1.加密网络系统自身的安全涉及很多技术，这些技术在网络攻守较量中又不断发展、完善。网络的一种安全问题是数据的安全，数据安全包括传输保密和存储保密，保密最核心的是密码算法，密码算法包括加密算法、密钥管理算法及验证算法。

第七页，共25页通信网络安全全文共25页，当前为第7页。2.认证传统的用户认证系统有三个功能，即对用户进行认证(Authentication)、授权(Authorization)和计费数据采集(Accounting)。

（1）认证(Authentication)认证就是指用户必须提供他是谁的证明。（2）授权(Authorization)授权主要是用户管理，即针对普通操作员。（3）计费数据采集(Accounting)①计费管理②计费策略定制③系统管理功能第八页，共25页通信网络安全全文共25页，当前为第8页。5.2.3安装Radius认证访问服务器远程认证拨号用户服务(RemoteAuthenticationDialInUserService，RADIUS)是在网络访问服务器(NetworkAccessServer，NAS)和集中存放认证信息的Radius服务器之间传输认证、授权和配置信息的协议。1.RADIUS的工作原理RADIUS以Client/Server方式工作，实现了对远程电话拨号用户的身份认证、授权和计费功能。RADIUS的工作流程是：（1）用户拨入NAS;（2）NAS向RADIUS服务器发送一系列加密的“属性/值”;（3）RADIUS服务器检查用户是否存在、属性/值是否匹配；（4）RADIUS服务器发送回“接受“或“拒绝“给NAS。第九页，共25页通信网络安全全文共25页，当前为第9页。用户认证、管理和计费系统的结构如图5.1所示：第十页，共25页通信网络安全全文共25页，当前为第10页。5.2.4网络防病毒技术网络病毒是在网络上传播的病毒。网络病毒的来源主要有两种：一种威胁是来自文件下载。另一种主要威胁来自于电子邮件。1.病毒防治软件安装位置网络病毒防治必须考虑安装病毒防治软件。2.防病毒软件的部署和管理部署一种防病毒软件的实际操作一般包括以下步骤：（1）调查和制定计划（2）测试（3）系统安装（4）维护3.常用防病毒软件第十一页，共25页通信网络安全全文共25页，当前为第11页。5.3防火墙技术防火墙是指设置在不同网络或网络安全域之间执行访问控制策略的一个或一组控制系统。防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。原则上，防火墙是由两种机制构成：一种是查阻信息通行，另一种是允许信息通过。防火墙有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。第十二页，共25页通信网络安全全文共25页，当前为第12页。5.3.1防火墙系统概述1.防火墙系统的体系结构（1）简单包过滤防火墙简单包过滤技术对网络层和传输层协议进行保护，对进出网络的单个包进行检查，具有性能较好和对应用透明的优点，目前绝大多数路由器都提供这种功能。（2）应用代理防火墙应用代理防火墙也可称之为应用网关防火墙。应用代理的原理是彻底隔断通信两端的直接通信，所有通信都必须经应用层代理层转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。（3）状态监测防火墙状态监测防火墙已经成为防火墙的标准。

第十三页，共25页通信网络安全全文共25页，当前为第13页。2.防火墙系统的关键技术（1）分组过滤技术分组过滤又称“包过滤”，它是防火墙最传统、最简单和最基本的技术。（2）地址翻译技术地址翻译是指将一个IP地址映射为另一IP地址。它既可解决内部网络IP地址不足的问题，也能使内部网络中的主机IP地址对外部网络无效，隐藏内部网络主机。（3）应用级网关（代理服务器）与分组过滤技术不同，代理服务器(Proxy)技术不是在网络层拦截数据分组，而是通过为各种应用服务分别设立代管的方法在应用层对网络信息攻击进行防范。第十四页，共25页通信网络安全全文共25页，当前为第14页。（4）电路级网关电路级网关防火墙属于第三代防火墙技术，它通过监控受信任的客户或服务器与不受信任的主机间的TCP握手信息来决定该会话是否合法。（5）非军事化区(DMZ)DMZ位于企业内部网络和外部网络之间的小网络区域，通常是一个过滤的子网。（6）状态监视器(StatefulInspection)：状态监视器是一种最新的防火墙技术，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。第十五页，共25页通信网络安全全文共25页，当前为第15页。5.3.2防火墙的选购1.产品类型2.LAN接口3.协议支持4.访问控制配置5.自身的可靠性6.防御功能7.连接性能8.管理功能9.记录和报表功能10.灵活的可扩展和可升级性11.协同工作能力12.品牌知名度

第十六页，共25页通信网络安全全文共25页，当前为第16页。5.3.3Cisco防火墙的配置1.防火墙的基本配置原则在防火墙的配置过程中需坚持以下三个基本原则：（1）简单实用。（2）全面深入。（3）内外兼顾。2.CiscoPIX防火墙的基本配置防火墙的具体配置步骤如下：（1）如图7.2所示，将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。（2）开启所连电脑和防火墙的电源，进入Windows系统自带的"超级终端"，通讯参数可按系统默然。第十七页，共25页通信网络安全全文共25页，当前为第17页。（3）输入enable命令，进入Pix525特权用户模式，默然密码为空。（4）定义以太端口：先必须用enable命令进入特权用户模式，然后输入configureterminal（可简称为configt），进入全局配置模式模式。（5）配置时钟（6）指定接口的安全级别（7）配置以太网接口IP地址（8）access-group这个命令是把访问控制列表绑定在特定的接口上。（9）配置访问列表（10）配置地址转换（NAT）（11）静态端口重定向（12）显示与保存结果第十八页，共25页通信网络安全全文共25页，当前为第18页。3.包过滤型防火墙的访问控制表（ACL）配置（1）access-list：用于创建访问规则①创建标准访问列表②创建扩展访问列表③删除访问列表（2）清除访问列表规则的统计信息（3）IPaccess-group（4）showaccess-list（5）showfirewall（6）Telnet第十九页，共25页通信网络安全全文共25页，当前为第19页。5.4广域网的网络安全方案设计5.4.1电子政务的网络结构与应用系统所谓电子政务就是将政府机构运用现代计算机技术和网络技术，将其管理和服务的职能转移到网络上去完成，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向全社会提供高效优质、规范透明和全方位的管理与服务。5.4.2电子政务网络安全方案设计原则（1）需求、风险、代价平衡的原则（2）综合性、整体性原则（3）一致性原则（4）易操作性原则（5）适应性、灵活性原则（6）多重保护原则（7）可评价性原则第二十页，共25页通信网络安全全文共25页，当前为第20页。具体是采用下面的安全措施实现网络系统的安全：（1）网络系统内各局域网边界的安全。（2）网络与其它网络如Internet互连的安全。（3）网络系统内部各局域网之间信息传输的安全。（4）拨号用户的接入安全问题。（5）网络监控与入侵防范。（6）网络安全检测。5.4.3电子政务网络安全解决方案物理层安全解决方案保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。它主要包括环境安全、设备安全和线路安全三个方面。

第二十一页，共25页通信网络安全全文共25页，当前为第21页。2.网络层安全解决方案（1）防火墙安全技术建议（2）入侵检测安全技术建议（3）数据传输安全建议3.系统层安全解决方案系统层安全主要包括两个部分：操作系统安全技术以及数据库安全技术。数据库管理系统应具有如下能力：（1）自主访问控制（DAC）：DAC用来决定用户是否有权访问数据库对象；（2）验证：保证只有授权的合法用户才能注册和访问；（3）授权：对不同的用户访问数据库授予不同的权限；（4）审计：数据库管理系统应能够提供与安全相关事件的审计能力，监视各用户对数据库的操作，例如试图改变访问控制许可权、试图创建、拷贝、清除或执行数据库等操作。第二十二页，共25页通信网络安全全文共25页，当前为第22页。4.应用层安全技术方案（1）身份认证技术（2）防病毒技术5.安全管理方案建议（1）安全体系建设规范

（2）安