计算机网络安全技术全套教学课件

第1章计算机网络安全概述计算机网络安全技术第1章计算机网络安全概述.pptx第2章网络攻击与防御.pptx第3章计算机病毒与木马.pptx第4章数据加密技术.pptx第5章网络操作系统管理.pptx第6章防火墙与VPN技术.pptx第7章无线网络安全技术.pptx第8章数据存储备份技术.pptx第9章Web应用安全.pptx全套可编辑PPT课件CONTENTSCONTENTS01网络安全简介02网络安全的发展阶段03网络体系结构与协议04开放系统互连参考模型05TCP/IP参考模型06网络安全模型与体系结构第1章计算机网络安全概述1.1网络安全简介1.1.1网络安全的定义1.1.2网络安全的重要性1.1.3网络安全脆弱性的原因1.1.4网络安全的基本要素1.1.5网络安全面临的威胁第1章计算机网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续、可靠、正常第运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及网络上的信息的保密性、完整性、可用性、可控性的相关技术和理论都是网络安全的研究领域。1.1.1网络安全的定义第1章计算机网络安全概述1.1.2网络安全的重要性网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科第1章计算机网络安全概述1.1.3网络安全脆弱性的原因从整体上看，网络系统在设计、实现、应用和控制过程中存在的一切可能被攻击者利用从而造成安全危害的缺陷都是脆弱性。网络系统遭受损失最根本的原因在于其本身存在的脆弱性，网络系统的脆弱性主要来源于以下几个方面。1．开放性的网络环境2．操作系统的缺陷3．应用软件的漏洞4．人为因素第1章计算机网络安全概述1.1.4网络安全的基本要素由于网络安全受到威胁的多样性、复杂性及网络信息、数据的重要性，在设计网络系统的安全时，应该努力达到安全目标。一个安全的网络具有下面五个特征：保密性、完整性、可靠性、可用性和不可抵赖性。1．保密性2．完整性3．可靠性4．可用性5．不可抵赖性第1章计算机网络安全概述1.1.5网络安全面临的威胁计算机网络所面临的威胁包括对网络中信息的威胁和对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；还有可能是外来黑客对网络系统资源的非法使用等，目前网络安全存在的主要威胁，如图1.4所示。1．网络内部威胁2．网络外部威胁第1章计算机网络安全概述1.1.6网络安全发展趋势随着信息技术和信息产业的发展，网络和信息安全问题及其对经济发展、国家安全和社会稳定的重大影响，正日益突出的显示出来，主要表现在以下几个方面。（1）信息与网络安全的防护能力弱，信心安全意识低。（2）基础信息产业薄弱，核心技术严重依赖国外，缺乏自主知识产权产品。（3）信息犯罪在我国有快速发展蔓延的趋势。（4）我国信息安全人才培养还远远不能满足要求。第1章计算机网络安全概述1.2网络安全的发展阶段1.2.1通信安全阶段1.2.2计算机安全阶段1.2.3信息技术安全阶段1.2.4信息保障阶段第1章计算机网络安全概述1.2.1通信安全阶段20世纪40年代~70年代，通信技术还不发达，电脑只是零散地位于不同的地点，信息系统的安全局限于保证电脑的物理安全以及面对电话、电报、传真等信息交换过程中存在的安全问题。把电脑安置在相对安全的地点，不容许生人接近，就可以保证数据的安全性。但是，信息是必须要交流的，如果这台电脑的数据需要让别人读取，而需要数据的人在异地，那么只能将数据复制到介质上，派专人秘密送到目的地，复制到电脑再读取数据。即使是这样，也不是完美无缺的，谁来保证信息传递员的安全？因此这个阶段人强调的信息系统安全性更多的是信息的保密性，重点是通过密码技术解决通信保密问题，主要是保证数据的保密性与完整性，对于安全理论和技术的研究也只侧重于密码学，这一阶段的信息安全可以简单地称为通信安全。第1章计算机网络安全概述1.2.2计算机安全阶段20世纪80年代，计算机的应用范围不断扩大，计算机和网络技术的应用进入了实用化和规模化阶段，人们利用通信网络把独立的计算机系统连接起来共享资源，信息安全问题也逐渐受到重视。人们对安全的关注已经逐渐扩展为保密性、完整性和可用性为目标的计算机安全阶段。第1章计算机网络安全概述1.2.3信息技术安全阶段20世纪90年代，信息的主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等，网络安全的重点是确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施，即转变到了强调信息的保密性、完整性、可控性、可用性的信息安全阶段。第1章计算机网络安全概述1.2.4信息保障阶段20世纪90年代后期，随着电子商务等行业的发展，网络安全衍生出了诸如可控性、不可否认性等其他原则和目标。此时对安全性有了新的需求。可控性是对信息及信息系统实施安全监控管理；不可否认性是保证行为人不能否认自己的行为。信息安全也转化为从整体角度考虑其体系建设的信息保障阶段，也称为网络信息安全阶段。第1章计算机网络安全概述1.3网络体系结构与协议1.3.1网络体系结构的概念1.3.2网络体系的分层结构1.3.3网络协议的概念1.3.4网络层次结构中的相关概念第1章计算机网络安全概述1.3.1网络体系结构的概念网络体系结构是指整个网络系统的逻辑组成和功能分配，定义和描述了一组用于计算机及其通信设施之间互连的标准和规范的集合。研究网络体系结构的目的在于定义计算机网络各个组成部分的功能，以便在统一的原则指导下进行网络的设计、使用和发展。1．层次结构的概念2．层次结构的主要内容3．层次结构划分原则4．划分层次结构的优越性第1章计算机网络安全概述1.3.2网络体系的分层结构网络体系都是按层的方式来组织的，每一层都能完成一组特定的、有明确含义的功能，每一层的目的都是向上一层提供一定的服务，而上一层不需要知道下一层是如何实现服务的。第1章计算机网络安全概述1.3.3网络协议的概念连网的计算机以及网络设备之间要进行数据与控制信息的成功传递就必须共同遵守网络协议，网络协议包含了3个方面的内容：语义、语法和时序。语义：规定通信的双方准备“讲什么”，即需要发出何种控制信息，完成何种动作以及做出何种应答。语法：规定了通信双方“如何讲”，即确定用户数据与控制信息的结构、格式、数据编码等。时序：又可称为“同步”，规定了双方“何时进行通信”，即事件实现顺序的详细说明。第1章计算机网络安全概述1.3.4网络层次结构中的相关概念网络层次结构中包含实体、接口、服务等相关概念。1．实体2．接口3．服务4．层间通信5．服务访问点（ServiceAccessPoint）6.协议数据单元（ProtocolDataUnit，PDU）7．接口数据单元（InterfaceDataUnit，IDU）第1章计算机网络安全概述1.4开放系统互连参考模型1.4.1OSI参考模型1.4.2OSI参考模型各层的功能1.4.3OSI参考模型数据传输过程第1章计算机网络安全概述1.4.1OSI参考模型OSI模型将计算机网络通信协议分为七层，OSI参考模型的层次是相互独立的，每一层都有各自独立的功能，这7层由低至高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，每一层完成通信中的一部分功能，并遵循一定的通信协议，该协议具有如下特点。（1）网络中每个节点均有相同的层次。（2）不同节点的同等层具有相同的功能。（3）同节点内相邻层之间通过接口通信。（4）每一层可以使用下层提供的服务，并向其上层提供服务。（5）仅在最低层进行直接数据传送。第1章计算机网络安全概述1.4.2OSI参考模型各层的功能OSI参考模型并非指一个现实的网络，它仅仅规定了每一层的功能，为网络的设计规划出一张蓝图，各个网络设备或软件生产厂商都可以按照这张蓝图来设计和生产自己的网络设备或软件，尽管设计和生产出的网络产品的样式、外观各不相同，但它们应该具有相同的功能。1．物理层2．数据链路3．网络层4．传输层5．会话层6．表示层7．应用层第1章计算机网络安全概述1.4.3OSI参考模型数据传输过程层次结构模型中数据的实际传输过程，如图1.18所示。发送进程传输给接收进程数据，实际上是经过发送方各层从上到下传输到物理传输介质，通过物理传输介质传输到接收方，再经过从下到上各层的传递，最后到达接收进程。1．数据解封装2．网络通信常见术语第1章计算机网络安全概述1.5TCP/IP参考模型1.5.1TCP/IP概述1.5.2TCP/IP参考模型各层的功能1.5.3OSI/ISO与TCP/IP参考模型比较1.5.4TCP/IP网际层协议1.5.5TCP/IP传输层协议1.5.6TCP/IP应用层协议第1章计算机网络安全概述1.5.1TCP/IP概述TCP/IP是目前最流行的商业化网络协议，尽管它不是某一标准化组织提出的正式标准，但它已经被公认为目前的工业标准或“事实标准”。因特网之所以能迅速发展，就是因为TCP/IP能够适应和满足世界范围内数据通信的需求。1．TCP/IP协议的特点2．TCP/IP协议的缺点3．TCP/IP参考模型的层次第1章计算机网络安全概述1.5.2TCP/IP参考模型各层的功能TCP/IP参考模型各层的功能如下。1．网络接口层2．网际层3．传输层4．应用层第1章计算机网络安全概述1.5.3OSI/ISO与TCP/IP参考模型比较TCP/IP参考模型与OSI参考模型在设计上都采用了层次结构的思想，不过层次划分及使用的协议有很大的区别。无论是OSI参考模型还是TCP/IP参考模型都不是完美的，都存在某些缺陷。1．OSI参考模型的优、缺点2．TCP/IP参考模型的优、缺点第1章计算机网络安全概述1.5.4TCP/IP网际层协议在计算机网络的众多协议中，TCP/IP是应用最广泛的，在TCP/IP层次结构包含的4个层次中，只有3个层次包含实际的协议。网际层的协议主要包括：网际协议、地址解析协议、网际控制消息协议和网际主机组管理协议。1．网际协议2．地址解析协议3．网际控制消息协议4．网际主机组管理协议第1章计算机网络安全概述1.5.5TCP/IP传输层协议传输层协议主要包括传输控制协议和用户数据报协议。1．传输控制协议2．用户数据报协议第1章计算机网络安全概述1.5.6TCP/IP应用层协议1．超文本传输协议2．文件传送协议3．远程登录协议4．简单邮件传送协议5．域名解析协议6．简单网络管理协议7．动态主机配置协议第1章计算机网络安全概述1.6网络安全模型与体系结构1.6.1PDRR安全模型1.6.2PPDR安全模型1.6.3网络安全体系结构第1章计算机网络安全概述1.6.1PDRR安全模型PDRR即美国国防部提出的常见的“信息安全保障体系”，它概括了网络安全的整个环节，包括防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）。PDRR模型的名称也由这四个环节的英文单词首字母结合而来的，这四个部分构成了一个动态的信息安全周期，如图1.23。1．防护2．检测3．响应4．恢复

第1章计算机网络安全概述1.6.2PPDR安全模型保护（Protection）：保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密和认证等方法。检测（Detection）：在PPDR模型中，检测是非常重要的一个环节，检测是动态响应和加强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应。响应（Response）：响应在安全系统中占有最重要的地位，是解决潜在安全问题的最有效办法。从某种意义上讲，安全问题就是要解决响应和异常处理问题。要解决好响应问题，就要指定好响应的方案，做好响应方案中的一切准备工作。安全策略(Policy)：安全策略是整个网络安全的依据。第1章计算机网络安全概述1.6.3网络安全体系结构所谓安全体系结构，指的是一个计划和一套原则，它应该描述：（1）为满足用户需求而必须提供的一套安全服务；（2）要求所有系统元素都要事先的服务；（3）为应付威胁环境而要求系统元素，达到的安全级别。感谢您的观看FoundationsofComputerNetworkTechnology计算机网络安全技术ThankYOU!第2章网络攻击与防御计算机网络安全技术CONTENTSCONTENTS01黑客概述02网络信息收集03网络监听04网络入侵实施CONTENTSCONTENTS05拒绝服务攻击06ARP欺骗07缓冲区溢出08入侵检测与防御系统第2章网络攻击与防御2.1黑客概述2.1.1黑客的由来与分类2.1.2黑客攻击的主要途径2.1.3黑客攻击的目的及过程第2章网络攻击与防御Hacker一词，最初曾指热心于计算机技术、水平高超的电脑高手，尤其是程序设计人员，逐渐区分为白帽、灰帽、黑帽等，其中黑帽（BlackHat）实际就是Cracker。在媒体报道中，黑客一词常指那些软件骇客（SoftwareCracker），而与黑客（黑帽子）相对的则是白帽子。1．黑客的定义2．黑客的行为发展趋势2.1.1黑客的由来与分类第2章网络攻击与防御2.1.2黑客攻击的主要途径黑客攻击主要借助计算机网络系统的漏洞。漏洞又称系统缺陷，是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，它们可使攻击者能够在未授权的情况下访问或破坏系统。1．黑客攻击的漏洞2．黑客入侵通道第2章网络攻击与防御2.1.3黑客攻击的目的及过程下面介绍一下黑客攻击的目的以及攻击的过程。1．黑客攻击的目的2．黑客攻击手段的类型3．黑客攻击的过程第2章网络攻击与防御2.2网络信息收集2.2.1常见的网络信息收集技术2.2.2常见的网络扫描器工具2.2.3常用的网络命令第2章网络攻击与防御2.2.1常见的网络信息收集技术信息收集是指黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。信息收集有时也被称为“踩点”。通常“踩点”包括以下内容，目标主机的域名、IP地址、操作系统类型、开放了哪些端口，以及这些端口后面运行着什么样的应用程序，这些应用程序有没有漏洞等。那么如何收集信息呢？可以利用与技术无关的“社会工程学”、搜索引擎以及扫描工具等。1．社会工程学2．Web搜索与挖掘3．DNS和IP查询4．网络结构探测第2章网络攻击与防御2.2.2常见的网络扫描器工具网络扫描作为网络信息收集中最主要的一人环节，其主要是探测目标网络，找出尽可能多的连接目标，然后进一步探测获取目标系统的开放端口、操作系统类型、运行的网络服务、存在的安全漏洞等信息，这些工作可以通过网络扫描器来完成。1．X-Scan综合扫描器工具2．Nmap扫描器工具3．Nessus扫描器工具4．Portscan&Stuff扫描器工具5．Portscan端口扫描工具6．FreePortScanner端口扫描工具第2章网络攻击与防御2.2.3常用的网络命令在网络设备调试的过程中，经常会使用网络命令对网络进行测试，以查看网络的运行情况。下面介绍一下网络中常用的网络命令的用法。1．ping命令2．tracert命令3．nslookup命令4．netstat命令5．ipconfig命令6．arp命令第2章网络攻击与防御2.3网络监听2.3.1Wireshark网络分析器2.3.2Charles网络封包分析器2.3.3Fiddler调试代理分析器2.3.4Iptool网路岗抓包第2章网络攻击与防御2.3.1Wireshark网络分析器Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是获取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。1．Wireshark工具的使用2．Wireshark的工作流程第2章网络攻击与防御2.3.2Charles网络封包分析器Charles是常用的截取网络封包的工具，为了调试与服务器端的网络通讯协议，常常需要截取网络封包来进行分析。Charles是通过把自己设置成系统的网络访问代理服务器，使得所有的网络访问请求都通过它来完成，从而就可以实现了网络封包的截取和分析。1．Charles主要功能如下2．Charles工具的使用第2章网络攻击与防御2.3.3Fiddler调试代理分析器Fiddler是一个HTTP协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的HTTP通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie、html、js、css等文件）。Fiddler要比其他的网络调试器要更加简单，因为它不仅仅暴露http通讯还提供了一个用户友好的格式。Fiddler支持断点调试技术，当你在软件的菜单rules—automaticbreakpoints选项选择beforerequest，或者当这些请求或响应属性能够跟目标的标准相匹配，Fiddler就能够暂停HTTP通讯，并且允许修改请求和响应。这种功能对于安全测试是非常有用的，当然也可以用来做一般的功能测试，因为所有的代码路径都可以用来演习。第2章网络攻击与防御2.3.4Iptool网路岗抓包智能平台管理接口（IntelligentPlatformManagementInterface，IPMI），IPMItool是一个简单的命令行接口，用于管理基于IPMI启用的设备。通过内核设备驱动程序或通过LAN接口，您可使用此实用程序执行IPMI功能。IPMItool使您能够不依赖于操作系统而管理系统的现场可更换部件、监视系统健康状态以及监视并管理系统环境，打开网路岗抓包iptool工具软件的主界面，如图2.61所示。第2章网络攻击与防御2.4网络入侵实施1.4.1OSI参考模型1.4.2OSI参考模型各层的功能1.4.3OSI参考模型数据传输过程第2章网络攻击与防御2.4.1口令破解入侵者攻击目标时常把破译用户的口令作为攻击的开始。只要入侵者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限，这是极其危险的。口令攻击是黑客最喜欢采用的入侵网络的方法。黑客通过获取系统管理员或其他殊用户的口令，获得系统的管理权，窃取系统信息、磁盘中的文件甚至对系统进行破坏。1．口令破解常用方法2．口令破解实例应用第2章网络攻击与防御2.4.2主机IPC$入侵IPC$入侵，即通过使用Windows系统中默认启动的IPC$共享，来达到侵略主机，获得计算机控制权的入侵。此类入侵主要利用的是计算机使用者对计算机安全的知识缺乏，通常不会给计算机设置密码或者密码过于简单，因此才导致被黑客的有机可乘。IPC$是Windows的默认共享。其实，这个共享并没有什么漏洞。我们可以用主机的管理员用户名和密码连接。问题就出在管理员密码了。直至现在为止，世界上起码有20%的人，把主机密码设置为“空”或者“123”等简单密码。1．主机IPC$入侵实例应用2．如何防范IPC$入侵第2章网络攻击与防御2.5拒绝服务攻击2.5.1拒绝服务攻击概述2.5.2常见的拒绝服务攻击2.5.3分布式拒绝服务攻击2.5.4DoS与DDoS攻击的防护第2章网络攻击与防御2.5.1拒绝服务攻击概述拒绝服务（Denialofservice，DoS），任何对服务的干涉，使得其可用性降低或者失去可用性均称为拒绝服务。例如，一个计算机系统崩溃或其带宽耗尽或其硬盘被填满，导致其不能提供正常的服务，就构成拒绝服务。拒绝服务攻击是指造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。1．拒绝服务攻击的定义2．拒绝服务攻击的目的3．拒绝服务攻击的分类第2章网络攻击与防御2.5.2常见的拒绝服务攻击拒绝服务攻击的攻击者想尽办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程，甚至网络带宽，从而阻止正常用户的访问，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机。攻击者进行拒绝服务攻击，实际上是让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。下面来介绍一下几种常见的拒绝服务攻击。1．死亡之ping2．Land攻击3．IP欺骗性攻击4．Teardrop攻击5．SYNFlood攻击6．UDPFlood攻击第2章网络攻击与防御2.5.3分布式拒绝服务攻击分布式拒绝服务攻击(DistributedDenialofService，DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。1．Smurf攻击2．Trinoo攻击3．TFN攻击4．TFN2攻击5．Stacheldraht攻击第2章网络攻击与防御2.5.4DoS与DDoS攻击的防护DoS攻击几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。由于DDoS攻击具有隐蔽性，因此到目前为止还没有发现对DDoS攻击行为之有效的解决方法，所以要加强安全防范意识，提高网络系统的安全性。1．DoS攻击的防护2．DDoS攻击防护第2章网络攻击与防御2.6ARP欺骗2.6.1ARP的工作原理2.6.2ARP欺骗攻击及防御第2章网络攻击与防御2.6.1ARP的工作原理地址解析协议（AddressResolutionProtocol，ARP），解析IP地址与MAC地址的对应关系，即将IP地址解析为MAC地址。ARP协议的基本功能就是查询目标设备的MAC地址，完成数据封装。ARP是一种利用网络层地址来取得数据链路层地址的协议，如果网络层使用IP，数据链路层使用以太网，那么当我们知道某个设备的IP地址时，就可以利用ARP来取得对应的以太网MAC地址。网络设备在发送数据时，当网络层信息要封装为数据链路层信息之前，需要首先取得目的设备的MAC地址。因此，ARP在网络数据通信中是非常重要的。

第2章网络攻击与防御2.6.2ARP欺骗攻击及防御ARP协议并不是只在发送了ARP请求后才接收ARP应答，当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答的IP和MAC地址存储在ARP缓存中。ARP欺骗攻击正是利用了ARP缓存表更新的特点，黑客有目的地向被攻击者发送虚假的单播ARPrequest或者ARPreply报文。第2章网络攻击与防御2.7缓冲区溢出2.7.1缓冲区溢出原理2.7.2缓冲区溢出的防范措施第2章网络攻击与防御2.7.1缓冲区溢出原理缓冲区溢出是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁中断之际并获取程序乃至系统的控制权。1．缓冲区2．缓冲区溢出

第2章网络攻击与防御2.7.2缓冲区溢出的防范措施缓冲区溢出是代码中固有的漏洞，除了在开发阶段要注意编写正确的代码之外，对于用户而言，一般的防范措施如下。（1）关闭端口或服务，管理员应该知道自己的系统上安装了什么，并且哪些服务正在运行。（2）安装软件厂商的补丁,漏洞一公布，大的厂商就会及时提供补丁。（3）在防火墙上过滤特殊的流量,无法阻止内部人员的溢出攻击。（4）自己检查关键的服务程序，看看是否有可怕的漏洞。（5）以所需要的最小权限运行软件。第2章网络攻击与防御2.8入侵检测与防御系统2.8.1入侵检测系统2.8.2入侵防御系统第2章网络攻击与防御2.8.1入侵检测系统入侵检测系统（IntrusionDetectionSystem，IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是IDS应当挂接在所有所关注流量都必须流经的链路上。1．入侵检测系统的概念2．入侵检测系统的功能3．入侵检测系统的安全策略4．入侵检测系统的优缺点5．入侵检测方法

第2章网络攻击与防御2.8.2入侵防御系统入侵防御系统也像入侵检测系统一样，专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用，在必要时它还可以为追究攻击者的刑事责任而提供法律上有效的证据。1．入侵预防技术2．入侵预防系统类型3．入侵预防系统的功能感谢您的观看FoundationsofComputerNetworkTechnology计算机网络安全技术ThankYOU!第3章计算机病毒与木马计算机网络安全技术CONTENTSCONTENTS01计算机病毒概述02计算机病毒的危害03计算机病毒的防范04木马攻击与防范第3章计算机病毒与木马3.1计算机病毒概述1.1.1网络安全的定义1.1.2网络安全的重要性1.1.3网络安全脆弱性的原因1.1.4网络安全的基本要素1.1.5网络安全面临的威胁第3章计算机病毒与木马计算机病毒、木马和恶意软件问题，是对计算机网络系统影响范围最广且经常遇到的安全威胁和隐患。计算机网络系统如果受到计算机病毒和恶意软件的侵扰，就会出现轻者影响系统运行、使用和服务，重者导致文件和系统损坏，甚至导致服务器和网络系统的瘫痪，所以，加强防范计算机病毒、木马和恶意软件极为重要。1．计算机病毒的定义2．计算机病毒的产生及原因3．计算机病毒的发展历程3.1.1计算机病毒的基本概念第3章计算机病毒与木马3.1.2计算机病毒的主要特征计算机病毒的特征主要体现在以下几个方面。1．传染性2．破坏性3．隐蔽性4．寄生性5．可执行性6．可触发性7．攻击的主动性8．病毒的针对性第3章计算机病毒与木马3.1.3计算机病毒的分类随着计算机网络技术的快速发展，各种计算机病毒及变种也不断涌现、快速增长，并且也越来越复杂，其分类方法也没有严格的标准，下面将尽量从不同的角度来进行总结分类。1．按照计算机病毒依附的操作系统分类2．按照病毒攻击的机型分类3．按照计算机病毒依附的媒体类型分类4．照计算机病毒传播途径分类第3章计算机病毒与木马3.2计算机病毒的危害3.2.1计算机病毒的异常症状3.2.2计算机病毒的危害表现第3章计算机病毒与木马3.2.1计算机病毒的异常症状计算机病毒的主要症状很多，凡是计算机不正常工作都有可能与病毒有关。计算机染上病毒后，如果没有发作，是很难觉察到的，但是病毒发作时就很容易从以下症状中感觉出来。（1）计算机运行速度明显变慢。（2）突然经常性地死机。（3）经常发生内存不足情况。（4）无法正常启动操作系统。（5）打印和通信异常。（6）无法保存或另存为文件。（7）磁盘容量聚减。（8）自动链接陌生网站。第3章计算机病毒与木马3.2.2计算机病毒的危害表现病毒是引起大多数软件故障的主要原因，计算机病毒其实是一种自我复制能力的程序或脚本语言，这些计算机程序或脚本语言利用计算机的软件或硬件的缺陷控制或破坏计算机，可使系统运行缓慢、不断重启或使用户无法正常操作计算机，甚至可能在硬件上造成损坏。（1）破坏内存。（2）文件丢失或破坏文件。（3）影响计算机运行速度。（4）影响操作系统正常运行。（5）破坏硬盘或BIOS程序。（6）破坏系统数据区。（7）部分文档自动加密。（8）导致计算机网络瘫痪，无法正常提供网络服务。第3章计算机病毒与木马3.3计算机病毒的防范3.3.1计算机病毒程序的构成3.3.2计算机病毒的防范技术第3章计算机病毒与木马3.3.1计算机病毒程序的构成计算机病毒程序通常由3个模块和1个标志构成，即引导模块、感染模块、破坏表现模块和感染标志构成。1．引导模块2．感染模块3．破坏表现模块4．感染标志第3章计算机病毒与木马3.3.2计算机病毒的防范技术众所周知，一个计算机系统要想知道其有无感染病毒，首先要进行检测，然后才是防治。具体的检测方法不外乎两种：自动检测和人手检测。自动检测是由成熟的检测软件（杀毒软件）来看自动完成，无须太多的人工干预，但是由于现在新病毒出现快、变种多，有时候没有及时更新病毒库，所以需要用户能够根据计算机出现的异常情况进行检测，即人工检测方法。感染病毒的计算机系统内部会发生某些变化，并在一定的条件下表现出来，因而可以通过直接观察来判断系统是否感染病毒。1．计算机病毒诊断方法2．计算机病毒防治第3章计算机病毒与木马3.4木马攻击与防范3.4.1木马的概述3.4.2木马的分类3.4.3木马的工作过程3.4.4木马的防范技术第3章计算机病毒与木马3.4.1木马的概述木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作，木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。1．特洛伊木马2．木马的工作原理3．木马的特点4．木马的伪装方法5．木马与病毒的区别6．木马与远程控制程序的区别第3章计算机病毒与木马3.4.2木马的分类自木马程序诞生至今，已经出现了多种类型的木马，对它们进行完全的列举和说明是不可能的，更何况大多数的木马都不是单一功能的木马，它们往往是很多种功能的集成品，甚至有很多从未公开的功能在一些木马中也广泛地存在着。木马的数量庞大，种类也是各异的，常见的木马可以分为以下几类。1．远程控制木马2．密码发送型木马3．键盘记录木马4．破坏类木马5．下载类木马6．代理类木马7．FTP类木马8．网页点击类木马9．网银木马10．DDoS攻击木马第3章计算机病毒与木马3.4.3木马的工作过程黑客利用木马进行网络入侵时，大致可分为配置木马、传播木马、启动木马、建立连接和远程控制5个步骤，如图3.26所示。1．配置木马2．传播木马3．启动木马4．建立连接5．远程控制第3章计算机病毒与木马3.4.4木马的防范技术为了防范木马的入侵，应该实施如下的安全措施。（1）使用专业厂商的正版防火墙。（2）注意自己电子邮箱的安全，不要打开陌生人的邮件，更不要在没有防护措施的情况下，打开或下载邮件中的附件。（3）不要轻易运行别人通过聊天工具发来的东西，对于从网上下载的资料或工具应用使用杀毒软件查杀确认安全后再使用。（4）定期检查系统的服务和系统的进程，查看是否有可疑服务或者可疑进程。（5）使用工具软件隐藏自身的实际地址，可以减少网络的攻击；不要隐藏文件的扩展名，以便及时地发现木马文件。（6）检测和寻找木马隐藏的位置。（7）防范端口。（8）删除可疑程序。（9）健全网站和网络游戏的管理。（10）增加网民的防范意识。感谢您的观看FoundationsofComputerNetworkTechnology计算机网络安全技术ThankYOU!第4章数据加密技术计算机网络安全技术CONTENTSCONTENTS01密码学概述02古典密码学03对称加密算法及其应用04非对称加密算法CONTENTSCONTENTS05数字签名与认证技术06邮件加密软件PGP07公钥基础设施和数字证书第4章数据加密技术4.1密码学概述4.1.1密码学的基本概念4.1.2密码学系统的安全性4.1.3密码学的发展阶段第4章数据加密技术密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则，变明文为密文，称为加密变换；变密文为明文，称为解密变换。密码在早期仅对文字或数码进行加、解密变换，随着通信技术的发展，对语音、图像、数据等都可实施加、解密变换。密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。它的现实研究成果，特别是各国政府现用的密码编制及破译手段都具有高度的机密性。1．密码学历史2．密码学专业术语4.1.1密码学的基本概念第4章数据加密技术4.1.2密码学系统的安全性信息安全的5个基本要素保密性、完整性、可用性、可控性、不可否认性，而数据加密技术正是保证信息安全基本要素的一个非常重要的手段。可以说没有密码学就没有信息安全，所以密码学是信息安全的一个核心。1．密码学与信息安全的关系2．数据加密技术第4章数据加密技术4.1.3密码学的发展阶段1967年，戴维·卡恩出版的《破译者》一书中指出“人类使用密码的历史几乎与使用文字的历史一样长”，很多考古的发现也表明古人会用很多奇妙的方法对数据进行加密。从整体来看，密码学的发展可以大致分成以下3个阶段。1．古典密码学阶段（第1阶段）2．现代密码学阶段（第2阶段）3．公钥密码学阶段（第3阶段）第4章数据加密技术4.2古典密码学4.2.1替换密码技术4.2.2换位密码技术第4章数据加密技术4.2.1替换密码技术在替换密码技术中，用一组密文字母来代替明文字母，以达到隐藏明文的目的。最典型的替换密码技术是公元前50年左右罗马朱利叶·凯撒发明的一种用于战时秘密通信的方法——“凯撒密码”。1．凯撒密码2．Playfair密码第4章数据加密技术4.2.2换位密码技术换位密码技术与替换密码技术相比，换位密码技术并没有替换明文中的字母，而是通过改变明文字母的排列次序来达到加密的目的。最常用的换位密码是列换位密码。下面通过一个例子来说明其工作的原理。第4章数据加密技术4.3对称加密算法及其应用4.3.1对称加密算法概述4.3.2DES算法4.3.3AES算法4.3.4其他常用的对称加密算法第4章数据加密技术4.3.1对称加密算法概述随着数据加密技术的发展，现代密码学主要有两种基于密钥的加密算法，分别是对称加密算法和公开密钥算法。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。1．对称加密算法的缺点2．对称加密算法的优点3．对称加密算法的工作方式第4章数据加密技术4.3.2DES算法DES算法为密码体制中的对称密码体制，又被称为美国数据加密标准，是1972年美国IBM公司研制的对称密码体制加密算法。明文按64位进行分组，密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1）分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。DES以算法实现快、密钥简短等特点成为现在使用非常广泛的一种加密标准。1．DES算法的基本思想2．DES算法中S盒的运算3．DES算法的安全性第4章数据加密技术4.3.3AES算法密码学中的高级加密标准（AdvancedEncryptionStandard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。高级加密标准由美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology，NIST）于2001年11月26日发布，并在2002年5月26日成为有效的标准，2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一AES是美国联邦政府采用的商业及政府数据加密标准，预计将在未来几十年里代替DES在各个领域中得到广泛应用。AES提供128位密钥，因此，128位AES的加密强度是56位DES加密强度的1000倍还多。假设可以制造一部可以在1秒内破解DES密码的机器，那么使用这台机器破解一个128位AES密码需要大约149亿年的时间。更深一步比较而言，宇宙一般被认为存在了还不到200亿年。因此可以预计，美国国家标准局倡导的AES即将作为新标准取代DES。第4章数据加密技术4.3.4其他常用的对称加密算法随着计算机软硬件水平的提高，DES算法的安全性也受到了一定的挑战。为了更进一步提高对称加密算法的安全性，在DES算法的基础上发展了其他对称加密算法，如三重DES、IDEA等。1．三重DES（TripleDES）算法

2．国际数据加密算法（InternationalDataEncryptionAlogorithm，IDEA）第4章数据加密技术4.4非对称加密算法4.4.1非对称加密算法概述4.4.2RSA算法第4章数据加密技术4.4.1非对称加密算法概述1976年，Diffie和Hellman了为解决密钥管理的问题，在他们具有奠基性意义的著作“密码学的新方向”一文中，提出了一种密钥交换协议，允许在不安全的媒体上通信双方交换信息，安全地达成一致的密钥。在此新思想的基础上，很快出现了与“传统密码体制”相对的“非对称密钥密码体制”，即“公开密钥密码体制”。其中加密密钥和解密密钥完全不同，不能通过加密密钥推算出解密密钥。之所以称为公开密钥加密算法，是因为其加密密钥是公开的，任何人都能通过查找相应的公开文档得到，而解密密钥是保密的，只有得到相应的解密密钥才能解密信息。在这个系统中，加密密钥也称为公开密钥（PublicKey，公钥），解密密钥也称为私人密钥（PrivateKey，私钥）。公开密钥加密算法的通信模型，如图4.6所示。第4章数据加密技术4.4.2RSA算法应用最广泛的公开密钥算法是RSA。RSA算法是在1977年由美国的3位教授罗纳德·李维斯特Rivest、阿迪·萨莫尔Shamirh和伦纳德·阿德曼Adleman在题为《获得数字签名和公开钥密码系统的一种方法》的论文中提出的，算法的名称取自3位教授的名字。RSA算法是第一个提出的公开密钥加密算法，是至今为止最为完善的公开密钥加密算法之一。RSA算法的这3位发明者也因此在2002年获得了计算机领域的最高奖——图灵奖。1．RSA算法的基本思想2．RSA算法的安全性分析3．公共密钥加密算法在网络安全中的应用第4章数据加密技术4.5数字签名与认证技术4.5.1数字签名概述4.5.2数字签名的实现方法4.5.3认证技术第4章数据加密技术4.5.1数字签名概述数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是在使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。1．数字签名的特点2．数字签名的主要功能第4章数据加密技术4.5.2数字签名的实现方法一个完善的数字签名应该解决以下3个问题。（1）接收方能够核实发送方的报文的签名，如果当事双方对签名真伪发生争议时，则应该能够在第三方监督下通过验证签名来确认其真伪。（2）发送方事后不能否认自己对报文的签名。（3）除了发送方的其他任何人不能伪造签名，也不能对接收或发送的信息进行篡改、伪造。在公钥密码体系中，数字签名是通过私钥加密报文信息来实现的，其安全性取决于密码体系的安全性。现在，经常采用公开密钥加密算法实现数据签名，特别是RSA算法。下面简单地介绍一下数字签名的实现思想。第4章数据加密技术4.5.3认证技术认证技术用于验证传输数据完整性的过程，一般可以分为消息认证和身份认证两种。消息认证用于验证信息的完整性和不可否认性，它可以检测信息是否被篡改或伪造，常见的消息认证方法包括散列函数、消息认证码、数字签名等。换句话说，消息认证就是验证所收到的消息是来自真正的发送方且没有被修改的，它可以防止伪装、篡改、顺序修改和时延修改等攻击，也可以防御否认攻击。而身份认证是确认用户身份的过程，包括身份识别和身份验证。1．散列函数2．消息认证码3．身份认证第4章数据加密技术4.6邮件加密软件PGP4.6.1PGP系统的概述4.6.2PGP系统的基本工作原理第4章数据加密技术4.6.1PGP系统的概述PGP加密软件是美国人菲利普·齐默曼（PhilipR.Zimmermann）在1991年发布的一个结合RSA公开密钥加密体系和对称加密体系的邮件软件包。它是目前世界上最流行的加密软件，其源代码是公开的，经受住了成千上万名顶尖黑客的破解挑战，它是目前世界上最优秀、最安全的加密软件。PGP软件的功能强大、速度快，在企事业单位中有着广泛的用途，尤其在商务应用上，全球百大企业中有80%使用它进行内部人员及外部商业伙伴的机密数据的往来。它不仅可以对邮件进行加密，还具有对文件、文件夹、虚拟驱动器、整个硬盘、网络硬盘、即时通信等进行加密和永久粉碎资料等功能。该软件的功能主要有两方面：一方面，PGP可以对所发送的邮件进行加密，以防止非授权用户阅读，保证信息的机密性（Pvivacy）；另一方面，PGP能对所发送的邮件进行数字签名，从而使接收者确认邮件的发送者，并确认邮件没有被篡改或伪造，即信息的认证性（Authentication）。

第4章数据加密技术4.6.2PGP系统的基本工作原理PGP软件系统中并没有引入新的算法，只是将现有的被全世界密码学者公认安全、可信赖的几种基本密码算法（如IDEA、AES、RSA、SHA等）组合在一起，把公开密钥加密体系的安全性和对称加密体系的高速性结合起来，在对邮件进行加密时，同时使用了AES等对称加密算法和RSA等公开密钥加密算法，并且在数字签名和密钥认证管理机制上有巧妙的设计，让用户可以安全地从未见过的人们通信，事先不需要通过任何保密的渠道来传递密钥。下面结合前面所学过的知识，简单地介绍PGP软件系统的工作原理，如图4.10所示。第4章数据加密技术4.7公钥基础设施和数字证书4.7.1PKI的定义及组成4.7.2PKI技术的优势与应用4.7.3数字证书及其应用第4章数据加密技术4.7.1PKI的定义及组成完整的PKI系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口（ApplicationProgrammingInterface，API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。1．认证机构（CA）2．数字证书库3．密钥备份及恢复系统4．证书作废系统5．应用程序接口（API）

第4章数据加密技术4.7.2PKI技术的优势与应用PKI就是一种基础设施，其目标就是要充分利用公钥密码学的理论基础，建立起一种普遍适用的基础设施，为各种网络应用提供全面的安全服务。1．PKI技术的优势2．PKI技术的应用第4章数据加密技术4.7.3数字证书及其应用数字证书是由CA颁发的，能够在网络中证明用户身份的权威的电子文件。它是用户身份及其公钥的有机结合，同时会附上认证的签名信息，使其不能被伪造和篡改。由于以数字证书为核心的加密技术可以对互联网中传输的信息进行加解密、数字签名和验证签名，确保了信息的机密性和完整性，因此数字证书广泛应用于安全电子邮件、安全终端保护、可信网站服务、身份授权管理等安全领域。1．数字证书的基本内容2．数字证书的应用感谢您的观看FoundationsofComputerNetworkTechnology计算机网络安全技术ThankYOU!第5章网络操作系统管理计算机网络安全技术CONTENTSCONTENTS01LINUX网络操作系统概述02虚拟机与网络操作系统安装03操作系统的应用程序与管理04使用CRT与FX配置管理操作系统05系统克隆与快照管理第5章网络操作系统管理5.1LINUX网络操作系统概述5.1LINUX网络操作系统概述5.1.1Linux的发展历史5.1.2Linux的体系结构5.1.3Linux的版本5.1.4Linux的特性第5章网络操作系统管理Linux操作系统是一种类UNIX的操作系统。UNIX是一种主流、经典的操作系统，Linux操作系统来源于UNIX，是UNIX在计算机上的完整实现。UNIX操作系统是1969年由肯•汤普森（K.Thompson）工程师在美国贝尔实验室开发的一种操作系统，1972年，其与丹尼斯•里奇（D.Ritchie）工程师一起用C语言重写了UNIX操作系统，大幅提高了其可移植性。由于UNIX具有良好而稳定的性能，因此在计算机领域中得到了广泛应用。Linux具有完善的网络功能和较高的安全性，继承了UNIX操作系统卓越的稳定性表现，在全球各地的服务器平台上的市场份额不断增加。在高性能计算集群中，Linux处于无可争议的“霸主”地位，在全球排名前500名的高性能计算机系统中，Linux占了90%以上的份额。5.1.1Linux的发展历史第5章网络操作系统管理5.1.2Linux的体系结构Linux采用分层设计，分层结构，如图5.1所示，它包括4层。每层只能与相邻的层通信，层间具有从上到下的依赖关系，靠上的层依赖靠下的层，但靠下的层并不依赖靠上的层，各层系统功能如下。（1）用户应用程序。（2）操作系统服务。（3）Linux内核。（4）硬件系统。第5章网络操作系统管理5.1.3Linux的版本Linux是一种诞生于网络、成长于网络且成熟于网络的操作系统，Linux操作系统具有开源的特性，是基于Copyleft（无版权）的软件模式发布的。其实，Copyleft是与Copyright（版权所有）相对立的新名称，这造就了Linux操作系统发行版本多样化的格局。1．RedHatLinux2．CentOS3．Fedora4．Mandrake5．Debian6．Ubuntu第5章网络操作系统管理5.1.4Linux的特性Linux操作系统是目前发展最快的操作系统之一，这与Linux具有的良好特性是分不开的。它包含了UNIX的全部功能和特性。Linux操作系统作为一款免费、自由、开放的操作系统，发展势不可当。它高效、安全、稳定，支持多种硬件平台，用户界面友好，网络功能强大，支持多任务、多用户。（1）开放性。（2）多用户。（3）多任务。（4）良好的用户界面。（5）设备独立性强。（6）丰富的网络功能。（7）可靠的安全系统。（8）良好的可移植性。（9）支持多文件系统。第5章网络操作系统管理5.2虚拟机与网络操作系统安装5.2.1VMwareWorkstation虚拟机安装5.2.2Ubuntu网络操作系统安装5.2.3熟悉Ubuntu桌面环境第5章网络操作系统管理5.2.1VMwareWorkstation虚拟机安装VMwareWorkstation是一款功能强大的桌面虚拟机软件，可以在单一桌面上同时运行不同操作，并完成开发、调试、部署等。第5章网络操作系统管理5.2.2Ubuntu网络操作系统安装使用UbuntuLinux操作系统之前用户必须登录，然后才能使用系统中的各种资源。登录的目的就是使系统能够识别出当前的用户身份，当用户访问资源时就可以判断该用户是否具有相应的访问权限。登录Linux系统是使用系统的第一步。用户应该首先拥有一个系统账户，作为登录凭证，然后再进行其他相关操作。1．系统登录、注销与关机2．活动概览视图3．启动应用程序4．将应用程序添加到Dash面板5．窗口操作6．使用工作区7．用户管理第5章网络操作系统管理5.2.3熟悉Ubuntu桌面环境UbuntuLinux操作系统提供多种图形化界面的应用程序，用户可以使用相应的程序进行管理与使用，下面对常用的图形化应用程序进行介绍。1．Firefox浏览器2．Thunderbird邮件/新闻3．文件管理器4．文本编辑器第5章网络操作系统管理5.3操作系统的应用程序与管理5.3.1常用的图形界面应用程序5.3.2Ubuntu个性化设置5.3.3Ubuntu命令行终端管理第5章网络操作系统管理5.3.1常用的图形界面应用程序UbuntuLinux操作系统提供多种图形化界面的应用程序，用户可以使用相应的程序进行管理与使用，下面对常用的图形化应用程序进行介绍。1．Firefox浏览器2．Thunderbird邮件/新闻3．文件管理器4．文本编辑器第5章网络操作系统管理5.3.2Ubuntu个性化设置用户在开始使用Ubuntu时，往往要根据自己的需求对桌面环境进行制定。多数设置针对当前用户，不需要用户认证，而有关系统的设置则需要拥有超级管理员权限。1．显示器设置2．背景设置3．外观设置4．键盘快捷键5．网络设置第5章网络操作系统管理5.3.3Ubuntu命令行终端管理使用命令管理Linux系统是很基本和很重要的方法。到目前为止，很多重要的任务依然必须由命令行完成，而且执行相同的任务，使用命令行来完成比使用图形界面要简捷高效得多。使用命令行有两种方式，一种是在桌面环境中使用仿真终端窗口，另一种是进入文本模式后登录到终端。1．使用仿真终端窗口2．使用文本模式3．配置超级管理员root4．使用命令行关闭和重启系统第5章网络操作系统管理5.4使用CRT与FX配置管理操作系统5.4.1使用SecureCRT配置管理Ubuntu系统5.4.2使用SecureFX远程连接Ubuntu系统5.4.3CRT无法连接登录系统的原因及解决方案第5章网络操作系统管理5.4.1使用SecureCRT配置管理Ubuntu系统安全远程登录（SecureCombinedRloginandTelnet，SecureCRT）和安全传输（SecureFTP和FTPoverSSH2，SecureFX）都是由VanDyke出品的安全外壳（SecureShell，SSH）传输工具，SecureCRT可以进行远程连接，SecureFX可以进行远程可视化文件传输。SecureCRT是一种支持SSH（SSH1和SSH2）的终端仿真程序，简单地说，其为Windows下登录UNIX或Linux服务器主机的软件。为了方便操作，可以使用SecureCRT连接Ubuntu系统进行配置管理。第5章网络操作系统管理5.4.2使用SecureFX远程连接Ubuntu系统使用SecureFX连接Ubuntu系统，进行文件传输，操作过程参考教材。第5章网络操作系统管理5.4.3CRT无法连接登录系统的原因及解决方案导致SecureCRT无法连接Ubuntu系统的原因有很多，具体情况参考教材。第5章网络操作系统管理5.5系统克隆与快照管理5.5.1系统克隆5.5.2快照管理第5章网络操作系统管理5.5.1系统克隆我们经常用虚拟机做各种试验，初学者免不了因误操作导致系统崩溃、无法启动，或者在做集群的时候，通常需要多台服务器进行测试，例如，搭建mysql服务、redis服务，tomcat、nginx等。搭建服务器费时费力，一旦系统崩溃、无法启动，需要重新安装操作系统或是部署多台服务器的时候，安装操作系统将会浪费很多时间。那么我们将如何进行操作呢？系统克隆与快照管理将会很好地解决这个问题。我们在虚拟机安装好原始的操作系统后，进行克隆，克隆出几份备用，方便日后多台机器做实验，这样就可以避免重新安装操作系统，既方便又快捷。第5章网络操作系统管理5.5.2快照管理VMware快照是VMwareWorkstation里的一个特色功能。当用户创建一个虚拟机快照时，它会创建一个特定的文件delta。delta文件是在基础虚拟机磁盘文件（VirtualMachineDiskFormat，VMDK）上的变更位图，因此，它不能增长到比VMDK还大。VMware为虚拟机创建每一个快照时，都会创建一个delta文件；当快照被删除或快照管理里被恢复时，文件将自动删除。快照可以将当前的远行状态保存下来，当系统出现问题的时候，可以从快照中进行恢复。感谢您的观看FoundationsofComputerNetworkTechnology计算机网络安全技术ThankYOU!第6章防火墙与VPN技术计算机网络安全技术CONTENTSCONTENTS01防火墙概述02防火墙的分类03防火墙的应用模式04防火墙设备连接与配置05VPN技术06

GRE与IPSEC协议第6章防火墙与VPN技术6.1防火墙概述6.1.1防火墙的基本概念6.1.2防火墙端口区域及控制策略第6章防火墙与VPN技术在网络中，所谓“防火墙”是指一种将内部网络和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术，属于经典的静态安全技术，用于逻辑隔离内部网络与外部网络。1．防火墙的定义2．防火墙的功能3．防火墙的优缺点6.1.1防火墙的基本概念第6章防火墙与VPN技术6.1.2防火墙端口区域及控制策略防火墙是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。这是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击力，它是提供信息安全服务、实现网络和信息安全的基础设施。1．防火墙端口区域2．DMZ常规访问控制策略第6章防火墙与VPN技术6.2防火墙的分类6.2.1防火墙使用技术分类6.2.2防火墙实现方式分类第6章防火墙与VPN技术6.2.1防火墙使用技术分类按防火墙使用技术分类，可以分为包过滤防火墙、代理防火墙、状态检测防火墙、复合型防火墙和下一代防火墙。1．包过滤防火墙2．代理防火墙3．状态检测防火墙4．复合型防火墙5．下一代防火墙第6章防火墙与VPN技术6.2.2防火墙实现方式分类按照防火墙实现方式分类，可以分为硬件防火墙和软件防火墙。1．硬件防火墙2．软件防火墙第6章防火墙与VPN技术6.3防火墙的应用模式6.3.1防火墙的体系结构6.3.2防火墙的工作模式第6章防火墙与VPN技术6.3.1防火墙的体系结构在防火墙与网络的配置上，通常有以下三种典型的体系结构，即双宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。1．双宿主主机体系结构2．屏蔽主机体系结构3．屏蔽子网体系结构第6章防火墙与VPN技术6.3.2防火墙的工作模式防火墙的工作模式包括路由工作模式、透明工作模式和NAT工作模式。如果防火墙的接口可同时工作在透明与路由模式下，那么这种工作模式叫作混合模式。某些防火墙支持最完整的混合工作模式，即支持路由+透明+NAT的最灵活的工作模式，方便防火墙接入各种复杂的网络环境，以满足企业网络多样化的部署需求。1．路由工作模式2．透明工作模式3．NAT工作模式第6章防火墙与VPN技术6.4防火墙设备连接与配置6.4.1防火墙设备连接6.4.2防火墙设备配置第6章防火墙与VPN技术6.4.1防火墙设备连接第6章防火墙与VPN技术6.4.2防火墙设备配置1．防火墙基本配置2．防火墙接入Internet配置第6章防火墙与VPN技术6.5VPN技术6.5.1VPN技术的概述6.5.2VPN的分类6.5.3VPN使用的主要技术第6章防火墙与VPN技术6.5.1VPN技术的概述VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。1．VPN定义2．VPN主要特点3．VPN工作过程第6章防火墙与VPN技术6.5.2VPN的分类根据不同的划分标准，VPN可以按以下几个标准进行分类划分。1．按VPN的协议分类2．按VPN的实现方式分类3．按VPN的服务类型分类第6章防火墙与VPN技术6.5.3VPN使用的主要技术VPN主要采用隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)和身份认证技术(Authentication)四项技术。1．隧道技术(Tunneling)2．加解密技术(Encryption&Decryption)3．密钥管理技术(KeyManagement)。4．身份认证技术(Authentication)第6章防火墙与VPN技术6.6GRE与IPSEC协议6.6.1GRE协议6.6.2IPSec协议第6章防火墙与VPN技术6.6.1GRE协议GRE协议提供了将一种协议的报文封装在另一种协议报文中的机制，是一种三层隧道封装技术，使报文可以通过GRE协议隧道进行透明的传输，解决了异种网络的传输问题。1．GRE协议特点2．GRE协议封装后的报文格式3．GRE协议封装后的报文格式第6章防火墙与VPN技术6.6.2IPSec协议IPSec是对IP的安全性补充，