《计算机网络技术基础》课件 7-3 网络安全管理

计算机网络技术基础目

录单元一认识计算机网络单元二组建小型局域网单元三管理小型局域网单元四互联不同的网络单元五使用常用的网络服务单元六在线信息交流单元七网络运维管理7.3网络安全管理7.3

网络安全管理7.3.1认识预防网络安全隐患与防范技术

网络面临的安全隐患网络的安全隐患一般有数据传输存在的安全隐患、保证数据完整性的安全隐患及用户身份验证的安全隐患等。数据传输安全隐患。网络的基本应用是资源共享和数据传输，因此会有大量的数据在网络上存放、传输，致使数据在传输过程中存在安全隐患，可以利用数据加密技术来确保数据传输的安全性。数据完整性安全隐患。数据在传输过程中容易被他人或者第三方恶意进行篡改，这样就要注意数据在接收后的完整性问题。可以采用差错控制进行校验，采用安全的数字签名来实现数据不被修改。用户身份验证安全隐患。在网络数据交互过程中，应确保数据能顺利传输给接收方，不被其他人恶意截取，就需要保证接收方身份验证通过。可以利用密钥技术或者数字签名技术实现身份验证。除上述安全隐患外，应用软件，相关协议使用均存在不同程度的问题，会让计算机网络系统在使用这些软件或协议的同时出现各种安全隐患。7.3

网络安全管理7.3.1认识预防网络安全隐患与防范技术

网络面临的主要安全威胁虽然网络安全技术在不断完善、提升，但是网络所受到的安全威胁却丝毫没有改变，网络面临的安全威胁主要有：数据窃听。用户传送数据时，被他人监听或者窃听，导致重要数据或者信息泄露。重传。数据在网络传输过程中被他人截获，获得数据后在冒充发送方，将数据发送给接收方。篡改。在网络中传输的数据被他人截获，他人根据自己需求对数据进行修改，并将修改后的数据发送给接收方。非授权访问。攻击者通过假冒合法用户的身份等方法，获得系统访问和管理权限，从而达到进入系统完成数据读取或者破坏等行为。拒绝服务攻击。攻击者使用模拟网关等技术手段使网络系统无法相应甚至导致网络瘫痪，导致网络内所有用户无法正常访问相关网络。行为否认。网络中的电脑终端进行数据传输时，在网络中不起作用，发生的行为直接被网络实体否认。旁路控制。攻击者扫描发掘网络系统的漏洞缺陷或者网络系统的薄弱环节。病毒。宏病毒、蠕虫病毒等系统入侵技术持续变异整合，智能化程度不断提高。攻击。网络系统攻击手段和技术也在不断更新变化，出现许多常规网络安全防范手段无法识别的隐蔽性较强的攻击。人员疏忽。人员疏忽通常指有权限的人不小心将相关信息泄露给他人。伪造。攻击者伪造信息发送给接收者，伪造和重传、篡改的区别在于，重传和篡改都是在截获相关数据信息后，而伪造无须进行数据截取，直接发送相关数据。7.3

网络安全管理7.3.1认识预防网络安全隐患与防范技术

网络攻击的主要方式常见的计算机网络攻击的方式主要有端口扫描、安全漏洞攻击、口令入侵、木马程序、电子邮件攻击及 dos 攻击。端口扫描。一般攻击者锁定扫描的IP地址，然后扫描计算机开放了哪些端口和服务，利用这些端口和服务实现入侵的目的。端口扫描可以手工进行扫描，也可以使用端口扫描软件进行扫描，一般的端口扫描工具都既具有检测开放端口测试，通过TCP协议试探对方主机运行哪些服务等但一般扫描软件扫描速度和功能是成反比的。安全漏洞攻击。漏洞是网络系统软件、硬件、服务、协议等在配置策略上必然中存在的缺陷。安全漏洞的存在可以使未授权者进行间接访问或者入侵破坏系统。口令入侵。持有口令登录，网络系统默认就是合法的，因此攻击者可以采用网络监听、暴力破解、社会工程等方式方法来获取正常网络合法用户的口令。之后可以正当登录网络系统进行文件窃取修改或者网络系统破坏。木马程序。木马程序都具有隐蔽性强、传播性广的特性，木马程序一旦执行就会潜藏在网络系统当中，随着网络系统的启动而运行，在合法用户不知情的情况下，进行计算机入侵破坏或者文件窃取，木马程序一般都分为服务端和客户端，服务端用来进行木马配置，客户端用来在入侵计算机运行，很多用户游戏账号、邮箱账号甚至银行账号密码丢失一般都是由于网络当中存在木马导致的。电子邮件攻击。攻击者利用邮件炸弹或者邮件欺骗的方式向目标邮箱发送相关破坏文件或者大量重复无用的垃圾邮件，导致网络用户信息丢失或者邮箱垃圾文件过多，没有空间邮箱崩溃无法使用。Dos 攻击。既拒绝服务攻击，攻击者通过短时间内向目标机器发送大量数据包，消耗网络资源造成系统过载乃至系统瘫痪，从而拒绝任何网络中的用户访问。7.3

网络安全管理7.3.1认识预防网络安全隐患与防范技术

网络安全防范技术（1）防火墙技术（2）认证技术（3）漏洞扫描技术（4）安全配置技术（5）代码优化技术（6）入侵检测技术（7）信息加密技术（8）电子签名技术7.3

网络安全管理7.3.2使用网络防火墙防范安全隐患认识网络防火墙防火墙其实就是加强网络之间访问控制而设置在网络全域中间的一系列部件的组合，通过检测数据流等一系列的安全策略等，来对网络系统的信息进行保护，有选择和一定规则的接收外部数据访问，这道屏障的存在可以预防很多网络系统中不可预测的破坏性入侵，防火墙一般分为硬件防火墙和软件防火墙，不论是硬件防火墙还是软件防火墙他应具备以下功能和技术。（1）防火墙基本功能过滤性：过滤进、出网络系统的相关数据。管理性：能对进、出网络系统的访问及数据进行管理。安全性：能够保证网络系统安全，禁止某些破坏行为的发生。记录性：时刻记录通过防火墙的数据信息和访问活动形成日志可以随时查询。警示性：对网络系统进行实时检测对产生攻击或有将攻击的行为进行告警。7.3

网络安全管理7.3.2使用网络防火墙防范安全隐患（2）防火墙技术包过滤防火墙技术。包过滤可以有效地对进、出网络系统的数据进行检测分析，并按照已经定好的安全策略对数据进行限制检查，允许授权的数据信息通过，非授权的坚决禁止通信。信息过滤的规则都是以收到的数据信息的头部信息为基础。该技术实现方便，速度较快但是安全性能较差。应用层网关级防火墙技术。该技术分为筛选路由器和代理服务器。该防火墙技术是目前比较通用的一种技术，可以把筛选路由技术和软件的代理结束有效结合起来，再有筛选路由器负责网络的连接，进行数据检测代理服务器则提供应用层服务的控制。双宿主机技术防火墙技术。该技术用主机取代路由器执行数据过滤等安全控制。双宿主机需要一台主机配有多个网络接口，用于内部网络系统和外部网络的寻址，如果一台主机中寻址功能被禁止，那么该主机就可以隔离与它连接的内部网络和外部网络的通信。但主机联系的网络系统和外部网络仍然可以执行网络应用。网络应用如果允许，网络系统和外网数据共享，可以通过主机共享数据传递信息，但网络系统和外部网络之间已然不能传递数据，这样有效地对网络系统进行保护。网络地址转换技术。该技术是利用NAT技术的防火墙能直接对网络系统地址做转换，这样外部的网络无法掌握网络系统的机构，同时允许网络系统使用自己的IP地址和专网，同时防火墙将每个主机终端的通信进行记录，确保数据发送正确。7.3

网络安全管理7.3.2使用网络防火墙防范安全隐患（2）防火墙技术网关技术。通过防火墙访问外部，因此防火墙也许支持外部互联网的相关服务，但还要防止互联网漏洞和其他攻击，因此要以多种安全的应用服务器来实现防护功能。安全服务器网络。采用分别保护的策略来适应越来越多的电脑终端访问网络时对服务器的需要。将对外服务器作为一个独立网络处理，对外服务器同时又是网络系统的一部分，还与网络系统完全隔离。用户鉴别与加密技术。一般采用口令系统作为合法用户的鉴别手段，该技术同时实现了对邮件数据的加密。用户定制服务。有一些客户会有个性化的需求，因此便需要根据客户网络安全需求建立数据库代理，利用相关协议支持进行设置。审计及告警技术。需要及时记录相关日志，日志文件主要包括基本配置信息、数据信息、收发邮件、邮件路径、已发及已接消息、告警条件及管理日志等，一般还应具备网络故障诊断及数据自动备份功能。7.3

网络安全管理7.3.2使用网络防火墙防范安全隐患Internet内网区隔离区防火墙拓扑结构7.3

网络安全管理7.3.2使用网络防火墙防范安全隐患使用硬件防火墙防范网络攻击（1）配置硬件防火墙管理端口（2）定义网络区域（3）定义网络对象（4）访问策略配置（5）通信策略配置（6）其他配置使用软件防火墙防范网络攻击（1）配置CC攻击防护策略（2）配置精准访问防护策略7.3

网络安全管理7.3.3使用防病毒软件防范安全隐患互联网上常见病毒（1）手机病毒由于手机尤其是智能手机的使用和普及，互联网当中也出现了针对网络中手机用户的新型病毒，并且利用手机使用特点传播和破坏。（2）蠕虫病毒现在网络中存在的蠕虫病毒就是病毒技术和黑客技术相互融合后产生的新型病毒，它一般可以感染机器的固定文件，并自动进行传播，还会让攻击者在远程执行相关命令，造成破坏和损失。曾经轰动一时的“熊猫烧香”病毒就是蠕虫病毒。（3）Auto病毒该病毒是现在网络中常见病毒，一般常见于U盘中。该病毒会导致每个盘符中生成 autorun.inf 和 sxs.exe 两个文件，也可能存在其他名称的变种，该病毒会让用户无法双击打开该盘符，新型的变种还可将盘符中文件夹属性变为隐藏，将病毒程序修改为盘符中文件夹的名字，让用户误以为是自己的文件，双击打开的同时病毒运行。（4）木马病毒木马病毒通常复制到网络系统不容易发现的地方，自动运行，修改注册表，用来窃取用户相关信息及相关密码信息。新型木马病毒会在原病毒上进行加壳处理，从而躲过部分杀毒软件，从而感染设备。“冰河”“灰鸽子”等病毒就属于木马病毒。7.3

网络安全管理7.3.3使用防病毒