計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)2016新版第10章網(wǎng)絡(luò)管理與安全1

1、2022-3-6計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 杜煜1杜煜杜煜2022-3-62l計(jì)算機(jī)網(wǎng)絡(luò)安全的概念；計(jì)算機(jī)網(wǎng)絡(luò)安全的概念；l計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全性的要求；計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全性的要求；l訪問控制技術(shù)和設(shè)備安全；訪問控制技術(shù)和設(shè)備安全；l防火墻技術(shù)；防火墻技術(shù)；l網(wǎng)絡(luò)安全攻擊及解決方法；網(wǎng)絡(luò)安全攻擊及解決方法；l計(jì)算機(jī)網(wǎng)絡(luò)安全的基本解決方案。計(jì)算機(jī)網(wǎng)絡(luò)安全的基本解決方案。2022-3-63l背景介紹背景介紹l對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全性問題的研究總是圍繞著信息對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全性問題的研究總是圍繞著信息系統(tǒng)進(jìn)行，其主要目標(biāo)就是要保護(hù)計(jì)算資源，免系統(tǒng)進(jìn)行，其主要目標(biāo)就是要保護(hù)計(jì)算資源，免受毀壞、替換、盜竊和丟失，而計(jì)算資源包括了

2、受毀壞、替換、盜竊和丟失，而計(jì)算資源包括了計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備、存儲(chǔ)介質(zhì)、軟硬件、信息數(shù)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備、存儲(chǔ)介質(zhì)、軟硬件、信息數(shù)據(jù)等。據(jù)等。2022-3-64l訪問控制訪問控制l選擇性訪問控制選擇性訪問控制l病毒和計(jì)算機(jī)破壞程序病毒和計(jì)算機(jī)破壞程序l加密加密l系統(tǒng)計(jì)劃和管理系統(tǒng)計(jì)劃和管理l物理安全物理安全l通信安全通信安全2022-3-65l保護(hù)系統(tǒng)和網(wǎng)絡(luò)的資源免遭自然或人為的破壞；保護(hù)系統(tǒng)和網(wǎng)絡(luò)的資源免遭自然或人為的破壞；l明確網(wǎng)絡(luò)系統(tǒng)的脆弱性和最容易受到影響或破壞明確網(wǎng)絡(luò)系統(tǒng)的脆弱性和最容易受到影響或破壞的地方；的地方；l對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的各種威脅有充分的估計(jì)；對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的各種威脅

3、有充分的估計(jì)；l要開發(fā)并實(shí)施有效的安全策略，盡可能減少可能要開發(fā)并實(shí)施有效的安全策略，盡可能減少可能面臨的各種風(fēng)險(xiǎn)；面臨的各種風(fēng)險(xiǎn)；l準(zhǔn)備適當(dāng)?shù)膽?yīng)急計(jì)劃，使網(wǎng)絡(luò)系統(tǒng)在遭到破壞或準(zhǔn)備適當(dāng)?shù)膽?yīng)急計(jì)劃，使網(wǎng)絡(luò)系統(tǒng)在遭到破壞或攻擊后能夠盡快恢復(fù)正常工作；攻擊后能夠盡快恢復(fù)正常工作；l定期檢查各種安全管理措施的實(shí)施情況與有效性。定期檢查各種安全管理措施的實(shí)施情況與有效性。2022-3-66l內(nèi)部安全內(nèi)部安全l對(duì)用戶進(jìn)行識(shí)別和認(rèn)證，防止非授權(quán)用戶訪問系統(tǒng)；對(duì)用戶進(jìn)行識(shí)別和認(rèn)證，防止非授權(quán)用戶訪問系統(tǒng)；l確保系統(tǒng)的可靠性，以避免軟件的缺陷（確保系統(tǒng)的可靠性，以避免軟件的缺陷（Bug）成為系）成為系統(tǒng)的入侵點(diǎn)

4、；統(tǒng)的入侵點(diǎn)；l對(duì)用戶實(shí)施訪問控制，拒絕其訪問超出訪問權(quán)限的資源；對(duì)用戶實(shí)施訪問控制，拒絕其訪問超出訪問權(quán)限的資源；l加密傳輸和存儲(chǔ)的數(shù)據(jù)，防止重要信息被非法用戶理解加密傳輸和存儲(chǔ)的數(shù)據(jù)，防止重要信息被非法用戶理解或修改；或修改；l對(duì)用戶的行為進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì)，檢查其是否對(duì)系統(tǒng)對(duì)用戶的行為進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì)，檢查其是否對(duì)系統(tǒng)有攻擊行為，并對(duì)入侵的用戶進(jìn)行跟蹤。有攻擊行為，并對(duì)入侵的用戶進(jìn)行跟蹤。l外部安全外部安全l加強(qiáng)系統(tǒng)的物理安全，防止其他用戶直接訪問系統(tǒng)；加強(qiáng)系統(tǒng)的物理安全，防止其他用戶直接訪問系統(tǒng)；l保證人事安全，加強(qiáng)安全教育，防止用戶（特別是內(nèi)部保證人事安全，加強(qiáng)安全教育，防止用戶（

5、特別是內(nèi)部用戶）泄密。用戶）泄密。 2022-3-67l解決問題：如何保護(hù)計(jì)算機(jī)系統(tǒng)內(nèi)軟件和數(shù)據(jù)不解決問題：如何保護(hù)計(jì)算機(jī)系統(tǒng)內(nèi)軟件和數(shù)據(jù)不被非法刪改。被非法刪改。l軟件完整性軟件完整性 l數(shù)據(jù)完整性數(shù)據(jù)完整性2022-3-68l解決問題：如何防止用戶非法獲取關(guān)鍵的敏感解決問題：如何防止用戶非法獲取關(guān)鍵的敏感信息，避免機(jī)密信息的泄露。信息，避免機(jī)密信息的泄露。l加密是保護(hù)數(shù)據(jù)的一種重要方法，也是保護(hù)加密是保護(hù)數(shù)據(jù)的一種重要方法，也是保護(hù)存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)的一種有效手段，人們存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)的一種有效手段，人們通常采用加密來保證數(shù)據(jù)的保密性。通常采用加密來保證數(shù)據(jù)的保密性。2022-3-69l

6、可用性是指無論何時(shí)，只要用戶需要，系統(tǒng)和可用性是指無論何時(shí)，只要用戶需要，系統(tǒng)和網(wǎng)絡(luò)資源必須是可用的，尤其是當(dāng)計(jì)算機(jī)及網(wǎng)網(wǎng)絡(luò)資源必須是可用的，尤其是當(dāng)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)遭到非法攻擊時(shí)，它必須仍然能夠?yàn)橛媒j(luò)系統(tǒng)遭到非法攻擊時(shí)，它必須仍然能夠?yàn)橛脩籼峁┱５南到y(tǒng)功能或服務(wù)。戶提供正常的系統(tǒng)功能或服務(wù)。l為了保證系統(tǒng)和網(wǎng)絡(luò)的可用性，必須解決網(wǎng)絡(luò)為了保證系統(tǒng)和網(wǎng)絡(luò)的可用性，必須解決網(wǎng)絡(luò)和系統(tǒng)中存在的各種破壞可用性的問題。和系統(tǒng)中存在的各種破壞可用性的問題。2022-3-610l創(chuàng)建安全的網(wǎng)絡(luò)環(huán)境創(chuàng)建安全的網(wǎng)絡(luò)環(huán)境l數(shù)據(jù)加密數(shù)據(jù)加密l調(diào)制解調(diào)器的安全調(diào)制解調(diào)器的安全l災(zāi)難和意外計(jì)劃災(zāi)難和意外計(jì)劃l系統(tǒng)計(jì)劃

7、和管理系統(tǒng)計(jì)劃和管理l使用防火墻技術(shù)使用防火墻技術(shù)2022-3-611l網(wǎng)絡(luò)安全脆弱點(diǎn)的幾個(gè)方面網(wǎng)絡(luò)安全脆弱點(diǎn)的幾個(gè)方面l通信設(shè)備通信設(shè)備l網(wǎng)絡(luò)傳輸介質(zhì)網(wǎng)絡(luò)傳輸介質(zhì)l網(wǎng)絡(luò)連接網(wǎng)絡(luò)連接l網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)l病毒攻擊病毒攻擊l物理安全物理安全2022-3-612l防火墻防火墻l防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，用于確定哪些內(nèi)部資源允許外部訪問，以及允許哪些用于確定哪些內(nèi)部資源允許外部訪問，以及允許哪些內(nèi)部網(wǎng)用戶訪問哪些外部資源及服務(wù)；內(nèi)部網(wǎng)用戶訪問哪些外部資源及服務(wù)；l防火墻的基本類型有：防火墻的基本類型有：l包過濾型包過濾型l代

8、理服務(wù)器型代理服務(wù)器型l堡壘主機(jī)堡壘主機(jī) 2022-3-613l鑒別鑒別l報(bào)文鑒別報(bào)文鑒別l身份認(rèn)證身份認(rèn)證 l數(shù)字簽名數(shù)字簽名2022-3-614l其他工具其他工具l訪問控制訪問控制l加加/解密技術(shù)解密技術(shù)l審計(jì)和入侵檢測審計(jì)和入侵檢測l安全掃描安全掃描2022-3-615l作用：對(duì)訪問系統(tǒng)及其數(shù)據(jù)的人進(jìn)行識(shí)別，并檢驗(yàn)其身作用：對(duì)訪問系統(tǒng)及其數(shù)據(jù)的人進(jìn)行識(shí)別，并檢驗(yàn)其身份份用戶是誰？該用戶的身份是否真實(shí)？用戶是誰？該用戶的身份是否真實(shí)？ l基于口令的訪問控制技術(shù)基于口令的訪問控制技術(shù)l選用口令應(yīng)遵循的原則選用口令應(yīng)遵循的原則l增強(qiáng)口令安全性措施增強(qiáng)口令安全性措施 l其他方法其他方法l選擇性訪

9、問控制技術(shù)選擇性訪問控制技術(shù) 2022-3-616l調(diào)制解調(diào)器安全調(diào)制解調(diào)器安全l通信介質(zhì)的安全通信介質(zhì)的安全l計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備的物理安全計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備的物理安全 2022-3-617l使用防火墻可用于使用防火墻可用于“安全隔離安全隔離”，其實(shí)質(zhì)就是限制什么數(shù)據(jù)可以，其實(shí)質(zhì)就是限制什么數(shù)據(jù)可以“通通過過”防火墻進(jìn)入到另一個(gè)網(wǎng)絡(luò)防火墻進(jìn)入到另一個(gè)網(wǎng)絡(luò)l防火墻使用硬件平臺(tái)和軟件平臺(tái)來決定什么請求可以從外部網(wǎng)絡(luò)防火墻使用硬件平臺(tái)和軟件平臺(tái)來決定什么請求可以從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)或者從內(nèi)部到外部，其中包括的信息有電子郵件進(jìn)入到內(nèi)部網(wǎng)絡(luò)或者從內(nèi)部到外部，其中包括的信息有電子郵件消息、文件傳輸、登錄到

10、系統(tǒng)以及類似的操作等。消息、文件傳輸、登錄到系統(tǒng)以及類似的操作等。2022-3-618l防火墻的優(yōu)點(diǎn)防火墻的優(yōu)點(diǎn)l允許網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中定義一個(gè)控制點(diǎn)，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔開；l審查和記錄Internet使用情況的最佳點(diǎn)；l設(shè)置網(wǎng)絡(luò)地址翻譯器（NAT）的最佳位置；l作為向客戶或其他外部伙伴發(fā)送信息的中心聯(lián)系點(diǎn)；l防火墻的局限性防火墻的局限性l不能防范不經(jīng)過防火墻產(chǎn)生的攻擊；l不能防范由于內(nèi)部用戶不注意所造成的威脅；l不能防止受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸； l很難防止數(shù)據(jù)驅(qū)動(dòng)式攻擊；2022-3-6192022-3-620l防火墻的基本準(zhǔn)則防火墻的基本準(zhǔn)則l“拒絕一切未被允許的東西”

11、l“允許一切未被特別拒絕的東西” l機(jī)構(gòu)的安全策略機(jī)構(gòu)的安全策略l必須以安全分析、風(fēng)險(xiǎn)評(píng)估和商業(yè)需要分析為基礎(chǔ)； l防火墻的費(fèi)用防火墻的費(fèi)用l取決于它的復(fù)雜程度以及要保護(hù)的系統(tǒng)規(guī)模；2022-3-621l包過濾路由器包過濾路由器 l可以決定對(duì)它所收到的每個(gè)數(shù)據(jù)包的取舍?？梢詻Q定對(duì)它所收到的每個(gè)數(shù)據(jù)包的取舍。l逐一審查每份數(shù)據(jù)包以及它是否與某個(gè)包過濾規(guī)則逐一審查每份數(shù)據(jù)包以及它是否與某個(gè)包過濾規(guī)則相匹配。相匹配。l過濾規(guī)則以過濾規(guī)則以IP數(shù)據(jù)包中的信息為基礎(chǔ)：數(shù)據(jù)包中的信息為基礎(chǔ)：lIP源地址、源地址、IP目的地址、封裝協(xié)議（目的地址、封裝協(xié)議（TCP、UDP、ICMP等）、等）、TCP/UDP

12、源端口、源端口、TCP/UDP目的目的端口、端口、ICMP報(bào)文類型、包輸入接口和包輸出接報(bào)文類型、包輸入接口和包輸出接口等?？诘?。l如果找到一個(gè)匹配，且規(guī)則允許該數(shù)據(jù)包通過，則如果找到一個(gè)匹配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。l如果找到一個(gè)匹配，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)如果找到一個(gè)匹配，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄據(jù)包將被舍棄 2022-3-6222022-3-623l代理服務(wù)器代理服務(wù)器l代理服務(wù)器上安裝有特殊用途的特別應(yīng)用程序，被稱代理服務(wù)器上安裝有特殊用途的特別應(yīng)用程序，被稱為代理服務(wù)或代理服務(wù)器程序。為代理服

13、務(wù)或代理服務(wù)器程序。l使用代理服務(wù)后，各種服務(wù)不再直接通過防火墻轉(zhuǎn)發(fā)，使用代理服務(wù)后，各種服務(wù)不再直接通過防火墻轉(zhuǎn)發(fā)，對(duì)應(yīng)用數(shù)據(jù)的轉(zhuǎn)發(fā)取決于代理服務(wù)器的配置：對(duì)應(yīng)用數(shù)據(jù)的轉(zhuǎn)發(fā)取決于代理服務(wù)器的配置：l只支持一個(gè)應(yīng)用程序的特定功能，同時(shí)拒絕所有其只支持一個(gè)應(yīng)用程序的特定功能，同時(shí)拒絕所有其他功能；他功能；l支持所有的功能，比如同時(shí)支持支持所有的功能，比如同時(shí)支持WWW、FTP、Telnet、SMTP和和DNS等。等。 2022-3-6242022-3-625l包過濾路由器允許信息包在外部系統(tǒng)與內(nèi)部系統(tǒng)之間的直包過濾路由器允許信息包在外部系統(tǒng)與內(nèi)部系統(tǒng)之間的直接流動(dòng)。代理服務(wù)器允許信息在系統(tǒng)之間流

14、動(dòng)，但不允許接流動(dòng)。代理服務(wù)器允許信息在系統(tǒng)之間流動(dòng)，但不允許直接交換信息包。直接交換信息包。l堡壘主機(jī)是堡壘主機(jī)是Internet上的主機(jī)能夠連接到的、唯一的內(nèi)部上的主機(jī)能夠連接到的、唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)，它對(duì)外而言，屏蔽了內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)，網(wǎng)絡(luò)上的系統(tǒng)，它對(duì)外而言，屏蔽了內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)，所以任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)時(shí)，都必所以任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)時(shí)，都必須連接到堡壘主機(jī)上。須連接到堡壘主機(jī)上。l堡壘主機(jī)的特點(diǎn)：堡壘主機(jī)的特點(diǎn)：l堡壘主機(jī)的硬件平臺(tái)上運(yùn)行的是一個(gè)比較堡壘主機(jī)的硬件平臺(tái)上運(yùn)行的是一個(gè)比較“安全安全”的的操作系統(tǒng)，以防止操作系統(tǒng)受損，同時(shí)也確保了防火操作系統(tǒng)，以防止操作系統(tǒng)受損，同時(shí)也確保了防火墻的完整性。墻的完整性。l只有必要的服務(wù)才安裝在堡壘主機(jī)內(nèi)，如只有必要的服務(wù)才安裝在堡壘主機(jī)內(nèi)，如Telnet、DNS、FTP、SMTP和用戶認(rèn)證等。和用戶認(rèn)證等。2022-3-6262022-3-627l特洛伊木馬；特洛伊木馬；l拒絕服務(wù)（拒絕服務(wù)（DoS） ；l郵件炸彈；郵件炸彈