計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)2023/5/71第1頁(yè)，共16頁(yè)，2023年，2月20日，星期四

6.1網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全5層體系2023/5/72第2頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.2網(wǎng)絡(luò)安全防范體系根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu)，我們將安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理5個(gè)層次2023/5/73第3頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)種類與人有關(guān)的風(fēng)險(xiǎn)與硬件和網(wǎng)絡(luò)設(shè)計(jì)有關(guān)的風(fēng)險(xiǎn)與協(xié)議和軟件有關(guān)的風(fēng)險(xiǎn)與Internet訪問(wèn)有關(guān)的風(fēng)險(xiǎn)2023/5/74第4頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.4網(wǎng)絡(luò)攻擊手段拒絕服務(wù)攻擊(DOS)泛洪攻擊端口掃描利用TCP報(bào)文的標(biāo)志進(jìn)行攻擊分片IP報(bào)文攻擊帶源路由選項(xiàng)的IP報(bào)文IP地址欺騙針對(duì)路由協(xié)議的攻擊針對(duì)設(shè)備轉(zhuǎn)發(fā)表的攻擊Script/ActiveX攻擊2023/5/75第5頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.5網(wǎng)絡(luò)安全防范策略物理安全策略訪問(wèn)控制策略信息加密策略防病毒技術(shù)防火墻技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全管理策略2023/5/76第6頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.6防火墻防火墻的分類：根據(jù)防火墻所采用技術(shù)的不同，可以將防火墻分為包過(guò)濾防火墻、代理防火墻、NAT和檢測(cè)型防火墻4種。常見(jiàn)防火墻產(chǎn)品：CheckPoint的FireWall-1，Juniper的Netscreen，F(xiàn)ortinet的FortiGate-3600A，CiscoPIX防火墻，阿姆瑞特AmarantenAS-F1800(Plus)，天融信的NGFW4000。2023/5/77第7頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.7入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)簡(jiǎn)介入侵檢測(cè)技術(shù)主要方法1.靜態(tài)配置分析2.異常性檢測(cè)方法3.基于行為的檢測(cè)方法4.搭建一個(gè)基于網(wǎng)絡(luò)的IDS2023/5/78第8頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.8VPN虛擬專用網(wǎng)(VirtualPrivateNetwork，VPN)實(shí)際上就是將Internet看作一種公有數(shù)據(jù)網(wǎng)，這種公有網(wǎng)和PSTN網(wǎng)在數(shù)據(jù)傳輸上沒(méi)有本質(zhì)的區(qū)別，從用戶觀點(diǎn)來(lái)看，數(shù)據(jù)都能夠被正確傳送到了目的地。相應(yīng)地，企業(yè)在這種公共數(shù)據(jù)網(wǎng)上建立的用以傳輸企業(yè)內(nèi)部信息的網(wǎng)絡(luò)被稱為私有網(wǎng)。目前VPN主要采用4項(xiàng)技術(shù)來(lái)保證安全，這4項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加/解密技術(shù)(Encryption/Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。2023/5/79第9頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.9身份驗(yàn)證和存取控制身份驗(yàn)證主要包括驗(yàn)證依據(jù)、驗(yàn)證系統(tǒng)和安全要求。身份驗(yàn)證技術(shù)是在計(jì)算機(jī)中最早應(yīng)用的安全技術(shù)，目前仍在廣泛地被應(yīng)用，它是網(wǎng)絡(luò)信息安全的第一道門。存取控制是對(duì)所有的直接存取活動(dòng)通過(guò)授權(quán)的方式進(jìn)行控制，從而保證了計(jì)算機(jī)的系統(tǒng)安全保密。一般來(lái)說(shuō)有兩種方式：一是隔離技術(shù)法，二是限制權(quán)限法。

2023/5/710第10頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.10加密技術(shù)數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)，被譽(yù)為信息安全的核心，最初主要用于確保數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性根據(jù)密鑰類型的不同，可以將現(xiàn)代密碼技術(shù)分為兩類：對(duì)稱加密算法(私鑰密碼體系)和非對(duì)稱加密算法(公鑰密碼體系)。2023/5/711第11頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.11網(wǎng)絡(luò)病毒與防范網(wǎng)絡(luò)病毒的特點(diǎn)破壞性強(qiáng)傳播性強(qiáng)具有潛伏性和可激發(fā)性針對(duì)性強(qiáng)擴(kuò)散面廣、傳播途徑多變網(wǎng)絡(luò)病毒的癥狀網(wǎng)絡(luò)病毒的預(yù)防網(wǎng)絡(luò)防病毒軟件2023/5/712第12頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.12系統(tǒng)及網(wǎng)絡(luò)端口安全防護(hù)常用端口及其分類

系統(tǒng)保留端口（從0到1023）動(dòng)態(tài)端口（從1024到65535）如何查看本機(jī)開(kāi)放了哪些端口

利用netstat命令使用端口監(jiān)視類軟件2023/5/713第13頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.13網(wǎng)絡(luò)中心機(jī)房安全影響計(jì)算機(jī)系統(tǒng)機(jī)房安全的主要因素可以歸納為以下3個(gè)方面的問(wèn)題：計(jì)算機(jī)系統(tǒng)自身存在的問(wèn)題。環(huán)境導(dǎo)致的安全問(wèn)題。由于人為的錯(cuò)誤操作和各種計(jì)算機(jī)犯罪導(dǎo)致的安全問(wèn)題。2023/5/714第14頁(yè)，共16頁(yè)，2023年，2月20日，星期四6.13.1網(wǎng)絡(luò)機(jī)房安全范圍計(jì)算機(jī)機(jī)房的場(chǎng)地環(huán)境，即各種因素對(duì)計(jì)算機(jī)設(shè)備的影響。計(jì)算機(jī)機(jī)房用電安全技術(shù)的要求。計(jì)算機(jī)機(jī)房的訪問(wèn)人員控制。計(jì)算機(jī)設(shè)備及場(chǎng)地的防雷、防火和防水。計(jì)算機(jī)系統(tǒng)的靜電防護(hù)。計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。存儲(chǔ)著計(jì)算機(jī)中重要信息的磁介質(zhì)的處理、存儲(chǔ)和處理手續(xù)的有關(guān)問(wèn)題。計(jì)算機(jī)系統(tǒng)在遭受災(zāi)害時(shí)的應(yīng)急措施。2023/5/