第八章 网络安全管理.ppt
- 格式:ppt
- 大小:127.52 KB
- 文档页数:19
下载文档原格式
合集下载
第八章IP网ppt课件
8.2 IP网络协议
8.2.1 IPv4协议
IPv4,是互联网协议的第四版,也是第一个被广 泛使用、构成现今互联网技术基石的协议。 1.IPv4的地址 IPv4使用32位地址,因此最多可能有 4,294,967,296个地址。一般的书写法为4个用小 数点分开的十进制数。IPv4地址分为A、B、C、 D、E,5类。把32位的地址分为两个部分:前面 的部分代表网络地址,后面部分代表局域网地址。
8.2.3 IPv4向IPv6过渡
1.隧道技术:将IPv6的分组封装到IPv4的分组中,封装后的 IPv4分组将通过IPv4的路由体系传输,分组报头的“协议 域”设置为41,表示这个分组的负载是一个IPv6的分组, 以便在适当的地方恢复出被封装的IPv6分组并传送给目的 站点。这样就可以实现两个IPv6“孤岛”之间的连接。同 时在IPv6变为主导后,可以反过来作为IPv4“孤岛”的连 接方式。
使用,这些网络连到互连网上需要对这些本地网 地址进行转换。
8.2.1 IPv4协议
2.IP包长 IP包由首部和实际的数据部分组成。数据部分一般用来传送
其它的协议,如TCP、UDP、ICMP等。数据部分最长可 为65515字节。 3.IP路由 一个IP包从发送方出发,到接送方收到,往往要穿过通过路 由器连接的许许多多不同的网络。每个路由器都拥有如何 传递IP包的路由表。路由表中记录了到不同网络的路径, 在这里每个网络都被看成一个目标网络。路由表中的记录 由路由协议管理,记录可以是静态的记录,也有可能是由 路由协议动态的获取的
IPv6
IPv6
IPv4 to IPv6
8.2.3 IPv4向IPv6过渡
2.双协议栈:双栈技术是在路由器和交换机的内 部让IPv4和IPv6协议栈同时存在,在机器内部实 现两种地址的转化,具有双栈的设备可以和任何 单一IP协议的设备通信.
网络安全与应用技术-第8章 网络监听与防御技术
软件嗅探器便宜易于使用,缺点是往往无 法抓取网络上所有的传输数据(比如碎片),也 就可能无法全面了解网络的故障和运行情况;
������ 硬件嗅探器的通常称为协议分析仪,它 的优点恰恰是软件嗅探器所欠缺的,但是价格 昂贵。
������ 目前主要使用的嗅探器是软件的。
2.Sniffer软件的主要工作机制及常用软件 需要一个直接与网卡驱动程序接口的驱动模
块,作为网卡驱动与上层应用的“中间人”,它 将网卡设置成混杂模式,并从上层Sniffer接收 下达的各种抓包请求,对来自网卡驱动程序的数 据帧进行过滤,最终将符合Sniffer要求的数据 返回给Sniffer。
链路层的网卡驱动程序上传的数据帧就有了
两个去处:一个是正常的协议栈,另一个就是分 组捕获即过滤模块,对于非本地的数据包,前者 会丢弃(通过比较目的IP地址),而后者则会根 据上层应用的要求来决定上传还是丢弃。
2.交换机 (1) 交换机的原理:
交换机是一种网络开关(Switch),也称交 换器,由于和电话交换机对出入线的选择有相似 的原理,因此被人称为交换机。
交换机在局域网的环境下,工作在比集线器
更高一层链路层上。交换机被定义成一个能接收 发来的信息帧,加以暂时存储,然后发到另一端 的网络部件,其本质上就是具有流量控制能力的 多端口网桥。
点到点网络传输技术:点到点网络由一对对 机器之间的多条连接构成,分组的传输是通 过这些连接直接发往目标机器,因此不存在 发送分组被多方接收的问题。
3.网卡的四种工作模式
(1)广播模式:该模式下的网卡能够接收网络中 的广播信息。
(2)组播模式:该模式下的网卡能够接受组播数 据。
(3)直接模式:在这种模式下,只有匹配目的 MAC地址的网卡才能接收该数据帧。
计算机网络安全第八章IDS
2 之 2
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
信息安全
的一种安全保护措施。用户和用户组被赋予 一定的权限。网络控制用户和用户组可以访 问哪些目录、子目录、文件和其他资源。可 以指定用户对这些文件、目录、设备能够执 行哪些操作。
3. 目录级安全控制
网络应允许控制用户对目录、文件、设备的
访问。用户在目录一级指定的权限对所有文 件和子目录有效,用户还可进一步指定对目 录下的子目录和文件的权限。对目录和文件 的访问权限一般有八种:系统管理员权限、 读权限、写权限、创建权限、删除权限、修 改权限、文件查找权限、访问控制权限。
网络允许在服务器控制台上执行一系列操作。
用户使用控制台可以装载和卸载模块,可以 安装和删除软件等操作。 网络服务器的安全控制包括可以设置口令锁 定服务器控制台,以防止非法用户修改、删 除重要信息或破坏数据;可以设定服务器登 录时间限制、非法访问者检测和关闭的时间 间隔。
防火墙技术
在计算机网络中,“防火墙”是指设置在可 信任的内部网和不可信任的公众访问网之间 的一道屏障,来保护计算机网络资源和用户 声誉,使一个网络不受另一个网络的攻击, 实质上是一种隔离技术。 防火墙是网络通信时的一种尺度,允许同意 的“人”和“数据”访问,同时把不同意的 “拒之门外”,这样能最大限度地防止黑客 的访问,阻止他们对网络进行一些非法的操 作。
第八章 信息安全
信息社会的到来,给全球带来了信息技术飞速发 展的契机;信息技术的应用,引起了人们生产方 式、生活方式和思想观念的巨大变化,极大地推 动了人类社会的发展和人类文明的进步,把人类 带入了崭新的时代。
然而,人们在享受网络信息所带来的巨大利益的
同时,也面临着信息安全的严峻考验。信息安全 已成为世界性的现实问题,信息安全与国家安全、 民族兴衰和战争胜负息息相关。没有信息安全, 就没有完全意义上的国家安全,也没有真正的政 治安全、军事安全和经济安全。
《公司网络安全管理制度》
《公司网络安全管理制度》第一章总则第一条为了加强公司网络安全管理,保障公司网络安全与信息安全,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司网络安全的管理工作,包括网络设备、信息系统、数据资源、应用程序等方面的安全管理。
第三条公司应当建立健全网络安全责任制度,明确各级人员网络安全职责,加强网络安全培训和宣传,提高员工网络安全意识。
第四条公司应当加强网络安全技术措施,防范网络攻击、网络侵入等安全风险,确保公司网络和信息系统的安全稳定运行。
第五条公司应当建立健全网络安全事件应急预案,提高网络安全应急响应能力,及时妥善处理网络安全事件。
第六条公司应当加强网络安全监测,及时发现和处置网络安全威胁,保障公司网络安全。
第七条公司应当加强网络安全国际合作,积极参与网络安全交流与合作,共同维护网络空间的安全与稳定。
第二章组织管理第八条公司应当设立网络安全管理组织,负责公司网络安全的统一领导和管理。
第九条公司网络安全管理组织应当制定网络安全政策、制度、流程和标准,并进行监督实施。
第十条公司网络安全管理组织应当建立健全网络安全管理制度,明确各级人员网络安全职责,制定网络安全考核和奖惩机制。
第十一条公司应当设立网络安全技术部门,负责网络安全技术措施的实施和网络安全事件的应急响应。
第十二条公司各级部门和员工应当积极配合网络安全管理组织的工作,落实网络安全管理制度。
第三章技术管理第十三条公司应当采用安全可靠的网络设备和技术,保障公司网络和信息系统的安全稳定运行。
第十四条公司应当定期对网络设备进行安全检查和维护,确保网络设备的安全性能符合国家相关标准。
第十五条公司应当加强信息系统安全防护,对信息系统进行安全评估和风险分析,并采取相应的防护措施。
第十六条公司应当加强数据资源安全管理,对数据进行分类、分级保护,确保数据安全和完整性。
第十七条公司应当加强应用程序安全管理,对应用程序进行安全审查和测试,确保应用程序的安全性能符合相关要求。
盛立军计算机网络技术基础ppt课件第八章
8.1 网络安全基础
9
4 网络病毒
病毒对计算机系统和网络安全造成了极大的威胁,病毒在发 作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的 破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒 传播的速度更快,范围更广,造成的损失也更加严重。据统计, 目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单 机的20倍,网络服务器杀毒花费的时间是单机的40倍。
在对称加密技术中,最为著名的算法是IBM公司研发的数据加密标准(Data Encryption Standard)分组算法。DES使用64位密钥,经过16轮的迭代、乘积变换、压缩变化等处理, 产生64位的密文数据。
8.2 网络加密技术
15
2 非对称加密技术
非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作 加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。
数字签名是一种信息认证技术,它利用数据加密技术、数据变换技术,根据某种协议 来产生一个反映被签署文件和签署人的特征,以保证文件的真实性和有效性,同时也可用 来核实接收者是否存在伪造、篡改文件的行为。简单地说,数字签名就是只有信息的发送 者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息 真实性的一个有效证明。
在实际应用过程中,通常利用两种密钥体制的长处,采用二者相结合的方式对信息进行加 密。例如,对实际传输的数据采用对称加密技术,这样数据传输速度较快;为了防止密钥泄 露,传输密钥时采用非对称加密技术加密,使密钥的传送有了安全的保障。
8.2 网络加密技术
16
8.2.2 数字签名
1 数字签名技术
现实生活中的书信或文件是根据亲笔签名或印章来证明其真实性。那么在计算机网络 中传送的文件又如何盖章呢?这就要使用数字签名。
网络安全教材
网络安全教材网络安全教材
第一章:网络安全概述
1.1 网络安全的定义
1.2 网络安全的重要性
1.3 常见网络安全威胁
1.4 个人信息保护意识
第二章:密码学与加密技术
2.1 密码学基础
2.2 对称加密算法
2.3 非对称加密算法
2.4 数字签名技术
第三章:网络攻击与防护
3.1 数据包嗅探与拦截
3.2 网络钓鱼
3.3 拒绝服务攻击
3.4 防火墙与入侵检测系统
第四章:网络应用安全
4.1 Web应用安全
4.2 数据库安全
4.3 电子邮件安全
4.4 移动应用安全
第五章:安全操作指南
5.1 强密码设置与管理
5.2 定期更新软件与系统
5.3 注意网站的安全证书
5.4 加强网络隐私保护
第六章:网络安全法律法规
6.1 个人信息保护法
6.2 计算机信息网络安全保护条例
6.3 网络安全事件应急处置法
第七章:安全意识教育
7.1 常见社交工程攻击
7.2 确认身份与信息分享
7.3 网络购物与支付安全
7.4 网络游戏与健康
第八章:网络安全管理
8.1 内部人员管理
8.2 网络访问控制
8.3 安全审计与监测
8.4 灾备与恢复计划
结语:
网络安全是当前信息社会中至关重要的问题,并且对个人、企业和社会都有着重要的影响。
希望通过本教材的学习,学员能够全面了解网络安全的概念、威胁和防护措施,并掌握实际应
用中的安全操作和安全管理技能,以保护自己和他人的网络安全。
同时,也希望学员能够增强网络安全意识,遵守法律法规,共同维护网络环境的安全与稳定。
Computer networks
距离尺度
• 不同的距离尺度将会使用不同的技术。 不同的距离尺度将会使用不同的技术。 处理器中间的距离 1m 10m 100m 1km 10km 100km 1000km 10 000km 处理器所在的位置 一米见方的范围内 同一个房间 同一建筑物内 同一校园 同一城市 同一国家 同一个洲 同一个星球 例子 个人区域网 局域网
1.1计算机网络的应用 计算机网络的应用
• 移动用户 移动办公 老式的、 老式的、没有布线的建筑物 军事 无线停车计时器 自动售货机 仪表阅读服务
1.1计算机网络的应用 计算机网络的应用
• 社会问题 法律问题 安全问题(隐私安全) 安全问题(隐私安全)
1.2 网络硬件
• 计算机网络分类 传输技术 距离尺度
无线网络
• 几乎所有的无线网络都在某一个点上连接 到有线网络中。 到有线网络中。
1.2.5 家庭网络
• 家庭中的每一个设备都具备与其他设备进行通信 的能力,通过Internet可以访问所有这些设备。 可以访问所有这些设备。 的能力,通过 可以访问所有这些设备 • 家庭网络的特性: 家庭网络的特性: 易于安装 易于操作 低价格 足够的传输能力 接口、 接口、网线保持不变 安全性和可靠性 有线、无线? 有线、无线?
• 环型: 环型: IEEE802.5(IBM令牌网) 令牌网) 令牌网
仲裁机制
• 当两台或者多台机器想同时传送数据的时候,需 当两台或者多台机器想同时传送数据的时候, 要有一种仲裁机制来解决冲突问题。 要有一种仲裁机制来解决冲突问题。 静态分配方式 将时间分成离散的间隔,并且使用一种轮询算法, 将时间分成离散的间隔,并且使用一种轮询算法, 每一台机器只有在它自己的时槽到达时候才能发 送数据。 送数据。 动态分配方式 集中式:总线仲裁单元决定谁是下一个发送方。 集中式:总线仲裁单元决定谁是下一个发送方。 分布式:每台机器自己决定是否传送数据。 分布式:每台机器自己决定是否传送数据。
第八章主干网络
主干网络
基本概念
主干网络 网络技术
局域网
无线局域网
主干网 广域网 Internet
网络管理 网络设计 网络安全
网络管理
• 本章介绍主干网络(Backbone Network,BN),它 用来连接局域网并将其连接到广域网。 • 从主干网络中使用的不同类型的设备开始讨论, 并讨论几种主干结构。 • 讲述两种在主干网络中应用的技术(ATM和吉比特 以太网)。 • 讨论如何提高主干网络的性能并描述了主干网络 的发展前景。
• 路由器和交换机之间另外一个重要的不同在于, 路由器只处理指定到达它那里的信息。而交换机 则处理出现在网络上的所有信息,并根据它们的 数据链路层地址把它们送到适当的网络中。 • 交换机仅仅是简单地把没改变的信息传送到其他 的网络。 • 路由器是在网络层进行操作,所以在信息传送到 网络层进行处理之前,它的数据链路层首先必须 要确认收到的是指定在数据链路层阶段到达的信 息。 • 路由器将通过建立一个全新的数据链路层报文来 处理这些信息,然后再将它传送到其他的网络。
8.3.3 折叠式主干
• 折叠式主干(collapsed backbone)分布层中(如一 栋建筑内)使用的一种最常见的主干网络,现今大 多数新建筑的设计其主干网络都使用折叠式主干。 • 折叠式主干网络使用具有一个中央设备的星形拓 扑结构。这个设备通常是一个交换机,并且放置 在网络的中心位置。 • 主干线路和一系列的路由器或网桥被一个交换机 和一系列的局域网线路所替代。
• 大多数交换机(switch)应用在数据链路层。 • 将两个或更多使用同样数据链路协议和网络协议 的网络段连接起来。 • 只知道数据链路层的协议和地址。 • 交换机可以连接相同或不同类型的线缆。 • 这里的交换机在它们根据数据链路层地址在网络 段间传送报文时,它们通过读取源地址和目的地 址来学习地址知识。
第八章 信息安全基础知识
2. 应用级网关(Application Level Gateway)
应用级网关主要控制对应用程序的访问,它能够对进出的数据包进 行分析、统计,防止在受信任的服务器与不受信任的主机间直接建 立联系。而且它还提供一种监督控制机制,使得网络内3所示。
图8-4 代理服务防火墙功能模型
代理服务器收到用户对某站点的访问请求后,便立即检查该请求是 否符合规则。若规则允许用户访问该站点,代理服务器便会以客户 身份登录目的站点,取回所需的信息再发回给客户。 代理服务器将所有跨越防火墙的通信链路分为两段,外部用户只能 看到该代理服务器而无法获知任何内部资料,如IP地址,从而起到 了隔离防火墙内、外计算机系统的作用。
8.2.3 计算机病毒的分类
目前,全球的计算机病毒有几万种,对计算机病毒的分类方法也 存在多种,常见的分类有以下几种:
(1)按病毒存在的媒体分类
引导型病毒 文件型病毒
混合型病毒
(2)按病毒的破坏能力分类
良性病毒
恶性病毒
(3)按病毒传染的方法分类
驻留型病毒
非驻留型病毒
(4)按照计算机病毒的链接方式分类
不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击
8.3.2 防火墙的基本类型
典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火 墙的技术包括以下四大类:
1. 包过滤防火墙(Packet Filtering Firewall)
包过滤防火墙,又称网络级防火墙,通常由一台路由器或一台充当 路由器的计算机组成,如图8-2所示。
破坏性
计算机病毒的最终目的是破坏系统的正常运行,轻则降低速度,影 响工作效率;重则删除文件内容、抢占内存空间甚至对硬盘进行格式 化,造成整个系统的崩溃。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
刺探秘密者的企图非常明确,它通过非法手段侵入他人 计算机系统,以窃取商业秘密与个人资料。
威胁
授权侵犯 旁路控制 拒绝服务
窃听 电磁/射频截获
人员疏忽 信息泄露 完整性破坏 截获/修改
假冒 媒体清理 物理侵入
重放 否认 资源耗尽 服务欺骗 窃取 通信量分析 陷门
特洛伊木马
描述
为某一特定的授权使用一个系统的人却将该系统用做其他未授权的目的 攻击者发掘系统的缺陷或安全脆弱性 对信息或其他资源的合法访问被无条件地拒绝,或推迟的操作 信息从被监视的通信过程中泄露出去 信息从电子或机电设备所发出的无线射频中被提取出来 一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人 信息被泄露或暴露给某个未授权的实体 通过对数据进行未授权的创建、修改或破坏,使数据的一致性受到损害 某一通信数据项在传输过程中被改变、删除或替代 一个实体(人或系统)假装成另一个不同的实体 信息被从废弃的或打印过的媒体中获得 一个入侵者通过绕过物理控制而获得对系统的访问 出于非法的目的而重新发送所截获的合法通信数据项的备份 参与某次通信交换的一方,事后错误地否认曾经发生过此次交换 某一资源(如端口)被故意超负荷地使用,导致其他用户的服务被中断 某一伪系统或系统部件欺骗合法的用户,或系统自愿地放弃敏感信息 某一安全攸关的物品,如令牌或身份卡被盗 通过对通信量的观察(有、无、数量、方向、频率)而造成信息泄露 将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入 数据时,允许安全 策略被违反 含有察觉不出或无害程序段的软件,当它被运行时,会损害用户的安全
3. 监测型(状态检测防火墙)
监测型防火墙是新一代的产品,监测型防火墙能够对各层的数据进行主动 的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够 有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还 带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节 点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破 坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中, 有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统 防火墙的定义,而且在安全性上也超越了前两代产品。
防火墙系统的基本组件
1. 屏蔽路由器(Screening Router) 屏蔽路由器,也称包过滤防火墙,是根据安全的需要,对所有要通行的IP包进行过
滤和路由的一台路由器。一般屏蔽路由器会允许内部网络的IP包发往Internet, Internet网上发来的IP包,则要仔细检查,根据路由器上的访问控制表(ACL), 有选择性地允许或阻止它们的通行。 值得注意的是,屏蔽路由器不具备监控和权限认证功能,最多能做一些简单的流量 的记录,所以只能提供简单的、机械的安全防范工作。 2. 壁垒主机(Bastion Host) 壁垒主机也称为双宿网关防火墙。壁垒主机的硬件是一台普通的主机,软件上配置 了代理服务程序,从而具备强大、完备的安全功能,它是内部网络与Internet之间 的通信桥梁。它中继所有的网络通信服务,并具有授权认证、访问控制、日志记 录、审计报告和监控等功能。 壁垒主机应配置尽量大的内存和硬盘,删除任何不必要的账号,移走任何与安全功 能无关的文件和可执行程序,增强登录监视和日志记录的能力。 3. 应用网关(Application Gateway) 应用网关是在一台双目主机上的运行应用网关代理服务程序。代理某种Internet网络 服务并进行安全检查,每一个应用网关代理服务程序都是为一种网络应用服务而 定制的程序,如FTP代理、Telnet代理、SMTP代理等。应用网关是建立在应用层 上的具有协议过滤和转发功能的一种防火墙。 系统地针对某一个(或多个)应用服务协议指定数据过滤逻辑,并同时对数据包分 析的结构及采取的措施作登录和统计并形成报告。
2. 代理型(应用层网关防火墙)
代理服务技术是防火墙技术中使用得较多的技术,也是一种安全性能较高 的技术,它的安全性要高于包过滤技术,并已经开始向应用层发展。代 理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从 客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看, 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据 时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服 务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系 统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤 害到企业内部网和序列密码。 分组密码:一次处理一块输入元素,每个输入块生成一个输出块。 序列密码:对输入元素进行连续处理,每次输出一个输出块。 (3)按密钥的使用个数可分为: 对称密码体制和非对称密码体制。
对称密码体制:发送方使用的加密密钥和接受方使用的解密密钥相 同。
非对称密码体制:发送方使用的加密密钥和接受方使用的解密密钥 不相同。
消息认证 在计算机网络中,用户A将消息送给用户B,用户B需 要确定收到的消息是否来自A,而且还要确定来自A的 消息有没有被别人修改过,有时用户A也要知道发送出 去的消息是否正确的到达了目的地。消息认证就是消 息的接收者能够检验收到的消息是否真实的方法。
身份认证 通信和数据系统的安全性取决于能否正确地验证终端用
B级
B2级
结构化安全保护级。建立形式化的安全策略模型,并对 系统内的所有主体和客体实施自主访问和强制访问控制
B3级
安全域。能够满足访问监控器的要求,提供系统恢复过 程。
A级 A1级 与B3级类似,但拥有正式的分析及数学方法。
加密技术
(1).按将明文转换成密文的操作类型可分为::置换密码和易位密码。 置换密码:将明文的每个元素映射成其它元素。 易位密码:对明文的元素进行重新布置。
第八章 网络安全管理
在网络的安全性讨论中,人们将对网络构成的威胁分为 有意造成的危害和无意造成的危害,而有意危害网络 安全的主要有3种人:故意破坏者、不遵守规则者、刺 探秘密者。
故意破坏者企图通过各种手段去破坏网络资源与信息, 例如涂抹别人的主页、修改系统配置与造成系统瘫痪。
不遵守规则者企图访问不允许他访问的系统,他可能仅 仅是到网中看看,找些资料,也可能想盗用别人的计 算机资源(如CPU资源)。
防火墙技术
防火墙的概念 目前保护网络安全最主要的手段之一是构筑防火
墙,防火墙(firewall)在计算机界是指一种逻 辑装置,用来保护内部的网络不受来自外界的 侵害,是近年来日趋成熟的保护计算机网络安 全的重要措施。防火墙是一种隔离控制技术, 它的作用是在某个机构的网络和不安全的网络 (如Internet)之间设置屏障,阻止对信息资源 的非法访问,防火墙也可以被用来阻止保密信 息从企业的网络上被非法传出。
网络管理功能
⑴ 配置管理 配置管理是指网络中每个设备的功能、相互间的连接关系和工作参数,它反映了网络
的状态。网络是经常需要变化的,需要调整网络配置的原因很多,主要有以下几 点: ① 根据用户需求,增加新的资源与设备,调整网络的规模,以增强网络的服务能力。 ② 在故障排除过程中影响到部分网络的结构。 ③ 通信子网中某个节点的故障会造成网络上节点的减少与路由的改变。 配置管理就是用来识别、定义、初始化、控制与监测通信网中的管理对象。配置管理 是网络管理中对管理对象的变化进行动态管理的核心。当配置管理软件接到网络 管理员或其他管理功能设施的配置变更请求时,配置管理服务首先确定管理对象 的当前状态并给出变更合法性的确认,然后对管理对象进行变更操作,最后要验 证变更确实已经完成。 ⑵ 故障管理 故障管理是用来维持网络的正常运行的。网络故障管理包括及时发现网络中发生的故 障,找出网络故障产生的原因,必要时启动控制功能来排除故障。控制功能包括 诊断测试、故障修复或恢复、启动备用设备等。 故障管理是网络管理功能中与检测设备故障、差错设备的诊断、故障设备的恢复或故 障排除有关的网络管理功能,其目的是保证网络能够提供连续、可靠的服务。 常用的故障管理工具有网络管理系统、协议分析器、电缆测试仪、冗余系统、数据档 案和备份设备等。
防火墙的实现技术
根据防火墙所采用的技术不同,我们可以将它分为3种基本类型:包 过滤型、代理型和监测型。
1. 包过滤型(网络层防火墙)
包过滤技术是防火墙的一种最基本的实现技术,其技术依据是网络 中的分包传输技术。网络上的数据都是以“包”为单位进行传输 的,数据被分割成为一定大小的数据包,每一个数据包中都会包 含一些特定信息,如数据的源地址、目标地址、TCP/IP源端口和 目标端口等。防火墙通过读取数据包中的地址信息来判断这些 “包”是否来自可信任的安全站点,一旦发现来自危险站点的数 据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据 实际情况灵活制定判断规则。
⑶ 性能管理 网络性能管理活动是持续地评测网络运行中的主要性能指标,以检
验网络服务是否达到了预定的水平,找出已经发生或潜在的瓶颈, 报告网络性能的变化趋势,为网络管理决策提供依据。性能管理 指标通常包括网络响应时间、吞吐量、费用和网络负载。 对于性能管理,通过使用网络性能监视器(硬件和软件),能够给 出一定性能指示的直方图。利用这一信息,预测将来对硬件和软 件的需求,验明潜在的需要改善的区域,以及潜在的网络故障。 ⑷ 记账管理 记账管理主要对用户使用网络资源的情况进行记录并核算费用。 在企业内部网中,内部用户使用网络资源并不需要交费,但是记账 功能可以用来记录用户对网络的使用时间、统计网络的利用率与 资源使用等内容。 通过记账管理,可以了解网络的真实用途,定义它的能力和制定政 策,使网络更有效。 ⑸ 安全管理 安全管理功能是用来保护网络资源的安全。安全管理活动能够利用 各种层次的安全防卫机制,使非法入侵事件尽可能少发生;能够 快速检测未授权的资源使用,并查出侵入点,对非法活动进行审 查与追踪;能够使网络管理人员恢复部分受破坏的文件。 在安全管理中可以通过使用网络监视设备,记录使用情况,报告越 权或提供对高危险行为的警报。
消息认证和身份认证解决了通信双方防止第三者伪装和 破坏问题。随着计算机通信网络的发展,人们希望通 过电子设备实现快速,远距离的交易,数字签名技术 应运而生,解决了通信双方抵赖等问题,广泛用于商 业通信系统,如电子邮件,电子商务等。
威胁
授权侵犯 旁路控制 拒绝服务
窃听 电磁/射频截获
人员疏忽 信息泄露 完整性破坏 截获/修改
假冒 媒体清理 物理侵入
重放 否认 资源耗尽 服务欺骗 窃取 通信量分析 陷门
特洛伊木马
描述
为某一特定的授权使用一个系统的人却将该系统用做其他未授权的目的 攻击者发掘系统的缺陷或安全脆弱性 对信息或其他资源的合法访问被无条件地拒绝,或推迟的操作 信息从被监视的通信过程中泄露出去 信息从电子或机电设备所发出的无线射频中被提取出来 一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人 信息被泄露或暴露给某个未授权的实体 通过对数据进行未授权的创建、修改或破坏,使数据的一致性受到损害 某一通信数据项在传输过程中被改变、删除或替代 一个实体(人或系统)假装成另一个不同的实体 信息被从废弃的或打印过的媒体中获得 一个入侵者通过绕过物理控制而获得对系统的访问 出于非法的目的而重新发送所截获的合法通信数据项的备份 参与某次通信交换的一方,事后错误地否认曾经发生过此次交换 某一资源(如端口)被故意超负荷地使用,导致其他用户的服务被中断 某一伪系统或系统部件欺骗合法的用户,或系统自愿地放弃敏感信息 某一安全攸关的物品,如令牌或身份卡被盗 通过对通信量的观察(有、无、数量、方向、频率)而造成信息泄露 将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入 数据时,允许安全 策略被违反 含有察觉不出或无害程序段的软件,当它被运行时,会损害用户的安全
3. 监测型(状态检测防火墙)
监测型防火墙是新一代的产品,监测型防火墙能够对各层的数据进行主动 的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够 有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还 带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节 点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破 坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中, 有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统 防火墙的定义,而且在安全性上也超越了前两代产品。
防火墙系统的基本组件
1. 屏蔽路由器(Screening Router) 屏蔽路由器,也称包过滤防火墙,是根据安全的需要,对所有要通行的IP包进行过
滤和路由的一台路由器。一般屏蔽路由器会允许内部网络的IP包发往Internet, Internet网上发来的IP包,则要仔细检查,根据路由器上的访问控制表(ACL), 有选择性地允许或阻止它们的通行。 值得注意的是,屏蔽路由器不具备监控和权限认证功能,最多能做一些简单的流量 的记录,所以只能提供简单的、机械的安全防范工作。 2. 壁垒主机(Bastion Host) 壁垒主机也称为双宿网关防火墙。壁垒主机的硬件是一台普通的主机,软件上配置 了代理服务程序,从而具备强大、完备的安全功能,它是内部网络与Internet之间 的通信桥梁。它中继所有的网络通信服务,并具有授权认证、访问控制、日志记 录、审计报告和监控等功能。 壁垒主机应配置尽量大的内存和硬盘,删除任何不必要的账号,移走任何与安全功 能无关的文件和可执行程序,增强登录监视和日志记录的能力。 3. 应用网关(Application Gateway) 应用网关是在一台双目主机上的运行应用网关代理服务程序。代理某种Internet网络 服务并进行安全检查,每一个应用网关代理服务程序都是为一种网络应用服务而 定制的程序,如FTP代理、Telnet代理、SMTP代理等。应用网关是建立在应用层 上的具有协议过滤和转发功能的一种防火墙。 系统地针对某一个(或多个)应用服务协议指定数据过滤逻辑,并同时对数据包分 析的结构及采取的措施作登录和统计并形成报告。
2. 代理型(应用层网关防火墙)
代理服务技术是防火墙技术中使用得较多的技术,也是一种安全性能较高 的技术,它的安全性要高于包过滤技术,并已经开始向应用层发展。代 理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从 客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看, 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据 时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服 务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系 统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤 害到企业内部网和序列密码。 分组密码:一次处理一块输入元素,每个输入块生成一个输出块。 序列密码:对输入元素进行连续处理,每次输出一个输出块。 (3)按密钥的使用个数可分为: 对称密码体制和非对称密码体制。
对称密码体制:发送方使用的加密密钥和接受方使用的解密密钥相 同。
非对称密码体制:发送方使用的加密密钥和接受方使用的解密密钥 不相同。
消息认证 在计算机网络中,用户A将消息送给用户B,用户B需 要确定收到的消息是否来自A,而且还要确定来自A的 消息有没有被别人修改过,有时用户A也要知道发送出 去的消息是否正确的到达了目的地。消息认证就是消 息的接收者能够检验收到的消息是否真实的方法。
身份认证 通信和数据系统的安全性取决于能否正确地验证终端用
B级
B2级
结构化安全保护级。建立形式化的安全策略模型,并对 系统内的所有主体和客体实施自主访问和强制访问控制
B3级
安全域。能够满足访问监控器的要求,提供系统恢复过 程。
A级 A1级 与B3级类似,但拥有正式的分析及数学方法。
加密技术
(1).按将明文转换成密文的操作类型可分为::置换密码和易位密码。 置换密码:将明文的每个元素映射成其它元素。 易位密码:对明文的元素进行重新布置。
第八章 网络安全管理
在网络的安全性讨论中,人们将对网络构成的威胁分为 有意造成的危害和无意造成的危害,而有意危害网络 安全的主要有3种人:故意破坏者、不遵守规则者、刺 探秘密者。
故意破坏者企图通过各种手段去破坏网络资源与信息, 例如涂抹别人的主页、修改系统配置与造成系统瘫痪。
不遵守规则者企图访问不允许他访问的系统,他可能仅 仅是到网中看看,找些资料,也可能想盗用别人的计 算机资源(如CPU资源)。
防火墙技术
防火墙的概念 目前保护网络安全最主要的手段之一是构筑防火
墙,防火墙(firewall)在计算机界是指一种逻 辑装置,用来保护内部的网络不受来自外界的 侵害,是近年来日趋成熟的保护计算机网络安 全的重要措施。防火墙是一种隔离控制技术, 它的作用是在某个机构的网络和不安全的网络 (如Internet)之间设置屏障,阻止对信息资源 的非法访问,防火墙也可以被用来阻止保密信 息从企业的网络上被非法传出。
网络管理功能
⑴ 配置管理 配置管理是指网络中每个设备的功能、相互间的连接关系和工作参数,它反映了网络
的状态。网络是经常需要变化的,需要调整网络配置的原因很多,主要有以下几 点: ① 根据用户需求,增加新的资源与设备,调整网络的规模,以增强网络的服务能力。 ② 在故障排除过程中影响到部分网络的结构。 ③ 通信子网中某个节点的故障会造成网络上节点的减少与路由的改变。 配置管理就是用来识别、定义、初始化、控制与监测通信网中的管理对象。配置管理 是网络管理中对管理对象的变化进行动态管理的核心。当配置管理软件接到网络 管理员或其他管理功能设施的配置变更请求时,配置管理服务首先确定管理对象 的当前状态并给出变更合法性的确认,然后对管理对象进行变更操作,最后要验 证变更确实已经完成。 ⑵ 故障管理 故障管理是用来维持网络的正常运行的。网络故障管理包括及时发现网络中发生的故 障,找出网络故障产生的原因,必要时启动控制功能来排除故障。控制功能包括 诊断测试、故障修复或恢复、启动备用设备等。 故障管理是网络管理功能中与检测设备故障、差错设备的诊断、故障设备的恢复或故 障排除有关的网络管理功能,其目的是保证网络能够提供连续、可靠的服务。 常用的故障管理工具有网络管理系统、协议分析器、电缆测试仪、冗余系统、数据档 案和备份设备等。
防火墙的实现技术
根据防火墙所采用的技术不同,我们可以将它分为3种基本类型:包 过滤型、代理型和监测型。
1. 包过滤型(网络层防火墙)
包过滤技术是防火墙的一种最基本的实现技术,其技术依据是网络 中的分包传输技术。网络上的数据都是以“包”为单位进行传输 的,数据被分割成为一定大小的数据包,每一个数据包中都会包 含一些特定信息,如数据的源地址、目标地址、TCP/IP源端口和 目标端口等。防火墙通过读取数据包中的地址信息来判断这些 “包”是否来自可信任的安全站点,一旦发现来自危险站点的数 据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据 实际情况灵活制定判断规则。
⑶ 性能管理 网络性能管理活动是持续地评测网络运行中的主要性能指标,以检
验网络服务是否达到了预定的水平,找出已经发生或潜在的瓶颈, 报告网络性能的变化趋势,为网络管理决策提供依据。性能管理 指标通常包括网络响应时间、吞吐量、费用和网络负载。 对于性能管理,通过使用网络性能监视器(硬件和软件),能够给 出一定性能指示的直方图。利用这一信息,预测将来对硬件和软 件的需求,验明潜在的需要改善的区域,以及潜在的网络故障。 ⑷ 记账管理 记账管理主要对用户使用网络资源的情况进行记录并核算费用。 在企业内部网中,内部用户使用网络资源并不需要交费,但是记账 功能可以用来记录用户对网络的使用时间、统计网络的利用率与 资源使用等内容。 通过记账管理,可以了解网络的真实用途,定义它的能力和制定政 策,使网络更有效。 ⑸ 安全管理 安全管理功能是用来保护网络资源的安全。安全管理活动能够利用 各种层次的安全防卫机制,使非法入侵事件尽可能少发生;能够 快速检测未授权的资源使用,并查出侵入点,对非法活动进行审 查与追踪;能够使网络管理人员恢复部分受破坏的文件。 在安全管理中可以通过使用网络监视设备,记录使用情况,报告越 权或提供对高危险行为的警报。
消息认证和身份认证解决了通信双方防止第三者伪装和 破坏问题。随着计算机通信网络的发展,人们希望通 过电子设备实现快速,远距离的交易,数字签名技术 应运而生,解决了通信双方抵赖等问题,广泛用于商 业通信系统,如电子邮件,电子商务等。