当前位置:文档之家 › 第8章 局域网安全

第8章 局域网安全

  • 格式:ppt
  • 大小:5.17 MB
  • 文档页数:52

下载文档原格式

  / 52

合集下载

计算机网络第8章 局域网布线、物理拓扑结构

计算机网络第8章 局域网布线、物理拓扑结构

逻辑拓扑
双绞线以太网中的所有计算机共享一个通信介 质,计算机必须竞争对介质的控制,并且一个 特定的时间只有一台计算机能进行传输。 实质是总线结构
物理拓扑与逻辑拓扑可能是不同的
网络接口卡与布线方案
为使改变布线方案而不改变接口硬件称为可 能,许多网络接口支持多种布线方案 尽管有多种连接器,但是一个特定接口在一 个时间内只能使用一种布线方案 优点:
2. 细缆以太网布线
与粗缆以太网布线的区别
使用比粗缆以太网更细、更柔软的同轴电缆 安装与运行比粗网简单 由于完成收发器功能的硬件被做在网卡里,所 以外部无需外部收发器
通过BNC连接器直接连接每台计算机
BNC
2. 细缆以太网布线
与粗缆以太网相似的地方
均采用同轴电缆,具有良好的屏蔽性 均需要终止器 采用总线拓扑 具有相似的电子特性
2. 小型办公室局域网布线
线缆的选用 1. 一般总线结构的局域网多使用铜轴电缆,不过我 们这里主要讲星形结构的局域网,所以不作详细介绍。 2. 星形结构的局域网所用的线缆大多是双绞线 (Twisted pair cable)。它是由两根绝缘导线互相绞合 而成。双绞线可分为两类:无屏蔽双绞线 (UTP)和屏蔽 双绞线 (STP)。 屏蔽双绞线与无屏蔽双绞线主要的不同是增加了一 层金属屏蔽护套。这层屏蔽护套的主要作用是为了增强 其抗干扰性,同时可以在一定程度上改善其带宽。但是 由于价格比无屏蔽双绞线贵,安装也比较困难,加之小 型局域网结构简单、设备少,所以没有必要使用屏蔽双 绞线。
1.家庭布线(LAN无服务器共享上网)
配置路由 网络的灵魂是软件。当我们布完线,架好 硬件之后,就要对路由器进行配置了。 根据用户的实际情况设置“xDSL”的参数。 将“DHCP Server”设为“Enabled”,这样就 可以让所有计算机自动获得一个“内网IP” 。 启动防火墙功能,这样可以杜绝来自外部的 大部分攻击。

第8章 无线局域网技术

第8章 无线局域网技术

8.1.3 无线局域网常用设备
1.无线网卡
无线网卡在无线局域网中的作用相当于有线网卡在有 线局域网中的作用。两台计算机只要各自插上无线网卡, 就可以实现通信。
2.无线网桥、路由器及网关
无线网桥主要用于无线或有线局域网之间的互连。当 两个局域网无法实现有线连接或使用有线连接存在困难时, 就可使用无线网桥实现点对点的连接。在这里无线网桥起 到了协议转换的作用。无线路由器则集成了无线AP 的接 入功能和路由器的第三层路径选择功能。
8.1.2 无线局域网的工作原理
无线局域网采用直序扩频接入技术,使用户可以在 2.4GHz的ISM频段上进行无线Internet连接。无线局域网络 的系统包括无线网络接入管理系统、无线中心路由器、用户 端无线路由器。网络接入管理系统可以为网络运营商提供如 用户管理功能和网络安全等方面的操作与维护支持;无线中 心路由器同时提供多个无线接口,并采用扇区覆盖方式,提 供多用户大容量的IP接入,它可以进行用户验证、访问服务 控制、动态IP地址分配等。同时,它比传统的无线网络接入 设备增加了强大的IP组网和路由功能,提高了无线宽带网络 的扩展性、传输速率以及安全性。
图8-1 网络连接窗口
(a) 图8-2 无线网络连接属性
(b)
2.无线接入点的安装
(1)通过IE浏览器配置 ① 确认PC机获得了10.0.0.x网段的地址 ② 打开IE浏览器,在地址栏中输入无线接入点的IP地址 10.0.0.1,连接,桌面将弹出“连接到”对话框,要求输入 密码。在“密码(P)”框中输入“Cisco”,点击【确定】。 ③ 将进入相关页面,选中页面左上角菜单中的 “Express Setup”进入快速配置页面,在各输入框中填入相 关的配置信息。
(2)基本模式

网络安全技术习题第8章习题

网络安全技术习题第8章习题

第8章1判断题1-1 目前防火墙技术仅应用在防火墙产品中。

(×)1-2 一般来说,防火墙在OSI参考模型中的位置越高,所需要检查的内容就越多,同时CPU 和RAM的要求也就越高。

(√)1-3 防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则,其中前者的安全性要比后者高。

(√)1-4 采用防火墙的网络一定是安全的。

(×)1-5 包过滤防火墙一般工作在OSI参考模型的网络层与传输层,主要对IP分组和TCP/UDP 端口进行检测和过滤操作。

(√)1-6 当硬件配置相同时,代理防火墙对网络运行性能的影响要比包过滤防火墙小。

(×)1-7 在传统的包过滤、代理和状态检测3类防火墙中,只能状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。

(√)1-8 分布式防火墙由于采用了计算机网络的分布式通信特点,所以在实施时只能采用纯软件方式。

(×)1-9 有些个人防火墙是是一款独立的软件,而有些个人防火墙则整合在防病毒软件中使用。

(√)2 填空题2-1 防火墙将网络分割为两部分,即将网络分成两个不同的安全域。

对于接入Internet的局域网,其中局域网属于可信赖的安全域,而Internet属于不可信赖的非安全域。

2-2 为了使管理人员便于对防火墙的工作状态进行了解,一般防火墙都需要提供完善的日志功能。

2-3 防火墙一般分为路由模式和透明模式两类。

当用防火墙连接同一网段的不同设备时,可采用透明模式防火墙;而用防火墙连接两个完全不同的网络时,则需要使用路由模式防火墙。

2-4 状态检测防火墙是在传统包过滤防火墙的基础上发展而来的,所以将传统的包过滤防火墙称为静态包过滤防火墙,而将状态检测防火墙称为动态包过滤防火墙。

3 选择题3-1 以下设备和系统中,不可能集成防火墙功能的是( A )A.集线器B. 交换机C. 路由器D. Windows Server 2003操作系统3-2 对“防火墙本身是免疫的”这句话的正确理解是(B )A. 防火墙本身是不会死机的B. 防火墙本身具有抗攻击能力C. 防火墙本身具有对计算机病毒的免疫力D. 防火墙本身具有清除计算机病毒的能力3-3 在以下各项功能中,不可能集成在防火墙上的是(D )A. 网络地址转换(NAT)B. 虚拟专用网(VPN)C. 入侵检测和入侵防御D. 过滤内部网络中设备的MAC地址3-4 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时,该服务器一般要置于防火墙的(C )A. 内部B. 外部C. DMZ区D. 都可以3-5 以下关于状态检测防火墙的描述,不正确的是(D )A. 所检查的数据包称为状态包,多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中,必须首先检测规则表,然后再检测连接状态表3-6 以下关于传统防火墙的描述,不正确的是( A )A. 即可防内,也可防外B. 存在结构限制,无法适应当前有线和无线并存的需要C. 工作效率较低,如果硬件配置较低或参数配置不当,防火墙将成形成网络瓶颈D. 容易出现单点故障3-7 在分布式防火墙系统组成中不包括( D )A. 网络防火墙B. 主机防火墙C. 中心管理服务器D. 传统防火墙3-8 下面对于个人防火墙的描述,不正确的是( C )A. 个人防火墙是为防护接入互联网的单机操作系统而出现的B. 个人防火墙的功能与企业级防火墙类似,而配置和管理相对简单C. 所有的单机杀病毒软件都具有个人防火墙的功能D. 为了满足非专业用户的使用,个人防火墙的配置方法相对简单3-9 下面对于个人防火墙未来的发展方向,描述不准确的是( D )A. 与xDSL Modem、无线AP等网络设备集成B. 与防病毒软件集成,并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成。

无线局域网的安全概述

无线局域网的安全概述
确认成功/失败
工作站向AP发出认证请求AP收到初始认证帧之后,回应一个认证帧,其中包含128字节的挑战码工作站将挑战码植入认证帧,并用共享密钥对其加密,然后发送给APAP解密,并检查返回的挑战码是否相同,以次判断验证是否通过
RC4加密随机数
解密收到的相应结果,并与原发送的随机数进行比较,如果相同则认为成功
重放攻击。攻击者截取网络通信信息,例如口令,稍后用这些信息可以未经授权地接入网络。广播监测。在一个配置欠佳的网络中,如果接入点连接到集线器而不是交换机,那么集线器将会广播数据包到那些并不想接收这些数据包的无线站点,它们可能会被攻击者截取。ARP欺骗(或ARP缓存中毒)。攻击者通过接入并破坏存有MAC和IP地址映射的ARP的高速缓冲,来欺骗网络使其引导敏感数据到攻击者的无线站点。会话劫持(或中间人攻击)。是ARP欺骗攻击的一种,攻击者伪装成站点并自动解决链接来断开站点和接入点的连接,然后再伪装成接入点使站点和攻击者相连接。
2.WLAN安全
无线局域网安全措施
802.11涉及的安全技术
开放式认证系统
共享密钥认证系统
完整性校验(ICV)
RC4加密
认证技术
接入控制
完整性检验技术
加密技术
初始化向量(IV)
WEP:有线等效保密算法
WEP
3. 802.11的加密技术——有线等效加密WEP
WEP提供了有限的接入控制和采用密钥的数据加密:接入控制(认证):一般将密码短语输入到接入点,任何试图与接入点链接的站点都必须知道这个短语。如果不知道密码短语,站点可以感知数据流量但不能进行链接或解密数据。
802.11的——完整性检验(ICV)
802.11使用(CRC-32) 校验和算法计算报文的ICV,附加在MSDU后,ICV和MSDU一起被加密保护。CRC-32本身很弱,可以通过bit-flipping attack篡改报文。

第8章局域网接入安全认证

第8章局域网接入安全认证
交换机的配置
JR-2960-1#configure terminal JR-2960-1(config)#aaa new-model JR-2960-1(config)#aaa authentication dot1x default group radius local JR-2960-1(config)#radius-server host 192.168.100.3 JR-2960-1(config)#radius-server key cisco JR-2960-1(config)#dot1x system-auth-control JR-2960-1(config)#interface fastEthernet 0/6 JR-2960-1(config-if)#dot1x port-control auto JR-2960-1(config-if)#dot1x timeout reauth-period 45 JR-2960-1(config-if)# end JR-2960-1# show dot1x JR-2960-1# copy running-config startup-config
无线AP的配置——使用Web方式配置无线AP
ACS服务器的配置
ACS服务器的配置
用户计算机配置
登录测试
知识链接
IEEE 802.1x协议认证三要素
知识链接
802.1x认证过程
8.5 网络客户端登录
8.5.1 配置Windows Vista客户端 8.5.2 客户端登录测试
8.4.2 客户端登录测试
习题
1. 简述Cisco Secure ACS的主要应用环境。 2. Cisco Secure ACS服务器的功能有哪些? 3. 基于Active Directory的ACS服务器相对于其他方式有哪些优点? 4. 什么是802.1x身份验证? 5. 简述802.1x身份验证的实现机制。

网络互联技术PPT_第8章无线局域网技术

网络互联技术PPT_第8章无线局域网技术

网络互联技术--刘桂江
8/44
无线传输信道
无线局域网采用电磁波(RF)作为信息传输的载体,在空气中发送和接收数据。 生活中对电磁波的使用分两种模式:窄带通信和扩频通信。
基带信号的频谱扩频
网络互联技术--刘桂江 9/44
扩频通信的扩频
网络互联技术--刘桂江
10/44
无线扩频技术
常见的无线扩频技术包括两种:跳频扩频和直接 序列扩频
网络互联技术--刘桂江
14/44
WLAN传输使用的频段 WLAN传输使用的频段
网络互联技术--刘桂江
15/44
802.11b
由于最初的802.11标准存
工作于
在诸多缺陷,1999年IEEE 进行了很多更新,推出了 802.11b标准,该标准工作 在2.4GHz频带,最大数据 传输速率可达11Mbps。
• AP(Access Point 无线接入点): ( 无线接入点): ):AP相当于基站,主要作用 将无线网络接入以太网,其次要将各无线网络客户端连接到一起, 相当于以太网的集线器,使装有无线网卡的PC,通过AP共享有 线局域网络甚至广域网络的资源,一个AP能够在几十至上百米 的范围内连接多个无线用户。
网络互联技术--刘桂江
2/44
组建无线局域网 组件一:无线局域网基础技术 组件二:无线局域网组成设备 组件三:Ad-Hoc模式无线局域网 组件四:Infrastructure模式无线局域网
网络互联技术--刘桂江 3/44
组建无线局域网
组件一:无线局域网基础技术
网络互联技术--刘桂江
4/44
什么是无线网络
WLAN(Wireless Local Area Networks )是计算机网络技术与无线通信技术结 合的产物,无线局域网利用电磁波作为介质,在空气中发送和接收数据,无需 线缆连接,网络的组建、配置和维护较便利,用户的接入也更加灵活。无线局 域网技术尤其适用于会议中心、图书馆、阅览室、阶梯教室等空间大、移动用 户多、不方便铺设线缆的场所。

局域网组网技术 第8章


8.6.4 数据加密方式与算法
(1)DES加密算法 (2)RSA算法
第 8章
8.7
局域网安全与管理
无线局域网安全技术
8.7.1 无线局域网概述
1.无线局域网的发展史 2.无线局域网的特点 3.无线局域网的应用领域 4.无线局域网的组成
第 8章
1.无线网络网卡 2.无线Hub 3.无线网桥 4.无线Modem
影响网络安全的因素
8.2.1 操作系统漏洞
目前操作系统的漏洞相当多,任何一个操作系统都不是绝对安全的, 都存在被攻击、被攻破的危险。 90% Windows 由于全球90%的个人计算机都是使用的Windows操作系统,因此对 Windows系统漏洞报道得就特别多。Windows操作系统从Windows 95操作 系统到最新版的Windows 7操作系统,虽然说稳定性、安全性得到了大幅 度的提高,但是始终存在着这样那样的安全漏洞,而且这是不可避免的。
第 8章
学习目标: 学习目标:
局域网安全与管理
计算机网络具有无可比拟的优势,但同时也存在 着巨大的安全隐患。另外,当一个局域网被组建好 后,为了使其运转正常,维护工作就显得很重要了。 不断学习各种最新的知识,是每个网络管理员都应 该做到的,本章在介绍网络安全与网络维护等重要 知识。
第 8章
局域网安全与管理
局域网安全与管理
8.1.2 计算机安全标准
第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。
第 8章
局域网安全与管理
8.1.3 互联网络道德规范
1.网络用户应遵守的基本规范 2.六种网络不道德行为
第 8章

信息技术专业英语-第8章

一台受感染的计算机会使整个网络非常脆弱因此杀毒软件必须快速有效地隔离受感染的文件甚至是隔离受感染的计算机这是最坏的情况了
信息技术专业英语
第 八 章
English for Information Technology
Chapter 8.rk and Computer Security 1. Lead in 2. Passage A (Text, Words and Phrases, Notes, Chinese Version) 3. Exercises (Exercise 1, Exercise 2, Exercise 3, Exercise 4, Exercise5, Exercise6)
A white hat hacker:A white hat hacker is a computer security specialist who breaks into protected systems and networks to test and check their security. White hat hackers use their skills to improve security by exposing vulnerabilities before malicious hackers (known as black hat hackers) can detect and exploit them.
Network and Computer Security A network topology represents its layout or structure from the point of view of data flow. In socalled bus networks, for example, all of the computers share and communicate across one common conduit, whereas in a star network, all data flows through one centralized device. Common types of network topologies include bus, star, ring and mesh.

第8章 习题答案-局域网技术与组网工程(第2版)-苗凤君-清华大学出版社

8.10 习题与实践1.习题(1)自顶向下网络设计方法的主要网络设计阶段有哪些?答:设计和实现网络系统遵从一定的网络系统集成模型,模型从系统开始,经历用户需求分析、逻辑网络设计、物理网络设计和测试,并贯彻网络工程监理。

既采用自顶向下的网络设计方法,从OSI参考模型上层开始,然后向下直到底层的网络设计方法。

(2)为什么了解客户的商业特点很重要?答:只有对客户的商业特点进行透彻分析,才能提出得到客户认可的网络设计方案。

(3)目前公司都有哪些商业目标?答:常见的网络设计目标包括:增加收入和利润、提高市场占有份额、拓展新的市场空间、提高在同一市场内同其他公司竞争的能力、降低费用、提高员工生产力、缩短产品开发周期、使用即时生产方法、制定解决配件短缺的计划、为新客户提供服务、支持移动性、为客户提供更好的支持、为关键要素开放网络、建立达到新水平的良好的信息网和关系网以作为网络组织化模型的基础、避免网络安全问题引发商业中断、避免自然或人为灾害引发商业中断、对过时技术进行更新改造、降低电信和网络费用并在操作上进行简化等。

(4)目前商业组织机构的典型技术目标有哪些?答:常见的网络技术目标主要包括可扩展性、可用性、网络性能、安全性、可管理性、易用性、适应性和可付性。

(5)如何区分带宽和吞吐量?答:带宽(bandwidth)用来衡量单位时间内传输比特的能力,通常用bit/s表示,分物理带宽和逻辑带宽。

吞吐量是指单位时间内无差错地传输数据的能力,通常以以bps, Bps,或分组/秒(pps)度量。

(6)如何提高网络效率?答:网络效率表明为产生所需的输出而要求的系统开销。

如为避免冲突、差错、确认而采用的控制,都会影响网络效率。

提高网络效率的通用手段是有增大帧的最大长度,因为较长的帧意味着链路具有较低的差错率,从而提高信道效率。

(7)为提高网络效率必须进行哪些折中?答:提高网络效率的通用手段是有增大帧的最大长度,一旦帧越长,比特越多,帧出错机会也会增加。

第8章无线局域网接入技术

▪ ESS有一个ID,称为ESSID(与BSSID统称为
SSID)。同一个ESS的站点可以在不同的BSS之间 切换
DS
BSS1
AP
AP
BSS2
ESS
25
接入网技术
8.2.4 WLAN系统服务
802.11系统提供的服务
IEEE 802.11 architectural services SS:站点提供的服务
从空中捕获到有用信号 跳频技术,不仅能躲避干扰,而且能使不知道随机跳频序列的无权
用户,无法接收到其他用户的发送信息
12
接入网技术
关键技术(2)
兼容技术
网络兼容技术,要求WLAN应与有线LAN在操作系统与网 络软件的使用上相互兼容,以方便用户的使用
电磁兼容技术,要求WLAN必须考虑其发送电磁功率对周 围电磁环境的影响,以避免对其他设备正常工作,以及 对人体健康造成不良影响
点对点方式,发送方瞄准接收方后再把红外波束发出去 反射方式,发送方将红外波束射向特制的反射装置,经其反射后到达
接收方
20
接入网技术
ISM频段的无线电波
ISM频段属于非注册使用频段,因此,构建WLAN不需要 申请无线电频率
为了防止对同频段的其它系统造成干扰,若采用窄带调制 技术,则必须得到无线电管理部门颁发的许可证
认证/解除认证:Authentication/Deauthentication 隐私、保密:Privacy M_SDU投递:MSDU delivery
DSS:DS提供的服务
关联/解除关联/重新关联
Association / Disassociation / Reassociation
分布:Distribution 集成: Integration
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Page 42/56
十二 五
• • • •
数据加密算法 1、DES加密算法(Data Encryption Standard数据加 密标准) 2、RSA算法 适用于数字签名和密钥交换
Page 33/56
十二 五
• • • • • •
VPN技术 1.隧道技术 (1)GRE (2)L2TP和PPTP 2. 加密技术 3.QoS技术
Page 34/56
十二 五
• • • • •
VPN技术的应用 VPN在局域网中的应用可以分为三种方式: 1、远程接入 2、网络互联 3、内部安全
Page 35/56
Page 18/56
十二 五
• 2. 应用代理防火墙 • 应用代理防火墙也叫应用代理网关防火墙。网关是指在两 个设备之间提供转发服务的系统。这种防火墙能彻底隔断 内外网络的直接通信,内网用户对外网的访问变成防火墙 对外网的访问。所有通信都必须经应用层代理软件转发, 所有访问者都不能与服务器建立直接的TCP连接,应用层 的协议会话过程必须符合代理的安全策略要求。
Cisco PIX 515E防火墙外观
Page 26/56
十二 五
• 防火墙的选购
• • • • • • • • • • • (1)安全性 (2)稳定性 (3)高效性 (4)可靠性 (5)灵活性 (6)配置方便性 (7)管理简便性 (8)抵抗拒绝服务攻击 (9)针对用户身份进行过滤 (10)可扩展性和升级性 ( 11)协同工作能力
• 1.基于主机的入侵检测系统
Page 31/56
十二 五
• 2.基于网络的入侵检测系统
Page 32/56
十二 五
8.4 虚拟专用网(VPN)技术
• VPN---Virtual Private Network)就是虚拟专用网络 • VPN能够利用Internet网络或其他公共互联网络的基础设 施为用户创建一条专用的虚拟通道,并提供与专用网络一 样的安全和功能保障。
Page 7/56
十二 五
• (5) B2级 • B2级,又叫做结构保护,它要求计算机系统中所有的对 象都要加上标签,是提供较高安全级别的对象与较低安全 级别的对象相通信的第一个级别。 • (6) B3级 • B3级或又称安全域级别,使用安装硬件的方式来加强域 的安全。 • (7) A级 • A级或又称验证设计是当前橙皮书的最高级别,它包括了 一个严格的设计、控制和验证过程。 • 其中,D级系统的安全要求最低,A1级系统的安全要求最 高。
十二 五
• 1、远程接入
Page 36/56
十二 五
• 远程接入的优点: • ① 网络配置简化,在配置远程访问服务器时省去了许多 设备,用户可以灵活选择通信线路。 • ② 通过本地接入代替长途接入,大大节约了通信费用。 • ③ 扩展容易,同时接入的用户不受线路限制。
Page 37/56
十二 五
Page 8/56
十二 五
• 8.1.2 局域网面临的威胁
• • • • • • • • • • • • 1.威胁数据完整性的主要因素有: (1)硬件故障 (2)网络故障 (3)逻辑问题 (4)人员因素 (5)灾难因素 2、威胁数据保密性的主要因素 (1)直接威胁: (2)线缆连接: (3)身份鉴别: (4)恶意程序: (5)系统漏洞:
Page 24/56
十二 五
• 4.包过滤技术
Page 25/56
十二 五
• 8.2.4 防火墙产品的选购 • 常用防火墙如Cisco防火墙、3COM的SuperStack防火墙、 ISA Server 和NetScreen等,国内有天融信网络卫士 NGFW4000、东软的Neteye 3.2和联想等。
Page 27/56
十二 五
8.3 入侵检测系统
• 8.3.1 入侵检测的基本概念 • 入侵是指某人尝试进入一个系统,访问未经授权的资源, 或者利用系统漏洞获得系统 • 的最高权限等的非法行为。 • 入侵检测是通过对特定行为的分析检测到对系统的闯入, 进行入侵检测的软件和硬件的组合即为入侵检测系统 (IDS)。
Page 9/56
十二 五
• 8.1.3 局域网安全的目标 • 局域网安全的目标是通过采用各种技术和管理措施, 使局域网系统正常运行,从而确保局域网数据的保密性、 完整性、可用性、可靠性、可控性和真实性,以达到经过 网络传输和交换的数据不会被增加、修改、丢失和泄露的 目的。网络安全策略的目标是保护这些资源不被有意或无 意的误用,以及抵御网络黑客的威胁和各种计算机网络病 毒的攻击。

2、网络互联
Page 38/56
十二 五
• 网络互联的优点: • ① 节约WAN带宽费用; • ② 通过本地连接来代替长途连接线或租用专线连接,节 省了通信费用; • ③ 便于扩展,同时接入的用户不受线路限制。
Page 39/56
十二 五

3、网络内部安全
Page 40/56
十二 五
8.5 数据加密技术
Page 5/56
十二 五
• 网络安全标准
• • • • • • • • 美国国防部制定的可信计算机安全标准(TCSEC) 我国的常用安全标准: 《电子计算机系统安全规范》,1987年10月 《计算机软件保护条例》,1991年5月 《计算机软件著作权登记办法》,1992年4月 《中华人民共和国计算机信息与系统安全保护条例》,1994年2月 《计算机信息系统保密管理暂行规定》,1998年2月 《关于维护互联网安全决定》,全国人民代表大会常务委员会通过, 2000年12月
Page 28/56
十二 五
Page 29/56
十二 五
• 8.3.2 入侵检测系统工作原理
信息收集
收集流量的内容、用户连接 的状态和行为
信息分析
通过模式匹配,统计分析和完 整 性分析三种手段进行分析
N
是否是攻 击 Y
忽略
记录/ 报警
记入日志 实时报警
Page 30/56
十二 五
• 8.3.3 入侵检测系统分类
十二 五
第8章
局域网安全
十二 五
本章目标
• • • • • • • • • •
理解网络安全的概念 了解网络面临的主要威胁 掌握网络安全的目标 了解保护网络安全的主要技术手段 掌握防火墙的知识 了解防火墙的分类和体系结构 了解入侵检测系统IDS 了解虚拟专用网技术VPN 了解数字加密和数字认证技术 理解网络病毒的知识和病毒防范措施
Page 4/56
十二 五
• 网络安全的主要特征
• (1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用 的特性。 • (2)完整性:数据未经授权不能进行改变的特性。即信息在存储或 传输过程中保持不被修改、不被破坏和丢失的特性。 • (3)可用性:可被授权实体访问并按需求使用的特性。即当需要时 能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系 统的正常运行等都属于对可用性的攻击; • (4)可控性:对信息的传播及内容具有控制能力。 • (5)可审查性:出现的安全问题时提供依据与手段。
Page 2/56
十二 五
本章结构
面临的威胁及安全目标
网络安全概述
安全体系及措施 防火墙分类 局域网安全 防火墙技术 入侵检测系统 虚拟专用网(VPN)技术 数据加密技术 计算机病毒的防治
Page 3/56
防火墙体系结构
VPN 技术 VPN 技术应用
十二 五
8.1 局域网安全概述
• 8.1.1 网络安全的概念 • 网络安全——指网络系统的硬件、软件及其系统中的数据 受到保护,不因偶然的或者恶意的原因而遭受到破坏、更 改、泄露,系统连续可靠正常地运行,网络服务不中断。 • 网络安全——从其本质上来讲就是网络上的信息安全。从 广义来说,凡是涉及到网络上信息的保密性、完整性、可 用性、真实性和可控性的相关技术和理论都是网络安全的 研究领域。
Page 11/56
十二 五
• 3.攻击监控 • 通过对特定网段、服务建立的攻击监控体系,可实时检测 出绝大多数攻击,并采取相应的行动(如断开网络连接、 记录攻击过程、跟踪攻击源等)。 • 4.加密通讯 • 主动的加密通讯,可使攻击者不能了解、修改敏感信息。 • 5.认证 • 身份认证主要是通过标识和鉴别用户的身份,防止攻击者 假冒合法用户获取访问权限。良好的认证体系可防止攻击 者假冒合法用户。
Page 10/56
十二 五
• 8.1.4 局域网安全体系 • 1.访问控制 • 访问控制根据主体和客体之间的访问授权关系,对访问过 程做出限制,可分为自主访问控制和强制访问控制。自主 访问控制主要基于主体的活动,实施用户权限管理、访问 属性(读、写及执行)管理等。强制访问控制则强调对每一 主、客体进行密级划分,并采用敏感标识来标识主、客体 的密级。 • 2.检查安全漏洞 • 通过对安全漏洞的周期检查,即使攻击可到达攻击目标, 也可使绝大多数攻击无效。
Page 13/56
十二 五
• 8.1.5 局域网安全措施
• • • • • • 1.防火墙技术 2.加强主机安全 3.加密和认证技术 4.入侵检测系统 5.虚拟专用网(VPN) 6.防病毒软件
Page 14/56
十二 五
8.2 防火墙技术
• 8.2.1 防火墙概述 • 第一代防火墙:采用了包过滤(Packet Filter)技术。 • 第二、三代防火墙:1989年,推出了电路层防火墙,和 应用层防火墙的初步结构。 • 第四代防火墙:1992年,开发出了基于动态包过滤技术 的第四代防火墙。 • 第五代防火墙:1998年,NAI公司推出了一种自适应代理 技术,可以称之为第五代防火墙。
Page 19/56
十二 五
代理的工作方式
Page 20/56