计算机网络安全.ppt

《计算机网络安全.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全.ppt（67页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第第6章章网络安全网络安全主主要要内内容容第一节第一节网络安全概述网络安全概述第二节第二节威胁网络安全的因素威胁网络安全的因素第三节第三节网络遭受攻击的形式网络遭受攻击的形式第四节第四节网络安全防范措施网络安全防范措施第五节第五节网络安全解决方案网络安全解决方案第六节第六节防火墙实用技术防火墙实用技术第七节第七节MS Proxy ServerMS Proxy Server的安全的安全第八节第八节Windows NTWindows NT中的中的WebWeb安全安全第一节第一节网络安全概述网络安全概述主主要要内内容容网络安全的含义网络安全的含义网络安全的标准网络安全的标准网络安全的特征网络安全的特

2、征网络安全的结构层次网络安全的结构层次主要的网络安全威胁主要的网络安全威胁6.1.1 6.1.1 网络安全的含义网络安全的含义网网络络安安全全就就其其本本质质而而言言是是网网络络上上的的信信息息安安全全。从从广广义义上上讲讲，凡凡是是涉涉及及到到网网络络上上信信息息的的保保密密性性、完完整整性性、可可用用性性、真真实实性性和和可可控控性性的的相相关关技技术术和和理理论论，都都是是网网络络安安全全的的研研究究领领域域。简单来讲，网络安全可包括如下三个部分：简单来讲，网络安全可包括如下三个部分：l系统不被侵入。系统不被侵入。l数据不丢失。数据不丢失。l网络中的计算机不被病毒感染。网络中的计算机不被

3、病毒感染。6.1.2 6.1.2 网络安全的标准网络安全的标准1运行系统安全运行系统安全2网络上系统信息的安全网络上系统信息的安全3网络上信息传播的安全网络上信息传播的安全4网络上信息内容的安全网络上信息内容的安全6.1.3 6.1.3 网络安全的特征网络安全的特征网络安全应具有以下四个方面的特征：网络安全应具有以下四个方面的特征：l l保密性保密性 l l完整性完整性 l l可用性可用性 l l可控性可控性6.1.4 6.1.4 网络安全的结构层次网络安全的结构层次网网络络的的安安全全层层次次分分为为物物理理安安全全、控控制制安安全全、服服务务安全和协议安全。安全和协议安全。1物理安全物理安

4、全l l自然灾害、物理损坏、设备故障、意外事故等。l电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入、痕迹泄露。l操作失误、意外疏漏。l计算机系统机房环境的安全漏洞。6.1.4 6.1.4 网络安全的结构层次网络安全的结构层次2控制安全控制安全l计算机操作系统的安全控制主要用于保护存储在硬盘上的信息和数据。l网络接口模块的安全控制在网络环境下对来自其他机器的网络通信进程进行安全控制。l网络互联设备的安全控制对整个子网内所有主机的传输信息和运行状态进行安全监测和控制。6.1.4 6.1.4 网络安全的结构层次网络安全的结构层次3服务安全服务安全服务安全包括：对等实体认证服务、访问控制服务、数据

5、加密服务、数据完整性服务、数据源点认证服务、禁止否认服务等。6.1.4 6.1.4 网络安全的结构层次网络安全的结构层次4TCP/IP协议安全协议安全TCP/IP协议安全主要用于解决下列问题：lTCP/IP协议数据流采用明文传输。l源地址欺骗（Sourceaddressspoofing）或IP欺骗（IPspoofing）。l源路由选择欺骗（SourceRoutingspoofing）。l路由信息协议攻击（RIPAttacks）。l鉴别攻击（AuthenticationAttacks）。lTCP序列号欺骗攻击（TCP SYN FloodingAttack），简称SYN攻击。l易欺骗性（Easeo

6、fspoofing）。6.1.5 6.1.5 主要的网络安全威胁主要的网络安全威胁 1网络安全威胁的表现形式网络安全威胁的表现形式l l自然灾害、意外事故。l计算机犯罪。l人为行为，例如使用不当，安全意识差等。l“黑客”行为，由于黑客的入侵或侵扰。l内部泄密。l外部泄密。l信息丢失。l电子谍报，例如信息流量分析、信息窃取等。l信息战。l网络协议中的缺陷。6.1.5 6.1.5 主要的网络安全威胁主要的网络安全威胁l l 假冒合法用户l非授权访问l干扰系统的正常运行l破坏数据完整l传播病毒l l窃听l重传l伪造l篡改l服务封锁攻击l行为否认2网络安全威胁的特征网络安全威胁的特征第二节第二节威胁网

7、络安全的因素威胁网络安全的因素主主要要内内容容内部因素内部因素各种外部威胁各种外部威胁病毒简介病毒简介6.2.1 6.2.1 内部因素内部因素1操作系统的脆弱性操作系统的脆弱性2计算机系统的脆弱性计算机系统的脆弱性3协议安全的脆弱性协议安全的脆弱性4数据库管理系统安全的脆弱性数据库管理系统安全的脆弱性5人为因素人为因素6.2.2 6.2.2 各种外部威胁各种外部威胁1物理威胁物理威胁2网络威胁网络威胁（1）网络连接 （2）网络媒介3身份鉴别身份鉴别4病毒感染病毒感染5系统漏洞系统漏洞病毒简介病毒简介病病毒毒是是一一种种暗暗中中侵侵入入计计算算机机并并且且能能够够自自主主生生存存的的可可执执行行

8、程程序序。多数病毒程序都有如下共同的组成部分：多数病毒程序都有如下共同的组成部分：复复制制部部分分、破破坏坏性性代代码码、用用于于进进行行条条件件判判断断以以确确定定何何时时执执行行破破坏性代码。坏性代码。（1）病毒的分类）病毒的分类 文件病毒、引导病毒、混合型病毒、异形病毒、宏病毒（2 2）病毒的传播方式）病毒的传播方式病毒一旦进入系统以后，通常用以下两种方式传播：l 通过磁盘的关键区域：主要感染工作站。l 通过可执行文件：主要感染服务器。（3 3）病毒的工作方式）病毒的工作方式 变异、触发、破坏 病毒简介病毒简介（6）网络病毒的特点网络病毒的特点 传染方式多、传染速度快、清除难度大、破坏性

9、强、激发形式多样、潜在性（7）常见的网络病毒）常见的网络病毒 电子邮件病毒、Java程序病毒、ActiveX病毒、网页病毒（8）网络对病毒的敏感性）网络对病毒的敏感性 对文件病毒的敏感性、对引导病毒的敏感性、对宏病毒的敏感性 病毒简介病毒简介（9 9）网络计算机病毒的防治网络计算机病毒的防治第一，加强网络管理人员的网络安全意识，对内部网与外界进行的数据交换进行有效的控制和管理，同时坚决抵制盗版软件；第二，以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。（1010）防毒、杀毒软件的选择防毒、杀毒软件的选择 选购防毒软件，需要注意的指标包括：扫描速度、正确识别率、误报率、技术支

10、持水平、升级的难易程度、可管理性和警示手段等 第三节第三节网络遭受攻击的形式网络遭受攻击的形式 主主要要内内容容服务封锁攻击服务封锁攻击电子邮件攻击电子邮件攻击缓冲区溢出攻击缓冲区溢出攻击网络监听攻击网络监听攻击黑客技术黑客技术6.3.1 6.3.1 服务封锁攻击服务封锁攻击服务封锁攻击是指一个用户占有大量的共享资服务封锁攻击是指一个用户占有大量的共享资源，使系统没有剩余的资源给其他用户再提供源，使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是服务的一种攻击方式。服务封锁攻击的结果是降低系统资源的可用性，这些资源可以是降低系统资源的可用性，这些资源可以是CPU时间、

11、磁盘空间、时间、磁盘空间、MODEM、打印机，甚至是打印机，甚至是系统管理员的时间。系统管理员的时间。服务封锁攻击是针对服务封锁攻击是针对IPIP的核心进行的。的核心进行的。服务封锁攻击的方式很多服务封锁攻击的方式很多 6.3.2 6.3.2 电子邮件攻击电子邮件攻击现在的电子邮件攻击主要表现如下形式：现在的电子邮件攻击主要表现如下形式：l l窃取、篡改数据窃取、篡改数据l l伪造邮件伪造邮件l l服务封锁服务封锁l l病毒病毒6.3.3 6.3.3 缓冲区溢出攻击缓冲区溢出攻击缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会引发缓冲区溢出

12、。攻击者可以设置一个超过限缓冲区长度的字符串，然后植入缓冲区，向一个空间有限的缓冲区植入超长字符串可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重时可导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统超级权限6.3.4 6.3.4 网络监听攻击网络监听攻击在网络中，当信息进行传播的时候，可以利用某种工具，将网络接口设置在监听的模式，从而截获网络中正在传播的信息，然后进行攻击。6.3.5 6.3.5 黑客技术黑客技术 黑客（Hacker）一般是指计算机网络的非法入侵者。1 1黑客的攻击步骤黑客的攻击步骤 信息收集，对系统的安全弱点进行探测与

13、分析，实施攻击。2 2黑客的手法黑客的手法 （1）口令的猜测或获取：字典攻击、假登录程序、密码探测程序、修改系统。（2）IP欺骗与窥探 （3）扫描 （4）缓冲区溢出 6.3.5 6.3.5 黑客技术黑客技术3防黑客技术防黑客技术（1）防字典攻击和口令保护（2）预防窥探（3）防止IP欺骗（4）建立完善的访问控制策略（5）信息加密（6）其他安全防护措施 6.3.5 6.3.5 黑客技术黑客技术4黑客攻击的处理对策黑客攻击的处理对策（1）发现黑客）发现黑客 （2）处理原则）处理原则（3）发现黑客后的处理对策）发现黑客后的处理对策l l不理睬。不理睬。l l使用使用write或者或者talk工具询问他

14、们究竟想要做什么。工具询问他们究竟想要做什么。l l跟踪这个连接，找到入侵者的来路和身份跟踪这个连接，找到入侵者的来路和身份l l管理员可以使用一些工具来监视入侵者。管理员可以使用一些工具来监视入侵者。l l杀杀死死这这个个进进程程来来切切断断入入侵侵者者与与系系统统的的连连接接。拔拔下下调调制制解解调调器或网线，或者关闭服务器。器或网线，或者关闭服务器。l l找出安全漏洞并修补漏洞，再恢复系统。找出安全漏洞并修补漏洞，再恢复系统。l l最最后后，记记录录下下整整个个事事件件的的发发生生发发展展过过程程，归归档档保保存存，并并从从中吸取经验教训。中吸取经验教训。第四节第四节网络安全防范措施网络

15、安全防范措施 主主要要内内容容保护策略保护策略专用网络的保护专用网络的保护个人计算机系统的保护个人计算机系统的保护上网防范措施上网防范措施6.4.1 6.4.1 保护策略保护策略1用备份和镜像技术提高数据可靠性用备份和镜像技术提高数据可靠性2创建安全的网络环境创建安全的网络环境3数据加密数据加密4防治病毒防治病毒5安装补丁程序安装补丁程序6仔细阅读日志仔细阅读日志7提防虚假的安全提防虚假的安全8构筑防火墙构筑防火墙6.4.2 6.4.2 专用网络的保护专用网络的保护1窃听与监视窃听与监视2身份鉴别身份鉴别3局域网的漏洞局域网的漏洞4过分复杂的安全配置过分复杂的安全配置5管理失误是最严重的问题管

16、理失误是最严重的问题6.4.3个人计算机个人计算机系统的保护系统的保护1防备来自网络的病毒防备来自网络的病毒2不运行来历不明的软件不运行来历不明的软件3加强计算机密码管理加强计算机密码管理6.4.4上网防范措施上网防范措施1设置警告提示设置警告提示2使用多种浏览器软件使用多种浏览器软件3及时进行软件升级及时进行软件升级4手工修改注册表手工修改注册表5使用病毒检测防护软件使用病毒检测防护软件第五节第五节网络安全解决方案网络安全解决方案 主主要要内内容容网络信息安全模型安全策略设计依据网络安全解决方案网络安全技术措施网络安全的评估6.5.1网络信息安全模型网络信息安全模型1政策、法律、法规政策、法

17、律、法规2增强的用户认证增强的用户认证3授权授权4加密加密5审计与监控审计与监控6.5.2安全策略设计依据安全策略设计依据制订网络安全策略时应考虑如下因素：制订网络安全策略时应考虑如下因素：l l 对对于于内内部部用用户户和和外外部部用用户户分分别别提提供供哪哪些些服务程序。服务程序。l l初初始始投投资资额额和和后后续续投投资资额额（新新的的硬硬件件、软件及工作人员）。软件及工作人员）。l l方便程度和服务效率的平衡。方便程度和服务效率的平衡。l l复杂程度和安全等级的平衡。复杂程度和安全等级的平衡。l l网络性能。网络性能。6.5.3网络安全解决方案网络安全解决方案1信息包筛选信息包筛选2

18、应用网关应用网关3加密与确认加密与确认6.5.4网络安全技术措施网络安全技术措施（1）物物理理层层的的安安全全防防护护：主主要要通通过过制制定定物物理理层层的的管管理理规规范范和和措措施施来提供安全解决方案。来提供安全解决方案。（2）链链路路层层的的安安全全防防护护：主主要要是是利利用用链链路路加加密密措措施施对对数数据据进进行行加加密保护。它加密所有用户数据并在目的结点完成解密。密保护。它加密所有用户数据并在目的结点完成解密。（3）网网络络层层的的安安全全防防护护：网网络络层层主主要要采采用用防防火火墙墙作作为为安安全全防防护护手手段段，实实现现初初级级安安全全防防护护。也也可可以以根根据据

19、一一些些安安全全协协议议实实施施加加密密保保护。还可进行入侵检测。护。还可进行入侵检测。（4）传传输输层层的的安安全全防防护护：传传输输层层处处于于通通信信子子网网和和资资源源子子网网之之间间，起起着着承承上上启启下下的的作作用用。传传输输层层应应支支持持对对等等实实体体认认证证服服务务、访访问问控控制制服服务务、数数据据保保密密服服务务、数数据据完完整整性性服服务务、数数据据源源点点认认证证服务。服务。（5）应应用用层层的的安安全全防防护护：可可以以实实施施强强大大的的基基于于用用户户的的身身份份认认证证，还可加强数据的备份和恢复环节。还可加强数据的备份和恢复环节。6.5.4网络安全技术措施

20、网络安全技术措施在实际的安全设计中，往往综合采用下列技术措施：在实际的安全设计中，往往综合采用下列技术措施：1 1身份验证身份验证2访问授权（访问授权（Authorization）3实时侵入检测技术实时侵入检测技术4网络分段网络分段5选择集线器选择集线器6VLAN技术技术7VPN技术技术8防火墙技术防火墙技术6.5.5网络安全的评估网络安全的评估网网络络系系统统的的安安全全措措施施应应实实现现如如下目标：下目标：l对存取的控制；l保持系统和数据的完整；l能够对系统进行恢复和对数据进行备份。第六节第六节防火墙实用技术防火墙实用技术主主要要内内容容防火墙技术概述防火墙的类型防火墙的配置6.6.1防

21、火墙技术概述防火墙技术概述 1防火墙的组成部分防火墙的组成部分包过滤器、链路级网关和应用级网关或代理服务器。典型的防火墙如图所示。6.6.1防火墙技术概述防火墙技术概述 2防火墙的作用防火墙的作用弥补网络服务的脆弱性、控制对网络的存取、集中的安全管理、网络使用情况的记录及统计3防火墙的局限性防火墙的局限性绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。4基本防火墙壁设计基本防火墙壁设计在设计防火墙时必须确定：防火墙的行为准则、机构的安全策略、费用、系统的组件或构件。防火墙有两种相反的行为准则：拒绝没有特别允许的任

22、何服务l允许没有特别拒绝的任何服务6.6.2防火墙的类型防火墙的类型1包过滤防火墙包过滤防火墙如图所示：6.6.2防火墙的类型防火墙的类型2代理防火墙代理防火墙 由代理服务器和过滤路由器组成，它将过滤器和软件代理技术结合在一起。3双宿主机防火墙双宿主机防火墙 该防火墙是用主机来执行安全管制功能。一台双宿主机配置有多个网卡，分别连接不同的网络。6.6.3防火墙的配置防火墙的配置 1包过滤路由器包过滤路由器 2双宿主网关双宿主网关双宿主网关仅用一个代理服务器（如图所示），代理服务器就是安装于双宿主机的代理服务器软件。6.6.3防火墙的配置防火墙的配置 3主机过滤防火墙主机过滤防火墙主机过滤防火墙由

23、分组过滤路由器和应用网关组成（如图所示）。6.6.3防火墙的配置防火墙的配置 4子网过滤防火墙子网过滤防火墙 在主机过滤配置上再加一个路由器，形成一个被称为非军事区的子网（如图所示），这个子网还可能被用于信息服务器和其他要求严格控制的系统，形成三道防火线。第七节第七节MS Proxy ServerMS Proxy Server的安全的安全 主主要要内内容容代理服务器的工作过程代理服务器的工作过程代理服务器用作防火墙代理服务器用作防火墙6.7.1代理服务器代理服务器的工作过程的工作过程 l代理服务器拦截网络内部用户发往Internet服务器的请求。l它把自己的地址作为源地址，对请求重新打包，然后

24、把请求发给目标Web服务器。l当Web服务器返回一个响应时，这个响应将被发送给代理服务器。l代理服务器确认这个响应是正确的，然后，再转发给内部用户。6.7.2代理服务器用作防火墙代理服务器用作防火墙 如图所示：第八节第八节Windows NTWindows NT中的中的WebWeb安全安全 主主要要内内容容Windows NTWindows NT的安全体系结构的安全体系结构Windows NT 4.0Windows NT 4.0本身的安全漏洞本身的安全漏洞Windows NTWindows NT登录安全系统配置登录安全系统配置Windows NTWindows NT资源访问控制安全系统的设置资

25、源访问控制安全系统的设置Windows NTWindows NT安全审核系统的配置安全审核系统的配置Windows NTWindows NT的其他安全配置策略的其他安全配置策略IIS 4.0IIS 4.0的安全漏洞的安全漏洞IIS 4.0IIS 4.0的安全配置方法的安全配置方法6.8.1WindowsNT的的安全体系结构安全体系结构 1 1登录安全系统登录安全系统包括用户帐号检测、密码检测、入网时间限制、入网站点限制、非法者锁定、关闭帐号2资源访问权限控制系统资源访问权限控制系统3WindowsNT安全审核系统安全审核系统6.8.2WindowsNT4.0本身的安全漏洞本身的安全漏洞 1密码

26、系统的漏洞2WindowsNT4.0在安装后，每个盘都会被默认为共享，这时候，任何用户都可以用命令行的方式连接服务器。3Administrator帐号漏洞。4 Windows NT 4.0的139端口 5安装了IIS来做Web服务器后，需要修改 6 Exchange Server的系统 6.8.3WindowsNT登录登录安全系统配置安全系统配置 1用户密码的设置 2用户帐号的设置 6.8.4WindowsNT资源资源访问控制安全系统的设置访问控制安全系统的设置 1 1Windows NTWindows NT的资源访问控制机制的资源访问控制机制 Windows NT对资源访问的控制分为三个层次

27、，这就是共享目录访问控制，目录访问控制，文件访问控制。2 2Windows NTWindows NT资源访问权限的设置资源访问权限的设置 6.8.5WindowsNT安全安全审核系统的配置审核系统的配置 1 1设置安全审核规则设置安全审核规则2目录和文件访问的审核目录和文件访问的审核3安全审核系统的管理安全审核系统的管理6.8.6WindowsNT的的其他安全配置策略其他安全配置策略 （1）使用最新的ServicePack并时常打一些小补丁。（2）硬盘必须格式化成NTFS格式。（3）关闭NTFS的8.3格式文件识别（4）将系统启动的等待时间设置为0秒。（5）将Web服务器设置为独立的服务器。（

28、6）从NT服务器上移走其他系统。（7）严格审核success/FailedLogin/logoff日志。（8）隐藏上次登录用户名。（9）将登录对话框中的“shutdown”按钮移走。（10）设定用户的口令长度，一般可以设到九位。（11）禁止IP转发。（12）配置TCP/IP过滤。6.8.7IIS4.0的安全漏洞的安全漏洞 在IIS4.0里面，在ASP后面加上81%或者是82%可以看到ASP的源程序，修改目录的执行权限也不能排除这个BUG，唯一可用的办法就是安装SP5。在IIS4.0里面有个叫showcode.asp的程序，可用于浏览ASP文件的源码。6.8.8IIS4.0的安全配置方法的安全配置方法 （1）设置正确的Server访问控制权限。（2）正确设置虚拟目录。（3）正确设置IIS日志访问权限。（4）适当的设置IP拒绝列表，防止黑客攻击服务器。（5）设置并使用SecureSocketsLayer。（6）删除不使用的组件。（7）删除虚拟目录IISADMPWD。（8）删除一些不必要的ScicpMapping。（9）禁止RDS支持。（10）使用IIS登录日志。（11）禁止“ParentPaths”。（12）禁止远程调用commandshell。（13）删除或转移/msadc/Samples/Selector/目录下的showcode.asp。