[精选]第9章网络安全与网络管理技术7604.pptx

《[精选]第9章网络安全与网络管理技术7604.pptx》由会员分享，可在线阅读，更多相关《[精选]第9章网络安全与网络管理技术7604.pptx（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术吴功宜吴功宜 编著编著计算机网络计算机网络1计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术第第9章章 网络安全与网络管理技术网络安全与网络管理技术2计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术3计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术知识点结构知识点结构4计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术本章学习要求本章学习要求:了解了解：网络安全的重要性：网络安全的重要性掌握

2、：密码体制的基本概念及应用掌握：密码体制的基本概念及应用掌握：防火墙的基本概念掌握：防火墙的基本概念掌握：网络入侵检测与防攻击的基本概念与方法掌握：网络入侵检测与防攻击的基本概念与方法掌握：网络文件备份与恢复的基本方法掌握：网络文件备份与恢复的基本方法了解：网络病毒防治的基本方法了解：网络病毒防治的基本方法了解：网络管理的基本概念与方法了解：网络管理的基本概念与方法 5计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.1 网络安全的重要性与研究的主要问题网络安全的重要性与研究的主要问题9.1.1 网络安全的重要性网络安全的重要性 网络安全问题已经成为信息化社会

3、的一个焦点网络安全问题已经成为信息化社会的一个焦点问题；问题；每个国家只能立足于本国，研究自己的网络安每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全络安全产业，才能构筑本国的网络与信息安全防范体系。防范体系。6计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术有关统计资料报道：计算机犯罪案件正在以每有关统计资料报道：计算机犯罪案件正在以每年年100%100%的速度增长，的速度增长，InternetInternet被攻击的事件则被攻击的事件则以每年以每年

4、1010倍的速度增长，美国金融界为此每年倍的速度增长，美国金融界为此每年损失近百亿美元；损失近百亿美元；每个国家只能立足于本国，研究自己的网络安每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全络安全产业，才能构筑本国的网络与信息安全防范体系。防范体系。7计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.1.2 网络安全研究的主要问题网络安全研究的主要问题 网络防攻击问题网络防攻击问题 网络安全漏洞与对策问题网络安全漏洞与对策问题网络中的信息安全保密问

5、题网络中的信息安全保密问题防抵赖问题防抵赖问题 网络内部安全防范问题网络内部安全防范问题 网络防病毒问题网络防病毒问题 无用信息邮件与灰色软件无用信息邮件与灰色软件网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题8计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术1.网络防攻击技术网络防攻击技术服务攻击服务攻击（application dependent attack）:对网络提供某种服务的服务器发起攻击，造成该对网络提供某种服务的服务器发起攻击，造成该网络的网络的“拒绝服务拒绝服务”，使网络工作不正常，使网络工作不正常;非服务攻击非服务攻击（ap

6、plication independent attack）:不针对某项具体应用服务，而是基于网络层等低不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。塞或瘫痪。9计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术网络防攻击研究需要解决的几个问题网络防攻击研究需要解决的几个问题网络可能遭到哪些人的攻击？网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护如

7、何采取相应的网络安全策略与网络安全防护体系？体系？10计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术2.网络安全漏洞与对策的研究网络安全漏洞与对策的研究网络信息系统的运行涉及：网络信息系统的运行涉及：计算机硬件与操作系统计算机硬件与操作系统网络硬件与网络软件网络硬件与网络软件数据库管理系统数据库管理系统应用软件应用软件网络通信协议网络通信协议网络安全漏洞也会表现在以上几个方面。网络安全漏洞也会表现在以上几个方面。11计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术3.网络中的信息安全问题网络中的信息安全问题信息存储安全与信息传输

8、安全信息存储安全与信息传输安全 信息存储安全信息存储安全 如何保证静态存储在连网计算机中的信息不会如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用；被未授权的网络用户非法使用；信息传输安全信息传输安全 如何保证信息在网络传输的过程中不被泄露与如何保证信息在网络传输的过程中不被泄露与不被攻击；在信息传输中可能存在不被攻击；在信息传输中可能存在4种攻击类种攻击类型：截获、窃听、篡改以及伪造。型：截获、窃听、篡改以及伪造。12计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术4.防抵赖问题防抵赖问题防抵赖是防止信息源结点用户对他发送的信息防抵赖是防止

9、信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到事后不承认，或者是信息目的结点用户接收到信息之后不认账；信息之后不认账；通过身份认证、数字签名、数字信封、第三方通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问确认等方法，来确保网络信息传输的合法性问题，防止题，防止“抵赖抵赖”现象出现。现象出现。13计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术5.网络内部安全防范网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户有意网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行

10、为；或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；络工作不正常；解决来自网络内部的不安全因

11、素必须从技术与管理两个解决来自网络内部的不安全因素必须从技术与管理两个方面入手。方面入手。14计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术6.网络防病毒网络防病毒 引导型病毒引导型病毒可执行文件病毒可执行文件病毒宏病毒宏病毒混合病毒混合病毒特洛伊木马型病毒特洛伊木马型病毒InternetInternet语言病毒语言病毒 15计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术7.无用信息邮件与灰色软件无用信息邮件与灰色软件 垃圾邮件垃圾邮件间谍程序间谍程序广告程序广告程序后门程序后门程序下载程序下载程序植入程序植入程序 16计算机

12、网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术8.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失，数据能不能如果出现网络故障造成数据丢失，数据能不能被恢复？被恢复？如果出现网络因某种原因被损坏，重新购买设如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不备的资金可以提供，但是原有系统的数据能不能恢复？能恢复？17计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术电子计算机系统安全规范，电子计算机系统安全规范，1987年年10月月计算机软件保护条例，计算机软件保护

13、条例，1991年年5月月计算机软件著作权登记办法，计算机软件著作权登记办法，1992年年4月月中华人民共和国计算机信息与系统安全保护条例中华人民共和国计算机信息与系统安全保护条例，1994年年2月月计算机信息系统保密管理暂行规定，计算机信息系统保密管理暂行规定，1998年年2月月关于维护互联网安全决定，全国人民代表大会关于维护互联网安全决定，全国人民代表大会常务委员会通过，常务委员会通过，2000年年12月月9.1.3 网络安全标准网络安全标准 18计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术可信计算机系统评估准则可信计算机系统评估准则TC-SEC-NCSC

14、是是1983年公布的，年公布的，1985年公布了可信网络说明年公布了可信网络说明（TNI）；）；可信计算机系统评估准则将计算机系统安全等可信计算机系统评估准则将计算机系统安全等级分为级分为4类类7个等级，即个等级，即D、C1、C2、B1、B2、B3与与A1；D级系统的安全要求最低，级系统的安全要求最低，A1级系统的安全要级系统的安全要求最高。求最高。19计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2 加密与认证技术加密与认证技术 9.4.1 密码算法与密码体制的基本概念密码算法与密码体制的基本概念 数据加密与解密的过程数据加密与解密的过程 20计算机网络

15、第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术密码体制是指一个系统所采用的基本工作方式以及它密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密的两个基本构成要素，即加密/解密算法和密钥；解密算法和密钥；传统密码体制所用的加密密钥和解密密钥相同，也称传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制；为对称密码体制；如果加密密钥和解密密钥不相同，则称为非对称密码如果加密密钥和解密密钥不相同，则称为非对称密码体制；体制；密钥可以看作是密码算法中的可变参数。密钥可以看作是密码算法中的可变参数。从数学的角从数学的角度来看，改变了密钥，实际上也就改

16、变了明文与密文度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系；之间等价的数学函数关系；密码算法是相对稳定的。在这种意义上，可以把密码密码算法是相对稳定的。在这种意义上，可以把密码算法视为常量，而密钥则是一个变量；算法视为常量，而密钥则是一个变量；在设计加密系统时，加密算法是可以在设计加密系统时，加密算法是可以公开的公开的，真正需，真正需要保密的是要保密的是密钥密钥。21计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术什么是密码什么是密码 密码是含有一个参数密码是含有一个参数k的数学变换，即的数学变换，即 C=Ek（m）m是未加密的信息（明文

17、）是未加密的信息（明文）C是加密后的信息（密文）是加密后的信息（密文）E是加密算法是加密算法参数参数k称为密钥称为密钥密文密文C是明文是明文m 使用密钥使用密钥k 经过加密算法计算后的结果；经过加密算法计算后的结果；加密算法可以公开，而密钥只能由通信双方来掌握。加密算法可以公开，而密钥只能由通信双方来掌握。22计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术密钥长度密钥长度密钥长度与密钥个数密钥长度与密钥个数 密钥长度（位）密钥长度（位）组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.8446

18、7440737110191122112=5.19229685853510331282128=3.402823669209103823计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.2 对称密钥对称密钥（symmetric cryptography）密码密码体系体系 对称加密的特点对称加密的特点 24计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.3 非对称密钥非对称密钥（asymmetric cryptography）密码体系密码体系 非对称密钥密码体系的特点非对称密钥密码体系的特点25计算机网络第计算机网络第9

19、9章章 网络安全与网络管理技术网络安全与网络管理技术非对称加密的标准非对称加密的标准 RSA体制被认为是目前为止理论上最为成熟的一体制被认为是目前为止理论上最为成熟的一种公钥密码体制。种公钥密码体制。RSA体制多用在数字签名、密体制多用在数字签名、密钥管理和认证等方面；钥管理和认证等方面；Elgamal公钥体制是一种基于离散对数的公钥密公钥体制是一种基于离散对数的公钥密码体制；码体制；目前，许多商业产品采用的公钥加密算法还有目前，许多商业产品采用的公钥加密算法还有Diffie-Hellman密钥交换、数据签名标准密钥交换、数据签名标准DSS、椭圆曲线密码等椭圆曲线密码等。26计算机网络第计算机

20、网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.4 数字信封技术数字信封技术 27计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.5 数字签名技术数字签名技术 28计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.2.6 身份认证技术的发展身份认证技术的发展 身份认证可以通过身份认证可以通过3 3种基本途径之一或它们的组合实现种基本途径之一或它们的组合实现：所知（所知（knowledge）:个人所掌握的密码、口令；个人所掌握的密码、口令；所有（所有（possesses）:个人身份证、护照、信用卡、钥

21、个人身份证、护照、信用卡、钥匙；匙；个人特征（个人特征（characteristics）:人的指纹、声纹、笔迹、人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动，以及个人动作方面的特征；作方面的特征；新的、广义的生物统计学是利用个人所特有的新的、广义的生物统计学是利用个人所特有的生理特征生理特征来设计的；来设计的；目前人们研究的个人特征主要包括：目前人们研究的个人特征主要包括：容貌、肤色、发质、容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传

22、因子、笔迹、习惯脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等。性签字、打字韵律，以及在外界刺激下的反应等。29计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术本章学习要求本章学习要求:了解了解：网络安全的重要性：网络安全的重要性掌握：密码体制的基本概念及应用掌握：密码体制的基本概念及应用掌握：防火墙的基本概念掌握：防火墙的基本概念掌握：网络入侵检测与防攻击的基本概念与方法掌握：网络入侵检测与防攻击的基本概念与方法掌握：网络文件备份与恢复的基本方法掌握：网络文件备份与恢复的基本方法了解：网络病毒防治的基本方法了解：网络

23、病毒防治的基本方法了解：网络管理的基本概念与方法了解：网络管理的基本概念与方法 30计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术知识点结构知识点结构31计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3 防火墙技术防火墙技术 9.3.1 防火墙的基本概念防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统，它包防火墙是在网络之间执行安全控制策略的系统，它包括括硬件和软件硬件和软件；设置防火墙的设置防火墙的目的是目的是保护内部网络资源不被外部非授保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。权用

24、户使用，防止内部受到外部非法用户的攻击。防火墙要具备哪些功能？防火墙要具备哪些功能？32计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术防火墙通过检查所有进出内部网络的数据包，检查数据防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（网络建立安全边界（security perimeter）；）；构成防火墙系统的两个基本部件是构成防火墙系统的两个基本部件是包过滤路由器包过滤路由器（packet filtering router）和）和应用级网关应用级网关

25、（application gateway）；）；最简单的防火墙由一个包过滤路由器组成，而复杂的防最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；火墙系统由包过滤路由器和应用级网关组合而成；由于组合方式有多种，因此防火墙系统的结构也有多种由于组合方式有多种，因此防火墙系统的结构也有多种形式。形式。33计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3.2 包过滤路由器包过滤路由器（路由器工作原理）（路由器工作原理）包过滤路由器的结构包过滤路由器的结构 34计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络

26、安全与网络管理技术路由器按照系统内部设置的分组过滤规则（即访问控路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源制表），检查每个分组的源IP地址、目的地址、目的IP地址，决地址，决定该分组是否应该转发；定该分组是否应该转发；包过滤规则一般是基于部分或全部报头的内容。例如，包过滤规则一般是基于部分或全部报头的内容。例如，对于对于TCP报头信息可以是：报头信息可以是：源源IP地址地址 目的目的IP地址地址 协议类型协议类型 IP选项内容选项内容 源源TCP端口号端口号 目的目的TCP端口号端口号 TCP ACK标识标识 35计算机网络第计算机网络第9 9章章 网络安全与网络管

27、理技术网络安全与网络管理技术包过滤的包过滤的工作流程工作流程36计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术包过滤路由器配置的基本方法包过滤路由器配置的基本方法 37计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术假设网络安全策略规定假设网络安全策略规定：内部网络的内部网络的E-mail服务器（服务器（IP地址为地址为192.1.6.2，TCP端口号为端口号为25）可以接收来自外部网络用户的所有电子）可以接收来自外部网络用户的所有电子邮件；邮件；允许内部网络用户传送到与外部电子邮件服务器的电允许内部网络用户传送到与外部电子邮件

28、服务器的电子邮件；子邮件；拒绝所有与外部网络中名字为拒绝所有与外部网络中名字为TESTHOST主机的连接。主机的连接。例子例子138计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术包过滤规则表包过滤规则表 39计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术假假定定A管管理理一一个个公公司司网网络络222.22.0.0/16，且且一一般般不不允允许许来来自自公公众众网网的的用用户户访访问问内内部部网网（见见下下表表规规则则R3）。但但是是A正正在在与与B及及其其同同事事进进行行合合作作，而而他他们们位位于于某某个个大大学学内内，所

29、所以以A要要允允许许来来自自B所所在在的的大大学学（网网址址为为111.11/16）的的访访问问能能到到达达其其公公司司网网络络的的一一个个特特定定子子网网222.22.22/24（见见下下表表规规则则R1）；）；使使问问题题复复杂杂的的是是，A知知道道C（一一个个有有名名的的黑黑客客）也也在在B所所在在的的大大学学中中，且且C的的子子网网为为111.11.11/24，该该子子网网是是一一个个不不安安全全的的黑黑客客天天堂堂。因因此此，A不不允允许许任任何何来来自自111.11.11/24的的通通信信量量进进入入其其网网络络（见下表规则（见下表规则R2）。）。例子例子240计算机网络第计算机网

30、络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术总结以上的条件，得出以下的规则：总结以上的条件，得出以下的规则：规则规则 源地址源地址 目的地址目的地址 动作动作 注释注释R1 111.11/16 222.22.22/24 允许允许 让来自让来自B所在大学的数据报进入一个受限的子网所在大学的数据报进入一个受限的子网R2 111.11/24 222.22/16 拒绝拒绝 不允许来自不允许来自C的子网的任何数据进入的子网的任何数据进入A的网中的网中R3 0.0.0.0/0 0.0.0.0/0 拒绝拒绝 不允许任何数据进入不允许任何数据进入A的网中的网中分组过滤规则分组过滤规则41计算机

31、网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术根据规则次序分组过滤的结果根据规则次序分组过滤的结果数据报号数据报号 源源IP地址地址 目的目的IP地址地址 希望的动作希望的动作 R2、R1、R3策略的动作策略的动作 R1、R2、R3策略的策略的动作动作 P1 111.11.11.1 222.22.6.6 拒绝拒绝 拒绝（拒绝（R2）拒绝（拒绝（R2）（黑客子网）（公司网络）（黑客子网）（公司网络）P2 111.11.11.1 222.22.22.2 拒绝拒绝 拒绝（拒绝（R2）允许（允许（R1）（黑客子网）（黑客子网）（特殊子网）（特殊子网）P3 111.11.6.

32、6 222.22.22.2 允许允许 允许（允许（R1）允许（允许（R1）（大学网络，（大学网络，（特殊子网）（特殊子网）非黑客子网）非黑客子网）P3 111.11.6.6 222.22.6.6 拒绝拒绝 拒绝（拒绝（R3）拒绝（拒绝（R3）（大学网络，（大学网络，非黑客子网）非黑客子网）（公司网络）（公司网络）42计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术当当规规则则以以最最特特定定的的源源地地址址过过滤滤优优先先的的次次序序应应用用时时，即即以以R2、R1、R3的的次次序序应应用用时时，可可以以得得到到理理想想结结果；果；分析结果：分析结果：但但是是如

33、如果果以以R1，R2、R3的的次次序序应应用用规规则则，得得不不到到想要结果。想要结果。结论：结论：防火墙规则的使用次序非常重要。防火墙规则的使用次序非常重要。思考：思考：通通常常，一一个个大大型型的的防防火火墙墙的的过过滤滤规规则则成成千千上上万万条条，那那么么是是否否可可以以使使用用优优先先应应用用最最为为特特定定的的规规则则就就可可以以得到理想的结果？得到理想的结果？包过滤方法的优缺点？包过滤方法的优缺点？43计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3.3 应用级网关的概念应用级网关的概念 多归属主机多归属主机（multi-homed host

34、）典型的多归属主机结构典型的多归属主机结构 44计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术应用级网关应用级网关 45计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术应用代理应用代理（application proxy）46计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.3.4 防火墙的系统结构防火墙的系统结构 堡垒主机的概念堡垒主机的概念 一个双归属主机作为应用级网关可以起到防火墙作用；一个双归属主机作为应用级网关可以起到防火墙作用；处于防火墙关键部位、运行应用级网关软件的计算机处于防火墙

35、关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。系统叫做堡垒主机。47计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术典型防火墙系统系统结构分析典型防火墙系统系统结构分析 采用一个过滤路由器与一个堡垒主机组成的采用一个过滤路由器与一个堡垒主机组成的S-B1防火防火墙系统结构墙系统结构 48计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术包过滤路由器的转发过程包过滤路由器的转发过程 49计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术S-B1配置的防火墙系统中数据传输过程配置的防火墙系统中数据传

36、输过程 50计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术采用多级结构的防火墙系统（采用多级结构的防火墙系统（S-B1-S-B1配置）结构示意图配置）结构示意图51计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.4 网络防攻击与入侵检测技术网络防攻击与入侵检测技术 9.4.1 网络攻击方法分析网络攻击方法分析 目前黑客攻击大致可以分为目前黑客攻击大致可以分为8种基本的类型种基本的类型：入侵系统类攻击入侵系统类攻击 缓冲区溢出攻击缓冲区溢出攻击 欺骗类攻击欺骗类攻击 拒绝服务攻击拒绝服务攻击 对防火墙的攻击对防火墙的攻击 利用

37、病毒攻击利用病毒攻击 木马程序攻击木马程序攻击 后门攻击后门攻击52计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.4.2 入侵检测的基本概念入侵检测的基本概念入侵检测系统入侵检测系统（intrusion detection system，IDS）是对计算机和网络资源的恶意使用行为进行是对计算机和网络资源的恶意使用行为进行识别的系统；识别的系统；它的目的是监测和发现可能存在的攻击行为，包它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。授权行为，并且

38、采取相应的防护手段。53计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术入侵检测系统入侵检测系统IDSIDS的基本功能的基本功能：监控、分析用户和系统的行为；监控、分析用户和系统的行为；检查系统的配置和漏洞；检查系统的配置和漏洞；评估重要的系统和数据文件的完整性；评估重要的系统和数据文件的完整性；对异常行为的统计分析，识别攻击类型，并向网对异常行为的统计分析，识别攻击类型，并向网络管理人员报警；络管理人员报警；对操作系统进行审计、跟踪管理，识别违反授权对操作系统进行审计、跟踪管理，识别违反授权的用户活动。的用户活动。54计算机网络第计算机网络第9 9章章 网络安

39、全与网络管理技术网络安全与网络管理技术入侵检测系统框架结构入侵检测系统框架结构 55计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.4.3 入侵检测的基本方法入侵检测的基本方法 对各种事件进行分析，从中发现违反安全策略对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能；的行为是入侵检测系统的核心功能；入侵检测系统按照所采用的检测技术可以分为：入侵检测系统按照所采用的检测技术可以分为：异常检测、误用检测和两种方式的结合的入侵异常检测、误用检测和两种方式的结合的入侵检测系统；检测系统；按照检测的对象和基本方法，入侵检测系统可按照检测的对象和基

40、本方法，入侵检测系统可以分为：基于主机的入侵检测系统、基于网络以分为：基于主机的入侵检测系统、基于网络的入侵检测系统、基于目标的入侵检测系统、的入侵检测系统、基于目标的入侵检测系统、基于应用的入侵检测系统。基于应用的入侵检测系统。56计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.5 网络文件备份与恢复技术网络文件备份与恢复技术9.5.1 网络文件备份与恢复的重要性网络文件备份与恢复的重要性 网络数据可以进行归档与备份；网络数据可以进行归档与备份；归档是指在一种特殊介质上进行永久性存储；归档是指在一种特殊介质上进行永久性存储；网络数据备份是一项基本的网络维护

41、工作；网络数据备份是一项基本的网络维护工作；备份数据用于网络系统的恢复。备份数据用于网络系统的恢复。57计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.5.2 网络文件备份的基本方法网络文件备份的基本方法 选择备份设备选择备份设备 选择备份程序选择备份程序建立备份制度建立备份制度 在考虑备份方法时需要注意的问题在考虑备份方法时需要注意的问题：如果系统遭到破坏需要多长时间才能恢复？如果系统遭到破坏需要多长时间才能恢复？怎样备份才可能在恢复系统时数据损失最少？怎样备份才可能在恢复系统时数据损失最少？58计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网

42、络安全与网络管理技术9.6 网络防病毒技术网络防病毒技术 9.6.1 造成网络感染病毒的主要原因造成网络感染病毒的主要原因 70%的病毒发生在网络上；的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占上病毒的事件约占41%左右；左右；从网络电子广告牌上带来的病毒约占从网络电子广告牌上带来的病毒约占7%；从软件商的演示盘中带来的病毒约占从软件商的演示盘中带来的病毒约占6%；从系统维护盘中带来的病毒约占从系统维护盘中带来的病毒约占6%；从公司之间交换的软盘带来的病毒约占从公司之间交换的软盘带来的病毒约占2%；其他未知因素

43、约占其他未知因素约占27%；从统计数据中可以看出，引起网络病毒感染的主要原从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。因在于网络用户自身。59计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.6.2 网络病毒的危害网络病毒的危害 网络病毒感染一般是从用户工作站开始的，而网络服网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；要场所；网络服务器在网络病毒事件中起着两种作用：它可能网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪

44、；它可以成为病毒传播的代被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；理人，在工作站之间迅速传播与蔓延病毒；网络病毒的传染与发作过程与单机基本相同，它将本网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；身拷贝覆盖在宿主程序上；当宿主程序执行时，病毒也被启动，然后再继续传染当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作，它将破坏程行；当符合某种条件时，病毒便会发作，它将破坏程序与数据。序与数据。60计算机网络第计

45、算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.6.3 典型网络防病毒软件的应用典型网络防病毒软件的应用 网络防病毒可以从以下两方面入手：一是工作站，二网络防病毒可以从以下两方面入手：一是工作站，二是服务器；是服务器；网络防病毒软件的基本功能是：对文件服务器和工作网络防病毒软件的基本功能是：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒；由网络管理员负责清除病毒；网络防病毒软件一般允许用户设置三种扫描方式：实网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描时

46、扫描、预置扫描与人工扫描 ；一个完整的网络防病毒系统通常由以下几个部分组成：一个完整的网络防病毒系统通常由以下几个部分组成：客户端防毒软件、服务器端防毒软件、针对群件的防客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。毒软件、针对黑客的防毒软件。61计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.6.4 网络工作站防病毒方法网络工作站防病毒方法 采用无盘工作站采用无盘工作站使用单机防病毒卡使用单机防病毒卡 使用网络防病毒卡使用网络防病毒卡 62计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.7 网

47、络管理技术网络管理技术 9.7.1 网络管理的基本概念网络管理的基本概念 网络管理涉及以下三个方面网络管理涉及以下三个方面：网络服务提供是指向用户提供新的服务类型、增加网网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；络设备、提高网络性能；网络维护是指网络性能监控、故障报警、故障诊断、网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；故障隔离与恢复；网络处理是指网络线路、设备利用率数据的采集、分网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。析，以及提高网络利用率的各种控制。63计算机网络第计算机网络第9 9章章 网络安全与网络管

48、理技术网络安全与网络管理技术9.7.2 OSI管理功能域管理功能域 配置管理（配置管理（configuration management）故障管理（故障管理（fault management）性能管理（性能管理（performance management）安全管理（安全管理（security management）记账管理（记账管理（accounting management）64计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术9.7.3 简单网络管理协议简单网络管理协议SNMP Internet网络管理模型网络管理模型 65计算机网络第计算机网络第9 9章章

49、 网络安全与网络管理技术网络安全与网络管理技术简单网络管理协议简单网络管理协议SNMP 66计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络安全与网络管理技术小结小结要使网络有序、安全的运行，必须加强网络使用方法、要使网络有序、安全的运行，必须加强网络使用方法、网络安全技术与道德教育，完善网络管理，研究与开网络安全技术与道德教育，完善网络管理，研究与开发新的网络安全技术与产品；发新的网络安全技术与产品；网络安全技术研究基本问题包括：网络防攻击、网络网络安全技术研究基本问题包括：网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络内部安全漏洞与对策、网络中的信息安全保密、网络

50、内部安全防范、网络防病毒、网络数据备份与灾难恢复；安全防范、网络防病毒、网络数据备份与灾难恢复；网络安全服务应该提供保密性、认证、数据完整性、网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务；防抵赖与访问控制服务；密码学包括密码编码学与密码分析学，密码体制由两密码学包括密码编码学与密码分析学，密码体制由两个基本构成要素：加密个基本构成要素：加密/解密算法和密钥，加密技术可解密算法和密钥，加密技术可以分为对称加密与非对称加密，密码体制的关键问题以分为对称加密与非对称加密，密码体制的关键问题是密钥管理；是密钥管理；67计算机网络第计算机网络第9 9章章 网络安全与网络管理技术网络