(中职）计算机网络基础项目六计算机网络安全与管理ppt课件.ppt

《(中职）计算机网络基础项目六计算机网络安全与管理ppt课件.ppt》由会员分享，可在线阅读，更多相关《(中职）计算机网络基础项目六计算机网络安全与管理ppt课件.ppt（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、(中职）计算机网络基础项目六计算机网络安全与管理电子课件（工信版）项目6 计算机网络安全与管理【知识目标】p 了解防火墙的安装与设置p 了解杀毒软件的安装与升级p 了解木马程序和恶意插件的查杀p 掌握网络漏洞的检测与防范p 掌握网络管理技术【能力目标】p 能利用防火墙实现网络之间的访问控制p 能利用杀毒软件实现计算机病毒的防范p 能利用工具实现网络攻击及防范项目6 计算机网络安全与管理任务1 防火墙的使用 任务2 病毒的防范 任务3 网络攻击及其防范措施任务4 网络管理技术任务1 防火墙的使用 子任务1 天网防火墙的安装与设置 子任务2 Windows XP防火墙子任务3 硬件防火墙的设置子任

2、务1 天网防火墙的安装与设置【任务引入】你是公司的网络管理员，面对局域网内的个人用户，如何保证每个用户正常上网和信息资源的安全。【任务分析】天网防火墙是由天网安全实验室研发制作给个人计算机使用的网络安全工具。安装天网防火墙，对其中的安全级别和局域网信息进行设置，使用应用程序规则、IP规则对网络访问进行管理。子任务1 天网防火墙的安装与设置【操作步骤】1.天网防火墙的安装(1)双击已经下载好的安装程序，出现“欢迎”对话框，选择“我接受此协议”复选框。(2)单击“下一步”按钮继续。选择安装路径，然后单击“下一步”按钮。子任务1 天网防火墙的安装与设置(3)出现“选择程序管理器程序组”对话框，直接单

3、击“下一 步”按钮。(4)出现“开始安装”对话框，直接单击“下一步”按钮。子任务1 天网防火墙的安装与设置（5）复制基本完成后直接单击“下一步”按钮，会自动弹出“天网防火墙设置向导”对话框。（6）单击“下一步”按钮继续，出现“安全级别设置”对话框，为了保证能够正常上网并免受他人的恶意攻击，建议大多数用户和新用户选择中等安全级别，对于熟悉天网防火墙设置的用户可以选择自定义级别。子任务1 天网防火墙的安装与设置（7）出现“局域网信息设置”对话框，选择“开机的时候自动启动防火墙”和“我的电脑在局域网中使用”复选框，在“我在局域网中的地址是”栏中输入本机的IP地址，也可通过刷新按钮自动加载该IP地址，

4、然后单击“下一步”按钮。子任务1 天网防火墙的安装与设置(8)出现“常用应用程序设置”对话框，选择允许访问网络的应用程序，可把不充许访问的应用程序前的复选框去除，默认为充许，单击“下一步”按钮。(9)出现“安装已完成对话框”，单击“完成”按钮，系统会提 示必须重新启动系统，单击“确定”按钮，重启计算机，即完成安装操作。子任务1 天网防火墙的安装与设置2.天网防火墙的设置（1）系统设置 启动天网防火墙后，在防火墙的控制面板中点击“系统设置”按钮即可展开防火墙系统设置面板。可设置开机后是否自动启动天网防火墙、是否设置管理员密码、在线升级提示、日志是否保存及大小等选项。子任务1 天网防火墙的安装与设

5、置（2）IP规则管理 IP规则是针对整个系统的网络层数据包监控而设置的。天网防火墙个人版本身已经默认设置了完善的缺省规则，一般用户并不需要做任何IP规则修改，就可以直接使用。如右图所示，可以对共享、TCP/UDP端口等进行设置。子任务1 天网防火墙的安装与设置（3）应用程序规则设置 可以对某个应用程序对网络发生访问时的协议服务进行设置，当该程序不符合设定条件时可以询问或禁止操作，还可以设定TCP协议可访问的端口范围。子任务1 天网防火墙的安装与设置（4）查看日志 日志里记录了本机程序访问网络的记录，局域网，和网上被IP扫描本机端口的情况，供参考以便采取相应的对策。子任务1 天网防火墙的安装与设

6、置（5）新建IP规则 当我们需要一些网络应用（比如开启FTP服务端服务），天网防火墙的默认设置将会带来些麻烦，别人连不上我的机器，这个时候我们就需要新建IP规则，来开放相应的端口。比如流行的BT使用的端口为68816889这九个端口，而防火墙的默认设置是不允许访问这些端口的，如果关闭了防火墙就将导致机器不安全。子任务1 天网防火墙的安装与设置【知识链接】防火墙（Firewall）是在两个网络之间实现访问控制的一个或一组软件或硬件系统，如下图所示。其主要功能是：对流经它的网络通信进行扫描，过滤危险的数据或访问请求，以免在目标计算机上被执行。防火墙还可以关闭不使用的端口、禁止特定端口的通信、封锁木

7、马、禁止来自特殊站点的访问，从而防止入侵者的所有通信。多数防火墙是通过设置的访问规则来检查内外网的通信数据，防止非法访问等，这些规则可以通过人工设置或防火墙自动学习来完成。子任务1 天网防火墙的安装与设置 防火墙的规则在应用中，通常是从顶端的第一条规则开始执行。如果满足第一条规则，则允许数据通过并再判断是否满足第二条规则，以此类推。但如果其中有一条规则不允许数据通过，则不再进行判断而直接阻止数据通过。子任务2 Windows XP防火墙【任务引入】在Windows XP防火墙中，设置防火墙的状态，通过对例外项进行设置来控制应用程序对网络访问。【任务分析】Windows XP防火墙是一个基于主机

8、的状态防火墙，只丢弃所有未经请求的传入流量，避免那些依赖经未请求的传入流量来攻击网络上的计算机的恶意用户和程序。子任务2 Windows XP防火墙【操作步骤】（1）要配置 Windows 防火墙，可以先打开控制面板，再打开其中的安全中心；或者打开网络连接，从中选择更改Windows防火墙设置。在主选项卡中有3个选项。（2）“常规”选项卡中，选择了启用时，Windows 防火墙将对除例外中的程序以外的所有网络请求进行拒绝。当选择了不允许例外，Windows 防火墙将拦截所有的连接到该主机的网络请求，包括在例外选项卡中列表的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，还有网络设备的

9、侦测。使用不允许例外选项的windows 防火墙比较适用于连接在公共网络上的个人计算机，比如在宾馆和机场公共场合使用的计算机。子任务2 Windows XP防火墙（3）“例外”选项卡中允许添加阻止规则例外的程序和端口来允许特定的进站通讯。如果希望网络中的其他客户端能够访问本地的某个特定的程序或服务，而你又不知道这个程序或服务将使用哪一个端口和哪一类型端口，这种情况下可以将这个程序或者服务添加到Windows 防火墙的例外项中以保证它能被外部访问。子任务2 Windows XP防火墙（4）“高级”选项卡中可以配置以下设定：应用在每个网络连接上的连接特定规则、安全日志记录设置、全局ICMP规则和默

10、认设置。单击“ICMP规则”项中设置按钮。子任务2 Windows XP防火墙（5）出现“ICMP”设置对话框，“允许传入回显请求”已被选择，如右图所示。这是因为选择了“文件和打印共享”服务例外，启用了TCP端口445，所以在网络中用其它主机ping 本地主机，可以看到回显请求。子任务3 硬件防火墙的设置【任务引入】像路由器一样，在使用之前，硬件防火墙也需要经过基本的初始配置。因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。【任务分析】防火墙PIX525采用7.2（1）版本IOS，LAN、DMZ、WAN分别为三台2600路由器。子任务3 硬件防火墙的设置子任务

11、3 硬件防火墙的设置【操作步骤】1.对三台2600路由器进行基本配置。2.对防火墙PIX525进行基本设置【注意事项】1.接口的安全级别 防火墙是用来保护内部网络的，外部网络是通过外部接口对内部网络构成威胁的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中，安全级别的定义是由security这个参数决定的，数字越小安全级别越高，所以security0是最高的，随后通常是以10的倍数递增，安全级别也相应降低。子任务3 硬件防火墙的设置2.访问控制列表（ACL）此功能与C

12、isco IOS基本上是相似的，也是防火墙的主要部分，有permit和deny两个功能，网络协议一般有IP、TCP、UDP、CMP等。任务2 病毒的防范【任务引入】瑞星杀毒软件的安装、升级与使用。【任务分析】网络的出现加速了计算机病毒的传播和蔓延，使用计算机的用户都受到过病毒的困扰，系统遭受到破坏，以至重要的数据被毁于一旦。因此，安装杀毒软件是有效的防护方法。我们就以常用的瑞星杀毒软件为例，学习杀毒软件的安装、升级与使用。任务2 病毒的防范【操作步骤】1 杀毒软件的安装与升级（1）双击运行瑞星杀毒软件安装包，选择安装语言、安装路径，然后勾选“我已经阅读并同意瑞星许可协议”，单击“开始安装”按钮

13、，如图所示。（2）开始安装杀毒软件，如图所示。安装完成后启动瑞星杀毒软件，如图所示。（3）瑞星杀毒软件主界面，如图所示。（4）单击左下角“检测更新”按钮，升级杀毒软件，如图所示。任务2 病毒的防范 安装选项 开始安装启动杀毒软件 杀毒软件主界面升级杀毒软件任务2 病毒的防范【操作步骤】2 杀毒软件的使用（1）单击“病毒查杀”选项，可以选择快速查杀、全盘查杀或自定义查杀，如图所示。（2）单击“电脑防护”选项，可以开启电脑实时监控和主动防御功能，如图所示。（3）单击“安全工具”选项，可以立即下载或运行瑞星安全工具维护系统安全，如图所示。任务2 病毒的防范 选择病毒查杀方式电脑防护安全工具任务3 网

14、络攻击及其防范措施 子任务1 网络漏洞的扫描与防范子任务2 网络后门工具的使用子任务1 网络漏洞的扫描与防范【任务引入】网络漏洞扫描系统能够预先评估和分析系统中存在的各种安全隐患，防止被黑客所利用的漏洞，对系统中重要的数据、文件等进行保护。使用扫描工具X-Scan进行网络漏洞扫描。【任务分析】X-Scan扫描工具是一款常用的漏洞扫描工具，它采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能。扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞可以检测出来。子任务1 网络漏洞的扫描与防范

15、【操作步骤】1.启动X-Scan-v3.3,进入主界面。子任务1 网络漏洞的扫描与防范2.利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏“设置”“扫描参数”，在“检测范围”项中对指定的IP范围，输入：172.16.90.1-172.16.90.252。子任务1 网络漏洞的扫描与防范3.单击“扫描模块”，在弹出的对话框中对常见的网络系统漏洞进行全面扫描。子任务1 网络漏洞的扫描与防范4.设置完毕，单击工具栏上的图标“开始”对目标主机进行扫描。子任务1 网络漏洞的扫描与防范5.扫描需要经过一段比较长的时间，扫描结果自动生成网页，发现漏洞并生成报告。子任务1 网络漏洞的扫描与防范【知识链接】网络

16、漏洞扫描技术 网络漏洞扫描系统是指通过网络远程检测目标网络和主机系统漏洞的程序，它对网络系统和设备进行安全漏洞检测和分析，从而发现可能被入侵者非法利用的漏洞。漏洞扫描主要通过以下两种方法来检测目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描。子任务2 网络后门工具的使用【任务引入】网络攻击者经过踩点、扫描、入侵以后，总想留下后门，以便长期保持对目标主机的控制。对常见后门工具的使用，能帮助网络管理员提高网络的安全防范能

17、力。【任务分析】只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。使用工具软件wnc.exe建立在对方主机上开启Web服务和Telnet服务。其中Web服务的端口是808，Telnet服务的端口是707。子任务2 网络后门工具的使用【操作步骤】1.执行很简单，只要在对方主机Windows Server 2003的命令行下执行一下wnc.exe就可以，在任务管理器中的进程项可以wnc.exe已在后台运行。2.执行完毕后，利用命令“netstat-an”来查看开启

18、的808和707端口。说明服务端口开启成功，可以连接该目标主机提供的这两个服务了。子任务2 网络后门工具的使用3.测试Web服务808端口，在浏览器地址栏中输入“http:/192.168.0.1:808”，出现主机的盘符列表。4.可以下载对方硬盘和光盘上的任意文件，也可上传文件。子任务2 网络后门工具的使用5.利用“telnet 192.168.0.1 707”命令登录到对方的命令行。6.不用任何的用户名和密码就可以登录对方主机的命令行。子任务2 网络后门工具的使用 wnc.exe的功能强大，但是该程序不能自动加载执行，需要将该文件加到自启动程序列表中，让对方主机默无声息的留下后门。但是在对

19、方主机上开了两个非常明显的端口808和707，容易被管理员发现，还要在登录对方主机后，采取其它措施如获取管理员密码，进一步上传后门软件等，来进行网络隐藏。子任务2 网络后门工具的使用【知识链接】1.网络攻击的步骤一次成功的网络攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。（1）隐藏IP通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。（2）踩点扫描利用工具对特定的一台主机或某一个IP地址范

20、围进行扫描，以确定主机漏洞是否存在。子任务2 网络后门工具的使用（3）漏洞分析对已存在的主机漏洞进行分析，以便确定攻击方法。（4）种植后门为了保持长期漏洞主机的访问权，在已经攻破的计算机上种植一些供自已访问的后门。（5）网络隐身一次成功入侵之后，通常会清除登录日志和其他相关的日志，以免暴露行踪，同时也为下一次入侵做好准备。子任务2 网络后门工具的使用2.网络漏洞的防范方法以及人员安全意识要防止或减少网络漏洞的攻击，最好的方法是尽力避免主机端口被扫描和监听，先于攻击者发现网络漏洞，并采取有效措施。提高网络系统安全的方法主要有：（1）在安装操作系统和应用软件之后及时安装补丁程序，并密切关注国内外著

21、名的安全站点，及时获得最新的网络漏洞信息。（2）及时安装防火墙，建立安全屏障。防火墙可以尽可能屏蔽内部网络的信息和结构，降低来自外部网络的攻击。（3）利用系统工具和专用工具防止端口扫描。要利用网络漏洞攻击，必须通过主机开放的端口。因此，黑客常利用QckPing、scanlook、SuperScan等工具进行端口子任务2 网络后门工具的使用扫描。防止端口扫描的方法：在系统中将特定的端口关闭。（4）通过加密、网络分段、划分虚拟局域网等技术防止网络监听。（5）利用密罐技术，使网络攻击的目标转移到预设的虚假对象，从而保护系统的安全。（6）提高安全意识（7）对于重要的个人数据做好严密的保护，并养成数据备

22、份的习惯。任务4 网络管理技术【任务引入】网络管理对象一般包括路由器，交换机，HUB等。近年来，网络管理对象有扩大化的趋势，即把网络中几乎所有的实体：网络设备，应用程序，服务器系统，辅助设备如UPS电源等都作为被管对象；这也给网络管理员提出了新的网络管理任务。那么，网络管理的功能，又该如何去具体认识呢？【任务分析】通过网络管理的一般模型，理解网络管理的概念，初步认识简单网络管理协议，从而确定网络管理的功能，了解网络管理的产品。任务4 网络管理技术【知识链接】1.网络管理的概念 网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理

23、的价格满足网络的使用需求，如实时运行性能，服务质量等。网络管理常简称为网管。由于网络状态总是不断变化，所以必须使用网络来管理网络，在管理过程中需要有一种协议来读取网络中各结点的状态信息，有时还需要将一些新的状态信息写入到这些结点上。任务4 网络管理技术任务4 网络管理技术 管理站是整个网络管理系统的核心，它通常是具有良好图形界面的高性能的工作站，并由网络管理员直接操作和控制。所有向被管设备发送的命令都是从管理站发出的。管理站（硬件）或管理程序（软件）都可称为管理者(manager），所以这里的manager不是指人而指机器或软件。在网络中有很多的被管设备（包括设备中的软件）。被管设备可以是主机

24、、路由器、打印机、集线器、网桥或调制解调器等。在每一个被管设备可能有许多被管对象，这些对象可以是被管设备中某个硬件，也可以是软件（如路由选择协议）。在被管设备中也会有一些不能被管的对象。被管对象必须维持可供管理程序读写的控制和状态信息。这些信息总称为管理信息库MIB，而管理程序就使用MIB中这些信息的值对网络进行管理。任务4 网络管理技术 在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序，简称为代理（agent）。代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。还有一个重要构件就是网络管理协议，简称为网管协议。网络管理员利用网

25、管协议通过管理站对网络中的被管设备进行管理。任务4 网络管理技术 2.简单网络管理协议 简单网络管理协议(Simple Network Management Protocol，SNMP)是基于TCP/IP协议簇的网络管理标准。SNMP最重要的设计思想就是要尽可能简单。它的基本功能包括监视网络性能，监测分析网络差错，配置网络设备等。在网络正常工作时，SNMP可实现统计、配置和测试等功能。当网络出故障时，可实现各种差错检测和恢复功能。典型配置如下图。整个系统必须有一个管理站。管理进程和代理进程利用SNMP报文进行通信，而SNMP报文又使用UDP来传送。图中有两个主机和一个路由器。这些协议栈中带有阴

26、影的部分是原来这些主机和路由器所具有的，而没有阴影的部分则为实现网络管理而增加的。任务4 网络管理技术任务4 网络管理技术 若被管设备使用的不是SNMP而是另一种网络管理协议，SNMP协议就无法控制该被管设备。这时可使用委托代理（proxy agent）。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。SNMP的网络管理由三个部分组成，即管理信息库MIB、管理信息结构SMI以及SNMP本身。任务4 网络管理技术3.网络管理的功能 在实际网络管理过程中，网络管理应具有的功能非常广泛，包括了很多方面。在网络管理标准中定义了网络管理的5大功能：配置管理、性能管理、故障管理、安全管理和计费

27、管理，这5大功能是网络管理最基本的功能。事实上，网络管理还应该包括其他一些功能，比如网络规划、网络操作人员的管理等。不过除了基本的网络管理5大功能，其他的网络管理功能实现都与具体的网络实际条件有关，因此我们只需要关注OSI网络管理标准中的5大功能，其中：任务4 网络管理技术（1）配置管理：自动发现网络拓扑结构，构造和维护网络系统的配置。监测网络被管对象的状态，完成网络关键设备配置的语法检查，配置自动生成和自动配置备份系统，对于配置的一致性进行严格的检验。（2）故障管理：过滤、归并网络事件，有效地发现、定位网络故障，给出排错建议与排错工具，形成整套的故障发现、告警与处理机制。（3）性能管理：采集

28、、分析网络对象的性能数据，监测网络对象的性能，对网络线路质量进行分析。同时，统计网络运行状态信息，对网络的使用发展作出评测、估计，为网络进一步规划与调整提供依据。任务4 网络管理技术（4）安全管理：结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制，以保障网络管理系统本身的安全。维护系统日志，使系统的使用和网络对象的修改有据可查。控制对网络资源的访问。（5）计费管理：对网际互联设备按IP地址的双向流量统计，产生多种信息统计报告及流量对比，并提供网络计费工具，以便用户根据自定义的要求实施网络计费。4.典型的网络管理产品 目前，各大网络厂商几乎都在支持自己的网络管理方案的同时，也支持SNMP网络管理方案。典型的网络管理产品主要有HP公司的Open View、IBM公司的Net View和SUN公司的SunNet。总结与回顾 本项目主要介绍了计算机网络的安全管理方法。重点掌握防火墙的基本使用和配置，应用程序的访问规则设置。熟悉病毒的危害与查杀，木马及恶意插件的清除，系统的的修复。了解网络漏洞的原理和检测方法，对相应缺陷及时处理。了解网络管理技术的作用和网络管理产品的功能。在使用中要注重多种方法综合运用，提高主动防范的意识，增强系统的网络安全性。