网络管理与网络安全.ppt

1、长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程项目七：网络管理与网络安全(1)网络管理的基本知识(2)网络管理的模式、要求(3)网络管理的功能域(4)简单网络管理协议(5)网络安全基础(6)OSI安全体系结构和Internet安全策略(7)安全审计(8)鉴别与数字签名技术(9)包过滤技术、数据加密技术(10)防火墙技术(11)windows2000的安全管理实例教学内容长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程(1)了解计算机网络管理的基本概念、模式(2)了解简单网络管理协议(3)了解计算机网络安全的概念，面临的威胁(4)了解网络安全措施和网络安全解

2、决方案 教学要求长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程任务引入:提问：什么是网络安全？网络安全主要解决数据保密和认证的问题。数据保密就是采取复杂多样的措施对数据加以保护，以防止数据被有意或无意地泄露给无关人员。认证分为信息认证和用户认证两个方面信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造，用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证，也要求用户认证。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.3网络安全基础n提问：什么是网络安全？n网络安全主要解决数据保密和认证的问题。数据保

3、密就是采取复杂多样的措施对数据加以保护，以防止数据被有意或无意地泄露给无关人员。认证分为信息认证和用户认证两个方面p信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造；p用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证，也要求用户认证。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程一、计算机网络面临的威胁计算机网络面临的威胁多种多样，主要有以下几类：1.内部泄密和破坏 2.截收3.非法访问4.破坏信息的完整性 5.冒充6.破坏系统的可用性7.重演8.抵赖9.其他威胁长沙通信职业技术学院计算机信息工程系计算机网络技术精品

4、课程精品课程二、安全性指标1.数据完整性（data integrity）即数据在传输过程中的完整性，也就是数据在发送前和到达后是否完全一样。2.数据可用性（data availability）即在系统故障的情况下数据是否会丢失。3.数据保密性（data confidentiality and privacy）即数据是否会被非法窃取。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程三、OSI安全体系结构和Internet安全策略OSI安全体系结构定义了网络安全的层次（ISO 7498-2），这个安全层次是与OSI/RM相对应的，也就是说，安全服务与实现的层次之间存在明确的关系。

5、从整体上看，Internet网络安全策略可分为以下几个层次，即操作系统层、用户层、应用层、网络层（路由器）和数据链路层。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程1.OSI安全体系结构OSI安全体系结构定义了网络安全的层次（ISO 7498-2）:表8.2 OS定义的网络安全的层次OSI层次安全服务1234567对等协议实体鉴别数据源鉴别访问控制服务连接保密无连接保密选择字段保密长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程2.Internet网络安全策略8.4 Internet网络安全策略层次长沙通信职业技术学院计算机信息工程系计算机网络技术精品课

6、程精品课程四、安全审计是网络安全的必不可少的工作：确定有关网络安全的方案；对已有的网络安全方案进行审查；确定与网络安全方案有关的人员，并确定对网络资源可以直接存取的人或单位（部门）；确保所需要的技术能使网络安全方案得以落实。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.4网络安全技术鉴别 鉴别的目的是验明用户或消息的正身。鉴别技术可以验证消息的完整性，有效地对抗冒充、非法访问、重演等威胁。数字签名 利用数字签名，可实现消息源鉴别、访问者身份鉴别、消息完整性鉴别。而且，利用收发双方数字签名，可同时实现收发双方身份鉴别、消息完整性鉴别。一、鉴别与数字签名技术长沙通信职业技术

7、学院计算机信息工程系计算机网络技术精品课程精品课程二、包过滤技术包过滤器是路由器的一部分，它是由阻止包任意通过路由器在不同的网络之间穿越的软件组成的。8.5包过滤示意图长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程三、数据加密技术1 1数据加密模型数据加密模型8.6一般数据加密模型长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程2 2 常规密钥密码体制常规密钥密码体制(1)替代密码与转换密码替代密码（substitutioncipher）的原理可用一个例子来说明。转换密码（transpositioncipher）则是按照某一规则重新排列消息中的字符的顺序。

8、长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程(2)公开密钥密码体制RSA算法基于了一些数论的原理，在此不对它做理论上的推导，只说明如何使用这种算法。选择两个大素数p和q（典型值为大于10100）；计算npq和z（p1）（q1）；选择一个与z互质的数，令其为d；找到一个e使其满足ed=1（modz）。计算了以上参数后，就可以开始对明文加密。首先将明文看成是一个比特串，将其划分成一个个的数据块P且有0Pn。要做到这一点并不难，只需先求出满足2kn的最大k值，然后使得每个数据块长度不超过k即可。对数据块P进行加密，计算C=Pe（modn），C即为P的密文；对C进行解密，计算P=

9、Cd（modn）。可以证明，对于指定范围内的所有P，其加密函数和解密函数互为反函数。进行加密需要参数e和n，进行解密需要参数d和n。所以公开密钥由（e，n）组成，私人密钥由（d，n）组成。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程四、访问控制与口令不要使用熟悉类型的口令，诸如你的生日、纪念日、宠物的名字、孩子的名字、配偶的名字、自己的名字或者绰号、用户I D、电话号码、地址；或别人会与你联系在一起的任何其他单词或者数字。不要使用任何可能出现在一本字典中的单词。骇客们可以用程序来试你的用户I D与一本字典中每个词的组合，以此得以访问网络。使口令长于6个字母，越长越好。选择

10、字母与数字的组合，如果允许的话，加入特殊字符，例如惊叹号或者连字符。不要写下你的口令或与其他人共用。至少每9 0天改变一次口令。如果你是一名网络管理员，那么通过建立操作系统强制用户每隔9 0天就改变他们的口令。如果你能够访问敏感数据，就要更频繁地变更口令。制作口令并使之安全化的提示包括下列内容：长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程五、虚拟专用网的安全按照不严格定义，虚拟专用网（V P N）可以认为是使用公共信道连接客户机和服务器的私有网络。通常V P N整合了范围广泛的客户，从家庭的拨号上网用户到办公室的连网的工作站，直到I S P的We b服务器。通常V P N

11、利用I n t e r n e t来连接多个地点，因为I n t e r n e t是世界上最大的公用网络，同时使用它也会遇到明显的安全风险。封装一个协议使其看上去像另一个协议的过程叫做“隧道化”（t u n n e l i n g）。制作口令并使之安全化的提示包括下列内容：长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.5防火墙技术防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的也可能是一台运行专用软件的计算机机。设置防火墙目的都是为了在内部网与外部网之间设

12、立唯一的通道，简化网络的安全管理。通常防火墙都是硬件和软件的结合。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程一、防火墙的功能过滤掉不安全服务和非法用户控制对特殊站点的访问提供监视Internet安全和预警的方便端点 由于Internet的开放性，有许多防范功能的防火墙也有一些防范不到的地方：防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。防火墙不能防止数据驱动式攻击。当有

13、些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程二、防火墙的体系结构1 1 防火墙系统的基本组件防火墙系统的基本组件8.7 屏蔽路由器长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.8 双目主机网关长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.9 应用网关长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程2 2 防火墙系统结构防火墙系统结构 8.10 双目主机结构防火墙系统图10.20 双重宿主主机防火墙的结构长沙通

14、信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.11 屏蔽主机结构防火墙系统长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.12 屏蔽子网结构 长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程三、防火墙应用与实现1IP级防火墙IP级防火墙是在IP层实现的，因此，它可以只用路由器完成。报文过滤器的应用非常广泛，因为CPU用来处理报文过滤的时间可以忽略不计。报文过滤一个很关键的弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。IP级防火墙的弱点可以用应用级防火墙解决。从层次上可分两种：IP级防火墙和应用级防火墙长沙通信

15、职业技术学院计算机信息工程系计算机网络技术精品课程精品课程2.应用级防火墙(1)应用代理服务器（Application Gateway Proxy）(2)回路级代理服务器(3)代管服务器(4)IP隧道（IP Tunnels）(5)网络地址转换器（NAT Network Address Translate）(6)隔离域名服务器（Split Domain Name Server）(7)邮件技术（Mail Forwarding）应用级防火墙是在应用层实现防火墙。长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程四、防火墙的发展趋势随着新技术的发展，混合使用包过滤技术、代理服务技术和其

16、它一些新技术的防火墙已经出现。越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。包过滤系统向着更具柔性和多功能的方向发展。被称为 第三代产品的第一批系统已开始进入市场。从层次上可分两种：IP级防火墙和应用级防火墙长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程8.6基于windows的网络管理实例1.物理安全2.停掉Guest帐号 3限制不必要的用户数量4创建2个管理员用帐号5把系统administrator帐号改名 6.创建一个陷阱帐号 一、windows2000的初级安全管理实例长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程7.把共享文件的权

17、限从”everyone”组改成“授权用户”8.使用安全密码 9.设置屏幕保护密码 10.使用NTFS格式分区 11.运行防毒软件 12.保障备份盘的安全 长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程1利用Windows 2000的安全配置工具来配置策略2关闭不必要的服务3关闭不必要的端口4打开审核策略5开启密码策略6开启账户策略7设定安全记录的访问权限8把敏感文件存放在另外的文件服务器中9不让系统显示上次登录的用户名10禁止建立空连接11.到微软网站下载最新的补丁程序二、windows2000的中级安全管理实例长沙通信职业技术学院计算机信息工程系计算机网络技术精品课程精品课程1关闭DirectDraw2禁止dump文件的产生3使用文件加密系统EFS4加密temp文件夹5锁住注册表6关机时清除掉页面文件7禁止从软盘和CDROM启动系统8考虑使用智能卡来代替密码9考虑使用IPSec三、windows2000的高级安全管理实例