1、第4章 网络安全与管理,知识点: 网络安全 防火墙 网络防病毒技术 检测技术 无线局域网安全技术 网络管理,4.1网络安全,随着计算机网络技术的迅猛发展和网络覆盖范围的快速扩大,网络丰富的信息资源给用户带来了极大的方便,但同时也给网络用户带来了安全问题。特别是随着Internet的发展。由于Internet的开放性和超越组织与国界等特点,使它在安全性上存在隐患,而且信息安全的内涵也发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。,1.网络安全的概念,网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛,这是因为在目前的公用通信网
2、络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。下面给出网络安全的一个通用定义:网络安全是指网络系统的硬件、软件及其系统中的数据等各种资源受到保护,防止各种资源受到无意或恶意的各种破坏,保证系统连续可靠正常地运行,网络服务不中断等。,2.网络安全面临的主要威胁,由于互联网络的发展,全社会对网络的依赖程度越来越大,整个世界经济正在迅速地融为一体,计算机网络已经成为国家的经济基础和命脉。伴随着网络的发展,也产生了各种各样的问题,其中安全问题尤为突出。因此,了解网络面临的各种威胁,防范和消除这些
3、威胁,实现真正的网络安全已经成了网络发展中刻不容缓的问题。网络系统面临的主要威胁来自以下几方面:,黑客攻击 管理的欠缺 网络本身的缺陷 软件设计的漏洞 拒绝服务攻击 企业网络内部的用户,3.网络安全策略,由于网络安全十分重要,下面就来讨论常见的安全几种策略。, 物理安全策略,物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击;防止他人非法进入计算机控制室和各种偷窃、破坏活动的发生。,访问控制策略,访问控制策略是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。,
4、加密策略,加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。, 网络安全管理策略,网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。,4.网络安全措施,网络安全的主要措施包括以下几个方面的内容:,社会的法律政策、安全的规章制度以及安全教育等外部软环境; 技术方面的措施; 审计和管理措施,这方面措施同时包含了技术与社会措施.,4.2防火墙,随着计算机网络技术的飞速
5、发展和扩大,特别是近年来Internet的迅猛发展,越来越多的人们已感觉到网络安全的重要性,人们需要一种安全策略,既可以防止非法用户访问内部网络上的资源,又可以防止用户非法向外传递内部信息。在这种情况下,防火墙技术便应运而生了。,1.防火墙技术概述,防火墙目的就是要通过各种控制手段,保护一个网络不受来自另一个网络的攻击,它能够限制用户访问网络内部的数据,防止网络中的攻击者来访问内部的网络或者更改、拷贝、毁坏用户的数据。,防火墙在网络中的位置,防火器的含义 防火墙的主要功能,根据不同的需要,防火墙的功能有比较大的差异,但是一般都包含以下几种基本功能。过滤不安全服务和非法用户,禁止未授权的用户访问
6、受保护网络;控制对特殊站点的访问; 提供监视Internet安全和预警的端点;记录通过防火墙的信息内容和活动。,防火墙的局限性,防火墙只适合于相对独立的网络,例如企业的内部的局域网络等。防火墙对于以下情况无能为力:,不能防范绕过防火墙的攻击; 一般的防火墙不能阻止已被病毒感染的软件或文件的传输; 不能防止数据驱动式攻击; 难以避免来自内部用户恶意的攻击; 不能防备新的网络安全问题等.,防火墙发展趋势,智能化的发展; 速度上的发展; 体系结构上的发展; 功能上的发展; 专业化的发展等.,2.防火墙的类型与结构,从不同的角度来划分防火墙,其种类也不同。从防火墙的软、硬件形式来划分,防火墙可以分为软
7、件防火墙和硬件防火墙。根据防火墙应用在网络中的层次不同进行划分,从总体来讲可分为以下三大类:,网络层防火墙 应用层防火墙 复合型防火墙,防火墙的体系结构,构建防火墙系统的目的是为了最大程度地保护Intranet的安全,以下介绍几种常用的防火墙体系结构。,屏蔽路由器(Screening Router) 屏蔽路由器是防火墙最基本的构件,是最简单也是最常见的防火墙。它在传统的路由器中增加分组过滤功能。筛选路由器又被称为包过滤防火墙,如图所示。,双宿主主机(Dual Homed Host),双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成。,屏蔽主机网关(Screened
8、Host Gateway),在屏蔽主机网关体系结构中,提供安全保护的主机仅仅与内部网连接,它是外部网络主机连接到内部网络主机的桥梁,另外.还有一台单独的过滤路由器,保证外部系统对内部网络的操作只能经过堡垒主机.,防火墙的选购要点,品牌; 安全性能; 协议支持; 访问控制配置; 管理功能; 灵活的可扩展和可升级性等。,4.3网络防病毒技术,近年来,计算机网络在各行各业的应用越来越广泛,很多企业已经实现了电子化办公,并普遍使用计算机网络来处理文档、办理税收业务、查阅资料、实现上下级的公文流转等。但在使用过程中,网络安全特别是来自互联网的各类病毒、木马和蠕虫等在计算机网络内大量传播蔓延,给计算机网络
9、系统安全造成重大安全隐患,那么病毒到底是什么?是如何生存的?怎么预防?已成为人们经常讨论的重要话题。,1.计算机病毒及其危害,计算机病毒的发展历程 (1)初期萌芽阶段 (2)早期蓬勃发展阶段 (3)网络迅猛泛滥阶段,病毒的传播途径,计算机病毒的传播主要是通过拷贝文件、传送文件、运行程序等方式进行。而主要的传播途径有硬盘、光盘、网络和移动存储设备等。,计算机病毒(Virus)的概念,(1)计算机病毒是一个程序; (2)计算机病毒侵入系统后,不仅会影响系统正常运行,还会破坏数据; (3)计算机病毒具有传染性,其传染方式是修改其它程序,把自身拷贝嵌入到其它程序 中而实现的。,计算机病毒的特征,(1)
10、传染性 (2)寄生性 (3)潜伏性 (4)隐蔽性 (5)破坏性,(6)触发性 (7)未经授权而执行 (8)不可预知性 (9)衍生性 (10)持久性,计算机病毒的危害,(1)直接破坏计算机数据信息 (2)占用磁盘空间和对信息的破坏 (3)抢占系统资源 (4)影响计算机运行速度 (5)计算机病毒错误与不可预见的危害 (6) 计算机病毒的兼容性对系统运行的影响 (7) 计算机病毒给用户造成严重的心理压力,2.网络防病毒措施,随着网络的发展和移动存储设备的广泛使用,伴随而来的计算机病毒传播问题越来越引起人们的关注,从而也产生了很多的检测方法。,(1)比较法 (2)加总比对法 (3)搜索法 (4)分析法
11、 (5)人工智能陷阱技术和宏病毒陷阱技术 (6)软件仿真扫描法 (7)先知扫描法,计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。,(1)在思想上重视、管理方面应做到 系统启动盘要专用,而且要加上写保护,以防病毒侵入。 不要乱用来历不明的程序或软件,不要使用非法复制或解密的软件,也不要随便打开陌生人发来的电子邮件。 对外来的机器和软件要进行病毒检测,确认无毒才可使用。 专机专用,特别是重要的机器要防止无关人员使用,关键重要的机器要与互联网物理上隔离,以防病毒侵入硬盘。 做好数据文件备份
12、;对于重要的系统盘,数据盘以及硬盘上的重要信息要经常备份,以使系统或数据在遭到破坏后能及时得到恢复。 网络计算机用户更要遵守网络软件的使用规定,不能在网络上随意使用外来软件。 合理分配用户访问权限,(2)从技术上采取如下措施 安装正版软件,不用盗版软件。 安装计算机防病毒卡或还原卡。 安装杀毒软件,并且定期升级,更新病毒代码库。 隔离被感染的计算机,防止病毒的扩散。 对于网络环境,设置“病毒防火墙”。 在系统启动盘上的自动批处理文件中加入病毒检测程序。,4.4 检测技术,目前网络安全领域面临着严重的挑战。一方面当今社会对网络的依赖性日益增强,而另一方面网络入侵和攻击事件发生的次数也急剧增长。这
13、两个方面相互影响,前者使得网络的结构,协议及应用日渐复杂,同时也造成社会对网络安全问题的可容忍程度逐步降低。对于某些行业来说,网络出现故障可能不再是一个小问题,而是一场灾难。为了保障网络安全,各种网络入侵检测和防御技术应运而生。,1.入侵检测技术概述,入侵检测系统模型图,入侵检测(Intrusion Detection),顾名思义,是指对入侵行为的发觉,也就是说它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的一种安全技术。,2. 漏洞扫描技术,漏洞扫描是指用来自动检测远程或本地主机硬件、软件、协议和系统安全策略方面
14、存在的安全缺陷的软件或硬件。从不同角度来看,漏洞扫描的分类也不同,若按功能大致可分为操作系统漏洞扫描、数据库漏洞扫描和网络漏洞扫描。若按检测对象的不同,可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及最近出现的无线网络扫描。从底层技术来划分,也可以分为基于网络的扫描和基于主机的扫描这两种类型。,3.入侵检测系统的新发展,面对日益严重的攻击,IDS作为防火墙的有力补充,实时监视着网络中的不法行为;阻止入侵或试图控制系统及网络资源的恶意攻击,正在成为安全部署中不可缺少的工具之一,其产品与技术正在不断地更新和发展,新亮点不断涌现。,未来入侵检测技术会向以下四个方面发展: 一是分布式入侵检
15、测; 二是智能化入侵检测; 三是全面的安全防御方案; 四是建立入侵检测系统评价体系。,4.5 无线局域网安全技术,随着人们的生产、生活水平的提高,人类对网络的需求也在不断的提高。特别是随着计算机技术和网络技术的蓬勃发展,网络在各行各业的应用越来越广泛。今天人们不仅仅满足在固定环境中进行通信,还希望随时随地的能够进行地通信,于是可进行移动通信网络应运而生。无线局域网是实现移动计算机网络的关键技术之一,无线局域网是计算机网络与通信技术相结合的产物。,1 .无线局域网概述,无线局域网的含义,通俗地说,无线局域网(Wireless local area network,WLAN)就是在不采用传统线缆构
16、成的局域网,提供以太网或者令牌网络的功能,它不受节点限制,就可以构建局域网络,网络拓朴结构具有很大的灵活性和弹性。,无线局域网的特点,安装便捷 可移动性 经济节约 易于扩展 增加了可靠性,2.无线局域网技术,IEEE于1997年6月公布IEEE 802.11标准,它是第一代无线局域网标准。该标准定义了物理层(PHY)和媒体访问控制(MAC)协议的规范,允许无线局域网及无线设备制造商在一定范围内建立互操作网络设备,初步解决了无线网络的兼容性问题。IEEE 802.11工作在2.4GHz开放频段,这一波段被全球无线电法规实体定义为扩频使用波段,使用时无须向政府申请频段资源,支持1Mbps和2Mbp
17、s的数据传输速率。对无线局域网而言,IEEE 802.11标准具有里程碑式的意义。,IEEE 802.11b IEEE 802.11a IEEE 802.11g IEEE 802.11n WLAN除了上面提到的一些主要标准外,IEEE还在不断地完善这些协议,推出或即将推出的新协议有:不使用2.4GHz 频段的802.11b版本802.11d,改善802.11协议QoS(服务质量)的802.11e,改善切换机制的802.11f,改善安全机制的802.11i等。,无线局域网安全技术,早期基本的无线局域网安全技术 WPA(Wi-Fi保护访问) 技术 高级的无线局域网安全标准IEEE 802.11i
18、无线局域网安全技术的发展方向,4.6 网络管理,网络管理是计算机网络发展的必然产物,它是随着计算机网络的发展而发展的。特别是在Internet出现之后,网络得到飞速发展。要保障连接网络对象的正常运转,同时监测网络的运行性能,优化网络的拓扑结构,网络管理越来越重要。大的、复杂的、由异构型设备组成的计算机网络靠手工管理是无能为力了,所以网络管理是一项迫切的任务。,1.网络管理概述,网络管理简称网管,简单地讲就是指采用某种技术和策略以保证整个网络系统能够持续、稳定、安全、可靠和高效地运行,对网络所实施地一系列方法和措施。它不仅涉及网络设备,而且还涉及多个不同的标准,是一个比较复杂的系统。,2.网络管
19、理的功能,在实际网络管理过程中,网络管理应具有的功能非常广泛,包括很多方面。国际标准化组织在ISO/IEC 7498-4文档中定义了网络管理的5大功能:,(1)配置管理 (2)性能管理 (3)故障管理 (4)安全管理 (5)计费管理,3.简单网络管理协议SNMP,简单网络管理协议(Simple Network Management Protocol,SNMP)是最早提出的网络管理协议之一,该协议基于简单网关监视协议(Simple Gateway Monitor Protocol,SGMP)。它一推出就得到了广泛的应用和支持,特别是很快得到了数百家厂商的支持,其中包括IBM、HP、SUN等大公司和厂商。,SNMP网络管理模型由四部分组成:,网络管理站; 被管设备; 管理信息库(MIB); 管理协议(SNMP)。,
