第七单元 局域网安全技术.ppt

第六单元局域网安全技术 知识目标1 理解网络安全现状 2 理解网络面临的威胁 3 理解计算机网络不安全根源 4 掌握网络安全内容和主要指标 5 掌握网络安全策略 6 掌握网络安全标准和等级 7 网络安全技术 第六单元局域网安全技术 能力目标1 防病毒软件的使用 2 掌握防火墙安装和配置 3 掌握Windows2000安全策略配置 4 掌握Windows2000系统安全技术 第六单元局域网安全技术 知识背景网络安全现状 第六单元局域网安全技术 知识背景网络安全面临威胁自然灾害威胁自然灾害威胁主要指火灾 地震 飓风 雷击 水灾等 偶然或人为事故造成的威胁主要包括软硬件故障引发破坏 人们的误操作引发的系统故障 网络攻击所谓网络攻击是指行为人利用各种技术和手段对计算机系统进行非法操作 对计算机系统造成损害的行为 第六单元局域网安全技术 知识背景网络安全面临威胁计算机病毒计算机犯罪信息战 第六单元局域网安全技术 知识背景网络不安全的根源物理安全问题物理安全问题还包括设备的位置安全 限制物理访问 物理环境安全和地域因素等 网络拓扑结构的安全缺陷系统软件存在安全缺陷和漏洞协议存在安全隐患Internet自身特点人为因素 第六单元局域网安全技术 知识背景计算机网络含义计算机网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 第六单元局域网安全技术 知识背景计算机网络安全的内容计算机网络实体安全软件系统安全计算机网络中的数据安全计算机网络安全管理 第六单元局域网安全技术 知识背景计算机网络安全性指标保密性 Confidentiality 保密性是指保障计算机网络与信息系统中有保密要求的信息只能供经过允许的人员经过允许的方式使用的一种特性 保密性是针对数据的 完整性 Integrity 完整性是指保障计算机网络与信息系统中的信息是安全的 准确的 有效的 不因种种不安全因素而改变原有的内容 形式 流向的一种特性 即不能为未授权的第三方修改 第六单元局域网安全技术 知识背景计算机网络安全性指标 续 可用性 Availability 可用性就是保障计算机网络与信息系统中的资源无论何时 无论经过何种处理 只要需要即可用 不因系统故障或其他原因使资源失效 丢失 或妨碍对资源的使用 也不能使有严格时间要求的服务不能得到及时响应的一种特性 真实性 Authenticity 真实性是保障信息和系统中实体可信的一种特性 主要是指对信息完整性 系统实体的确认 第六单元局域网安全技术 知识背景计算机网络安全性指标 续 实用性 Utility 实用性是对授权范围内的信息传播和内容具有控制能力的一种特性式 占有性 Possession 占有性保障实体对信息的占有权的一种特性 例如若系统中信息存储介质被盗用 则会导致对信息占有权的丧失 第六单元局域网安全技术 知识背景计算机网络安全策略计算机网络与信息系统安全策略是指在一个特定的环境里 为保证提供一定级别的计算机网络与信息安全保护所必须遵守的规则 先进的计算机网络与信息安全技术是计算机网络与信息系统安全的根本保证 严格的安全管理 制订严格的法律 法规 第六单元局域网安全技术 知识背景国外主要的安全评价准则及其关系 第六单元局域网安全技术 知识背景我国的安全标准 GB 17859 1999 公安部组织制定了 计算机信息系统安全等级划分准则 国家标准 准则规定了计算机系统安全保护能力的五个等级 保护能力随着安全保护等级的增高而逐渐增强 而且高保护等级包含了次高保护级的全部保护能力 该准则将信息系统安全分为5个等级 分别是 自主保护级 系统审计保护级 安全标记保护级 结构化保护级和访问验证保护级 第六单元局域网安全技术 知识背景安全技术概述信息安全技术主要有 信息加密技术 数字签名技术 信息隐藏 数字水印技术等技术 网络安全技术主要有 入侵检测技术 防火墙技术 安全网关保密技术 安全路由技术 安全通信协议 VPN技术 系统安全技术主要有身份认证 访问控制 密钥管理技术等 第六单元局域网安全技术 知识背景防火墙基本概念防火墙 Firewall 是一种在内部网络与外部网络之间的界面上构造的一个保护层或在网络边界上建立的网络通信监控系统 并强制所有的连接都必须经过此保护层或系统 在此保护层进行检查和连接 以保障计算机网络的安全 只有那些被授权的通信才能通过此保护层 从而保护内部网络资源免遭非法入侵的系统 第六单元局域网安全技术 知识背景防火墙的结构 第六单元局域网安全技术 知识背景防火墙功能1 防火墙是网络安全的屏障 可以强化网络安全策略 防火墙可以对网络存取和访问进行监控审计 防火墙可以防止内部信息的外泄 防火墙保护脆弱的服务并进行集中的安全管理 第六单元局域网安全技术 知识背景防火墙的分类根据所用技术的不同来分类可分为软件防火墙 硬件防火墙和软硬一体化防火墙三类 根据应用对象的不同来分类可分为企业级防火墙与个人防火墙 根据防御方式的不同来分类可分为包过滤型防火墙 应用网关型 防火墙和代理服务型防火墙 复合型防火墙等四种 第六单元局域网安全技术 学生实作1几种网络防火墙的配置1 天网防火墙的配置 在天网防火墙的主面板上点击 系统设置 按钮 在弹出的 系统设置 窗口中 点击 规则设定 中的 向导 见下页 就会弹出设置向导 第六单元局域网安全技术 学生实作1几种网络防火墙的配置1 天网防火墙的配置图示 续上 学生实作1几种网络防火墙的配置1 天网防火墙的配置图示 续上 第六单元局域网安全技术 在 安全级别设置 对话框中选择好安全级别 局域网内的用户可以选择 低 后再点击 下一步 按钮 进入 局域网信息设置 窗口 勾选 我的电脑在局域网中使用 软件便会自动探测本机的IP地址并显示在下方 学生实作1几种网络防火墙的配置2 江民黑客防火墙的配置 在这款防火墙的主界面上点击 IP规则设置 按钮 弹出IP规则列表 在这个IP规则列表中 可找到和局域网有关的两条IP规则 允许本机连接局域网内的其它机器 局域网内的其它机器访问本机 TCP 见下页 第六单元局域网安全技术 学生实作1几种网络防火墙的配置2 江民黑客防火墙的配置 配置图示如下 续上 第六单元局域网安全技术 学生实作1几种网络防火墙的配置2 江民黑客防火墙的配置 续上 如果要修改 局域网内的其它机器访问本机 TCP 规则 可点击该规则所对应的编辑按钮 打开 反黑王规则设定 对话框 在其中的 对方IP地址 下拉列表中选择 地址范围 并将本局域网的网段添加进来即可 如果你真的不希望被网内的其他用户访问 也可以在 局域网内的其它机器访问本机 这条规则内进行设置 第六单元局域网安全技术 学生实作1几种网络防火墙的配置3 金山网镖防火墙的配置 在金山网镖的主界面中 点击 共享管理 选项卡 在 共享管理 窗口列表中便会列出当前所有的共享 选择需要编辑的共享 然后在 共享管理 页面上方通过点击 编辑 删除 添加 等图标 便可对共享文件进行管理 另外 如果你想暂时中止某个文件夹的共享 只需要点击该文件夹右侧的 禁止 即可 见下页 第六单元局域网安全技术 学生实作1几种网络防火墙的配置3 金山网镖防火墙的配置 续上 第六单元局域网安全技术 学生实作1几种网络防火墙的配置3 金山网镖防火墙的配置 续上 想要在局域网内能够正常互访 我们还需要做以下设置 在金山网镖的主窗口菜单栏上点击 工具 综合设置 IP设置 勾选 我的电脑处于局域网中 复选框 点击 确定 按钮使设置生效 第六单元局域网安全技术 第六单元局域网安全技术 案例分析案例1 Win2000系统安全隐患与防范1 Win2000操作系统存在的安全隐患1 安装隐患 将服务器接入网络内安装 Windows2000Server操作系统在安装时存在一个安全漏洞 当输入Administrator密码后 系统就自动建立了ADMIN 的共享 但是并没有用刚刚输入的密码来保护它 这种情况一直持续到再次启动后 在此期间 任何人都可以通过ADMIN 进入这台机器 同时 只要安装一结束 各种服务就会自动运行 而这时的服务器是满身漏洞 计算机病毒非常容易侵入 第六单元局域网安全技术 案例分析案例1 Win2000系统安全隐患与防范 将服务器接入网络内安装 操作系统与应用系统共用一个磁盘分区 在安装操作系统时 将操作系统与应用系统安装在同一个磁盘分区 会导致一旦操作系统文件泄露时 攻击者可以通过操作系统漏洞获取应用系统的访问权限 从而影响应用系统的安全运行 采用FAT32文件格式安装 FAT32文件格式不能限制用户对文件的访问 这样可以导致系统的不安全 第六单元局域网安全技术 案例分析案例1 Win2000系统安全隐患与防范 采用缺省安装 缺省安装操作系统时 会自动安装一些有安全隐患的组件 如 IIS DHCP DNS等 导致系统在安装后存在安全漏洞 系统补丁安装不及时不全面 在系统安装完成后 不及时安装系统补丁程序 导致病毒侵入 第六单元局域网安全技术 案例分析案例1 Win2000系统安全隐患与防范2 运行隐患 默认共享 系统在运行后 会自动创建一些隐藏的共享 这些默认共享给系统的安全运行带来了很大的隐患 默认服务 系统在运行后 自动启动了许多有安全隐患的服务这些服务在实际工作中如不需要 可以禁用 安全策略 系统运行后 默认情况下 系统的安全策略是不启作用的 这降低了系统的运行安全性 管理员帐号 系统在运行后 Administrator用户帐号是不能被停用的 这意味着攻击者可以不停地尝试猜测账号的口令 第六单元局域网安全技术 案例分析案例1 Win2000系统安全隐患与防范 页面文件 页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件 页面文件中可能含有一些敏感的资料 有可能造成系统信息的泄露 共享文件 默认状态下 每个人对新创建的文件共享都拥有完全控制权限 这是非常危险的 Dump文件 Dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料 然而 它也能够给攻击者提供一些敏感信息 造成信息泄露 WEB服务 系统本身自带的一些服务存在安全隐患 第六单元局域网安全技术 案例分析案例1 Win2000系统安全隐患与防范2 Win2000操作系统的安全防范对策1 安装