第10章 网络安全技术ppt课件

.,1,计算机网络安全,主讲人刘晓辉,2,.,第10章网络安全技术,网络安全的威胁,网络安全解决方案,网络稳定性方案,网络安全设备,3,.,10.1网络安全的威胁,网络面临的威胁网络安全威胁根本源自于网络自身的脆弱性。网络的开放性和安全性本身即是一对固有矛盾，无法从根本上予以调和。再加上基于网络的诸多已知和未知的人为与技术安全隐患，网络很难实现自身的根本安全当网络不仅作为信息传递的平台和工具，而且担当起控制系统的中枢时，运行于网络平台的各种应用和服务，也必然地处于相应的威胁中。,4,.,10.1网络安全的威胁,威胁网络安全的因素系统漏洞威胁,5,.,10.1网络安全的威胁,威胁网络安全的因素人为因素威胁操作失误恶意攻击黑客入侵踩点、扫描、突破、获得管理权限、数据窃取、留取后门程序、清理痕迹。,6,.,10.2网络安全解决方案,网络信息安全系统体系结构计算机安全通信保密安全信息安全,7,.,10.2网络安全解决方案,网络信息安全系统体系结构计算机安全通信保密安全信息安全安全机制访问控制保密性完整性可用性不可抵赖性,安全标准信息安全标准的产生国际组织信息安全标准国内组织信息安全标准美国国防部安全计算机系统评估标准,8,.,10.2网络安全解决方案,网络安全体系结构体系结构环境安全设备安全媒体安全网络临界点安全,网络结构规划内部网不同网络安全域的隔离及访问控制网络安全检测审计与监控网络防病毒网络备份系统,9,.,10.2网络安全解决方案,网络安全体系结构系统安全对操作系统进行安全配置，提高系统的安全性。尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，以提高系统的安全性。网络上的服务器和网络设备尽可能不采取同一家的产品。通过专业的安全工具（安全检测系统）定期对网络进行安全评估。,10,.,10.2网络安全解决方案,网络安全体系结构信息安全在局域网络内，对不同的信息进行区域规划，执行严格的授权访问机制。将所有敏感信息都集中保存在网络内的文件服务器中制定严格的文件访问权限将不同类型的用户划分于不同的用户组或组织单位，并为用户组和组织单位指定相应的访问权限安装RMS服务，严格限制对敏感文件的操作其他基于交换机和路由器的安全措施,11,.,10.2网络安全解决方案,网络安全体系结构应用安全应用系统的安全跟具体的应用有关，并涉及到信息、数据的安全性，主要考虑通信的授权，传输的加密和审计记录。管理的安全建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。,12,.,10.2网络安全解决方案,网络安全关键技术网络设备的安全地址和端口转换控制虚拟终端访问端口安全设置访问列表MAC地址绑定VLAN安全控制HTTP访问阻止蠕虫病毒,服务器安全网络连接策略账户安全策略本地安全策略客户端安全系统自动更新安装防病毒软件使用代理服务器安装个人防火墙,13,.,10.2网络安全解决方案,网络安全关键技术无线网络安全加密传输身份验证修改SSID并禁止SSID广播禁用DHCP服务禁用或修改SNMP设置使用访问列表放置无线AP和天线,14,.,10.2网络安全解决方案,安全管理安全管理规范负责原则、有限原则、分离原则网络管理管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理，同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描，分析的安全漏洞，并采取相应的措施。安全管理安全管理的主要功能指对安全设备的管理；监视网络危险情况；身份认证；对资源或用户动态的或静态的审计；对违规事件，自动生成报警或生成事件消息；口令管理；密钥管理；冗余备份。,15,.,10.3网络稳定性方案,数据备份网络服务的备份,16,.,10.3网络稳定性方案,数据备份数据库的备份数据库备份是指对数据库结构和数据进行拷贝，以便在数据库出现故障的时候能够恢复数据库。数据库故障是难以预测的，因此必须采取安全措施尽量防止数据库出现故障。Access数据库的备份SQLServer数据库备份,17,.,10.3网络稳定性方案,网络设备安全地址和端口转换静态地址转换动态地址转换端口复用地址,18,.,10.3网络稳定性方案,网络设备安全控制虚拟终端访问Switch#configureterminalSwitch（config）#access-listaccess-lis-numberpermitip-addressSwitch（config）#linevty04Switch（config-line）#access-classaccess-class-numberinSwitch（config-line）#endSwitch#,19,.,10.3网络稳定性方案,网络设备安全端口安全MAC地址的静态指定。当启用了端口安全功能时，网站管理员可以将MAC地址进行编码。这种方法虽然安全，但在管理时比较麻烦。MAC地址的动态学习。如果没有指定MAC地址，端口将为安全性打开学习功能，在端口上被发现的第一个源MAC地址将成为“安全”MAC地址。,20,.,10.3网络稳定性方案,网络设备安全设置访问列表创建标准IP访问列表的命令格式是：Switch（config-if）#access-listaccess-list-numbedeny|permit创建扩展IP访问列表的命令格式是：Switch（config-if）#access-listaccess-list-numbedeny|permitprotocolsourcesource-wildcarddestinationdestination-wildcard当利用访问列表阻止数据流进入或离开某端口时：Switch（config-if）#ipaccess-groupaccess-list-numberin|out,21,.,10.3网络稳定性方案,网络设备安全MAC地址绑定使用下述命令，可将MAC地址与IP地址绑定在一起：Switch（config-if）#arpip-addressmac-addressarpa使用下述命令，可将绑定在一起的MAC地址与IP地址拆开：Switch（config-if）#noarpip-addressmac-addressarpa,22,.,10.3网络稳定性方案,网络设备安全VLAN安全在集中式网络环境下，通常将敏感部门的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有其他任何用户节点，从而较好地保护这些主机中的资源。,23,.,10.3网络稳定性方案,网络设备安全控制HTTP访问CiscoIOS允许通过Web浏览器管理网络设备，所需的HTTP服务器软件可在IOS11.0及以后的版本中找到。若欲关闭HTTP远程管理服务，可使用下述命令：Switch（config）#noiphttpserver,24,.,10.3网络稳定性方案,网络设备安全阻止蠕虫病毒创建扩展访问列表将访问列表应用于VLAN,25,.,10.3网络稳定性方案,网络连接和设备冗余连接冗余EtherChannel,26,.,10.3网络稳定性方案,网络连接和设备冗余中心设备冗余网关负载均衡协议,27,.,10.3网络稳定性方案,网络连接和设备冗余模块冗余,28,.,10.4网络安全设备,网络防火墙网络防火墙概述防火墙最基本的功能就是将内、外网络隔离开，不仅确保不让非法用户入侵，更要保证防止内部信息的外泄。防火墙处于两个网络通信之间的一个检查点，所有数据包必须通过防火墙。防火墙设备根据安全策略，对所经过的数据包进行监视、过滤和检查，达到保证网络安全的目的。,29,.,10.4网络安全设备,网络防火墙网络防火墙技术数据包过滤技术代理技术状态分析技术,30,.,10.4网络安全设备,网络防火墙防火墙的局限性与脆弱性无法检测或拦截嵌入到普通流量中的恶意攻击代码。墙无法发现内部网络中的攻击行为。不经过防火墙的数据，防火墙无法检查。绝大多数单位因为不方便，不要求防火墙防内。防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙不能防止人为或自然的破坏。当防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。,31,.,10.4网络安全设备,网络防火墙防火墙的局限性与脆弱性黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止其攻击的。防火墙并不具备查杀病毒的功能。防火墙不能防止数据驱动式的攻击。防火墙内部的一个合法用户主动泄密，防火墙无能为力。防火墙保护别人有时却无法保护自己，目前还没有厂商保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。,32,.,10.4网络安全设备,网络防火墙防火墙在网络中的位置及连接常用连接方式,33,.,10.4网络安全设备,网络防火墙防火墙在网络中的位置及连接连接局域网和广域网,34,.,10.4网络安全设备,网络防火墙防火墙在网络中的位置及连接连接内部和第三方网络,35,.,10.4网络安全设备,网络防火墙防火墙在网络中的位置及连接连接同一部门的不同网络,36,.,10.4网络安全设备,入侵检测系统IDSIDS概述,37,.,10.4网络安全设备,入侵检测系统IDS的缺陷：检测范围不够广检测效果不理想无力防御UDP攻击只能检测，不能防御过分依赖检测主机难以突破百兆瓶颈性能有待提高伸缩性差部署难度大安全策略不够丰富,38,.,10.4网络安全设备,入侵检测系统IDSIDS的优势缺陷：整体部署，实时检测，对用户当前的操作进行判断，可及时发现入侵事件。对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。独立于所检测的网络，使黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。同一网段或者一台主机上一般只需部署一个监测点就近监测，即速度快、成本低。,39,.,10.4网络安全设备,入侵检测系统IDS与防火墙联动,40,.,10.4网络安全设备,入侵防御系统IPS,41,.,10.4网络安全设备,入侵防御系统IPS的技术优势：在线安装实时阻断先进的检测技术特