第七章：局域网安全与管理

局域网技术与组网工程第七章局域网安全与管理主要内容7.1网络安全概述7.2网络系统安全技术和网络安全产品7.3安全管理7.4局域网安全解决方案7.5本章小结7.6习题与实践@2010，ZZTIAllRightReserved本章学习目标掌握网络安全的概念、技术特征了解网络安全防范体系、安全技术评估标准了解常见网络安全技术和相关产品了解网络安全管理的概念、实现了解局域网安全解决方案的设计@2010，ZZTIAllRightReserved网络安全问题日益严峻网络遭受攻击的可能情况@2010，ZZTIAllRightReserved7.1网络安全概述7.1.1网络安全的概念计算机网络安全（ComputerNetworkSecurity），简称网络安全，泛指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。@2010，ZZTIAllRightReserved网络信息安全的内涵在网络出现以前，信息安全指对信息的机密性、完整性和可获性的保护，即面向数据的安全。互联网出现以后，信息安全除了上述概念以外，其内涵又扩展到面向用户的安全。网络安全从其本质上讲就是网络上信息的安全，指网络系统的硬件、软件及其系统中的数据的安全。网络信息的传输、存储、处理和使用都要求处于安全的状态。@2010，ZZTIAllRightReserved网络安全的内容网络实体安全主要指计算机机房的物理条件、物理环境及设施的安全标准；计算机硬件、附属设备及网络传输线路的安装及配置等。软件安全主要是保护网络系统不被非法侵入、系统软件与应用软件不被非法复制、篡改等。数据安全即保护数据不被非法存取，确保其完整性、一致性、机密性等。安全管理是要保证运行时突发事件的安全处理等。@2010，ZZTIAllRightReserved7.1网络安全概述7.1.2网络安全技术特征网络安全具有五大特征，这些特征反映了网络安全的基本属性、要素与技术方面的重要特征。1．保密性（confidentiality）2．完整性（integrity）3．可用性（availability）4．可控性（controllability）5．不可否认性（Non-repudiation）@2010，ZZTIAllRightReserved7.1网络安全概述7.1.3网络安全防范体系1．物理层安全（物理环境的安全性）通信线路的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质）物理设备的安全软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障等等。机房的安全2．系统层安全（操作系统的安全性）网络内使用的操作系统的安全，主要表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。3．网络层安全（网络的安全性）该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。4．应用层安全（应用的安全性）该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生5．管理层安全（管理的安全性）安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等@2010，ZZTIAllRightReserved7.1网络安全概述7.1.4安全技术评估标准1．TCSEC标准2．欧洲ITSEC标准3．加拿大CTCPEC评价标准4．美国联邦准则FC5．联合公共准则CC标准6．BS7799标准7．我国有关网络信息安全的相关标准@2010，ZZTIAllRightReserved7.1网络安全概述7.1.4安全技术评估标准1．TCSEC标准橘皮书(TrustedComputerSystemEvaluationCriteria—TCSEC)计算机系统安全评估的第一个正式标准，具有划时代的意义1970年，美国国防科学委员会提出，1985年由美国国防部公布TCSEC将计算机系统的安全划分为四个等级、七个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密程度的不同标准。D级和A级暂时不分子级。@2010，ZZTIAllRightReserved网络信息安全等级与标准

1) D级 D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。 属于这个级别的操作系统有DOS、Windows9x、Apple公司的MacintoshSystem7.1。@2010，ZZTIAllRightReserved网络信息安全等级与标准

2) C1级 C1级又称有选择地安全保护或称酌情安全保护(DiscretionnySecurityProtection)系统，它要求系统硬件有一定的安全保护(如硬件有带锁装置，需要钥匙才能使用计算机)，用户在使用前必须登记到系统。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限等。 它描述了一种典型的用在UNIX系统上的安全级别。这种级别的系统对硬件有某种程度的保护，但硬件受到损害的可能性仍然存在。用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对信息拥有什么样的访问权。@2010，ZZTIAllRightReserved网络信息安全等级与标准

C1级保护的不足之处在于用户可以直接访问操纵系统的根目录。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员所允许的更高权限，如改变和控制用户名。@2010，ZZTIAllRightReserved网络信息安全等级与标准

3) C2级C2级又称访问控制保护，它针对C1级的不足之处增加了几个特性。C2级引进了访问控制环境(用户权限级别)的增加特性，该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事情加以审计(Audit)，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪里登录等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。@2010，ZZTIAllRightReserved网络信息安全等级与标准

使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。不要把这些身份认证和应用于程序的用户ID许可(SUID)设置和同组用户ID许可(SGID)设置相混淆，身份认证可以用来确定用户是否能够执行特定的命令或访问某些核心表。例如，当用户无权浏览进程表时，它若执行命令就只能看到它们自己的进程。 授权分级指系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录的权限。 能够达到C2级的常见的操作系统有UNIX系统、XENIX、Novell3.x或更高版本、WindowsNT和Windows2000。@2010，ZZTIAllRightReserved网络信息安全等级与标准

4) B1级

B级中有三个级别，B1级即标号安全保护(LabeledSecurityProtection)，是支持多级安全(如秘密和绝密)的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。即在这一级别上，对象(如盘区和文件服务器目录)必须在访问控制之下，不允许拥有者更改它们的权限。 B1级安全措施的计算机系统，随着操作系统而定。政府机构和系统安全承包商是B1级计算机系统的主要拥有者。@2010，ZZTIAllRightReserved网络信息安全等级与标准

5)B2级 B2级又叫做结构保护(StructuredProtection)级别，它要求计算机系统中所有的对象都加标签，而且给设备(磁盘，磁带和终端)分配单个或多个安全级别。它提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。

6)B3级 B3级又称安全域(SecurityDomain)级别，它使用安装硬件的方式来加强域。例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。@2010，ZZTIAllRightReserved网络信息安全等级与标准

7) A级 A级也称为验证保护或验证设计(VerityDesign)级别，是当前的最高级别，它包括一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布(TrustedDistribution)的含义是硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。 可信计算机安全评价标准主要考虑的安全问题大体上还局限于信息的保密性，随着计算机和网络技术的发展，对于目前的网络安全不能完全适用。@2010，ZZTIAllRightReserved7.1网络安全概述7.1.4安全技术评估标准2．国外其他相关标准欧洲四国（英、法、德、荷）在吸收了TCSEC的成功经验基础上，于1989年联合提出了信息技术安全评价准则（InformationTechnologySecurityEvaluationCriteria，ITSEC），俗称欧洲的白皮书，其中，首次提出了信息安全的机密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度。之后，美国又联合以上诸国和加拿大，并会同国际标准化组织（ISO）共同提出通用安全评估准则（CommandCriteriaforITSecurityEvaluation，CC），并于1991年宣布，1995年发布正式文件。CC已经被上述5个国家承认为代替TCSEC的评价安全信息系统的标准，且将发展成为国际标准。@2010，ZZTIAllRightReserved7.1网络安全概述7.1.4安全技术评估标准3．国内安全评估通用准则由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895—1999《计算机信息系统安全保护等级划分准则》，将计算机安全保护划分为5个级别：用户自主保护级。系统审计保护级。安全标记保护级。结构化保护级。访问验证保护级。评估准则的制定为我们评估、开发、研究计算机系统的安全提供了指导准则。@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

单一的网络安全技术和网络安全产品无法解决网络安全的全部问题网络安全需要从体系结构的角度，用系统工程的方法，根据联网环境及其应用的实际需要提出综合的安全解决方案。要实施一个完整的网络安全系统，至少应该包括三类措施：1．社会的法律、法规以及企业的规章制度和安全教育等外部软件环境。2．技术方面的措施，如修补和阻止网络漏洞、网络防毒、加密、认证以及防火墙技术。3．审计和管理措施，这方面措施同时也包含了技术与社会措施。@2010，ZZTIAllRightReserved上级网络网间密码机防火墙防火墙Web/mail公开服务器入侵检测系统

涉密服务器园区网服务器www/ftp/vod用户安装防病毒软件漏洞扫描

初识网络安全组件某网络信息中心和园区网安全系统示意图网络安全解决方案概述1在接入路由器内侧加装防火墙形成第一道安全屏障;在防火墙内侧关键点部署入侵检测系统，防护内、外网络攻击，构成第二道安全闸门；设置防病毒服务器，全网各主机安装防病毒系统；配置漏洞扫描系统，对全网内主机不定期进行漏洞扫描，堵塞入侵漏洞；用第二防火墙、涉密服务器隔离和控制对保密系统子网的访问；如有必要，可在接入路由器内/外侧加装密码机；安全管理：两级机构＋规章制度。cisco3560cisco2800cisco2960DMZMBSA保密系统@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.1密码与加密技术1.密码技术的基本概念加密和解密过程共同组成加密系统原始数据（也称为明文，plaintext）经过加密变换后而产生的数据称为密文（ciphertext）由明文变为密文的过程称为加密（Encryption），通常由加密算法来实现。将密文还原为原始明文的过程称为解密（Decryption），它是加密的反向处理，通常由解密算法来实现。@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

2.常用加密技术1）对称加密技术2）非对称加密技术3）单向加密技术4）实用综合加密方法5）无线网络加密技术

@2010，ZZTIAllRightReserved数据机密性保护拨号服务器PSTN

Internet区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线DMZ区域WWWMailDNS密文传输明文传输明文传输@2010，ZZTIAllRightReserved数据完整性保护内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行Hash加密后的数据包摘要Hash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

3.实用加密方法及协议（1）PGP（PrettyGoodPrivacy）：PGP是一种对电子邮件和文件进行加密与数字签名的方法

（2）S/MIME：邮件加密两把锁：PGP和S/MIME（SecureMultipurposeInternetMailExtensions，多用途网际邮件扩充协议）。主要功能就是身份的认证和传输数据的加密（3）SSL：SSL是Netscape公司所提出的安全保密协议，在浏览器和Web服务器之间构造安全通道来进行数据传输

（4）HTTPS：HTTPS（SecureHypertextTransferProtocol）安全超文本传输协议，由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果

（5）SET：应用于Internet上的以银行卡为基础进行在线交易的安全标准，这就是“安全电子交易”（SecureElectronicTransaction，简称SET）。它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.2防火墙技术防火墙是位于不同网络或网络安全域之间的一系列部件的组合，实现网络和信息安全的访问控制。

防火墙的主要目的：判断IP，只让安全的IP数据通过；防止外部网络的危险在内部网络蔓延。防火墙的定义防火墙是指设置在被保护网络（内联子网或局域网）与公共网络（如因特网）或其他网络之间并位于被保护网络边界的、对进出被保护网络信息实施“通过／阻断／丢失”控制的硬件

状态包过滤和应用代理技术仍然是局域网防火墙市场的主流技术，但这两种技术正在融合。@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.2防火墙技术部署防火墙企业网络拓扑图@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.2防火墙技术（1）以防火墙的软硬件形式分类软件防火墙：Checkpoint系列等

硬件防火墙：NetScreen、FortiNet和Cisco等

芯片级防火墙

（2）以防火墙技术分类包过滤型应用代理型（3）以防火墙的体系结构分类单一主机防火墙路由器集成式防火墙分布式防火墙（4）以防火墙的性能分类百兆级防火墙千兆级防火墙

防火墙分类@2010，ZZTIAllRightReserved

防火墙的不足

防火墙性能有限：1．防火墙不能防止内部攻击；2．防火墙不能防止未经过防火墙的攻击；3．防火墙不能完全防止有病毒的软件的传送；

4．防火墙不易防止数据驱动型（木马）攻击。7.2网络系统安全技术和网络安全产品

7.2.2防火墙技术@2010，ZZTIAllRightReserved设：某企业的局域网有127台计算机，其地址范围为：–27,其中地址为–的主机为服务器，现要求作如下设置：地址为和的为内部服务器，不允许外网访问，而其余服务器均可以对外服务。但地址为的服务器又允许企业在外地的分公司访问，外地分公司的主机地址范围为–5.

序号方向源地址子网掩码源端口目标地址子网掩码目标端口操作1内-外280000Y2外-内480550Y3外-内000550N4外-内000550N5外-内000480Y@2010，ZZTIAllRightReserved身份认证的概念身份认证（IdentityandAuthenticationManagement）是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。7.2网络系统安全技术和网络安全产品

7.2.3身份认证与访问控制认证和访问控制模型@2010，ZZTIAllRightReserved身份认证技术方法（1）用户名/密码方式

（2）IC卡认证

（3）动态口令

（4）生物特征认证

（5）USBKey认证

（6）CA认证

7.2网络系统安全技术和网络安全产品

7.2.3身份认证与访问控制@2010，ZZTIAllRightReserved访问控制技术（1）概念：访问控制（AccessControl）指对网络中的某些资源访问进行的控制，是在保障授权用户能够获得所需资源的同时拒绝非授权用户的安全机制

（2）访问控制三要素主体客体控制策略（3）访问控制的内容

认证

控制策略实现安全审计（4）访问控制策略

7.2网络系统安全技术和网络安全产品

7.2.3身份认证与访问控制@2010，ZZTIAllRightReserved访问控制技术（4）访问控制策略

入网访问控制网络权限控制目录级安全控制属性安全控制网络服务器安全控制网络监测和锁定控制策略防火墙控制策略

7.2网络系统安全技术和网络安全产品

7.2.3身份认证与访问控制@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.4漏洞扫描技术漏洞扫描器部署图

@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.4漏洞扫描技术

1．漏洞概念与分类漏洞是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。

入侵者可利用的漏洞大致分为三类：

（1）网络传输和协议的漏洞。攻击者利用网络传输时对协议的信任以及网络传输的漏洞进入系统。（2）系统的漏洞。攻击者可以利用系统内部或服务进程的BUG和配置错误进行攻击。（3）管理的漏洞。攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息，包括口令、用户名等。

@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.4漏洞扫描技术

2．漏洞扫描技术分类（1）基于应用的检测技术（2）基于主机的检测技术（3）基于目标的漏洞检测技术（4）基于网络的检测技术（5）综合检测技术@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.4漏洞扫描技术

3．常用的漏洞扫描工具网络扫描器端口扫描器

Web应用程序扫描程序@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.5入侵检测技术入侵检测系统部署拓扑图

@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.5入侵检测技术

1．入侵检测系统概念及功能入侵检测系统（Intrusion-DetectionSystem，下称“IDS”）

IDS最早出现在1980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》的技术报告中提出了IDS的概念。

入侵检测系统概念：入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的软件与硬件的组合系统。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术

@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.5入侵检测技术

2．入侵检测系统分类（1）根据采用的技术和检测原理分类异常检测（AnormalyDetection）误用检测（MisuseDetection）特征检测（2）按照数据源分类基于主机（Host-based）的入侵检测系统基于网络（Netwok-based）的入侵检测系统分布式入侵检测系统（3）按照工作方式分类离线检测系统在线检测系统@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.5入侵检测技术

3．常用的入侵检测工具

Cisco公司的NetRanger

NetwokAssociates公司的CyberCopInternetSecuritySystem公司的RealSecure

以及我国启明星晨产品和北方计算中心的NIDSdetector等在网络入侵检测系统中，有多个久负盛名的开放源码软件，它们是Snort、NFR、Shadow等，其中Snort的社区（http://）非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品。@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.5入侵检测技术

4．选择入侵检测系统的要点

（1）系统的价格（2）特征库升级与维护的费用（3）对于网络入侵检测系统，最大可处理流量（包/秒PPS）是多少。（4）产品效能及响应（5）产品的可伸缩性（6）运行与维护系统的开销（7）产品支持的入侵特征数（8）产品有哪些响应方法（9）是否通过了国家权威机构的评测@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.6网络病毒防治技术

1．病毒的概念计算机病毒，英文名字ComputerViruses，简称CV

目前对于计算机病毒最流行的定义是：一段附着在其他程序上的可以实现自我繁殖的程序代码。计算机病毒可以从不同的角度分类

按其表现性质可分为良性的和恶性的按激活的时间可分为定时的和随机的按其入侵方式可分操作系统型病毒、原码病毒、外壳病毒、入侵病毒按其是否有传染性又可分为不可传染性和可传染性病毒按传染方式可分磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒和一般应用程序传染的计算机病毒按其病毒攻击的机种分类，攻击微型计算机的，攻击小型机的，攻击工作站的。@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.6网络病毒防治技术

2．单机环境下的网络病毒防治技术（1）用防毒软件保护电脑，及时升级防毒软件（2）不要打开不明来源的邮件（3）使用比较复杂的密码（4）使用防火墙，防止电脑受到来自互联网的攻击（5）不要让陌生用户连接到用户个人的计算机上（6）不使用互联网时及时断开连接（7）备份电脑数据（8）定期下载安全更新补丁（9）定期检查计算机（10）进行主要的防护工作。关注在线安全、了解和掌握计算机病毒的发作时间，并事先采取措施。@2010，ZZTIAllRightReserved7.2网络系统安全技术和网络安全产品

7.2.6网络病毒防治技术

3.网络环境下的网络病