版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
守护网络安全项目十园
区
网
络
组
建
与
运
维项目导读一天,小飞在编写项目组工作总结时,突然发现,运维团队很大一部分工作是在处理因恶意软件、病毒、网络攻击和入侵等引起的网络故障,网络安全问题不仅影响到校园网用户的上网体验和正常工作,而且增加了网络运维团队的工作负担。在项目小组会议上,大家提出从两个方面解决这个问题,一是在今后运维过程中,多向校园网用户多宣传网络安全知识,介绍网络安全防护的基本方法和技术,提高校园网用户保护网络系统资源和信息安全的意识和能力;另一方面,在校园网络的出口、服务器等关键位置增加安全防护策略,强化网络设备的安全防护,进一步保障校园网络安全,也降低运维团队的工作量。知识导图项目目标1.了解网络安全与管理的基本内容与方法2.熟悉常用的计算机网络安全技术3.掌握计算机病毒的防治及查杀技术知识目标1.能够配置使用ACL列表控制网络访问2.能够应用防火墙对局域网进行安全配置。技能目标1.提升学生网络安全意识,理解并遵守网络安全法规和企业网络安全政策2.培养学生网络安全管理和维护的工作能力,保护用户隐私和数据安全。素养目标三级目标知识准备任务实施总结练习素质拓展目录认知网络安全与管理10.1常用的网络安全技术10.2计算机病毒与防治10.3知识准备任务实施总结练习素质拓展认知网络安全与管理10.1网络安全引申自信息安全,维护网络安全的目标也是维护网络中信息本身的安全。信息安全指对信息的保密性、完整性和可用性的保护,防止未授权者篡改、破坏和泄露信息;网络安全包括物理安全和逻辑安全两方面,物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等;逻辑安全指信息的保密性、完整性、可用性、可控性和不可否认性。知识准备任务实施总结练习素质拓展认知网络安全与管理10.1目前,影响计算机网络安全的因素是多方面的,主要包括:(1)来自外部的不安全因素,即网络上存在的攻击。在网络上,存在很多敏感信息,有些别有用心的人企图通过网络攻击的手段截获信息。(2)来自网络系统本身的,如网络中存在着硬件、软件、通信、操作系统或其他方面的缺陷与漏洞,给网络攻击者以可乘之机。也为一些网络爱好者编制攻击程序提供了练习场所。(3)网络管理者缺乏网络安全的警惕性,忽视网络安全,或对网络安全技术缺乏了解,没有制定切实可行的网络安全策略和措施。知识准备任务实施总结练习素质拓展认知网络安全与管理10.1网络管理(NetworkManagement,NM)简称网管,指通过某种策略对计算机网络中各种资源(包括硬件、软件、人力等)进行监控、配置、维护和优化的过程,其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。根据国际标准化组织的定义,网络管理有五大功能:故障管理、配置管理、计费管理、性能管理、安全管理。它涉及到监控网络性能、诊断问题、制定策略、实施安全措施、进行故障排除等活动,旨在提高网络的可靠性、安全性和效率。确保网络的正常运行提高网络性能加强网络安全优化资源利用支持业务需求12345网络管理的主要目的知识准备任务实施总结练习素质拓展计算机网络安全是一个涉及面非常广的问题,除了技术和应用层次之外,还包括管理和法律等方面。所以,计算机网络的安全性是不可判定的,只能针对具体的攻击来讨论其安全性。企图设计绝对安全可靠的网络也是不可能的。解决网络安全问题必须进行全面的考虑,包括采取安全的技术、加强安全检测与评估、构筑安全体系结构、加强安全管理、制定网络安全方面的法律和法规等。从技术上,目前计算机网络主要采用的安全措施有:常用的网络安全技术10.2网络安全访问控制数据加密.数字签名数据备份病毒防御系统漏洞检测与安全评估防火墙IDSIPSUTMVPN知识准备任务实施总结练习素质拓展调研一下你身边计算机网络所采用的网络安全措施有哪些?思考题知识准备任务实施总结练习素质拓展计算机病毒与防治10.3计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。它是一种恶意软件,计算机系统感染病毒后,在未经用户授权的情况下自我复制和传播,并对系统功能、数据或安全造成危害。计算机病毒的特点有:(1)自我复制(2)潜伏性(3)破坏性(4)隐蔽性(5)变异性(6)传播途径多样(7)盗取信息知识准备任务实施总结练习素质拓展计算机病毒与防治10.3计算机病毒的防治可以从预防、查毒、杀毒三个方面来进行,但做好计算机病毒的预防,是防治的关键。校园网安全防御个人计算机安全防御第一,网络关键路由交换设备的安全配置根据不同控制策略的要求,对校园网边界路由器、各校区核心交换机、汇聚点交换机以及楼内三层交换机分级配置合理的访问控制列表(ACL)。第二,采取静态IP地址管理模式网络中心的网管数据库里存放着全校范围内数千台接入交换机的端口与用户房间端口一一对应的信息数据,以及所有用户的详细使用信息和相关IP-MAC资料,所有这些都为建立可管理的安全校园网提供了基础。①中央集中控制病毒。②积极防范网络攻击。③统一身份认证。①安装强大的防病毒软件或杀毒软件。②使用防火墙。③更新系统和应用程序。④使用强密码和多因素身份验证。⑤谨慎对待邮件和下载。⑥加密重要数据和通信。⑦定期备份数据。知识准备任务实施总结练习素质拓展请用自已的话,列举几条个人计算机安全防御的措施与方法思考题配置ACL访问控制列表任务1
任务实施总结练习素质拓展知识准备掌握ACL列表的配置方法任务目的出于网络安全考虑,配置ACL列表,对两个校区的网络互访进行限制。任务内容CiscoPacketTracer8.1任务环境
任务实施总结练习素质拓展知识准备如图10-1所示是某校园网络拓扑,校区1与校区2网络通过路由器R1与R2连接,出于网络安全考虑,禁止校区1中192.168.10.0/24网段的流量进入校区2,同时,对于Server0,到只允许WEB访问。为实现这个目的,需要在R2上配置一个标准ACL,来阻止来自192.168.10.0/24网段的流量;在R1是配置扩展ACL,实现只允许校区1内电脑访问校区2中192.168.20.0/24段的WEB服务器(即只能访问Server0的WEB访问)。
任务实施总结练习素质拓展知识准备步骤1:启动PacketTracer,根据10-1所示拓扑,拖入相关网络设备到工作区。并按照表10-1为拓扑图中各设备与PC配置IP地址,同时,在R1与R2中分别中添加静态路由实现网络1与网络2的互通,参考命令如下,R1:iproute192.168.20.0255.255.255.010.1.1.2R2:iproute192.168.10.0255.255.255.010.1.1.1至此,校区1与校区2的网络是互通的,即PC0、PC1、PC2、PC3、Server0能相互Ping通。
任务实施总结练习素质拓展知识准备步骤2:创建标准ACL,禁止校区2中192.168.21.0/24网段的流量进入校区1。标准ACL是基于IP数据包的源IP地址作为转发或是拒绝的条件,即,所有的条件都是基于源IP地址的;基本不允许或拒绝整个协议组,它不区分IP流量类型,如Telnet、UDP等服务;标准ACL的编号范围是1-99。(1)创建ACL,参考语句如下:R2(config)#access-list11deny192.168.21.00.0.0.255R2(config)#access-list11permitany如图10-2所示,在R2的特权模式下,查看所创建的ACL。(2)应用ACL,标准ACL只能检查数据包的源IP地址,应该应用在离目标最近的路由器端口,这里所定义的11列表,可应用于R2的g0/0接口。参考语句如下:R2(config)#interfaceg0/0R2(config-if)#ipaccess-group11out(3)测试PC3可以Ping通校区2的其他电脑,比如Server0,但却Ping不通校区1的;校区2的192.168.20.0/24段(Server0)没有限制流量,所以Server0可以Ping通校区1的所有网段内电脑,比如PC0、PC1、PC2,这说明ACL列表11已起到了作用。
任务实施总结练习素质拓展知识准备步骤3:创建扩展ACL,只允许校区1内电脑访问校区2中192.168.20.0/24段的WEB服务器,并且仅允许192.168.10.0/24段的电脑可以Ping通192.168.20.0/24段的服务器。扩展ACL是基于IP数据包的源地址、目标地址、协议和端口这些条件来决定是否转发数据包,比标准ACL的控制粒度更细;扩展ACL的编号范围是100-199。(1)创建ACL,参考语句如下:R1(config)#access-list111permittcpany192.168.20.00.0.0.255eq80R1(config)#access-list111permiticmp192.168.10.00.0.0.255any如图10-3所示,在R1的特权模式下,用showaccess-lists命令可以查看所创建的ACL。(2)应用ACL扩展ACL可以检查数据包的源、目标IP地址,以及协议和端口号,最好应用到离源最近路由器端口,这样可以过滤每个特定的地址和协议,从而尽可能有效的使用有限的带宽。这里所定义的111列表,可应用于R1的g0/0接口。参考语句如下:R1(config)#interfaceg0/0R1(config)#ipaccess-group111out
任务实施总结练习素质拓展知识准备步骤3:创建扩展ACL,只允许校区1内电脑访问校区2中192.168.20.0/24段的WEB服务器,并且仅允许192.168.10.0/24段的电脑可以Ping通192.168.20.0/24段的服务器。扩展ACL是基于IP数据包的源地址、目标地址、协议和端口这些条件来决定是否转发数据包,比标准ACL的控制粒度更细;扩展ACL的编号范围是100-199。(3)测试在R1上配置的ACL列表111,除允许192.168.10.0/24段的电脑(即PC0)Ping操作外,将拒绝访问校区2中192.168.20.0/24段除Web以外的所有应用(包括ICMP、DNS、电子邮件等),也会拒绝那些没有使用标准端口的Web应用。因此,校区1的PC0、PC1、PC2都能打开Server0上的WEB服务,如图10-4所示,但只有PC0仅能Ping通Server0,而PC1、PC2Ping不通Server0,可见扩展ACL列表己经完全起作用了。配置防火墙任务2
任务实施总结练习素质拓展知识准备掌握防火墙的安全级别,熟悉防火墙的基本配置。任务目的通过检查、分析和排除网络故障,实现正常上网任务内容CiscoPacketTracer8.1任务环境
任务实施总结练习素质拓展知识准备根据网络的布局和安全需求,可以在防火墙中将网络划分为内网(Intranet)、外网(PublicInternet)和DMZ(DemilitarizedZone)三个区域,并为每个区域提供不同程度的保护。如图所示,拓扑中划分为inside(内网)、outside(外网)、DMZ(服务器区)三个区域,默认情况下,Inside区域的安全级别是100,DMZ区域的安全级别是100,Outside区域的安全级别是0,通常,高安全级别到低安全级别的流量是放行的,低安全级别到高安全级别的流量是拒绝的,相同安全级别不可以访问;即Inside与DMZ区域都可以访问Outside区域,而Outside区域不可访问Inside和DMZ区域网络。要想实现低安全级别到高安全级别访问需要借助ACL。
任务实施总结练习素质拓展知识准备步骤1:启动PacketTracer,根据图10-5所示拓扑,拖入相关网络设备到工作区。并按照表10-2为拓扑图中各设备与PC配置IP地址。
任务实施总结练习素质拓展知识准备步骤2:在ASA中配置inside(内网)、outside(外网)、DMZ(服务器区)三个区域,以及在R1、R2、S3中配置路由,参考语句如下:(1)ASA中配置ciscoasa#configureterminal……(2)R1中配置R1(config)#interfaceGigabitEthernet0/0……(3)R2中配置R2(config)#interfaceGigabitEthernet0/0……(4)S3中配置S3(config)#intvlan10……
任务实施总结练习素质拓展知识准备步骤3:测试ASA到内部各区域端口的连通性,如图10-6所示,从ASA到各区域是能Ping通的。
任务实施总结练习素质拓展知识准备步骤4:测试三个区域间的数据流量。默认情况下,ASA只对穿越的TCP/UDP流量维护状态化信息,由于ping使用icmp,所以默认是ping不通的,这里使用Telnet测试。首先,配置R1、R2、S3启用Telnet,R1的配置语句如下,R2与S3参考自行配置。R1(config)#usernameabcprivilege15password123R1(config)#linevty04R1(config-line)#loginlocalR1(config-line)#transportinputtelnetR1(config-line)#exit
任务实施总结练习素质拓展知识准备(1
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年山西省运城市中小学编制教师招聘考试备考题库及答案详解
- 2026年西藏自治区山南市中小学编制教师招聘笔试参考试题及答案详解
- 2026年江西省景德镇市中小学编制教师招聘考试备考试题及答案详解
- 2026年河南省中小学编制教师招聘笔试参考题库及答案详解
- 2026年宁波市北仑区中小学编制教师招聘笔试模拟试题及答案详解
- 2026年浙江省嘉兴市中小学编制教师招聘考试参考试题及答案详解
- 2026年莱芜市莱城区中小学编制教师招聘考试参考试题及答案详解
- 2026年吐鲁番市高昌区中小学编制教师招聘笔试备考题库及答案详解
- 2025年淄博市张店区中小学编制教师招聘考试试题及答案详解
- 2026年杭州市萧山区中小学编制教师招聘笔试参考题库及答案详解
- 新视野大学英语说课课件
- 2025年山西万家寨水务控股集团所属企业招聘笔试参考题库含答案解析
- SL485水利水电工程厂(站)用电系统设计规范
- 乘务员急救知识培训课件
- 2024秋新教材七年级语文上册读读写写汇编(注音+解释)
- DB11-T 661-2009 房屋面积测算技术规程
- 机械制图-001-国开机考复习资料
- 2025年中考复习必背外研版初中英语单词词汇(精校打印)
- 山西省太原市2024-2025学年高一历史下学期期末考试试题
- 九同安一中2022届高二上学期语文校本作业之限时训练九
- 前鼻音-后鼻音汉字
评论
0/150
提交评论