网络管理员培训-网络安全

1、网络管理者的培训、网络安全、计算机网络的快速发展、网络安全已经成为网络发展的重要课题。 互联网信息的传播速度快，隐蔽性强，很难在网络上识别用户的身份，网络犯罪、黑客攻击、有害信息的传播等问题日益严重。 互联网安全的发生和发展标志着传统的通信安全时代已经进入了信息安全时代。 另一方面，网络安全的基本概念，另一方面，网络安全的基本要素机密性：防止信息暴露在未经授权的实体和过程中。 一致性：只有授权的人才能修改数据，才能确定数据是否被篡改。 可用性：已授权的实体必须能够访问数据。 可控性：允许控制许可证范围内的信息流和行为。 可审查性：为所发生的网络安全问题提供调查的依据和手段。 2、网络安全威胁非

2、法访问信息泄露和破坏数据丢失的完整性服务攻击(DoS )网络感染病毒3、网络安全控制技术防火墙技术机密技术用户标识技术访问控制技术网络病毒防护技术漏洞扫描可靠的计算机系统评价标准，出现问题：我们建立、管理和使用的网络系统和信息系统安全吗？ 如何评价系统的安全性呢？ 1、计算机系统安全评价标准概述1983年，美国国家计算机安全中心(NCSC )是一个可靠的计算机系统评价标准(TCSEC，通称桔皮书) 90年代西欧四国(英、法、德、荷)共同制定的信息技术安全评价标准(ITSEC 提交1993年的加拿大于1993年同期公布了“加拿大可靠的计算机产品评价标准”(ctcpec )，美国于1996年公布了

3、“信息技术安全评价联邦标准”(fc )，6个国家7人于1995年5月提交了“信息技术安全评价通用标准”(cc )。 通过以CC为国际标准ISO/IEC 15408信息技术安全评价标准的最后一篇文本，可靠的计算机安全评价标准(TCSEC) TCSEC包括计算机系统的安全等级、7个等级d级的安全等级： D1的等级c级： C1和C2两种b级的安全等级： B1、B2， B3的3种a级安全等级：仅包括A1的等级D1、C1、C2、B1、B2、B3、A1的3，我国计算机信息系统的安全保护等级划分标准应在1999年2月9日，执行“中国国家信息安全评价认证中心”成立的2001年1月1日计算机信息系统安全保护等级

4、划分准则条规范规定了5个安全级别：第一级：与TCSEC对应的C1级、第二级：与tcec对应的C2级、第三级：与tcec对应的B1级、第四级：与tcec对应的B2级、第五级：与tcec对应的B3级、三级、防火墙、1、防火墙位于两个不可靠的网络之间的软件或硬件设备组合防火墙，用于控制不同网络之间的通信，并应用统一的安全策略，以防止未授权的访问和对重要的信息资源，以及系统的安全功能：过滤进出的数据包，过滤不安全的服务和非法用户，监视互联网安全，检测和记录网络攻击行为，通过防火墙的信息内容和活动控制对特殊站点的访问，被禁止的访问防火墙的相关概念不信任网络DMZ信任主机不信任主机公共IP地址保留IP地址

5、过滤地址转换，3，防火墙的基本分类和实现原理分组过滤防火墙(静态分组过滤应用层网关防火墙(动态分组过滤防火墙)状态检测防火墙(动态分组过滤防火墙)、和静态分组过滤防火墙这种类型的防火墙是定义的. cn 1020175672 aa说明书8/14页过滤规则是根据数据包的标头信息创建的。标头信息包括IP源地址、IP目的地地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP目的地端口、ICMP消息类型等。 包过滤型防火墙遵循“最小权限原则”，明确允许管理员希望通过的数据包，并禁止其他数据包。应用层网关防火墙(代理防火墙)代理防火墙也称为应用层网关(Application Gateway )防火

6、墙。 此防火墙通过代理技术参与TCP连接的全过程。 通过这种防火墙处理，从内部发送的分组可起到隐藏内部网结构的作用，就像分组来源于防火墙的外部网卡一样。 这种类型的防火墙被网络安全专家和媒体认定为最安全的防火墙。 其核心技术是代理服务器技术。 名为、状态检测防火墙(动态分组过滤防火墙)的类型的防火墙采用了动态地设置分组过滤规则的方法，以避免静态分组过滤问题。 该技术后来发展成所谓的“状态完全检测”技术。 采用此技术的防火墙可以跟踪所有建立的连接，并根据需要动态添加或删除到过滤规则中。 四、入侵检测系统(IDS )、传统网络安全系统一般采用防火墙作为安全的第一防线。 但是攻击者的技术手段越来越明

7、显，单纯的防火墙战略无法满足安全敏感部门的需要。 随之，网络环境变得越来越复杂，需要各种设备的升级、陷阱，网络管理员的工作变得越来越重，稍微的疏忽可能引起安全危险。 在这种情况下，入侵检测系统已成为安全市场上新的热点。 这是一种积极保护自己免遭攻击的网络安全技术，作为防火墙的合理补充，它帮助系统应对网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 1、入侵检测系统的功能是监视和分析用户和系统活动检查系统配置的脆弱性系统的重要资源和评价数据文件完整性统计分析已知攻击行为的异常行为的操作系统被日常管理，违反了安全策略2、入侵检测系统的分类分为主机型和网络型。 在实际使用时

8、，也可以将两者组合使用。 主机型IDS将系统日志、应用程序日志等作为数据源，也可以通过其他手段(监视系统调用等)从所在主机收集信息并分析。 优点：系统内部结构没有制约，同时利用操作系统自身提供的功能，结合异常分析，能更准确地报告攻击行为。 缺点：必须为不同的系统开发不同的程序，增加了系统负荷。 网络型IDS的数据源是网络上的数据包。 优点：很简单，只要在一个网段上安装一个或多个系统，就能监视整个网段的情况。 在此类应用程序中使用其他计算机不会增加主机负载. 缺点：现在的网络结构越来越复杂，高速网络越来越普及，这种结构显示出了局限性。 3、入侵检测系统的基本原理(1)信息收集入侵检测的基础是信息

9、收集，内容包括系统、网络、数据以及用户活动的状态和行为。 入侵检测在很大程度上取决于信息收集的可靠性和准确性。 信息源：系统和日志文件目录和文件中不良变更程序运行中不良行为物理形式的入侵信息，(2)信号分析入侵检测的核心是信号分析，对收集的信息，用模式匹配、统计分析、完整性分析三种技术手段进行了分析。 其中前两种方法用于实时入侵检测，完整性分析用于事后分析。 模式匹配：将收集的信息与已知网络入侵和系统误用模式数据库进行比较，发现违反安全策略的行为。统计分析：首先，为系统对象(用户、文件、目录、设备等)创建统计说明，并统计常用测量属性(访问次数、操作失败次数、延迟等)。 完整性分析：主要关注某个

10、文件或对象是否发生了更改，利用强大的加密机制，称为消息摘要函数，可以识别微小的变化。 五、脆弱性扫描和网络系统的安全性取决于网络系统中最弱的部分。 系统设置的变更、Hacker技术的改进、网络系统的安全性是一个动态的过程。 最有效的方法是定期对网络系统进行安全分析，发现和纠正漏洞。 漏洞扫描系统是一种自动检测远程主机或本地主机的安全漏洞的程序。 使用漏洞扫描系统，系统管理员将维护的WEB服务器的不同TCP端口分配、提供的服务、WEB服务软件版本以及这些服务和软件出现在因特网上的安全漏洞扫描技术是检测远程系统或本地系统的安全漏洞的安全技术。 漏洞扫描系统的基本原理在用户通过控制平台发出扫描命令后

11、，控制平台发出与扫描模块对应的扫描请求，扫描模块在接收到请求后立即启动对应的子功能模块并进行扫描通过分析并确定从扫描的主机返回的信息，扫描模块将扫描结果返回控制平台，并且控制平台最终向用户呈现。 网络漏洞扫描系统远程检测目标主机上TCP/IP的不同端口上的服务，并记录目标的回答。 在获取了目标主机上的TCP/IP端口及其对应的网络访问服务的信息后，将其与漏洞扫描系统提供的漏洞库进行核对，如果满足匹配条件，则认为存在漏洞。 另外，在模拟黑客攻击的方法中，如果模拟攻击成功的话就存在脆弱性。 六、网络病毒防治系统，(一)网络病毒介绍网络的开放性为计算机病毒的广泛普及提供了有利的环境，网络本身存在的脆

12、弱性也为培养下一代病毒提供了良好的条件。 ActiveX技术和Java技术的应用也给病毒制造商带来了机会。 他们利用这个技术把病毒渗透到计算机里。 这是近两年兴起的第二代病毒，所谓的“网络病毒”。 网络病毒对传统计算机病毒，其特征和危害性主要表现在以下方面：破坏性强。 直接影响网络工作，轻则减慢速度，影响工作效率，重则麻痹网络。 传播性强。 普遍具有较强的再生机制，接触后可以通过网络扩散和感染。 具有潜在性和刺激性。 有更明确的目的。 扩散面宽。 传播速度快。 很难完全去除。 大多数网络都采用C/S模式，服务器和客户端都需要防病毒。 (2)基于网络的防病毒系统1、网络防病毒系统必须实现全方位、

13、多层次的防病毒措施。 网关防病毒是整体防病毒的第一防线。 没有管理系统的杀毒是无效的杀毒系统。 服务是整体抗病毒系统中极其重要的一环。 2、网络杀毒系统组织形式系统中心的统一管理。 远程安装的升级。 常见客户端的防病毒措施。 防病毒过滤网关。 硬件防病毒网关. 特点：高稳定性操作简单，易于管理，访问方法简单；免费维护的容错性和集群。 为了消除下一代网络技术ipv6ipv4面临的危机，IETF于1992年开始开发IPv6。 IPv6继承了IPv4的优点，根据IPv4十年来的运用经验进行了大幅度的修正和功能增强，其处理性能更强、更高效。 1、地址IPv4和IPv6地址的最显着的差异在于，IPv4地

14、址的长度是3比特，IPv6地址的长度是1.2比特。 IPv4地址可以被划分为2到3个不同部分(网络标识符、节点标识符，有时是子网标识符)，IPv6地址可以具有更大的地址空间并支持更多的字段。1.1地址表达式IPv4地址通常用四个部分点来表示，四个数字用点分隔。 例如，以下所有IPv4地址都用十进制整数表示。 10.5.3.1。 IPv6地址的长度是IPv4地址的4倍，表达的复杂度也是IPv4地址的4倍。 IPv6地址的基本表示法是x : x : x : x : x : x : x : x : x。 x是4位的十六进制整数(16位)。 每个数字包含4比特，每个整数包含4个数字，其中每个地址包含8

15、个整数，总共包含1 2 8比特(448=128 )。 例如，下一个是合法的IPv6地址： cdcd 3360950 a 33602525353535353535353535353535353535353535353535 5353535353535353535353535353535353535353535353535353535353535353535353535353535353 00333653365285363536353635353525353535353535353535353535353535353535 3535-3535-3535-3535-3535-3535-3535-35

16、35-3535-3535 换句话说，地址2000-3360033600336003360033600360033600336003360033601可用指示地址能够被扩展到完整的12位地址的冒号来表示。 这种方法仅在16位的组都为0的情况下，被两个冒号替换，地址中只出现一次两个冒号。 在IPv4和IPv6混合存在的环境中，有第三种方法。 IPv6地址的最低3位可以用于表示IPv4地址。 地址可以与x : x : x : x : x : x : x : d.d.d.d混合使用。 其中x表示16位整数，d表示8位十进制整数。 比如说， 地址0336353635363535353535353535353535353535353535353535353535353535353535353535 3535353535353 2两种可能的表示方法组合，使得该地址也能被表示为与IPv4非常相似。 为每个单播地址标识单独的网络接口。 因为IP地址被分配给网络接口而不是该节点，所以具有多个网络接口的节点可以具有多个IPv6地址，并且任何IPv6地址都可以表示该节点。 网络接口可以与多个单播地址相关联，然而，单播地址只能与一个网络接口相关联.网络接口可以与多个单播地址相关联。 每个网络接口至少需要一个单播地址