6、企业网络安全技术1.pptVIP

* 2002年11月 　　伦敦人Gary McKinnon于2002年11月间在英国被指控非法侵入美国军方90多个电脑系统。他现在正接受英国法院就“快速引渡”去美国一事的审理。下一次听证会即将在近日举行。 2000年 　　年仅15岁的MafiaBoy(由于年龄太小，因此没有公布其真实身份)在2000年2月6日到2月14日情人节期间成功侵入包括eBay，Amazon 和Yahoo在内的大型网站服务器，他成功阻止了服务器向用户提供服务。他于2000年被捕。 　　 * 根据近两年的统计数字，网络安全问题中最严重的还是脚本入侵行为。 * 简单介绍即可。 * 在发生的安全事件中，攻击或传播源来自外部的占 50% ，比去年下降 7% ；内外部均有的占 34.5% ，比去年上升 10.5% 。 2005 年 5 月至 2006 年 5 月， 54% 的被调查单位发生过信息网络安全事件，比去年上升 5% ；其中发生过 3 次以上的占 22% ，比去年上升 7% 。感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况，占发生安全事件总数的 84% ；“遭到端口扫描或网络攻击”（ 36% ）和“垃圾邮件”（ 35% ）次之。 金融证券行业发生网络安全事件的比例最低，商业贸易、制造业、广电和新闻、教育科研、互联网和信息技术等行业发生网络安全事件的比例较高。 这张胶片的目的在于加深对网络内部安全问题的认识。 * 这里介绍网络安全设计时应考虑的问题和通常的实施手段。 * 物理安全问题最严重的当属无线介质网络，但在无线技术标准中已经增加了对无线网络的物理层安全的一系列解决办法。 * 有线网络中的物理安全则主要从以上几个方面来考虑。 * 在此强调内网本身的安全问题已经成为网络敏感数据丢失的主要原因了。 * 简单介绍。 * 主要的解决技术在于访问控制列表，本胶片解释访问控制列表的特性，要点在于： 1、列表是在设备中定义在接口中实施的，如同纱窗的制作和在窗户上的安装一样，是两个具体的过程和步骤。 2、访问列表是一个参照物，就好比纱窗定义了一个可进入物体的大小一样，访问列表则定义了一个可允许通过的数据特征，任何进入设备的数据都要与这个列表进行对照，只有相同的数据包可以按照特定操作执行，而不匹配时则执行默认的操作。 * 标准列表只关注数据包的源地址字段范围，而扩展列表关注的数据包内容较为丰富，可以提供更加精密的控制。 动画代表的意思是：同样的两个目的地址不同的数据包在标准访问控制列表下被全部允许通过，但在扩展列表实施的情况下，也许就不会是这样的情况了。 * 这个动画的含义在于对于一台使用了标准访问控制的网络设备来讲，只有来自不同源的数据包才有可能被按照不同的方式处理，上图中红色的数据包源是被写在列表中拒绝发送的。 * 在实施标准访问列表的时候需要注意的是，1、先后顺序非常重要；2、最后的默认拒绝经常会被人们忽略。在应用时标准访问列表也应尽可能应用在接近目的地的接口，这样才会更好的区分不同源地址的数据包。方向同样是一个非常重要的内容，只有将列表放置在某个接口的合适的方向，它才能按照预期的效果进行访问控制，否则可能一点作用都没有。 * 本实验30分钟。 * 本胶片内容假设从同样的一个PC发出的FTP访问情况是在路由器中被允许转发的，而WEB服务请求则不允许发送。 * 本实验30分钟。 * 本实验40分钟。 * 这里要采用课堂讨论的方式进行。 * 本实验20分钟。 * 引入防火墙的概念，使学生了解使用防火墙的必要性即可。 * 简单介绍防火墙的功能和由来。 * 与下面三张胶片对比介绍简单介绍即可。 * 本实验30分钟。 * 理解透明和路由的意义。透明模式的优势主要在可以不影响网络原有的逻辑架构，无须对原有设备作配置上的调整，实施相对方便。 * 本实验30分钟。 * 本实验30分钟。 * 第二个问题，透明模式下外网口的地址已经没有任何意义，只须内网口地址对防火墙作web界面配置即可。 * 简单了解NAT技术产生的背景即可，可以适当回顾第二章的IP协议和IP地址部分的内容。 * 本实验30分钟。 * 本实验30分钟。 * 简单了解NAT技术虽然解决了网络的问题，但也带来了新的问题，最根本的解决办法还是IPV6。 问题和练习 在PC1连接的端口处连接一台交换机，再接一台设备和PC1设置相同的网段地址和默认网关，怎样配置不允许PC1访问PC2而这个网段的其他设备都可以访问？ 以上的列表如果放在PC2连接的网段接口是否可以？应该怎样做？尝试实现。 除本实验定义的列表之外，还有没有其他列表定义方法可以实现上述目标。 扩展访问控制 根据源+目的地址以及传输端口特征区别数据包 只有数据特征与列表定义完全吻合才按照规定处理数据 部门1 Internet ftp ftp服