通信系统综合应用实践网络安全技术概述.ppt

; 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。 ;保护园区网络安全;保护园区网络安全;;;网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。 企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。 一般根据网络安全隐患源头可分为以下几类： （1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 （2）人为但属于操作人员无意的失误造成的数据丢失或损坏。 （3）来自企业网外部和内部人员的恶意攻击和破坏。;（1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。 　　 （2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。 （3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。 （4）管理不健全造成的安全漏洞。网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。;常见的攻击措施主要有： 获取网络口??? 放置特洛伊木马程序 　　 WWW欺骗技术 　　 电子邮件攻击 　　 通过一个节点来攻击其他节点 　　 拒绝服务攻击 网络监听 　　 寻找系统漏洞 　　 利用账号进行攻击 　　 偷取特权 　　 ;*;攻击工具体系化;? 全球超过26万黑客站点, 提供系统漏洞和攻击知识 越来越多易使用攻击软件出现 年轻人对网络攻击好奇心 年轻人的叛逆心理 ;大量的攻击工具随手拾来;;;保护园区网络安全;;;? 定义访问列表的步骤 第一步：定义规则（哪些数据允许通过，哪些不允许） 第二步：将规则应用在设备接口／ＶＬＡＮ上 ? 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务 ; 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out）;? 一切未被允许的就是禁止的 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 ? 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 ? 从头到尾，至顶向下的匹配方式 ? 匹配成功马上停止 ? 立刻使用该规则的“允许、拒绝……” ;;? 标准访问列表 根据数据包源IP地址进行规则定义 ? 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义;? 标准访问列表 只根据源IP地址，进行数据包的过滤。; 1）定义标准ACL Router(config)# access-list 1-99 { permit |deny } 源地址 [反掩码] Switch(config)# Ip access-list 1-99 { permit |deny } 源地址 [反掩码] 反掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。 55表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。 表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。 2）应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out };Router(config) #access-list 1 permit 55 Router(config) #access-list 1 deny 55 Router(config) #interface serial 0 Router(config-if) #ip access-group 1 out; 阻止5主机通过E0访问网络，而