第11章网络安全.ppt

第 11 章 《局域网组建与管理》电子教案 信息泄露或者丢失 破坏数据完整性 拒绝服务攻击 非授权访问 利用网络传播病毒 一个较为通俗的网络安全漏洞定义可描述性为：存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。 拒绝服务攻击(Denial of Service，DoS)原理 基本原理：借助于网络系统或者网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。 常见攻击方法：SYN Flood攻击、Smurf、UDP洪水、Land攻击、死亡之Ping和电子邮件炸弹等。 防护措施：设置防火墙，关闭外部路由器和防火墙的广播地址，利用防火墙过滤掉UDP应答消息和丢弃ICMP包，尽量关闭不必要的TCP/IP服务。 缓冲区溢出攻击原理 基本原理：向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其它正常的程序或者数据，然后让计算机转而运行这行预设的程序，达到执行非法操作、实现攻击的目的。 防护措施：程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区；网络管理员必须做到及时发现漏洞，并对系统进行补丁修补；条件允许的情况下，还应该定期对系统进行升级。 欺骗类攻击原理 基本原理：主要利用TCP/IP协议自身的缺陷发动攻击。 分类：根据假冒方式的不同，可分为IP欺骗、DNS欺骗、电子邮件欺骗和Web欺骗等。 防护措施：充分了解主机的系统状况，只启用必用的应用程序和只开放提供服务所用到的端口。 程序错误攻击原理 基本原理：主要利用网络主机中存在的服务程序错误和网络协议错误来进行攻击。 防护措施：尽快安装漏洞的补丁程序，在没有找到补丁之前，应先安装防火墙，视情况切断主机应用层服务，即禁止从主机的所有端口发出和接收数据包。 后门攻击原理 基本原理：建立后门的常用方法是在主机中安装木马程序。攻击者利用欺骗的手段，通过向主机发送电子邮件或者是文件，并诱使主机的操作员打开或者运行藏有木马程序的邮件及文件；或者是攻击者获得控制权后，自己安装木马程序。 防护措施：经常检测系统的程序运行情况，及时发现运行中的不明程序，并用木马专杀工具查杀木马。 目前，危害很大的网络攻击主要来自黑客攻击。 黑客常用的几种攻击手段有： (1) 口令入侵 (2) 放置特洛伊木马程序 (3) DoS攻击 (4) 端口扫描 (5) 网络监听 (6) 欺骗攻击 (7) 电子邮件攻击 防火墙技术 加密技术 用户识别技术 访问控制技术 网络反病毒技术 网络安全漏洞扫描技术 入侵检测技术 防火墙名称来自以前防止火灾的构筑物。 防火墙是一个分离器，一个限制器，同时也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 防火墙的作用是监控进出网络的信息，仅让安全的、符合规则的信息进入内部网络，为用户提供一个安全的网络环境。 一个好的防火墙系统应具有以下5个方面的特性： 所有在内部网络和外部网络之间传输的数据都必须通过防火墙 只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙 防火墙本身不受各种攻击的影响 使用目前新的信息安全技术，比如现代密码技术、一次口令系统和智能卡等 人机界面良好，用户配置使用方便，易管理，系统管理员可以方便地对防火墙进行设置，对互联网的访问者、被访问者、访问协议以及访问方式进行控制 防火墙系统设置时考虑事项 (1) 要保护什么样的资源？ (2) 保护的资源有多重要？ (3) 允许什么样的用户可以接触这些资源？ (4) 使用资源时涉及哪些服务？ (5) 保护资源所消耗的费用是否合理？ (6) 怎么做防火墙系统的定期检验？ 防火墙产品介绍 网络卫士 Cisco PIX Firewall和Cisco 1OS防火墙 “长城”防火墙 其它防火墙 IPSec是一个工业标准网络安全协议，它为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。 IPSec的两个基本目标：一是保护IP数据包安全，二是抵御网络攻击提供防护措施。 IPSec工作原理 在进行数据交换之前，先相互验证对方的计算机的身份。 验证身份通过之后，在这两台计算机之间建立一种安全协作关系，并且在进行数据传输之前将数据进行加密。 通过这三个步骤，可以保证网络的通信安全，即使数据中途被截获，也因为截获者不知道加密的密钥也就无从了解数据的内容。 在Windows Server 2003中，I