l本章主要讲述计算机网络安全地一些基本问题l.pptVIP

验证等访问控制措施。利用防火墙构建虚拟专用网将是较长一段时间内的主流，将充分利用安全协议。 （3）将增强对网络攻击的检测和预警功能，完善安全管理工具，特别是针对可疑活动的日志分析工具。考虑到攻击手段的多样性，一个网络的安全不能单纯地依赖防火墙来实现， 第8章 网络安全 因此未来的防火墙需要带有入侵检测功能或者能够与第三方的入侵检测软件实现互动。用户界面更为友好，方便防火墙的配置和管理。 （4）防火墙的软件、硬件组合将能任意剪裁搭配，能随着用户系统的特点、功能的要求、资金的多少来合理组合，性价比达到比较高的程度。 第8章 网络安全 8- 3 网络安全的监听工具的使用 监听可以实施在不同的传输介质上，离我们最近的就是Internet网、电话线、有线电视等。Internet网络对我们而言是多种网络拓扑结构混合在一起的广域网，我们并不能够监听整个Internet，否则那将会很可怕。我们只能监听和我们在同一个网段的信息，或者是在同一个网络连接设备上的计算机的信息，比如同一条电缆、同一个集线器上的主机，同一个局域网内的信息等等。 第8章 网络安全 8-3-1 网络监听的原理 由于在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个惟一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。 第8章 网络安全 在正常的情况下，一个网络接口应该只响应这样的两种数据帧： ● 与自己硬件地址相匹配的数据帧。 ● 发向所有机器的广播数据帧。 而对于网卡来说一般有四种接收模式： ● 广播方式：该模式下的网卡能够接收网络中的广播信息。 ● 组播方式：设置在该方式下的网卡能够接收组播数据。 ● 直接方式：在这种模式下，只有目的网卡才能接收该数据。 ● 混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。 第8章 网络安全 如下图所示，微机A、B、C与集线器HUB相连接，集线器HUB再通过路由器Router访问外部网络。这是一个很简单也很常见的情况，比如说在学院教务处，办公室里的几台机器通过集线器连接，集线器再通过交换机路由器连上教育网。需要注意的一点是机器A、B、C使用一个普通的HUB连接的，不是用SWITCH，也不是用ROUTER，使用SWITCH和ROUTER的情况要比这复杂得多。 LAN1 R1 A C HUB 第8章 网络安全 8-3-2 sniff 1．sniff的延伸 更深层次的sniff需要综合使用多种技术，单纯的sniff的功能始终是局限的，所以在大多数的情况下，sniff往往和其他手段结起来使用，sniff和spoof（欺骗技术：如IP、ARP欺骗等）已及其他技术手段结合在一起对网络构成的危害是巨大的。 第8章 网络安全 2．防止sniff 防止sniff最有效的手段就是进行合理的网络分段，并在网络中使用交换机和网桥，在理想的情况下使每一台机器都拥有自己的网络段，当然这会使你的网络建设费用增加很多，所以你应该使相互信任的机器属于同一个网段，他们之间不必担心sniff的存在。在网段和网段间进行硬件屏障。也可以使用加密技术对在网络中传送的敏感数据如户ID或口令，银行帐号，商业机密等进行加密，也可以选用ssh等加密手段。更多的方法大家可以探讨，不过有盾必有矛，平时的安全意识才是最重要的。 第8章 网络安全 8-3-3 检测监听 1．网络通讯掉包率反常的高 2．网络带宽将出现反常 3．通常一个sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中，sniffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现sniffer。 4． 一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统，可以监测到混杂模式的网络接口。 第8章 网络安全 8-4 实训 8-4-1 实训一 网络系统口令的设置 一、实训目的 1．了解口令的有效设置方法。 2．掌握如何选择一个安全的口令。 二、实训内容 1. 在Windows Server中设置用户密码。 2. 在Windows XP系统中设置共享密码、共享权限。 第8章 网络安全 三、实训步骤 1．Windows Server中设置用户密码 2．共享密码的设置 3．完成实训报告 （1）实训地点，参加人员，实训时间（参考附件1实训报告表填写）。