网络安全与病毒防护.pptVIP

第1页，共33页，星期日，2025年，2月5日25.1Linux网络安全对策返回25.1.1确保端口安全25.1.2确保连接安全25.1.3确保系统资源安全结束25.1.4确保账号、密码的安全第2页，共33页，星期日，2025年，2月5日25.1Linux网络安全对策返回结束25.1.6日志文件的安全性25.1.5系统文件的安全性第3页，共33页，星期日，2025年，2月5日25.1.1确保端口安全TCP和UDP都使用端口的概念来使网络数据包能够正确指向相对应的应用程序。一台运行的计算机几乎总是同时有不同的应用程序在运行，相互之间必须都能够同时通信。为了使网络数据包能够被正确地引导给相对应的应用程序，每个程序被赋予了特别的TCP或UDP端口号。进入计算机的网络数据包也都包含了一个端口号，操作系统会根据端口号将数据包发送到相应的应用程序，就像一个海港有不同的港口或码头才能使不同的船只停靠到相应的位置。黑客在发起攻击前，通常会利用各种手段对目标主机的端口进行刺探和扫描，收集目标主机系统的相关信息（例如，目标系统正在使用的操作系统版本、提供哪些对外服务等），以决定进一步攻击的方法和步骤。因此确保端口安全意义重大。返回第4页，共33页，星期日，2025年，2月5日25.1.2确保连接安全远程登录和管理服务器是系统管理员经常要做的工作。远程登录的作用就是让用户以模拟终端的方式连接到网络上的另一台远程主机。一旦登录成功，用户就可以在远程主机上执行输入的命令、控制远程主机的运行。实现远程连接的工具很多，传统的工具主要有Telnet、FTP等。但Telnet、FTP本质上非常不安全。它们在网络上以“明文”方式传递口令和数据，使得有经验的黑客可以很容易地通过劫持一个会话来截获这些重要信息。需要注意的是：当使用r系列程序（如rsh和rlogin）的时候要考虑和Telnet、FTP相同的安全问题。返回第5页，共33页，星期日，2025年，2月5日25.1.3确保系统资源安全对系统的各类用户设置资源限制可以防止DOS（拒绝服务攻击）类型的攻击。可以在/etc/security/limits.conf文件中对用户使用的内存空间、CPU时间和最大进程数等资源的数量进行设定.返回第6页，共33页，星期日，2025年，2月5日25.1.4确保账号、密码的安全针对账号和密码的攻击是入侵系统的主要手段之一。事实上，一个细心的系统管理员可以避免很多潜在的问题，如采用强口令、有效的安全策略、加强与网络用户的沟通，分配适当的用户权限等。密码安全是系统安全的基础和核心。由于用户账号、密码设置不当而引发的安全问题已经占整个系统安全问题相当大的比重。如果密码被破解，那么整个系统基本的安全机制和防范模式将受到严重危胁。为此用户需要选择强壮的密码。返回第7页，共33页，星期日，2025年，2月5日25.1.5系统文件的安全性给重要文件设置适当的权限对于Linux系统中一些比较重要的文件（如passwd、passwd-、shadow、shadow-、xinetd.conf和resolv.conf等），应赋予适当的权限，以防止被意外修改或恶意破坏。维护重要文件的一致性创建用户时，通常会分别在/home目录下创建以用户命名的主目录，在/etc/passwd和shadow文件中按相应文件格式写入用户信息。但有时系统管理员在删除用户时，只删除了三项中的某一项或两项。返回第8页，共33页，星期日，2025年，2月5日25.1.6日志文件的安全性由于操作系统体系结构固有的安全隐患，即使系统管理员采取了各种安全措施，系统还是会出现一些新的漏洞。有经验的攻击者会在漏洞被修补之前，迅速抓住机会攻破尽可能多的机器。日志是Linux安全结构中的一个重要内容。日志记录了用户对计算机、服务器、网络等设备所进行的操作，同时还会记录网络连接情况和时间信息。返回第9页，共33页，星期日，2025年，2月5日25.2Linux下的防火墙配置返回25.2.2RedHat安全级别设置25.2.3使用iptable管理防火墙结束25.2.1防火墙的基本概念第10页，共33页，星期日，2025年，2月5日25.2.1防火墙的基本概念防火墙主要基于包过滤技术（PacketFilter）。包过滤技术一般工作在网络层，依据系统内设置的过滤规则（也称为访问控制表）检查数据流中的每个数据包，并根据数据包的源地址、目的地址、TCP/UDP源端口号、