7局域网系统安全防范

提升网络技术打造网络技能人才本章内容7.1局域网安全分析与入侵检测7.2局域网安全策略与实施7.3防火墙技术7.4局域网防病毒技术7.5虚拟专用网技术7.6课后小结与习题第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才【知识目标】1.掌握网络存在的安全威胁以及防范手段。2.掌握网络防毒的基本知识。3.了解入侵检测系统基础知识。4.掌握防火墙的基本原理与典型应用技术。5.了解漏洞扫描原理与常见的漏洞扫描软件。6.了解VPN的具体应用。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才【技能目标】1.能利用漏洞扫描工具检测系统漏洞，分析漏洞扫描结果，并制定相应的修补措施。2.能完成防火墙（硬件）以及网络防病毒软件的部署设计。3.能对服务器进行安全设置。4.能建立配置VPN连接。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才7.1局域网安全分析与入侵检测计算机网络的不断发展已经使全球信息化成为人类发展的大趋势，但是，由于计算机网络的自身缺陷+开放性+黑客攻击，所以网上信息的安全和保密是一个至关重要的问题。特别是对于军用的自动化指挥网络、国家安全系统和银行系统等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，网络安全措施应是能全方位的，而且针对各种不同的威胁，只有这样才能确保网络信息的保密性、完整性和可用性。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才7.1.1网络安全管理与安全威胁学习目标：1.网络安全的含义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不被偶然的或者恶意的攻击而遭到破坏、更改和泄露，而且网络系统连续可靠地正常运行。而实际上，网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护网络安全模型提升网络技术打造网络技能人才2.网络安全的威胁第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才DDoS攻击的过程第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护网络漏洞或系统漏洞攻击提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护3.网络安全策略（1）物理安全策略：物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。这种安全策略需要验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护（2）访问控制策略：访问控制策略是网络安全防范和保护的主要策略，包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制，以及防火墙控制等，主要任务是保证网络资源不被非法使用和非正常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护（3）信息加密策略：信息加密策略的目的是保护网络中的数据、文件、密码和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。用户可根据网络情况酌情选择上述加密方式。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护（4）网络安全管理策略：在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络安全可靠地运行将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。提升网络技术打造网络技能人才7.2.2系统安全漏洞分析1．什么是漏洞计算机系统是由若干描述实体配置的当前状态所组成的，这些状态可分为授权状态、非授权状态以及易受攻击状态、不易受攻击状态。容易受攻击的状态是指通过授权的状态转变从非授权状态可以到达的授权状态。受损状态是指已完成这种转变的状态，攻击是非受损状态到受损状态的状态转变过程。漏洞就是指区别于所有非受损状态的容易受攻击的状态特征。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才漏洞特点：●编程过程中出现逻辑错误是很普遍的现象，这些错误绝大多数都是由于疏忽造成的。●数据处理例如对变量赋值比数值计算更容易出现逻辑错误，过小和过大的程序模块都比中等程序模块更容易出现错误。●漏洞和具体的系统环境密切相关。在不同种类的软、硬件设备中，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。●漏洞问题与时间紧密相关。随着时间的推移，旧的漏洞会不断得到修补或纠正，新的漏洞会不断出现，因而漏洞问题会长期存在。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才端口类型一种是TCP端口，一种是UDP端口。计算机之间相互通信的时候，分为两种方式：一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用TCP协议；一种是发送以后就不管了，不去确认信息是否到达，这种方式大多采用UDP协议。对应这两种协议的服务提供的端口，也就分为TCP端口和UDP端口。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才常见TCP端口第7章局域网系统安全防范局域网组建与维护常见UDP端口提升网络技术打造网络技能人才2．漏洞扫描工具第一种针对一个连续网段扫描特定端口。这种工具常用于寻找特定主机或者特定服务，比如WEB服务器，也可以用来检测是否中了木马，比如检测7626端口来检测冰河。这种工具有NetBrute等。第二种针对一台特定的服务器扫描所有端口。这种工具常用于攻击一台特定主机以前搜集此主机的大致信息，确定攻击方案。这种工具有SuperScan等。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才X-SCAN界面设置第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才X-SCAN扫描网段结果第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才补充：SuperScan软件介绍：●小巧易用，使用方法比较简单，而且，软件对常用端口有介绍；●可以选择需要扫描的端口也可以选择所有端口；●可以选择扫描多个网段；●其他功能，比如取得计算机主机名计算机，设定扫描速度。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才SuperScan界面组成第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才SuperScan端口设置第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才SuperScan端口扫描结果第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才SuperScan使用注意要点：1）明确扫描目的。任何对目标主机的扫描都会给目标主机带来一定的额外负载，当扫描端口较多的时候，扫描者就有必要考虑扫描的目的。如果只是常规维护，当然扫描的时候在主机负载较少的时候最好；如果为了攻击作准备，最好扫描以前考虑清除对目标计算机产生的影响同时考虑是否触犯国家有关法律法规。2）扫描结果的查看。扫描结束以后，很多使用者发现目标计算机一个端口也没有打开！其实不是这样的，软件设计者在设计软件的时候没有注意结果栏背景色，所以，在扫描的IP地址前面有一个小小的＋号不能清楚地看见，这时候，我们点击【Expandall】展开所有接点才会出现图7-9所示的结果。3）扫描速度的考虑。如果扫描目标较多，建议晚上进行第二天早上再看结果，因为实在速度不是很快。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才３．服务器端口的设置（１）系统设置：TCP/IP删选界面第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才(2)补充软件设置1）阻止通过Internet连接特定端口的PortBlockerPortBlocker设置界面第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才2）IP地址限制和端口转向的PortMappingPortMapping设置界面第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才选择【PortRedirection】，出现端口设置界面,在图中界面我们可以设置端口、端口对应的协议（TCP、UDP）、转向的目标（计算机名或者IP地址）已经接口（来自局域网还是互联网）。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才7.2.3网络安全防御技术网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。安全问题，可分为两种硬件系统和软件系统的安全问题：１、硬件系统的安全防护：分为两种：物理安全和设置安全。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才（１）物理安全：是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器等。要严禁无关人员进入机房，特别是网络中心机房这些敏感地带。（２）设置安全：是指在设备上进行必要的设置（如服务器、交换机的密码等），防止黑客取得硬件设备的远程控制权。如果网络管理员没有在服务器或可网管的交换机上设置必要的密码口令，那么就会使懂得网络设备管理技术的人可以通过网络来窃取到服务器或交换机的相关控制权。并有可能成为他们从事一些非法行为的掩护体，这是非常危险的。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才校园网的网络结构第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才２、软件系统的安全防护（１）安装补丁程序任何操作系统都有漏洞，网络系统管理员应该及时地装上系统“补丁”。目前大部分校园服务器应用的多是WindowsNT/2000操作系统，由于微软的操作系统经常被人作为攻击的对象，所以被找出漏洞也特多，为弥补操作系统的安全漏洞，微软公司也会不定时地在其网站上提供了许多补丁程序。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才（２）安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的产品。对于校园网来说，安装防火墙是非常必要的。防火墙对于非法访问具有委好的预防作用，但并浊有了防火墙之后就可以什么事也不用担忧了，防火墙是要进行适当的设置才能起到相关的保护作用。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才（３）安装网络杀毒软件与网络黑客的攻击相比，网络病毒也同样令人不可小看。而领教过“尼姆达”病毒和“CIH”病毒的厉害后，大家都知道需要在网络服务上安装网络版的杀毒软件来扼杀病毒的传播。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才（４）设置帐号和密码保护帐号和密码保护可以说是系统的第一道防线，目前网上大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施就几乎没有作用了，所以对服务器系统管理员的帐号和密码进行严格管理是保证系统安全是非常重要的措施。第7章局域网系统安全防范局域网组建与维护提升网络技术打造网络技能人才（