网络工程设计与系统集成第8章

网络工程设计与系统集成杨威人民邮电出版社（第3版）NetworkEngineeringDesignandSystemIntegration（3ndEdition）“十二五”普通高等教育本科国家级规划教材普通高等教育“十一五”国家级规划教材©人民邮电出版社2014.10第2页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17问题思考你的电脑安全？电脑访问Internet时，受到安全威胁怎么办？如何解决防御病毒、黑客攻击？©人民邮电出版社2014.10第3页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17学习目标：（1）了解网络安全面临的问题，解决问题的技术与方法。识别802.1x+Radius及其他的网络准入/准出控制技术的差异，熟悉防止IP地址盗用方法。能够按照网络准入/准出控制需求，设计网络准入/准出控制技术方案。（2）熟悉WindowsServer2008的安全功能，会安装与配置WindowsServer2008操作系统的安全机制。理解IIS的安全机制，熟悉Web服务器安全设置方法，能够充分运用WindowsServer2008的安全机制，设置Web服务器的安全机制。（3）识别防火墙、路由器在网络边界安全中的作用，理解建立网络DMZ的方法。会使用路由器的标准、扩展访问控制列表，建立网络边界安全规则及保护内网服务器的安全。能够根据中小型网络安全的需求，设计中小型网络安全技术方案。第8章网络安全技术与应用©人民邮电出版社2014.10第4页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17本章重点：802.1x协议及工作机制常用的网络安全技术措施防止IP地址盗用，网络防病毒技术使用路由器+防火墙保护网络边界扩展访问列表与应用,NAT协议保护内网的安全WindowsServer2008操作系统安全加固技术，Web服务器安全设置技术本章难点：使用路由器+防火墙保护网络边界扩展访问列表与应用第8章网络安全技术与应用©人民邮电出版社2014.10第5页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17网络安全概述网络准入与准出控制操作系统安全设置Web网站安全设置保护网络边界安全第8章网络安全技术与应用©人民邮电出版社2014.10第6页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17源码类目标码类一对一攻击兑变式攻击非法权限类蠕虫类(侵占资源)传染类操作系统类文件类攻击手段一对一攻击兑变式攻击蠕虫类(侵占资源)源码类操作系统类文件类传染类目标码类系统欺骗拒绝服务入侵特洛伊木马窃取非法权限类系统欺骗特洛伊木马拒绝服务入侵窃取8.1.1网络安全威胁©人民邮电出版社2014.10第7页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17非法权限类特洛伊木马系统欺骗拒绝服务入侵窃取©人民邮电出版社2014.10第8页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17一种未经授权的程序，或在合法程序中有一段未经授权的程序代码，或在合法程序中包含有一段用户不了解的程序功能。上述程序对用户来说具有恶意的行为。特洛伊木马非法权限类信息窃取类逻辑炸弹类陷阱入口类功能欺骗类©人民邮电出版社2014.10第9页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。木马程序©人民邮电出版社2014.10第10页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17网站挂马从“挂马”这个词中可以知道，这和木马脱离不了关系。挂马就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中，利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。挂马使用的木马大致可以分为两类。一类是以远程控制为目的的木马，黑客使用这种木马进行挂马攻击，其目的是对某些网站实施拒绝服务攻击或达到其他目的。另一类是键盘记录木马，通常称其为盗号木马，这类木马用于盗取用户的游戏账号或者银行账号。©人民邮电出版社2014.10第11页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17信息窃取类攻击系统权限对任意用户进行FINGER请求对一般用户正常响应，保持原功能©人民邮电出版社2014.10第12页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17对FANG用户进行FINGER请求识别是用户FANG，将之赋予ROOT权限拥有ROOT权限信息窃取类—攻击系统权限-1©人民邮电出版社2014.10第13页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17LOGOUT前释放权限LOGOUTLOGOUTLOGOUTFANG在退出前注销ROOT权限，以免被系统人员查出取消ROOT权限信息窃取类—攻击系统权限-2©人民邮电出版社2014.10第14页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17攻击口令信息窃取类伪造登录现场©人民邮电出版社2014.10第15页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17指示输入错误，重输入捕获口令退出信息窃取类——攻击口令-1©人民邮电出版社2014.10第16页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17真实登录现场输入正确进入系统信息窃取类——攻击口令-2©人民邮电出版社2014.10第17页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17信息窃取类——攻击口令-3©人民邮电出版社2014.10第18页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17逻辑炸弹逻辑炸弹是程序中的一部分，满足一定条件时激活某种特定的程序，并产生系统自毁，并附带破坏。©人民邮电出版社2014.10第19页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17逻辑炸弹-1潜伏代码满足条件否？满足而爆炸满足而爆炸©人民邮电出版社2014.10第20页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17危害程序陷阱正常正常正常正常正常陷阱入口©人民邮电出版社2014.10第21页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17Internet攻击模式WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染不被感染被感染被感染不被感染不被感染©人民邮电出版社2014.10第22页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17拨号用户B拨号用户C拨号用户A拨号用户DInternet垃圾邮件病毒破坏黑客攻击资源滥用信息泄密DOS攻击不良信息终端安全信息丢失未授权接入非法外联监控安全事件处理IT系统运维面临的问题©人民邮电出版社2014.10第23页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17导致这些问题的原因是什么？病毒泛滥：计算机病毒的感染率比例非常高，高达89.73%软件漏洞：软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为5.8天黑客攻击：世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。移动用户越来越多：网络用户往往跨越多个工作区域以上相关数据来自Symantec。©人民邮电出版社2014.10第24页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL（规则控制）71%*2004CSI/FBIComputerCrimeandSecuritySurvey资料来源：ComputerSecurityInstitute©人民邮电出版社2014.10第25页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17移动用户D广域网如何进行信息系统的等级化保护？各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略©人民邮电出版社2014.10第26页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图制定安全策略指导或自动Internetp用户如何管理现有安全资源并执行策略机制？补丁服务器p打补丁了吗？更新补丁了吗？ppppppppppp困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起©人民邮电出版社2014.10第27页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17Internet用户如何防止内部信息的泄露？未经安全检查与过滤，违规接入内部网络私自拨号上网©人民邮电出版社2014.10第28页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17Internet用户如何实现积极防御和综合防范？怎样定位病毒源或者攻击源，怎样实时监控病毒与攻击©人民邮电出版社2014.10第29页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17©人民邮电出版社2014.10第30页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段教学网段1网站OA网段教学网段3教学网段2教学网段4网管网段校园网服务器群网络基础设施保护需求教学网段5内部办公N©人民邮电出版社2014.10第31页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17Intranet2边界处的访问控制4边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控3边界处的网络入侵检测1边界处的认证与授权网络边界与外部连接的保护需求6边界处的垃圾邮件和内容过滤©人民邮电出版社2014.10第32页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17计算环境的保护需求1基于主机的入侵检测2基于主机的恶意代码和病毒检测3主机脆弱性扫描4主机系统加固5主机文件完整性检查6主机用户认证与授权7主机数据存储安全8主机访问控制看不懂进不来拿不走改不了跑不了可审查信息安全的目的打不垮©人民邮电出版社2014.10第34页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17采取的解决办法一对于非法访问及攻击类-----在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsecVPN、SSLVPN、内容过滤系统©人民邮电出版社2014.10第35页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17领导网段防火墙、IPSECVPN、SSLVPN、内容过滤等防DOS/DDOS设备个人安全套件语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5©人民邮电出版社2014.10第36页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17采取的解决办法二对于病毒、蠕虫、木马类-----实施全网络防病毒系统对于垃圾邮件类-----在网关处实施防垃圾邮件系统©人民邮电出版社2014.10第37页“十一五”“十二五”普通高等教育本科国家级规划教材2019/12/17邮件过滤网关、反垃圾邮件系统在MAIL系统中邮件病毒过滤系统