第5章 网络安全结构设计new.ppt

第五章 网络安全结构设计 本章重点 5．1．1网络窃听 5．1．2 完整性破坏 5．1．3 地址欺骗 5．1．4拒绝服务攻击 5．1．4拒绝服务攻击 5．1．5 计算机病毒 5．1．5．2病毒的危害 5．1．5．3病毒的分类 5．1．6系统漏洞 5．2网络安全技术概述 5．3．1 网络结构划分 3．公共子网 5．3．2双宿主机结构 5．3．3主机过滤结构 5．3．4子网过滤结构 5．3．4子网过滤结构 5．3．2防火墙体系结构 5．4．1防火墙概述 5．4．1防火墙概述 5．4．2防火墙技术 5．4．2．1包过滤防火墙 5．4．2．2应用级网关 5．4．2．3电路级网关 5．4．2．3电路级网关 5．4．2．4新型防火墙技术 5．4．3．2防火墙产品介绍 5．4．4架设防火墙的步骤 5．5 网络操作系统安全性概述 5．5．1 Windows2008安全性 Windows 2008活动目录采用了代表商业企业组织结构的活动目录结构来存储信息。活动目录使用域（Domains）、组织单元（OU）和对象来管理和使用网络资源。 Windows 2008中采用多种措施提供对Kerberos协议的支持 Windows 2008的PKI系统在本身具有高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。 Windows Server 2008防火墙也有重大改进，能够创建入站和出站数据流的防火墙规则，能与IPSec技术相结合，支持IPv6。 Windows 2008中还提供了其他的网络和信息安全技术支持，如虚拟专用网支持和Internet验证服务等。 5 ． 5 ． 2 Windows Server 2008的用户管理 5 ． 5 ． 2 Windows Server 2008的用户管理 1．用户 用户是网络中的合法使用者，其身份主要由用户名、口令及其他相关信息来标识 2．组 组是对具有相同资源需求用户的重新划分 3．账号策略 4．指派用户权限 5．5．3 Win2008的组策略 1．账户策略 （1）密码策略 （2）账户锁定策略 2．本地策略 （1）审核策略 （2）用户权利分配 （3）安全选项 3．公钥策略 4．IP安全策略 5．5．4提高Win2008安全性的措施 作业 网络操作系统安全性概述 网络操作系统安全性概述 网络操作系统安全性概述 简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合，将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 1．启用合适的密码策略。 2．启用系统审核。 3．定期备份日志文件。 4．为系统管理员账号和来宾账号改名。 5．开启重要文件夹的安全审核机制。 6．合理使用Windows Server 2008提供的网络服务。 7．使用Windows Server 2008高级防火墙设置管理网络连接。 8．加强学习，及时堵漏。 网络操作系统安全性概述 P134 * 在1995年，计算机安全机构CSI（Computer Security Institute）对全球《财富》500家企业中的242家进行了调查发现。12%的企业因为网络的非法入侵而遭受过损失，平均损失45万美元，总共损失将近5000万美元。1996年对美国5000家私有企业、金融机构和大学进行计算机犯罪和安全调查发现，42%的调查者回答，在过去的12个月中，他们的计算机系统不同程度的经历过非授权使用。 5．1 影响网络安全的隐患 5．2 网络安全技术概述 5．3 网络安全结构设计 5．4 防火墙 5．5 网络操作系统安全性概述 Sniffer技术可以让内部局域网的入侵者快速探测内部网上的主机并获得控制权，通过分析以太网的数据帧获得有用的信息，比如网络服务器上的用户名和密码等。 影响网络安全的隐患 P109 完整性破坏指的是在公共网络上传输的数据存在着被篡改的可能。 保护完整性的唯一方法就是使用散列（Hash）函数算法。 散列函数生成的信息摘要具有不可逆性，任何人都不能将其还原成原始数据。 影响网络安全的隐患 P110 地址欺骗技术的简单原理就是伪造一个被主机信任的IP地址，从而获得主机的信任而造成攻击。 影响网络安全的隐患 P110 拒绝服务攻击（Deny of Service，即DOS）通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。 影响网络安全的隐患 P111 影响网络安全的隐患 P111 计算机病毒其实就是一种程序，只不过这种程序能破坏计算机系统，并且能潜伏在计算机中，复制，感染其它的程序和文件。 影响网络安全的隐患 P11