第5章网络安全结构设计研讨.ppt

第五章 网络安全结构设计 本章重点 5．1．1网络窃听 5．1．2 完整性破坏 5．1．3 地址欺骗 5．1．4拒绝服务攻击 5．1．4拒绝服务攻击 5．1．5 计算机病毒 5．1．5．2病毒的危害 5．1．5．3病毒的分类 5．1．6系统漏洞 5．2网络安全技术概述 5．3．1 网络结构划分 3．公共子网 5．3．2双宿主机结构 5．3．3主机过滤结构 5．3．4子网过滤结构 5．3．4子网过滤结构 5．3．2防火墙体系结构 5．4．1防火墙概述 5．4．1防火墙概述 5．4．2防火墙技术 5．4．2．1包过滤防火墙 5．4．2．2应用级网关 5．4．2．3电路级网关 5．4．2．3电路级网关 5．4．2．4新型防火墙技术 5．4．3．2防火墙产品介绍 5．4．4架设防火墙的步骤 5．4．4架设防火墙的步骤 5．5 网络操作系统安全性概述 5．5．1 Windows2000安全性 5．5．1．2 Win2000的用户账号 5．5．1．3 Win2000的本地安全策略 5．5．1．4提高Win2000安全性的措施 作业 作为Win NT的升级版本，Win2000操作系统不仅具有一般操作系统的功能，还具有强大的局域网管理功能。它可通过多种技术和手段来控制用户对资源的访问，提高网络的安全性，其中包括与活动目录（Active Directory）服务的集成、支持认证Windows 2000用户的Kerberos v5认证协议、提供了公钥基础设施PKI支持，用公钥证书对外部用户进行认证、使用加密文件系统EFS（Encrypting FileSystem）保护本地数据以使用Internet协议安全IPSec（Internet Protocol security）来保证通过公有网络的通信的安全性，以及基于Windows 2000的安全应用开发的可扩展性等等。 网络操作系统安全性概述 P126 网络操作系统安全性概述 P130 网络操作系统安全性概述 P131 1．使用NTFS文件系统，而不用FAT文件系统 2．启用合适的密码策略 3．启用系统审核 4．定期备份日志文件 5．为系统管理员账号和来宾账号改名 6．尽量不使用NetBios协议 7．合理使用Win2000提供的网络服务 8．关闭不必要的端口 9．删除中文输入法的帮助文件，或者改名，避免输入法漏洞。 10．加强学习，及时堵漏 网络操作系统安全性概述 P134 * 在1995年，计算机安全机构CSI（Computer Security Institute）对全球《财富》500家企业中的242家进行了调查发现。12%的企业因为网络的非法入侵而遭受过损失，平均损失45万美元，总共损失将近5000万美元。1996年对美国5000家私有企业、金融机构和大学进行计算机犯罪和安全调查发现，42%的调查者回答，在过去的12个月中，他们的计算机系统不同程度的经历过非授权使用。 5．1 影响网络安全的隐患 5．2 网络安全技术概述 5．3 网络安全结构设计 5．4 防火墙 5．5 网络操作系统安全性概述 Sniffer技术可以让内部局域网的入侵者快速探测内部网上的主机并获得控制权，通过分析以太网的数据帧获得有用的信息，比如网络服务器上的用户名和密码等。 影响网络安全的隐患 P109 完整性破坏指的是在公共网络上传输的数据存在着被篡改的可能。 保护完整性的唯一方法就是使用散列（Hash）函数算法。 散列函数生成的信息摘要具有不可逆性，任何人都不能将其还原成原始数据。 影响网络安全的隐患 P110 地址欺骗技术的简单原理就是伪造一个被主机信任的IP地址，从而获得主机的信任而造成攻击。 影响网络安全的隐患 P110 拒绝服务攻击（Deny of Service，即DOS）通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。 影响网络安全的隐患 P111 影响网络安全的隐患 P111 计算机病毒其实就是一种程序，只不过这种程序能破坏计算机系统，并且能潜伏在计算机中，复制，感染其它的程序和文件。 影响网络安全的隐患 P111 系统速度变慢甚至资源耗尽而死机 硬盘容量减小 网络系统崩溃 数据破坏和硬件损坏 影响网络安全的隐患 P112 文件型病毒 引导扇区病毒 混合型病毒 宏病毒 木马病毒 蠕虫病毒 网页病毒 影响网络安全的隐患 P112 目前网络上传播的多半是这三种类型的病毒，日常工作中尤其要引起注意 系统漏洞实际上是软件设计中的缺陷，也被称为Bug，但由于这些漏洞被Hacker用来设计病毒或实施攻击，因此，人们就把漏洞和安全问题联系起来了。管理员要想解决漏洞的危害必须学会如何查漏和补漏，经常访问