第5篇网络安全结构设计.pptVIP

第五章 网络安全结构设计 本章重点 5．1 影响网络安全的隐患 5.1.1 网络窃听 防范网络窃听的方法 使用交换机分段 加密 使用软件进行监控 如antiSniffer可监控网段上所有网卡的工作状态 5.1.2 完整性破坏 5.1.3 地址欺骗 5.1.4拒绝服务攻击 拒绝服务攻击的过程 5.1.5 计算机病毒 病毒的危害 病毒的分类 5.1. 6系统漏洞 5.2 网络安全技术概述 5.3.1 网络结构划分 1.外网 外网：Internet。 网通，电信，铁通等都已经超过了局域网的覆盖范围，应该算是外网。 判断外网与内网关键看它是不是与广阔的外界互联。 我们说的www的概念就是这样，world wide web。它是世界范围内的互联。只要你连接了internet，可与外界（世界范围）进行互通，就是外网。 2.内网 内网：局域网，网吧、校园网、光纤到楼、小区宽带、有线电视基于以太网技术，属于内网。 内网接入方式：上网的计算机得到的IP地址是Inetnet上的保留地址，有如下3种形式： 　　10.x.x.x 　　172.16.x.x至172.31.x.x 　　192.168.x.x 内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。 3．公共子网 5.3.2 双宿主机结构 5.3.3 主机过滤结构 5.3.4 子网过滤结构 5.3.4 子网过滤结构 5.3.2 防火墙体系结构 5.4.1 防火墙概述 5.4.1 防火墙概述 5.4.2 防火墙技术 包过滤防火墙 包过滤防火墙优缺点 包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理 优点速度比较快，能够处理的并发连接比较多 缺点是对应用层的攻击无能为力。 代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。  几种常见的攻击包过滤防火墙的形式 IP地址欺骗： 外部的攻击包使用内部的IP地址进行欺骗 解决方法：禁止使用内部的IP地址的外部包对内网进行访问 源路由攻击： 攻击者为攻击包指定路由，避开安全检查 解决方法：丢弃包含源路由选项的数据包 微小碎片攻击： 攻击者利用IP分段选项来产生很多非常小的分段来阻止基于TCP头文件信息的过滤规则的检查执行。 解决方法：丢弃协议是TCP而分段偏移量为1的那些包 应用级网关 应用级网关 应用级网关使用一个特殊的目的代码。对每一种所希望的服务首先要把这种服务的代码安装在网关上，每当添加一种新的需要保护的服务时，必须为其编制相应的程序代码，否则该服务就不能被支持且不能通过该应用级网关。 应用级网关防火墙允许用户访问服务代码，但不允许用户登录到该网关。 包过滤防火墙和应用级网关防火墙的特点 包过滤防火墙和应用级网关防火墙有一个共同的特点：它们仅仅依靠特定的逻辑判断是否允许数据包通过。 包过滤防火墙依靠的逻辑是过滤规则集 应用级网关依靠的逻辑是特定的应用程序代码 电路级网关 电路级网关 新型防火墙技术 新型防火墙技术 （4）基于上述微内核，速度超过传统的包过滤防火墙。 （5）提供透明代理模式，减轻客户端的配置工作。 （6）支持数据加密、解密（DES和RSA），提供对虚拟网VPN的强大支持。 （7）内部信息完全隐藏。 注： DES （Data Encryption Standard，） 数据加密标准 RSA 该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。 算法的名字以发明者的名字命名： 防火墙产品介绍 5.4.4 架设防火墙的步骤 5.5 网络操作系统安全性概述 5.5.1 Windows2000安全性 Win2000的用户账号 Win2000的本地安全策略 提高Win2000安全性的措施 作业 Sniffer Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。 实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 病毒的分类1 文件型病毒 感染 .COM、.EXE 引导扇区病毒 改写引导扇区的内容使系统无法引导 混合型病毒 具有以上两种病毒的特点 宏病