计算机网络_网络管理与网络安全.pptVIP

VPN的工作原理（续） 工作过程： 客户机向VPN服务器发出请求 VPN服务器响应请求并向客户机发出身份质询 客户机将加密的响应信息发送到VPN服务器 VPN根据用户数据库检查响应，如果账户有效，VPN服务器将检查该用户是否有远程访问权限，如果该用户拥有远程访问权限，VPN服务器接收此连接。 VPN关键技术 安全隧道技术 通过将待传输的原始信息经过加密和协议封装后再嵌套装入另一种协议的数据分组送入网络中，像普通数据分组一样进行传输。 用户认证技术 在正式的隧道连接开始之前需要确认用户身份，以便进一步实施资源访问控制或用户授权。 访问控制技术 由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，依次实现基于用户的细粒度访问控制，以实现对信息资源最大限度的保护。 10.7 网络攻击与入侵检测技术10.7.1网络攻击方法 端口扫描 包括手工扫描和使用端口扫描软件进行扫描 口令破解 常见的三种口令破解方法： 猜解简单口令 字典攻击 暴力猜解 特洛伊木马 缓冲区溢出攻击 拒绝服务攻击 常见的拒绝服务攻击方式有以下几种： 死亡之Ping SYN Flood land攻击 Smurf攻击 Teardrop攻击 UKP Flood拒绝服务攻击 网络监听 10.7.2入侵检测系统概述 定义 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 执行的任务： 监视、分析用户及系统活动。 系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。 异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测的一般过程包括信息收集、信息预处理、数据检测分析和响应等，如图所示： 入侵检测技术可分为4种： 基于应用的监控技术，主要使用监控传感器在应用层收集信息。 基于主机的监控技术，主要使用主机传感器监控本系统的信息。 基于目标的监控技术，主要针对专有系统属性、文件属性、敏感数据等进行监控。 基于网络的监控技术，主要利用网络监控传感器监控收集的信息。 在使用入侵检测技术时，应该注意具有以下技术特点： 信息的收集分析时间。 分析类型。 侦测系统对攻击和误用的反应。 侦测系统的管理和安装。 侦测系统的完整性。 设置诱骗服务器。 10.8 网络病毒防范技术10.8.1网络病毒的特点及危害 网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点： 感染速度快 扩散面广 传播的形式复杂多样 难以彻底清除 破坏性大 10.8.2防病毒技术 计算机病毒的检测主要有两种方式： 异常情况判断，计算机工作出现下列异常现象，则有可能感染了病毒。 屏幕出现异常图形或画面，并且系统很难退出或恢复。 扬声器发出与正常操作无关的声音 磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。 硬盘不能引导系统。 磁盘上的文件或程序丢失。 磁盘读/写文件明显变慢，访问的时间加长。 系统引导变慢或出现问题，有时出现“写保护错”提示。 系统经常死机或出现异常的重启动现象。 原来运行的程序突然不能运行，总是出现出错提示，如内存不足等。 打印机不能正常启动。 自动链接到一些陌生的网站。 收到陌生人发来的电子邮件。 计算机病毒的检查，通过检查计算机系统的相应特征来确定是否感染病毒。 检查磁盘主引导扇区：主引导记录（Main Boot Recorder，MBR），MBR占一个扇区。 检查FAT表：文件分配表（File Allocation Table）。 检查中断向量：IN n，DOS中断程序的入口地址。 检查可执行文件。 检查内存空间。 根据特征查找。 防范计算机网络病毒的措施 在实验网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。 在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。 对非共享软件，将其执行文件和覆盖文件如*.COM，*.EXE，*.OVL等备份到文件服务器上，定期从服务器上复制到本地硬盘上进行重写操作。 接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再复制到本地硬盘上。 工作站采用防病毒芯片，这样可防止引导型病毒。 正确设置文件属性，合理规范用户的访问权限。 建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期做文件备份和病毒检测。 防范计算机网络病毒的措施（续） 目前预防病毒的最好办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。 为解决网络防病毒的要求，已出现了病