网络安全管理配置.ppt

第十四章 网络安全管理配置 第十四章 网络安全管理配置 学习目的与要求 本章主要介绍计算机网络中相关网络安全的知识，网络安全技术的应用，防火墙的配置，网络故障工具，网络分析软件，基于Web服务的安全配置。通过本章学习，读者可以了解网络安全的概念、网络安全的实现技术，掌握基于Windows系统的防火墙配置，掌握网络故障的诊断、网络分析软件的使用，掌握Web服务的安全配置方法。 第十四章 网络安全管理配置 14.1 网络安全基本概念 14.2 网络安全实现技术介绍 14.3 网络防火墙配置 14.4 网络故障诊断工具使用 14.5 网络分析软件sniffer使用 14.6 Web服务器上设置SSL协议 14.1 网络安全基本概念 14.1.1 网络安全的概念 计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可靠性、可用性、完整性和保密性。 (1) 可靠性：是指保证网络系统不因各种因素的影响而终端正常工作。 (2) 可用性：是指在保证软件和数据完整的同时，还要能使其被正常利用和操作。 (3) 完整性：是指保护网络系统中存储和传输的软件(程序)与数据不被非法操作，即保证数据不被插入、替换和删除，数据分组不丢失、乱序，数据库中的数据或系统汇总的程序不被破坏等。 (4) 保密性：主要指利用密码技术对软件和数据进行加密处理，保证在系统中存储和网络上传输的软件和数据不被无关人员识别。 14.1 网络安全基本概念 14.1.2 网络安全隐患 (1)黑客(Hacker)经常会侵入网络中的计算机系统。 (2)TCP/IP通信协议缺乏使传输过程中的信息不被窃取的安全措施。 (3)Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。 (4)应用层支持的服务协议缺乏足够的安全性。 (5)使用电子邮件来传输重要机密信息会存在着很大的危险。 (6)计算机病毒通过Internet的传播给上网用户带来极大的危害。 14.1 网络安全基本概念 14.1.3 网络安全防范的内容 一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。网络安全防范的重点主要有如下几个方面： (1)中断：当网络上的用户在通信时，破坏者可以中断他们之间的通信 (2)篡改：当网络用户在发送报文时，报文在转发的过程中不被其他用户修改 (3)伪造：网络用户非法获取合法用户的权限并以其身份与其他用户进行通信 (4)截获：网络上的其他用户非法获得其他用户的通信内容 (5)恶意程序：包含计算机病毒、蠕虫、木马、逻辑炸弹在内的各种对计算机的正常运行产生速度、性能、存储空间影响的程序 14.2 网络安全实现技术介绍 1. 数据加密技术 根据密钥类型不同可以将现代密码技术分为两类：对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。 在实际应用中通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。 14.2 网络安全实现技术介绍 2. 防火墙技术 目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。 包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。 应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。 14.2 网络安全实现技术介绍 3. 网络安全扫描技术 (1)网络远程安全扫描 (2)防火墙系统扫描 (3)Web网站扫描 (4)系统安全扫描 14.2 网络安全实现技术介绍 4. 网络入侵检测技术 网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。 14.2 网络安全实现技术介绍 5. 黑客诱骗技术 黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。 14.2 网络安全实现技术介绍 6. 网络安全技术的综合利用 目前常用的自适应网络安全管理模型，通过防火墙、网络