计算机网络 第9章节：网络安全跟网络管理技术(yf59).pptVIP

* 主讲人：杨帆 * 假设网络安全策略规定： 内部网络的E-mail服务器（IP地址为192.1.6.2，TCP端口号为25）可以接收来自外部网络用户的所有电子邮件； 允许内部邮件服务器向外部电子邮件服务器发送电子邮件； 拒绝所有与外部网络中主机名为TESTHOST的连接（双向拒绝）。 * 主讲人：杨帆 * 包过滤规则表 * 主讲人：杨帆 * 9.3.3 应用网关的概念 多归属主机（multihomed host） 典型的多归属主机结构 * 主讲人：杨帆 * 应用网关 （P391） * 主讲人：杨帆 * 应用代理（application proxy） 应用代理使得不具备访问某些服务的客户可以通过代理实现对这些服务的访问。 * 主讲人：杨帆 * 9.3.4 防火墙的系统结构 1、单层防火墙 单独采用应用网关或包过滤路由器组成的防火墙； 处于关键部位、运行应用网关软件、起防火墙作用的计算机系统叫做堡垒主机。 * 主讲人：杨帆 * 2、双层防火墙 采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构 （P395） * 主讲人：杨帆 * 双层防火墙的工作过程： 包过滤路由器的转发和堡垒主机的判别过程 ① ② * 主讲人：杨帆 * 双层防火墙（S-B1配置）中的数据传输过程 * 主讲人：杨帆 * 3、多层防火墙 采用多级结构的防火墙系统（S-B1-S-B1配置）结构示意图 * 主讲人：杨帆 * 9.4 网络防攻击与入侵检测技术  9.4.1 网络攻击方法分析 入侵系统类攻击：主要途径有信息收集、获取口令、发现漏洞等； 缓冲区溢出攻击：迫使程序执行其他指令； 欺骗类攻击； 对防火墙的攻击； 利用病毒攻击； 木马程序攻击； 后门攻击； 拒绝服务攻击。 目前黑客攻击大致可以分为8种基本的类型： 目的是获得主机系统的控制权 * 主讲人：杨帆 * 9.4.2 入侵检测的基本概念 入侵检测系统（intrusion detection system）是对计算机和网络资源的恶意使用行为进行识别的系统； 其目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并采取相应的防护手段。 1、入侵检测系统（IDS） * 主讲人：杨帆 * 监控、分析用户和系统的行为； 检查系统的配置和漏洞； 评估重要的系统和数据文件的完整性； 对异常行为的统计分析，识别攻击类型，并向网络管理人员报警； 对操作系统进行审计、跟踪管理，识别违反授权的用户活动。 2、IDS的基本功能： * 主讲人：杨帆 * 3、IDS的框架结构 * 主讲人：杨帆 * 9.4.3 入侵检测的基本方法 （P400） 对各种事件进行分析，从中发现违反安全策略的行为（入侵检测系统的核心功能）； 入侵检测系统按照所采用的检测方法（技术）： ? 异常检测 ? 误用检测 ? 两种方式的结合 * 主讲人：杨帆 * 9.5 网络文件备份与恢复技术9.5.1 网络文件备份与恢复的重要性 应对各种人为误操作、设备故障、网络故障、自然灾害等突发事件的发生，保证网络服务的正常运行或可恢复运行。 * 主讲人：杨帆 * 9.5.2 网络文件备份的基本方法 规划备份方案（提供不同的恢复能力）。需要考虑以下两个问题： 1）如果系统遭到破坏需要多长时间才能恢复？ 2）怎样备份才可能在恢复系统时数据损失最少？ 选择备份设备 选择备份程序 建立备份制度 * 主讲人：杨帆 * 9.6 网络防病毒技术 9.6.1 造成网络感染病毒的主要原因 Email、文件下载时的病毒传播； 将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右； 从网络电子广告牌上带来的病毒约占7%； 从软件商的演示盘中带来的病毒约占6%； 从系统维护盘中带来的病毒约占6%； 从公司之间交换的软盘带来的病毒约占2%； 其他未知因素约占27%； 主要原因：网络信息来源广泛，网上的恶意病毒传播。 * 主讲人：杨帆 * 9.6.2 网络病毒的危害 网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所； 网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒； 网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上； 当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种