第8节网络系统安全部署摘要.ppt

网络的组成元素 现有网络中存在的问题 导致这些问题的原因是什么 现有网络安全体制 网络安全的演化 病毒的演化趋势 木马程序、黑客 应用安全 网络安全保护需求 网络安全保护对策 导致这些问题的原因是什么？ 现有网络安全体制 网络安全的演化 病毒的演化趋势 病毒发展史 病毒发展史（续1） 病毒出现越来越快 网络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 在本地硬盘上并不留下文件 由于其在网络上进行扫描的动作，可能会引起严重的网络负载 如果攻击是属于常规的应用，例如SQL, IIS等就可能穿过防火墙 垃圾邮件的发展速度和趋势 管理分析 实施策略 8.2 网络安全接入与认证 802.1x协议及工作机制 基于RADIUS的认证计费 基于802.1x的认证计费 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例 8.2.1 802.1x协议及工作机制 802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。 8.2.1 802.1x协议及工作机制 802.1x协议包括三个重要部分： 客户端请求系统（Supplicant System） 认证系统（Authenticator System） 认证服务器（Authentication Server System） 8.2.2 基于RADIUS的认证计费 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点，服务器在和网络接入服务器（NAS，Network Access Servers）通信的过程中是如何保证安全和完整性的。另外，RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额，这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC，利用SQL Server数据库保存和访问用户配置文件。 8.2.3 基于802.1x的认证计费 8.2.4 几种认证方式比较 8.2.5 防止IP地址盗用 8.2.5 防止IP地址盗用 8.2.6 802.1x+RADIUS的应用案例 8.3 网络病毒及防御 8.4 保护网络边界 防火墙和路由器应用 -1 边界安全设备叫做防火墙。防火墙阻止试图对组织内部网络进行扫描，阻止企图闯入网络的活动，防止外部进行拒绝服务（DoS，Denial of Service）攻击，禁止一定范围内黑客利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。不管在网络中每一段用的是什么类型的网络（公共的或私有的）或系统，防火墙都能把网络中的各个段隔离开并进行保护。 防火墙和路由器应用 -2 防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作（下图），边界路由器是安全的第一道屏障。通常的做法是，将路由器设置为执报文筛选和NAT，而让防火墙来完成特定的端口阻塞和报文检查，这样的配置将整体上提高网络的性能。 根据这个网络结构设置防火墙，最安全也是最简单的方法就是：首先阻塞所有的端口号并且检查所有的报文，然后对需要提供的服务有选择地开放其端口号。通常来说，要想让一台Web服务器在Internet上仅能够被匿名访问，只开放80端口（http协议）或443端口（https–SSL协议）即可。 使用网络DMZ 8.4.3 构建入侵检测系统 构建入侵检测系统建构步骤 8.4.5 路由器认证技术及应用 OSPF基本配置举例 OSPF基本配置举例 使用身份验证 身份验证案例 8.5 访问控制列表与应用 ACL概貌 ACL配置 扩展ACL ACL应用 什么是ACL? ACL是针对路由器处理数据报转发的一组规则，路由器利用这组规则来决定数据报允许转发还是拒绝转发 如果不设置ACL路由器将转发网络链路上所有数据报，当网络管理设置了ACL以后可以决定哪些数据报可以转发那些不可以 可以利用下列参数允许或拒绝发送数据报： 源地址 目的地址 上层协议(例如：TCP UDP端口号) ACL可以应用于该路由器上所有的可路