2019年计算机网络安全技术.pptVIP

系统复杂带来的安全问题 系统和网络的复杂性 Internet跨越无数组织和国家，网络互连设备和通信介质多种多样 连接在Internet上的计算机和操作系统种类繁多 很难从根本上解决全部安全问题 系统设计带来的安全问题 系统设计中的缺陷 操作系统、网络协议和应用系统的设计中都或多或少的存在缺陷 早期的系统设计中对安全问题考虑较少、缺乏足够的安全知识和经验、没有形成严密的安全体系，随着网络的不断庞大，很难从根本上完全消除这些缺陷 系统实现带来的安全问题 系统实现中的缺陷 即使在系统设计中考虑周全，也可能出现对设计的理解上不一致，使得实现的系统并不是设计时所想象的系统，在实现细节上考虑不周 系统实现中的缺陷还往往出现在程序的错误上，由于时间所限，加之测试工具限制，许多系统未经充分测试就投入运行 系统管理带来的安全问题 即使在系统设计和系统实现过程中都较好地避 免缺陷存在，但是系统管理员和安全员是否正 确地安装、配置了系统？ 是否做好有效的安全隔离？ 是否清楚信任主机的安全状况？ 是否定期检查重要系统文件？ 其它 著名的例子：蠕虫病毒 Internet蠕虫 Robert T. Morris编写的一组C语言程序，它能通过网络传输和繁殖，导致计算机速度减慢并停机 1988年10月25日，Morris使用Guesses程序在Cornell和Standford上搜索到336个口令 1988年10月29日， Morris已经发现435个可以用来进入网络的口令 蠕虫扩散的经过 1988年11月2日下午5点，Worm进入Cornell大学 的计算机中，几小时之内，就传播到Berkeley， Harvard，MIT，Princeton，Purdue，Standford等 大学以及NASA研究中心等几百个其它研究中心 1988年11月2日晚上10点，Lawrence Livermore国 家实验室800台计算机的网络感染Worm。Morris 试图通过Internet发出一个告警信息，但大学的计 算机系统已经瘫痪。 几小时之内，全国范围内的6000多台机器受到了感染 蠕虫的技术攻击特点 漏洞：通过精心设计的邮件给sendmail系统，可 以强制sendmail以超级用户的权限执行命令；可 以确定远程主机操作系统信息、以及可运行的程 序。 缓冲溢出：利用finger可以看到系统中的敏感信息；由于系统调用get()时不检查参数的长度，用户控制下出现缓冲区溢出；如果熟悉操作系统，可以在遇到缓冲区溢出时转而执行另一程序（如Shell，成为root用户） 双绞线有两种接法：EIA/TIA 568B标准和EIA/TIA 568A标准。具体接法如下： T568A线序 1 2 3 4 5 6 7 8 绿白 绿 橙白 蓝 蓝白 橙 棕白 棕 T568B线序 1 2 3 4 5 6 7 8 橙白 橙 绿白 蓝 蓝白 绿 棕白 棕 直通线：两头都按T568B线序标准连接。 交叉线：一头按T568A线序连接，一头按T568B线序连接。 屏蔽主机模式特点 ? 在这种方式的防火墙中，堡垒主机安装在内部 网络上，通常在路由器上设立过滤规则，并使 这个堡垒主机成为从外部网络唯一可直接到达 的主机，这确保了内部网络不受未被授权的外 部用户的攻击。屏蔽主机防火墙实现了网络层 和应用层的安全，因而比单独的包过滤或应用 网关代理更安全。在这一方式下，过滤路由器 是否配置正确是这种防火墙安全与否的关键， 如果路由表遭到破坏，堡垒主机就可能被越过， 使内部网完全暴露。 屏蔽子网模式 ? 采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区（de-militarized zone）”网络，有时也称作周边网(perimeter network) 屏蔽子网模式特点 ? 网络管理员将堡垒主机，WEB服务器、Mail服务器等公用服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。 ? 堡垒主机运行各种代理服务 Windows操作系统 常用网络命令使用技巧详解 一、Ping命令的使用技巧　　Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数 据报交换并不表示TCP/IP配置就是正确的，我们必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。 Ping命令的常用参数选项 ping IP –t　　连续对IP地址