局域网组建与维护第9章 局域网安全与管理.ppt

* * 第9章 局域网安全与管理 了解网络安全的内容 学会数据备份的方法 了解防火墙的概念 学会网络故障维护工具的使用 掌握常用的网络故障及处理方法 9.1 局域网安全 9.1.1 网络安全 1．网络安全主要内容 （1）网络环境安全：通过访问控制、身份识别和授权来监控用户在系统中的操作，监视路由器、防火墙的使用等； （2）数据加密：即使数据被偷窃也不至于泄密； （3）调制解调器安全：使用一些技术阻碍非法的调制解调器访问； （4）网络隔离：使用防火墙等技术以防止通讯威胁，有效地隔离非法入侵； （5）系统维护和管理计划：从安全的角度建立适当的规章制度，有计划地维护和管理网络，防患于未然； （6）灾难和意外应急计划：建立灾难应急计划、备份方案和其他方法等，保证能够及时恢复系统数据。 9.1 局域网安全 2．网络安全的五大原则 （1）私密性。当信息可被信息发送者和接收者之外的第三者以恶意或非恶意的方式得知时，就丧失了私密性。某些形式的信息特别强调隐私性，诸如个人身份资料、信用交易记录、医疗保险记录、公司研发资料及产品规格等。 （2）完整性。当信息被非预期的方式更改时，就丧失了完整性。如民航交通、金融交易等应用场合，资料遭受变动后可能会造成重大的生命财产损失，因此须特别重视资料的完整性。 （3）身份鉴别。身份鉴别要求使用者能够提出与宣称身份相符的证明。对于信息系统，这项证明可能是电子形式（如使用者账号密码、IC卡等），或其他独一无二的方式（如指纹、虹膜、声音等生物辨识）。 9.1 局域网安全 （4）授权。系统必须能够判定用户是否具备足够的权限进行特定的活动，如开启档案、执行程序等。因为系统授权给特定用户后，用户才具备运行于系统之上的权限，因此用户事先必须经由系统身份鉴别，才能取得对应的权限。 （5）不可否认性。用户在系统进行某项运作之后，若事后能提出证明，而无法加以否认，便具备不可否认性。因为在系统运作时必须拥有权限，不可否认性通常是架构在授权机制之上的。 3．网络安全威胁 表9-1列出了典型的网络安全威胁。 威 胁 描 述 窃听 网络中传输的敏感信息被窃听。 重传 攻击者事先获得部分或全部信息，以后将此信息发送给接收者。 伪造 攻击者用伪造的信息发送给接收者。 篡改 攻击者对合法用户之间的通信信息进行删除、修改、插入，再发送给接收者。 非授权访问 通过假冒、身份攻击、非法用户进入网络系统等手段进行违法操作，从而使非法用户进入网络系统读取、删除、修改、插入信息等。 拒绝服务攻击 攻击者通过某种方法使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至排斥合法用户而使其不能进入计算机网络系统或不能得到相应的服务。 行为否认 通信实体否认已经发生的行为。 旁路控制 攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”，利用这些“特征”，攻击者绕过防线守卫者渗入系统内部。 电磁/射频截获 攻击者从电子或机电设备所发出的无线射频或其他电磁辐射中提取信息。 人员疏忽 已授权人为了利益或由于粗心将信息泄露给未授权人。 9.1.2 数据备份 在局域网中的计算机中，特别是在服务器中，如DNS服务器、Web服务器、FTP服务器、电子邮件服务器和数据库服务器等，存放了大量重要的数据，这些数据一旦丢失，就如同硬盘丢失数据一样，后果不堪设想。由于服务器上的数据会随着管理员和用户的操作而经常发生变化，因此需要定期地对服务器中的重要数据进行备份。常用的备份软件有Ghost以及操作系统自带的磁盘备份工具等，这些软件可以将数据压缩后另存到除该数据所在目录下的其他位置，或者将整个磁盘用另一个磁盘进行镜像磁盘中的文件复制。 9.1.3 网络防火墙 1．防火墙 防火墙是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合，它允许一些数据分组通过，也禁止一些数据分组通过。防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问，这种控制是通过管理流入和流出这些资源的流量实现的。防火墙逻辑位置示意图如图9-9所示。 2．防火墙的功能 防火墙的功能主要有以下几方面： （1）过滤掉不安全服务和非法用户； （2）控制对特殊站点的访问； （3）提供监视Internet安全和预警的方便端点。 由于互联网的开放性，有许多防范功能的防火墙也有一些防范不到的地方。 （1）防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。 （2）防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 （3）防火墙不能防止数