网络规划与设计第6章 网络安全结构设计 .pptVIP

大连理工大学出版社 大连理工大学出版社 第6章 网络安全结构设计? 　　网络安全的设计是网络规划与设计中的一项重要的工作，了解和掌握网络安全的概念、安全框架及策略是非常重要的。通过对影响网络安全的隐患的介绍，为网络安全的设计打下了基础。本章重点从安全风险分析、安全策略、选择安全协议及安全机制的设计阐述了网络安全结构的设计。 第6章 网络安全结构设计? 6.1 网络安全概述 6.1.1　 网络安全概念 　　所谓网络安全，是指在分布式计算环境中对信息的传输、存储、访问等处理提供安全保护，以防止信息被窃取、篡改和非法操作，而且在合法用户不发生拒绝服务。网络安全系统应提供保密性、完整性和可用性3个基本的安全服务，在分布网络环境下还应提供认证、访问控制和抗抵赖等安全服务。完整的网络安全保障体系应保护、检测（探测）、响应、恢复四个方面。 6.1 网络安全概述 6.1.2　安全框架 　　为了提高计算机网络的安全保密性，国际标准化组织ISO 在提出OSI参考模型之后，又制定了一个OSI安全体系结构，从而使计算机网络的安全保密技术研究更加具有全局性、协调性和有效性，并已成为事实上的研究计算机网络安全的共同依据的纲领。OSI安全体系结构的成果标志是ISO于1989年发布了ISO 7498-2标准。 6.1 网络安全概述 6.1.3　安全策略 　　所谓安全策略，就是有关管理、保护和发布敏感信息的法律、规定和实施细则，是指在某个安全区域中，用于所有与安全活动相关的一套规则（安全区域，通常是指属于某个组织的一系列处理和通信资源）。这些规则是由安全区域中所设立的一个安全权利机构建立的，并由安全控制机构来描述、实施或实现。 6.1 网络安全概述 1、安全策略的基本组成部分 2、安全策略的主要类容 6.1 网络安全概述 3、安全策略的作用 6.1 网络安全概述 6.1.4 　安全服务和安全机制 1、安全服务 　　安全服务，也叫安全业务，是指提高一个组织的数据处理系统和信息传递安全性的服务，这些服务的目的是对抗安全攻击，它们一般使用一种或多种安全机制来实现。国际标准化组织（ISO）对开放系统互联参考模型（OSI）规定了五种标准的安全服务。 6.1 网络安全概述 2、安全机制 　　所谓安全机制，是指用来检测、预防或从安全攻击中恢复的机制。安全机制可以分为两类：一类是与安全服务有关，它们被用来实现安全服务；另一类与管理功能有关，它们被用于加强对安全系统的管理。安全机制有以下八种。 6.2 影响网络安全的隐患 6.2.1 网络监听 1、网络监听的概念 　　网络监听是一种在网络上截取传输流的一种非常有效的办法。它指的是拦截网络上两台或多台机器之间传递的数据，并对这些数据进行分析，从而得到有用信息的一种方法。 2、网络监听的原理 　　要进行“监听”，首先要能“听”到才行。因此，对于不同的网络传输介质，其窃听的方法也不太一样。不同的网络传输介质被监听的可能性也不同。表6-1列出了几种常见的网络传输介质及其被监听的可能性。 6.2 影响网络安全的隐患 传输介质 原理说明 监听可能性 以太网 通过广播形式传送数据包，每个用户都有监听的可能 高 环网 平均可能经过半个环路，可能被监听 高 光纤网 很难搭线监听 低 xDSL 可以搭线监听 中 Cable 可以搭线监听 高 无线网 很容易被监听 高 表6-1 常见的网络传输形式和被监听的可能性 6.2 影响网络安全的隐患 3、以太网监听的原理 　　由于以太网使用单一的总线，所以以太网上的多台机器共享一条总线。一台网协议的工作方式是把数据帧发到总线上，所以的机器都可以接收到这个数据帧。以太网使用载波监听多重访问与冲突监测（CSMA/CD）技术，可以使以太网达到共享介质的目的。通常。数据发出时，是通过网络接口卡发送出去的。每个网络接口卡都有一个固定的48位地址，也叫MAC地址。 6.2 影响网络安全的隐患 4、网络监听的目的 　　网络监听的目的，主要是能够对该网络上的数据包进行各种分析，对于管理员来说可以得出某个站点到其他站点所占用的网络的带宽；而对于黑客来说，可以选择截获通信信息，找出可用的信息，供以后攻击使用。 6.2 影响网络安全的隐患 6.2.2 　IP地址欺骗 6.2 影响网络安全的隐患 6.2.3 　拒绝服务 1、拒绝服务的概念 6.2 影响网络安全的隐患 2、拒绝服务攻击的原理 　　（1）SYN Flood 　　（2）IP欺骗DoS攻击 　　（3） UDP洪水攻击 　　（4） Ping洪流攻击 　　（5）泪滴(teardrop)攻击 　　（6） Land攻击 　　（7） Smurf攻击 　　（8）Fr