计算机网络应用基础 国家精品课程配套教材 教学课件 冯博琴 ch8-2.ppt

计算机网络应用基础 第8章 网络安全与网络管理 (Ⅱ) 本章内容 8.1 常见计算机网络安全问题 8.2 企事业单位网络安全的基本概念 8.3 客户端安全性 8.4 服务器安全性 8.5 企业网络安全性 8.4 服务器安全性 服务器安全的内容包括 实现服务器内容的访问控制 Web服务器认证 端到端的通信内容保密 检查服务器自动启动作业 查看服务器端口 服务器审计 1.访问控制 访问控制（Access Control）,是每个网络操作系统必做的“家庭作业” 访问控制一般指对操作系统中文件系统资源的管理和权限（Permission）分配 基本功能包括登录控制、文件访问控制、用户磁盘配额管理等 访问控制举例（UNIX） 在UNIX/Linux系统中，将系统中的所有资源归纳为文件 而对文件的访问又归纳为对三类用户 （u-文件属主，g-同组用户，o-其他用户）分别进行三种操作（r-读，w-写，x-执行） 文件属主可以使用chmod（Change Mode）命令改变文件的访问权限 系统管理员可以使用chown（Change owner）命令改变文件的属主 访问控制举例（Windos） 限制目录写入和修改 因为目前的木马和病毒都倾向驻留在system32目录下,以便伪装成系统程序，增强反侦察能力 如果在系统安装完毕后，用命令限制system32的写入和修改权限的话那么,它们就没有办法再躲在里面鱼目混珠 例如： cacls C:\windows\system32 /G administrator:R //禁止修改、写入C:windowssystem32目录 必须注意上述命令在Windows NT系列服务器中得到支持，但前提是文件系统必须是NTFS格式的 访问控制---磁盘配额 磁盘配额是一种非常重要的功能 在大型的企业应用中,如果不能监视并限制用户对磁盘的访问,服务器的硬盘空间将很快就被占满 目前的Linux和Windows主流版本都支持磁盘配额 2.Web服务器认证 不少读者在访问一些网站的某些资源时，浏览器弹出一个对话框，要求输入用户名和密码来获取对资源的访问，这就是Web服务器要求用户进行认证的一种形式 Apache是目前流行的一种Web服务器，可运行在Linux、Unix、Windows等操作系统下，Apache用户认证所需要的用户名和密码有两种不同的存贮方式: 文本文件 MSQL、Oracle、MySQL等数据库 详情参见课程实验 3.端到端的通信内容保密 常用来为Web客户端和Web服务器提供数据加密和认证 这个协议首先进行握手阶段，来协商加密算法和密钥 客户端对服务器进行认证 可以选择让服务器对客户端进行认证 Apache Friend 1.0支持Open SSL (Port:443) SSL， Secure Socket Layer 4.检查服务器自动启动作业 虽然木马程序是由入侵者植入的，但是需要发挥作用则必须开启端口，建立服务器进程 一般木马程序会在系统的启动过程中，自动载入内存并运行。而在Windows下，自动启动进程的通道包括： 1)注册表启动项 2)开始菜单启动组 3)系统INI文件(Win.ini和System.ini) 4)批处理文件（C:\AUTOEXEC.BAT和C:\WINDOWS\WinStart.bat”） 5.查看服务器端口 通过分析所打开的端口，将范围缩小到具体的进程上 使用进程分析软件，例如“Windows优化大师”中的WinProcess.exe程序，来查找可能的木马程序 有些木马会通过端口劫持或者端口重用的方法来进行通信的，一般它们会选择139、80等常用端口，所以分析时要多加注意 可以利用网络嗅探软件(如:CommView)来检查打开的端口究竟在传输些什么数据 6.服务器的审计 事后型安全管理手段 服务器的审计分若干层次 操作系统级（系统的登录和事件日志） 服务应用级（例如：/var/log，各种应用的日志） 应用软件级（一般CMS都有日志和统计，可以用来进行分析） 日志举例（操作系统级） 日志举例（服务应用级） 日志举例（CMS级） 网站的访问统计 8.5 企业网络安全性 企业网络的安全性是对企事业单位的网络进行总体监控 内容包括 使用防火墙控制企事业单位使用网络的行为 使用专用软件对企事业单位的内部网络进行流量分析和监控管理 防火墙概述 根据防火墙所采用的技术不同，可以将它分为四种基本类型：分组过滤型、网络地址转换型、代理型和监测型 从基本理论上看，防火墙处于因特网体系结构的网络层，负责网络间的安全认证和传输 现代防火墙不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务 另外，还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发