【精品】网络安全和防火墙 - (港周线波形梁护栏、钢筋混凝土护栏...29教学文稿.ppt

实现安全保护 五个步骤 (书7-3) 区别资源和需求 定义安全策略 保护每一个资源和服务 日志记录、测试和评估 重复这个过程，保护最新的安全 资源和服务 通过各种技术来保护资源和服务 保护数据不被嗅探 适时调整方法和技术 通过更改默认设置来保护服务 移除没必要的服务 保护TCP/IP服务 最通用的Internet服务: HTTP, FTP, SMTP 服务器 Web服务器的安全 在操作系统上为硬盘分区. 把操作系统安全放在第一个分区 把Web服务放在第二个分区 把主目录放在第三个分区 通用网关接口(CGI) : 威胁: 信息泄露 间接执行系统命令 方案: 书写安全的 CGI脚本 保护TCP/IP服务 File Transfer Protocol servers(FTP) (书7-19) 威胁: 填充硬盘 (DoS) 解决方案: 放置FTP主目录在非系统分区 只允许只读访问 访问控制—变换文件所有者 Simple Mail Transfer Protocol (SMTP) 威胁: Internet蠕虫和病毒 解决方案: 安全网络级病毒扫描软件 实施认证控制 测试和评估 测试已存在的系统 用黑客的方法测试你的网络 参考服务器日志记录 不要变成一个自满者 实现一个安全新系统 实现一个安全新系统 拷贝相同的系统策略 放置系统在不同的子网 模拟正常的网络环境 用黑客常规攻击方式测试这个新系统 检测软件 优点: 方便的, 自动的 劣势 : 不能发现新的漏洞问题 三个主要的测试工具种类: 网络扫描器 操作系统版本识别 记录并分析日志 Lesson 8:防火墙 目标 定义和描述防火墙 描述防火墙在安全策略中的角色 定义描述通用防火墙专业术语 描述包过滤和他们的特性 描述链路级网关和他们的特性 描述并且配置一个应用级网关 定义并描述一个防火墙 防火墙用于阻止带有潜在恶意的数据电报, 就像一道隔在你和户外之间的门 防火墙控制从外网到内网之间的整个区域 防火墙术语 网关 在两个设备之间提供了中继服务的系统 包过滤器 基于包的结构处理网络数据包的设备 链路级网关 防火墙的功能被两种主机角色分开: 屏蔽路由器 +应用层防火墙 保护两个防火墙之间的连接 优点: 在攻击发生的时候提供一个默认的容错 可以提供NAT功能 防火墙术语 应用层网关 作用于OSI参考模型的每一个层次 代理服务器： 代表内部主机连接外部服务器 网络地址转换(NAT) NAT 转换内部IP为公网IP 可以使内部主机地址对外隐藏 堡垒主机 位于可信网络与非可信网络之间的计算机 通常充当一个代理、防火墙、网关的角色和功能 操作系统加固 安装了防火墙程序后删除所有没有用或不应该使用的存在潜在安全威胁的网络 对称加密技术 对称加密算法 DES(数据加密标准) Triple DES RSA 公司的对称算法 RC2 and RC4(最为经常使用的算法) RC5 RC6 Lotus Notes,Oracle,SQL 使用 RC4 IDEA Blowfish(448位密钥) and Twofish Skipjack MARS Rijndael and Serpen 非对称加密模型 非对称加密技术 非对称加密产品 RSA DSA(Digital Signature Algorithm) Diffie-Hellman Key-exchange protocol 哈希加密 定义 将数据转换为不可逆的数据形式 特点 单向 变长输入，定长输出 哈希算法 MD2,MD4 and MD5 (Message Digest N) 创建 单向的消息摘要 Secure hash algorithm: SHA(160位) 应用加密过程 对称加密、非对称加密和哈希加密的联合 E-mail 加密 PGP, S/MIME 文件加密 Md5sum Web 服务器加密 Secure HTTP SSL (Secure Sockets Layer) 应用加密过程 网络层加密 VPN (虚拟专用网络) : PPTP IPSec AH (验证头) ESP (加密安全负荷) SA (安全联合) IKE (Internet 密钥交换) 公钥基础架构(PKI) PKI 是基于X.509 标准的 授权机构(CA) CA 颁发的证书 Use of a Certificate to Encrypt Use of a Certificate to Decrypt Lesson 4:攻击类型 课前练习 书3-22 书3-30 书3-50 书3-61 目标 描述常见的攻击烈性 描述特殊的攻击类型 前门和蛮力攻击 字典攻击 用户自定义化的蛮力攻击 John the Ripper形式