网络管理与维护4PPT课件下载推荐.ppt

1、普通高等教育“十一五”规划教材 网络安全的通用模型指出了设计特定安全服务的四个基本任务：（1）设计加密算法，进行安全性相关的转换。（2）生成算法使用的保密信息。（3）开发分发和共享保密信息的方法。（4）指定两个主体要使用的协议，并利用安全算法和保密信息来实现特定的安全服务。普通高等教育“十一五”规划教材 12.1.1 计算网络面临的威胁计算网络面临的威胁1.网络内部威胁网络内部威胁（1）计算机系统的脆弱性（2）网络内部的威胁2.网络外部威胁网络外部威胁（1）物理威胁（2）网络威胁（3）身份鉴别（4）编程威胁（5）系统漏洞 普通高等教育“十一五”规划教材 12.1.2 计算机网络的安全策略计算机

2、网络的安全策略1.物理安全策略物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机。对于抑制和防止电磁泄漏也是物理安全策略的一个主要问题。目前有两类防止电磁泄漏的措施：一类是对传导发射的防护另一类是对辐射的防护普通高等教育“十一五”规划教材 2.访问控制策略访问控制策略网络安全防范和保护的主要策略访问控制策略，它的主要任务是防止网络资源被非法使用和非常访问。3.信息加密策略信息加密策略信息加密是为

3、了保护网内的数据、文件、口令和控制信息，保护网上传输的数据。按作用不同，信息加密技术主要分为数据传输、数据存储、数据完整性鉴别以及密钥管理技术四种。4.网络安全管理策略网络安全管理策略 为了使网络系统安全可靠地运行，除了在技术上得到保障外，还必须制定一系列完善的安全管理措施和管理规章制度普通高等教育“十一五”规划教材 12.1.3 配置网络策略的实例配置网络策略的实例1.IPSec管理单元的创建管理单元的创建 在对IPSec策略进行配置之前，必须先创建IPSec MMC管理单元。在“控制台根节点”窗口中选择“文件”“添加/删除管理单元”命令。在“添加/删除管理单元”对话框中选择“独立”选项卡，

4、并单击“添加”按钮。普通高等教育“十一五”规划教材 2.配置配置IPSec策略策略完成IPSec MMC管理单元的创建以后，便可以开始对新建的安全策略进行编辑了。右击“控制台根节点”窗口右侧列表框的“安全服务器”，在弹出的菜单中选择“属性”选项普通高等教育“十一五”规划教材 12.2 网络服务器安全网络服务器安全1.DATA服务器服务器 1）支持SQL服务器的Internet Database Connector（简称IDC）的安全性 必须注意以下几点：（1）使用NTFS分区。（2）TCP/IP过滤。（3）使用防火墙及代理服务器。（4）给予用户执行日常任务所必需的最低等级的访问许可权。（5）强

5、制执行口令和登录策略。2）IIS本身的安全性问题通过使用SQL Web Assistant也可以多少地保证Microsoft Exchange服务器、Internet信息服务器和SQL的安全。普通高等教育“十一五”规划教材 2.DNS服务器服务器 DNS（Domain Name System）是域名系统的缩写，它是嵌套在阶层式域结构中的主机名称解析和网络服务的系统。DNS的作用是把IP地址转化为代表主机、网络和邮件别名的助记名。对于DNS服务器，一般遇到的问题有：（1）名字欺骗。（2）信息隐藏。可以运用以下措施来解决上述DNS服务器的安全漏洞：（1）通过设置DNS服务器本地安全策略、访问权限控

6、制来提高服务器的安全性。（2）利用NAT（网络地址转换）和软硬件防火墙实现对DNS服务器的防护。普通高等教育“十一五”规划教材 3.MAIL服务器服务器电子邮件服务器可以分为：发送服务器和接受服务器。减少对邮件服务器病毒或非法入侵攻击的主要措施包括了：（1）配置邮件服务器自带的安全策略。（2）使用代理服务器或防火墙。（3）完善邮件服务器的程序代码。普通高等教育“十一五”规划教材 12.3 路由器安全路由器安全 1.堵住安全漏洞堵住安全漏洞2.避免身份危机避免身份危机3.禁用不必要服务禁用不必要服务4.限制逻辑访问限制逻辑访问5.监控配置更改监控配置更改普通高等教育“十一五”规划教材 12.4

7、病毒防范病毒防范随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。当计算机系统或文件染有计算机病毒时，需要检测和消除。普通高等教育“十一五”规划教材 12.4.1 病毒的特点 概括地说，计算机病毒一般具有以下特点：1.破坏性破坏性2.传染性传染性3.藏匿性藏匿性4.主动性主动性5.针对性针对性6.非授权性非授权性7.变异性变异性8.寄生性寄生性9.顽固性顽固性普通高等教育“十一五”规划教材 12.4.2 病毒的传染方式 1.被动传染被动传染这种传染方式指的是用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程

8、序从一方传递到另一方。2.主动传染主动传染计算机病毒是以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身感染给另一个载体或另一个系统。普通高等教育“十一五”规划教材 12.4.3 计算机病毒技术的新动向计算机病毒技术的新动向当前计算机病毒的发展趋势是：1.病毒的演化病毒的演化2.多变型病毒多变型病毒3.针对杀毒软件针对杀毒软件4.充分利用网络载体充分利用网络载体普通高等教育“十一五”规划教材 12.4.4 病毒防范措施病毒防范措施1.新设备的系统测试新设备的系统测试2.计算机系统的启动计算机系统的启动3.单台计算机系统的安

9、全使用单台计算机系统的安全使用4.数据备份数据备份 5.安全使用计算机网络安全使用计算机网络6.网络系统管理员的职责网络系统管理员的职责普通高等教育“十一五”规划教材 12.5 黑客入侵防范黑客入侵防范12.5.1 黑客们常用的攻击手段黑客们常用的攻击手段1.口令的猜测或获取口令的猜测或获取1）字典攻击2）假登录程序3）密码探测程序4）修改系统普通高等教育“十一五”规划教材 2.IP欺骗与窥探欺骗与窥探1）窥探窥探（Sniffing）是一种被动式的攻击，其又叫网络监听，是黑客们常用的一种方法，其目的是利用计算机的网络接口截获其他计算机的数据报文或口令。2）欺骗欺骗（Spoofing）是一种主动

10、式攻击，即网络上的某台机器伪装成另一台不同的机器。Web欺骗示意图 普通高等教育“十一五”规划教材 3.扫描扫描扫描工具能找出目标主机上各种各样的漏洞来，许多网络入侵首先是由扫描程序开始的。常用扫描工具有撒旦（SATAN）、ISS等。普通高等教育“十一五”规划教材 12.5.2 防范方法防范方法1.发现黑客发现黑客（1）入侵者正在行动时，捉住入侵者。（2）根据系统发生的一些改变推断系统已被入侵。（3）其他站点的管理员收到邮件，称从本站点有人对“他”的站点大肆活动。（4）根据系统中一些奇怪的现象，发现入侵者。（5）经常注意登录文件并对可逆行为进行快速检查，检查访问及错误登录文件，检查系统命令如l

11、ogin等的使用情况。（6）使用一些工具软件可以帮助发现黑客。普通高等教育“十一五”规划教材 2.处理原则处理原则（1）发现黑客后，千万不要惊慌。（2）记录每一件事情，甚至包括具体日期和时间。（3）估计形势。（4）采取相应措施。普通高等教育“十一五”规划教材 3.发现黑客后的处理对策发现黑客后的处理对策（1）不理。（2）使用write或者talk工具询问他们究竟想要做什么。（3）跟踪这个连接，找出入侵者的来路和身份。（4）管理员可以使用一些工具来监视入侵者，观察他们正在做什么。（5）杀死这个进程来切断入侵者与系统的连接。（6）找出安全漏洞并修补漏洞，再恢复系统。（7）最后，根据记录的整个文件的发生发展过程，编档保存，并从中吸取经验教训。普通高等教育“十一五”规划教材 小结 本章介绍了当前计算机网络面临的威胁和计算机网络几种安全策略以及各种类型的安全问题、黑客常用的攻击手段。学习并掌握各种防范方法。然后，又讲述了路由器面临的安全问题和采用的各种安全措施及路由器的安全设置方法。