《计算机网络技术基础与实战》课件第八章.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《计算机网络技术基础与实战》课件第八章.pptx》由用户(momomo)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络技术基础与实战 计算机网络技术 基础 实战 课件 第八
- 资源描述:
-
1、构建网络的铜墙铁壁08章节导读 随着互联网的发展,人们对网络的依赖随着互联网的发展,人们对网络的依赖程度越来越高,网络中的潜在威胁也日益突程度越来越高,网络中的潜在威胁也日益突出。尤其近几年,不法分子对系统的攻击手出。尤其近几年,不法分子对系统的攻击手段愈加多样化,某种特定程度的技术远不足段愈加多样化,某种特定程度的技术远不足以确保一个系统的安全。网络安全最基本的以确保一个系统的安全。网络安全最基本的要领是要有预备方案,即不是在遇到问题的要领是要有预备方案,即不是在遇到问题的时候才去处理,而是通过对可能发生的问题时候才去处理,而是通过对可能发生的问题进行预测,在可行的最大范围内为系统制定进行预
2、测,在可行的最大范围内为系统制定安保对策,进行日常运维,构建网络的铜墙安保对策,进行日常运维,构建网络的铜墙铁壁,才是保障网络正常运行的重中之重。铁壁,才是保障网络正常运行的重中之重。0504030201了解防火墙和入侵检测系统的基本原理学习目标了解对称密码体制和非对称密码体质的区别熟悉常见的身份认证技术及安全协议掌握最常见的网络攻击手段及防范措施熟悉Windows 7系统的基本安全配置、MD5加密解密工具的使用以及IE浏览器的安全配置任务8.1 了解网络攻击与防范5 8.1.1 网络安全研究的主要问题计算机网络安全是涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、
3、信息论等多种学科的综合学科,包括网络管理、数据安全等很多方面。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或恶意的攻击而遭到破坏、更改、泄露,系统能连续可靠地正常运行,网络服务不中断。网络安全包括物理安全、逻辑安全、操作系统安全和网络传输安全。6 8.1.1 网络安全研究的主要问题物理安全物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。(1)防盗。(2)防火。(3)防静电。(4)防雷击。(5)防电磁泄漏。1 17 8.1.1 网络安全研究的主要问题逻辑安全计算机的逻辑安全主要用口令、文件许可、加密、
4、检查日志等方法来实现。防止黑客入侵主要依赖于计算机的逻辑安全。逻辑安全可以通过以下措施来加强:(1)限制登录的次数,对试探操作加上时间限制;(2)把重要的文档、程序和文件加密;(3)限制存取非本用户自己的文件,除非得到明确的授权;(4)跟踪可疑的、未授权的存取企图。2 28 8.1.1 网络安全研究的主要问题操作系统安全操作系统是计算机中最基本、最重要的软件,同一计算机可以安装几种不同的操作系统。如果计算机系统需要提供给许多人使用,操作系统必须能区分用户,防止他们相互干扰。一些安全性高、功能较强的操作系统可以为计算机的不同用户分配账户。不同账户有不同的权限。操作系统不允许一个用户修改由其他账户
5、产生的数据。操作系统分为网络操作系统和个人操作系统,其安全内容主要包括如下几方面:(1)系统本身的漏洞;(2)内部和外部用户的安全威胁;(3)通信协议本身的安全性;(4)病毒感染。3 39 8.1.1 网络安全研究的主要问题网络传输安全网络传输安全是指信息在传播过程中出现丢失、泄露、受到破坏等情况。其主要内容如下:(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数据的保密性和完整性,以及各通信的可信赖性。4 410 8.1.2 网络攻击的主要手段1网络攻击的概念计算机网络攻击是指网络攻击者利用网络通信协议自身存在的缺陷、用户使用的操作系统内在缺陷或用户使
6、用的程序语言本身所具有的安全隐患,通过使用网络命令或者专门的软件非法进入本地或远程用户主机系统,获得、修改、删除用户系统的信息以及在用户系统上插入有害信息,降低、破坏网络使用性能等一系列活动的总称。11 8.1.2 网络攻击的主要手段12 8.1.2 网络攻击的主要手段2常见的攻击方法 为了获取访问权限,或者修改、破坏数据等,攻击者会综合利用多种攻击方法达到其目的。常见的攻击方式主要有以下几种:1.获取口令3.WWW欺骗技术2.放置特洛伊木马程序4.电子邮件攻击5.通过一个节点来攻击其他节点6.SQL注入攻击7.数据库入侵攻击8.跨站攻击13 8.1.2 网络攻击的主要手段 获取口令有多种方式
7、,包括:通过网络监听非法得到用户口令;在知道用户的账号后获取口令有多种方式,包括:通过网络监听非法得到用户口令;在知道用户的账号后(如用户电子邮件口令如用户电子邮件口令前面的部分前面的部分)利用一些专门软件强行破解;在获得一个服务器上利用一些专门软件强行破解;在获得一个服务器上的用户口令文件的用户口令文件(此文件成为此文件成为Shadow文件文件)后,用暴力破解程序破解用户口令。后,用暴力破解程序破解用户口令。获取口令1 114 8.1.2 网络攻击的主要手段特洛伊木马程序可以直接侵入用户的电脑并进行破坏。它常被伪装成工具程序或者游戏等,诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载
8、,一旦用户打开了这些邮件的附件或者执行了这些程序,它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。放置特洛伊木马程序2 215 8.1.2 网络攻击的主要手段WWW欺骗技术是指要访问的网页已经被黑客篡改过。例如,黑客将用户要浏览网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,黑客就可以达到欺骗的目的了。电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万
9、计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至造成服务器瘫痪。二是电子邮件欺骗,这类欺骗只要用户提高警惕,一般危害性不是太大。电子邮件攻击4 4WWW欺骗技术3 316 8.1.2 网络攻击的主要手段通过一个节点来攻击其他节点是指黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系攻击其他主机。这类攻击很狡猾,但由于IP欺骗等技术很难掌握,因此较少被黑客使用。SQL注入攻击技术自2004年开始逐步发
10、展,并日益流行,已成为WEB入侵的常青技术。这主要是因为网页程序员在编写代码时,没有对用户输入数据的合法性进行判断,使得攻击者可以构造并提交一段恶意的数据,根据返回结果来获得数据库内存储的敏感信息。由于编写代码的程序员技术水平参差不齐,一个网站的代码量往往又大得惊人,使得注入漏洞往往层出不穷,也给攻击者带来了突破的机会。SQL常用的注入工具有pangolin、NBSI3.0等。SQL注入攻击6 6通过一个节点来攻击其他节点5 517 8.1.2 网络攻击的主要手段数据库入侵包括默认数据库下载、暴库下载以及数据库弱口令连接等攻击方式。默认数据库漏洞是指部分网站在使用开源代码程序时,未对数据库路径
11、以及文件名进行修改,导致攻击者可以直接下载到数据库文件进行攻击。暴库下载攻击是指由于IIS存在%5C编码转换漏洞,因此攻击者在提交特殊构造的地址时,网站将数据库真实物理路径作为错误信息返回到浏览器中。攻击者即可以此下载到关键数据库。数据库弱口令连接入侵是指攻击者将通过扫推得到的弱口令,利用数据库连接工具直接连接到目标主机的数据库上,并依靠数据库的存储过程扩展等方式,添加后门账号、执行特殊命令。跨站攻击是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。跨站攻击的目标是为
12、了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到用户信息后,攻击者甚至可以假冒最终用户与网站进行交互。图8-2为XSS攻击的过程。跨站攻击8 8数据库入侵攻击 7 718 8.1.3 网络安全的常见防范技术1.数据加密技术5.网络入侵检测技术3.防火墙技术2.信息确认技术4.网络安全扫描技术6.黑客诱骗技术19 8.1.3 网络安全的常见防范技术数据加密技术对网络中传输的信息进行加密是保障信息安全最基本、最核心的技术措施和理论基础。信息加密是现代密码学的核心内容,其过程由形形色色的加密算法来实现,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性
13、的唯一方法。1 120 8.1.3 网络安全的常见防范技术信息确认技术信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假置的目的。一个安全的信息确认方案应该能:使合法的接收者验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三方仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。消息确认是指约定的接收者能够证实消息是由约定发信者送出的,且在通信过程中未被篡改过。身份确认是指用户的身份能够被正确判定,最简单但却最常用的身份确认方法有个人识别号、口令、个人特征(如指纹)等。数字签名与日常生活中的手写签名
14、效果一样,它不但能使消息接收者确认消息是否来自合法方,而且可以为仲裁者提供发信者对消息签名的证据。2 221 8.1.3 网络安全的常见防范技术防火墙技术尽管近年来各种网络安全技术不断涌现,但到目前为止防火墙仍是网络系统安全保护中最常用的技术。防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可以是硬件和软件的结合。这种安全部件处于被保护网络和其他网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或做出其他操作。防火墙系统不仅能够保护网络资源不受外部的入侵,而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的
15、隔离,也可用于内部网络不同网段的隔离,后者通常称为Intranet防火墙。3 322 8.1.3 网络安全的常见防范技术网络安全扫描技术网络安全扫描技术是指为使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应防范措施,从而降低系统安全风险而发展起来的一种安全技术。利用安全扫描技术,可以对局城网络、Web站点、主机操作系统、系统服务及防火墙系统的安全漏洞进行扫描,同时系统管理员可以了解在运行的网络系统中存在的不安全的网络服务,在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误。网络安全扫描技
16、术主要有网络远程安全扫描、防火墙系统扫描、Web网站扫描、系统安全扫描等几种方式。4 423 8.1.3 网络安全的常见防范技术网络入侵检测技术网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。5 5黑客诱骗技术黑客诱骗技术是近期发展起来的一种网络安全技术,通过由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。6 6任务8.2 认识网络安全的构成要素25 8.2 认识网络
17、安全的构成要素TCP/IP相关的安全要素如图所示。下面,我们对这些要素进行简要介绍。26 8.2.1 防火墙防火墙的概念1 1防火墙(Firewall)是一种硬体设备或软件系统,主要部署在内部网络和外部网络间,可防止外界恶意程序对内部系统的破坏,或阻止内部重要信息向外流出,有双向监督的功能,如图所示。27 8.2.1 防火墙防火墙的功能2 21)保护脆弱的服务防火墙作为阻塞点、控制点,能极大地提高内部网络的安全性,并通过过滤不安全的服务从而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,因此网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP
18、重定向中的重定向路径。28 防火墙可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。8.2.1 防火墙2)控制对系统的访问3)策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。29 使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,记录和统计网络数据以及非法使用数据,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并在日志中进行记录,同时也能提供网络使用情况的统计数据。8.2.1 防火墙防火墙对企业内部网实现集中的安全管理。防火墙定义的
19、安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略;可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件;外部用户也只需要经过一次认证即可访问内部网。4)集中的安全管理5)对网络存取和访问进行监控审计30 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。VPN可将企事业单位分布在全世界各地的LAN或专用子网有机地连成一个整体,不仅省去了专用通信线路,而且为信息共享提供了技术保障。8.2.1 防火墙通过防火墙对内部网络的划分,可实现内部网络重点网段的隔离,从而限制局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私
20、是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含有关安全的线索而引起外部攻击者的兴趣,甚至因此暴露内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务。6)防止内部信息的外泄7)与VPN结合31 8.2.1 防火墙防火墙的分类3 3防火墙的实现从层次上大体可分为包过滤防火墙,代理防火墙和复合型防火墙三类,如图8-5所示。随着技术的发展,防火墙产品还在不断完善、发展,目前出现的新技术类型主要有状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。32 8.2.1 防火墙防火墙的缺陷4 4由
21、于互联网的开放性,防火墙也有一些弱点,并不能完全保护网络不受攻击。防火墙的主要缺陷有:(1)防火墙对绕过它的攻击行为无能为力。(2)防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输。要防范病毒,只能安装反病毒软件。(3)防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往以牺牲网络服务的灵活性、多样性和开放性为代价。33 8.2.2 入侵检测系统入侵检测的概念1 1入侵检测(Intrusion Detection,ID)就是通过监测并分析计算机系统的某些信息检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录、网络流量、应用程序日志等。入侵是指未经授权的计
22、算机使用者以及不正当使用计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测的研究开始于20世纪80年代,进入20世纪90年代成为研究与应用的热点,其间出现了许多研究原型与商业产品。在实际应用中,入侵检测比以上简单的定义要复杂得多,一般是通过各种入侵检测系统(Intrusion Detection System,IDS)来实现各种入侵检测的功能。34 8.2.2 入侵检测系统入侵检测系统的原理及应用2 2入侵检测系统主要执行如下任务:(1)监视、分析用户及系统活动。(2)对系统构造和弱点进行审计。(3)识别反应已知的进攻活动模式并向相关人士报警。(4)对异常
23、行为模式进行统计分析。(5)评估重要系统和数据文件的完整性。(6)对操作系统进行审计跟踪管理,并识别用户违反安全策略的行为。35 8.2.2 入侵检测系统入侵检测系统的分类3 31)根据数据来源不同分类根据数据来源不同,入侵检测系统可分为基于网络的入侵检测系统和基于主机的入侵检测系统。(1)网络型入侵检测系统。网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式,监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说,网络型入侵检测系统担负着保护整个网络的任务。(2)主机型入侵检测系统。主机型入侵检测系统是以系统日志、应用程序日志等作为数据源。当然也可以通过其他
24、手段(如检测系统调用)从所有的主机上收集信息进行分析。36 8.2.2 入侵检测系统入侵检测系统的分类3 32)根据检测方法不同进行分类入侵检测系统根据检测的方法不同可分为异常检测和误用检测两种,如图8-6所示。37 8.2.2 入侵检测系统CIDF模型(Common Intrusion Detection Framework,公共入侵检测框架)是一个入侵检测系统(Instrusion Detection System,IDS)的通用模型,它将一个入侵检测系统分为以下组件:(1)事件产生器:从整个计算环境中获得事件,并向系统的其他部分提供此事件。(2)事件分析器:分析得到的数据,并产生分析结果
25、。(3)响应单元:对分析结果做出反应的功能单元。它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。(4)事件数据库:存放各种中间和最终数据的位置的统称。它可以是复杂的数据库,也可以是简单的文本文件。入侵检测系统技术分析4 438 8.2.2 入侵检测系统入侵检测的基本流程5 5入侵检测的基本流程如图8-7所示,详细的过程为:网络报文捕获IP层协议解码TCP/UDP/ICMP协议解码TCP状态跟踪应用层协议解码攻击特征检测报警及动态响应。根据CIDF模型,各个环节的对应关系是:网络报文捕获、IP层协议解码、TCP/UDP/ICMP协议解码、TCP状态跟踪、应用层协议解码对应事件产
展开阅读全文