《网络安全管理与数字化学习幻灯片.ppt》由会员分享,可在线阅读,更多相关《网络安全管理与数字化学习幻灯片.ppt(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全管理与数字化学习第1页,共36页,编辑于2022年,星期二网络管理的职能配置管理 1.配置管理设备的配置信息;2.自动更新和保存配置;3.配置一致性校验;4.配置变化记录。性能管理 1.性能监控;2.性能分析;3.报警阈值控制故障管理 1.故障监测;2.故障报警;3.检索分析故障信息;4.排错支持工具。资源管理安全管理 1.认证口令;2.安全设备;3.访问控制规则;4.安全协议;5.日志记录与分析;6.漏洞检测分析;7.报警策略。应用管理第2页,共36页,编辑于2022年,星期二网络管理的常见问题与对策网络管理现状和解决办法网络管理现状和解决办法网络地址冲突;广播流量过大;网络速度较慢
2、网络故障频繁;故障恢复时效低第3页,共36页,编辑于2022年,星期二主要研讨内容网络安全概述网络层攻击与防火墙网络入侵与网站安全如何提高网络应用效益第4页,共36页,编辑于2022年,星期二网络安全概述网络安全的定义网络攻击的类型网络安全防护策略第5页,共36页,编辑于2022年,星期二防火墙技术为什么需要防火墙什么是防火墙防火墙的技术演进防火墙的主要功能第6页,共36页,编辑于2022年,星期二防火墙在网络安全部署中所处的位置、角色?防火墙在网络安全部署中所处的位置、角色?一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不
3、同网络安全域网络安全域网络安全域网络安全域之间,它通过相关的安全策略来之间,它通过相关的安全策略来之间,它通过相关的安全策略来之间,它通过相关的安全策略来控制控制控制控制(允许、拒绝、监视、记录)(允许、拒绝、监视、记录)(允许、拒绝、监视、记录)(允许、拒绝、监视、记录)进出网络的访问行为。进出网络的访问行为。进出网络的访问行为。进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据
4、访问控制规则决定进出网络的行为第7页,共36页,编辑于2022年,星期二1.1.1.1.包过滤(包过滤(包过滤(包过滤(Packet filteringPacket filteringPacket filteringPacket filtering):工作在网络层,仅根据):工作在网络层,仅根据):工作在网络层,仅根据):工作在网络层,仅根据数据包头中的数据包头中的数据包头中的数据包头中的IPIPIPIP地址、端口号、协议类型等标志确定地址、端口号、协议类型等标志确定地址、端口号、协议类型等标志确定地址、端口号、协议类型等标志确定是否允许数据包通过。是否允许数据包通过。是否允许数据包通过。是否
5、允许数据包通过。2.2.2.2.应用代理(应用代理(应用代理(应用代理(Application ProxyApplication ProxyApplication ProxyApplication Proxy):工作在应用层,通):工作在应用层,通):工作在应用层,通):工作在应用层,通过编写不同的应用代理程序,实现对应用层数据的检测和分过编写不同的应用代理程序,实现对应用层数据的检测和分过编写不同的应用代理程序,实现对应用层数据的检测和分过编写不同的应用代理程序,实现对应用层数据的检测和分析。析。析。析。3.3.3.3.状态检测(状态检测(状态检测(状态检测(Stateful Inspect
6、ionStateful InspectionStateful InspectionStateful Inspection):工作在):工作在):工作在):工作在24242424层,层,层,层,访问控制方式与访问控制方式与访问控制方式与访问控制方式与1 1 1 1同,但处理的对象不是单个数据包,同,但处理的对象不是单个数据包,同,但处理的对象不是单个数据包,同,但处理的对象不是单个数据包,而是整个连接,通过规则表和连接状态表,综合判断是而是整个连接,通过规则表和连接状态表,综合判断是而是整个连接,通过规则表和连接状态表,综合判断是而是整个连接,通过规则表和连接状态表,综合判断是否允许数据包通过。
7、否允许数据包通过。否允许数据包通过。否允许数据包通过。4.4.4.4.完全内容检测(完全内容检测(完全内容检测(完全内容检测(CompeleteCompeleteCompeleteCompelete Content Inspection Content Inspection Content Inspection Content Inspection):工):工):工):工作在作在作在作在2 2 2 27777层,不仅分析数据包头信息、状态信息,而层,不仅分析数据包头信息、状态信息,而层,不仅分析数据包头信息、状态信息,而层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有
8、效防范混且对应用层协议进行还原和内容分析,有效防范混且对应用层协议进行还原和内容分析,有效防范混且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。合型安全威胁。合型安全威胁。合型安全威胁。防火墙的检测与过滤技术防火墙的检测与过滤技术应用层应用层应用层应用层传输层传输层传输层传输层IPIP层层层层网络接网络接网络接网络接口层口层口层口层DataDataSegmentSegmentPacketPacketFrameFrameBit FlowBit Flow第8页,共36页,编辑于2022年,星期二应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接
9、口层网络接口层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开始攻击开始攻击TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开始攻击开始攻击只检查报头只检查报头只检查报头只检查报头1
10、01001001001010010000011100111101111011101001001001010010000011100111101111011001001001010010000011100111101111011001001001010010000011100111101111011包过滤防火墙的工作原理包过滤防火墙的工作原理1.1.简单包过滤防火墙不检查数据区简单包过滤防火墙不检查数据区简单包过滤防火墙不检查数据区简单包过滤防火墙不检查数据区2.2.简单包过滤防火墙不建立连接状简单包过滤防火墙不建立连接状简单包过滤防火墙不建立连接状简单包过滤防火墙不建立连接状态表态表态表态表3
11、.3.前后报文无关前后报文无关前后报文无关前后报文无关4.4.应用层控制很弱应用层控制很弱应用层控制很弱应用层控制很弱第9页,共36页,编辑于2022年,星期二应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开始攻击开始攻击TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层
12、网络接口层网络接口层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开始攻击开始攻击只检查数据只检查数据只检查数据只检查数据101001001001010010000011100111101111011101001001001010010000011100111101111011001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理应用代理防火墙的工作原理
13、1.1.不检查不检查不检查不检查IPIP、TCPTCP报头报头报头报头2.2.不建立连接状态表不建立连接状态表不建立连接状态表不建立连接状态表3.3.网络层保护比较弱网络层保护比较弱网络层保护比较弱网络层保护比较弱第10页,共36页,编辑于2022年,星期二应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开始攻击开始攻击TCPTCP开始攻击开始攻击开始攻击开始攻
14、击IPIP应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开始攻击开始攻击只检查报头只检查报头只检查报头只检查报头10100100100101001000001110011110111101110100100100101001000001110011110111101100100100101001000001110011110111101100100100101
15、0010000011100111101111011状态检测防火墙的工作原理状态检测防火墙的工作原理1.1.不检查数据区不检查数据区不检查数据区不检查数据区2.2.建立连接状态表建立连接状态表建立连接状态表建立连接状态表3.3.前后报文相关前后报文相关前后报文相关前后报文相关4.4.应用层控制很弱应用层控制很弱应用层控制很弱应用层控制很弱建立连接状态表建立连接状态表建立连接状态表建立连接状态表第11页,共36页,编辑于2022年,星期二建立建立建立建立状态连接表状态连接表状态连接表状态连接表应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口
16、层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开始攻击开始攻击 主服务器主服务器主服务器主服务器 硬盘数据硬盘数据硬盘数据硬盘数据TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP开始攻击开始攻击开始攻击开始攻击IPIP开始攻击开始攻击开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击开始攻击开始攻击IPIPETHETH开始攻击开始攻击开
17、始攻击开始攻击 主服务器主服务器主服务器主服务器 硬盘数据硬盘数据硬盘数据硬盘数据检查应用层协议和数据内容检查应用层协议和数据内容检查应用层协议和数据内容检查应用层协议和数据内容101001001001010010000011100111101111011101001001001010010000011100111101111011001001001010010000011100111101111011001001001010010000011100111101111011完全内容检测防火墙的工作原理完全内容检测防火墙的工作原理TCPTCP主服务器主服务器主服务器主服务器IPIPTCPTCP硬
18、盘数据硬盘数据硬盘数据硬盘数据IPIP开始攻击开始攻击开始攻击开始攻击还原会话还原会话还原会话还原会话主服务器主服务器主服务器主服务器硬盘数据硬盘数据硬盘数据硬盘数据报文报文报文报文1 1报文报文报文报文2 2报文报文报文报文3 31.1.网络层保护强网络层保护强网络层保护强网络层保护强2.2.应用层保护强应用层保护强应用层保护强应用层保护强3.3.会话保护很强会话保护很强会话保护很强会话保护很强4.4.上下文相关上下文相关上下文相关上下文相关5.5.前后报文有联系前后报文有联系前后报文有联系前后报文有联系检查报头检查报头检查报头检查报头第12页,共36页,编辑于2022年,星期二下一代基于人
19、工智能的防火墙案例:当一个IP或者用户持续向内网服务器发起各类攻击,下一代防火墙设备的IPS、WAF功能模块识别阻断后为避免持续性应用层攻击,下一代防火墙设备会临时自动生成一条策略可通过防火墙暂时阻断此IP/用户,避免IT人员定位问题后手动配置防火墙策略的麻烦,智能策略联动功能能够有效防止工具型、自动化的黑客攻击持续性的攻击,提高黑客攻击成本,抑制APT攻击的发生。基于人工智能设计的下一代防火墙,才能够真正缓解IT运维人员的运维工作压力。在于其智能防御体系,可以实现在不影响网络使用体验的前提下,真正简化用户运维管理工作。第13页,共36页,编辑于2022年,星期二常见防火墙的主要功能1.安全域
20、及安全域策略2.包过滤技术3.黑名单4.基于应用层的包过滤5.网络地址转换NAT6.应用层网关ALG7.ARP防攻击8.攻击防范9.Web过滤第14页,共36页,编辑于2022年,星期二防火墙访问策略的配置原则简单实用结合全网安全架构需求第15页,共36页,编辑于2022年,星期二网络入侵与网站安全网络入侵典型案例网络入侵检测系统入侵检测系统工具如何提高站安全性第16页,共36页,编辑于2022年,星期二 网站入侵的类型 1.利用利用 SQL 注入漏洞注入漏洞2.后台文件可匿名访问后台文件可匿名访问 3.数据库暴库与下载数据库暴库与下载4.查找后台、枚举弱口令查找后台、枚举弱口令5.常用网站源
21、码泄露常用网站源码泄露6.操作系统漏洞和应用软件漏洞操作系统漏洞和应用软件漏洞7.利用入侵工具利用入侵工具第17页,共36页,编辑于2022年,星期二【黑客注入扫描黑客注入扫描“凶器凶器”】啊D注入工具第18页,共36页,编辑于2022年,星期二入侵检测的定义对系统的运行状态进行监视,发现各种攻对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便进行入侵检测的软件与硬件的组合便是入侵检测系统是入侵检测系统IDS:Intrusion Detect
22、ion System 第19页,共36页,编辑于2022年,星期二入侵检测的起源计算机系统威胁来自:外部渗透、内部渗透和不法行为审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程1980年4月,James P.Anderson 报告计算机安全威胁监控与监视,第一次正式提出了利用审计跟踪数据监视入侵活动的思想第20页,共36页,编辑于2022年,星期二IDS基本结构入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件(1 1)信息收集信息收集 信息收集的来源、系统或网络的日志文件、系统目录和文件的异常变化(2 2)信息分析信息分析 模式匹配、统计分析、完整性分析(3 3)结果处理)
23、结果处理第21页,共36页,编辑于2022年,星期二IDS的基本功能与组成入侵检测系统的主要功能入侵检测系统的主要功能入侵检测系统关键部分组成入侵检测系统关键部分组成第22页,共36页,编辑于2022年,星期二入侵检测性能关键参数误报(false positive):如果系统错误地将异常活动定义为入侵漏报(false negative):如果系统未能检测出真正的入侵行为第23页,共36页,编辑于2022年,星期二入侵检测的分类按照分析方法(检测方法)异常检测模型(Anomaly Detection)误用检测模型(Misuse Detection)按照数据来源:基于主机基于网络混合型第24页,共
24、36页,编辑于2022年,星期二入侵检测系统工具Sax入侵检测系统BlackICE入侵检测系统检测网站服务器承受的压力Web Application Stress Tool检测上传文件的安全性思易ASP木马追捕第25页,共36页,编辑于2022年,星期二入侵检测系统发展方向入侵检测技术的改进内容恢复和网络审计功能的引入集成网络分析和管理功能安全性和易用性提高改进对大量网络数据的处理方法防火墙联动功能第26页,共36页,编辑于2022年,星期二防火墙与IDS入侵检测系统比较第27页,共36页,编辑于2022年,星期二如何提高网络应用效益?数字化学习云计算对教育的影响南京市教育公共服务平台建设网络
25、课程的研究与建设第28页,共36页,编辑于2022年,星期二教育信息化发展宽带全接入,终端全覆盖展成熟业务全覆总量极大丰富,质量明显提升保障体系与机制发盖,部分流程再造信息技术与教育深度融合33第29页,共36页,编辑于2022年,星期二云计算是一个里程碑云计算是计算机发展史上又一次伟大变革,是一个云计算是计算机发展史上又一次伟大变革,是一个重要的里程碑。重要的里程碑。计算机出现后的信息技术的发展可分为计算机出现后的信息技术的发展可分为4个时代。个时代。1.DOS时代时代2.Windows时代时代3.互联网时代互联网时代4.云计算时代云计算时代第30页,共36页,编辑于2022年,星期二云计算
26、相关概念云计算是为用户提供无限计算资源的商业服务,是能够自我管理计算资源的系统平台,是应用服务按需定制、易于扩展的软件架构。并行计算并行计算分布式计算分布式计算网格计算网格计算CPUCPU运算资源运算资源存储资源存储资源网络带宽网络带宽第31页,共36页,编辑于2022年,星期二云计算对教育的影响传媒学家麦克卢汉认为:“任何技术都倾向于创造一个新的人类环境。”互联网技术改变了我们的生活方式、学习方式和娱乐方式。不同的技术会产生不同的效益!云计算对于教育的影响第32页,共36页,编辑于2022年,星期二南京公共服务平台建设南京公共服务平台建设教育服务云教育服务云第33页,共36页,编辑于2022年,星期二移动学习实验项目第34页,共36页,编辑于2022年,星期二网络课程的研究与建设网络课程的研究与建设为什么要研究网络课程?网络课程的发展现状分析网络课程的不同层次1.课程资源共享型2.有效管理和交互型3.支持智能学习型智能型网络课程的设计第35页,共36页,编辑于2022年,星期二E-mail:主要研究方向:数字化移动学习网络安全与管理校园网规划与设计教研协作平台规划与设计信息技术有效教学信息化背景下的教师专业化成长第36页,共36页,编辑于2022年,星期二