《第10章-网络安全技术优秀PPT.ppt》由会员分享,可在线阅读,更多相关《第10章-网络安全技术优秀PPT.ppt(47页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络平安计算机网络平安主讲人主讲人 刘晓辉刘晓辉第第10章章 网络平安技术网络平安技术3 1网络平安的威逼网络平安的威逼网络平安的威逼网络平安的威逼3 23 33 4网络平安解决方案网络平安解决方案网络平安解决方案网络平安解决方案网络稳定性方案网络稳定性方案网络稳定性方案网络稳定性方案网络平安设备网络平安设备网络平安设备网络平安设备10.1 网络平安的威逼网络平安的威逼网络面临的威逼网络面临的威逼网络平安威逼根本源自于网络自身网络平安威逼根本源自于网络自身的脆弱性。网络的开放性和平安的脆弱性。网络的开放性和平安性本身即是一对固有冲突,无法性本身即是一对固有冲突,无法从根本上予以调和。再加
2、上基于从根本上予以调和。再加上基于网络的诸多已知和未知的人为与网络的诸多已知和未知的人为与技术平安隐患,网络很难实现自技术平安隐患,网络很难实现自身的根本平安身的根本平安当网络不仅作当网络不仅作为信息传递的平台和工具,而且为信息传递的平台和工具,而且担当起限制系统的中枢时,运行担当起限制系统的中枢时,运行于网络平台的各种应用和服务,于网络平台的各种应用和服务,也必定地处于相应的威逼中。也必定地处于相应的威逼中。10.1 网络平安的威逼网络平安的威逼威逼网络平安的因素威逼网络平安的因素系统漏洞威逼系统漏洞威逼10.1 网络平安的威逼网络平安的威逼威逼网络平安的因素威逼网络平安的因素人为因素威逼人
3、为因素威逼操作失误操作失误恶意攻击恶意攻击黑客入侵黑客入侵踩点、扫描、突破、获得管踩点、扫描、突破、获得管理权限、数据窃取、留取理权限、数据窃取、留取后门程序、清理痕迹。后门程序、清理痕迹。10.2 网络平安解决方案网络平安解决方案网络信息平安系统网络信息平安系统体系结构体系结构计算机平安计算机平安通信保密平安通信保密平安信息平安信息平安10.2 网络平安解决方案网络平安解决方案网络信息平安系统网络信息平安系统体系结构体系结构计算机平安计算机平安通信保密平安通信保密平安信息平安信息平安平安机制平安机制访问限制访问限制保密性保密性完整性完整性可用性可用性不行抵赖性不行抵赖性平安标准平安标准平安标
4、准平安标准信息平安标准的产生信息平安标准的产生信息平安标准的产生信息平安标准的产生国际组织信息平安标准国际组织信息平安标准国际组织信息平安标准国际组织信息平安标准国内组织信息平安标准国内组织信息平安标准国内组织信息平安标准国内组织信息平安标准美国国防部平安计算机系美国国防部平安计算机系美国国防部平安计算机系美国国防部平安计算机系统评估标准统评估标准统评估标准统评估标准10.2 网络平安解决方案网络平安解决方案网络平安体系结构网络平安体系结构体系结构体系结构环境平安环境平安设备平安设备平安媒体平安媒体平安网络临界点平安网络临界点平安网络结构规划网络结构规划网络结构规划网络结构规划内部网不同网络平
5、安域的内部网不同网络平安域的内部网不同网络平安域的内部网不同网络平安域的隔离及访问限制隔离及访问限制隔离及访问限制隔离及访问限制网络平安检测网络平安检测网络平安检测网络平安检测审计与监控审计与监控审计与监控审计与监控网络防病毒网络防病毒网络防病毒网络防病毒网络备份系统网络备份系统网络备份系统网络备份系统10.2 网络平安解决方案网络平安解决方案网络平安体系结构网络平安体系结构系统平安系统平安对操作系统进行平安配置,提高系统对操作系统进行平安配置,提高系统的平安性。的平安性。尽可能建立平安的系统平台,而且通尽可能建立平安的系统平台,而且通过专业的平安工具不断发觉漏洞,过专业的平安工具不断发觉漏洞
6、,修补漏洞,以提高系统的平安性。修补漏洞,以提高系统的平安性。网络上的服务器和网络设备尽可能不网络上的服务器和网络设备尽可能不实行同一家的产品。实行同一家的产品。通过专业的平安工具(平安检测系统)通过专业的平安工具(平安检测系统)定期对网络进行平安评估。定期对网络进行平安评估。10.2 网络平安解决方案网络平安解决方案网络平安体系结构网络平安体系结构信息平安信息平安在局域网络内,对不同的信息进行区在局域网络内,对不同的信息进行区域规划,执行严格的授权访问机制。域规划,执行严格的授权访问机制。将全部敏感信息都集中保存在网络内将全部敏感信息都集中保存在网络内的文件服务器中的文件服务器中制定严格的文
7、件访问权限制定严格的文件访问权限将不同类型的用户划分于不同的用户将不同类型的用户划分于不同的用户组或组织单位,并为用户组和组织组或组织单位,并为用户组和组织单位指定相应的访问权限单位指定相应的访问权限安装安装RMS服务,严格限制对敏感文件服务,严格限制对敏感文件的操作的操作其他基于交换机和路由器的平安措施其他基于交换机和路由器的平安措施10.2 网络平安解决方案网络平安解决方案网络平安体系结构网络平安体系结构应用平安应用平安应用系统的平安跟具体的应用有关,应用系统的平安跟具体的应用有关,并涉及到信息、数据的平安性,并涉及到信息、数据的平安性,主要考虑通信的授权,传输的加主要考虑通信的授权,传输
8、的加密和审计记录。密和审计记录。管理的平安管理的平安建立全新网络平安机制,必需深刻建立全新网络平安机制,必需深刻理解网络并能供应干脆的解决方理解网络并能供应干脆的解决方案,因此,最可行的做法是制定案,因此,最可行的做法是制定健全的管理制度和严格管理相结健全的管理制度和严格管理相结合。保障网络的平安运行,使其合。保障网络的平安运行,使其成为一个具有良好的平安性、可成为一个具有良好的平安性、可扩充性和易管理性的信息网络便扩充性和易管理性的信息网络便成为了首要任务。成为了首要任务。10.2 网络平安解决方案网络平安解决方案网络平安关键技术网络平安关键技术网络设备的平安网络设备的平安地址和端口转换地址
9、和端口转换限制虚拟终端访问限制虚拟终端访问端口平安端口平安设置访问列表设置访问列表MAC地址绑定地址绑定VLAN平安平安限制限制HTTP访问访问阻挡蠕虫病毒阻挡蠕虫病毒服务器平安服务器平安服务器平安服务器平安网络连接策略网络连接策略网络连接策略网络连接策略账户平安策略账户平安策略账户平安策略账户平安策略本地平安策略本地平安策略本地平安策略本地平安策略客户端平安客户端平安客户端平安客户端平安系统自动更新系统自动更新系统自动更新系统自动更新安装防病毒软件安装防病毒软件安装防病毒软件安装防病毒软件运用代理服务器运用代理服务器运用代理服务器运用代理服务器安装个人防火墙安装个人防火墙安装个人防火墙安装个
10、人防火墙10.2 网络平安解决方案网络平安解决方案网络平安关键技术网络平安关键技术无线网络平安无线网络平安加密传输加密传输身份验证身份验证修改修改SSID并禁止并禁止SSID广广播播禁用禁用DHCP服务服务禁用或修改禁用或修改SNMP设置设置运用访问列表运用访问列表放置无线放置无线AP和天线和天线10.2 网络平安解决方案网络平安解决方案平安管理平安管理平安管理规范平安管理规范负责原则、有限原则、分别原则负责原则、有限原则、分别原则网络管理网络管理管理员可以在管理机器上对整个内部管理员可以在管理机器上对整个内部网络上的网络设备、平安设备、网网络上的网络设备、平安设备、网络上的防病毒软件、入侵检
11、测探测络上的防病毒软件、入侵检测探测器进行综合管理,同时利用平安分器进行综合管理,同时利用平安分析软件可以从不同角度对全部的设析软件可以从不同角度对全部的设备、服务器、工作站进行平安扫描,备、服务器、工作站进行平安扫描,分析的平安漏洞,并实行相应的措分析的平安漏洞,并实行相应的措施。施。平安管理平安管理平安管理的主要功能指对平安设备的平安管理的主要功能指对平安设备的管理;监视网络危急状况管理;监视网络危急状况;身份认;身份认证;对资源或用户动态的或静态的证;对资源或用户动态的或静态的审计;对违规事务,自动生成报警审计;对违规事务,自动生成报警或生成事务消息;口令管理;密钥或生成事务消息;口令管
12、理;密钥管理;冗余备份。管理;冗余备份。10.3 网络稳定性方案网络稳定性方案数据备份数据备份网络服务的备份网络服务的备份网络服务的备份网络服务的备份10.3 网络稳定性方案网络稳定性方案数据备份数据备份数据库的备份数据库的备份数据库备份是指对数据库结构和数数据库备份是指对数据库结构和数据进行拷贝,以便在数据库出现据进行拷贝,以便在数据库出现故障的时候能够复原数据库。数故障的时候能够复原数据库。数据库故障是难以预料的,因此必据库故障是难以预料的,因此必需实行平安措施尽量防止数据库需实行平安措施尽量防止数据库出现故障。出现故障。Access数据库的备份数据库的备份SQL Server数据库备份数
13、据库备份10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安地址和端口转换地址和端口转换静态地址转换静态地址转换动态地址转换动态地址转换端口复用地址端口复用地址10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安限制虚拟终端访问限制虚拟终端访问Switch#configure terminalSwitch(config)#access-list access-lis-number permit ip-addressSwitch(config)#line vty 0 4Switch(config-line)#access-class access-class-number i
14、nSwitch(config-line)#endSwitch#10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安端口平安端口平安MAC地址的静态指定。当启用了端地址的静态指定。当启用了端口平安功能时,网站管理员可以将口平安功能时,网站管理员可以将MAC地址进行编码。这种方法虽地址进行编码。这种方法虽然平安,但在管理时比较麻烦。然平安,但在管理时比较麻烦。MAC地址的动态学习。假如没有指地址的动态学习。假如没有指定定MAC地址,端口将为平安性打地址,端口将为平安性打开学习功能,在端口上被发觉的第开学习功能,在端口上被发觉的第一个源一个源MAC地址将成为地址将成为“平安平安”MAC地址
15、。地址。10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安设置访问列表设置访问列表创建标准创建标准IP访问列表的吩咐格式是:访问列表的吩咐格式是:Switch(config-if)#access-list access-list-numbe deny|permit 创建扩展创建扩展IP访问列表的吩咐格式是:访问列表的吩咐格式是:Switch(config-if)#access-list access-list-numbe deny|permit protocol source source-wildcard destination destination-wildcard当利用访问
16、列表阻挡数据流进入或离当利用访问列表阻挡数据流进入或离开某端口时:开某端口时:Switch(config-if)#ip access-group access-list-number in|out10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安MAC地址绑定地址绑定运用下述吩咐,可将运用下述吩咐,可将MAC地址与地址与IP地址绑定在一起:地址绑定在一起:Switch(config-if)#arp ip-address mac-address arpa运用下述吩咐,可将绑定在一起的运用下述吩咐,可将绑定在一起的MAC地址与地址与IP地址拆开:地址拆开:Switch(config-i
17、f)#no arp ip-address mac-address arpa10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安VLAN平安平安在集中式网络环境下,通常将敏感部在集中式网络环境下,通常将敏感部门的全部主机系统集中到一个门的全部主机系统集中到一个VLAN里,在这个里,在这个VLAN里不允许里不允许有其他任何用户节点,从而较好地有其他任何用户节点,从而较好地爱护这些主机中的资源。爱护这些主机中的资源。10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安限制限制HTTP访问访问Cisco IOS允许通过允许通过Web阅读器管理阅读器管理网络设备,所需的网络设备,所需
18、的HTTP服务器软服务器软件可在件可在IOS 11.0及以后的版本中找及以后的版本中找到。若欲关闭到。若欲关闭HTTP远程管理服务,远程管理服务,可运用下述吩咐:可运用下述吩咐:Switch(config)#no ip server10.3 网络稳定性方案网络稳定性方案网络设备平安网络设备平安阻挡蠕虫病毒阻挡蠕虫病毒创建扩展访问列表创建扩展访问列表将访问列表应用于将访问列表应用于VLAN10.3 网络稳定性方案网络稳定性方案网络连接和设备冗余网络连接和设备冗余连接冗余连接冗余连接冗余连接冗余 EtherChannel EtherChannel10.3 网络稳定性方案网络稳定性方案网络连接和设备
19、冗余网络连接和设备冗余中心设备冗余中心设备冗余中心设备冗余中心设备冗余 网关负载均衡协议网关负载均衡协议网关负载均衡协议网关负载均衡协议10.3 网络稳定性方案网络稳定性方案网络连接和设备冗余网络连接和设备冗余模块冗余模块冗余模块冗余模块冗余10.4 网络平安设备网络平安设备网络防火墙网络防火墙网络防火墙概述网络防火墙概述防火墙最基本的功能就是将内、防火墙最基本的功能就是将内、外网络隔离开,不仅确保不让外网络隔离开,不仅确保不让非法用户入侵,更要保证防止非法用户入侵,更要保证防止内部信息的外泄。防火墙处于内部信息的外泄。防火墙处于两个网络通信之间的一个检查两个网络通信之间的一个检查点,全部数据
20、包必需通过防火点,全部数据包必需通过防火墙。防火墙设备依据平安策略,墙。防火墙设备依据平安策略,对所经过的数据包进行监视、对所经过的数据包进行监视、过滤和检查,达到保证网络平过滤和检查,达到保证网络平安的目的。安的目的。10.4 网络平安设备网络平安设备网络防火墙网络防火墙网络防火墙技术网络防火墙技术网络防火墙技术网络防火墙技术n n数据包过滤技术数据包过滤技术数据包过滤技术数据包过滤技术n n代理技术代理技术代理技术代理技术n n状态分析技术状态分析技术状态分析技术状态分析技术10.4 网络平安设备网络平安设备网络防火墙网络防火墙防火墙的局限性与脆弱性防火墙的局限性与脆弱性无法检测或拦截嵌入
21、到一般流量中的恶无法检测或拦截嵌入到一般流量中的恶意攻击代码。意攻击代码。墙无法发觉内部网络中的攻击行为。墙无法发觉内部网络中的攻击行为。不经过防火墙的数据,防火墙无法检查。不经过防火墙的数据,防火墙无法检查。绝大多数单位因为不便利,不要求防火绝大多数单位因为不便利,不要求防火墙防内。墙防内。防火墙不能防止策略配置不当或错误配防火墙不能防止策略配置不当或错误配置引起的平安威逼。置引起的平安威逼。防火墙不能防止人为或自然的破坏。防火墙不能防止人为或自然的破坏。当防火墙准许某些标准网络协议,防火当防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行墙不能防止利用该协议中的缺陷进行的攻击
22、。的攻击。10.4 网络平安设备网络平安设备网络防火墙网络防火墙防火墙的局限性与脆弱性防火墙的局限性与脆弱性黑客通过防火墙准许的访问端口对该服黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防务器的漏洞进行攻击,防火墙不能防止其攻击的。止其攻击的。防火墙并不具备查杀病毒的功能。防火墙并不具备查杀病毒的功能。防火墙不能防止数据驱动式的攻击。防火墙不能防止数据驱动式的攻击。防火墙内部的一个合法用户主动泄密,防火墙内部的一个合法用户主动泄密,防火墙无能为力。防火墙无能为力。防火墙爱护别人有时却无法爱护自己,防火墙爱护别人有时却无法爱护自己,目前还没有厂商保证防火墙不会存在目前还没有厂
23、商保证防火墙不会存在平安漏洞。因此对防火墙也必需供应平安漏洞。因此对防火墙也必需供应某种平安爱护。某种平安爱护。10.4 网络平安设备网络平安设备网络防火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n常用连接方式常用连接方式常用连接方式常用连接方式10.4 网络平安设备网络平安设备网络防火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n连接局域网和广域网连接局域网和广域网连接局域网和广域网连接局域网和广域网10.4 网络平安设备网络平安设备网络防
24、火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n连接内部和第三方网络连接内部和第三方网络连接内部和第三方网络连接内部和第三方网络10.4 网络平安设备网络平安设备网络防火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n连接同一部门的不同网络连接同一部门的不同网络连接同一部门的不同网络连接同一部门的不同网络10.4 网络平安设备网络平安设备入侵检测系统入侵检测系统IDSIDSn nIDSIDS概述概述概述概述10.4 网络平安设备网络平安设备入侵检
25、测系统入侵检测系统IDS的缺陷:的缺陷:检测范围不够广检测范围不够广检测效果不志向检测效果不志向无力防卫无力防卫UDP攻击攻击只能检测,不能防卫只能检测,不能防卫过分依靠检测主机过分依靠检测主机难以突破百兆瓶颈难以突破百兆瓶颈性能有待提高性能有待提高伸缩性差伸缩性差部署难度大部署难度大平安策略不够丰富平安策略不够丰富10.4 网络平安设备网络平安设备入侵检测系统入侵检测系统IDSIDS的优势缺陷:的优势缺陷:整体部署,实时检测,对用户当前整体部署,实时检测,对用户当前的操作进行推断,可刚好发觉入的操作进行推断,可刚好发觉入侵事务。侵事务。对于入侵与异样不必做出阻断通信对于入侵与异样不必做出阻断
26、通信的确定,能够从容供应大量的网的确定,能够从容供应大量的网络活动数据,有利于在事后入侵络活动数据,有利于在事后入侵分析中评估系统关键资源和数据分析中评估系统关键资源和数据文件的完整性。文件的完整性。独立于所检测的网络,使黑客难于独立于所检测的网络,使黑客难于消退入侵证据,便于入侵追踪与消退入侵证据,便于入侵追踪与网络犯罪取证。网络犯罪取证。同一网段或者一台主机上一般只需同一网段或者一台主机上一般只需部署一个监测点就近监测,即速部署一个监测点就近监测,即速度快、成本低。度快、成本低。10.4 网络平安设备网络平安设备入侵检测系统入侵检测系统IDSIDS与防火墙联动与防火墙联动与防火墙联动与防火
27、墙联动10.4 网络平安设备网络平安设备入侵防卫系统入侵防卫系统IPS10.4 网络平安设备网络平安设备入侵防卫系统入侵防卫系统IPS的技术优势:的技术优势:在线安装在线安装实时阻断实时阻断先进的检测技术先进的检测技术特殊规则植入功能特殊规则植入功能自学习与自适应实力自学习与自适应实力10.4 网络平安设备网络平安设备入侵防卫系统入侵防卫系统IPS的缺陷:的缺陷:单点故障单点故障性能瓶颈性能瓶颈误报与漏报误报与漏报总体拥有成本高总体拥有成本高10.4 网络平安设备网络平安设备入侵防卫系统入侵防卫系统IPS部署部署路由防护路由防护10.4 网络平安设备网络平安设备入侵防卫系统入侵防卫系统IPS部署部署交换防护交换防护10.4 网络平安设备网络平安设备入侵防卫系统入侵防卫系统IPS部署部署多链路防护多链路防护10.4 网络平安设备网络平安设备入侵防卫系统入侵防卫系统IPS部署部署混合防护混合防护10.4 网络平安设备网络平安设备漏洞扫描系统漏洞扫描系统X-ScanX-Scan