《网络工程设计与系统集成(杨威)第8章.ppt》由会员分享,可在线阅读,更多相关《网络工程设计与系统集成(杨威)第8章.ppt(147页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 网络工程设计与系统集成网络工程设计与系统集成杨 威山西师范大学网络信息中心 人民邮电出版社人民邮电出版社 (第(第(第(第2 2版)版)版)版)Network Engineering Design and System Network Engineering Design and System IntegrationIntegration(2nd Edition2nd Edition)普通高等教育普通高等教育普通高等教育普通高等教育“十一五十一五十一五十一五”国家级规划教材国家级规划教材国家级规划教材国家级规划教材 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校
2、网络工程规划教材世纪高等院校网络工程规划教材第第2 2页页问题思考u你的电脑安全?你的电脑安全?u电脑访问电脑访问Internet时,受到安全时,受到安全威胁怎么办?威胁怎么办?u如何解决防御病毒、黑客攻击如何解决防御病毒、黑客攻击?2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3 3页页 学习目标学习目标:了解网络安全威胁,安全技术措施,认证技术,以及了解网络安全威胁,安全技术措施,认证技术,以及了解网络安全威胁,安全技术措施,认证技术,以及了解网络安全威胁,安全技术措施,认证技术,以及360360安安安安全卫士的
3、功能。基本掌握全卫士的功能。基本掌握全卫士的功能。基本掌握全卫士的功能。基本掌握802.1x802.1x协议及工作机制。会使用防协议及工作机制。会使用防协议及工作机制。会使用防协议及工作机制。会使用防IPIP盗用技术保护盗用技术保护盗用技术保护盗用技术保护IPIP地址安全。地址安全。地址安全。地址安全。理解服务器系统安全技术要点,掌握理解服务器系统安全技术要点,掌握理解服务器系统安全技术要点,掌握理解服务器系统安全技术要点,掌握Windows 2003 ServerWindows 2003 Server安全加固方法、安全加固方法、安全加固方法、安全加固方法、WebWeb服务器安全设置方法。服务
4、器安全设置方法。服务器安全设置方法。服务器安全设置方法。会使用会使用会使用会使用360360安全卫士建立安全卫士建立安全卫士建立安全卫士建立WindowsWindows系统的安全防御体系。系统的安全防御体系。系统的安全防御体系。系统的安全防御体系。理解网络边界安全技术要点,掌握路由器理解网络边界安全技术要点,掌握路由器理解网络边界安全技术要点,掌握路由器理解网络边界安全技术要点,掌握路由器+防火墙保护网络防火墙保护网络防火墙保护网络防火墙保护网络边界的方法,会使用访问控制列表建立防火墙,会使用边界的方法,会使用访问控制列表建立防火墙,会使用边界的方法,会使用访问控制列表建立防火墙,会使用边界的
5、方法,会使用访问控制列表建立防火墙,会使用NATNAT协议保护内网的安全。协议保护内网的安全。协议保护内网的安全。协议保护内网的安全。能够按照用户网络安全需求,设计网络基本安全技术方案。能够按照用户网络安全需求,设计网络基本安全技术方案。能够按照用户网络安全需求,设计网络基本安全技术方案。能够按照用户网络安全需求,设计网络基本安全技术方案。第第8章网络安全技术与应用章网络安全技术与应用 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4 4页页本章重点:802.1x802.1x协议及工作机制协议及工作机制协议及工作机制
6、协议及工作机制常用的网络安全技术措施常用的网络安全技术措施常用的网络安全技术措施常用的网络安全技术措施防止防止防止防止IPIP地址盗用,网络防病毒技术地址盗用,网络防病毒技术地址盗用,网络防病毒技术地址盗用,网络防病毒技术使用路由器使用路由器使用路由器使用路由器+防火墙保护网络边界防火墙保护网络边界防火墙保护网络边界防火墙保护网络边界扩展访问列表与应用扩展访问列表与应用扩展访问列表与应用扩展访问列表与应用,NAT,NAT协议保护内网的安全协议保护内网的安全协议保护内网的安全协议保护内网的安全Windows Windows 20032003 ServerServer操操操操作作作作系系系系统统统
7、统安安安安全全全全加加加加固固固固的的的的技技技技术术术术,WebWeb服服服服务器安全设置技术务器安全设置技术务器安全设置技术务器安全设置技术本章难点:使用路由器使用路由器使用路由器使用路由器+防火墙保护网络边界防火墙保护网络边界防火墙保护网络边界防火墙保护网络边界扩展访问列表与应用扩展访问列表与应用扩展访问列表与应用扩展访问列表与应用第第8章网络安全技术与应用章网络安全技术与应用 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第5 5页页8.1 网络安全威胁与对策网络安全威胁与对策网络的组成元素网络节点网络节点网络
8、节点网络节点网络节点网络节点网络节点网络节点网络节点网络节点网络终端网络终端设备设备网络终端网络终端设备设备元素说明:元素说明:该元素由网络交换机、路由器、防火墙等网该元素由网络交换机、路由器、防火墙等网络传输设备组成,络传输设备组成,进行用户网络数据的交换处理。进行用户网络数据的交换处理。元素说明:元素说明:该元素由网络服务器,用该元素由网络服务器,用户网络客户端等网络终端设备户网络客户端等网络终端设备组成。组成。网络传输网络传输网络终端网络终端设备设备网络终端网络终端设备设备现有网络中存在的问题现有网络中存在的问题导致这些问题的原因是什么导致这些问题的原因是什么现有网络安全体制现有网络安全
9、体制网络安全的演化网络安全的演化病毒的演化趋势病毒的演化趋势木马程序、黑客木马程序、黑客应用安全应用安全网络安全保护需求网络安全保护需求网络安全保护对策网络安全保护对策 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第6 6页页拨号用户拨号用户拨号用户拨号用户 B B拨号用户拨号用户拨号用户拨号用户 C C拨号用户拨号用户拨号用户拨号用户 A A拨号用户拨号用户拨号用户拨号用户 D DInternetInternetIT 系统运维面临的问题系统运维面临的问题 2009.2 2009.2 人民邮电出版社人民邮电出版社21
10、21世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第7 7页页导致这些问题的原因是什么?导致这些问题的原因是什么?病毒泛滥:病毒泛滥:计算机病毒的感染率比例非常高,高达计算机病毒的感染率比例非常高,高达89.73%软件漏洞:软件漏洞:软件系统中的漏洞也不断被发现,从漏洞公软件系统中的漏洞也不断被发现,从漏洞公布到出现攻击代码的时间为布到出现攻击代码的时间为5.8天天黑客攻击黑客攻击:世界上目前有世界上目前有20多万个黑客网站,各种黑客多万个黑客网站,各种黑客工具随时都可以找到,攻击方法达几千种之多。工具随时都可以找到,攻击方法达几千种之多。移动用户越来越多移动用户越来越多:网络用户
11、往往跨越多个工作区域网络用户往往跨越多个工作区域以上相关数据来自以上相关数据来自Symantec。2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第8 8页页现有网络安全体制现有网络安全体制IDS68%杀毒杀毒软件软件99%防火防火墙墙98%ACL(规规则控则控制)制)71%*2004 CSI/FBI Computer Crime and Security Survey资料来源:资料来源:Computer Security Institute 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网
12、络工程规划教材世纪高等院校网络工程规划教材第第9 9页页网络安全的演化网络安全的演化第一代第一代第一代第一代 引导性病毒引导性病毒引导性病毒引导性病毒第二代第二代第二代第二代 宏病毒宏病毒宏病毒宏病毒 DOSDOS 电子邮件电子邮件电子邮件电子邮件 有限的黑客有限的黑客有限的黑客有限的黑客攻击攻击攻击攻击第三代第三代第三代第三代 网络网络网络网络DOSDOS攻攻攻攻击击击击 混合威胁混合威胁混合威胁混合威胁(蠕虫(蠕虫(蠕虫(蠕虫+病病病病毒毒毒毒+特洛伊)特洛伊)特洛伊)特洛伊)广泛的系统广泛的系统广泛的系统广泛的系统黑客攻击黑客攻击黑客攻击黑客攻击下一代下一代下一代下一代 网络基础网络基础
13、网络基础网络基础设施黑客设施黑客设施黑客设施黑客攻击攻击攻击攻击 瞬间威胁瞬间威胁瞬间威胁瞬间威胁 大规模蠕大规模蠕大规模蠕大规模蠕虫虫虫虫 DDoSDDoS 破坏有效破坏有效破坏有效破坏有效负载的病负载的病负载的病负载的病毒和蠕虫毒和蠕虫毒和蠕虫毒和蠕虫波及全球的波及全球的网络基础架网络基础架构构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响的目标影响的目标和范围和范围1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规
14、划教材世纪高等院校网络工程规划教材第第1010页页病毒的演化趋势病毒的演化趋势 攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战IDC,2004邮件邮件/互联网互联网Code RedCode RedNimdaNimdafunlovefunloveKlezKlez20012002邮件邮件MelissaMelissa19992000LoveLoveLetterLetter1969物理介质物理介质BrainBrain19861998CIHCIHSQL SQL SlammerSlammer20032004冲击波冲击波震荡波震荡波 2009.2 2
15、009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1111页页病毒发展史病毒发展史1990 19911994 1996 1998 19992000 2001 20022003主流病毒行态主流病毒行态 木马、蠕虫木马、蠕虫 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1212页页病毒发展史(续病毒发展史(续1 1)引导区病毒引导区病毒台式电脑台式电脑第第1 1代代第第2 2代代第第3 3代代第第4 4代代台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑
16、台式电脑LANLAN服务器服务器基于文件的病毒基于文件的病毒邮件群发病毒邮件群发病毒 互联网互联网防毒墙防毒墙电子邮件电子邮件服务器墙服务器墙台式电脑台式电脑笔记本电脑笔记本电脑网络病毒网络病毒 互联网互联网防毒墙防毒墙服务器服务器服务器服务器服务器服务器服务器服务器台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑笔记本电脑笔记本电脑已打补丁的机器已打补丁的机器网络拥堵网络拥堵 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1313页页Internet攻击模式攻击模式WORM_SASSER.AWORM_SASSER.
17、A染毒电脑染毒电脑染毒电脑染毒电脑未修补漏洞的系统未修补漏洞的系统已修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击随机攻击随机攻击随机攻击随机攻击随机攻击随机攻击随机攻击随机攻击随机攻击被感染被感染被感染被感染不被感染不被感染不被感染不被感染不被感染不被感染不被感染不被感染被感染被感染被感染被感染被感染被感染被感染被感染不被感染不被感染不被感染不被感染不被感染不被感染不被感染不被感染 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1414页页网络病毒的特征网络病毒的特征通过攻击操作系统或应用软件的已知安全漏洞
18、来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作,可能会引起严重的网络负载如果攻击是属于常规的应用,例如SQL,IIS等就可能穿过防火墙 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1515页页木马程序等间谍软件成为网络与信息安全保密的重要隐患木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作在现在的工作中发现中发现,越来越多的木马程序植入到我国重要信息系统中越来越多的木马程序植入到我国重要信息系统中,根据保守估计根据保守估计,国国内内80%80%的网络系统的网络系统,都存在木马程序和
19、间谍软件问题都存在木马程序和间谍软件问题.中国地区危害最为严重的十种木马病毒,分别是:中国地区危害最为严重的十种木马病毒,分别是:QQQQ木马、网银木马、木马、网银木马、MSNMSN木马、传奇木马、剑网木马、木马、传奇木马、剑网木马、BOTBOT系列木马、灰鸽子、蜜峰大盗、黑系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马洞木马、广告木马 系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下来,而木马病毒又会欺骗用户伪装成来,而木马病毒又会欺骗用户伪装成“好人好人”,达到其偷取隐私信息的险,达到其偷取隐私信息的险恶目的恶目的
20、 木马程序木马程序 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1616页页 木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌越来越多,木马病毒已成为威胁数字娱乐的大敌 根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五大类别:针对
21、网游的木马病毒、针对网上银行的木马病毒、针对即时大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。病毒。木马程序木马程序 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1717页页 黑客攻击愈加猖獗黑客攻击愈加猖獗据国家计算机应急处理协调中心(据国家计算机应急处理协调中心(CNCERT/CC)统计:)统计:2003年,我年,我国互联网内共有国互联网内共有272万台主机受到攻击,造成的
22、损失数以亿计;万台主机受到攻击,造成的损失数以亿计;攻击向纵深发展攻击向纵深发展,以经济和商业利益为目以经济和商业利益为目的的网络攻击行为渐为主流的的网络攻击行为渐为主流 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1818页页垃圾邮件成为公害垃圾邮件成为公害据中国互联网中心统据中国互联网中心统据中国互联网中心统据中国互联网中心统计,现在,我国用户平计,现在,我国用户平计,现在,我国用户平计,现在,我国用户平均每周受到的垃圾邮件均每周受到的垃圾邮件均每周受到的垃圾邮件均每周受到的垃圾邮件数超过邮件总数的数超过邮件总
23、数的数超过邮件总数的数超过邮件总数的60%60%,部分企业每年,部分企业每年,部分企业每年,部分企业每年为此投入上百万元的设为此投入上百万元的设为此投入上百万元的设为此投入上百万元的设备和人力,垃圾邮件泛备和人力,垃圾邮件泛备和人力,垃圾邮件泛备和人力,垃圾邮件泛滥造成严重后果滥造成严重后果滥造成严重后果滥造成严重后果它不但阻塞网络它不但阻塞网络它不但阻塞网络它不但阻塞网络,降降降降低系统效率和生产力低系统效率和生产力低系统效率和生产力低系统效率和生产力,同时有些邮件还包括色同时有些邮件还包括色同时有些邮件还包括色同时有些邮件还包括色情和反动的内容情和反动的内容情和反动的内容情和反动的内容 2
24、009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1919页页应用安全应用安全设计阶段设计阶段开发阶段开发阶段实施阶段实施阶段使用阶段使用阶段管理制度管理制度监督机制监督机制使用方法使用方法在应用安全问题中在应用安全问题中,在在WindowsWindows平台上利用平台上利用WindowsWindows系统新漏洞的攻系统新漏洞的攻击占击占70%70%左右左右,30%,30%的安全问题与的安全问题与LinuxLinux相关相关 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高
25、等院校网络工程规划教材第第2020页页移动用户移动用户移动用户移动用户D D广域网广域网广域网广域网如何进行信息系统的等级化保护?如何进行信息系统的等级化保护?各信息系统依据重要程度的等级需要划各信息系统依据重要程度的等级需要划分不同安全强度的安全域,采取不同的安分不同安全强度的安全域,采取不同的安全控制措施和制定安全策略全控制措施和制定安全策略 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2121页页完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图获得全局安全视图制定安全策略指
26、导或自动Internet Internet p用户如何管理现有安全资源并执行策略机制?用户如何管理现有安全资源并执行策略机制?补丁服务器补丁服务器补丁服务器补丁服务器p打补丁了吗?打补丁了吗?打补丁了吗?打补丁了吗?更新补丁了吗?更新补丁了吗?更新补丁了吗?更新补丁了吗?p p p p p p p p p p p困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2222页页Internet Internet 用户如何防止内部信息的泄
27、露?用户如何防止内部信息的泄露?未经安全检查与过滤,未经安全检查与过滤,未经安全检查与过滤,未经安全检查与过滤,违规接入内部网络违规接入内部网络违规接入内部网络违规接入内部网络私自拨号上网私自拨号上网私自拨号上网私自拨号上网 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2323页页Internet Internet 用户如何实现积极防御和综合防范?用户如何实现积极防御和综合防范?怎样定位病毒源怎样定位病毒源或者攻击源,怎或者攻击源,怎样实时监控病毒样实时监控病毒 与攻击与攻击 2009.2 2009.2 人民邮电出
28、版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2424页页 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2525页页语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段教学网段教学网段1网站网站OA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5内部办公内部办公N 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪
29、高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2626页页Intranet 2边界处的访问控制边界处的访问控制边界处的访问控制边界处的访问控制4边界处的病毒与恶意代码防护边界处的病毒与恶意代码防护边界处的病毒与恶意代码防护边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控边界内部的网络扫描与拨号监控边界内部的网络扫描与拨号监控边界内部的网络扫描与拨号监控3边界处的网络入侵检测边界处的网络入侵检测边界处的网络入侵检测边界处的网络入侵检测1边界处的认证与授权边界处的认证与授权边界处的认证与授权边界处的认证与授权6边界处的垃圾邮件和内容过滤边界处的垃圾邮件和内容过滤边界处的垃圾邮件和
30、内容过滤边界处的垃圾邮件和内容过滤 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2727页页计算环境的保护需求计算环境的保护需求1基于主机的入基于主机的入基于主机的入基于主机的入侵检测侵检测侵检测侵检测2基于主机的恶意代码基于主机的恶意代码基于主机的恶意代码基于主机的恶意代码和病毒检测和病毒检测和病毒检测和病毒检测3主机脆弱性主机脆弱性主机脆弱性主机脆弱性扫描扫描扫描扫描4主机系统主机系统主机系统主机系统加固加固加固加固5主机文件完整主机文件完整主机文件完整主机文件完整性检查性检查性检查性检查6主机用户认证主机用户
31、认证主机用户认证主机用户认证与授权与授权与授权与授权7主机数据存主机数据存主机数据存主机数据存储安全储安全储安全储安全8主机访问主机访问主机访问主机访问控制控制控制控制 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2828页页DMZDMZ?E-Mail?E-Mail?FileTransfer?FileTransfer?HTTP?HTTPIntranetIntranet学校网络学校网络教学区教学区教务区教务区财务部财务部人事部人事部路由路由InternetInternet中继中继管理分析管理分析&实施策略实施策略安安
32、安安 全全全全 隐隐隐隐 患患患患外部外部/个体个体外部外部/组织组织内部内部/个体个体内部内部/组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令Modem用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控安装认证安装认证&授权授权数据文件加密数据文件加密添加所有添加所有操作系统操作系统Patch看看看看不不不不懂懂懂懂进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了可可可可审审审审查查查查信息安全的目的信息安全的目的打不垮打不垮 2009.2 2009.2 人民邮电出版社人民邮电出版社212
33、1世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3030页页采取的解决办法一采取的解决办法一对于非法访问及攻击类对于非法访问及攻击类 -在非可信网络接口处安装在非可信网络接口处安装访问控制防火墙、蠕虫墙、访问控制防火墙、蠕虫墙、Dos/DDos墙、墙、IPsec VPN、SSL VPN、内容过滤、内容过滤系统系统 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3131页页领导网段领导网段防火墙、防火墙、IPSEC VPN、SSL VPN、内容过滤等、内容过滤等防防DOS/DDOS设备设备个人安全套件个人
34、安全套件语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3232页页采取的解决办法二采取的解决办法二对于病毒、蠕虫、木马类对于病毒、蠕虫、木马类 -实施全网络防病毒系统实施全网络防病毒系统对于垃圾邮件类对于垃圾邮件类 -在网关处实施防垃圾邮件系在网关处实
35、施防垃圾邮件系统统 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3333页页邮件过滤网关、邮件过滤网关、反垃圾邮件系统反垃圾邮件系统在在MAIL系统中邮件病系统中邮件病毒过滤系统、反垃圾毒过滤系统、反垃圾邮件系统邮件系统领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5 2009.2
36、2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3434页页采取的解决办法三采取的解决办法三对于内部信息泄露、非法外联、内部攻击对于内部信息泄露、非法外联、内部攻击类类 -在各网络中安装在各网络中安装IDS系统系统 -在系统中安装安全隐患扫描系统在系统中安装安全隐患扫描系统 -在系统中安装事件分析响应系统在系统中安装事件分析响应系统 -在主机中安装资源管理系统在主机中安装资源管理系统 -在主机中安装防火墙系统在主机中安装防火墙系统 -在重要主机中安装内容过滤系统在重要主机中安装内容过滤系统 -在重要主机中安装在重要主机中安装VPN系
37、统系统 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3535页页人事商务网段人事商务网段领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3636页页采取的解决
38、办法四采取的解决办法四对于系统统一管理、信息分析、事件分析对于系统统一管理、信息分析、事件分析响应响应 -在网络中配置管理系统在网络中配置管理系统 -在网络中配置信息审计系统在网络中配置信息审计系统 -在网络中配置日志审计系统在网络中配置日志审计系统 -在网络中补丁分发系统在网络中补丁分发系统 -在网络中配置安全管理中心在网络中配置安全管理中心 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3737页页销售体系销售体系网段网段N安全审安全审计中心计中心010101000101010001010100010101000
39、101010001010100010101000101010001010100010101000101010001010100领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3838页页安全管理中心安全管理中心专家库专家库领导网段领导网段
40、语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3安服网段安服网段教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3939页页问题时间问题时间 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4040页页8.2 网络安全接入与认证网络安全接入与认
41、证802.1x协议及工作机制协议及工作机制 基于基于RADIUS的认证的认证 基于基于802.1x的认证的认证 几种认证方式比较几种认证方式比较 防止防止IP地址盗用地址盗用 802.1x+RADIUS的应用案例的应用案例 2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4141页页8.2.1 802.1x协议及工作机制协议及工作机制802.1x802.1x协议称为基于端口的访问控制协议(协议称为基于端口的访问控制协议(Port Based Port Based Network Access Control Proto
42、colNetwork Access Control Protocol),该协议的核心内容如下),该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个图所示。靠近用户一侧的以太网交换机上放置一个EAPEAP(Extensible Authentication ProtocolExtensible Authentication Protocol,可扩展的认证协议),可扩展的认证协议)代理,用户代理,用户PCPC机运行机运行EAPoEEAPoE(EAP over EthernetEAP over Ethernet)的客户端软)的客户端软件与交换机通信。件与交换机通信。2009.2 200
43、9.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4242页页802.1x802.1x协议包括三个重要部分协议包括三个重要部分协议包括三个重要部分协议包括三个重要部分:客户端请求系统(客户端请求系统(客户端请求系统(客户端请求系统(Supplicant SystemSupplicant System)认证系统(认证系统(认证系统(认证系统(Authenticator SystemAuthenticator System)认证服务器(认证服务器(认证服务器(认证服务器(Authentication Server SystemAuthentic
44、ation Server System)8.2.1 802.1x协议及工作机制协议及工作机制上图描述了三者之间的关系以及互相之间的通信。客户机安装一个上图描述了三者之间的关系以及互相之间的通信。客户机安装一个上图描述了三者之间的关系以及互相之间的通信。客户机安装一个上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoEEAPoE客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件发起客户端软件发起客户
45、端软件发起客户端软件发起802.1x802.1x协议的认证过程。协议的认证过程。协议的认证过程。协议的认证过程。认证系统通常为支持认证系统通常为支持802.1x802.1x协议的交换机。该交换机有两个逻辑端口:受控端口协议的交换机。该交换机有两个逻辑端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoEEAPoE协议帧,协议帧,保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通,用保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通,用于传递网络信息。如果用户未通过认证,受控端口
46、处于非导通状态,则用户无法于传递网络信息。如果用户未通过认证,受控端口处于非导通状态,则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式,以适应不同访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式,以适应不同的应用环境。的应用环境。2009.2 2009.2 人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4343页页8.2.2 基于基于RADIUS的认证的认证衡量衡量RADIUSRADIUS的标准的标准 RADIUSRADIUS的性能是用户该关注的地方,比如,能接的性能是用户该关注的地方,比如,能接受多少请求以及能处
47、理多少事务。同时遵循标准,并具受多少请求以及能处理多少事务。同时遵循标准,并具备良好的与接入控制设备的互操作性是备良好的与接入控制设备的互操作性是RADIUSRADIUS服务器好服务器好坏的重要指标。安全性也是关注的重点,服务器在和网坏的重要指标。安全性也是关注的重点,服务器在和网络接入服务器(络接入服务器(NASNAS,Network Access ServersNetwork Access Servers)通信的)通信的过程中是如何保证安全和完整性的。另外,过程中是如何保证安全和完整性的。另外,RADIUSRADIUS是否是否能够让管理员实现诸多管理安全特性和策略是非常重要能够让管理员实现
48、诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额,这种功能使网络管理的一环。是否支持强制时间配额,这种功能使网络管理员可以限制用户或用户组能够通过员可以限制用户或用户组能够通过RADIUSRADIUS服务器接入网服务器接入网络多长时间。络多长时间。RADIUSRADIUS服务器是否都通过服务器是否都通过ODBCODBC或或JDBCJDBC,利用利用SQL ServerSQL Server数据库保存和访问用户配置文件。数据库保存和访问用户配置文件。RADIUSRADIUS认证系统的组成认证系统的组成RADIUSRADIUS是一种是一种C/SC/S结构的协议。结构的协议。Radius
49、ClientRadius Client一般是指与一般是指与NASNAS通信的、处理用户上网验证的软件;通信的、处理用户上网验证的软件;Radius ServerRadius Server一一般是指认证服务器上的计费和用户验证软件。般是指认证服务器上的计费和用户验证软件。ServerServer与与ClientClient通信进行认证处理,这两个软件都是遵循通信进行认证处理,这两个软件都是遵循RFCRFC相关相关RadiusRadius协议设计的。协议设计的。RADIUSRADIUS的客户端最初就是的客户端最初就是NASNAS,现在,现在任何运行任何运行RADIUSRADIUS客户端软件的计算机
50、都可以成为客户端软件的计算机都可以成为RADIUSRADIUS的客户端。如下图。的客户端。如下图。RADIUSRADIUS的工作原理的工作原理用户接入用户接入NASNAS,NASNAS向向RADIUSRADIUS服务器使用服务器使用Access-RequireAccess-Require数据包提交用户信息,包括用户名、口令等相关信息。其数据包提交用户信息,包括用户名、口令等相关信息。其中用户口令是经过中用户口令是经过MD5MD5加密的,双方使用共享密钥,这个加密的,双方使用共享密钥,这个密钥不经过网络传播。密钥不经过网络传播。RADIUSRADIUS服务器对用户名和密码的服务器对用户名和密码的