《(中职)计算机网络技术(第2版)项目9计算机网络安全与管理电子课件().ppt》由会员分享,可在线阅读,更多相关《(中职)计算机网络技术(第2版)项目9计算机网络安全与管理电子课件().ppt(78页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、(中职)计算机网络技术(第2版)项目9计算机网络安全与管理电子课件(工信版)计算机网络技术项目项目9 计算机网络安全与管理计算机网络安全与管理【知识目标】p了解防火墙的安装与设置p了解杀毒软件的安装与升级p了解木马程序和恶意插件的查杀p掌握网络漏洞的检测与防范p掌握网络管理技术【能力目标】p能利用防火墙实现网络之间的访问控制p能利用杀毒软件实现计算机病毒的防范p能利用工具实现网络攻击及防范项目项目9 计算机网络安全与管理计算机网络安全与管理任务1 防火墙的初始配置任务2 防火墙NAT配置任务3 软件防火墙的使用任务4 病毒的防范 任务5 网络攻击及其防范措施任务6 网络管理技术任务1 防火墙设
2、备的初始配置【任务引入】假设某企业的网络管理员第一次在设备机房对防火墙进行了初次配置后,他希望以后在办公室或出差时也可以对设备进行远程管理,现要在路由器上做适当配置,使他可以实现这一愿望。任务1 防火墙设备的初始配置【任务分析】以一台Cisco ASA 5506防火墙为例,一台PC机通过串口(Com)连接到防火墙的控制(Console)端口,通过网卡(NIC)连接到防火墙的fastethernet0/1端口,如图9-1所示。假设PC机的IP地址和子网掩码分别为192.168.1.2,255.255.255.0,配置防火墙的连接内网端口(Inside端口)的IP和网络掩码分别为192.168.1
3、.1,255.255.255.0。任务1 防火墙设备的初始配置【操作步骤】1在PC机上进行设置。设置PC机的IP地址和子网掩码分别为192.168.1.2,255.255.255.0;网关为192.168.1.1。2对防火墙做初始化配置ciscoasa enable!从进入用户模式进入特权模式password:!初始密码为空,按“enter”键进入特权模式ciscoasa#configure terminal!从特权模式进入全局配置模式ciscoasa(config)#hostname Firewall!更改防火墙名称为FirewallFirewall(config)#passwd cisco
4、!配置远程登录密码为ciscoFirewall(config)#enable password cisco!配置enable密码为cisco3配置防火墙内、外网接口Firewall(config)#interface GigabitEthernet 1/1!进入Gig 1/1接口Firewall(config)#nameif inside !将Gig 1/1接口命名为inside口Firewall(config)#security-level 100!设置inside口的默认安全级别为100Firewall(config)#ip address 192.168.1.1 255.255.255.
5、0!配置该接口地址Firewall(config)#interface GigabitEthernet 1/2!进入Gig 1/2接口Firewall(config)#nameif outside!将Gig 1/2接口命名为outside口Firewall(config)#security-level 0!设置outside口的默认安全级别为0(范围0100,其中inside、outside口安全级别为系统自动定义和生成)Firewall(config)#ip address 1.1.1.1 255.255.255.252!配置连接外网口地址任务1 防火墙设备的初始配置【操作步骤】4配置远程管
6、理地址范围Firewall(config)#telnet 192.168.1.2 255.255.255.255 inside!配置只允许ip地址为192.168.1.2的主机通过telnet远程登录防火墙。如果允许所有内网主机通过telnet远程登录防火墙的配置命令为:telnet 0.0.0.0 0.0.0.0 inside Firewall(config)#ssh 0.0.0.0 0.0.0.0 outside!配置允许外网所有地址通过ssh登录防火墙5.验证测试:验证从PC机可以通过网线远程登录到防火墙上通过ping命令测试从PC到防火墙的连通性,测试命令如下:C:ping 192.1
7、68.1.1显示结果如图9-2所示,表示网络连接正常。任务1 防火墙设备的初始配置【操作步骤】通过telnet命令从PC登录到防火墙的命令格式如下:C:telnet 192.168.1.1!从PC机登录到防火墙上从PC通过Telnet远程成功连接防火墙显示界面如图9-3所示,输入步骤2设置的密码可以登录到防火墙,开始远程管理。图9-3 从PC通过Telnet连接防火墙任务1 防火墙设备的初始配置【操作步骤】6保存在防火墙上所做的配置。Firewall#copy running-config startup-config !保存路由器配置或:Firewall#write memory7.查看防火
8、墙配置信息Firewall#show running-config 查看防火墙当前配置信息,注意事项:查看防火墙启动时的配置信息使用的命令是:show startup-config。任务2 防火墙NAT配置【任务引入】假设某企业只申请到了一个互联网公网IP地址,该公司的管理员想让该公司的所有内网用户都通过公司防火墙的公网地址访问互联网资源;该管理员通过查阅资料决定使用动态NAT技术解决地址转换问题。任务2 防火墙NAT配置【任务分析】公司出口防火墙采用的是Cisco ASA 5506-x防火墙,公司网络拓扑结构如图9-4所示,将公司申请到的公网地址是1.1.1.1/30配置到防火墙的外网接口G
9、ig1/2上,公网网关是1.1.1.2/30,;公司内网地址是192.168.1.0/24,将ip地址192.168.1.1/24配置到防火墙的内网接口上;在防火墙上配置动态NAT实现地址转换。任务2 防火墙NAT配置【任务分析】公司出口防火墙采用的是Cisco ASA 5506-x防火墙,公司网络拓扑结构如图9-4所示,将公司申请到的公网地址是1.1.1.1/30配置到防火墙的外网接口Gig1/2上,公网网关是1.1.1.2/30,;公司内网地址是192.168.1.0/24,将ip地址192.168.1.1/24配置到防火墙的内网接口上;在防火墙上配置动态NAT实现地址转换。任务2 防火墙
10、NAT配置【操作步骤】1在PC机上进行设置根据拓扑图依次配置PC1、PC2、PC3主机的IP地址和子网掩码。2对防火墙做初始化配置ciscoasa enable!从进入用户模式进入特权模式password:!初始密码为空,按“enter”键进入特权模式ciscoasa#configure terminal!从特权模式进入全局配置模式ciscoasa(config)#hostname Firewall !更改防火墙名称为FirewallFirewall(config)#passwd cisco!配置远程登录密码为ciscoFirewall(config)#enable password cisc
11、o!配置enable密码为cisco3配置防火墙内、外网接口Firewall(config)#interface GigabitEthernet 1/1!进入Gig 1/1接口Firewall(config)#nameif inside !将Gig 1/1接口命名为inside口Firewall(config)#security-level 100!设置inside口的默认安全级别为100Firewall(config)#ip address 192.168.1.1 255.255.255.0!配置该接口地址Firewall(config)#interface GigabitEthernet
12、1/2!进入Gig 1/2接口Firewall(config)#nameif outside!将Gig 1/2接口命名为outside口任务2 防火墙NAT配置【操作步骤】Firewall(config)#security-level 0!设置outside口的默认安全级别为0(范围0100,其中inside、outside口安全级别为系统自动定义和生成)Firewall(config)#ip address 1.1.1.1 255.255.255.252!配置连接外网口地址5防火墙NAT配置Firewall(config)#object network inside !定义地址转换前的地址范
13、围 Firewall(config-network-object)#subnet 192.168.1.0 255.255.255.0Firewall(config-network-object)#exitFirewall(config)#object network outside !定义地址转换后的地址范围Firewall(config-network-object)#subnet 1.1.1.0 255.255.255.252Firewall(config-network-object)#exitFirewall(config)#object network inside Firewall
14、(config-network-object)#nat(inside,outside)dynamic interfaceFirewall(config-network-object)#exit任务2 防火墙NAT配置【操作步骤】6.防火墙访问策略配置内网地址范围转换为外网地址范围创建一个名称为inside-to-outside的ip访问控制列表,允许网段192.168.1.0/24访问任何公网地址,并将名称为inside-to-outside的访问控制列表应用到防火墙inside区域。Firewall(config)#access-list inside-to-outside permit i
15、p 192.168.1.0 255.255.255.0 any !定义一个名称为inside-to-outside的访问控制列表Firewall(config)#access-group inside-to-outside in interface inside任务2 防火墙NAT配置【操作步骤】7.查看防火墙配置信息查看NAT配置信息Firewall#show nat Auto NAT Policies(Section 2)1(inside)to(outside)source dynamic inside interface translate_hits=0,untranslate_hits
16、=0查看访问控制列表配置信息Firewall#show access-list access-list cached ACL log flows:total 0,denied 0(deny-flow-max 4096)alert-interval 300access-list inside-to-outside;1 elements;name hash:0 x18882869access-list inside-to-outside line 1 extended permit ip any any(hitcnt=4)0 xd3068359任务2 防火墙NAT配置【注意事项】1.防火墙路由配置
17、当拓扑结构中防火墙存在非直连网段时,需要在防火墙和其他三层设备(路由器或三层交换机)上添加路由信息(由于本实验中的两个网段都是防火墙的直连网段,所以不需要给防火墙配置路由),路由器和三层交换机配置路由已在前面章节介绍;防火墙配置路由的命令格式如下:配置内网路由信息:Firewall(config)#route inside 目的网络 目的网络掩码 下一跳IP地址 配置外网路由信息:Firewall(config)#route outside 目的网络 目的网络掩码 下一跳IP地址任务2 防火墙NAT配置【注意事项】2接口的安全级别防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成
18、威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中,安全级别的定义是由security这个参数决定的,数字越小安全级别越高,所以security0是最高的,随后通常是以10的倍数递增,安全级别也相应降低。3访问控制列表(ACL)此功能与Cisco IOS基本上是相似的,也是防火墙的主要部分,有permit和deny两个功能,网络协议一般有IP、TCP、UDP、CMP等。任务2 防火墙NAT配置【注意事项】1.防火墙路由配置当拓扑结构中防火墙存在非直连网段时,需要在
19、防火墙和其他三层设备(路由器或三层交换机)上添加路由信息(由于本实验中的两个网段都是防火墙的直连网段,所以不需要给防火墙配置路由),路由器和三层交换机配置路由已在前面章节介绍;防火墙配置路由的命令格式如下:配置内网路由信息:Firewall(config)#route inside 目的网络 目的网络掩码 下一跳IP地址 配置外网路由信息:Firewall(config)#route outside 目的网络 目的网络掩码 下一跳IP地址任务3 软件防火墙的使用子任务1 天网防火墙的安装与设置 子任务2 Windows XP防火墙子任务1 天网防火墙的安装与设置【任务引入】你是公司的网络管理员
20、,面对局域网内的个人用户,如何保证每个用户正常上网和信息资源的安全。【任务分析】天网防火墙是由天网安全实验室研发制作给个人计算机使用的网络安全工具。安装天网防火墙,对其中的安全级别和局域网信息进行设置,使用应用程序规则、IP规则对网络访问进行管理。子任务1 天网防火墙的安装与设置【操作步骤】1.天网防火墙的安装(1)双击已经下载好的安装程序,出现“欢迎”对话框,选择“我接受此协议”复选框。(2)单击“下一步”按钮继续。选择安装路径,然后单击“下一步”按钮。子任务1 天网防火墙的安装与设置(3)出现“选择程序管理器程序组”对话框,直接单击“下一 步”按钮。(4)出现“开始安装”对话框,直接单击“
21、下一步”按钮。子任务1 天网防火墙的安装与设置(5)复制基本完成后直接单击“下一步”按钮,会自动弹出“天网防火墙设置向导”对话框。(6)单击“下一步”按钮继续,出现“安全级别设置”对话框,为了保证能够正常上网并免受他人的恶意攻击,建议大多数用户和新用户选择中等安全级别,对于熟悉天网防火墙设置的用户可以选择自定义级别。子任务1 天网防火墙的安装与设置(7)出现“局域网信息设置”对话框,选择“开机的时候自动启动防火墙”和“我的电脑在局域网中使用”复选框,在“我在局域网中的地址是”栏中输入本机的IP地址,也可通过刷新按钮自动加载该IP地址,然后单击“下一步”按钮。子任务1 天网防火墙的安装与设置(8
22、)出现“常用应用程序设置”对话框,选择允许访问网络的应用程序,可把不充许访问的应用程序前的复选框去除,默认为充许,单击“下一步”按钮。(9)出现“安装已完成对话框”,单击“完成”按钮,系统会提 示必须重新启动系统,单击 “确定”按钮,重启计算机,即完成安装操作。子任务1 天网防火墙的安装与设置(10)出现“安装已完成对话框”,单击“完成”按钮,系统会提示必须重新启动系统,如图所示,单击“确定”按钮,重启计算机,即完成安装操作。子任务1 天网防火墙的安装与设置2.天网防火墙的设置(1)系统设置 启动天网防火墙后,在防火墙的控制面板中点击“系统设置”按钮即可展开防火墙系统设置面板。可设置开机后是否
23、自动启动天网防火墙、是否设置管理员密码、在线升级提示、日志是否保存及大小等选项。子任务1 天网防火墙的安装与设置(2)IP规则管理 IP规则是针对整个系统的网络层数据包监控而设置的。天网防火墙个人版本身已经默认设置了完善的缺省规则,一般用户并不需要做任何IP规则修改,就可以直接使用。如右图所示,可以对共享、TCP/UDP端口等进行设置。子任务1 天网防火墙的安装与设置(3)应用程序规则设置 可以对某个应用程序对网络发生访问时的协议服务进行设置,当该程序不符合设定条件时可以询问或禁止操作,还可以设定TCP协议可访问的端口范围。子任务1 天网防火墙的安装与设置(4)查看日志 日志里记录了本机程序访
24、问网络的记录,局域网,和网上被IP扫描本机端口的情况,供参考以便采取相应的对策。子任务1 天网防火墙的安装与设置(5)新建IP规则 当我们需要一些网络应用(比如开启FTP服务端服务),天网防火墙的默认设置将会带来些麻烦,别人连不上我的机器,这个时候我们就需要新建IP规则,来开放相应的端口。比如流行的BT使用的端口为68816889这九个端口,而防火墙的默认设置是不允许访问这些端口的,如果关闭了防火墙就将导致机器不安全。子任务1 天网防火墙的安装与设置【知识链接】防火墙(Firewall)是在两个网络之间实现访问控制的一个或一组软件或硬件系统,如下图所示。其主要功能是:对流经它的网络通信进行扫描
25、,过滤危险的数据或访问请求,以免在目标计算机上被执行。防火墙还可以关闭不使用的端口、禁止特定端口的通信、封锁木马、禁止来自特殊站点的访问,从而防止入侵者的所有通信。多数防火墙是通过设置的访问规则来检查内外网的通信数据,防止非法访问等,这些规则可以通过人工设置或防火墙自动学习来完成。子任务1 天网防火墙的安装与设置 防火墙的规则在应用中,通常是从顶端的第一条规则开始执行。如果满足第一条规则,则允许数据通过并再判断是否满足第二条规则,以此类推。但如果其中有一条规则不允许数据通过,则不再进行判断而直接阻止数据通过。子任务2 Windows XP防火墙【任务引入】在Windows XP防火墙中,设置防
26、火墙的状态,通过对例外项进行设置来控制应用程序对网络访问。【任务分析】Windows XP防火墙是一个基于主机的状态防火墙,只丢弃所有未经请求的传入流量,避免那些依赖经未请求的传入流量来攻击网络上的计算机的恶意用户和程序。子任务2 Windows XP防火墙【操作步骤】(1)要配置 Windows 防火墙,可以先打开控制面板,再打开其中的安全中心;或者打开网络连接,从中选择更改Windows防火墙设置。在主选项卡中有3个选项。(2)“常规”选项卡中,选择了启用时,Windows 防火墙将对除例外中的程序以外的所有网络请求进行拒绝。当选择了不允许例外,Windows 防火墙将拦截所有的连接到该主
27、机的网络请求,包括在例外选项卡中列表的应用程序和系统服务。另外,防火墙也将拦截文件和打印机共享,还有网络设备的侦测。使用不允许例外选项的windows 防火墙比较适用于连接在公共网络上的个人计算机,比如在宾馆和机场公共场合使用的计算机。子任务2 Windows XP防火墙(3)“例外”选项卡中允许添加阻止规则例外的程序和端口来允许特定的进站通讯。如果希望网络中的其他客户端能够访问本地的某个特定的程序或服务,而你又不知道这个程序或服务将使用哪一个端口和哪一类型端口,这种情况下可以将这个程序或者服务添加到Windows 防火墙的例外项中以保证它能被外部访问。子任务2 Windows XP防火墙(4
28、)“高级”选项卡中可以配置以下设定:应用在每个网络连接上的连接特定规则、安全日志记录设置、全局ICMP规则和默认设置。单击“ICMP规则”项中设置按钮。子任务2 Windows XP防火墙(5)出现“ICMP”设置对话框,“允许传入回显请求”已被选择,如右图所示。这是因为选择了“文件和打印共享”服务例外,启用了TCP端口445,所以在网络中用其它主机ping 本地主机,可以看到回显请求。任务4 病毒的防范【任务引入】网络的出现加速了计算机病毒的传播和蔓延,使用计算机的用户都受到过病毒的困扰,系统遭受到破坏,以至重要的数据被毁于一旦。因此,安装杀毒软件是有效的防护方法。我们就以常用的360杀毒软
29、件为例,学习杀毒软件的安装、升级与使用。【任务分析】360杀毒是360安全中心推出的一款免费的云安全杀毒软件,一款一次性通过VB100认证的国产杀软。使用360杀毒软件的优点是查杀率高、资源占用少、升级迅速等。本任务通过完成360杀毒软件安装、设置、病毒查杀、软件升级等一系列操作,掌握360杀毒软件的常用功能使用方法。任务4 病毒的防范【操作步骤】1杀毒软件的安装(1)要安装360杀毒,首先从360杀毒官方网站(http:/)下载最新版本的360杀毒安装程序。下载完成后,双击运行360杀毒软件安装包,选择安装路径、勾选“阅读并同意许可使用协议和隐私保护说明”,单击“立即安装”按钮,如图9-25
30、所示。(2)开始安装杀毒软件,如图9-26所示。安装完成后启动360杀毒软件,如图9-27所示。任务4 病毒的防范【操作步骤】任务4 病毒的防范【操作步骤】(3)360杀毒软件主界面,如图9-27所示。主界面的左下角显示了当前杀毒软件的版本号,点击后面的的“检测更新”按钮,杀毒软件自动检测软件病毒库,若发现病毒库有更新,360杀毒软件将自动开始软件更新,如图9-28 9-29所示。任务4 病毒的防范【操作步骤】任务4 病毒的防范【操作步骤】2杀毒软件的使用(1)360杀毒软件主界面提供了四种手动病毒扫描方式:全盘扫描、快速扫描、自定义扫描及右键扫描方式。任务4 病毒的防范【操作步骤】2杀毒软件
31、的使用任务4 病毒的防范【操作步骤】(2)在主界面单击“功能大全”按钮,弹出360专项工具箱界面,如图9-32所示。可根据我们的需要选择恰当的安全防护工具维护系统安全。任务5 网络攻击及其防范措施 子任务1 网络漏洞的扫描与防范子任务2 网络后门工具的使用子任务1 网络漏洞的扫描与防范【任务引入】网络漏洞扫描系统能够预先评估和分析系统中存在的各种安全隐患,防止被黑客所利用的漏洞,对系统中重要的数据、文件等进行保护。使用扫描工具X-Scan进行网络漏洞扫描。【任务分析】X-Scan扫描工具是一款常用的漏洞扫描工具,它采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容
32、包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞可以检测出来。子任务1 网络漏洞的扫描与防范【操作步骤】1.启动X-Scan-v3.3,进入主界面。子任务1 网络漏洞的扫描与防范2.利用该软件对系统存在的一些漏洞进行扫描,选择菜单栏“设置”“扫描参数”,在“检测范围”项中对指定的IP范围,输入:172.16.90.1-172.16.90.252。子任务1 网络漏洞的扫描与防范3.单击“扫描模块”,在弹出的对话框中对常见的网络系统漏洞进行全面扫描。子任务1 网络漏洞的扫描与防范4.设置完毕,单击工具栏上的图标“
33、开始”对目标主机进行扫描。子任务1 网络漏洞的扫描与防范5.扫描需要经过一段比较长的时间,扫描结果自动生成网页,发现漏洞并生成报告。子任务1 网络漏洞的扫描与防范【知识链接】网络漏洞扫描技术 网络漏洞扫描系统是指通过网络远程检测目标网络和主机系统漏洞的程序,它对网络系统和设备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞。漏洞扫描主要通过以下两种方法来检测目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描。
34、子任务2 网络后门工具的使用【任务引入】网络攻击者经过踩点、扫描、入侵以后,总想留下后门,以便长期保持对目标主机的控制。对常见后门工具的使用,能帮助网络管理员提高网络的安全防范能力。【任务分析】只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的,让管理员看了感觉没有任何特别的。使用工具软件wnc.exe建立在对方主机上开启Web服务和Telnet服务。其中Web服务的端口是808,Telnet服务的端口是707。子任务2 网络后门工具的使用【操作步骤】1.执行很简单,只要在对方主机Window
35、s Server 2003的命令行下执行一下wnc.exe就可以,在任务管理器中的进程项可以wnc.exe已在后台运行。2.执行完毕后,利用命令“netstat-an”来查看开启的808和707端口。说明服务端口开启成功,可以连接该目标主机提供的这两个服务了。子任务2 网络后门工具的使用3.测试Web服务808端口,在浏览器地址栏中输入“http:/192.168.0.1:808”,出现主机的盘符列表。4.可以下载对方硬盘和光盘上的任意文件,也可上传文件。子任务2 网络后门工具的使用5.利用“telnet 192.168.0.1 707”命令登录到对方的命令行。6.不用任何的用户名和密码就可以
36、登录对方主机的命令行。子任务2 网络后门工具的使用 wnc.exe的功能强大,但是该程序不能自动加载执行,需要将该文件加到自启动程序列表中,让对方主机默无声息的留下后门。但是在对方主机上开了两个非常明显的端口808和707,容易被管理员发现,还要在登录对方主机后,采取其它措施如获取管理员密码,进一步上传后门软件等,来进行网络隐藏。子任务2 网络后门工具的使用【知识链接】1.网络攻击的步骤一次成功的网络攻击,可以归纳成基本的五个步骤,但是根据实际情况可以随时调整。(1)隐藏IP通常有两种方法实现自己IP的隐藏:第一种方法是首先入侵互联网上的一台电脑(俗称“肉鸡”),利用这台电脑进行攻击,这样即使
37、被发现了,也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”,这样在入侵的电脑上留下的是代理计算机的IP地址。(2)踩点扫描利用工具对特定的一台主机或某一个IP地址范围进行扫描,以确定主机漏洞是否存在。子任务2 网络后门工具的使用(3)漏洞分析对已存在的主机漏洞进行分析,以便确定攻击方法。(4)种植后门为了保持长期漏洞主机的访问权,在已经攻破的计算机上种植一些供自已访问的后门。(5)网络隐身一次成功入侵之后,通常会清除登录日志和其他相关的日志,以免暴露行踪,同时也为下一次入侵做好准备。子任务2 网络后门工具的使用2.网络漏洞的防范方法以及人员安全意识要防止或减少网络漏洞的攻击,最好
38、的方法是尽力避免主机端口被扫描和监听,先于攻击者发现网络漏洞,并采取有效措施。提高网络系统安全的方法主要有:(1)在安装操作系统和应用软件之后及时安装补丁程序,并密切关注国内外著名的安全站点,及时获得最新的网络漏洞信息。(2)及时安装防火墙,建立安全屏障。防火墙可以尽可能屏蔽内部网络的信息和结构,降低来自外部网络的攻击。(3)利用系统工具和专用工具防止端口扫描。要利用网络漏洞攻击,必须通过主机开放的端口。因此,黑客常利用QckPing、scanlook、SuperScan等工具进行端口子任务2 网络后门工具的使用扫描。防止端口扫描的方法:在系统中将特定的端口关闭。(4)通过加密、网络分段、划分
39、虚拟局域网等技术防止网络监听。(5)利用密罐技术,使网络攻击的目标转移到预设的虚假对象,从而保护系统的安全。(6)提高安全意识(7)对于重要的个人数据做好严密的保护,并养成数据备份的习惯。任务6 网络管理技术【任务引入】网络管理对象一般包括路由器,交换机,HUB等。近年来,网络管理对象有扩大化的趋势,即把网络中几乎所有的实体:网络设备,应用程序,服务器系统,辅助设备如UPS电源等都作为被管对象;这也给网络管理员提出了新的网络管理任务。那么,网络管理的功能,又该如何去具体认识呢?【任务分析】通过网络管理的一般模型,理解网络管理的概念,初步认识简单网络管理协议,从而确定网络管理的功能,了解网络管理
40、的产品。任务6 网络管理技术【知识链接】1.网络管理的概念 网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的使用需求,如实时运行性能,服务质量等。网络管理常简称为网管。由于网络状态总是不断变化,所以必须使用网络来管理网络,在管理过程中需要有一种协议来读取网络中各结点的状态信息,有时还需要将一些新的状态信息写入到这些结点上。任务6 网络管理技术任务6 网络管理技术 管理站是整个网络管理系统的核心,它通常是具有良好图形界面的高性能的工作站,并由网络管理员直接操作和控制。所有向被管设备发送的命令都是从管理站发出的。
41、管理站(硬件)或管理程序(软件)都可称为管理者(manager),所以这里的manager不是指人而指机器或软件。在网络中有很多的被管设备(包括设备中的软件)。被管设备可以是主机、路由器、打印机、集线器、网桥或调制解调器等。在每一个被管设备可能有许多被管对象,这些对象可以是被管设备中某个硬件,也可以是软件(如路由选择协议)。在被管设备中也会有一些不能被管的对象。被管对象必须维持可供管理程序读写的控制和状态信息。这些信息总称为管理信息库MIB,而管理程序就使用MIB中这些信息的值对网络进行管理。任务6 网络管理技术 在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的
42、程序叫做网络管理代理程序,简称为代理(agent)。代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。还有一个重要构件就是网络管理协议,简称为网管协议。网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。任务6 网络管理技术 2.简单网络管理协议 简单网络管理协议(Simple Network Management Protocol,SNMP)是基于TCP/IP协议簇的网络管理标准。SNMP最重要的设计思想就是要尽可能简单。它的基本功能包括监视网络性能,监测分析网络差错,配置网络设备等。在网络正常工作时,SNMP可实现统计、配置和测试等功能。当网络出故障时,可实现各种差错检测
43、和恢复功能。典型配置如下图。整个系统必须有一个管理站。管理进程和代理进程利用SNMP报文进行通信,而SNMP报文又使用UDP来传送。图中有两个主机和一个路由器。这些协议栈中带有阴影的部分是原来这些主机和路由器所具有的,而没有阴影的部分则为实现网络管理而增加的。任务6 网络管理技术任务6 网络管理技术 若被管设备使用的不是SNMP而是另一种网络管理协议,SNMP协议就无法控制该被管设备。这时可使用委托代理(proxy agent)。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。SNMP的网络管理由三个部分组成,即管理信息库MIB、管理信息结构SMI以及SNMP本身。任务6 网络管理
44、技术3.网络管理的功能 在实际网络管理过程中,网络管理应具有的功能非常广泛,包括了很多方面。在网络管理标准中定义了网络管理的5大功能:配置管理、性能管理、故障管理、安全管理和计费管理,这5大功能是网络管理最基本的功能。事实上,网络管理还应该包括其他一些功能,比如网络规划、网络操作人员的管理等。不过除了基本的网络管理5大功能,其他的网络管理功能实现都与具体的网络实际条件有关,因此我们只需要关注OSI网络管理标准中的5大功能,其中:任务6 网络管理技术(1)配置管理:自动发现网络拓扑结构,构造和维护网络系统的配置。监测网络被管对象的状态,完成网络关键设备配置的语法检查,配置自动生成和自动配置备份系
45、统,对于配置的一致性进行严格的检验。(2)故障管理:过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的故障发现、告警与处理机制。(3)性能管理:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析。同时,统计网络运行状态信息,对网络的使用发展作出评测、估计,为网络进一步规划与调整提供依据。任务6 网络管理技术(4)安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全。维护系统日志,使系统的使用和网络对象的修改有据可查。控制对网络资源的访问。(5)计费管理:对网际互联设备按IP地址的双向流量统计,产
46、生多种信息统计报告及流量对比,并提供网络计费工具,以便用户根据自定义的要求实施网络计费。4.典型的网络管理产品 目前,各大网络厂商几乎都在支持自己的网络管理方案的同时,也支持SNMP网络管理方案。典型的网络管理产品主要有HP公司的Open View、IBM公司的Net View和SUN公司的SunNet。总结与回顾本项目主要介绍了计算机网络的安全管理方法。重点掌握防火墙的基本使用和配置,应用程序的访问规则设置。熟悉病毒的危害与查杀,木马及恶意插件的清除,系统的的修复。了解网络漏洞的原理和检测方法,对相应缺陷及时处理。了解网络管理技术的作用和网络管理产品的功能。在使用中要注重多种方法综合运用,提高主动防范的意识,增强系统的网络安全性。