《通信网络安全与防护》课件3.ppt

1、密钥分配与管理密码学基本概念、古典加密体制 现代加密体制、AES、RSA报文摘要算法安全认证-消息认证、数字签名、身份认证访问控制PKI体制中，保证数字证书不被篡改的方法是（)A.用证书主人的私钥对数字证书签名；B.用CA的私钥对数字证书签名；C.用CA的公钥对数字证书签名；D.用证书主人的公钥对数字证书签名；关于消息认证,以下哪一项描述是错误的?A.消息认证码既可提供消息鉴别又可提供保密性B.密钥是发送端和接收端之间的共享密钥C.通过密钥和消息计算得出消息认证码D.黑客无法根据篡改后的消息计算出原消息认证码3.1 物理安全3.2 路由器的安全技术3.3 交换机的安全技术3.4 服务器与操作系

2、统安全u网络中大量的信息资源和信息服务是通过路由器、交换机、无线接入器等网络设备提供给用户的，而这些设备中存在的漏洞造成了极大的网络安全隐患。u网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。网络设备的安全始终是通信网络安全的一个重要方面。u网络设备的安全问题除了一般意义的技术安全之外，还应该包括网络设备的物理安全，诸如人为损坏以及网络设备防断电、防雷击、防静电、防灰尘、防电磁干扰、防潮散热等环境安全问题。u 物理安全是整个通信网络系统安全的前提，是保护通信网络设备、设施及其他媒介免遭地震、水灾、火灾等环境事故、人为操作失误或人为损坏导致被破坏的过程。3.1 物理安全物

3、理安全机房安全技术硬件设备安全电源系统安全通信线路安全3.1 物理安全3.1 物理安全1.机房的安全要求 减少无关人员进入机房的机会；选址时应避免靠近公共区域，避免窗户邻街；机房最好不要安排在底层或顶层；在较大的楼层内，机房应靠近楼层的一边安排；保证所有进出机房的人都在管理人员的监控之下。2.机房的防盗要求 对机房内重要的设备和存储媒体应采取严格的防盗措施。主要包括：光纤电缆防盗系统；特殊标签防盗系统；视频监视防盗系统。3.机房的三度要求（温度、湿度和洁净度）3.1 物理安全（1）温度的影响（2）湿度的影响（3）灰尘的影响4.防静电措施3.1 物理安全u机房的内装修材料采用乙烯材料；u机房内安

4、装防静电地板，并将地板和设备接地；u机房内的重要操作台应有接地平板；u工作人员的服装和鞋最好用低阻值的材料制作；u机房内应保持一定湿度。5.接地与防雷3.1 物理安全u接地与防雷是保护通信网络系统和工作场所安全的重要安全措施。u接地是指整个通信网络系统中各处电位均以大地电位为零参考电位。u地线种类可分为：保护地、直流地、屏蔽地、静电地、雷击地。5.接地与防雷3.1 物理安全u防雷，是指通过组成拦截、疏导最后泄放入地的一体化系统方式以防止由直击雷或雷电的电磁脉冲对建筑物本身或其内部设备造成损害的防护技术。u机房外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道；u机

5、房内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的；u机房的设备本身也应有避雷装置和设施。l机房内应有火灾、水灾自动报警系统；l机房上层有用水设施须加防水层；l机房内应放置适用于通信机房的灭火器，并建立应急计划和防火制度等。与机房安全相关的国家标准主要有：lGB/T 2887-2011计算机场地通用规范lGB 50174-2008电子信息系统机房设计规范lGB/T 9361-2011计算站场地安全要求6.机房的防火、防水措施3.1 物理安全3.1 物理安全 通信线路是信息传输的通道，会受到搭线窃听、中断或干扰的攻击。

6、3.1 物理安全u 电缆加压技术u 电缆屏蔽u 光纤通信技术1.电缆加压技术 电缆两端加压，连接监视器，如果监测到变化，则启动报警器。加压电缆是屏蔽在波纹铝钢包皮中，几乎没有电磁辐射，对利用电磁感应的窃听行为有一定的抵抗力。2.电缆屏蔽技术 降低电磁感应，提高抗干扰能力。屏蔽式双绞线的抗干扰能力更强，对于干扰严重的区域应使用屏蔽式双绞线，还可将其放在金属管内以增强抗干扰能力。163.1 物理安全3.光纤通信技术光纤的“天然”保密性？173.1 物理安全3.1 物理安全 光纤窃听方法：1）光纤弯曲法 2）V型槽切口法 3）散射法 4）光束分离法 5）渐近耦合法3.光纤通信技术3.1 物理安全 1

7、.硬件设备的维护和管理3.1 物理安全（1）硬件设备的使用管理l严格按硬件设备的操作使用规程进行操作；l建立设备使用情况日志，并登记使用过程；l建立硬件设备故障情况登记表；l坚持对设备进行例行维护和保养，并指定专人负责。（2）常用硬件设备的维护和保养l定期检查线缆连接的紧固性；l定期清除表面及内部灰尘；l定期检查供电系统的各种保护装置及地线是否正常。3.1 物理安全（1）电磁兼容和电磁辐射（2）电磁辐射防护的措施2.电磁兼容和电磁辐射的防护l采用各种电磁屏蔽措施l干扰的防护措施3.信息存储媒体的安全管理22 风险：因电源系统电压波动、浪涌电流和突然断电等导致计算机系统存储信息丢失、设备损坏。供

8、电连续性、可靠性、稳定性和抗干扰性等指标。机房的供配电系统设计要求：满足设备自身运转和网络应用的要求，保证网络系统运行的可靠性，保证设备的设计寿命，保证信息安全，保证机房人员的工作环境。3.1 物理安全3.2 路由器的安全技术l身份问题、漏洞问题、访问控制问题、路由协议问题、配置管理问题等l端口登录口令：可以登录到路由器，一般只能查看部分信息l特权用户口令：可以使用全部的查看、配置和管理命令。1.路由器口令的设置1.路由器口令的设置3.2 路由器的安全技术l口令加密l设置端口登录口令l加密特权用户口令l防止口令修复3.2 路由器的安全技术2.网络服务的安全设置l禁止HTTP服务l禁止一些默认状

9、态下开启的服务如：思科发现协议CDP（Cisco Discovery Protocol）是用来获取相邻设备的协议地址以及发现这些设备的平台，就是说当思科的设备连接到一起时，不需要额外的配置，用show cdp neighbor就可以查看到邻居的状态。l关闭其他一些易受攻击的端口服务No ip unreachables /防smurf攻击3.2 路由器的安全技术3.保护内部网络lP地址l利用路由器的网络地址转换隐藏内部地址l利用地址解析协议防止盗用内部IP地址通过ARP可以固定地将IP地址绑定在某一MAC上4.利用访问控制列表有效防范网络攻击访问控制列表ACL使用包过滤技术，在路由器上读取第三层

10、及第四层数据包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。3.2 路由器的安全技术l利用ACL禁止ping相关接口l利用ACL防止IP地址欺骗l利用ACL防止SYN攻击l利用ACL防范网络病毒攻击5.防止包嗅探使用SSH或支持Kerberos的Telnet，或使用IPSec加密路由器所有的管理流6.校验数据流路径的合法性3.2 路由器的安全技术使用RPF（Reverse path forwarding）反相路径转发7.为路由器间的协议交换增加认证功能，提高网络安全性8.使用安全的SNMP管理方案3.2 路由器的安全技术1.路由器口

11、令安全配置2.路由器网络服务的安全设置3.保护内部网络IP地址的配置4.利用ACL防范网络攻击的配置5.利用ACL防范病毒攻击的配置6.利用ACL对HTTP服务进行服务控制及权限管理Router(config)#access-list 1 permit 10.17.36.130Router(config)#ip http access-class lRouter(config)#ip http authentication aaa3.3 交换机的安全技术2.利用虚拟局域网技术限制局域网广播及ARP攻击范围1.利用交换机端口安全技术限制端口接入的随意性3.强化Trunk端口设置避免利用封装协议缺

12、陷实行VLAN 的跳跃攻击4.使用交换机包过滤技术增加网络交换的安全性5.使用交换机的安全网管6.使用交换机集成的入侵检测技术7.使用交换机集成的用户认证技术3.3 交换机的安全技术l路由器登录口令、加密等安全措施也适用于交换机l打开端口的端口安全功能，命令如下。Switch(config-if)#switchport port-securityl设置端口上安全地址的最大个数，命令如下。Switch(config-if)#switchport port-secruity maximum 1l配置处理违例的方式，命令如下。Switch(config-if)#switchport port-sec

13、urity violationprotect|restrict|shutdown3.4 服务器与操作系统安全l限制用户数量。去掉所有的测试账户、共享账号和普通部门账号等。用户组策略设置相应权限、并且经常检查系统的账号，删除已经不适用的账号。l管理员账号设置:更改默认名称、陷井帐号l安全登录口令l设置屏幕保护屏幕锁定口令l安全文件管理l安装防病毒软件3.4 服务器与操作系统安全l备份盘的安全l禁止不必要的服务l使用IPSec来控制端口访问l定期查看日志l经常访问微软升级程序站点，了解补丁的最新发布情况3.4 服务器与操作系统安全1.明确安全需求（1）主机系统的安全需求：确保主机系统的认证机制，严

14、密地设置及管理访问口令，是主机系统抵御威胁的有力保障。（2）web服务器的安全需求选择合适的程序，该类型web服务器的漏洞最少；对服务器的管理操作只能由授权用户执行；拒绝通过Web访问web服务器上不公开的内容；能够禁止内嵌在操作系统或web服务器软件中的不必要的网络服务；有能力控制对各种形式的执行程序的访问；能对某些Web操作进行日志记录，以便于入侵检测和入侵企图分析；具有适当的容错功能。3.4 服务器与操作系统安全2.合理配置1）合理解配置主机操作系统2）合理配置Web服务器 在操作系统中，以非特权用户而不是管理员身份运行Web服务器，如Nobody、www、Daemon。设置Web服务器

15、访问控制。通过IP地址控制、子网域名来控制，未被允许的IP地址、IP子网域发来的请求将被拒绝。通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候，访问才能被正确响应。用公用密钥加密方法。3）设置web服务器有关目录的权限4）保护web服务的安全3.Web服务器安全管理3.4 服务器与操作系统安全 服务器物理安全;以安全的方式更新Web服务器，进行必要的数据备份；限制在Web服务器开账户，定期删除一些已不在登录的用户 尽量使FTP、Mail等服务器与之分开，去掉FTP、Sendmail、TFTP、NFS、Finger等一些无关的应用；在Web服务器上去掉一些绝对不用的shell等之类解释器，即当cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉 定期对Web服务器进行安全检查和日志审计；设置好Web服务器上系统文件的权限和属性；通过限制许可访问用户IP或DNS；冷静处理意外事件。作业：3-03、3-04