1、长沙通信职院 计算机信息工程系第九章 计算机网络安全 长沙通信职院 计算机信息工程系(1)计算机网络安全概念计算机网络安全概念(2)常用的网络安全设备与技术常用的网络安全设备与技术(3)计算机病毒计算机病毒的分类、特点、特的分类、特点、特征和运行机制征和运行机制(4)病毒病毒的检测和防治技术的检测和防治技术(5)防火墙防火墙的基本类型的基本类型 (6)常见常见的防火墙配置的防火墙配置 (7)网络网络攻击的分类、手段和防范攻击的分类、手段和防范措施措施(1)查杀计算机病毒;(2)常用的个人防火墙进行配置;长沙通信职院 计算机信息工程系计算机网络安全计算机网络安全(1)了解计算机网络安全方面的知识
2、(2)了解计算机病毒的分类、特点、特征和运行机制(3)了解反病毒涉及的主要技术(4)掌握病毒的检测和防治技术(5)掌握防火墙的基本类型(6)熟悉常见的防火墙配置(7)了解网络攻击的分类、手段和防范措施(8)了解企业网安全防御技术长沙通信职院 计算机信息工程系本次课内容介绍主要内容:了解计算机网络安全了解计算机病毒的分类、特点、特征和运行机制了解反病毒涉及的主要技术掌握病毒的检测和防治技术掌握防火墙的基本类型 熟悉常见的防火墙配置 重点内容:病毒的检测和防治技术防火墙的基本类型及配置长沙通信职院 计算机信息工程系应用情景 青职公司市场部小李刚上班,就打开计算机准备处理昨天销售部门报上来的数据分析
3、表,一开机就发现计算机无法正常工作,也不能上网。打电话给计算机中心的小张请求帮助。小张发现操作系统无法正常启动,系统被计算机病毒破坏了。小张重新安装了操作系统,并安装了正版的杀病毒软件对计算机进行了杀毒处理。计算机终于可以正常工作了,小李悬着的心放了下来。小李请教小张如何才能防止类似的事情再次发生呢?长沙通信职院 计算机信息工程系9.1了解计算机网络安全9.1.1计算机网络安全概述 计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,计算机网络安全是指:“保护计算机网络系统
4、中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”长沙通信职院 计算机信息工程系1网络安全的属性 在美国国家信息基础设施(NII)的文献中,给出了网络安全的五个属性。保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性:可被授权实体访问并按需求使用的特性。即网络信息服务在需要时允许授权用户或实体使用,或者是网络部分受损或需要降级使用时仍能为授权用户提供有效服务。可控性:对信息的传播及内容具有控制能力,不允许不良
5、信息通过公共网络进行传输。可审查性:出现安全问题时提供依据与手段。长沙通信职院 计算机信息工程系2.中小型网络安全面临的主要威胁(1)自然威胁自然威胁可能来自于各种自然灾害。(2)物理威胁物理威胁主要体现在物理设备上。(3)常见的网络安全威胁 网络攻击 非授权访问 计算机病毒长沙通信职院 计算机信息工程系9.1.2常用的网络安全设备与技术(1)防火墙技术 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Secu
6、rity Gateway),从而保护内部网免受非法用户的侵入。(2)入侵检测系统 入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。长沙通信职院 计算机信息工程系(3)漏洞扫描技术 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。(4)数据备份数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的
7、过程。长沙通信职院 计算机信息工程系(5)防病毒技术 从防病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。(6)数据加密技术 数据加密技术是指对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。长沙通信职院 计算机信息工程系“计算机病毒”定义指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。9.2防治计算机病毒长沙通信职院 计算机信息工程系9.2.1计算机病毒与杀毒软件1计算机病毒的特征计算机病毒作为一种特殊的程序具有以下特征。(1)非授权可执行性(
8、2)隐蔽性(3)传染性:最重要的一个特征 (4)潜伏性(5)表现性或破坏性(6)可触发性 长沙通信职院 计算机信息工程系 (6)网页病毒(7)“蠕虫”型病毒(8)木马病毒 2计算机病毒分类长沙通信职院 计算机信息工程系3计算机病毒的传播 通过文件系统传播;通过电子邮件传播;通过局域网传播;通过互联网上即时通讯软件和点对点软件等常用工具传播;利用系统、应用软件的漏洞进行传播;利用系统配置缺陷传播,如弱口令、完全共享等;长沙通信职院 计算机信息工程系计算机病毒的传播过程 人为设计潜伏侵入系统传染触发运行破坏长沙通信职院 计算机信息工程系1如何防治病毒(1)要提高对计算机病毒危害的认识(2)养成备份
9、重要文件等良好使用习惯(3)大力普及杀毒软件(4)采取措施防止计算机病毒的发作(5)开启计算机病毒查杀软件的实时监测功能(6)加强对网络流量等异常情况的监测(7)有规律的备份系统关键数据,建立应对灾难的数据安全策略 9.2.2计算机病毒防治长沙通信职院 计算机信息工程系2如何选择计算机病毒防治产品 具有发现、隔离并清除病毒功能;具有实时报警(包括文件监控、邮件监控、网页脚本监控等)功能;多种方式及时升级;统一部署防范技术的管理功能;对病毒清除彻底,文件修复完整、可用;产品的误报、漏报率较低;占用系统资源合理,产品适应性较好。长沙通信职院 计算机信息工程系9.3网络攻击与防御9.3.1网络黑客攻
10、击1黑客和入侵者在日本新黑客词典中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”入侵者(攻击者)指怀有不良的企图,闯入远程计算机系统甚至破坏远程计算机系统完整性的人。长沙通信职院 计算机信息工程系2黑客攻击的主要手段黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。(1)后门程序(2)信息炸弹(3)拒绝服务(4)网络监听长沙通信职院 计
11、算机信息工程系3黑客攻击的目的(1)获取数据(2)获取权限(3)非法访问(4)拒绝服务(5)暴露信息长沙通信职院 计算机信息工程系黑客攻击的步骤第1步信息收集:获取目标系统的信息,如网络拓扑结构、IP地址分配、端口的使用情况等。第2步获得对系统的访问权限:通过口令猜测、社会工程、建立后门等攻击手段,利用系统存在的漏洞来获得对系统的访问权限。第3步破坏系统或盗取信息:利用非法获得的对系统的访问权限,运行非法程序。消除入侵痕迹:入侵后尽力消除入侵痕迹,如更改或者删除系统文件或日志。长沙通信职院 计算机信息工程系9.3.2 网络攻击网络攻击是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系
12、统中的数据进行的攻击。1攻击的分类从攻击的行为分主动攻击与被动攻击。从攻击的位置分远程攻击、本地攻击和伪远程攻击。2网络攻击手段(1)获取口令 (2)放置特洛伊木马程序(3)WWW的欺骗技术 (4)电子邮件攻击(5)通过一个节点来攻击其他节点(6)网络监听 (7)寻找系统漏洞(8)利用帐号进行攻击 (9)偷取特权长沙通信职院 计算机信息工程系9.3.2 网络攻击的防范措施1提高安全意识2安装杀毒软件3安装防火墙软件4只在必要时共享文件夹5定期备份重要数据 长沙通信职院 计算机信息工程系9.3.3企业网络安全防御1VLAN(虚拟局域网)技术 选择VLAN技术可较好地从链路层实施网络安全保障。2网
13、络分段网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。3硬件防火墙技术设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。4入侵检测技术长沙通信职院 计算机信息工程系9.4防火墙技术9.4.1防火墙的基本类型 防火墙是在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统,如图9-2所示。防火墙防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源;保护内部网络操作环境的特殊网络互联设备。它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。长沙
14、通信职院 计算机信息工程系防火墙示意图防火墙示意图长沙通信职院 计算机信息工程系1防火墙的功能(1)过滤不安全服务和非法用户,禁止未授权的用户访问受保护的网络。(2)控制对特殊站点的访问。允许受保护网络的一部分主机如邮件服务器、FTP服务器和Web服务器等被外部网访问,而另一部分被保护起来,防止不必要的访问。(3)监视网络访问,提供安全预警。长沙通信职院 计算机信息工程系2.防火墙的分类(1 1)网络级防火墙)网络级防火墙-包过滤路包过滤路由器由器(2 2)电路级防火墙)电路级防火墙电路网关电路网关 (3 3)应用级防火墙)应用级防火墙应用网关应用网关 (4 4)监测型防火墙)监测型防火墙 2
15、防火墙的基本类型长沙通信职院 计算机信息工程系防火墙存在软件和硬件两种形式。具备包过滤功能的路由器(或充当路由器的计算机),通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,否则将数据拒之门外。优点:简单实用,实现成本较低,适合应用环境比较简单的情况。缺点:不能理解网络层以上的高层网络协议,无法识别基于应用层的恶意侵入。(1 1)包过滤路由器)包过滤路由器 长沙通信职院 计算机信息工程系下图给出了包过滤路由器结构示意图。Internet内部网络内部网络服务器工作站网络层数据链路层物理层网络层数据链路层物理层分组过滤规则包过滤路由器包过滤路由器外部网络外部网络防火墙长沙通信职院
16、 计算机信息工程系(2)电路级防火墙电路网关 电路网关工作在传输层。不允许内部主机与外部之间直接进行TCP连接,而是建立两个TCP连接:一个在网关和内部主机上的TCP用户程序之间,另一个在网关和外部主机的TCP用户程序之间。通常用于内部网络对外部的访问,与堡垒主机相配合可设置成混合网关,对于向内的连接支持应用层服务,而对于向外的连接支持传输层功能。长沙通信职院 计算机信息工程系(3)应用级防火墙应用网关 l应用网关工作应用层,通常指运行代理服务器软件的一台计算机主机。l代理服务器位于客户机与服务器之间。从客户机来看,代理服务器相当于一台真正的服务器。而从服务器来看,代理服务器又是一台真正的客户
17、机。长沙通信职院 计算机信息工程系应用网关的工作模型客户机WWW服务器应应用用网网关关InternetFTP请求FTP响应FTP请求FTP响应内部网图 7-14 应用网关的模型长沙通信职院 计算机信息工程系应用代理基本工作原理外部网络外部网络代理服务器代理服务器防火墙内部网络内部网络真正服务器Internet客户实际的连接虚拟的连接实际的连接长沙通信职院 计算机信息工程系应用网关优缺点缺点:使访问速度变慢 在重负载下,代理服务器可能成为网络瓶颈。优点:代理服务器拥有高速缓存,能够节约时间和网络资源外部网络只能看到代理服务器,看部到内网的具体结构比包过滤更可靠,而且会详细地记录所有的访问状态信息
18、长沙通信职院 计算机信息工程系(4)监测型防火墙对各层的数据进行主动的、实时的监测,加以分析,判断出各层中的非法侵入。带有分布式探测器,安置在各种应用服务器和其他网络的节点之中,能检测来自网络外部的攻击,同时防范来自内部的恶意破坏。长沙通信职院 计算机信息工程系l最简单的防火墙配置就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。l将几种防火墙技术组合起来构建防火墙系统,一般来说有3种最基本的配置。9.4.2 常见的防火墙配置长沙通信职院 计算机信息工程系(1)双宿主机网关用一台装有两个网络适配器的双宿主机(又称保垒主机)做防火墙,一个适配器是网卡,与内部网相连;另一个根据与Int
19、ernet的连接方式可以是网卡、调制解调器或ISDN卡等。外部网络与内部网络之间的通信必须经过双重宿主主机的过滤和控制。长沙通信职院 计算机信息工程系使用一个包过滤路由器把内部网络和外部网络隔离开,同时在内部网络上安装一个堡垒主机,由堡垒主机开放可允许的连接到外部网。屏蔽主机网关易于实现,安全性好,应用广泛。(2)屏蔽主机网关长沙通信职院 计算机信息工程系(3)屏蔽子网因为堡垒主机是用户网络上最容易受侵袭的机器。通过额外添加一层保护体系周边网络,将堡垒主机放在周边网络上,用内部路由器分开周边网络和内部网络,从而隔离堡垒主机,减少在堡垒主机被侵入的影响。长沙通信职院 计算机信息工程系本章小结了解计算机病毒的分类、特点、特征和运行机制了解反病毒涉及的主要技术掌握病毒的检测和防治技术掌握防火墙的基本类型 熟悉常见的防火墙配置 了解网络攻击的分类、手段和防范措施了解企业网安全防御技术
