1、第第4 4章章 计算机网络安全技术计算机网络安全技术4.1 网络安全概述3一、网络安全定义 网络安全是指网络系统的硬件、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。运行,网络服务不中断。4二、网络安全的要素 网络安全具备五个要素,分别是保网络安全具备五个要素,分别是保密性、完整性、可用性、不可否认性、密性、完整性、可用性、不可否认性、可控性。可控性。5三、网络面临的安全威胁 网络的互通性
2、导致其必须与外界网络的互通性导致其必须与外界联系,在网络通讯中其安全受到多方面联系,在网络通讯中其安全受到多方面的威胁,主要的有:物理威胁、系统漏的威胁,主要的有:物理威胁、系统漏洞威胁、身份鉴别威胁、线缆连接威胁洞威胁、身份鉴别威胁、线缆连接威胁和有害程序等。和有害程序等。6四、网络安全评价标准 1985年美国国防部制定的可信任年美国国防部制定的可信任计算机标准评价准则(计算机标准评价准则(TCSEC),),TCSEC将操作系统的安全等级由低到将操作系统的安全等级由低到高分成了高分成了D、C1、C2、B1、B2、B3、A 7个等级。个等级。74.2 4.2 网络设备安全网络设备安全8一、防雷
3、技术l对于直击雷的防护,可以采用避雷对于直击雷的防护,可以采用避雷针、避雷带、避雷网、避雷线作为针、避雷带、避雷网、避雷线作为接闪器,把雷电流接下来,用引线接闪器,把雷电流接下来,用引线引入大地,从而防止直击雷对计算引入大地,从而防止直击雷对计算机系统的危害。机系统的危害。l对于感应雷的防护,通常采用电源对于感应雷的防护,通常采用电源系统实行三级防雷防过压保护、网系统实行三级防雷防过压保护、网络设备安装端口的安全防护装置。络设备安装端口的安全防护装置。9二、备份技术l磁盘阵列技术磁盘阵列技术 服务器的硬盘故障将导致数据的丢失,甚至整服务器的硬盘故障将导致数据的丢失,甚至整个网络瘫痪。采用磁盘阵
4、列(个网络瘫痪。采用磁盘阵列(RAIDRAID)技术可以实现)技术可以实现硬盘数据冗余。硬盘数据冗余。l服务器整机冗余服务器整机冗余 服务器集群技术可以避免整个系统的瘫痪,最服务器集群技术可以避免整个系统的瘫痪,最大限度地保证网络正常运转。大限度地保证网络正常运转。l数据备份数据备份 对于网络中的关键数据应该按照其重要程度,对于网络中的关键数据应该按照其重要程度,指定相应的备份策略,及时备份。对于实时数据,指定相应的备份策略,及时备份。对于实时数据,可采用相应的实时备份软件,实现在线备份。可采用相应的实时备份软件,实现在线备份。10三、交换机端口安全三、交换机端口安全 利用交换机端口的安全特性
5、,既可利用交换机端口的安全特性,既可以限制非法以限制非法MAC地址的设备接入,也地址的设备接入,也可以设定端口上最大的可以设定端口上最大的MAC地址数。地址数。交换机端口安全相关命令:交换机端口安全相关命令:1.1.开启交换机的端口安全功能:开启交换机的端口安全功能:switch port-securitiy switch port-securitiy2.2.设置端口下的设置端口下的MACMAC条目:条目:switch port-switch port-securitiy maximum securitiy maximum 数值数值3.3.设置超过端口定义的最大设置超过端口定义的最大MACMA
6、C条目后端口的响应:条目后端口的响应:switch port-securitiy violation protect|switch port-securitiy violation protect|shutdown|restrict shutdown|restrict 11四、SSH技术 TelneTelne使用明文在网络上传送口令和数据,易使用明文在网络上传送口令和数据,易受受“中间人中间人”方式的攻击。方式的攻击。SSHSSH可以把所有传输的可以把所有传输的数据进行压缩、加密,防止了数据进行压缩、加密,防止了“中间人中间人”攻击、攻击、DNSDNS和和IPIP欺骗。并且传输的速度很快。欺骗
7、。并且传输的速度很快。SSHSSH相关命令:相关命令:1.1.定义域名:定义域名:ip domain-name ip domain-name 域名域名2.2.启用并生成启用并生成SSHSSH密钥:密钥:crypto key generate crypto key generate rsarsa3.3.定义定义SSH SSH 超时时间:超时时间:ip ssh time-out ip ssh time-out 时间时间4.4.定义重试次数:定义重试次数:ip ssh authentication-ip ssh authentication-retries retries 次数次数5.5.限制登陆:
8、限制登陆:transport input SSHtransport input SSH124.3 4.3 网络操作系统安全配置网络操作系统安全配置13一、用户账号的安全141.SID 在在windows 2003 serever中,每中,每个用户账号都有唯一的一个安全标个用户账号都有唯一的一个安全标识符(识符(SID),),SID用来标识一个用用来标识一个用户或组,具有唯一性。户或组,具有唯一性。152.用户密码的安全一个安全的用户账号密码应该具备如下特征:一个安全的用户账号密码应该具备如下特征:l禁止使用弱口令。禁止使用弱口令。l密码尽量长,超过八位。密码尽量长,超过八位。l利用数字、大写字
9、母、小写字母、符号随机生利用数字、大写字母、小写字母、符号随机生成不同的密码。成不同的密码。l经常更换密码。经常更换密码。l不要保存密码。不要保存密码。l不同地方使用不同的密码。不同地方使用不同的密码。163.管理员账号的安全l将默认的将默认的Administrator帐号改名,设帐号改名,设置复杂密码,尽量把它伪装成普通用置复杂密码,尽量把它伪装成普通用户。户。l为管理员创建一个普通权限用户处理为管理员创建一个普通权限用户处理日常事物,真正的管理员账号只在管日常事物,真正的管理员账号只在管理网络时使用。理网络时使用。l创建一个陷阱帐号:用户名为创建一个陷阱帐号:用户名为“Administra
10、tor”的本地帐户,密码复的本地帐户,密码复杂、权限最低、并且已经禁用。杂、权限最低、并且已经禁用。174.来宾账号安全l将将Guest帐号改名,伪装为普通用户。帐号改名,伪装为普通用户。l为为Guest账号设置一个复杂的密码。账号设置一个复杂的密码。l停用停用Guest帐号,需要时再启用。帐号,需要时再启用。l在在Guest用户账号属性中,设置拒绝用户账号属性中,设置拒绝Guest帐号远程访问。帐号远程访问。185.密码安全策略的设置 在本地安全策略中设置账户策在本地安全策略中设置账户策略,强制用户必须按照设定规则设略,强制用户必须按照设定规则设置用户账号。置用户账号。19二、共享数据的安全
11、 共享数据的安全可以通过设置共享数据的安全可以通过设置共享权限、共享权限、NTFS权限、删除隐含共权限、删除隐含共享来实现。享来实现。20三、安全策略配置l关闭不必要的服务和端口关闭不必要的服务和端口l开启审核策略开启审核策略l 禁止判断主机类型禁止判断主机类型21四、进程管理l利用利用“任务管理器任务管理器”管理进程管理进程l利用命令管理进程利用命令管理进程l利用利用“性能性能”工具管理进程工具管理进程224.4 4.4 数据加密技术数据加密技术23一、明文、密文和密钥 消息被称为明文,加了密的消消息被称为明文,加了密的消息称为密文,为了有效地控制加密息称为密文,为了有效地控制加密和解密算法
12、的实现而设置的专门信和解密算法的实现而设置的专门信息称为密钥。息称为密钥。24二、对称加密技术l在对称加密中,数据发送方和接收方采用相在对称加密中,数据发送方和接收方采用相同或者可以相互推导出来的密钥。同或者可以相互推导出来的密钥。l对称密钥的管理问题是保证加密成功的一个对称密钥的管理问题是保证加密成功的一个重要环节,既要将密钥传递给数据交换的双重要环节,既要将密钥传递给数据交换的双方,又要保证在传递过程中不被第三方截取。方,又要保证在传递过程中不被第三方截取。lDESDES加密算法是对称加密技术影响力较大的加密算法是对称加密技术影响力较大的一种加密方法。一种加密方法。DESDES算法将数据按
13、照算法将数据按照6464位进位进行分组,使用行分组,使用6464位密钥通过位密钥通过1616次迭代完成数次迭代完成数据加密。据加密。25三、非对称加密l在加密的过程中使用一对密钥,一个用于加在加密的过程中使用一对密钥,一个用于加密,另一个用来解密,而且不可能从加密密密,另一个用来解密,而且不可能从加密密钥推导出解密密钥,反之亦然。这对密钥中钥推导出解密密钥,反之亦然。这对密钥中用来向外公布的叫做公钥,另一个需要安全用来向外公布的叫做公钥,另一个需要安全保护的是私钥。保护的是私钥。l非对称加密适应了网络开放性的要求,特别非对称加密适应了网络开放性的要求,特别是在互联网上通信。将公钥公开,保护好私
14、是在互联网上通信。将公钥公开,保护好私钥,可以方便地在网络中实现数据加密、密钥,可以方便地在网络中实现数据加密、密钥管理、数字签名和身份验证等操作。钥管理、数字签名和身份验证等操作。26四、文件加密 在在windowswindows系统中,针对系统中,针对NTFSNTFS文件文件系统提供了文件加密的安全性能,文系统提供了文件加密的安全性能,文件加密应用了证书技术,通过公钥对件加密应用了证书技术,通过公钥对的身份验证,来保证只有合法用户才的身份验证,来保证只有合法用户才能打开加密的文件。能打开加密的文件。27五、证书网站的配置284.5 4.5 计算机病毒、木马与防火墙计算机病毒、木马与防火墙2
15、9一、计算机病毒 计算机病毒是人为编制的可以自计算机病毒是人为编制的可以自我复制的计算机程序,其干扰计算机我复制的计算机程序,其干扰计算机正常运行并造成计算机软硬件故障,正常运行并造成计算机软硬件故障,破坏计算机数据。破坏计算机数据。30二、计算机木马 木马是驻留在对方系统中的程序,木马是驻留在对方系统中的程序,是具有远程控制功能的黑客工具,其是具有远程控制功能的黑客工具,其由服务器端程序和客户端程序组成。由服务器端程序和客户端程序组成。31写在最后成功的基础在于好的学习习惯The foundation of success lies in good habits谢谢大家荣幸这一路,与你同行ItS An Honor To Walk With You All The Way讲师:XXXXXX XX年XX月XX日
