第09章-网络安全与网络管理技术精选.ppt

防火墙是根据一定的安全规定来检查、过滤网络之间传送的数据包，以确定这些报文分组的合法性； 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能； 一个实用的局域网应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划； 对待网络病毒的态度应该是：高度重视，采取严格的防病毒技术与严格的防范措施，将病毒的影响减小到最低程度； 一个有效而且实用的网络每时每刻都离不开网络管理。网络管理包括配置管理、故障管理、性能管理、安全管理、记账管理。 系统优化： 1、桌面整洁 系统桌面干净 2、启动程序少 启动程序不可以太多，只要必需的就可以了 3、文件存放有序 文件存放一定要有计划，不可以随意存放，否则麻烦的是自己，推荐使用Google 桌面有哪些信誉好的足球投注网站 4、使用适度 使用系统的时候，不可以开很多的窗口，窗口太多，严重的影响系统的速度。 * * * 防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界； 构成防火墙系统的两个基本部件是包过滤路由器和应用级网关； 最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成； 由于组合方式有多种，因此防火墙系统的结构也有多种形式。 包过滤路由器 包过滤路由器的结构 路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发； 包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是： ? 源IP地址； ? 目的IP地址； ? 协议类型； ? IP选项内容； ? 源TCP端口号； ? 目的TCP端口号； ? TCP ACK标识。 包过滤的工作流程 关键：制定包过滤规则 包过滤路由器作为防火墙的结构 假设网络安全策略规定： 内部网络的E-mail服务器（IP地址为，TCP端口号为25）可以接收来自外部网络用户的所有电子邮件； 允许内部网络用户传送到与外部电子邮件服务器的电子邮件； 拒绝所有与外部网络中名字为TESTHOST主机的连接。 包过滤规则表 包过滤在网络层、传输层对进出内部网络的数据包进行监控，但是网络用户对网络资源和服务的访问发生在应用层，必须在应用层对用户身份认证和访问操作分类检查和过滤，这个功能是由应用级网关完成的。 9.3.3 应用级网关的概念 多归属主机（网关）：多个网络接口卡 典型的多归属主机结构 应用级网关 双归属主机可以用于网络安全与网络服务的代理 在应用层过滤进出内部网络特定服务的用户请求与响应 应用代理 应用级网关：在应用层“转发”合法的应用请求 应用代理：隔离了用户主机与被访问服务器之间的数据包交换通道 防火墙的系统结构 堡垒主机的概念 一个双归属主机作为应用级网关可以起到防火墙作用； 处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。 需要注意的问题 可靠的操作系统； 删除不必要的服务和应用软件，保留必需的服务； 安装代理软件； 配置资源保护、用户身份鉴别与访问控制，设置审计与日志功能； 设计堡垒主机防攻击方法，以及破坏后的应急方案。 典型防火墙系统系统结构分析 采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构 包过滤路由器的转发过程 S-B1配置的防火墙系统中数据传输过程 采用多级结构的防火墙系统（ S-B1-S-B1配置）结构示意图 安全缓冲区（非军事区） 9.4 网络防攻击与入侵检测技术 网络攻击方法分析 目前黑客攻击大致可以分为8种基本的类型： 入侵系统类攻击； 缓冲区溢出攻击； 欺骗类攻击； 拒绝服务攻击； 对防火墙的攻击； 利用病毒攻击； 木马程序攻击； 后门攻击。 入侵检测的基本概念 入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统； 它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。 入侵检测系统IDS的基本功能： 监控、分析用户和系统的行为； 检查系统的配置和漏洞； 评估重要的系统和数据文件的完整性； 对异常行为的统计分析，识别攻击类型，并向网络管理人员报警； 对操作系统进行审计、跟踪管理，识别违反授权的用户活动。 入侵检测系统框架结构 入侵检测的基本方法 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能； 入侵检测系统按照所采用的检测技术可以分为： ? 异常检测 ? 误用检测 ? 两种方式