計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理

1、第8章 計算機網(wǎng)絡(luò)平安與網(wǎng)絡(luò)管理.第8章 計算機網(wǎng)絡(luò)平安與網(wǎng)絡(luò)管理教學目的1了解網(wǎng)絡(luò)平安與網(wǎng)絡(luò)管理的概念；2了解網(wǎng)絡(luò)不平安的要素 ；3了解網(wǎng)絡(luò)平安的主要技術(shù) ；4熟習Windows server 2003效力器的平安設(shè)置 ；5了解簡單網(wǎng)絡(luò)管理協(xié)議； 6了解網(wǎng)絡(luò)管理的技術(shù)。 .第8章 計算機網(wǎng)絡(luò)平安與網(wǎng)絡(luò)管理教學內(nèi)容 8.1 計算機網(wǎng)絡(luò)平安概述 8.2 計算機網(wǎng)絡(luò)平安的主要技術(shù) 8.3 Windows Server 2003效力器的平安設(shè)置 8.4 網(wǎng)絡(luò)管理技術(shù).計算機網(wǎng)絡(luò)平安與網(wǎng)絡(luò)管理問題的提出 隨著計算機網(wǎng)絡(luò)的廣泛運用，在網(wǎng)絡(luò)給人們帶來便利的同時，人們也發(fā)現(xiàn)網(wǎng)絡(luò)中處處潛藏著平安的要挾，使計算

2、機網(wǎng)絡(luò)面臨極大的挑戰(zhàn)，這就是計算機網(wǎng)絡(luò)的平安問題。 如何更有效地維護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的平安性曾經(jīng)成為一切計算機網(wǎng)絡(luò)管理必需思索和必需處理的一個重要問題。.8.1 計算機網(wǎng)絡(luò)平安概述 計算機網(wǎng)絡(luò)平安Computer Network Security是一門涉及到計算機科學、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)、信息平安技術(shù)、密碼學、運用數(shù)學、管理學和信息論等多種學科的綜合性學科。.8.1 計算機網(wǎng)絡(luò)平安概述8.1.1 計算機網(wǎng)絡(luò)平安概念 1計算機網(wǎng)絡(luò)平安的含義 計算機網(wǎng)絡(luò)平安不是產(chǎn)品，也不是結(jié)果，而是一個過程。它由很多部分組成，包括硬件、軟件、網(wǎng)絡(luò)、接口、人以及之間相互關(guān)系等。 從廣義上說，計算機

3、網(wǎng)絡(luò)平安包括網(wǎng)絡(luò)系統(tǒng)硬件資源及網(wǎng)絡(luò)信息資源的平安性。 .8.1.1 計算機網(wǎng)絡(luò)平安概念 2計算機網(wǎng)絡(luò)平安的定義 國際規(guī)范化組織ISO對計算機系統(tǒng)平安的定義是：為數(shù)據(jù)處置系統(tǒng)建立和采用的技術(shù)和管理的平安維護，維護計算機硬件、軟件和數(shù)據(jù)不因偶爾和惡意的緣由遭到破壞、更改和泄露。 由此，可以將計算機網(wǎng)絡(luò)的平安定義為：經(jīng)過采用各種技術(shù)和管理措施，維護網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶爾或惡意的破壞、篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)、網(wǎng)絡(luò)效力不中斷，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完好性和嚴密性。.8.1.1 計算機網(wǎng)絡(luò)平安概念 3計算機網(wǎng)絡(luò)平安的屬性 在美國國家信息根底設(shè)備NII的文獻中，給出了

4、網(wǎng)絡(luò)平安的六個屬性：可用性、嚴密性、完好性、可靠性、不可抵賴性和可控性。 .8.1.2 計算機網(wǎng)絡(luò)面臨的平安要挾 所謂的網(wǎng)絡(luò)平安要挾是指某個實體人、事件、程序等對某一網(wǎng)絡(luò)資源的性、完好性、可用性及可靠性等能夠呵斥的危害。 計算機網(wǎng)絡(luò)平安所面臨的要挾概括起來有兩種：一是對網(wǎng)絡(luò)中信息、數(shù)據(jù)的要挾，二是對網(wǎng)絡(luò)中設(shè)備的要挾。 .8.1.2 計算機網(wǎng)絡(luò)面臨的平安要挾 1人為的惡意攻擊 來自機構(gòu)內(nèi)部要挾和來自入侵者的外部攻擊，是計算機網(wǎng)絡(luò)面臨的最大要挾。其一，以各種方式有選擇地破壞篡改、偽造對方信息的有效性和完好性，稱為自動攻擊；其二，在不影響網(wǎng)絡(luò)正常任務(wù)的情況下，以截獲、竊取、破譯等手段獲得對方重要信息

5、，稱為被動攻擊，如圖8-1所示。這兩種攻擊都會對計算機網(wǎng)絡(luò)呵斥極大的危害，并導致數(shù)據(jù)的泄露。.圖8-1 敵手對網(wǎng)絡(luò)通訊過程中的攻擊手段.8.1.2 計算機網(wǎng)絡(luò)面臨的平安要挾 2人為的無意失誤 如用戶平安認識不高，設(shè)置口令不慎，容易被人破解；用戶把本人的賬號隨意轉(zhuǎn)借給他人或與他人共享；又如系統(tǒng)管理員對系統(tǒng)平安配置不當構(gòu)成的平安破綻等，都會對計算機網(wǎng)絡(luò)平安呵斥要挾。.8.1.2 計算機網(wǎng)絡(luò)面臨的平安要挾 3系統(tǒng)破綻和缺陷 目前，不論是軟件還是硬件，不論是操作系統(tǒng)還是運用軟件，都存在不同程度的破綻和缺陷，這些都是導致網(wǎng)絡(luò)不平安的重要要素。 4實體摧毀 實體摧毀是計算機網(wǎng)絡(luò)平安面對的“硬殺傷要挾。主要

6、有電磁攻擊、兵力破壞和火力打擊三種。 .8.1.3 構(gòu)成網(wǎng)絡(luò)平安要挾的要素 由于網(wǎng)絡(luò)的各種操作系統(tǒng)和網(wǎng)絡(luò)通訊的根本協(xié)議TCP/IP都存在著一定程度的破綻，所以構(gòu)成網(wǎng)絡(luò)平安要挾主要有以下幾種要素，如圖8-2。 .圖8-2 構(gòu)成網(wǎng)絡(luò)平安要挾的要素.8.1.3 構(gòu)成網(wǎng)絡(luò)平安要挾的要素1操作系統(tǒng)的易被監(jiān)測性 運用Telnet或FTP銜接遠程主機上的賬戶，在網(wǎng)上傳輸?shù)目诹钍菦]有加密的。入侵者就可以經(jīng)過監(jiān)視攜帶用戶名和口令的IP包獲取它們，然后運用這些用戶名和口令經(jīng)過正常途徑登錄到系統(tǒng)。 .8.1.3 構(gòu)成網(wǎng)絡(luò)平安要挾的要素2無法估計主機的平安性 主機系統(tǒng)的平安性無法很好地估計。隨著一個站點的主機數(shù)量的添

7、加，確保每臺主機的平安性都處在高程度的才干卻在下降。只用管理一臺主機的才干來管理如此多的系統(tǒng)就容易出錯。這些平安性較低的系統(tǒng)將成為薄弱環(huán)節(jié)，最終將破壞整個平安鏈。 .8.1.3 構(gòu)成網(wǎng)絡(luò)平安要挾的要素3有缺陷的局域網(wǎng)效力 主機的平安非常困難和繁瑣，有些站點為了降低管理要求并加強局域網(wǎng)，往往會運用諸如NIS和NFS類的效力，但卻帶來了不平安的要素，可以被有閱歷的入侵者利用而獲得訪問權(quán)。 .8.1.3 構(gòu)成網(wǎng)絡(luò)平安要挾的要素 4復雜的設(shè)置和控制 主機系統(tǒng)的訪問控制配置復雜且難以驗證，偶爾的配置錯誤解使入侵者獲取訪問權(quán)。 5易欺騙性 網(wǎng)絡(luò)通訊協(xié)議的TCP或UDP效力置信主機的地址。假設(shè)運用“IP S

8、ource Routing，那么入侵者的主機，就可以冒充一個被信任的主機或客戶的IP地址取代本人的地址，去對效力器進展攻擊。 .8.1.3 構(gòu)成網(wǎng)絡(luò)平安要挾的要素 6薄弱的認證環(huán)節(jié) 網(wǎng)絡(luò)上的認證通常是運用口令來實現(xiàn)的。由于口令多為靜態(tài)的，因此其薄弱環(huán)節(jié)眾人皆知，各種各樣的口令破解方式層出不窮。 7計算機病毒攻擊 計算機病毒是要挾網(wǎng)絡(luò)平安最重要的要素之一，由于網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備都是相互銜接的，假設(shè)某一個設(shè)備如效力器遭到病毒的攻擊或系統(tǒng)遭到病毒感染，它就能夠危及到整個網(wǎng)絡(luò)。.8.1.3 構(gòu)成網(wǎng)絡(luò)平安要挾的要素 8物理平安 網(wǎng)絡(luò)中包括了各種復雜的硬件、軟件和公用的通訊設(shè)備，以及各種網(wǎng)絡(luò)傳輸介質(zhì)，大

9、多數(shù)的網(wǎng)絡(luò)通訊設(shè)備和銜接都有能夠存在平安隱患。即使是其中有任何一個出現(xiàn)問題，都會導致災難性的后果。.8.1.4 計算機網(wǎng)絡(luò)平安的目的 計算機網(wǎng)絡(luò)信息平安與嚴密的目的主要是為了維護網(wǎng)絡(luò)信息系統(tǒng)，使其沒有危險、不受要挾、不出事故。從技術(shù)角度來說，網(wǎng)絡(luò)信息平安與嚴密的目的主要表如今系統(tǒng)的嚴密性、完好性、真實性、可靠性、可用性、不可抵賴性等方面。.8.1.4 計算機網(wǎng)絡(luò)平安的目的1可靠性 可靠性是網(wǎng)絡(luò)信息系統(tǒng)可以在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。2可用性 可用性是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求運用的特性。3嚴密性 嚴密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。

10、.8.1.4 計算機網(wǎng)絡(luò)平安的目的4完好性 完好性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進展改動的特性。 5不可抵賴性 不可抵賴性也稱作不可否認性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。 6可控性 可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容進展控制，維護其完好性和可用性。 .8.2 計算機網(wǎng)絡(luò)平安的主要技術(shù) 隨著計算機網(wǎng)絡(luò)技術(shù)的迅速開展和廣泛運用，網(wǎng)絡(luò)要挾呈現(xiàn)多樣化。為了遏制各式各樣的網(wǎng)絡(luò)要挾，為網(wǎng)絡(luò)的開展營造一個更平安的環(huán)境，曾經(jīng)出現(xiàn)了許許多多的用于網(wǎng)絡(luò)平安的技術(shù)手段。 .8.2.1 信息加密技術(shù)1對稱密碼體制 對稱密鑰體制的特點是無論加密還是解密都共用一把密鑰Ke=Kd，或者雖不一樣，但可以由其中一

11、個推導出另一個。其中最有影響的是1977年美國國家規(guī)范局公布的DES算法數(shù)據(jù)加密規(guī)范算法，加密解密過程如圖8-3所示。 .明碼報文 密 碼密鑰密鑰明碼正文原文正本解密解密碼發(fā)送方接納方圖8-3 對稱加密運用一樣的密鑰 .8.2.1 信息加密技術(shù)2公開密鑰密碼體制 公開密鑰密碼體制的特點是加密鑰不等于解密鑰KeKd，并且在計算上不能由加密鑰推出解密鑰。所以將加密鑰公開也不會危害解密鑰的平安。通常，把加密鑰稱為公鑰，解密鑰稱為私鑰。其典型代表是1978年美國麻省理工學院RLRivest等人提出的RSA公開鑰密碼算法，它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會SC20引薦為公開密鑰數(shù)據(jù)加密規(guī)范。其

12、加密解密過程如圖8-4所示。 . 明碼報文 密 碼公鑰私鑰 明碼正文 原文正本解密解密碼發(fā)送方接納方圖8-4 公開密鑰碼算法 .8.2.1 信息加密技術(shù)3密鑰管理 根據(jù)近代密碼學的觀念，密碼系統(tǒng)的平安應該只取決于密鑰的平安，而不取決于對算法的嚴密。這僅僅是在設(shè)計密碼算法時的要求，而在實踐運用中對嚴密性要求高的系統(tǒng)仍必需對詳細運用的算法實行嚴密。密鑰必需經(jīng)常改換，這是平安嚴密所要求的。因此無論是采用傳統(tǒng)密碼還是公鑰密碼，都存在密鑰管理問題。 .8.2.2 數(shù)字簽名技術(shù) 人們通常習慣于日常生活中的簽名，它對當事人起到認證、核準與生效的作用。傳統(tǒng)的書面簽名方式有手簽、印章、指印等，而在計算機通訊中那

13、么采用數(shù)字簽名。在此，簽名是證明當事人身份與數(shù)據(jù)真實性的一種手段。.8.2.2 數(shù)字簽名技術(shù)1認證技術(shù) 認證又稱為鑒別或確認，它用來證明被認證對象人與事能否名符其實或能否有效的一種過程。2數(shù)字簽名 雖然數(shù)字簽名與認證都是用來保證數(shù)據(jù)的真實性，但二者有著明顯的區(qū)別，如圖8-5。 數(shù)字簽名必需保證以下3點：1 接納者可以核實發(fā)送者對報文的簽名；2發(fā)送者事后不能抵賴對報文的簽名；3接納者不能偽造對報文的簽名。 .這是一條需求簽字的的信息這是一條需求簽字的的信息￥這是一條需求簽字的的信息這是一條需求的的信息A的私人密鑰A的簽名A的公開密鑰解密圖8-5 數(shù)字簽名.8.2.3 防火墻技術(shù) 防火墻Firew

14、all技術(shù)假設(shè)被維護網(wǎng)絡(luò)具有明確定義的邊境和效力 。防火墻是銜接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的橋梁，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)都可以訪問這臺主機，但內(nèi)部網(wǎng)絡(luò)上的主機不可以直接和外部網(wǎng)絡(luò)通訊。 .8.2.3 防火墻技術(shù)1包過濾技術(shù) 即在網(wǎng)絡(luò)的適當位置對數(shù)據(jù)包實施有選擇的經(jīng)過，可以防止黑客利用不平安的效力對內(nèi)部網(wǎng)絡(luò)進展攻擊。2運用網(wǎng)關(guān)技術(shù) 是建立在網(wǎng)絡(luò)運用層上的協(xié)議過濾、轉(zhuǎn)發(fā)技術(shù)，針對特別的網(wǎng)絡(luò)運用協(xié)議指定數(shù)據(jù)過濾邏輯，并可以將數(shù)據(jù)包分析結(jié)果和采取措施進展登記和統(tǒng)計，構(gòu)成報告。3代理效力技術(shù) 代理效力是設(shè)置在Internet防火墻網(wǎng)關(guān)的公用運用級編碼。 .8.2.3 防火墻技術(shù)4防火墻的缺陷 限制效力類型和靈敏性

15、防火墻最明顯的缺陷是能夠封鎖用戶所需的某些效力，如，Telnet、FTP、NFS等。 后門效力的能夠性 防火墻不能防備從后門進入Intranet，如不加限制的調(diào)制解調(diào)器依然答應對防火墻制止網(wǎng)點的效力，那么攻擊者就可以跳過防火墻。 制約信息傳輸?shù)乃俣取?防火墻也不能防備內(nèi)部人員的攻擊。 .8.3 Windows Server 2003效力器的平安設(shè)置 要保證計算機網(wǎng)絡(luò)的平安，首先要保證網(wǎng)絡(luò)效力器的平安運轉(zhuǎn)。目前，Windows Server 2003是最流行的效力器操作系統(tǒng)之一，要使它能正常地運轉(zhuǎn)還必需進展正確的平安配置。 .8.3.1 定制Windows Server 20031版本的選擇 W

16、indows Server 2003有各種言語的版本，對于我們來說，可以選擇英文版或簡體中文版。 2安裝組件的定制 Windows Server 2003系統(tǒng)在默許情況下會安裝一些常用的組件，但是用戶應該僅僅安裝確實需求的效力。根據(jù)平安原那么：最少的效力最小的權(quán)限最大的平安。.8.3.2 正確安裝Windows Server 20031分區(qū)和邏輯盤的分配 硬盤進展分區(qū)時最少需求分為兩個以上的邏輯盤，分區(qū)格式全部采用NTFS格式：一個系統(tǒng)分區(qū)，一個運用程序分區(qū)。 2安裝順序的選擇. Windows Server 2003在安裝中有幾個順序一定留意： 何時接入網(wǎng)絡(luò) 系統(tǒng)補丁的更新 安裝MSSQL

17、分析計算機平安配置 備份系統(tǒng)8.3.2 正確安裝Windows Server 20038.3.2 正確安裝Windows Server 200 配置Windows Server 2003賬戶1系統(tǒng)管理員賬戶2圈套帳號3Guest賬戶4登錄次數(shù)鎖定如圖8-6所示 5平安設(shè)置如圖8-7所示 6創(chuàng)建User賬戶 .圖8-6 登錄次數(shù)鎖定.圖8-7 平安設(shè)置.8.3.4 網(wǎng)絡(luò)效力平安管理1制止C$、D$、ADMIN$一類的缺省共享2解除NetBios與TCP/IP協(xié)議的綁定3封鎖不需求的效力4啟用防火墻.8.3.5 設(shè)置審核戰(zhàn)略1本地平安戰(zhàn)略設(shè)置如以下圖所示 .8.3.6 其它平安相關(guān)設(shè)

18、置 1隱藏重要文件/目錄2防止SYN洪水攻擊3. 制止呼應ICMP路由通告報文 4. 防止ICMP重定向報文的攻擊 5. 不支持IGMP協(xié)議 .8.3.7 運用IPSec Internet 協(xié)議平安(Internet Protocol Security，簡稱IPSec)，是一種經(jīng)過運用戰(zhàn)略在 Internet 協(xié)議網(wǎng)絡(luò)上實現(xiàn)私密平安通訊的功能。運用 IPsec 可以限制對效力器的遠程訪問。.1添加Web挑選器如圖8-11所示 圖8-11 添加Web挑選器.8.3.7 運用IPSec2添加一切入站挑選器3添加挑選器阻止4激活數(shù)據(jù)包挑選器5新IP平安戰(zhàn)略操作6運用IPSec.8.3.8 運用平安配

19、置導游 平安配置導游 (Security Configuration Wizard，簡稱 SCW) 是Windows Server 2003的一個組件，利用它能確定效力器的一個或多個角色所需的最少功能，并禁用不用要的功能，從而減少效力器的受攻擊面，提高效力器的平安性。 .8.4 網(wǎng)絡(luò)管理技術(shù) 隨著Inernet和Intranet運用的普及，網(wǎng)絡(luò)曾經(jīng)成為現(xiàn)代社會正常運轉(zhuǎn)的支柱之一。由于網(wǎng)絡(luò)是一個非常復雜的分布式系統(tǒng)，網(wǎng)絡(luò)的形狀總是在不斷地變化。如何保證網(wǎng)絡(luò)平安、可靠、高效地運轉(zhuǎn)，已成為一個重要的課題，而采用什么樣的網(wǎng)絡(luò)管理技術(shù)才干對網(wǎng)絡(luò)進展有效的管理和日常維護那么是處理這個問題的關(guān)鍵。.8.4.

20、1 網(wǎng)絡(luò)管理技術(shù)概念 網(wǎng)絡(luò)管理技術(shù)是計算機網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一，尤其在大型計算機網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理技術(shù)就是指監(jiān)視、組織和控制網(wǎng)絡(luò)通訊效力以及信息處置所必需的各種計算機網(wǎng)絡(luò)控制技術(shù)。其目的是確保計算機網(wǎng)絡(luò)的繼續(xù)正常運轉(zhuǎn)，并在計算機網(wǎng)絡(luò)運轉(zhuǎn)出現(xiàn)異常時能及時呼應和排除缺點。 .8.4.1 網(wǎng)絡(luò)管理技術(shù)概念1系統(tǒng)的功能 即一個網(wǎng)絡(luò)管理系統(tǒng)應具有哪些功能。 2網(wǎng)絡(luò)資源的表示 網(wǎng)絡(luò)管理很大一部分是對網(wǎng)絡(luò)中資源的管理。網(wǎng)絡(luò)中的資源就是指網(wǎng)絡(luò)中的硬件、軟件以及所提供的效力等。3網(wǎng)絡(luò)管理信息的表示 網(wǎng)絡(luò)管理信息應如何表示、怎樣傳送、傳送的協(xié)議是什么？這些都是一個網(wǎng)絡(luò)管理系統(tǒng)必需思索的問題。 4系統(tǒng)的構(gòu)造 即

21、網(wǎng)絡(luò)管理系統(tǒng)的構(gòu)造是怎樣的。.8.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能 網(wǎng)絡(luò)管理技術(shù)是伴隨著計算機、網(wǎng)絡(luò)和通訊技術(shù)的開展而開展的，二者相輔相成。 國際規(guī)范化組織ISO定義網(wǎng)絡(luò)管理技術(shù)有五大功能：缺點管理、配置管理、性能管理、平安管理、計費管理。.8.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能1網(wǎng)絡(luò)缺點管理 需求有一個缺點管理系統(tǒng)，科學地管理網(wǎng)絡(luò)中發(fā)生的一切缺點，并記錄每個缺點的產(chǎn)生及相關(guān)信息，最后確定并矯正那些缺點，保證網(wǎng)絡(luò)能提供延續(xù)可靠的效力。 .8.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能2網(wǎng)絡(luò)配置管理 網(wǎng)絡(luò)系統(tǒng)經(jīng)常處于動態(tài)變化中，如網(wǎng)絡(luò)系統(tǒng)本身要隨著用戶的增減、設(shè)備的維修或更新來調(diào)整網(wǎng)絡(luò)的配置。因此需求有足夠的技術(shù)手段來支持這種調(diào)整或改動，使網(wǎng)絡(luò)能更有效地任務(wù)。 .8.4.2 網(wǎng)絡(luò)管理技術(shù)分類及功能3網(wǎng)絡(luò)性能管理 由于網(wǎng)絡(luò)資源的有限性，在運用最少的網(wǎng)絡(luò)資源和具有最少通訊費用的前提下，網(wǎng)絡(luò)能提供繼續(xù)、可靠的通訊才干，并使網(wǎng)絡(luò)資源的運用到達最優(yōu)化的程度。 4網(wǎng)絡(luò)計費管理 當計算機網(wǎng)絡(luò)系統(tǒng)中的信息資源是有償運用的情況下，需求可以記錄和統(tǒng)計哪些用戶利用哪條通訊線路傳輸了多少信息，以及做的是什么任務(wù)等。 .8.4.2