局域网组建与管理-第8章 网络安全基
计算机网络第8章 局域网布线、物理拓扑结构
逻辑拓扑
双绞线以太网中的所有计算机共享一个通信介 质,计算机必须竞争对介质的控制,并且一个 特定的时间只有一台计算机能进行传输。 实质是总线结构
物理拓扑与逻辑拓扑可能是不同的
网络接口卡与布线方案
为使改变布线方案而不改变接口硬件称为可 能,许多网络接口支持多种布线方案 尽管有多种连接器,但是一个特定接口在一 个时间内只能使用一种布线方案 优点:
2. 细缆以太网布线
与粗缆以太网布线的区别
使用比粗缆以太网更细、更柔软的同轴电缆 安装与运行比粗网简单 由于完成收发器功能的硬件被做在网卡里,所 以外部无需外部收发器
通过BNC连接器直接连接每台计算机
BNC
2. 细缆以太网布线
与粗缆以太网相似的地方
均采用同轴电缆,具有良好的屏蔽性 均需要终止器 采用总线拓扑 具有相似的电子特性
2. 小型办公室局域网布线
线缆的选用 1. 一般总线结构的局域网多使用铜轴电缆,不过我 们这里主要讲星形结构的局域网,所以不作详细介绍。 2. 星形结构的局域网所用的线缆大多是双绞线 (Twisted pair cable)。它是由两根绝缘导线互相绞合 而成。双绞线可分为两类:无屏蔽双绞线 (UTP)和屏蔽 双绞线 (STP)。 屏蔽双绞线与无屏蔽双绞线主要的不同是增加了一 层金属屏蔽护套。这层屏蔽护套的主要作用是为了增强 其抗干扰性,同时可以在一定程度上改善其带宽。但是 由于价格比无屏蔽双绞线贵,安装也比较困难,加之小 型局域网结构简单、设备少,所以没有必要使用屏蔽双 绞线。
1.家庭布线(LAN无服务器共享上网)
配置路由 网络的灵魂是软件。当我们布完线,架好 硬件之后,就要对路由器进行配置了。 根据用户的实际情况设置“xDSL”的参数。 将“DHCP Server”设为“Enabled”,这样就 可以让所有计算机自动获得一个“内网IP” 。 启动防火墙功能,这样可以杜绝来自外部的 大部分攻击。
局域网组建的基本要素与注意事项
局域网组建的基本要素与注意事项局域网(Local Area Network,简称LAN)是一种在相对较小的范围内,如办公室、学校或建筑群等场所内建立的计算机网络。
它具有快速、高效、安全等特点,在现代信息化建设中扮演着重要角色。
本文将介绍局域网组建的基本要素和注意事项。
一、基本要素1. 硬件设备局域网的基本要素之一是各种硬件设备。
主要包括路由器、交换机、网卡和电缆等。
路由器是局域网的核心设备,负责将数据包转发到不同的子网;交换机则用于连接各个终端设备,实现数据的快速传输;网卡是计算机连接局域网的必备设备,负责接收和发送数据包;电缆负责将终端设备与交换机进行物理连接。
2. 网络拓扑网络拓扑指的是局域网中各个设备之间的连接方式。
常见的拓扑结构包括总线型、星型和环形等。
总线型拓扑将所有设备连接在一根主干电缆上;星型拓扑以交换机为中心,将各个设备与交换机相连;环形拓扑则将设备连接成一个闭合的环形。
3. IP地址分配IP地址是在局域网中识别设备的唯一标识符。
为了正常通信,局域网中的每个设备都需要分配一个独立的IP地址。
常见的IP地址分配方式有静态分配和动态分配两种。
静态分配是指手动为每个设备配置固定的IP地址;而动态分配则是通过DHCP服务器自动分配IP地址,方便管理和维护。
二、注意事项1. 网络安全局域网的安全性非常重要。
为了保护局域网中的数据安全,可以采取以下措施。
首先,配置防火墙来监控和过滤网络流量,防止未经授权的访问。
其次,加密局域网中的通信数据,防止敏感信息被窃取。
此外,定期更新和升级网络设备的软件和固件,及时修补安全漏洞。
2. 带宽管理局域网的带宽是有限的,如果过多的设备同时使用网络资源,会导致网络拥堵和传输延迟。
因此,需要进行带宽管理。
可以通过配置交换机的端口速率和使用带宽管理工具来限制不同设备的带宽使用,确保网络资源的合理分配。
3. 网络监控与维护定期的网络监控和维护可以提高局域网的稳定性和性能。
局域网组建与维护课后题答案
第一部分《局域网组建、管理与维护》练习题答案第1章计算机网络基础一、填空题1. 面向终端阶段、面向通信网络阶段、面向应用(标准化)网络阶段2. 分组(Packet)3. “开放系统互连基本参考模型”(Open System Interconnection Basic Reference Model)4. 客户机/服务器、以大型主机为中心、浏览器/服务器5. 通信子网、资源子网6. 广播方式网络(Broadcast Networks)、点到点式网络(Point-to-Point Networks)7. 数据通信、资源共享8. 局域网、城域网、广域网9. 开放系统互联参考模型(OSI)、TCP/IP10.物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
11.物理二、选择题1. A2. B3. D4. A5. C6. D第2章TCP/IP协议和IP地址一、填空题1. 网络地址、主机地址2. 传输控制协议TCP、用户数据报协议UDP3. 套接字(Socket)4. 256、2565. UDP6. 传输控制协议(Transfer Control Protocol)、Internet 协议(Internet Protocol)。
7. 网络接口层、网络层、传输层、应用层8. 32、1289. ARP二、选择题1. A2. D3. C4. D5. D6. C7. A第3章局域网组网技术一、填空题1. 有限、资源共享2. 总线型、环型、树型3. 以太网、令牌网4. 载波侦听5. 冲突、空闲、停止6. IEEE 802.3、数据链路层二、选择题1. C2. B3. B4. D5. A6. C第4章交换与虚拟局域网一、填空题1. 直接交换、存储转发交换和改进的直接交换2. 交换机二、选择题1. B2. D第5章局域网组建与综合布线一、填空题1. 组建目标、需求分析2. 工作区、水平子系统、干线子系统、设备间、管理区、建筑群干线子系统3. 非屏蔽双绞电缆、屏蔽双绞电缆4. 单模光纤、多模光纤5. 橙白、橙、绿白、蓝、蓝白、绿、棕白、棕6. 验证测试、认证测试7. 永久链路(Permanent Link)、通道(Channel)8. 光源、光功率计9. 基带同轴电缆、宽带同轴电缆10. 62.5μm渐变增强型多模光纤、8.3μm突变型单模光纤。
局域网的组建和管理
(2)资源共享
计算机网络最具本质也是最吸引人的功能是 共享资源,包括硬件资源和软件资源。利 用计算机网络可以共享主机设备,如中型 机、小型机、工作站等,以完成特殊的处 理任务;可以共享外部设备,如激光打印 机、绘图仪、数字化仪、扫描仪等,以节 约投资;更重要的是共享软件、数据等信 息资源,可最大限度地降低成本和提高效 率。
局域网的组建和管理
第1页,共46页。
第1章 局域网的组建和管理 主要内容: 计算机网络的定义和功能; 局域网与虚拟局域网; 网络拓扑结构; 以太局域网设计与组建; 网络设备配置。
第2页,共46页。
1.1 计算机网络的定义和功能
目前正处于以网络为核心的信息时代,世界 经济也正在从工业经济向知识经济转型, 知识经济最重要的特点是信息化和全球化。 要实现信息化和全球化,就必须依赖完善 的网络体系,即电信网络、有线电视网络 和计算机网络。在这三类网络中,起核心 作用的是计算机网络。它是一门涉及多种 学科和技术领域的综合性技术。
微波信号的,它可以突破地面微波通信的距离限制。 一个地球同步卫星可以覆盖地球表面1/3的地区。卫
星地面站使用超小口径天线终端设备(Very Small
Aperture Terminal,VSAT)来接收和发送数据。 现在,卫星线路已广泛用于远程计算机网络中,如国
内很多证券公司显示的证券行情都是通过VSAT接收
常见的总线型局域网由同轴电缆做总线的10 Base2和10 Base 5以太网等。因为其速率 低,总线结构在现在已经很少使用。
第27页,共46页。
4. 树型拓扑结构
树型结构可以看成是星形结构的叠加,其性 能与星形结构相同。还有一种说法是:树 型结构是总线结构的拓展。从实质上看, 总线结构与星形结构,在逻辑上是相同的, 如果将星形结构的中心结点延长为一直线, 则成为了总线结构。用集线器组建的星形 结构与总线结构的网络特性就基本相同。
局域网组建与管理
局域网组建与管理本书系统地介绍了组建局域网所需要掌握的基本知识、实战方法、操作技巧和常见故障的排除方法。
内容介绍作品目录第1章网络基础知识第2章局域网技术第3章网络设备的选择第4章网络规划与综合布线技术第5章网络操作系统第6章局域网组建实战第7章网络连接故障排除第8章局域网优化与故障排除第9章Window9某/Me/某P联网常见故障第10章网络组建方案第11章Internet概述第12章网络信息服务第13章实现宽带上网局域网协议局域网中的一些协议,在安装操作系统时会自动安装。
如在安装Window2000或Window95/98时,系统会自动安装NetBEUI通信协议。
在安装NetWare时,系统会自动安装IP某/SP某通信协议。
其中三种协议中,NetBEUI和IP某/SP某在安装后不需要进行设置就可以直接使用,但TCP/IP要经过必要的设置。
所以下文主要以Window2000环境下的TCP/IP协议为主,介绍其安装、设置和测试方法,其他操作系统中协议的有关操作与Window2000基本相同,甚至更为简单。
在Window2000中,如果未安装有TCP/IP通信协议,可选择“开始/设置/控制面板/网络和拨号连接”,右键单击“本地连接”选择“属性”将出现“本地连接属性”对话框,单击对话框中的“安装”按钮,选取其中的TCP/IP协议,然后单击“添加”按钮。
系统会询问你是否要进行“DHCP服务器”的设置如果你局域网内的IP地址是固定的(一般是这样),可选择“否”。
随后,系统开始从安装盘中复制所需的文件。
在“网络”对话框中选择已安装的TCP/IP协议,打开其“属性”,将出现“Internet协议(TCP/IP)属性”的对话框。
在指定的位置输入已分配好的“IP地址”和“子网掩码”,不知道可以去询问网络管理员。
建议在安装系统前记下此号码,毕竟求人不如求己嘛。
如果该用户还要访问其它Widnow2000网络的资源,还可以在“默认网关”处输入网关的地址。
局域网组网技术 第8章
8.6.4 数据加密方式与算法
(1)DES加密算法 (2)RSA算法
第 8章
8.7
局域网安全与管理
无线局域网安全技术
8.7.1 无线局域网概述
1.无线局域网的发展史 2.无线局域网的特点 3.无线局域网的应用领域 4.无线局域网的组成
第 8章
1.无线网络网卡 2.无线Hub 3.无线网桥 4.无线Modem
影响网络安全的因素
8.2.1 操作系统漏洞
目前操作系统的漏洞相当多,任何一个操作系统都不是绝对安全的, 都存在被攻击、被攻破的危险。 90% Windows 由于全球90%的个人计算机都是使用的Windows操作系统,因此对 Windows系统漏洞报道得就特别多。Windows操作系统从Windows 95操作 系统到最新版的Windows 7操作系统,虽然说稳定性、安全性得到了大幅 度的提高,但是始终存在着这样那样的安全漏洞,而且这是不可避免的。
第 8章
学习目标: 学习目标:
局域网安全与管理
计算机网络具有无可比拟的优势,但同时也存在 着巨大的安全隐患。另外,当一个局域网被组建好 后,为了使其运转正常,维护工作就显得很重要了。 不断学习各种最新的知识,是每个网络管理员都应 该做到的,本章在介绍网络安全与网络维护等重要 知识。
第 8章
局域网安全与管理
局域网安全与管理
8.1.2 计算机安全标准
第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。
第 8章
局域网安全与管理
8.1.3 互联网络道德规范
1.网络用户应遵守的基本规范 2.六种网络不道德行为
第 8章
2024版局域网组建管理与维护课程教学大纲
调整网络拓扑结构
实施QoS技术
采用QoS技术,对不同类型的数据流 进行优先级划分,保证关键业务的传 输质量。
通过改变网络拓扑结构,减少网络拥 塞,提高网络性能。
数据备份与恢复策略
数据备份方式
包括完全备份、增量备份、差异 备份等。
数据备份策略
制定合理的备份计划,选择适当 的备份介质和存储方式。
数据恢复流程
介绍常见的网络故障现象,如无法上网、网络速度慢、网络掉线等, 并分析其可能的原因和解决方案。
网络安全案例
分析一个网络安全案例,如ARP攻击、DDoS攻击等,并介绍相应的 防御措施。
实验报告撰写要求及评分标准
实验报告撰写要求
详细说明实验报告的格式和内容要求,包括实验目的、实验步骤、实验结果、 数据分析、结论等。
03
局域网组建技术
局域网规划与设计
需求分析
了解用户需求,明确网络建设目标,包括数据 传输、资源共享、网络安全等方面的需求。
网络拓扑设计
设计合理的IP地址分配方案,避免地址冲突和 浪费。
IP地址规划
根据需求选择合适的网络拓扑结构,如星型、 环型、总线型、树型等。
网络安全设计
制定网络安全策略,包括防火墙配置、访问控 制、数据加密等方面的措施。
02
03
总线型拓扑
所有节点共享一条公共通信线路 (总线),任何节点发送的信息 都可以被其他所有节点接收。
04
局域网传输介质与设备
01
02
03
04
传输介质
双绞线、同轴电缆、光纤等。
网络设备
网卡、集线器、交换机、路由 器等。
传输技术
以太网、令牌环网、FDDI等。
访问控制方法
《局域网组建》PPT课件
IP地址表示方法
点分十进制表示法,由四组数字组成,每组数字之间用小数点 隔开,每组数字的取值范围为0~255。
子网掩码作用及设置方法
子网掩码作用
用于划分子网,将IP地址的网络部分和主机部分区分开,从而确定子网规模和每个子网 中的主机数量。
子网掩码设置方法
将IP地址与子网掩码进行按位与运算,得到网络地址;将网络地址与子网掩码取反后进 行按位或运算,得到广播地址。根据网络规模和实际需求,选择合适的子网掩码长度。
配置ACL规则
在路由器或交换机上配置ACL规则,定义允许或拒绝特定IP地址、端口号或协议类型的网络 流量。
应用ACL
将配置好的ACL应用到相应的接口或方向上,实现对局域网内不同用户或设备的访问控制。 例如,可以限制某些用户只能访问特定的共享资源或禁止某些设备的网络访问权限。
06 故障诊断与排除技巧
常见故障现象描述
网络连接故障
IP地址配置错误
电脑无法连接到局域网或互 联网,可能表现为网络图标 异常、无法访问网络资源等。
IP地址配置不正确,导致电 脑无法与其他设备通信,可 能表现为网络不通、ping命 令失败等。
网络设备故障
交换机、路由器等网络设备 出现故障,导致网络传输异 常,可能表现为设备指示灯 异常、网络时断时续等。
服务器存储设备配置建议
服务器
选择高性能、高稳定性的服务器,确 保数据处理能力和数据存储安全。考 虑采用冗余设计,如RAID技术,提高 数据安全性。
存储设备
根据数据量和访问需求选择合适的存储 设备,如硬盘、SSD等。对于重要数据, 建议采用数据备份和恢复措施,如定期 备份、远程备份等。
03 软件配置与安装调试
选择依据
盛立军计算机网络技术基础ppt课件第八章
8.1 网络安全基础
9
4 网络病毒
病毒对计算机系统和网络安全造成了极大的威胁,病毒在发 作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的 破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒 传播的速度更快,范围更广,造成的损失也更加严重。据统计, 目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单 机的20倍,网络服务器杀毒花费的时间是单机的40倍。
在对称加密技术中,最为著名的算法是IBM公司研发的数据加密标准(Data Encryption Standard)分组算法。DES使用64位密钥,经过16轮的迭代、乘积变换、压缩变化等处理, 产生64位的密文数据。
8.2 网络加密技术
15
2 非对称加密技术
非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作 加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。
数字签名是一种信息认证技术,它利用数据加密技术、数据变换技术,根据某种协议 来产生一个反映被签署文件和签署人的特征,以保证文件的真实性和有效性,同时也可用 来核实接收者是否存在伪造、篡改文件的行为。简单地说,数字签名就是只有信息的发送 者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息 真实性的一个有效证明。
在实际应用过程中,通常利用两种密钥体制的长处,采用二者相结合的方式对信息进行加 密。例如,对实际传输的数据采用对称加密技术,这样数据传输速度较快;为了防止密钥泄 露,传输密钥时采用非对称加密技术加密,使密钥的传送有了安全的保障。
8.2 网络加密技术
16
8.2.2 数字签名
1 数字签名技术
现实生活中的书信或文件是根据亲笔签名或印章来证明其真实性。那么在计算机网络 中传送的文件又如何盖章呢?这就要使用数字签名。
局域网组建与管理
在需要保留IP地址分配方式的客户端,单击“开始”— >“运行” 局域网组建与管理
SHAANXI POLYTECHNIC INSTITUTE
在 “运行”窗口中输入“CMD”命令 局域网组建与管理
在弹击的Internet协议(TCP/IP)属性窗口中输入DHCP服务器 相应的IP地址和子网掩码(DNS服务器地址可以不输入)
局域网组建与管理
SHAANXI POLYTECHNIC INSTITUTE
在DOS提示符下输入“ipconfig /all”命令,查看IP的信息是否正确。 单击“开始” “运行” 在对话框中输入“cmd” DOS提示符下输入 “ipconfig /all”命令
SHAANXI POLYTECHNIC INSTITUTE
配置了缺省网关和DNS服务器选项的DHCP控制台的效果 局域网组建与管理
SHAANXI POLYTECHNIC INSTITUTE
右键单击DHCP窗口中左边目录树中刚创建的作用域,在弹出 的菜单中选择“激活”选项 ,激活刚配置的DHCP作用域 局域网组建与管理
缺省的租约时间为八天,改为8小时,单击“下一步” 局域网组建与管理
SHAANXI POLYTECHNIC INSTITUTE
选择“否,我想稍后配置这些选项”,单击“下一步” 局域网组建与管理
SHAANXI POLYTECHNIC INSTITUTE
单击“完成”按钮完成DHCP作用域的创建 局域网组建与管理
局域网组建与管理
SHAANXI POLYTECHNIC INSTITUTE
安装DHCP服务
第二部分
局域网组建与管理
SHAANXI POLYTECHNIC INSTITUTE
以“Administrator”或其他相当于系统管理员的用户身份登 录到要安装DNS服务的Windows2000 Server服务器上,单 击“开始->设置->控制面板”
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.4 系统漏洞检测软件
漏洞检测就是对重要计算机信息系统进行检查, 发现其中可被黑客利用的漏洞。这种技术通常采 用两种策略,即被动式策略和主动式策略。被动 式策略是基于主机的检测,对系统中不合适的设 置、脆弱的口令以及其他同安全规则相抵触的对 象进行检查;而主动式策略是基于网络的检测, 通过执行一些脚本文件对系统进行攻击,并记录 它的反应,从而发现其中的漏洞。漏洞检测的结 果实际上就是系统安全性能的一个评估,它指出 了哪些攻击是可能的,因此成为安全方案的一个 重要组成部分。
8.4 系统漏洞检测软件
金山清理专家七大强势功能: 检查电脑的健康指数。 查杀恶意软件。 漏洞修补。 在线系统诊断。 网页防挂马。 安全百宝箱。 安全资讯。 介绍漏洞修补
8.3 计算机网络安全防范技术
8.3.6 ISA技术 ISA Server 是建立在Windows操作系统上的一种 可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、 黑客的入侵和未经授权的访问。而且,通过本地 而不是 Internet为对象提供服务,其 Web 缓存服 务器允许组织能够为用户提供更快的Web访问。 在网络内安装 ISA Server时,可以将其配置成防 火墙,也可以配置成Web缓存服务器,或二者兼 备。
第 8章 网络安全基础
本章主要内容
了解网络安全的主要威胁 了解网络安全标准 掌握网络病毒的防治 理解黑客的攻击手段 理解主要的安全技术 理解主要的网络漏洞扫描技术
8.1 网络安全概述
8.1.1 计算机网络安全概述
ISO 74982 文件中对安全的定义是:安全就是最大限度地 减少数据和资源被攻击的可能性。网络安全是指保护网络 系统的硬件、软件及其系统中的数据不受偶然的或者恶意 的原因而遭到破坏、更改和泄露,系统连续可靠正常地运 行,网络服务不中断。网络安全包括:保护个人隐私,控 制对网络资源的访问,保证商业秘密在网络上传输的可靠 性,控制不健康的内容或危害社会稳定的言论,避免国家 机密泄露等。
8.3 计算机网络安全防范技术
VPN的特点 (1)可管理性。 (2)安全保障。 (3)可扩充性和灵活性。 (4)服务质量保证(QoS)
8.3 计算机网络安全防范技术
选择VPN (1)中小型企业外包VPN。 (2)大型企业自建VPN。
8.3 计算机网络安全防范技术
VPN安全技术 目前 VPN 主要采用四项技术来保证安全, 这四项技术分别是隧道(Tunneling)技术、 加密和解密(Encryption & Decryption) 技术、密钥管理(Key Management)技 术、使用者与设备身份认证 (Authentication)技术。
8.2 计算机网络安全分类
8.2.1 网络病毒与防治 合理搭配使用杀毒软件 同时开启两套杀毒软件的实时监控有可能会引起冲突,但 是在机器上安装多套杀毒软件的同时只开启一套杀毒软件 的实时监控程序却是可行的。这样一来,不但可以扬长避 短发挥各自软件的优势,还可以交叉查杀病毒,极大地增 强了机器的安全系数。要合理搭配多种杀毒软件,就要对 各种杀毒软件的特性有必要的了解。 瑞星 McAfee 卡巴斯基 金山毒霸
8.3 计算机网络安全防范技术
8.3.1 加密技术 数据加密的基本过程就是对原来为明文的 文件或数据按某种算法进行处理,使其成 为不可读的一段代码,通常称为“密文” 。 只有在输入相应的密钥之后才能显示出原 来的内容,通过这样的途径来达到保护数 据不被非法窃取的目的。 加密的逆过程为解密,即将该编码信息转 化为其原来数据的过程。
8.4 系统漏洞检测软件
1.漏洞检测的分类 基于应用的检测技术 基于主机的检测技术 基于目标的检测技术 基于网络的检测技术 综合的技术
8.4 系统漏洞检测软件
2.漏洞检测的特点 检测分析的位置 报表与安装 检测后的解决方案 检测系统本身的完整性
8.4 系统漏洞检测软件
3.利用金山清理专家进行系 统漏洞检测及修复 金山清理专家(如图 8-18 所示)是一款针对计算机 系统进行全方面检查和维 护,提供修复建议和方法 的网络安全工具。它提供 强大的恶意软件查杀、漏 洞修补和在线系统诊断的 功能。
8.3 计算机网络安全防范技术
8.3.5 VPN技术 VPN 指的是依靠 ISP(Internet服务提供商)和 其他 NSP(网络服务提供商) ,在公用网络中建 立专用的数据通信网络的技术。在 VPN 中,任意 两个节点之间的连接并没有传统专网所需的端到 端的物理链路,而是利用某种公众网的资源动态 组成的。IETF 草案对基于 IP的 VPN 定义为: “ 使用 IP 机制仿真出一个私有的广域网,是通过私 有的隧道技术在公共数据网络上仿真一条点到点 的专线技术” 。
防火墙的体系结构
(3)屏蔽主机网关(Screened Gatewa) (4)屏蔽子网(Screened Subnet)
8.3 计算机网络安全防范技术
8.3.4 入侵检测 入侵检测是防火墙的合理补充,可帮助系统对付 网络攻击,扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应) ,提 高了信息安全基础结构的完整性。它从计算机网 络系统中的若干关键点收集信息,并分析这些信 息,看看网络中是否有违反安全策略的行为和遭 到袭击的迹象。入侵检测被认为是防火墙之后的 第二道安全闸门,在不影响网络性能的情况下能 对网络进行检测,从而提供对内部攻击、外部攻 击和误操作的实时保护。
8.2 计算机网络安全分类
8.2.1 网络病毒与防治
8.2.1.3 杀毒软件的使用 要想更好地防范与查杀病毒,首先就必须了解病毒如何传 播感染并产生破坏,杀毒软件如何查杀的原理。 病毒的传播方式: 局域网传播 网页传播 移动存储设备传播 病毒的自运行 病毒存储在磁盘上不进入内存是无法产生传播和感染的。 所以病毒的自动运行是病毒产生破坏的关键。 病毒救援和手工清除 磁碟机病毒的清除方法。
8.3 计算机网络安全防范技术
防火墙可以使用各种筛选 方法,包括数据包筛选、 线路级(协议)筛选和应 用程序筛选,以此增强安 全性。高级企业防火墙, 例如 ISA Server,综合了 这些方法在多个网络层提 供保护。 1.动态筛选 2.支持基于会话的协议
8.3 计算机网络安全防范技术
应用程序级的安全性是防火墙通信检查中最为复 杂的一环。好的应用程序筛选器允许分析个别应 用程序的数据流,以及提供指定应用程序的处理, 包括检查、筛选或阻塞、重定向,或者当数据通 过该防火墙时修改该数据。
8.3 计算机网络安全防范技术
入侵检测的功能 识别黑客常用入侵与攻击手段 监控网络异常通信 分析漏洞和后门 完善网络安全管理
8.3 计算机网络安全防范技术
常用的入侵检测方法 特征检测。 统计检测 专家系统 文件完整性检查
8.3 计算机网络安全防范技术
入侵检测产品选择要点 是否通过了国家权威机构的评测。 性价比。 升级维护费用。 最大处理信息量。 产品支持的入侵特征数。 运行与维护系统的开销。
8.3 计算机网络安全防范技术
3.加密技术的应用 加密技术在电子商务方面的应用 加密技术在VPN中的应用。
8.3 计算机网络安全防范技术
8.3.2 认证技术 认证技术是计算机网络安全中的一个重要 内容,一般可以分为消息认证和身份认证 两种。身份认证用于鉴别用户身份。主要 包括: ① 识别:明确并区分访问者的身份。 ② 验证:对访问者声称的身份进行确认。
1.黑客的主要攻击方法
网络监听
WWW 欺骗
放置木马程序 电子邮件攻击 通过一个节点攻击其 他节点 破解密码 利用账号进行攻击 窃取特权 寻找系统漏洞
8.2 计算机网络安全分类
8.2.2 网络黑客
2.典型的黑客攻击过程 (1)准备攻击 确定攻击的目的 信息收集 (2)实施攻击 获得权限 扩大权限 (3)打扫现场 修改日志 为下次攻击留后门
8.3 计算机网络安全防范技术
加密的两种方法 对称式加密 对称式加密就是加密和解密使用同一个密钥,通常称为 Session Key。 非对称式加密 非对称式加密就是加密和解密所使用的不是同一个密钥, 通常有两个密钥,称为公钥和私钥,两者必须配对使用, 否则不能打开加密文件。公钥可以对外公布, “私钥” 则不能,只有持有人知道。 对称式加密容易在传输过程中造成密钥的丢失,而非对称式 的加密方法有两个密钥,这样就很好地避免了密钥的传输 安全性问题。
8.1 网络安全概述 8.1.2 网络安全的主要威胁 操作系统和协议的漏洞 网络威胁 病毒威胁 系统漏洞
8.1 网络安全概述
8.1.3 网络安全管理标准、规范与对策 国内外网络安全标准 我国《计算机信息系统安全保护等级划分准则》已于 2001 年 1 月 1 日起实施。该准则将信息系统安全分为 5 个等级,分别是:自主保护级、系统审计保护级、安全标 记保护级、结构化保护级和访问验证保护级。主要的安全 考核指标有身份认证、自主访问控制、数据完整性、审计、 隐蔽信道分析、客体重用、强制访问控制、安全标记、可 信路径和可信恢复等,这些指标涵盖了不同级别的安全要 求。 我国的网络安全问题 制约提高我国网络安全防范能力的因素 (1)缺乏自主的计算机核心技术 (2)安全意识淡薄是网络安全的瓶颈 (3)运行管理机制的缺陷和不足制约了安全防范的力度
8.3 计算机网络安全防范技术
防火墙的基本类型
(1)包过滤防火墙。 (2)应用级网关。 (3)状态监测防火墙。
8.3 计算机网络安全防范技术
防火墙的体系结构
(1)屏蔽路由器(Screening Router) (2)双宿主机网关(Dual Homed
Gateway)
8.3 计算机网络安全防范技术
8.3 计算机网络安全防范技术
1.基于秘密信息的身份认证方法 (1)密码核对。 (2)单向认证。 (3)双向认证。 2.基于物理安全的身份认证方法 指纹识别 智能卡