网络管理员培训网络安全

CDCD:910A:2222:5498:8475:1111:3900:2020 1030:0:0:0:C9B4:FF12:48AA:1A2B 2000:0:0:0:0:0:0:1
某些IPv6地址中可能包含一长串的0 (就像上面的第二和 第三个例子一样)。当出现这种情况时，标准中允许用 “空隙”来表示这一长串的0。换句话说，地址 2000:0:来自百度文库:0:0:0:0:1 可以被表示为： 2000::1 两个冒号表示该地址可以扩展到一个完整的1 2 8位地址。 在这种方法中，只有当1 6位组全部为0时才会被两个冒 号取代，且两个冒号在地址中只能出现一次。
六、网络防病毒系统 （一）网络病毒简介 因特网的开放性为计算机病毒广泛传播提供了 有利的环境，而因特网本身存在的漏洞也为培育 新一代病毒提供了良好的条件。ActiveX技术和 Java技术的应用，也让病毒制造者也有可乘之机， 他们利用这种技术，把病毒渗透到计算机中，这 就是近两年兴起的第二代病毒，既所谓的“网络 病毒”。
3、入侵检测系统的基本原理 （1）信息收集 入侵检测的基础是信息收集，内容包括系统、网络、 数据及用户活动的状态和行为。入侵检测很大程度上依赖 于收集信息的可靠性和正确性。 信息来源：
系统和日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息
（2）信号分析 入侵检测的核心是信号分析，针对收集到的信息，采 用三种技术手段进行分析：模式匹配，统计分析，和完整 性分析。其中前两种方法用于实时的入侵检测，而完整性 分析则用于事后分析。
模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据 库进行比较，从而发现违背安全策略的行为。 统计分析：首先给系统对象（如用户、文件、目录和设备等）创建 一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作 失败次数和延时等）。 完整性分析：主要关注某个文件或对象是否被更改，利用强有力的 加密机制，称为消息摘要函数，能识别微小的变化。
五、漏洞扫描
网络系统的安全性取决于网络系统中最薄弱的环节。系统 设置的不断更改，Hacker的技术的不断提高，网络系统的 安全性是一个动态的过程。最有效的方式就是定期对网络 系统进行安全性分析，及时发现并查找漏洞并进行修改。 漏洞扫描系统是一种自动检测远程或本地主机安全性弱点 的程序。通过使用漏洞扫描系统，系统管理员能够发现所 维护的WEB服务器的各种TCP端口的分配、提供的服务、 WEB服务软件版本和这些服务及软件呈现在因特网上的 安全漏洞。漏洞扫描技术是检测远程或本地系统安全脆弱 性的一种安全技术。
1.1 地址表达方式 IPv4地址一般以4部分间点分的方法来表示，即4个数字用点分隔。 例如， 下面是一些合法的IPv4地址，都用十进制整数表示： 10.5.3.1 。 IPv6地址长度4倍于IPv4地址，表达起来的复杂程度也是IPv4地址 的4倍。IPv6地址的基本表达方式是X:X:X:X:X:X:X:X，其中X是一个 4位十六进制整数( 16位)。每一个数字包含4位，每个整数包含4个数 字，每个地址包括8个整数，共计1 2 8位( 4×4×8 = 128 )。例如， 下面是一些合法的IPv6地址：
2、可信计算机安全评估准则（TCSEC） TCSEC将计算机系统的安全等级、7个级别
D类安全等级：包括D1一个级别 C类安全等级：划分为C1和C2两类 B类安全等级：分为B1、B2、B3三类 A类安全等级：只包含A1一个级别
D1、C1、C2、B1、B2、B3、A1 安全级别低 高
3、我国计算机信息系统安全保护等级划分准则
机密性：确保信息不暴露给未授权的实体或进程。 完整性 ：只有得到允许的人才能修改数据，且能判断 出数据是否被篡改。 可用性：得到授权的实体在需要是可访问数据。 可控性：可控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和 手段。
２、 网络安全威胁
非授权访问 信息泄露和丢失 破坏数据的完整性 拒绝服务攻击(DoS) 利用网络传播病毒
3、网络安全控制技术
防火墙技术 机密技术 用户识别技术 访问控制技术 网络反病毒技术 漏洞扫描技术 入侵检测技术
二、 可信计算机系统评估标准
产生问题：我们所建立的、管理的、使用的网络 系统和信息系统是否是安全的？怎么样来评估系 统的安全性？
1、入侵检测系统的功能
监测并分析用户和系统的活动； 检查系统配置的漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日常管理，并识别违反安全策略的用户活动。
2、入侵检测系统的分类 可分为主机型和网络型。实际使用时，也可将二者结合使
传统的网络安全系统一般采用防火墙作为安全的第一道防 线。但是攻击者的技术手段越来越高明，单纯的防火墙策 略已无法满足对安全高度敏感的部门的需要。与此，网络 环境越来越复杂，各种设备需要不断的升级、补漏，这使 得网络管理员的工作不断加重，稍有疏忽可能造成安全隐 患。在这种情况下，入侵检测系统成为了安全市场上新的 热点。它是一种主动保护自己免受攻击的网络安全技术， 作为防火墙的合理补充，能够帮助系统对付网络攻击，扩 展了系统管理员的安全管理能力，提高了信息安全基础结 构的完整性。
① ② ③ ④ ⑤ 系统中心的统一管理。 远程安装升级。 一般客户端的防毒。 防病毒过滤网关。 硬件防病毒网关。特点：高稳定性；操作简单、管理 方便；接入方式简单易行；免维护；容错与集群。
新一代网络技术
一、IPv6 为了消除IPv4面临的危机，IETF于1992年开始开发 IPv6。IPv6继承了IPv4的优点，并根据IPv4十几年来的 运用经验进行了大幅修改和功能扩充，其处理性能更加 强大、高效。 1、地址 IPv4与IPv6地址之间最明显的差别在于长度： IPv4地 址长度为3 2位，而IPv6地址长度为1 2 8位。IPv4地址可 以被分为2至3个不同部分(网络标识符、节点标识符，有 时还有子网标识符)，IPv6地址中拥有更大的地址空间， 可以支持更多的字段。
应用层网关防火墙（代理防火墙）
代理防火墙也叫应用层网关（Application Gateway）防火墙。这种 防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从 内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外 部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火 墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就 是代理服务器技术。
1、计算机系统安全评估准则综述
1983年，美国国家计算机安全中心（NCSC）公布了可信计算机 系统评估准则（TCSEC，俗称桔皮书） 90年代西欧四国（英、法、德、荷）联合提出了信息技术安全评 估标准（ITSEC，又称欧洲白皮书） 1993年，加拿大发布了“加拿大可信计算机产品评估准则” （CTCPEC） 1993年同期，美国发布了“信息技术安全评估联邦准则”（FC） 1996年，6国7方提出了“信息技术安全评价通用准则”（CC） 1995年5月，ISO/IEC通过了将CC作为国际标准ISO/IEC 15408 信息技术安全评估准则的最后文本
状态检测防火墙（动态包过滤防火墙）
这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过 滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连 接都进行跟踪，并且根据需要可动态地在过滤规则中增加或删减。
四、入侵检测系统（IDS）
网络病毒相对于传统的计算机病毒，其特点和危害性主要 表现在以下方面：
破坏性强。直接影响网络工作，轻则降低速度，影响工作效率， 重则使网络瘫痪。 传播性强。普遍具有较强的再生机制，一接触就可通过网络扩散 与传染。 具有潜伏性和可激发性。 针对性更强。 扩散面广。 传播速度快。 难以彻底清除。
用。
主机型IDS以系统日志、应用程序日志等作为数据源，也可通过其他手段 （如监督系统调用）从所在主机收集信息并进行分析。 优点：系统的内在结构没有任何束缚，同时可以利用操作系统本身提供的 功能、并结合异常分析，更准确的报告攻击行为。 缺点：必须为不同的系统开发不同的程序，增加了系统的负荷。 网络型IDS的数据源则是网上的数据包。 优点：简便，一个网段上只需安装一个或几个系统，便可以监测整个网段 的情况。使用单独的计算机做这种应用，不会增加主机的负载。 缺点：由于现在的网络结构日益复杂，以及高速网络的普及，这种结构显 示出其局限性。
漏洞扫描系统的基本原理 当用户通过控制平台发出了扫描命令之后，控制平台即 向扫描模块发出相应的扫描请求，扫描模块在接到请求之 后立即启动相应的子功能模块，对被扫描的主机进行扫描。 通过对从被扫描主机返回的信息进行分析判断，扫描模块 将扫描结果返回到控制平台，再由控制平台最终呈现给用 户。 网络漏洞扫描系统通过远程检测目标主机TCP/IP不同端口 的服务，记录目标给予的回答。在获得目标主机TCP/IP端 口和其对应的网络访问服务的相关信息后，与漏洞扫描系 统提供的漏洞库进行匹配，如满足匹配条件，则视为漏洞 存在。此外，通过模拟黑客攻击的方法，如模拟攻击成功 则视为漏洞存在。
网络大都采用C/S模式，这就需要从服务器和客户机两个 方面采取防病毒措施。
（二）基于网络的防病毒系统 1、网络病毒防护策略
防毒一定要实现全方位、多层次防毒。 网关防毒是整体防毒的首要防线。 没有管理系统的防毒是无效的放毒系统。 服务是整体防毒系统中极为重要的一环。
2、网络防病毒系统的组织形式
2、防火墙的相关概念
非信任网络 信任网络 DMZ 可信主机 非可信主机 公网IP地址 保留IP地址 包过滤 地址转换
3、防火墙的基本分类及实现原理
包过滤防火墙（静态包过滤防火墙） 应用层网关防火墙（代理防火墙） 状态检测防火墙（动态包过滤防火墙）
静态包过滤防火墙
三、 防火墙
1、防火墙的定义 简单的说，防火墙是位于两个信任程度不同的网络之 间的软件或硬件设备的组合 防火墙对不同网络之间的通信进行控制，通过强制实 施统一的安全策略，防止对重要信息资源的非法存取和访 问，以达到保护系统安全的目的。 功能：
对进出的数据包进行过滤，滤掉不安全的服务和非法用户
监视因特网安全，对网络攻击行为进行检测和警报 记录通过防火墙的信息内容和活动 控制对特殊站点的访问，封堵某些禁止的访问行为
这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定 其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进 行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、 UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型 的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那 些管理员希望通过的数据包，禁止其他的数据包。
网络安全
计算机网络的迅猛发展，网络安全已成为网络发 展中一个重要课题。由于网络传播信息快捷，隐 蔽性强，在网络上难以识别用户的真实身份，网 络犯罪、黑客攻击、有害信息传播等方面的问题 日趋严重。网络安全的产生和发展，标志着传统 的通信保密时代过渡到了信息安全时代。
一、 网络安全的基本概念
1、网络安全的基本要素
1999年2月9日,成立了“中国国家信息安全评测认证中 心” 2001年1月1日,执行《计算机信息系统安全保护等级划 分准则》 本准则规定了5个安全等级：
第一级：对应于TCSEC的C1级 第二级：对应于TCSEC的C2级 第三级：对应于TCSEC的B1级 第四级：对应于TCSEC的B2级 第五级：对应于TCSEC的B3级