通信网络安全专题培训课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.2.3 安装Radius认证访问服务器 远程认证拨号用户服务(Remote Authentication Dial In User Service,RADIUS)是在网络访问服务器(Network Access Server,NAS)和集中存放认证信息的Radius服务 器之间传输认证、授权和配置信息的协议。
(4)电路级网关 电路级网关防火墙属于第三代防火墙技术,它通过监控受信 任的客户或服务器与不受信任的主机间的TCP握手信息来决 定该会话是否合法。 (5)非军事化区(DMZ) DMZ位于企业内部网络和外部网络之间的小网络区域,通 常是一个过滤的子网。 (6)状态监视器(StatefulInspection): 状态监视器是一种最新的防火墙技术,它采用了一个在网关 上执行网络安全策略的软件引擎,称之为检测模块。
5.3.1 防火墙系统概述 1. 防火墙系统的体系结构 (1)简单包过滤防火墙 简单包过滤技术对网络层和传输层协议进行保护,对进 出网络的单个包进行检查,具有性能较好和对应用透明的 优点,目前绝大多数路由器都提供这种功能。 (2)应用代理防火墙 应用代理防火墙也可称之为应用网关防火墙。应用代理 的原理是彻底隔断通信两端的直接通信,所有通信都必须 经应用层代理层转发,访问者任何时候都不能与服务器建 立直接的TCP连接,应用层的协议会话过程必须符合代理 的安全策略要求。 (3)状态监测防火墙 状态监测防火墙已经成为防火墙的标准。
1. RADIUS的工作原理 RADIUS以Client/Server方式工作,实现了对远程电话拨 号用户的身份认证、授权和计费功能。
RADIUS的工作流程是:(1)用户拨入NAS; (2)NAS 向RADIUS服务器发送一系列加密的“属性/值”; (3) RADIUS服务器检查用户是否存在、属性/值是否匹配; (4)RADIUS服务器发送回“接受“或“拒绝“给NAS。
4. 应用层安全风险 (1)身份认证漏洞 (2)DNS服务威胁 (3)WWW服务漏洞 (4)电子邮件系统漏洞 5. 管理层安全风险 5.1.2 网络安全产品 信息安全和网络安全产品有以下几类:
(1)防火墙。 (2)安全路由器。 (3)虚拟专用网(VPN)。 (4)安全服务器。
(5)认证中心和公钥机制。 (6)用户认证产品。 (7)安全管理中心。 (8)数据恢复与容灾系统。 (9)入侵检测系统(IDS)。 (10)安全数据库。 (11)安全操作系统。 5.2 信息防护技术 5.2.1 访问控制策略 1. 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。
用户认证、管理和计费系统的结构如图5.1所示:
5.2.4 网络防病毒技术 网络病毒是在网络上传播的病毒。网络病毒的来源主要 有两种: 一种威胁是来自文件下载。 另一种主要威胁来自于电子邮件。 1. 病毒防治软件安装位置 网络病毒防治必须考虑安装病毒防治软件。 2. 防病毒软件的部署和管理 部署一种防病毒软件的实际操作一般包括以下步骤: (1)调查和制定计划 (2)测试 (3)系统安装 (4)维护 3. 常用防病毒软件
第 5 章 网络安全技术
5.1 网络系统安全技术概述 5.1.1 网络系统面临的安全问题 从系统和应用出发,网络的安全因素可以划分为五个安全层,
即物理层、系统层、应用层、网络层和安全管理层。应 该在每个层面上进行细致的分析,根据风险分析的结果 设计出符合具体实际的、可行的网络安全整体解决方案。 1.物理层的安全风险 2. 网络层安全风险 3. 系统层的安全风险
用户的入网访问控制可分为三个步骤:用户名的识别与验 证、用户口令的识别与验证、用户账号的默认限制检查。
2. 文件和网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全 保护措施。 (1)特殊用户(即系统管理员); (2)一般用户,系统管理员根据他们的实际需要为他们 分配操作权限; (3)审计用户,负责网络的安全控制与资源使用情况的 审计。 文件系统的安全主要是通过设置文件的权限来实现的。 (1)文件许可权 文件属性决定了文件的被访问权限,即什么人能存取或 执行该文件。 (2)目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。
(3)属性安全控制 属性安全控制可以将给定的属性与网络服务器的文件、 目录和网络设备联系起来。 (4)网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。 5.2.2 加密和认证 1. 加密 网络系统自身的安全涉及很多技术,这些技术在网络攻 守较量中又不断发展、完善。网络的一种安全问题是数 据的安全,数据安全包括传输保密和存储保密,保密最 核心的是密码算法,密码算法包括加密算法、密钥管理 算法及验证算法。
5.3 防火墙技术 防火墙是指设置在不同网络或网络安全域之间执行访问 控制策略的一个或一组控制系统。防火墙是不同网络或网 络安全域之间信息的唯一出入口,能根据企业的安全政策 控制出入网络的信息流,且本身具有较强的抗攻击能力。 它是提供信息安全服务,实现网络和信息安全的基础设施。 原则上,防火墙是由两种机制构成:一种是查阻信息通行, 另一种是允许信息通过。防火墙有效地监控了内部网和 Internet之间的任何活动,保证了内部网络的安全。
2. 认证 传统的用户认证系统有三个功能,即对用户进行认证 (Authentication)、授权(Authorization)和计费数据采集 (Accounting)。 (1)认证(Authentication) 认证就是指用户必须提供他是谁的证明。 (2)授权(Authorization) 授权主要是用户管理,即针对普通操作员。 (3)计费数据采集(Accounting) ① 计费管理 ② 计费策略定制 ③ 系统管理功能
2. 防火墙系统的关键技术 (1)分组过滤技术 分组过滤又称“包过滤”,它是防火墙最传统、最简单和 最基本的技术。
(2)Biblioteka Baidu址翻译技术 地址翻译是指将一个IP地址映射为另一IP地址。它既可解 决内部网络IP地址不足的问题,也能使内部网络中的主机 IP地址对外部网络无效,隐藏内部网络主机。 (3)应用级网关(代理服务器) 与分组过滤技术不同,代理服务器(Proxy)技术不是在网络 层拦截数据分组,而是通过为各种应用服务分别设立代管 的方法在应用层对网络信息攻击进行防范。