网络管理员培训-网络安全.pdf

网络管理员培训 网络安全 计算机网络的飞速发展，网络安全已变成网络演进中一个重要课题。由于网络传播信息便捷，隐蔽性强，在网络上无法识别用户的真实身份，网络、黑客攻击、有害信息传播等方面的弊端日趋严重。网络安全的形成和演进，标志着特色的通信保密时代过渡到了信息安全时代。 一、网络安全的基本概念1、网络安全的基本要素机密性：确保信息不暴露给未授权的实体或进程。完整性 ：只有受到允 的人能够更改数据，且能分辨出数据能否被篡改。可用性：得到授权的实体在必须是可访问数据。可控性：可控制授权范围内的信息流向及行为模式。可审查性：对发生的网络安全难题提供调查的根据和方法。 ２、网络安全威胁非授权访问信息泄漏和损坏破坏数据的完整性拒绝服务攻击(DoS)利用网络传播病毒 3、网络安全控制科技防火墙技术机密技术客户甄别技术访问控制技术网络反病毒技术漏洞扫描技术侵入检测科技 二、可信计算机平台检测标准形成弊端：我们所制定的、管理的、使用的网络平台和信息系统是否是安全的？怎么样来检测平台的安全性？ 1、计算机平台安全检测准则综述1983年，美国国家计算机安全中心（NCSC公布了可靠 算机系统检测准则（TCSEC，俗称桔皮书90年代西欧四国（英、法、德、荷）联合提出了信息技术安全检测标准（ITSEC，又称美国白皮书1993年，加拿大发布了 “加拿大可信 算机产品检测准则（CTCPEC1993年同期，美国公布了 “信息技术安全评估联邦准则” （FC1996年网络安全管理员 五级，6 国7方提出了 “信息技术安全评价通用准则” （CC1995年5月，ISO/IEC通过了将CC作为国际标准ISO/IEC 15408信息技术安全检测准则的最终文本 2、可信计算机安全检测准则（TCSECTCSEC将计算机平台的安全等级、7个级别D类安全等级：包括D1一个级别C类安全等级：划分为C1和C2两类B类安全等级：分为B1、B2、B3三类A类安全等级：只包括A1一个级别D1、C1、C2、B1、B2、B3、A1安全级别低高 3、我国计算机信息系统安全保护等级划分准则1999年2月9 日,成立了 “中国国家信息安全测评认证中心”2001年1月1 日,执行 《计算机信息系统安全保护等级划分准则》本准则要求了5个安全等级：第一级：对应于TCSEC的C1级第二级：对应于TCSEC的C2级第三级：对应于TCSEC的B1级第四级：对应于TCSEC的B2级第五级：对应于TCSEC的B3级 三、防火墙 1、防火墙的定义简单的说，防火墙是位于两个信任程度不同的网络之间的工具或软件设施的组合防火墙对不同网络之间的通信进行控制，通过强行推行统一的安全思路网络安全管理员 五级，防止对重要信息资源的非法存取和访问，以超过保护平台安全的目的。

功能：对进出的数据包进行过滤，滤掉不安全的服务和违法用户监控因特网安全，对网络防御行为进行检查和警报记 通过防火墙的信息内容和活动控制对特殊站点的访问，封堵这些允许的访问行为 2、防火墙的相关概念非信任网络信任网络DMZ可信主机非可信主机公网IP地址保留IP地址包过滤地址转换 3、防火墙的基本分类及实现机理包过滤防火墙（静态包过滤防火墙应用层网关防火墙（代理防火墙状态检测防火墙（动态包过滤防火墙 静态包过滤防火墙这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确认其能否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行完善。报头信息中包含IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP 目标端口、ICMP消息类别等。包过滤类型的防火墙要遵守的一条基本原则是 “最小特权原则”，即确立允 那些管理员希望借助的数据包，禁止其它的数据包。 应用层网关防火墙（代理防火墙代理防火墙也叫应用层网关 （Application Gateway防火墙。这种防火墙通过一种代理（Proxy技术参与到一个TCP连接的。从外部发出的数据包经过这种的防火墙处理后，就似乎是源于防火墙内部网卡一样，从而可以超过隐藏内部网结构的作用。

这种类型的防火墙被网络安全人士和外媒公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 状态检测防火墙（动态包过滤防火墙这种类型的防火墙采取动态修改包过滤规则的方式，避免了静态包过滤所具备的弊端。这种科技之后发展作为所谓包状况检测（StatefulInspection 技术。采用这样科技的防火墙对通过其创建的每一个连接都进行跟踪，并且按照需要可动态地在过滤规则中提高或删减。 四、入侵检测系统（IDS）传统的网络安全平台通常采取防火墙作为安全的第一道防。但是攻击者的科技方法越来越高明，单纯的防火墙策略已难以满足对安全高度脆弱的部门的应该。与此，网络环境越来越复杂，各种设施必须不断的更新、补漏，这促使网络管理员的工作不断加重，稍有失误也许导致安全隐患。在这些状况下，入侵监测平台打造了安全行业上新的热点。它是一种主动保护自己免受攻击的网络安全技术，作为防火墙的合理补充，能够帮助平台对抗网络防御，扩展了平台管理员的安全管控能力，提高了信息安全基础构架的完整性。 1、入侵测试平台的用途测量并探讨用户和平台的活动；检查系统配置的漏洞；评估平台关键资源和数据文件的完整性；识别已知的攻击行为；统 分析异常行为；操作系统日常管控，并识别违反安全策略的用户活动。

2、入侵监测平台的分类可分为主机型和网络型。实际使用时，也可将两者结合使 用。主机型IDS以平台日志、应用程序日志等成为数据源，也可借助其它方式（如监督平台读取 从所在主机收集信息并进行探讨。优点：系统的内在结构没有任何束缚，同时可以借助操作系统本身提供的功用、并结合异常分析，更准确的报告攻击行为。缺点：必须为不同的平台研发不同的程序，增加了平台的负荷。网络型IDS的数据源则是网上的数据包。优点：简便，一个网段上只需安装一个或几个系统，便可以检测整个网段的状况。使用单独的计算机做这些应用，不会增加主机的负载。缺点：由于目前的网络构架日益复杂，以及高速网络的普及，这种结构显示出其局限性。 3、入侵监测平台的基本原理（1 信息采集入侵监测的基础是信息采集，内容涵盖系统、网络、数据及客户活动的状况和行为。入侵监测很大程度上依赖于收集信息的可靠性和正确性。信息来源：系统和日志文件目 和文件中的不希望的改变程序执行中的不希望行为物理方式的入侵信息 （2 信号预测入侵监测的核心是信号预测，针对收集到的信息，采 用三种科技方法进行探讨：模式匹配，统 分析，和完整 性预测。其中前两种方式用于即时的入侵监测，而完整性 分析则用于事后分析。

模式匹配：将搜集到的信息与已知的网络入侵和平台滥用模式进行非常，从而看到违反安全思路的行为。统 分析：首先给平台对象 （如用户、文件、目 和设施等 创建一个统 描述，统 正常使用时的一些检测属性 （如访问数量、操作成功次数和延时等 。完整性分析：主要关注某个文件或对象能否被取消，利用强有力的加密模式，称为消息摘要函数，能识别微小的差异。 五、漏洞扫描网络平台的安全性取决于网络系统中最薄弱的环节。系统设定的不断更改，Hacker的科技的不断提高，网络平台的安全性是一个动态的过程。最有效的方法就是定期对网络平台进行安全性分析，及时发现并查找漏洞并进行设置。漏洞扫描平台是一种自动检查远程或本地主机安全性弱点的程序。通过使用漏洞扫描平台，系统管理员能够看到所维护的W EB服务器的各类TCP端口的分配、提供的服务、W EB服务软件版本和那些服务及工具展现在因特网上的安全漏洞。漏洞扫描技术是检验远程或本地系统安全脆弱性的一种安全科技。 漏洞扫描平台的基本原理当客户借助控制系统发出了扫描命令以后，控制系统即向扫描组件发出相应的扫描请求，扫描模块在接到请求期间及时开展相应的子功能组件，对被扫描的主机进行扫描。

通过对从被扫描主机返回的信息进行探讨判断，扫描组件将扫描结果返回到控制系统，再由控制平台最后呈现给客户。网络漏洞扫描平台借助远程监测目标主机TCP/IP不同端口的服务，记 目标予以的提问。在取得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与漏洞扫描平台提供的漏洞库进行匹配，如满足匹配条件，则视为漏洞存在。此外，通过模拟黑客攻击的方式，如模拟攻击失败则视为漏洞存在。 六、网络防病毒系统 （一 网络病毒简介因特网的开放性为计算机病毒广泛传播提供了有利的环境，而因特网本身存在的漏洞也为培养新一代病毒提供了良好的条件。ActiveX技术和Java技术的应用，也让病毒制造者也有可乘之机，他们运用这些技术，把病毒渗透到 算机中，这就是近两年兴起的第二代病毒，既所谓的 “网络病毒”。 网络病毒相对于传统的计算机病毒，其特征和危害性主要 表现在下面方面： 破坏性强。直接影响网络工作，轻则增加速度，影响工作强度，重则使网络瘫痪。 传播性强。普遍具备较强的再生体系，一接触就可通过网络扩散与感染。 具有潜伏性和可促使性。 针对性更强。 扩散面广。 传播速度快。

难以彻底消除。 网络大都采取C/S模式，这就应该从服务器和客户机两个方面采用防病毒措施。 （二 基于网络的防病毒系统1、网络病毒隔离策略防毒一定要实现全方位、多层次防毒。网关防毒是整体防毒的 要防 。没有管理系统的防毒是无效的放毒系统。服务是整体防毒系统中极为重要的一环。 2、网络防病毒系统的组织方式① 系统中心的统一管控。② 远程安装升级。③ 一般客户端的防毒。④ 防病毒过滤网关。⑤ 硬件防病毒网关。特点：高稳定性；操作简洁、管理便捷；接入手段简单易行；免维护；容错与集群。 新一代 络科技 一、IPv6为了防止IPv4面临的动荡，IETF于1992年开始开发IPv6 。IPv6继承了IPv4 的特点，并按照IPv4十几年来的利用经验进行了持续修改和用途扩充，其处理性能非常强悍、高效。1、地址IPv4与IPv6地址之间最显著的差异在于厚度：IPv4地址宽度为3 2位，而IPv6地址长度为1 2 8位。IPv4地址可以被分为2至3个不同部分(网络标识符、节点标识符，有时还有子网标识符)，IPv6地址中拥有更大的地址空间，可以支持更多的字段。 1.1 地址表达方法IPv4地址通常以4部分间点分的方式来表示，即4个数字用点分隔。

例如，下面是一些合法的IPv4地址，都用十进制整数表示：10.5.3.1 。IPv6地址长度4倍于IPv4地址，表达出来的复杂程度也有IPv4地址的4倍。IPv6地址的基本表达方法是X :X :X :X :X :X :X :X，其中X是一个4位十六进制整数( 16位)。每一个数字包括4位，每个整数包含4个数字，每个地址包含8个整数，共 1 2 8位( 4 ×4 ×8 = 128 ) 。例如，下面是一些合法的IPv6地址：CDCD:910A :2222:5498:8475:1111:3900:20201030:0:0:0:C9B4:FF12:48AA :1A2B2000:0:0:0:0:0:0:1 某些IPv6地址中也许包括一长串的0 (就像前面的第二和 第三个例子一样)。当发生这样状况时，标准中允 用 “空隙”来表示这一长串的0 。换句话说，地址2000:0:0:0:0:0:0:1可以被表示为：2000::1 两个冒号表示该地址可以扩展到一个完整的1 2 8位地址。 在这些方式中，只有当1 6位组全部为0时才会被两个冒 号代替，且两个冒号在地址中没法发生一次。 在IPv4和IPv6 的混合环境中也许有第三种方法。

IPv6地址 中的最低3 2位可以用于表示IPv4地址，该地址可以根据 一种混合模式表达，即X:X:X:X:X:X:d.d.d.d，其中X表示 一个1 6位整数，而d表示一个8位十进制整数。例如，地 址0:0:0:0:0:0:10.0.0.1就是一个合法的IPv4地址。把两种可能的表达方法组 合在一起，该地址也可以表示为：::10.0.0.1 1.2 寻址模型IPv6寻址模型与IPv4很相近。每个单播地址标志一个单独的网络接口。IP地址被指定给网络接口而不是节点，因此一个拥有多个网络接口的节点可以具有多个IPv6地址，其中任何一个IPv6地址都可以代表该节点。尽管一个网络接口能与多个单播地址相关联，但一个单播地址没法与一个网络接口相关联。每个网络接口需要大约具备一个单播地址。 二、3G3G是中文3rd Generation的简写，指第三代移动通信技术。相对第一代模拟制式手机(1G)和第二代GSM、TDMA等数字手机(2G)，第三代手机通常地讲，是指将无通信与国际互联网等多媒体通信结合的新一代移动通信系统。它还能处理图像、音乐、视频流等多种媒体手段，提供包含网站浏览、电话会议、电子商务等多种信息服务。为了提供这些服务，无 网络需要才能支持不同的数据存储速率，也就是说在室内、室外和行车的环境中才能分别支持大约2Mbps(兆字节／每秒)、384kbps(千字节／每秒)以及144kbps的存储速度。 Thank You !

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-120866-1.html