1、第8章 計算機網絡安全與網絡管理8/28/20221第8章 計算機網絡安全與網絡管理教學目標（1）了解網絡安全與網絡管理的概念；（2）了解網絡不安全的因素 ；（3）了解網絡安全的主要技術 ；（4）熟悉Windows server 2003服務器的安全設置 ；（5）了解簡單網絡管理協議； （6）了解網絡管理的技術。 8/28/20222第8章 計算機網絡安全與網絡管理教學內容 8.1 計算機網絡安全概述 8.2 計算機網絡安全的主要技術 8.3 Windows Server 2003服務器的安全設置 8.4 網絡管理技術8/28/20223計算機網絡安全與網絡管理問題的提出 隨著計算機網絡的廣泛

2、應用，在網絡給人們帶來便利的同時，人們也發現網絡中處處潛藏著安全的威脅，使計算機網絡面臨極大的挑戰，這就是計算機網絡的安全問題。 如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性已經成為所有計算機網絡管理必須考慮和必須解決的一個重要問題。8/28/202248.1 計算機網絡安全概述 計算機網絡安全（Computer Network Security）是一門涉及到計算機科學、網絡技術、通信技術、信息安全技術、密碼學、應用數學、管理學和信息論等多種學科的綜合性學科。8/28/202258.1 計算機網絡安全概述8.1.1 計算機網絡安全概念 1計算機網絡安全的含義 計算機網絡安全不是產

3、品，也不是結果，而是一個過程。它由很多部分組成，包括硬件、軟件、網絡、接口、人以及之間相互關系等。 從廣義上說，計算機網絡安全包括網絡系統硬件資源及網絡信息資源的安全性。 8/28/202268.1.1 計算機網絡安全概念 2計算機網絡安全的定義 國際標準化組織（ISO）對計算機系統安全的定義是：為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。 由此，可以將計算機網絡的安全定義為：通過采用各種技術和管理措施，保護網絡系統中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保證網絡系統的正常運行、網絡服務不中斷，從而

4、確保網絡數據的可用性、完整性和保密性。8/28/202278.1.1 計算機網絡安全概念 3計算機網絡安全的屬性 在美國國家信息基礎設施（NII）的文獻中，給出了網絡安全的六個屬性：可用性、保密性、完整性、可靠性、不可抵賴性和可控性。 8/28/202288.1.2 計算機網絡面臨的安全威脅 所謂的網絡安全威脅是指某個實體（人、事件、程序等）對某一網絡資源的機密性、完整性、可用性及可靠性等可能造成的危害。 計算機網絡安全所面臨的威脅概括起來有兩種：一是對網絡中信息、數據的威脅，二是對網絡中設備的威脅。 8/28/202298.1.2 計算機網絡面臨的安全威脅 1人為的惡意攻擊 來自機構內部威脅

5、和來自入侵者的外部攻擊，是計算機網絡面臨的最大威脅。其一，以各種方式有選擇地破壞（篡改、偽造）對方信息的有效性和完整性，稱為主動攻擊；其二，在不影響網絡正常工作的情況下，以截獲、竊取、破譯等手段獲得對方重要機密信息，稱為被動攻擊，如圖8-1所示。這兩種攻擊都會對計算機網絡造成極大的危害，并導致機密數據的泄露。8/28/202210圖8-1 敵手對網絡通信過程中的攻擊手段8/28/2022118.1.2 計算機網絡面臨的安全威脅 2人為的無意失誤 如用戶安全意識不高，設置口令不慎，容易被人破解；用戶把自己的賬號隨意轉借給別人或與他人共享；又如系統管理員對系統安全配置不當形成的安全漏洞等，都會對計

6、算機網絡安全造成威脅。8/28/2022128.1.2 計算機網絡面臨的安全威脅 3系統漏洞和缺陷 目前，不論是軟件還是硬件，不論是操作系統還是應用軟件，都存在不同程度的漏洞和缺陷，這些都是導致網絡不安全的重要因素。 4實體摧毀 實體摧毀是計算機網絡安全面對的“硬殺傷”威脅。主要有電磁攻擊、兵力破壞和火力打擊三種。 8/28/2022138.1.3 構成網絡安全威脅的因素 由于網絡的各種操作系統和網絡通信的基本協議TCP/IP都存在著一定程度的漏洞，所以構成網絡安全威脅主要有以下幾種因素，如圖8-2。 8/28/202214圖8-2 構成網絡安全威脅的因素8/28/2022158.1.3 構成

7、網絡安全威脅的因素1操作系統的易被監測性 使用Telnet或FTP連接遠程主機上的賬戶，在網上傳輸的口令是沒有加密的。入侵者就可以通過監視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令通過正常途徑登錄到系統。 8/28/2022168.1.3 構成網絡安全威脅的因素2無法估計主機的安全性 主機系統的安全性無法很好地估計。隨著一個站點的主機數量的增加，確保每臺主機的安全性都處在高水平的能力卻在下降。只用管理一臺主機的能力來管理如此多的系統就容易出錯。這些安全性較低的系統將成為薄弱環節，最終將破壞整個安全鏈。 8/28/2022178.1.3 構成網絡安全威脅的因素3有缺陷的局域網服務

8、 主機的安全十分困難和繁瑣，有些站點為了降低管理要求并加強局域網，往往會使用諸如NIS和NFS類的服務，但卻帶來了不安全的因素，可以被有經驗的入侵者利用而獲得訪問權。 8/28/2022188.1.3 構成網絡安全威脅的因素 4復雜的設置和控制 主機系統的訪問控制配置復雜且難以驗證，偶然的配置錯誤會使入侵者獲取訪問權。 5易欺騙性 網絡通信協議的TCP或UDP服務相信主機的地址。如果使用“IP Source Routing”，那么入侵者的主機，就可以冒充一個被信任的主機或客戶的IP地址取代自己的地址，去對服務器進行攻擊。 8/28/2022198.1.3 構成網絡安全威脅的因素 6薄弱的認證環

9、節 網絡上的認證通常是使用口令來實現的。由于口令多為靜態的，因此其薄弱環節眾人皆知，各種各樣的口令破解方式層出不窮。 7計算機病毒攻擊 計算機病毒是威脅網絡安全最重要的因素之一，由于網絡系統中的各種設備都是相互連接的，如果某一個設備（如服務器）受到病毒的攻擊或系統受到病毒感染，它就可能危及到整個網絡。8/28/2022208.1.3 構成網絡安全威脅的因素 8物理安全 網絡中包括了各種復雜的硬件、軟件和專用的通信設備，以及各種網絡傳輸介質，大多數的網絡通信設備和連接都有可能存在安全隱患。即便是其中有任何一個出現問題，都會導致災難性的后果。8/28/2022218.1.4 計算機網絡安全的目標

10、計算機網絡信息安全與保密的目標主要是為了保護網絡信息系統，使其沒有危險、不受威脅、不出事故。從技術角度來說，網絡信息安全與保密的目標主要表現在系統的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。8/28/2022228.1.4 計算機網絡安全的目標1可靠性 可靠性是網絡信息系統能夠在規定條件下和規定的時間內完成規定的功能的特性。2可用性 可用性是網絡信息可被授權實體訪問并按需求使用的特性。3保密性 保密性是網絡信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。 8/28/2022238.1.4 計算機網絡安全的目標4完整性 完整性是網絡信息未經授權不能進行改變的特性。 5不

11、可抵賴性 不可抵賴性也稱作不可否認性，在網絡信息系統的信息交互過程中，確信參與者的真實同一性。 6可控性 可控性是對網絡信息的傳播及內容進行控制，保護其完整性和可用性。 8/28/2022248.2 計算機網絡安全的主要技術 隨著計算機網絡技術的迅速發展和廣泛應用，網絡威脅呈現多樣化。為了遏制各式各樣的網絡威脅，為網絡的發展營造一個更安全的環境，已經出現了許許多多的用于網絡安全的技術手段。 8/28/2022258.2.1 信息加密技術1對稱密碼體制 對稱密鑰體制的特點是無論加密還是解密都共用一把密鑰（Ke=Kd），或者雖不相同，但可以由其中一個推導出另一個。其中最有影響的是1977年美國國家

12、標準局頒布的DES算法（數據加密標準算法），加密解密過程如圖8-3所示。 8/28/202226明碼報文 密 碼密鑰密鑰明碼正文原文正本解密解密碼發送方接收方圖8-3 對稱加密使用相同的密鑰 8/28/2022278.2.1 信息加密技術2公開密鑰密碼體制 公開密鑰密碼體制的特點是加密鑰不等于解密鑰（KeKd），并且在計算上不能由加密鑰推出解密鑰。所以將加密鑰公開也不會危害解密鑰的安全。通常，把加密鑰稱為公鑰，解密鑰稱為私鑰。其典型代表是1978年美國麻省理工學院RLRivest等人提出的RSA公開鑰密碼算法，它已被ISO/TC97的數據加密技術分委員會SC20推薦為公開密鑰數據加密標準。其加

13、密解密過程如圖8-4所示。 8/28/202228 明碼報文 密 碼公鑰私鑰 明碼正文 原文正本解密解密碼發送方接收方圖8-4 公開密鑰碼算法 8/28/2022298.2.1 信息加密技術3密鑰管理 根據近代密碼學的觀點，密碼系統的安全應該只取決于密鑰的安全，而不取決于對算法的保密。這僅僅是在設計密碼算法時的要求，而在實際應用中對保密性要求高的系統仍必須對具體使用的算法實行保密。密鑰必須經常更換，這是安全保密所要求的。因此無論是采用傳統密碼還是公鑰密碼，都存在密鑰管理問題。 8/28/2022308.2.2 數字簽名技術 人們通常習慣于日常生活中的簽名，它對當事人起到認證、核準與生效的作用。

14、傳統的書面簽名形式有手簽、印章、指印等，而在計算機通信中則采用數字簽名。在此，簽名是證明當事人身份與數據真實性的一種手段。8/28/2022318.2.2 數字簽名技術1認證技術 認證又稱為鑒別或確認，它用來證實被認證對象（人與事）是否名符其實或是否有效的一種過程。2數字簽名 盡管數字簽名與認證都是用來保證數據的真實性，但二者有著明顯的區別，如圖8-5。 數字簽名必須保證以下3點：（1） 接收者能夠核實發送者對報文的簽名；（2）發送者事后不能抵賴對報文的簽名；（3）接收者不能偽造對報文的簽名。 8/28/202232這是一條需要簽字的的信息這是一條需要簽字的的信息￥這是一條需要簽字的的信息這是

15、一條需要的的信息A的私人密鑰A的簽名A的公開密鑰解密圖8-5 數字簽名8/28/2022338.2.3 防火墻技術 防火墻（Firewall）技術假設被保護網絡具有明確定義的邊界和服務 。防火墻是連接內部網絡和外部網絡的橋梁，內部網絡和外部網絡都可以訪問這臺主機，但內部網絡上的主機不可以直接和外部網絡通信。 8/28/2022348.2.3 防火墻技術1包過濾技術 即在網絡的適當位置對數據包實施有選擇的通過，可以防止黑客利用不安全的服務對內部網絡進行攻擊。2應用網關技術 是建立在網絡應用層上的協議過濾、轉發技術，針對特別的網絡應用協議指定數據過濾邏輯，并可以將數據包分析結果和采取措施進行登記和

16、統計，形成報告。3代理服務技術 代理服務是設置在Internet防火墻網關的專用應用級編碼。 8/28/2022358.2.3 防火墻技術4防火墻的缺陷 限制服務類型和靈活性 防火墻最明顯的缺點是可能封鎖用戶所需的某些服務，如，Telnet、等。 后門服務的可能性 防火墻不能防備從后門進入Intranet，如不加限制的調制解調器仍然許可對防火墻禁止網點的服務，那么攻擊者就可以跳過防火墻。 制約信息傳輸的速度。 防火墻也不能防備內部人員的攻擊。 8/28/2022368.3 Windows Server 2003服務器的安全設置 要保障計算機網絡的安全，首先要保障網絡服務器的安全運行。目前，Wi

17、ndows Server 2003是最流行的服務器操作系統之一，要使它能正常地運行還必須進行正確的安全配置。 8/28/2022378.3.1 定制Windows Server 20031版本的選擇 Windows Server 2003有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版。 2安裝組件的定制 Windows Server 2003系統在默認情況下會安裝一些常用的組件，但是用戶應該僅僅安裝確實需要的服務。根據安全原則：最少的服務最小的權限最大的安全。8/28/2022388.3.2 正確安裝Windows Server 20031分區和邏輯盤的分配 硬盤進行分區時最少需要

18、分為兩個以上的邏輯盤，分區格式全部采用NTFS格式：一個系統分區，一個應用程序分區。 2安裝順序的選擇8/28/202239 Windows Server 2003在安裝中有幾個順序一定注意： 何時接入網絡 系統補丁的更新 安裝MSSQL 分析計算機安全配置 備份系統8.3.2 正確安裝Windows Server 20038.3.2 正確安裝Windows Server 20038/28/2022408.3.3 配置Windows Server 2003賬戶1系統管理員賬戶2陷阱帳號3Guest賬戶4登錄次數鎖定（如圖8-6所示 ）5安全設置（如圖8-7所示 ）6創建User賬戶 8/28/

19、202241圖8-6 登錄次數鎖定8/28/202242圖8-7 安全設置8/28/2022438.3.4 網絡服務安全管理1禁止C$、D$、ADMIN$一類的缺省共享2解除NetBios與TCP/IP協議的綁定3關閉不需要的服務4啟用防火墻8/28/2022448.3.5 設置審核策略1本地安全策略設置（如下圖所示 ）8/28/2022458.3.6 其它安全相關設置 1隱藏重要文件/目錄2防止SYN洪水攻擊3. 禁止響應ICMP路由通告報文 4. 防止ICMP重定向報文的攻擊 5. 不支持IGMP協議 8/28/2022468.3.7 使用IPSec Internet 協議安全(Inter

20、net Protocol Security，簡稱IPSec)，是一種通過使用策略在 Internet 協議網絡上實現私密安全通訊的功能。使用 IPsec 可以限制對服務器的遠程訪問。8/28/2022471添加Web篩選器（如圖8-11所示 ）圖8-11 添加Web篩選器8/28/2022488.3.7 使用IPSec2添加所有入站篩選器3添加篩選器阻止4激活數據包篩選器5新IP安全策略操作6使用IPSec8/28/2022498.3.8 使用安全配置向導 安全配置向導 (Security Configuration Wizard，簡稱 SCW) 是Windows Server 2003的一個

21、組件，利用它能確定服務器的一個或多個角色所需的最少功能，并禁用不必要的功能，從而縮小服務器的受攻擊面，提高服務器的安全性。 8/28/2022508.4 網絡管理技術 隨著Inernet和Intranet應用的普及，網絡已經成為現代社會正常運轉的支柱之一。由于網絡是一個非常復雜的分布式系統，網絡的狀態總是在不斷地變化。如何保證網絡安全、可靠、高效地運行，已成為一個重要的課題，而采用什么樣的網絡管理技術才能對網絡進行有效的管理和日常維護則是解決這個問題的關鍵。8/28/2022518.4.1 網絡管理技術概念 網絡管理技術是計算機網絡的關鍵技術之一，尤其在大型計算機網絡中更是如此。網絡管理技術就

22、是指監督、組織和控制網絡通信服務以及信息處理所必需的各種計算機網絡控制技術。其目標是確保計算機網絡的持續正常運行，并在計算機網絡運行出現異常時能及時響應和排除故障。 8/28/2022528.4.1 網絡管理技術概念1系統的功能 即一個網絡管理系統應具有哪些功能。 2網絡資源的表示 網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。3網絡管理信息的表示 網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什么？這些都是一個網絡管理系統必須考慮的問題。 4系統的結構 即網絡管理系統的結構是怎樣的。8/28/2022538.4.2 網絡管理技術分類及功能 網

23、絡管理技術是伴隨著計算機、網絡和通信技術的發展而發展的，二者相輔相成。 國際標準化組織（ISO）定義網絡管理技術有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。8/28/2022548.4.2 網絡管理技術分類及功能1網絡故障管理 需要有一個故障管理系統，科學地管理網絡中發生的所有故障，并記錄每個故障的產生及相關信息，最后確定并改正那些故障，保證網絡能提供連續可靠的服務。 8/28/2022558.4.2 網絡管理技術分類及功能2網絡配置管理 網絡系統常常處于動態變化中，如網絡系統本身要隨著用戶的增減、設備的維修或更新來調整網絡的配置。因此需要有足夠的技術手段來支持這種調整或改變，使網絡能更有效地工作。 8/28/2022568.4.2 網絡管理技術分類及功能3網絡性能管理 由于網絡資源的有限性，在使用最少的網絡資源和具有最少通信費用的前提下，網絡能提供持續、可靠的通信能力，并使網絡資源的使用達到最優化的程度。 4網絡計費管理 當計算機網絡系統中的信息資源是有償使用的情況下，需要能夠記錄和統計哪些用戶利用哪條通信線路傳輸了多少信息，以及做的是什么工作等。 8/28/