网络工程师培训主题12网络安全 国家信息化工程师认证考试管理中心国家信息化工程师认证考试管理中心网络工程师培训主题12网络安全网络工程师培训主题12网络安全 信息安全的基本概念 保密性和完整性 非法入侵和病毒的防护网络工程师培训主题12网络安全信 息 安 全 机密性:确保信息不暴露给未授权的实体或进程完整性:只有得到允许的人才能够修改数据,并且能够判别出数据是否已被篡改可用性:得到授权的实体再需要时可访问数据,即攻击着不能占用所有的资源而阻碍授权者的工作可控性:可以控制授权范围内的信息流向以及行为方式可审查性:对出现的网络安全问题提供调查的依据和手段网络工程师培训主题12网络安全现在全球普遍存在信息安全意识欠缺的状况,着导致大多数的信息系统和网络存在着先天性的安全漏洞和安全威胁国际上也存在着信息安全管理不规范和标准不统一的问题在信息安全的发展过程中,企业和政府的要求有一致性的地方,也有不一致的地方信息和网络安全的技术仍然在发展过程中,“绝对的安全是不可能的”和“木桶原理”也让一些使用者踌躇不前,市场上“叫好不叫卖”的现象仍然存在同样在国内,信息安全产品的“假、大、空”现象在一定程度的存在,防火墙变成了“铜墙铁壁”,产生这种情况的原因在于包括监督不力和信息安知识的普及程度不够。
网络工程师培训主题12网络安全 非授权访问非授权访问 信息泄漏或丢失信息泄漏或丢失 破坏数据完整性破坏数据完整性 拒绝服务攻击拒绝服务攻击 利用网络传播病毒利用网络传播病毒网络工程师培训主题12网络安全 私钥和公钥加密标准(DES、IDEA、RSA)认证(数字签名、身份认证)完整性(SHA、MDs)访问控制(存取权限、口令)网络工程师培训主题12网络安全按按应用技术或历史上发展阶段应用技术或历史上发展阶段划分划分手工密码手工密码机械密码机械密码电子机内乱密码电子机内乱密码计算机密码计算机密码按按保密程度保密程度划分划分理论上保密的密码理论上保密的密码实际上保密的密码实际上保密的密码不保密的密码不保密的密码按按密钥方式密钥方式划分划分对称式密码对称式密码非对称式密码非对称式密码模拟型密码模拟型密码数字型密码数字型密码网络工程师培训主题12网络安全私钥加密标准是一种对称加密算法,用户使用同一个密钥加密和解密,包括DES、3DES和IDEA等公钥加密标准是一种非对称加密算法,加密和解密使用不同的密钥,RSA是其中的代表,已经成为公钥加密标准的代名词DES(数据加密标准),输入、输出均为64位,密钥为56位(虽然总共是64位,但是其中8位是奇偶校验位,实际上密钥只有56位是有效的)。
3DES是对DES算法的三次运行,将替代DES3DES需要高级别安全性时使用3DES 将每个数据块处理三次采用112b的密钥使用密钥 1 加密数据块,使用密钥 2 解密数据块,使用密钥1 加密数据块 网络工程师培训主题12网络安全IDEA(国际数据加密算法),明文块和密文块都是64位,但密钥长128位,是目前数据加密中应用得较为广泛的一种密码体制RSA(根据三位创立者的名字命名),发送者用接受者公钥对消息加密,接受者用自己的密钥解密网络工程师培训主题12网络安全DES算法具有较高的安全性,到目前为止,除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法而56位长的密钥的穷举空间为256,这意味着如果一台计算机的速度是每一秒一百万个密钥,则它搜索完全部密钥就需要将近2285年的时间,可见,这是难以实现的,当然,随着科学技术的发展,当出现超高速计算机后,可考虑把DES密钥的长度再增长一些,以此来达到更高的保密程度由上述DES算法介绍可以看到:DES算法中只用到64位密钥中的其中56位,而第8、16、2464位以外的其余56位的组合变化256才得以使用其他的56位作为有效数据位,才能保证DES算法安全可靠地发挥作用。
如果不了解这一点,把密钥K的8、16、2464位作为有效数据使用,将不能保证DES加密数据的安全性,对运用DES来达到保密作用的系统产生数据被破译的危险,这正是DES算法在应用上的误区,留下了被人攻击、被人破译的极大隐患网络工程师培训主题12网络安全在信息技术中,所谓“认证”,是指通过一定的验证技术,确认系统使用者身份,以及系统硬件(如电脑)的数字化代号真实性的整个过程其中对系统使用者的验证技术过程称为“身份认证”身份认证一般会涉及到两方面的内容,一个是识别,一个是验证所谓识别,就是要明确访问者是谁?即必须对系统中的每个合法(注册)的用户具有识别能力要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的识别符所谓验证是指访问者声称自己的身份后(比如,向系统输入特定的标识符),系统还必须对它声称的身份进行验证,以防止冒名顶替者识别符可以是非秘密的,而验证信息必须是秘密的身份认证的本质是被认证方有一些信息(无论是一些秘密的信息还是一些个人持有的特殊硬件或个人特有的生物学信息),除被认证方自己外,任何第三方(在有些需要认证权威的方案中,认证权威除外)不能伪造,被认证方能够使认证方相信他确实拥有那些秘密(无论是将那些信息出示给认证方或者采用零知识证明的方法),则他的身份就得到了认证。
网络工程师培训主题12网络安全 单因素静态口令认证 双因素认证 挑战/应答机制认证 时间同步机制身份认证分 类网络工程师培训主题12网络安全 What you know?Whats you have?Who are you?Where are you?网络工程师培训主题12网络安全报文摘要报文摘要MD4:创建 128 位散列值并由 RSA Data Security,Inc 开发的散列算法报文摘要报文摘要MD5:消息摘要 5(MD5)基于 RFC 1321,它是针对 MD4 中发现的薄弱环节而开发的MD5 通过数据块(MD4 完成三项传递)完成四项传递,对每一项传递的消息中的每个字采用一种不同的数字常量MD5 计算中使用的 32 位常量的个数等于 64,最终会产生一个用于完整性校验的 128 位的哈希但是 MD5 比较消耗资源,它可比 MD4 提供更强的完整性安全散列算法安全散列算法SHA:以任意长度报文作为输入,按512b的分组进行处理产生160b的报文摘要输出网络工程师培训主题12网络安全数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。
数字证书采用公钥体制,利用一对互相匹配的密钥进行加密解密在公钥密码体制中,常用的一种是RSA体制证书格式遵循ITU X.509国际标准证书由某个可信的证书发放机构CA建立网络工程师培训主题12网络安全访问控制管理指的是安全性处理过程,即妨碍或促进用户或系统间的通信,支持各种网络资源如计算机、Web服务器、路由器或任何其它系统或设备间的相互作用认证过程主要包含两个步骤:认证:登录过程;自主访问控制(Discretionary Access Control):校验用户决定他们是否有权访问具有更高安全控制权限的敏感区域和文件的认证级别网络工程师培训主题12网络安全 防火墙 入侵检测 安全协议(IPSec、SSL、ETS、PGP、S-HTTP、TLS、Kerberos)可信任系统 硬件安全性 计算机病毒保护 文件的备份和恢复 个人信息控制 匿名 不可跟踪性 网络设备可靠性 应付自然灾害 环境安全性 UPS网络工程师培训主题12网络安全简介:简介:防火墙作为一种放置于Internet和企业内部网Intranet之间,进行数据包的访问控制的工具,是我们进行网络安全化建设中必须考虑的要素如果把Internet比喻成为现实生活中的大街,Intranet比喻成一所房子,数据比喻成为来往于大街和房子之间形形色色的人们,那么防火墙则为守护这所房子忠实的保安。
他会从进出房子的人们中识别出哪些是房子的主人(正常进出网络的数据);哪些是企图进入房子的不法分子(恶意的数据包),允许房子的主人进入房子,拒绝不法分子进入房子,从而保证了房子中的物品安全网络工程师培训主题12网络安全防火墙的定义:防火墙的定义:防火墙是一种高级访问控制设备,它是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为防火墙可以是硬件系统、路由器,也可以是个人主机、主系统和一批主系统,用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝,实施访问控制功能防火墙必须部署到不同安全域之间的唯一通道如果不同安全域之间(例如财务子网和工程子网)有多条通道,而只是再其中一条通道之间部署防火墙,那么此时的防火墙就没有任何意义安全规则,防火墙上的安全策略定义哪些数据包可以通过防火墙,哪些数据包不可以通过防火墙,安全策略是防火墙能够实施访问控制的关键因素如果仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设网络工程师培训主题12网络安全 第一阶段:基于路由器的防火墙 第二阶段:用户化的防火墙工具集 第三阶段:建立在通用操作系统上的防火墙 第四阶段:具有安全操作系统的防火墙防火墙的发展防火墙的发展网络工程师培训主题12网络安全 防火墙的位置 包过滤技术 状态检测技术 应用代理技术防火墙技术防火墙技术FirewallMail ServerWebServerInternet网络工程师培训主题12网络安全 数据包状态检测过滤 防御功能 应用代理 URL过滤 IP地址和MAC地址绑定 NAT地址转换 反向地址映射 日志审核 DoS/Ddos攻击 防止入侵者扫描 防止源路由攻击 防止IP碎片攻击 防止ICMP/IMP攻击 抗IP假冒攻击防火墙的功能防火墙的功能网络工程师培训主题12网络安全 吞吐量 延迟 并发连接数 平均无故障时间防火墙的性能指标防火墙的性能指标网络工程师培训主题12网络安全“访问控制”的应用 防火墙在VLAN网络中的应用“内网安全分段”的应用“动态IP分配”的应用“多出口”的应用“端口映射”的应用应用案例应用案例网络工程师培训主题12网络安全 无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他行为 无法防护端口反弹木马的攻击 无法防护病毒的侵袭 无法防护非法通道出现不足之处不足之处网络工程师培训主题12网络安全企业部署防火墙的企业部署防火墙的误区误区:1.最全的就是最好的,最贵的就是最好的。
2.软件防火墙部署后不对操作系统加固3.一次配置,永远运行4.测试不够完全5.审计是可有可无的网络工程师培训主题12网络安全入侵检测系统IDS(Intrusion Detection System)处于防火墙之后对网络活动进行实时检测许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续它们可以和防火墙和路由器配合工作例如:IDS可以重新配置来禁止从防火墙外部进入的恶意流量安全管理员应当理解入侵检测系统是独立域防火墙工作的网络工程师培训主题12网络安全IDS的起源的起源1.安全审计2.IDS的诞生IDS包括包括1.IDS信息的收集和预处理2.入侵分析引擎3.响应和恢复系统入侵检测的功能入侵检测的功能1.网络流量管理2.系统扫描,Jails和IDS3.追踪4.入侵检测系统的必要性网络工程师培训主题12网络安全网络级IDS主机级IDS另一种分类方法管理者特殊的考虑管理者和代理的比例代理理想的代理布局管理和代理的通信混合入侵检测误用检测型异常检测入侵检测系统的类型入侵检测系统的类型网络工程师培训主题12网络安全IDS存在的问题:存在的问题:1.如何提高入侵检测系统的检测速度,以适应网络通信的要求。
2.如何减少入侵检测系统的漏报和误报3.提高入侵检测系统的互动性能IDS躲避技术:躲避技术:1.字符串匹配的弱点2.会话拼接3.碎片攻击4.拒绝服务入侵检测技术发展方向:入侵检测技术发展方向:1.分布式入侵检测2.智能化入侵检测3.全面的安全防御方案4.入侵检测应该与操作系统绑定网络工程师培训主题12网络安全 密码身份验证协议(PAP)Shiva 密码身份验证协议(SPAP)质询握手身份验证协议(CHAP)Microsoft 质询握手身份验证协议(MS-CHAP)Microsoft 质询握手身份验证协议版本 2(MS-CHAP v2)Microsoft 点对点加密(MPPE)可扩展身份验证协议(EAP)Kerberos SSL和IPSec SHTTP和SET网络工程师培训主题12网络安全密码身份验证协议(Password Authentication Protocol,PAP)是一种简单的身份验证协议,在该协议中,用户名和密码以明文(不加密的)形式发送到远程访问服务器强烈建议您不要使用 PAP,因为在身份验证过程中,您的密码可以被很容易地从点对点协议(PPP)数据包中读取PAP 一般只用于连接到不支持任何其他身份验证协议的较早的基于 UNIX 的远程访问服务器。
注意:如果将 PAP 用于对连接进行身份验证,那么将无法使用 Microsoft 点对点加密(MPPE)如果将连接配置为需要安全密码,并且连接到只配置了 PAP 的服务器,那么 Windows XP 远程访问客户端将终止连接网络工程师培训主题12网络安全Shiva 密码身份验证协议(SPAP)是 Shiva 使用的一种可逆加密机制运行 Windows 2000 Professional 的计算机在连接到 Shiva LAN Rover 时会使用 SPAP,就象 Shiva 客户机连接到运行 Windows 2000 的远程访问服务器一样这种身份验证方式比明文身份验证更安全,但没有 CHAP 或 MS-CHAP 安全在启用 SPAP 作为身份验证协议时,同一用户密码总是以相同的可逆加密形式发送这使得 SPAP 身份验证容易受到重现攻击,该攻击中有恶意的用户通过捕获身份验证过程数据包并重现响应,来获得对 Intranet 的身份验证访问不鼓励使用 SPAP,特别是对虚拟专用网络连接网络工程师培训主题12网络安全“质询握手身份验证协议”(Challenge Handshake Authentication Protocol,CHAP)是一种被广泛支持的身份验证方法,在该方法的验证过程中,将发送用户密码的消息(而非密码本身)。
通过 CHAP,远程访问服务器将质询字符串发送给远程访问客户端远程访问客户端使用质询字符串和用户密码,计算出“消息摘要 5”(MD5)散列散列函数和算法是单向加密方法因为对于数据块,计算散列的结果是很简单的;但是对于散列结果,要确定它的原始数据块是不可行的(从数学角度讲)将 MD5 散列发送到远程访问服务器远程访问服务器(可以访问用户密码)执行相同的散列计算,并将计算的结果与客户端发回的散列相比较如果两者匹配,则认为远程访问客户端的身份凭据可信注意:如果曾使用 CHAP 执行连接时的身份验证,那么不能使用“Microsoft 点对点加密”(MPPE)如果正在使用 CHAP 并连接到运行 Windows 2000 以及“路由和远程访问服务”的远程访问服务器,那么连接客户端的用户帐户必须被配置为允许以可逆加密格式存储密码网络工程师培训主题12网络安全Microsoft 创建的 MS-CHAP 是为了对远程 Windows 工作站进行身份验证,在集成用于 Windows 网络的散列算法的同时提供 LAN 用户所熟悉的功能与 CHAP 类似,MS-CHAP 使用质询响应机制来防止在身份验证过程中发送密码。
MS-CHAP 使用消息摘要 4(MD4)散列算法和数据加密标准(DES)加密算法生成质询和响应,并提供用于报告连接错误和更改用户密码的机制在设计响应数据包的格式时,尤其考虑了与 Windows 95、Windows 98、Windows Millennium Edition、Windows NT、Windows 2000 和 Windows XP 中的网络产品的协作网络工程师培训主题12网络安全Windows XP 支持 Microsoft 质询握手身份验证协议版本 2(MS-CHAP v2)MS-CHAP v2 可以提供双重身份验证、为“Microsoft 点对点加密(MPPE)”生成更强的初始数据加密密钥,以及在发送和接收数据时使用不同的加密密钥为降低更改密码时密码泄漏的风险,较旧的 MS-CHAP 密码更改方法不再受支持因为 MS-CHAP v2 比 MS-CHAP 更加安全,所以对于所有连接,它将在 MS-CHAP(如果已启用)之前提供运行 Windows XP、Windows 2000、Windows 98、Windows Millennium Edition 和 Windows NT 4.0 的计算机支持 MS-CHAP v2。
对于运行 Windows 95 的计算机,MS-CHAP v2 仅支持 VPN 连接,不支持拨号连接MS-CHAP v2 是一种双重身份验证协议,即客户端和服务器都需证明它们知道用户的密码首先,远程访问服务器通过向远程客户端发送质询的方式寻求证据然后,远程访问客户端通过向远程服务器发送质询的方式寻求证据如果服务器无法通过正确回答客户端的质询证实它知道用户的密码,则客户端会中断连接如果没有双重身份验证,那么远程访问客户端将无法检测出是否连接到了假扮的远程访问服务器网络工程师培训主题12网络安全Microsoft 点对点加密(MPPE)加密基于 PPP 拨号连接或 PPTP VPN 连接中的数据可支持增强(128 位密钥)和标准的(40 位密钥)MPPE 加密方案MPPE 为您的 PPTP 连接和隧道服务器之间的数据提供安全保障MPPE 需要由 MS-CHAP 或 EAP 身份验证生成的公用的客户端和服务器密钥网络工程师培训主题12网络安全可扩展身份验证协议(EAP)是点对点协议(PPP)的扩展,该协议允许那些使用任意长度的凭据和信息交换的任意身份验证方法EAP 的开发是为了适应对身份验证方法日益增长的需求,这些身份验证方法使用其他安全设备并提供支持 PPP 内其他身份验证方法的工业标准结构。
通过使用 EAP,可以支持被称为 EAP 类型的许多特殊身份验证方案,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他方案EAP(与强大的 EAP 类型一起)构成安全的虚拟专用网络(VPN)连接的重要技术组成部分强大的 EAP 类型(例如那些基于证书的类型)在对抗野蛮攻击、词典攻击和密码猜测方面比基于密码的身份验证协议(如 CHAP 或 MS-CHAP)更加安全Windows XP 包括对两种 EAP 类型的支持:EAP-MD5 CHAP(等同于 CHAP 身份验证协议)和EAP-TLS,用于基于用户证书的身份验证EAP-TLS 是一种双重身份验证方法,这意味着客户端和服务器都向对方证明自己的身份在 EAP-TLS 交换过程中,远程访问客户端发送其用户证书,而远程访问服务器发送其计算机证书如果其中一个证书未发送或无效,则连接将终止在 EAP-TLS 身份验证过程中,将为 Microsoft 点对点加密(MPPE)生成共享的机密加密密钥网络工程师培训主题12网络安全用于确认用户或主机身份的身份验证机制Kerberos V5 身份验证协议是用于 Windows 2000 的默认身份验证服务。
Internet 协议安全(IPSec)和 QoS 许可控制服务使用该 Kerberos 协议进行身份验证网络工程师培训主题12网络安全SSL是一个协议独立的加密方案,在应用层和传输层之间提供了安全的通道,又叫“安全套接层(Secure Sockets Layer)”SSL的整个概念可以被总结为:一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有TC/IP应用程序SSL安全协议主要提供三方面的服务:安全套接层协议是一个保证计算机通信安全的协议,对通信对话过程进行安全保护,其实现过程主要经过如下几个阶段:(1)接通阶段:客户机通过网络向服务器打招呼,服务器回应;(2)密码交换阶段:客户机与服务器之间交换双方认可的密码,一般选用 RSA密码算法,也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法;(3)会谈密码阶段:客户机器与服务器间产生彼此交谈的会谈密码;(4)检验阶段:客户机检验服务器取得的密码;(5)客户认证阶段:服务器验证客户机的可信度;(6)结束阶段:客户机与服务器之间相互交换结束的信息1.用户和服务器的合法性认证2.加密数据以隐藏被传送的数据3.保护数据的完整性网络工程师培训主题12网络安全IPSec是指以RFC形式公布的一组安全IP协议,支持加密和认证服务。
目前已经成为最流行的VPN解决方案IPSec包括AH和ESPAH验证头,提供数据源身份认证、数据完整性保护、重放攻击保护功能;ESP安全负载封装,提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能SA 安全连接网络工程师培训主题12网络安全PGP(Pretty Good Privacy)使用一个被成为IDEA(International Data Encryption Algorithm)的块密码算法来加密数据该算法使用128位密钥,它是在瑞士被设计出来的,当时DES已经被认为不够安全了,而AES尚未发明从概念上讲,IDEA非常类似于DES和AES:它也运行许多轮,在每一轮中将数据位尽可能地混合起来,但是,它的混合函数与DES和AES中的不同PGP的密钥管理使用RSA,数据完整性使用MD5PGP支持4种RSA密钥长度它可以由用户来选择一种最为合适的长度:1.临时的(384位):今天很容易被破解2.商用的(512位):可以被三字母组织破解3.军用的(1024位):地球上的人任何人都无法破解4.星际的(2048位):其他行星上的任何人也无法破解网络工程师培训主题12网络安全SHTTP是HTTP协议的扩展,目的是保证商业贸易的传输安全。
SHTTP是应用层协议,只限于WEB使用,默认使用TCP 443端口SET(安全电子交易)是一个安全协议和格式的集合,是用户可以以一种安全的方式,在开放网络上进行交易SET在交易各方之间提供安全的通信信道,通过使用x.509数字证书来提供信任SET的关键特征信息的机密性数据的完整性信用卡用户帐号的鉴别商家的鉴别网络工程师培训主题12网络安全为了加强计算机系统的信息安全,1985年美国国防部发表了可信计算机系统评估准则(缩写为TCSEC),它依据处理的信息等级采取的相应对策,划分了4类7个安全等级依照各类、级的安全要求从低到高,依次是D、C1、C2、B1、B2、B3和A1级即:D 级:无任何安全保护C1级:自主安全保护(无条件安全保护)C2级:自主访问保护B1级:有标号的安全保护B2级:结构化保护B3级:强制安全区域保护A1级:验证设计安全保护1999.9.13我国颁布了计算机信息系统安全保护等级划分准则(GB17859_1999),定义了计算机信息系统安全保护能力的五个等级:第一级到第五级实际上,国标中将国外的最低级D级和最高级A1级取消,余下的分为五级TCSEC中的B1级与GB17859的第三级对应。
网络工程师培训主题12网络安全GB 17859-1999 第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级网络工程师培训主题12网络安全病毒定义:病毒定义:计算机病毒是一个程序,一段可执行行码就像生物病毒一样,计算机病毒有独特的复制能力计算机病毒可以很快地蔓延,又常常难以根除它们能把自身附着在各种类型的文件上当文件被复制或从一个用户传送到另一个用户是,它们就随同文件一起蔓延开来网络工程师培训主题12网络安全病毒产生的背景:病毒产生的背景:计算机病毒是计算机犯罪的一种新的衍化形式 计算机软硬件产品的脆弱性是根本的技术原因 微机的普及应用是计算机病毒产生的必要环境网络工程师培训主题12网络安全 感染机制 触发机制 有效载荷计算机病毒的结构计算机病毒的结构网络工程师培训主题12网络安全计算机病毒的四大机制:计算机病毒的四大机制:计算机病毒的寄生对象计算机病毒的寄生方式计算机病毒的引导过程 驻留内存 窃取系统控制权 恢复系统功能计算机病毒的计算机病毒的引导机制引导机制网络工程师培训主题12网络安全计算机病毒的四大机制:计算机病毒的四大机制:计算机病毒的传染方式计算机病毒的传染过程系统型病毒的传染机理文件型病毒的传染机理文件型病毒通过与磁盘文件有关的操作进行传染计算机病毒的计算机病毒的传染机制传染机制网络工程师培训主题12网络安全计算机病毒的四大机制:计算机病毒的四大机制:计算机病毒的计算机病毒的破坏机制破坏机制:破坏机制在设计原则、工作原理上与传染机制基本相同。
它也是通过修改某一中断向量入口地址(一般为时钟中断INT 8H,或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程序的破坏模块网络工程师培训主题12网络安全计算机病毒的四大机制:计算机病毒的四大机制:日期触发时间触发键盘触发感染触发启动触发访问磁盘次数触发调用中断功能触发CPU型号/主板型号触发计算机病毒的计算机病毒的触发机制触发机制:触触 发发 条条 件件网络工程师培训主题12网络安全平时运行正常的计算机突然经常性无缘无故地死机操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word,打开Word文档后,该文件另存时只能以模板方式保存磁盘空间迅速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来电子邮件自动链接到一些陌生的网站计算机病毒计算机病毒发作前发作前的表现现象的表现现象网络工程师培训主题12网络安全提示一些不相干的话发出一段音乐产生特定的图像硬盘灯不断闪烁进行游戏算法Windows桌面图标发生变化计算机突然死机或重启系统文件的时间、日期、大小发生变化自动发送电子邮件鼠标自己在动计算机病毒计算机病毒发作时发作时的表现现象的表现现象网络工程师培训主题12网络安全硬盘无法启动,数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或者被破坏部分文档自动加密码修改Autoexec.bat文件,增加Format C:一项使部分软件升级主板的BIOS程序混乱,主板被破坏网络瘫痪,无法提供正常的服务计算机病毒计算机病毒发作后发作后的表现现象的表现现象网络工程师培训主题12网络安全比较法加总对比法搜索法分析法人工智能陷阱技术和宏病毒陷阱技术软件仿真扫描法先知扫描法计算机病毒的检测方法:计算机病毒的检测方法:网络工程师培训主题12网络安全物理安全物理安全:防止意外事件或人为破坏具体的物理设备,如服务器、交换机、路由器、机柜、线路等。
机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房,尤其是网络中心机房,防止人为蓄意破坏 设置安全设置安全:在设备上进行必要的设置(如服务器、交换机的密码等),防止黑客取得硬件设备的远程控制权对于路由器等接入设备,由于经常暴露在黑客攻击的视野之中,因此需要采取更为严格的安全管理措施,比如口令加密、加载严格的访问列表等 网络工程师培训主题12网络安全选择选择备份策略备份策略:完全备份(必须),增量备份节约,磁盘镜像利于快速恢复,网络备份(经济、方便、快速、集约)选择选择备份介质备份介质:磁带适合完全备份、整个系统恢复,dumprestore CD、DVD适合增量、单个文件恢复,保存时间长,适合经常改变的数据,包括cdrecord,dvdrecord,devdump,isodump,isoinfo,isovfy,readcd命令,创建文件系统映射文件:mkisofs-R-o/var/tmp/dai.iso/home/daiR保存文件的所有权和访问权,r 不保存文件权限,适合创建发布光盘 查看SCSI总线号、设备ID号、光驱的逻辑单元号LUN:cdrecord-scanbus 刻盘:cdrecord-v speed=40 dev=0,0,0-data/var/tmp/dai.iso或dvdrecord-v speed=40 dev=0,0,0-data/var/tmp/dai.iso 硬盘(快速、频繁的备份),一种是RAID1;另一种是mirrordir命令mirrordir/home/mirror/home第一次时完全备份目录,第二次运行此命令为更新,mirrordir/mirror/home/home为恢复。
网络工程师培训主题12网络安全控制控制您的个人信息:您的个人信息:拥有个人隐私的权利是我们生活方式的基础之一在 Internet 时代的初期,控制您的个人信息比以往更重要也更复杂我们利用 Internet 进行商务、娱乐、金融、教育、卫生保健以及其他活动越多,他人跟踪和存储有关我们日常生活的信息的可能性也就越大保持联机安全最需要的是要像对待钱财那样照管个人信息在某种意义上,它就是钱财Internet 的货币未必只与钱有关它还与您的信息有关网络工程师培训主题12网络安全保密保密个人信息个人信息:确保密码保密和安全您进入 Internet 的密码是进入您的整个联机生活的钥匙,请不要把它透露给其他人员请您经常问问自己:“为什么这个 Web 站点需要我的信息呢?”请记住:当您在 Internet 上输入自己的信息时,那些您不认识的人可能会存储这些信息并将这些信息与从其他来源获得的有关您的信息联系起来使用输入自己的信息之前,请您阅读每个 Web 站点上的“隐私策略”如果它们没有隐私策略或者想以您不喜欢的方式使用您的信息,那么请您转到其他的站点进行交易网络工程师培训主题12网络安全保密保密个人信息个人信息:请格外小心不要泄露某些类型的个人信息。
您母亲的名字、银行帐号和驾驶执照号码都是您应很少(如果发生过的话)联机泄露的信息类型保密级别较低、但仍需注意的信息有电子邮件地址、年龄、性别、家庭号码和家庭地址如果在 Web 站点上输入个人信息,请确保该站点使用加密技术通过 Internet 发送这些信息有两种方法可以确保 Web 站点对您的数据进行加密:在计算机屏幕的边缘寻找一个关闭的锁状小图标查看 Web 地址(URL)安全的 Web 站点使用 https 协议而不是 http末尾的“s”代表“secure”(安全)网络工程师培训主题12网络安全 保密保密个人信息个人信息:请记住:电子邮件是不安全的电子邮件可以被截取、被您的老板阅读(在发送到您的公司地址的情况下)、转发给其他人,甚至发布到 Web 站点上不在电子邮件中放入您不希望发布到社区中心公告牌上的任何内容是个好主意当您参与新闻组或聊天时,请小心当您与联机朋友交谈时可能会产生麻痹而有一种安全感但一定要记住两件事情:人们并不总是他们所声称的那种人,而且联机“对话”被视为公开的,有时会被存档并打印出来供他人阅读和搜索如果您的孩子也使用 Internet,那么请您与他们一起回顾这些应对措施。
确保他们了解在其联机共享任何个人信息之前获得您的许可的重要性请注意:Microsoft 对第三方 Web 站点、产品或服务的引用并不表示对其认可提供指向第三方站点的链接仅是为了便于您获取信息网络工程师培训主题12网络安全可靠性是进行通信网络规划设计与性能评价的重要指标通信网络的可靠性一般包括网络的生存性、抗毁性及有效性等多个方面,涉及到网络通信设备、拓扑结构、通信协议等多方面因素计算机网络和通信网络密不可分,它们已经完全融合网络工程师培训主题12网络安全计算机网络可靠性的计算机网络可靠性的要素要素:计算机网络可靠性是计算机网络系统的固有特征之一,它表明一个计算机网络系统按照用户的要求和设计的目标,执行其功能的正确程度计算机网络可靠性与网络软件可靠性、硬件可靠性及所处环境有关计算机网络可靠性应包含以下3个要素1)无故障运行时间计算机网络可靠性只是体现在其运行阶段,用“无故障运行时间”来度量由于网络运行环境、网络程序路径选取及所受进攻的随机性,软件的失效为随机事件,因此无故障运行时间属于随机变量2)环境条件环境条件指计算机网络的运行环境它涉及网络系统运行时所需的各种支持要素,如硬件、协议软件、操作系统、可能受到攻击的手段、所采取的防护措施以及操作规程等。
不同的环境条件下信息网络的可靠性是不同的3)规定的功能计算机网络可靠性还与规定的任务和功能有关由于要完成的任务不同,信息网络的运行剖面会有所区别,则调用的网络子模块就不同,其可靠性也就可能不同,因此要准确度量计算机网络的可靠性,首先必须明确它的任务和功能网络工程师培训主题12网络安全计算机网络可靠性分析:计算机网络可靠性分析:交换机交换机的可靠性的可靠性 交换机应具有较强的微分段能力 交换机应具有很强的容错特性 交换机还应提供先进的网络诊断工具 交换机应具有支持构建虚拟网的能力 路由器路由器的可靠性的可靠性 路由器是网络层的互连设备,应用它不仅可实现不同类型局域网的互连,而且还可以实现局域网与广域网以及广域网之间的互连因此,在考虑路由器的可靠性时,首先要考虑的问题就是如何选择协议设计路由器可靠性的首要目标就是去除一些不支持的协议,建立一致的局域网和广域网协议在路由器硬件本身的选择上也要考虑其一致性提高路由器可靠性的最保险的方法是采用冗余路由技术,即通过布线系统、集线器和交换机,使每个网段都连接到两个路由器上,这两个路由器保持相同的配置;连接在相同网络上的端口分配相同的IP地址这样,当主路由器正常工作时,由于次路由器具有相同的路由表和IP地址,因此不会影响网络正常运行;若主路由器出现故障,次路由器立即能自动代替其工作。
网络工程师培训主题12网络安全链路的可靠性分析链路的可靠性分析:提高链路的可靠性往往通过链路的冗余设计来实现,即采用一条主链路和一条备链路这种冗余设计构思简单而且便宜链路的冗余可以通过多种技术实现,目前最流行的是链路聚合技术和生成树技术链路冗余还有一个好处是可以做到均衡负载这种方法可以充分利用两条链路,当网络正常时,所有的数据流随机地分配到任何一线路上(根据线路的综合情况,如带宽等),简单地说,就是将两条线路看成一条带宽较宽的线路,当其中一条线路或设备出现故障时,所有的数据流自动选择另一条线路网络工程师培训主题12网络安全协议的可靠性分析协议的可靠性分析:协议的可靠性技术就是采用相关的软、硬件切换技术(如STP和VRRP)来保证核心应用系统的快速切换,防止局部故障导致整个网络系统的瘫痪,避免网络出现单点失效,从而保证用户端在网络失效时能快速透明地切换生成树协议生成树协议:最早的生成树协议(STP)IEEE802.1d规定可在50s内恢复连接但是随着视频和语音的应用要求,网络必须具有更快的自恢复能力,因而IEEE随后又开发了802.1w定义的快速生成树协议(RSTP)以及802.1s定义的多路生成树协议(MST)。
生成树协议通过网格化物理拓扑结构而构建一个无环路逻辑转发拓扑结构,提供了冗余连接,消除了数据流量环路的威胁可靠的网络必须具备有3个典型特点有效地传输流量提供冗余故障快速恢复能力网络工程师培训主题12网络安全协议的可靠性分析协议的可靠性分析:虚拟路由冗余协议虚拟路由冗余协议:虚拟路由冗余协议(VRRP)是对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量简单来说,VRRP是一种容错协议,它保证若主机的下一跳路由器故障时能及时由另一台路由器来代替,从而保持通信的连续性和可靠性为了使VRRP工作,需要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器虚拟路由冗余协议工作原理如图所示网络工程师培训主题12网络安全虚拟路由冗余协议工作原理:虚拟路由冗余协议工作原理:网络工程师培训主题12网络安全UPS的汉语意思为“不间断电源”,是英语“Uninterruptable Power Supply”的缩写,它可以保障计算机系统在停电之后继续工作一段时间以使用户能够紧急存盘,避免数据丢失。
UPS按其工作方式分类离线式(Off Line)式(On Line)互动式(Line-Interactive)网络工程师培训主题12网络安全离线离线式式UPS:优点优点:运行效率高、噪音低、价格相对便宜,主要适用于市电波动不大,对供电质量要求不高的场合,比较适合家庭使用缺点缺点:存在一个切换时间问题,因此不适合用在关键性的供电不能中断的场所不过实际上这个切换时间很短,一般介于2至10毫秒,而计算机本身的交换式电源供应器在断电时应可维持10毫秒左右,所以个人计算机系统一般不会因为这个切换时间而出现问题网络工程师培训主题12网络安全式式UPS:优点优点:供电持续长,一般为几个小时,也有大到十几个小时的,它的主要功能是可以让您在停电的情况可像平常一样工作,显然,由于其功能的特殊,价格也明显要贵一大截这种式UPS比较适用于计算机、交通、银行、证券、通信、医疗、工业控制等行业,因为这些领域的电脑一般不允许出现停电现象网络工程师培训主题12网络安全互动式:互动式:优点优点:保护功能较强,逆变器输出电压波形较好,一般为正弦波,具有较强的软件功能,可以方便地上网,进行UPS的远程控制和智能化管理可自动侦测外部输入电压是否处于正常范围之内,与计算机之间可以通过数据接口(如RS-232串口)进行数据通讯,通过监控软件,用户可直接从电脑屏幕上监控电源及UPS状况,简化、方便管理工作,并可提高计算机系统的可靠性。
效率高、供电质量高缺点缺点:稳频特性能不是十分理想,不适合做常延时的UPS电源网络工程师培训主题12网络安全UPS的发展方向:的发展方向:1.智能化、网络化智能化、网络化全数字控制方式,通过UPS内部的CPU对机器参数进行编程控制;一台UPS可以同时连接多台电脑系统;可利用通讯接口与计算机通讯,并配合智能化监控软件及网络协议使用户方便、高效的在本地甚至远程分析及管理整个计算机及UPS系统2.高可靠性与安全性高可靠性与安全性 自动侦测:开机时UPS即开始进行元件(逆变器、电池等)负载的检查,便于及时发现问题,避免产生任何疏失;自我保护:通过自我保护设计,不论是UPS超载、短路、电池电压太低或UPS温度太高,UPS皆会自动关机;直流开机:充分发挥UPS的紧急备用功能;极强的过载能力:即使在大过载情况下仍能工作较长时间;双机热备份功能:为局域网络提供双重的电源保护,即使一台UPS发生故障,也不会导致网络中断网络工程师培训主题12网络安全虚拟专用网络可以实现不同网络的组件和资源之间的相互连接虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
网络工程师培训主题12网络安全Central SiteSite-to-SiteRemote OfficeExtranetBusiness PartnerDSLCableMobile UserHome TelecommuterInternetVPNPOP虚拟专用网指的是依靠虚拟专用网指的是依靠ISP(Internet服务提供商)和服务提供商)和其其NSP(网络服务提供商),在公用网络中建立专用(网络服务提供商),在公用网络中建立专用的数据通信网络的技术的数据通信网络的技术网络工程师培训主题12网络安全通过通过Internet实现远程用户访问:实现远程用户访问:虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源网络工程师培训主题12网络安全通过通过Internet实现网络互连:实现网络互连:方式使用专线连接分支机构和企业局域网使用拨号线路连接分支机构和企业局域网网络工程师培训主题12网络安全连接企业内部网络计算机:连接企业内部网络计算机:在企业的内部网络中,考虑到一些部门可能存储有重要数据,为确保数据的安全性,传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络这样做虽然保护了部门的重要信息,但是由于物理上的中断,使其他部门的用户无法,造成通讯上的困难。
网络工程师培训主题12网络安全用户验证:用户验证:VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息地址管理:地址管理:VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性数据加密:数据加密:对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息密钥管理:密钥管理:VPN方案必须能够生成并更新客户端和服务器的加密密钥多协议支持:多协议支持:VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的Internet互联网络的优势其它方案,包括安全IP协议(IPSec),虽然不能满足上述全部要求,但是仍然适用于在特定的环境网络工程师培训主题12网络安全Internet10.1.1.010.2.1.010.1.10.0RegisteredAddressRegisteredAddress利用隧道在新的包里隐藏了原始包为了路由通过隧道,利用隧道在新的包里隐藏了原始包。
为了路由通过隧道,隧道端点的地址在外部的新包头里提供,这个包头称为隧道端点的地址在外部的新包头里提供,这个包头称为封装头而最后的目的地址装在原始的包头里当包抵封装头而最后的目的地址装在原始的包头里当包抵达隧道的终点时,将封装头剥去达隧道的终点时,将封装头剥去网络工程师培训主题12网络安全 VPN的协议IPPPPPPPL2TPL2FPPPPPP PPTP(Point to Point Tunneling Protocol)L2F(Layer 2 Forwarding)L2TP(Layer 2 Tunneling Protocol)网络工程师培训主题12网络安全隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道一旦到达网络终点,数据将被解包并转发到最终目的地注意隧道技术是指包括数据封装,传输和解包在内的全过程。
网络工程师培训主题12网络安全网络工程师培训主题12网络安全目前较为成熟的技术目前较为成熟的技术IP网络上的SNA隧道技术IP网络上的NovellNetWareIPX隧道技术一些新的隧道技术一些新的隧道技术点对点隧道协议(PPTP)第2层隧道协议(L2TP)安全IP(IPSec)隧道模式网络工程师培训主题12网络安全隧道协议:隧道协议:为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议隧道技术可以分别以第2层或第3层隧道协议为基础上述分层按照开放系统互联(OSI)的参考模型划分第2层隧道协议对应OSI模型中的数据链路层,使用桢作为数据交换单位PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)桢中通过互联网络发送第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送网络工程师培训主题12网络安全隧道技术如何实现:隧道技术如何实现:对于象PPTP和L2TP这样的第2层隧道协议,创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。
绝大多数情况下,通过隧道传输的数据都使用基于数据报的协议发送隧道维护协议被用来作为管理隧道的机制第3层隧道技术通常假定所有配置问题已经通过手工过程完成这些协议不对隧道进行维护与第3层隧道协议不同,第2层隧道协议(PPTP和L2TP)必须包括对隧道的创建,维护和终止隧道一旦建立,数据就可以通过隧道发送隧道客户端和服务器使用隧道数据传输协议准备传输数据例如,当隧道客户端向服务器端发送数据时,客户端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过互联网络发送,并由互联网络将数据路由到隧道的服务器端隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目标网络网络工程师培训主题12网络安全隧道协议和基本隧道要求:隧道协议和基本隧道要求:因为第2层隧道协议(PPTP和L2TP)以完善的PPP协议为基础,因此继承了一整套的特性1.用户验证2.令牌卡(Tokencard)支持3.动态地址分配4.数据压缩5.数据加密6.密钥管理7.多协议支持网络工程师培训主题12网络安全 阶段1:创建创建PPP链路链路 阶段2:用户验证用户验证 阶段3:PPP回叫控制(回叫控制(CallBackControl)阶段4:调用网络层协议调用网络层协议1.口令验证协议(PAP)2.挑战-握手验证协议(CHAP)3.微软挑战-握手验证协议(MS-CHAP)网络工程师培训主题12网络安全数据传输阶段:数据传输阶段:一旦完成上述4阶段的协商,PPP就开始在连接对等双方之间转发数据。
每个被传送的数据报都被封装在PPP包头内,该包头将会在到达接收方之后被去除如果在阶段1选择使用数据压缩并且在阶段4完成了协商,数据将会在被传送之间进行压缩类似的,如果如果已经选择使用数据加密并完成了协商,数据(或被压缩数据)将会在传送之前进行加密点对点隧道协议(PPTP)第2层转发(L2F)第2层隧道协议(L2TP)网络工程师培训主题12网络安全PPTP与L2TP:PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输尽管两个协议非常相似,但是仍存在以下几方面的不同:1.PPTP要求互联网络为IP网络L2TP只要求隧道媒介提供面向数据包的点对点的连接L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用2.PPTP只能在两端点间建立单一隧道L2TP支持在两端点间使用多隧道使用L2TP,用户可以针对不同的服务质量创建不同的隧道3.L2TP可以提供包头压缩当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。
但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道网络工程师培训主题12网络安全IPSEC是第3层的协议标准,支持IP网络上数据的安全传输本文将在“高级安全”一部分中对IPSEC进行详细的总体介绍,此处仅结合隧道协议讨论IPSEC协议的一个方面除了对IP数据流的加密机制进行了规定之外,IPSEC还制定了IPoverIP隧道模式的数据包格式,一般被称作IPSEC隧道模式一个IPSEC。