-
1 课程内容
-
2 随堂测验
计算机网络安全受到的威胁包括:黑客的攻击、计算机病毒和拒绝服务攻击(Denial of Service Attack)。
安全威胁的类型如下:
(1)非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。
(2)冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
(3)破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
(4)干扰系统正常运行,破坏网络系统的可用性。指改变系统的正常运行方法,减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源,使有严格响应时间要求的服务不能及时得到响应。
(5)病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等,其破坏性非常高,而且用户很难防范。
(6)软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”被发现,网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。
(7)电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面,电磁泄漏可以导致信息泄露。
在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,可选购一套网络安全防范设备。
(1)瑞星杀毒软件网络版
①超强病毒查杀。
②智能主动防御。
③增强型全网漏洞管理。
④强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。
⑤兼容多种平台。
⑥一体化智能服务体系。
(2)瑞星企业级防火墙
瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙,它是瑞星公司针对中小企业级用户定制的一款高端防火墙,型号为:RFW-SME。
瑞星全功能NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。RFW-SME拥有通用防火墙功能、网络地址转换(NAT)、主动式入侵检测(IDS)、虚拟专网(VPN)、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙,可以保护用户的网络免于黑客的攻击,同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务,还提供了不同等级的网络带宽管理,让一些特殊的应用服务可以确保使用带宽。
(3)瑞星入侵检测系统
作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。瑞星RIDS-100入侵检测系统能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,另外RIDS-100入侵检测系统可以与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
为了加强对引擎进行访问的用户的管理,RIDS-100系统设计了一套完善的用户管理机制,每个管理用户配有一把电子钥匙(串口或USB接口),内装有该用户的密钥和加密算法。用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。
检测引擎的接入对被保护网络是透明的,它对被保护网络的任何流量和请求均不做反应,不影响被保护网络的性能。
(1)安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性。限制远程访问的安全设置方法见表1。
表1 安全接入和配置方法
| 访问方式 | 保证网络设备安全的方法 |
| Console控制接口的访问 | 设置密码和超时限制 |
| 进入特权exec和设备配置级别的命令行 | 配置Radius来记录logon/logout时间和操作活动;配置至少一个本地账户作应急之用 |
| telnet访问 | 采用ACL限制,指定从特定的IP地址来进行telnet访问;配置Radius安全纪录方案;设置超时限制 |
| SSH访问 | 激活SSH访问,从而允许操作员从网络的外部环境进行设备安全登陆 |
| WEB管理访问 | 取消Web管理功能 |
| SNMP访问 | 常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击 |
| 设置不同账号 | 通过设置不同的账号的访问权限,提高安全性 |
(2)拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
(3)访问控制。
网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。
①网络管理的内容
在校园中,网络管理的内容大体包含:网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理。
②网络管理的手段
在校园网络管理方面,为了便于校园网络管理人员的管理及维护,我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
具体的看,该软件可以达到以下方面的实时管理:
(1)网络集中监视
Quidview网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
(2)故障管理
故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
(3)性能监控
Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的门限,当性能超过门限时,可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况,为优化或扩充网络提供依据。
(4)服务器监视管理
服务器是企业IP架构中的重要组成部分,通过Quidview,可实现服务器与设备的统一管理。
(5)设备配置文件管理
当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,如果没有好的配置文件维护工具,网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。
Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。
(6)设备软件升级管理
Quidview提供完善的设备软件备份升级控制机制。使用Quidview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时,可以利用Quidview集中备份设备运行软件,然后进行批量升级。升级之后,可以使用Quidview进行升级结果验证,确保升级操作万无一失。
(7)集群管理
针对大量二层交换机设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
(8)堆叠管理
Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
(9)故障定位与地址反查
针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
(10)RMON管理
RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。
1、刘远生主编.计算机网络安全[M]. 清华大学出版社, 2006
2、高永强,郭世泽等编著.网络安全技术与应用大典[M]. 人民邮电出版社, 2003
