计算机网络安全课件(沈鑫剡)第10章

《计算机网络安全课件(沈鑫剡)第10章》由会员分享，可在线阅读，更多相关《计算机网络安全课件(沈鑫剡)第10章（18页珍藏版）》请在装配图网上搜索。

1、计算机网络安全第10章n安全网络概述；安全网络概述；n安全网络设计和分析。安全网络设计和分析。安全网络是能够保障信息安全目标实施的网安全网络是能够保障信息安全目标实施的网络系统，是一个能够保证授权用户实现访问络系统，是一个能够保证授权用户实现访问权限内网络资源访问过程的网络系统，是一权限内网络资源访问过程的网络系统，是一个能够抵御并反制黑客任何攻击的网络。个能够抵御并反制黑客任何攻击的网络。n安全网络设计目标；安全网络设计目标；n安全网络主要构件；安全网络主要构件；n网络资源；网络资源；n安全网络设计步骤。安全网络设计步骤。给出设计一个安全网络的基本原则、过程给出设计一个安全网络的基本原则、过

2、程和方法。和方法。n能够有效防御来自内部和外部的攻击；能够有效防御来自内部和外部的攻击；n能够对网络资源的访问过程实施有效控制；能够对网络资源的访问过程实施有效控制；n能够对用户行为进行有效监控；能够对用户行为进行有效监控；n能够对网络运行状态进行实时监测；能够对网络运行状态进行实时监测；n能够对网络性能变化过程和原因进行跟踪、能够对网络性能变化过程和原因进行跟踪、分析；分析；n能够安全传输机密信息。能够安全传输机密信息。n接入控制和认证构件；接入控制和认证构件；n分组过滤和速率限制构件；分组过滤和速率限制构件；n防火墙；防火墙；n入侵防御系统；入侵防御系统；nVPN接入构件；接入构件；n认证

3、、管理和控制服务器。认证、管理和控制服务器。n网络设备；网络设备；n网络操作信息；网络操作信息；n链路带宽；链路带宽；n主机系统；主机系统；n在网络中传输的信息；在网络中传输的信息；n用户私密信息。用户私密信息。n确定需要保护的网络资源；确定需要保护的网络资源；n分析可能遭受的攻击类型；分析可能遭受的攻击类型；n风险评估；风险评估；n设计网络安全策略；设计网络安全策略；n实现网络安全策略；实现网络安全策略；n分析和改进网络安全策略。分析和改进网络安全策略。n安全网络系统结构；安全网络系统结构；n网络安全策略；网络安全策略；n网络安全策略实现机制。网络安全策略实现机制。通过一个具体的、具有实用价

4、值的安全网通过一个具体的、具有实用价值的安全网络的设计和分析过程，了解安全网络设计络的设计和分析过程，了解安全网络设计的基本原则、方法和过程。的基本原则、方法和过程。安全网络结构安全网络结构n网络分成内网、外网和非军事区三部分，非军事区提供网络分成内网、外网和非军事区三部分，非军事区提供公共服务；公共服务；n交换机等接入设备完成对接入用户的认证；交换机等接入设备完成对接入用户的认证；n安全工作主要针对内部网络资源展开，由防火墙负责控安全工作主要针对内部网络资源展开，由防火墙负责控制内部网不同制内部网不同VLAN之间的信息传输过程，限制外网终之间的信息传输过程，限制外网终端对内部网络资源的访问，

5、允许授权终端通过建立第端对内部网络资源的访问，允许授权终端通过建立第2层层隧道接入内部网络；隧道接入内部网络；n网络入侵防御系统对进出重要终端和服务器的信息流进网络入侵防御系统对进出重要终端和服务器的信息流进行检测；行检测；n主机入侵防御系统对访问重要终端和重要服务器中资源主机入侵防御系统对访问重要终端和重要服务器中资源的过程实施严密监控；的过程实施严密监控；n网络管理系统及时反馈网络运行情况给管理员。网络管理系统及时反馈网络运行情况给管理员。n允许内部网络终端发起对允许内部网络终端发起对Internet的访问，但只能访问外部网络中的访问，但只能访问外部网络中的的Web和和FTP服务器；服务器

6、；n允许内部网络终端发起对非军事区中的允许内部网络终端发起对非军事区中的Web和和E-MAIL服务器的访问；服务器的访问；n允许外部网络（非信任区）终端发起对非军事区中的允许外部网络（非信任区）终端发起对非军事区中的Web和和E-MAIL服务器的访问；服务器的访问；n只允许内部网络终端访问内部网络中的服务器，但允许内部员工通只允许内部网络终端访问内部网络中的服务器，但允许内部员工通过第过第2层隧道经外部网络访问内部网络中的层隧道经外部网络访问内部网络中的FTP服务器；服务器；n内部网络终端接入内部网络时须经身份认证；内部网络终端接入内部网络时须经身份认证；n内部网络终端的平均传输速率和峰值传输

7、速率限制为内部网络终端的平均传输速率和峰值传输速率限制为3Mbps和和5Mbps；n不允许以交互方式访问内部网络的数据库服务器；不允许以交互方式访问内部网络的数据库服务器；n能够监测对内部网络数据库服务器发起的攻击；能够监测对内部网络数据库服务器发起的攻击；n内部网络使用本地内部网络使用本地IP地址，非军事区服务器使用全球地址，非军事区服务器使用全球IP地址，内部地址，内部网络结构对外部网络终端是不可见的。网络结构对外部网络终端是不可见的。n交换机采用基于交换机采用基于MAC地址的接入控制机制；地址的接入控制机制；n一旦终端通过认证，终端的一旦终端通过认证，终端的MAC地址被添加到访问控制列表

8、，交换机允地址被添加到访问控制列表，交换机允许正常转发通过该端口接收到的以许正常转发通过该端口接收到的以MAC A为源为源MAC地址的地址的MAC帧；帧；n交换机采用本地认证机制，不采用统一的认证服务器。交换机采用本地认证机制，不采用统一的认证服务器。交换机接入控制过程交换机接入控制过程防火墙访问控制机制防火墙访问控制机制n防火墙访问控制策略分两部分，一是控制防火墙访问控制策略分两部分，一是控制内网各个内网各个VLAN之间的信息传输过程，限之间的信息传输过程，限制外网终端对内网资源的访问过程。二是制外网终端对内网资源的访问过程。二是定义授权终端通过第定义授权终端通过第2层隧道接入内部网层隧道接

9、入内部网络的方法；络的方法；n访问控制策略定义三种信息：信息传输方访问控制策略定义三种信息：信息传输方向、源和目的终端范围，以服务方式确定向、源和目的终端范围，以服务方式确定消息交换过程。消息交换过程。n防火墙作为远程接入控制设备，配置内部网络本地防火墙作为远程接入控制设备，配置内部网络本地IP地址池，用户名地址池，用户名和口令等用户认证信息；和口令等用户认证信息；n建立终端和防火墙之间的第建立终端和防火墙之间的第2层隧道，基于第层隧道，基于第2层隧道完成终端的身份层隧道完成终端的身份认证和本地认证和本地IP地址分配；地址分配；n为了实现第为了实现第2层隧道的安全传输，隧道两端建立双向的的安全

10、关联；层隧道的安全传输，隧道两端建立双向的的安全关联；n防火墙添加指明通往终端的传输路径的路由项。防火墙添加指明通往终端的传输路径的路由项。终端通过终端通过VPN接入内部网络过程接入内部网络过程n数据传输过程中，防火墙就是一个互连点对点链路和以太网的路由器；数据传输过程中，防火墙就是一个互连点对点链路和以太网的路由器；n终端通过点对点链路和防火墙相连，因此，终端采用的链路层协议是终端通过点对点链路和防火墙相连，因此，终端采用的链路层协议是PPP；n由于点对点链路是第由于点对点链路是第2层隧道，因此，层隧道，因此，PPP帧必须被封装成第帧必须被封装成第2层隧道报层隧道报文，由于隧道两端之间采取安

11、全传输机制，进行文，由于隧道两端之间采取安全传输机制，进行IPSec的封装过程。的封装过程。VPN数据传输过程数据传输过程主机入侵防御系统主机入侵防御系统n监测服务器安全状态；监测服务器安全状态；n检测进出服务器的信息流；检测进出服务器的信息流；n控制服务器中资源的访问过程；控制服务器中资源的访问过程；n限制进程调用过程。限制进程调用过程。网络入侵防御系统网络入侵防御系统n监测进出重要终端和服务器的异常信息流；监测进出重要终端和服务器的异常信息流；n对进出重要终端和服务器的信息流进行攻击特征匹配；对进出重要终端和服务器的信息流进行攻击特征匹配；n监测是否发生对重要终端和服务器的拒绝服务攻击；监

12、测是否发生对重要终端和服务器的拒绝服务攻击；n监测是否发生端口扫描侦察；监测是否发生端口扫描侦察；n监测进出重要终端和服务器的信息流是否符合交互式特性。监测进出重要终端和服务器的信息流是否符合交互式特性。9、静夜四无邻，荒居旧业贫。22.9.622.9.6Tuesday,September 06,202210、雨中黄叶树，灯下白头人。7:39:427:39:427:399/6/2022 7:39:42 AM11、以我独沈久，愧君相见频。22.9.67:39:427:39Sep-226-Sep-2212、故人江海别，几度隔山川。7:39:427:39:427:39Tuesday,Septembe

13、r 06,202213、乍见翻疑梦，相悲各问年。22.9.622.9.67:39:427:39:42September 6,202214、他乡生白发，旧国见青山。2022年9月6日星期二上午7时39分42秒7:39:4222.9.615、比不了得就不比，得不到的就不要。2022年9月上午7时39分22.9.67:39September 6,202216、行动出成果，工作出财富。2022年9月6日星期二7时39分42秒7:39:426 September 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。上午7时39分42秒上午7时39分7:39:4222.9.69

14、、没有失败，只有暂时停止成功！。22.9.622.9.6Tuesday,September 06,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。7:39:427:39:427:399/6/2022 7:39:42 AM11、成功就是日复一日那一点点小小努力的积累。22.9.67:39:427:39Sep-226-Sep-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。7:39:427:39:427:39Tuesday,September 06,202213、不知香积寺，数里入云峰。22.9.622.9.67:39:427:39:42September 6,2

15、02214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年9月6日星期二上午7时39分42秒7:39:4222.9.615、楚塞三湘接，荆门九派通。2022年9月上午7时39分22.9.67:39September 6,202216、少年十五二十时，步行夺得胡马骑。2022年9月6日星期二7时39分42秒7:39:426 September 202217、空山新雨后，天气晚来秋。上午7时39分42秒上午7时39分7:39:4222.9.69、杨柳散和风，青山澹吾虑。22.9.622.9.6Tuesday,September 06,202210、阅读一切好书如同和过去最杰出的人谈话。

16、7:39:427:39:427:399/6/2022 7:39:42 AM11、越是没有本领的就越加自命不凡。22.9.67:39:427:39Sep-226-Sep-2212、越是无能的人，越喜欢挑剔别人的错儿。7:39:427:39:427:39Tuesday,September 06,202213、知人者智，自知者明。胜人者有力，自胜者强。22.9.622.9.67:39:427:39:42September 6,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年9月6日星期二上午7时39分42秒7:39:4222.9.615、最具挑战性的挑战莫过于提升自我。202

17、2年9月上午7时39分22.9.67:39September 6,202216、业余生活要有意义，不要越轨。2022年9月6日星期二7时39分42秒7:39:426 September 202217、一个人即使已登上顶峰，也仍要自强不息。上午7时39分42秒上午7时39分7:39:4222.9.6MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉