《网络安全的实现和管理.docx》由会员分享,可在线阅读,更多相关《网络安全的实现和管理.docx(10页珍藏版)》请在三一办公上搜索。
1、 我所理解的网络安全架构 网络安全的实现和管理班级:学号:姓名: 教师:成绩:目录: 我所理解的网络安全架构2(一)网络安全应具有以下五个方面的特征2(二)影响网络安全性的因素2(三)如何划分架构(按照攻击方式、协议层次、网络层次等)31.网络攻击主要分为以下几类32.协议层次43.网络层次4(四)网络安全架构的组成技术和应用场景51.数据加密与数字签名52.CA数字证书63.防火墙技术64.入侵检测技术65.VPN技术66.NAT技术77.IPSEC技术7(五)以一个拓扑图来说明网络技术实施的层次和目标71.拓扑图72.实现的层次及目标8 我所理解的网络安全架构 网络安全是指网络系统的硬件、
2、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。(一) 网络安全应具有以下五个方面的特征 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系
3、统的正常运行等都属于对可用性的攻击; 可控性:对信息的传播及内容具有控制能力。 可审查性:出现的安全问题时提供依据与手段(二) 影响网络安全性的因素网络结构因素:网络基本拓扑结构有3种:星型、总线型和环型。一个单位在建立自己的内部网之前,各部门可能已建 造了自己的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。 网络协议因素:在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在
4、给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。 地域因素:由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络,而是一个专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中的损坏和丢失,也给一些”黑客”造成可乘之机。 用户因素:企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客” 主机因素:建立内部网时,使原来的各局域网
5、、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。 单位安全政策:实践证明,80的安全问题是由网络内部引起的,因此,单位对自己内部网的安全性要有高度的重视,必须制订出一套安全管理的规章制度。 人员因素:人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。(三) 如何划分架构(按照攻击方式、协议层次、网络层次等)1. 网络攻击主要分为以下几类 “攻击”是指任何的非授
6、权行为。供给的范围从简单的使服务器无法提供正常工作到完全破坏或控制服务器。在网络上成功实施的攻击级别依赖于用户采取的安全措施. B XcW4f%c0被动攻击:攻击者通过监视所有的信息流以获得某些秘密。这种攻击可以是基于网络(跟踪通信链路)或基于系统(用秘密抓取数据的特洛伊木马代替系统部件)的。被动攻击是最难被检测到的,故对付这种攻击的重点是预防,主要手段如数据加密等。%p%!T;q.m+R.f0主动攻击:攻击者试图突破网络的安全防线。这种攻击涉及到修改数据流或创建错误流,主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。这种攻击无法防御,但却易于检测,故对付的重点是检测,主要手段如防火墙、
7、入侵检测技术等。Oy9fn7uN n0物理临近攻击:在物理临近攻击中,未授权者可物理上接近网络、系统或设备,目的是修改、收集或拒绝访问信息。P6v pe6&l3BI0内部人员攻击:内部人员攻击的实施人要么被授权在信息安全处理系统的物理范围内,要么对信息安全处理系统具有直接访问权。内部人员攻击包括恶意的和非恶意的(不小心或无知的用户)两种。6Dh p+a4L$q0分发攻击:指在软件和硬件开发出来之后和安装之前这段时间,或当它从一个地方传到另一个地方时,攻击者恶意修改软、硬件。Space of NAUW4q-X#r#AS5KB 2. 协议层次协议是通信双方为了实现通信而设计的约定或对话规则。网络层
8、协议:包括:IP协议、ICMP协议、ARP协议、RARP协议。 传输层协议:TCP协议、UDP协议。 应用层协议:FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。3. 网络层次物理层利用物理传输介质为数据链路层提供物理连接,负责处理数据传输率并监控数据出错率,以便透明地传送比特率。它定义了激活、维护和关闭终端用户之间的电气、机械的、过程的和功能的特性。物理层的特性包括电压、频率、数据传输率、最大传输距离、物理连接器及相关的属性。数据链路层在物理层提供比特率传输服务的基础上,数据链路层通过在通信的实体之间建立数据链路连接,传送以“帧”为单位的数据,使有差错的物理线路变成无差错的
9、数据链路,保证点到点可靠的数据传输,因此,数据链路层关心的主要问题包括物理地址、网络拓扑、线路规则、错误通告、数据帧的有序传输和流量控制。网络层网络层的主要功能为处在不同的网络系统中的两个节点设备通信提供一条逻辑网道。其基本任务包括路由选择、拥塞控制与网络互联等功能。传输层传输层主要任务是向用户提供可靠地端到端服务,透明地传送报文。它向高层屏蔽了下层数据通信的细节,因而是计算机通信体系结构中的最关键的一层。该层关心的主要问题包括建立、维护和中断虚电路、传输差错校验和恢复以及信息流量控制。会话层会话层建立、管理和终止应用程序进程之间的会话和数据的交换。这种会话关系是由两个或多个表示层实体之间的对
10、话构成的。表示层表示层保证一个系统应用层发出的信息能被另一个系统的应用层读出。如有必要,表示层以一种通用的数据表示格式在多种数据表示格式之间的转换,它包括数据格式变换、数据加密与解密、数据压缩与恢复等功能。应用层应用层是OSI参考模型中最靠近用户的一层,它为用户的应用程序提供网络服务,这些应用程序包括电子数据表格程序、字处理程序和银行终端程序等,应用层识别并证实目的的通信方的可用性,使协同工作的应用程序之间进行同步,建立传输错误纠正和数据完整性控制方面的协定,判断是否为所需的通信过程留有足够的资源。(四) 网络安全架构的组成技术和应用场景1. 数据加密与数字签名常用的数据加密技术主要有两种:私
11、密密钥加密技术:私密密钥加密技术也称对称密钥加密技术,密钥在加密方和解密方之间传递和分发必须通过安全通道进行,在公共网络上使用明文传递秘密密钥是不合适的。如果密钥没有已安全方式传送,那么黑客就很有可能截获该密钥,并将该密钥用于信息解密。因此,在公共网络上,秘密密钥技术不适合于实现互不相识的通信者之间的信息传递。公开密钥加密技术:公开密钥加密也称为非对称密钥加密公开密钥加密技术其优势在于不需要共享通用的密钥。公钥可以再公共网络上进行传递和分发,公开密钥加密技术的主要缺点是加密算法复杂,加密与解密速度比较慢,被加密的数据块长度不宜过太大。数字签名:数字签名作为验证发送者身份和消息完整性的根据。公共
12、密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的2. CA数字证书 CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。 如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发
13、给申请者。 它主要用来认证访问权限和建立互相信任。3. 防火墙技术防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。4. 入侵检测技术入侵检测技术可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。
14、包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 5. VPN技术 VPN 即虚拟专用网络,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。 VPN是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。VPN可分为三大类:(1)企业各部门与远程分支之间的 VPN;(2)企业网与远程(移动)雇员之间的VPN;(3)企业与企
15、业之间的VPN。6. NAT技术NAT(Networ Address Translation)即网络地址转换或网络地址翻译。他将一个或多个私网地址映射成一个公网地址,他是不对称的协议。7. IPSEC技术 IPSec是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构以及漫游客户端之间的通信。IPs
16、ec提供两个端点之间提供安全通信(五) 以一个拓扑图来说明网络技术实施的层次和目标1. 拓扑图2. 实现的层次及目标实现VPN使得私网1与私网2能够安全通信1. 在ISA1上设置分配给远程拨入的IP地址段,并设置允许拨入人数2. 在ISA1上建立远程站点VPN的规则3. 在ISA1上新建用户并且允许远程拨入4. 在ISA2上与ISA1上相同实现VPN使得移动用户PC4能访问私网11. 在装有ISA1的机器上建立VPN允许拨入2. 在装有ISA1的机器上建立用户并允许拨入 实现网站发布与CA数字证书使得PC2能安全访问内部网站1. 在ISA1上建立发布规则使网站发布出去2. 使用PC2访问内部网
17、站3. 在网站上设置要求证书认证4. 在PC2上向网站申请证书5. 在PC2下载证书6. 分别使用PC2和PC4访问网站验证 实现IPsec+CA证书使得两个私网中的两台计算机安全通信1. 在ISA1上与ISA2上启用路由功能2. 在PC1和PC3的安全策略中新建IPsec策略3. 选择使用证书验证双方4. 在PC2上建立CA5. PC1和PC3上是向CA申请证书并下载证书 实现NAT使得内网的私网网址映射成公网网址,内网能访问外网,外网不能访问内网1. 在装有ISA1的机器上启用路由2. 在装有ISA1的机器上启用NAT,做好相应的设置3. 使用内网中的PC1访问外网PC2,然后翻过来访问验证 实现入侵检测使得即时发现恶意的访问1. 在ISA1中默认是启用的2. 选择端口扫描复选框并设置扫描端口个数3. 在pc2上使用scan-x扫描ISA端口验证 实现数据加密和数字签名使得重要数据得到保护1. 右击文件夹属性加密复选框2. 导出证书使用另一个用户访问文件夹验证9
