6、企业网络安全技术.ppt

第六章 企业网络安全技术 神州数码网络大学 2007-4 前期内容回顾 以太网连接方法和设备调试 交换式网络性能保证和可管理性的实现 网络互连的方法及异同 路由器广域网接入技术 路由器寻址过程 动态路由协议基础 本章重点内容 网络安全解决方案综述 物理安全——无线介质网络 内网互访控制 ——访问控制列表的使用 出入网访问控制 ——防火墙的设置 出网透明化——NAT技术 网络安全解决方案综述 网络安全重大历史事件回顾 上世纪90年代前 83年 Kevin Poulsen学生时代 利用漏洞入侵，暂控Arpanet 88年 23岁的Cornell大学学生Robert Morris在Internet上释放了世界上首个“蠕虫”程序。99行的程序使美国等地的接入互联网电脑都受到影响。 Robert Morris也因此在1990年被判入狱。 上世纪90年代 90年 Kevin Poulsen-入狱三年 保时捷944 s2跑车，第102通电话 控制了整个地区的电话系统 20世纪90年代早期 Kevin Mitnick 诺基亚(Nokia)，富士通(Fujitsu)，摩托罗拉(Motorola)，和 Sun Microsystems 1995年他被FBI逮捕，于2000年获得假释 上世纪90年代 1993年 自称为骗局大师(MOD)的组织，成功入侵美国安全局(NSA)，ATT和美利坚银行。绕过长途电话侵入专线。 95年 俄罗斯的黑客Vladimir Levin 美国花旗银行盗走1000万 上世纪90年代 96年 Timothy Lloyd 六行的恶意软件 ，(美国航天航空局和美国海军最大的供货商) 删除了Omega公司所有负责生产的软件。损失1000万美金。 99年 David Smith 全球300多间公司的电脑系统崩溃 损失接近4亿美金 5年徒刑 21世纪以来 2000年 15岁的MafiaBoy，成功侵入包括eBay，Amazon 和Yahoo在内的大型网站服务器 拒绝服务攻击 2002年 伦敦人Gary McKinnon，侵入美国军方90多个电脑系统。 问题的提出 2006年度报告结论 与05年同期相比，06年网络攻击事件要高出一倍之多； 黑客攻击频发，经济损失巨大； 黑客入侵手法翻新，Web应用正成为最大的安全盲点； 07年黑客攻击水平会发展到惊人的程度 金融证券行业发生网络安全事件的比例最低，商业贸易、制造业、广电和新闻、教育科研、互联网和信息技术等行业发生网络安全事件的比例较高。 安全问题的来源 网络安全设计要素 物理环境安全 内网互访控制 出入网访问控制 入侵检测技术、防窃听技术、接入认证技术、防病毒技术、密码技术 物理安全 无线介质网络 拒绝服务攻击 同频段干扰信号 无线窃听 开放式媒介 信号基站伪装 信号超强，阻止正常关联 扩频码技术，详见第一章 有线网络物理安全 布线考虑 线缆是否可屏蔽干扰信号 线缆敷设是否有被别人搭线的可能 设备安置位置 是否靠近干扰源 设备间是否物理安全 外来人员是否有可能轻易进入网络节点物理位置 内网互访控制 问题的提出 解决办法 控制敏感数据不会轻易落入任何雇员手中 雇员岗位与网络身份的对应 网络整体规划—接入方式、IP地址、帐号管理等。 不同内部网络节点访问数据的限制 网络设备控制—访问控制列表 对有权利拥有数据的雇员要配合法律等方式进行监管。 访问控制列表 根据数据特征实施访问控制 在设备中定义 在具体接口实施 访问列表是一个参照物 例如： 房间纱窗密度定义了进入物体的大小，小于纱窗格大小的可以进入 设备接口定义了进入数据的源地址，匹配的执行特定操作，不匹配的执行默认操作。 访问控制列表的分类 标准 列表定义了特征包的源地址范围 扩展 列表定义了特征包的源、目的地址以及源和目的传输端口号，只有都一样才认为匹配，按照特定动作处理。 标准访问控制 根据源地址特征区别数据包 数据包的其他信息不予参考 实施标准访问控制列表 定义列表 先后顺序 特殊终端放在普遍终端的前面 最后的默认“拒绝” 不能全部语句都添加为deny *** 在接口中应用 位置 选择设备中可以区别不同源地址的接口（接近目的地的接口） 方向 从源起始去往目的数据经过接口的方向 课堂实验 网络设备中标准访问控制列表的用法 PC1与PC1连接在路由器的两个不同端口中，配置默认网关使可互通。 在路由器中配置编号列表（1-99），定义一个列表，但不添加任何列表项。 将这个列表应用在PC1所连接的端口中，在In和out时分别测试PC1与PC2的连通性，结果如何，怎样解释？ 向列表中添加允许PC1访问PC2的语句，再测试，结果如何，怎样解释？ 问题和练习 在PC1连接的端口处连接一台交换机，再接一台设备和PC1设置相