网络安全的实现和管理.docx
- 文档编号:26317233
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:10
- 大小:44.76KB
网络安全的实现和管理.docx
《网络安全的实现和管理.docx》由会员分享,可在线阅读,更多相关《网络安全的实现和管理.docx(10页珍藏版)》请在冰豆网上搜索。
网络安全的实现和管理
网络安全的实现和管理
我所了解的网络平安架构
«网络平安的完成和管理»
班级:
学号:
姓名:
教员:
效果:
目录:
我所了解的网络平安架构
网络平安是指网络系统的硬件、软件及其系统中的数据遭到维护,不因偶然的或许恶意的缘由而遭遭到破坏、更改、泄露,系统延续牢靠正常地运转,网络效劳不中缀。
网络平安从其实质下去讲就是网络上的信息平安。
从狭义来说,凡是触及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和实际都是网络平安的研讨范围。
(一)网络平安应具有以下五个方面的特征
保密性:
信息不泄露给非授权用户、实体或进程,或供其应用的特性。
完整性:
数据XX不能停止改动的特性。
即信息在存储或传输进程中坚持不被修正、不被破坏和丧失的特性。
可用性:
可被授权实体访问并按需求运用的特性。
即当需求时能否存取所需的信息。
例如网络环境下拒绝效劳、破坏网络和有关系统的正常运转等都属于对可用性的攻击;
可控性:
对信息的传达及内容具有控制才干。
可审查性:
出现的平安效果时提供依据与手腕
(二)影响网络平安性的要素
网络结构要素:
网络基本拓扑结构有3种:
星型、总线型和环型。
一个单位在树立自己的外部网之前,各部门能够已建造了自己的局域网,所采用的拓扑结构也能够完全不同。
在建造外部网时,为了完成异构网络间信息的通讯,往往要牺牲一些平安机制的设置和完成,从而提出更高的网络开放性要求。
网络协议要素:
在建造外部网时,用户为了节省开支,肯定会维护原有的网络基础设备。
另外,网络公司为生活的需求,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通讯。
这在给用户和厂商带来利益的同时,也带来了平安隐患。
如在一种协议下传送的有害顺序能很快传遍整个网络。
地域要素:
由于外部网Intranet既可以是LAN也能够是WAN(外部网指的是它不是一个公用网络,而是一个公用网络),网络往往跨越城际,甚至国际。
天文位置复杂,通讯线路质量难以保证,这会形成信息在传输进程中的损坏和丧失,也给一些〞黑客〞形成无隙可乘。
用户要素:
企业建造自己的外部网是为了加快信息交流,更好地顺应市场需求。
树立之后,用户的范围必将从企业员工扩展到客户和想了解企业状况的人。
用户的添加,也给网络的平安性带来了要挟,由于这里能够就有商业特务或〝黑客〞
主机要素:
树立外部网时,使原来的各局域网、单机互联,添加了主机的种类,如任务站、效劳器,甚至小型机、大中型机。
由于它们所运用的操作系统和网络操作系统不尽相反,某个操作系统出现破绽(如某些系统有一个或几个没有口令的账户),就能够形成整个网络的大隐患。
单位平安政策:
实际证明,80%的平安效果是由网络外部惹起的,因此,单位对自己外部网的平安性要有高度的注重,必需制定出一套平安管理的规章制度。
人员要素:
人的要素是平安效果的单薄环节。
要对用户停止必要的平安教育,选择有较高职业品德修养的人做网络管理员,制定出详细措施,提高平安看法。
(三)如何划分架构〔依照攻击方式、协议层次、网络层次等〕
1.网络攻击主要分为以下几类
〝攻击〞是指任何的非授权行为。
供应的范围从复杂的使效劳器无法提供正常任务到完全破坏或控制效劳器。
在网络上成功实施的攻击级别依赖于用户采取的平安措施.
BXcW4~f%c0主动攻击:
攻击者经过监视一切的信息流以取得某些秘密。
这种攻击可以是基于网络〔跟踪通讯链路〕或基于系统〔用秘密抓取数据的特洛伊木马替代系统部件〕的。
主动攻击是最难被检测到的,故对付这种攻击的重点是预防,主要手腕如数据加密等。
%p%~!
T;q.m+R.f0自动攻击:
攻击者试图打破网络的平安防线。
这种攻击触及到修正数据流或创立错误流,主要攻击方式有冒充、重放、诈骗、音讯窜改、拒绝效劳等。
这种攻击无法进攻,但却易于检测,故对付的重点是检测,主要手腕如防火墙、入侵检测技术等。
Oy9f
n7uNn\0物理临近攻击:
在物理临近攻击中,未授权者可物理上接近网络、系统或设备,目的是修正、搜集或拒绝访问信息。
P6v[pe6[&l3BI0外部人员攻击:
外部人员攻击的实施人要么被授权在信息平安处置系统的物理范围内,要么对信息平安处置系统具有直接访问权。
外部人员攻击包括恶意的和非恶意的〔不小心或无知的用户〕两种。
6Dhp+a4L\$q0分发攻击:
指在软件和硬件开收回来之后和装置之前这段时间,或当它从一个中央传到另一个中央时,攻击者恶意修正软、硬件。
SpaceofNAUW4q-X#r#A}S5KB
2.协议层次
协议是通讯双方为了完成通讯而设计的商定或对话规那么。
网络层协议:
包括:
IP协议、ICMP协议、ARP协议、RARP协议。
传输层协议:
TCP协议、UDP协议。
运用层协议:
FTP、Telnet、SMTP、、RIP、NFS、DNS。
3.网络层次
物理层
应用物理传输介质为数据链路层提供物理衔接,担任处置数据传输率并监控数据出错率,以便透明地传送比特率。
它定义了激活、维护和封锁终端用户之间的电气、机械的、进程的和功用的特性。
物理层的特性包括电压、频率、数据传输率、最大传输距离、物理衔接器及相关的属性。
数据链路层
在物理层提供比特率传输效劳的基础上,数据链路层经过在通讯的实体之间树立数据链路衔接,传送以〝帧〞为单位的数据,使有过失的物理线路变成无过失的数据链路,保证点到点牢靠的数据传输,因此,数据链路层关心的主要效果包括物理地址、网络拓扑、线路规那么、错误通告、数据帧的有序传输和流量控制。
网络层
网络层的主要功用为处在不同的网络系统中的两个节点设备通讯提供一条逻辑网道。
其基转义务包括路由选择、拥塞控制与网络互联等功用。
传输层
传输层主要义务是向用户提供牢靠地端到端效劳,透明地传送报文。
它向高层屏蔽了下层数据通讯的细节,因此是计算机通讯体系结构中的最关键的一层。
该层关心的主要效果包括树立、维护和中缀虚电路、传输过失校验和恢复以及信息流量控制。
会话层
会话层树立、管理和终止运用顺序进程之间的会话和数据的交流。
这种会话关系是由两个或多个表示层实体之间的对话构成的。
表示层
表示层保证一个系统运用层收回的信息能被另一个系统的运用层读出。
如有必要,表示层以一种通用的数据表示格式在多种数据表示格式之间的转换,它包括数据格式变换、数据加密与解密、数据紧缩与恢复等功用。
运用层
运用层是OSI参考模型中最接近用户的一层,它为用户的运用顺序提供网络效劳,这些运用顺序包括电子数据表格顺序、字处置顺序和银行终端顺序等,运用层识别并证明目的的通讯方的可用性,使协同任务的运用顺序之间停止同步,树立传输错误纠正和数据完整性控制方面的协议,判别能否为所需的通讯进程留有足够的资源。
(四)网络平安架构的组成技术和运用场景
1.数据加密与数字签名
常用的数据加密技术主要有两种:
私密密钥加密技术:
私密密钥加密技术也称对称密钥加密技术,密钥在加密方和解密方之间传递和分发必需经过平安通道停止,在公共网络上运用明文传递秘密密钥是不适宜的。
假设密钥没有已平安方式传送,那么黑客就很有能够截获该密钥,并将该密钥用于信息解密。
因此,在公共网络上,秘密密钥技术不适宜于完成互不相识的通讯者之间的信息传递。
地下密钥加密技术:
地下密钥加密也称为非对称密钥加密地下密钥加密技术其优势在于不需求共享通用的密钥。
公钥可以再公共网络上停止传递和分发,地下密钥加密技术的主要缺陷是加密算法复杂,加密与解密速度比拟慢,被加密的数据块长度不宜过太大。
数字签名:
数字签名作为验证发送者身份和音讯完整性的依据。
公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和音讯完整性的依据。
CA运用私有密钥计算其数字签名,应用CA提供的公共密钥,任何人均可验证签名的真实性。
伪造数字签名从计算才干上是不可行的
2.CA数字证书
CA是证书的签发机构,它是PKI的中心。
CA是担任签发证书、认证证书、管理已颁发证书的机关。
它要制定政策和详细步骤来验证、识别用户身份,并对用户证书停止签名,以确保证书持有者的身份和公钥的拥有权。
假设用户想失掉一份属于自己的证书,他应先向CA提出央求。
在CA判明央求者的身份后,便为他分配一个公钥,并且CA将该公钥与央求者的身份信息绑在一同,并为之签字后,便构成证书发给央求者。
它主要用来认证访问权限和树立互置信任。
3.防火墙技术
防火墙技术,最后是针对Internet网络不平安要素所采取的一种维护措施。
望文生义,防火墙就是用来阻挠外部不平安要素影响的外部网络屏障,其目的就是防止外部网络用户XX的访问。
它是一种计算机硬件和软件的结合,使Internet与Intranet之间树立起一个平安网关,从而维护外部网免受合法用户的侵入,它对两个或多个网络之间传输的数据包如链接方式依照一定的平安战略来实施反省,以决议网络之间的通讯能否被允许,并监视网络运转形状。
4.入侵检测技术
入侵检测技术可以被定义为对计算机和网络资源的恶意运用行为停止识别和相应处置的系统。
包括系统外部的入侵和外部用户的非授权行为,是为保证计算机系统的平安而设计与配置的一种可以及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违犯平安战略行为的技术。
5.VPN技术
VPN即虚拟公用网络,是经过一个公用网络〔通常是因特网〕树立一个暂时的、平安的衔接,是一条穿过混乱的公用网络的平安、动摇的隧道。
VPN是一种〝基于公共数据网,给用户一种直接衔接到公家局域网觉得的效劳〞。
VPN极大地降低了用户的费用,而且提供了比传统方法更强的平安性和牢靠性。
VPN可分为三大类:
〔1〕企业各部门与远程分支之间的VPN;〔2〕企业网与远程〔移动〕雇员之间的VPN;〔3〕企业与企业之间的VPN。
6.NAT技术
NAT〔NetworAddressTranslation〕即网络地址转换或网络地址翻译。
他将一个或多个私网地址映射成一个公网地址,他是不对称的协议。
7.IPSEC技术
IPSec是一种开放规范的框架结构,经过运用加密的平安效劳以确保在Internet协议(IP)网络上停止保密而平安的通讯它经过端对端的平安性来提供自动的维护以防止公用网络与Internet的攻击。
在通讯中,只要发送方和接纳刚才是独一必需了解IPSec维护的计算机。
IPSec提供了一种才干,以维护任务组、局域网计算机、域客户端和效劳器、分支机构以及遨游客户端之间的通讯。
IPsec提供两个端点之间提供平安通讯
(五)以一个拓扑图来说明网络技术实施的层次和目的
1.拓扑图
2.完成的层次及目的
完成VPN使得私网1与私网2可以平安通讯
1.在ISA1上设置分配给远程拨入的IP地址段,并设置允许拨入人数
2.在ISA1上树立远程站点VPN的规那么
3.在ISA1上新建用户并且允许远程拨入
4.在ISA2上与ISA1上相反
完成VPN使得移动用户PC4能访问私网1
1.在装有ISA1的机器上树立VPN允许拨入
2.在装有ISA1的机器上树立用户并允许拨入
完成网站发布与CA数字证书使得PC2能平安访问外部网站
1.在ISA1上树立发布规那么使网站发布出去
2.运用PC2访问外部网站
3.在网站上设置要求证书认证
4.在PC2上向网站央求证书
5.在PC2下载证书
6.区分运用PC2和PC4访问网站验证
完成IPsec+CA证书使得两个私网中的两台计算机平安通讯
1.在ISA1上与ISA2上启用路由功用
2.在PC1和PC3的平安战略中新建IPsec战略
3.选择运用证书验证双方
4.在PC2上树立CA
5.PC1和PC3上是向CA央求证书并下载证书
完成NAT使得内网的私网网址映射成公网网址,内网能访问外网,外网不能访问内网
1.在装有ISA1的机器上启用路由
2.在装有ISA1的机器上启用NAT,做好相应的设置
3.运用内网中的PC1访问外网PC2,然后翻过去访问验证
完成入侵检测使得即时发现恶意的访问
1.在ISA1中默许是启用的
2.选择端口扫描复选框并设置扫描端口个数
3.在pc2上运用scan-x扫描ISA端口验证
完成数据加密和数字签名使得重要数据失掉维护
1.右击文件夹→属性→加密复选框
2.导出证书运用另一个用户访问文件夹验证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 实现 管理