组网技术与配置2版10章

单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,组网技术与配置（第2版）（第10章）,清华大学出版社,高等院校计算机教育系列教材,第10章 Intranet安全与管理,11/26/2024,1,第10章 提要,对防火墙技术进行分析和讨论，企业网主要是采用防火墙技术进行安全防护，防火墙的结构有哪些，各有什么特点，一般采用什么结构?,讨论了基于密码理论的加密技术，涉及到加密方法、数字签名、身份认证。进一步给出网络地址转换NAT在网络安全的应用。,介绍企业网中的网络管理技术、网络管理模型和网络管理协议，讨论网管代理、网管工具、网管软件的的作用和特点。,11/26/2024,2,第10章 目录,10.1 Intranet安全,10.2 网络地址转换NAT用于Intranet安全,10.3 IIS为Intranet提供的安全性,10.4 Intranet管理,10.5 小 结,11/26/2024,3,10.1 Intranet,安全,10.1.1 Intranet的安全策略,10.1.2网络安全的层次划分,10.1.3 Internet的网络安全层次,10.1.4 网络防火墙技术,10.1.5 防火墙的结构,10.1.6 企业网防火墙的方案,10.1.7 基于密码理论的技术,11/26/2024,4,10.1.1 Intranet的安全策略,用户身份认证，系统根据用户的私有信息确定用户身份的真实性，判断用户是否可以访问网络资源。,访问控制，是对不同的用户赋予不同的对网络的访问权限，控制用户对资源的访问。,数据加密，是一种主动的防御策略，是保证网络资源安全的技术基础。,审计，能够记录用户对系统或网络资源的访问活动，记录内容保存在日志文件中，网络管理员查找问题时使用。,11/26/2024,5,10.1.2 网络安全的层次划分,国际标准,ISO 7498-2,定义了,OSI,安全体系结构的网络安全层次,11/26/2024,6,10.1.3 Internet的网络安全层次,网络安全的6个层次,11/26/2024,7,10.1.4 网络防火墙技术,防火墙所起的作用,限制访问者进入一个被严格控制的点,防止进攻者接近受到保护的设备,限制人们离开一个严格控制的点。从逻辑上说，防火墙是一个分离器，是一个限制器，是一个分析器。,防火墙通常由一套硬件设备（一个路由器，或路由器的组合，一台主机）和相应的软件模块组成。构成防火墙的主要部分有：路由器；插有两块以上网卡的主机，具有两个以上的网络接口，一个和内部网络连接，另一个和外部网络连接；各种代理服务器主机。,11/26/2024,8,防火墙一般分为两种基本,类型,包过滤型（,packet filter,），包过滤规则以,IP,包信息为基础，对,IP,源地址、,IP,目的地址、封装协议（,TCP/UDP/ICMP/IP TUNNEL,）、端口号等进行筛选，包过滤在,OSI,协议的网络层进行。,代理服务型（,proxy service,），代理服务通常由两部分组成：代理服务器端程序和客户端程序。客户端程序与中间节点（,Proxy Server,）连接，中间节点再与要访问的外部服务器实际连接。与包过滤不同的是，它使内部网与外部网之间不存在直接的连接，同时还提供日志（Log）和审计服务。,11/26/2024,9,代理服务器参数的设置方法,要想访问代理服务器，要在浏览器的选项配置中设置代理服务器的参数，例如,IP,地址等内容。,右击桌面上,IE,图标，在弹出的菜单中选择【属性】，出现【,Internet,属性】对话框，选择【连接】选项卡。,单击【局域网设置】按钮，出现如图,7.5,所示对话框。,输入代理服务器的,IP,地址和端口数据，单击【高级】按钮，出现如图,7.6,所示对话框。,对各种代理服务输入代理服务器的,IP,地址，并对不使用代理服务器的连接输入域名地址或,IP,地址，可以使用统配符“,*,”。依次单击【确定】按钮，完成代理服务设置。,11/26/2024,10,防火墙技术需要解决的问题,控制冗余信息造成网络传输效率下降，实时性降低,防火墙对数据的内容缺少检测，从而对计算机病毒在内的数据驱动的攻击缺少有效的防范措施,仅仅解决了内部网络的安全访问控制问题，没有从根本上解决整个,Internet,网络上的传输信息安全问题，而这些只能依靠密码技术解决,无法防火墙以外的其它途径的攻击，例如，内网有一个没有限制的拨号连接存在，内网上的用户就可以直接通过,PPP,接入,Internet,不能防止来自内网用户带来的威胁,11/26/2024,11,10.1.5,防火墙的结构,1.,双宿主主机结构,2.,屏蔽主机结构,3.,屏蔽子网结构,4.,壁垒主机,/,代理服务器构成的防火墙,11/26/2024,12,10.1.6,企业网防火墙的方案,企业网防火墙有二个部分：,屏蔽路由器,Cisco 3600,代理服务器,-,堡垒主机,屏蔽路由器提供的安全特性有：基于接口的设置；与服务无关的过滤；与服务有关的过滤。,堡垒主机上安装防火墙软件，提供信息过滤、地址转换等功能，只允许特定的信息进入内部网络，提供协议过滤，可以实现数据加密和用户认证。,11/26/2024,13,10.1.7 基于密码理论的技术,1.,数据加密技术,密码体制可以分为两大类：对称密钥和非对称密钥。对称密钥体制的加密密钥和解密密钥相同，系统的保密性基于密钥的安全性，涉及的主要问题由两个：如何产生满足保密要求的密钥；如何将密钥安全可靠的分配给通信对方。包括密钥产生、分配、存储、销毁等和管理环节。典型的单钥算法有,DES,、,IDEA,等。,在非对称密钥体制中，每个用户有一对密码，一个公开，称为公钥，一个保密，称为密钥。主要特点是将加密和解密分开。系统的安全性在于从公钥和密文推出明文和解密密钥在计算上是不可能的。与单钥体制不同的是，双钥体制不仅可以实现保密通信，而且可以用于对消息进行数字签字。在相同密钥长度的情况下，双钥体制的安全性比单钥体制更高。典型的双钥密码有,RSA,、,ELGAMAL,、,RABIN,等。,11/26/2024,14,2.,数字签名技术,数字签名在信息安全，包括身份认证、数据完整性、不可否认性、匿名性等方面有重要应用，也是实现密钥分配的重要工具。数字签名必须保证：,接收者能够核实发送者对信息的签名,发送者事后不能抵赖对信息的签名,接收者不能伪造对信息的签名,一个签字体制包含两部分：签名算法和验证算法。签名算法或签名密钥是秘密的，只有签名人掌握。而验证算法应该公开，以便于进行验证。,11/26/2024,15,3.身份认证技术,身份认证技术是证明某人或某物身份的过程，它于消息认证的区别在于：,消息认证部提供时间性，而身份认证一般都是实时的。,与数字签名一样，身份认证也分为基于共享密钥和基于公钥的。,基于共享密钥是执行一种查询问答协议，发送方发送一个随机数给接收方，接收方解密后以一种特殊形式转换它并传回结果，实现认证。该协议的关键是如何建立共享密钥，应用在大多使用,Diffie-Hellman,密钥交换协议。,11/26/2024,16,10.2,网络地址转换,NAT,用于,Intranet,安全,10.2.1 网络地址转换的用途,10.2.2 Intranet的专用IP地址,10.2.3 用路由器实现网络地址转换,10.2.4 用Windows2000实现网络地址转换,10.2.5 NAT技术用于安全的特点,10.2.6 NAT安全模型及实现结构,11/26/2024,17,10.2.1 网络地址转换的用途,网络地址转换,NAT,（Network Address Translator）,技术的用途有,2,个：,一个是进行内网（,Intranet,）和外网（因特网,Internet,）之间的地址转换,另一个是用于网络安全,NAT,最主要的用途是解决,IP,地址紧缺的问题，可以在只有一个向外合法,IP,地址的,Intranet,中实现地址复用，与因特网（外网）进行通信，提高,IP,地址的利用率,NAT,技术可以由路由器或软件实现。,11/26/2024,18,10.2.2 Intranet的专用IP地址,Internet,的,NIC,（,Network Information Center,）为了组建,Intranet,（也称为内网）的方便，规定了,Intranet,专用,IP,地址的三个地址范围用于,Intranet IP,地址的使用：,A,类地址范围,10.0.0.0-10.255.255.255,B,类地址范围,172.16.0.0-172.31.255.255,C,类地址范围,192.168.0.0-192.168.255.255,由于这些地址不是合法的,IP,地址，分配有这些,IP,地址的主机不能在因特网（外网）进行信息传输，解决这一技术问题的方法是在,Intranet,（内网）中至少有一台主机具有合法的,IP,地址，将,Intranet,专用地址通过一个可以实现网络地址转换（,NAT,）的设备或软件转换为合法的,IP,地址，用这个合法的,IP,地址代理所有内网的专用网络地址。,11/26/2024,19,10.2.3 用路由器实现网络地址转换,用路由器实现网络地址转换（,NAT,）如图,10.12,所示，由三个子网组成,11/26/2024,20,10.2.4 用Windows2000实现网络地址转换,Windows2000,提供两种方法解决,Intranet IP,地址转换，一种为,Internet,连接共享,ICS(Internet Connection Sharing),，另一种为,NAT,，在使用时只能选择其中一种。,若,Intranet,上的其他计算机通过共享计算机与,Internet,通信，需要进行两步设置,11/26/2024,21,10.2.5 NAT技术用于安全的特点,把,NAT,技术集成在防火墙系统内，对进出,Intranet,的,IP,包源和目的地址进行转换，外网所接收到的数据包中的地址已经被网关改写过，外网中用户看到的只是一个虚拟的主机。,NAT,实现过滤规则的动态化，使得外网中的主机或使用者难以了解和掌握与之通信的内网主机的真实网络地址，由于,NAT,技术可以用路由器或软件实现，与其它安全措施相比，,NAT,技术实现比较安全，属于一种系统底层的功能，对网络运行的影响很小，它对,TCP/IP,提供透明的服务，对网络应用没有影响，通信双方感觉不到,NAT,网关的存在。,11/26/2024,22,10.2.6 NAT安全模型及实现结构,在具体应用时，,NAT,技术和其他技术结合起来，如与,IP,包过滤技术结合的路由器，与,Proxy,结合的代理服务器，可以获得较优的防护效果。,11/26/2024,23,10.3 IIS为Intranet提供的安全性,10.3.1 IIS的五个安全元素,10.3.2 验证安全,10.3.3 访问控制,10.3.4 证书安全,10.3.6 审核安全,10.3.7 执行的标准,10.3.8 IIS中的安全性设置,10.3.9 IIS 安全检查表,10.3.10 为Web内容设置访问权限,10.3.11设置计算机的访问权限,11/26/2024,24,10.4 Intranet管理,10.4.1 企业网中的网络管理技术,10.4.2 SNMP管理模型,10.4.3 网管代理,10.4.4 网络管理站和SNMP规定的操作,10.4.5 网管工具的选取,10.4.6 网络管理软件的应用,10.4.7 实现系统管理的NET命令程序,10.4.8 用于网络管理的一些方法,10.4.9 网络管理的发展,11/26/2024,25,10.4.1 企业网中的网络管理技术,主要使用,SNMP,（,Simple Network Management Protocol,）和,CIMP,（,Common Management Informat