第三單元 網(wǎng)絡(luò)安全基礎(chǔ)項(xiàng)目八 剖析校園網(wǎng)安全體系——了解常用網(wǎng)絡(luò)安全協(xié)議第一課時(shí) 探究校園安全體系的組成 ?教材分析本節(jié)的主要內(nèi)容是探究校園安全體系的組成。網(wǎng)絡(luò)社會(huì)中,建立一套行之有效的網(wǎng)絡(luò)安全機(jī)制非常重要。這不僅需要每個(gè)人形成清醒的網(wǎng)絡(luò)安全意識(shí)、良好的信息品質(zhì)和素養(yǎng),還需要在網(wǎng)絡(luò)層面、網(wǎng)絡(luò)設(shè)備上實(shí)施各種防護(hù)措施,例如設(shè)置防火墻,制定安全的網(wǎng)絡(luò)協(xié)議,保持網(wǎng)絡(luò)設(shè)備運(yùn)行在恒溫恒濕的環(huán)境中等。本項(xiàng)目活動(dòng)的主題是了解常用網(wǎng)絡(luò)安全協(xié)議,目標(biāo)是讓學(xué)生了解網(wǎng)絡(luò)安全協(xié)議的組成作用和常用的安全設(shè)備,認(rèn)識(shí)在服務(wù)器上設(shè)置及使用簡(jiǎn)易防火墻的方法。本節(jié)課的主要內(nèi)容是探究校園網(wǎng)安全體系的組成。為了配合項(xiàng)目學(xué)習(xí)活動(dòng)的展開,設(shè)計(jì)了兩個(gè)小活動(dòng)。活動(dòng)8.1通過讓學(xué)生總結(jié)校園中的網(wǎng)絡(luò)安全設(shè)備及其作用、防護(hù)對(duì)象,深入了解校園網(wǎng)防護(hù)安全體系;活動(dòng)8.2引導(dǎo)學(xué)生針對(duì)不同的事件提出解決方法。通過本單元的學(xué)習(xí),學(xué)生要能夠認(rèn)識(shí)網(wǎng)絡(luò)應(yīng)用中信息安全和隱私保護(hù)的重要性,具備防范網(wǎng)絡(luò)安全隱患的意識(shí),能夠通過加密備份等措施保障信息安全,學(xué)會(huì)設(shè)置和使用簡(jiǎn)易防火墻,并掌握構(gòu)建個(gè)人安全網(wǎng)絡(luò)環(huán)境的基本方法。 ?教學(xué)目標(biāo)1.了解校園網(wǎng)絡(luò)安全體系的組成。2.了解各安全設(shè)備的作用。3.掌握遠(yuǎn)程訪問的方法。?教學(xué)重點(diǎn)1.網(wǎng)絡(luò)安全體系的組成;2.安全設(shè)備的作用。?教學(xué)難點(diǎn)1.安全設(shè)備的作用?教學(xué)方法體驗(yàn)法、講授法、討論法、示例法?教學(xué)準(zhǔn)備計(jì)算機(jī)教室、數(shù)據(jù)中心照片、簡(jiǎn)易防火墻、VPN設(shè)備等。?教學(xué)過程一、新課導(dǎo)入伴隨著互聯(lián)網(wǎng)的廣泛應(yīng)用,人們?cè)跀U(kuò)展信息獲取和發(fā)布能力的同時(shí),也面臨各種各樣的網(wǎng)絡(luò)安全問題。構(gòu)筑必要的網(wǎng)絡(luò)安全防護(hù)體系,建立一套有效的網(wǎng)絡(luò)安全機(jī)制,顯得尤為重要。面對(duì)網(wǎng)絡(luò)安全問題,一方面需要重視個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安全防護(hù),另一方面需要落實(shí)網(wǎng)絡(luò)設(shè)備的安全措施,制訂網(wǎng)絡(luò)安全的各類規(guī)章制度。常用的網(wǎng)絡(luò)安全措施包括使用防火墻進(jìn)行訪問控制和網(wǎng)絡(luò)隔離,以及使用安全的網(wǎng)絡(luò)協(xié)議避免數(shù)據(jù)在傳輸過程中被竊聽或者被篡改等。校園網(wǎng)的數(shù)據(jù)中心集中存放著網(wǎng)絡(luò)設(shè)備和服務(wù)器,恒溫恒濕的環(huán)境保障了設(shè)備的安全穩(wěn)定運(yùn)行(3-7)。網(wǎng)絡(luò)安全設(shè)備通常集中存放于數(shù)據(jù)中心,它們配置有相關(guān)策略,并互相配合,可有效保證校園網(wǎng)及網(wǎng)絡(luò)應(yīng)用的安全運(yùn)行。3-7某校園網(wǎng)數(shù)據(jù)中心二、網(wǎng)絡(luò)安全設(shè)備1.防火墻定義防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。主要功能過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)防止不安全的協(xié)議和服務(wù)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為記錄通過防火墻的信息內(nèi)容 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)與警告防止外部對(duì)內(nèi)部網(wǎng)絡(luò)信息的獲取提供與外部連接的集中管理主要類型網(wǎng)絡(luò)層防火墻一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合,防火墻就會(huì)使用默認(rèn)規(guī)則,一般情況下,默認(rèn)規(guī)則就是要求防火墻丟棄該包,其次,通過定義基于TCPUDP數(shù)據(jù)包的端口號(hào),防火墻能夠判斷是否允許建立特定的連接,如 Telnet、FTP連接。應(yīng)用層防火墻針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。2、IDS(入侵檢測(cè)系統(tǒng)) 定義入侵檢測(cè)即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集并分析信息, 監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。入侵 檢測(cè)系統(tǒng)通常包含3個(gè)必要的功能組件:信息來源、分析引擎和響應(yīng)組件。 工作原理信息收集信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)利用的信息一般來自:系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄 和文件改變、非正常的程序執(zhí)行這三個(gè)方面。 信號(hào)分析對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信 息,是通過模式匹配、統(tǒng)計(jì)分析和完整性分析這三種手段進(jìn)行分析 的。前兩種用于實(shí)時(shí)入侵檢測(cè),完整性分析用于事后分析。 告警與響應(yīng)根據(jù)入侵性質(zhì)和類型,做出相應(yīng)的告警與響應(yīng)。主要功能它能夠提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等多項(xiàng)功能,對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)監(jiān)控,在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。實(shí)時(shí)監(jiān)測(cè)實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文,發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文;安全審計(jì)對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)異?,F(xiàn)象,得出系統(tǒng)的安全狀態(tài),找出所需要的證據(jù)主動(dòng)響應(yīng)主動(dòng)切斷連接或與防火墻聯(lián)動(dòng),調(diào)用其他程序處理。主要類型:基干主機(jī)的入停檢測(cè)系統(tǒng)(HIDS)基干主機(jī)的入侵檢測(cè)系統(tǒng)是早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu),通常是軟件型的,直接安裝在需要保護(hù)的主機(jī)。。其檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地日戶,檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。這種檢測(cè)方式的優(yōu)點(diǎn)主要有信息更詳細(xì)、誤報(bào)率要低、部署靈活。這種方式的缺點(diǎn)主要有會(huì)降低應(yīng)用系統(tǒng)的性能;依賴于服務(wù)器原有的日志與監(jiān)視能力代價(jià)較大;不能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè);需安裝多個(gè)針對(duì)不同系統(tǒng)的檢測(cè)系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)基于網(wǎng)絡(luò)的入侵檢測(cè)方式是目前一種比較主流的監(jiān)測(cè)方式,這類檢測(cè)系統(tǒng)需要有一臺(tái)專門的檢測(cè)設(shè)備。檢測(cè)設(shè)備放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)句,而不再是只監(jiān)測(cè)單一主機(jī)。它對(duì)所監(jiān)測(cè)的網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析,如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合,入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào),甚至直接切斷網(wǎng)絡(luò)連接。目前,大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。這種檢測(cè)技術(shù)的優(yōu)點(diǎn)主要有能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊和超過授權(quán)的非法訪問;不需要改變服務(wù)器等主機(jī)的配置,也不會(huì)影響主機(jī)性能;風(fēng)險(xiǎn)低;配置簡(jiǎn)單。其缺點(diǎn)主要是:成本高、檢測(cè)范圍受局限;大量計(jì)算,影響系統(tǒng)性能;大量分析數(shù)據(jù)流,影響系統(tǒng)性能;對(duì)加密的會(huì)話過程處理較難網(wǎng)絡(luò)流速高時(shí)可能會(huì)丟失許多封包,容易讓入侵者有機(jī)可乘無法檢測(cè)加密的封包;對(duì)于直接對(duì)主機(jī)的入侵無法檢測(cè)出。 3、IPS(入侵防御系統(tǒng))定義入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行 為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備,能夠即時(shí)的中斷、調(diào)整或隔離一些不正?;蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。主要功能入侵防護(hù)實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、Dos等惡意流量,保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。Web安全基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測(cè)結(jié)果,結(jié)合URL信譽(yù)評(píng)價(jià)技術(shù),保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時(shí)不受侵 害,及時(shí)、有效地第一時(shí)間攔截Web威脅。 流量控制阻斷一切非授權(quán)用戶流量,管理合法網(wǎng)絡(luò)資源的利用,有效保證關(guān)鍵應(yīng)用全天候暢通無阻,通過保護(hù)關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。上網(wǎng)監(jiān)管全面監(jiān)測(cè)和管理IM即時(shí)通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻,以及在線炒股等網(wǎng)絡(luò)行為,協(xié)助企業(yè)辨識(shí)和限制非授權(quán)網(wǎng)絡(luò)流量,更好地執(zhí)行企業(yè)的安全策略。主要類型基于特征的IPS這是許多IPS解決方案中最常用的方法。把特征添加到設(shè)備中,可識(shí)別當(dāng)前最常見的攻擊。也被稱為模式匹配IPS。特征庫(kù)可以添加、調(diào)整和更新,以應(yīng)對(duì)新的攻擊。基于異常的IPS也被稱為基于行規(guī)的IPS?;诋惓5姆椒梢杂媒y(tǒng)計(jì)異常檢測(cè)和非統(tǒng)計(jì)異常檢測(cè)。基于策略的IPS它更關(guān)心的是是否執(zhí)行組織的安保策略。如果檢測(cè)的活動(dòng)違反了組織的安保策略就觸發(fā)報(bào)警。使用這種方法的IPS,要把安全策略寫入設(shè)備之中。基于協(xié)議分析的IPS它與基于特征的方法類似。大多數(shù)情況檢查常見的特征,但基于協(xié)議分析的方法可以做更深入的數(shù)據(jù)包檢查,能更靈活地發(fā)現(xiàn)某些類型的攻擊。4、漏洞掃描設(shè)備定義漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù),通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè),發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)(滲透攻擊)行為。主要功能可以對(duì)網(wǎng)站、系統(tǒng)、數(shù)據(jù)庫(kù)、端口、應(yīng)用軟件等一些網(wǎng)絡(luò)設(shè)備應(yīng)用進(jìn)行智能識(shí)別掃描檢測(cè),并對(duì)其檢測(cè)出的漏洞進(jìn)行報(bào)警提示管理人員進(jìn)行修復(fù)。同時(shí)可以對(duì)漏洞修復(fù)情況進(jìn)行監(jiān)督并自動(dòng)定時(shí)對(duì)漏洞進(jìn)行審計(jì)提高漏洞修復(fù)效率。定期的網(wǎng)絡(luò)安全自我檢測(cè)、評(píng)估安全檢測(cè)可幫助客戶最大可能的消除安全隱患,盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ),有效的利用已有系統(tǒng),提高網(wǎng)絡(luò)的運(yùn)行效率。安裝新軟件、啟動(dòng)新服務(wù)后的檢查由于漏洞和安全隱患的形式多種多樣,安裝新軟件和啟動(dòng)新服務(wù)都有可能使原來隱藏的漏洞暴露出來,因此進(jìn)行這些操作之后應(yīng)該重新掃描系統(tǒng),才能使安全得到保障。網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測(cè)試網(wǎng)絡(luò)安全事故后的分析調(diào)查網(wǎng)絡(luò)安全事故后可以通過網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在,幫助彌補(bǔ)漏洞,盡可能多得提供資料方便調(diào)查攻擊的來源。重大網(wǎng)絡(luò)安全事件前的準(zhǔn)備重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠幫助用戶及時(shí)的找出網(wǎng)絡(luò)中存在的隱患和漏洞,幫助用戶及時(shí)的彌補(bǔ)漏洞。主要類型針對(duì)網(wǎng)絡(luò)的掃描器:基于網(wǎng)絡(luò)的掃描器就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計(jì) 算機(jī)中的漏洞。價(jià)格相對(duì)來說比較便宜,在操作過程中,不需要涉及 到目標(biāo)系統(tǒng)的管理員,在檢測(cè)過程中不需要在目標(biāo)系統(tǒng)上安裝任何東 西維護(hù)簡(jiǎn)便。 針對(duì)主機(jī)的掃描器:基于主機(jī)的掃描器則是在目標(biāo)系統(tǒng)上安裝了一 個(gè)代理或者是服務(wù),以便能夠訪問所有的文件與進(jìn)程,這也使得基于 主機(jī)的掃描器能夠掃描到更多的漏洞。 針對(duì)數(shù)據(jù)庫(kù)的掃描器:數(shù)據(jù)庫(kù)漏掃可以檢測(cè)出數(shù)據(jù)庫(kù)的DBMS 漏 洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。5、安全隔離網(wǎng)閘定義安全隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立網(wǎng)絡(luò)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立網(wǎng)絡(luò)系統(tǒng)之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議擺渡,且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有兩個(gè)命令。  所以,物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使黑客無法入侵、無法攻擊、無法破壞,實(shí)現(xiàn)了真正的安全。功能模塊安全隔離閘門的功能模塊有:安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計(jì)、身份認(rèn)證主要功能阻斷網(wǎng)絡(luò)的直接物理連接:物理隔離網(wǎng)閘在任何時(shí)刻都只能與非可信網(wǎng)絡(luò)和可信網(wǎng)絡(luò)上之一相連接,而不能同時(shí)與兩個(gè)網(wǎng)絡(luò)連接;阻斷網(wǎng)絡(luò)的邏輯連接:物理隔離網(wǎng)閘不依賴操作系統(tǒng)、不支持TCP/IP協(xié)議。兩個(gè)網(wǎng)絡(luò)之間的信息交換必須將TCP/IP 協(xié)議剝離,將原始數(shù)據(jù)通過P2P的非TCP/IP連接方式,通過存儲(chǔ)介質(zhì)的寫入讀出完成數(shù)據(jù)轉(zhuǎn)發(fā);安全審查:物理隔離網(wǎng)閘具有安全審查功能,即網(wǎng)絡(luò)在將原始數(shù)據(jù)寫入物理隔離網(wǎng)閘前,根據(jù)需要對(duì)原始數(shù)據(jù)的安全性進(jìn)行檢查,把可能的病毒代碼、惡意攻擊代碼消滅干凈等:原始數(shù)據(jù)無危害性:物理隔離網(wǎng)閘轉(zhuǎn)發(fā)的原始數(shù)據(jù),不具有攻擊或?qū)W(wǎng)絡(luò)安全有害的特性。就像txt文本不會(huì)有病毒一樣,也不會(huì)執(zhí)行命令等。管理和控制功能:建立完善的日志系統(tǒng)。根據(jù)需要建立數(shù)據(jù)特征庫(kù):在應(yīng)用初始化階段,結(jié)合應(yīng)用要求,提取應(yīng)用數(shù)據(jù)的特征,形成用戶特有的數(shù)據(jù)特征庫(kù),作為運(yùn)行過程中數(shù)據(jù)校驗(yàn)的基礎(chǔ)。當(dāng)用戶請(qǐng)求時(shí),提取用戶的應(yīng)用數(shù)據(jù),抽取數(shù)據(jù)特征和原始數(shù)據(jù)特征庫(kù)比較,符合原始特征庫(kù)的數(shù)據(jù)請(qǐng)求進(jìn)入請(qǐng)求隊(duì)列,不符合的返回用戶,實(shí)現(xiàn)對(duì)數(shù)據(jù)的過濾。根據(jù)需要提供定制安全策略和傳輸策略的功能:用戶可以自行設(shè)定數(shù)據(jù)的傳輸策略,如:傳輸單位(基于數(shù)據(jù)還是基于任務(wù))、傳輸間隔、傳輸方向、傳輸時(shí)間、啟動(dòng)時(shí)間等。支持定時(shí)/實(shí)時(shí)文件交換;支持支持單向/雙向文件交換;支持?jǐn)?shù)字簽名、內(nèi)容過濾、病毒檢查等功能。6、VPN設(shè)備定義虛擬專用網(wǎng)絡(luò)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒 有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)在邏輯鏈路中傳輸。主要功能 通過隧道或虛電路實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)支持用戶安全管理 能夠進(jìn)行網(wǎng)絡(luò)監(jiān)控、故障診斷。主要類型按所用的設(shè)備類型進(jìn)行分類:主要為交換機(jī)、路由器和防火墻:(1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務(wù)即可;(2)交換機(jī)式VPN:主要應(yīng)用于連接用戶較少的VPN 網(wǎng)絡(luò):(3)防火墻式VPN:防火墻式VPN是最常見的一種VPN的實(shí)現(xiàn)方式,許多廠商都提供這種配置類型:VPN的隧道協(xié)議主要有三種,PPTP、L2TPIPSec,其中PPTPL2TP協(xié)議工作在0SI模型的第二層,又稱為二層隧道協(xié)議IPSec是第三層隧道協(xié)議。7、流量監(jiān)控設(shè)備定義網(wǎng)絡(luò)流量控制是一種利用軟件或硬件方式來實(shí)現(xiàn)對(duì)電腦網(wǎng)絡(luò)流量的控制。它的最主要方法,是引入QoS的概念,從通過為不同類型的網(wǎng)絡(luò)數(shù)據(jù)包標(biāo)記,從而決定數(shù)據(jù)包通行的優(yōu)先次序。主要功能全面透視網(wǎng)絡(luò)流量,快速發(fā)現(xiàn)與定位網(wǎng)絡(luò)故障保障關(guān)鍵應(yīng)用的穩(wěn)定運(yùn)行,確保重要業(yè)務(wù)順暢地使用網(wǎng)絡(luò)限制與工作無關(guān)的流量,防止對(duì)帶寬的濫用 管理員工上網(wǎng)行為,提高員工網(wǎng)上辦公的效率依照法規(guī)要求記錄上網(wǎng)日志,避免違法行為保障內(nèi)部信息安全,減少泄密風(fēng)險(xiǎn)保障服務(wù)器帶寬,保護(hù)服務(wù)器安全內(nèi)置企業(yè)級(jí)路由器與防火墻,降低安全風(fēng)險(xiǎn)專業(yè)負(fù)載均衡,提升多線路的使用價(jià)值8、防病毒網(wǎng)關(guān)(防毒墻)定義防病毒網(wǎng)關(guān)是一種網(wǎng)絡(luò)設(shè)備,用以保護(hù)網(wǎng)絡(luò)內(nèi)(一般是局域網(wǎng))進(jìn)出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾(如色情、反動(dòng))、垃圾郵件陽(yáng)止的功能,同時(shí)部分設(shè)備也具有一定防火墻(劃分Vlan)的功能。主要功能病毒殺除關(guān)鍵字過濾垃圾郵件阻止的功能部分設(shè)備也具有一定防火墻 能夠檢測(cè)進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù),對(duì)http、、IMAPPOP3五種協(xié)議的數(shù)據(jù)進(jìn)行病毒掃描,一旦發(fā)現(xiàn)病毒就會(huì)采取相應(yīng)的手段進(jìn)行隔離或查殺,在防護(hù)病毒方面起到了非常大的作用。9、WAF(Web應(yīng)用防火墻定義Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一種設(shè)備。 主要功能審計(jì)設(shè)備:用來截獲所以HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會(huì)話;訪問控制設(shè)備:用來控制對(duì)Web應(yīng)用的訪問,既包括主動(dòng)安全模式也包括被動(dòng)安全模式。架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)工具:當(dāng)運(yùn)行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎(chǔ)結(jié)構(gòu)等。WEB應(yīng)用加固工具:這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性,它不僅能夠屏蔽WEB應(yīng)用固有弱點(diǎn),而且能夠保護(hù)WEB 應(yīng)用編程錯(cuò)誤導(dǎo)致的安全隱患。主要包括防攻擊、防漏洞、防暗鏈、防爬蟲、防掛馬、抗DDos等。   三、探究校園網(wǎng)安全體系的組成在一個(gè)校園網(wǎng)中,通常會(huì)有學(xué)校主頁(yè)、電子郵件系統(tǒng)教學(xué)管理系統(tǒng)、學(xué)生管理系統(tǒng)、財(cái)務(wù)系統(tǒng)等多個(gè)重要信息系統(tǒng),這些系統(tǒng)可以通過互聯(lián)網(wǎng)直接訪問。如果不采取防范措施進(jìn)行訪問控制,校園網(wǎng)非常容易受到黑客的攻擊。圖3-8顯示了某校園網(wǎng)的安全體系結(jié)構(gòu)。3-8某校園網(wǎng)安全體系結(jié)構(gòu)在校園網(wǎng)的出口處,通常會(huì)布設(shè)出口防火墻來實(shí)現(xiàn)訪問控制。防火墻以檢查源IP地址、目的IP地址、協(xié)議號(hào)、源端口、目的端口的方式來決定是否允許數(shù)據(jù)通過。在TCP/IP協(xié)議中存在著一些標(biāo)準(zhǔn)的服務(wù)端口號(hào),如HTTP的端口號(hào)為80。通過屏蔽特定的端口,就可以禁止特定的服務(wù),從而有效避免來自外部的網(wǎng)絡(luò)攻擊,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。這里的網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。對(duì)重要的數(shù)據(jù)中心區(qū)域,需要布設(shè)數(shù)據(jù)中心防火墻,對(duì)數(shù)據(jù)中心內(nèi)部服務(wù)器進(jìn)行更加精細(xì)的訪問控制,并根據(jù)特征庫(kù)對(duì)某些攻擊行為進(jìn)行阻斷。數(shù)據(jù)中心防火墻不僅對(duì)來自互聯(lián)網(wǎng)的訪問進(jìn)行訪問控制,對(duì)來自內(nèi)部網(wǎng)絡(luò)的訪問也同樣進(jìn)行訪問控制。通過將網(wǎng)絡(luò)流量映射給入侵檢測(cè)系統(tǒng),可以對(duì)網(wǎng)絡(luò)中的各種行為依據(jù)特征庫(kù)進(jìn)行更加精準(zhǔn)的識(shí)別,提前發(fā)現(xiàn)某些網(wǎng)絡(luò)攻擊或漏洞利用行為,提升整個(gè)網(wǎng)絡(luò)的安全性。漏洞掃描工具則每間隔一段時(shí)間對(duì)數(shù)據(jù)中心內(nèi)的所有服務(wù)器進(jìn)行漏洞掃描,提前發(fā)現(xiàn)服務(wù)器中存在的漏洞,便于管理人員進(jìn)行修復(fù)。此外還有Web應(yīng)用防火墻,用于檢查網(wǎng)頁(yè)訪問流量。發(fā)現(xiàn)有威脅網(wǎng)絡(luò)安全的網(wǎng)絡(luò)攻擊等行為,該防火墻就馬上進(jìn)行阻斷。出于安全考慮,一些重要的內(nèi)部應(yīng)用系統(tǒng)往往被設(shè)置為只允許在校園網(wǎng)的內(nèi)網(wǎng)中訪問。當(dāng)教師們?cè)谧约杭依镛k公或是去外地出差,想要遠(yuǎn)程訪問這些內(nèi)部應(yīng)用系統(tǒng)的數(shù)據(jù)資源時(shí),就需要建立一條安全的專用隧道VPN來滿足他們的需求。有些學(xué)校設(shè)有分校區(qū),分校區(qū)必定有使用主校區(qū)內(nèi)網(wǎng)資源的需求。如果主校區(qū)與分校區(qū)之間是通過公用網(wǎng)絡(luò)互訪,兩個(gè)校區(qū)之間就需要建立一條安全的點(diǎn)對(duì)點(diǎn)專用隧道,使分校區(qū)不用每次進(jìn)行VPN撥號(hào)就可以直接訪問主校區(qū)的內(nèi)網(wǎng)資源。這些功能都是通過布設(shè)VPN設(shè)備來完成的。思考與討論出口防火墻、數(shù)據(jù)中心防火墻和Web應(yīng)用防火墻都屬于硬件防火墻。為什么要布設(shè)那么多道硬件防火墻?它們與軟件防火墻的作用相同嗎?參考:不同位置的防火墻防護(hù)的側(cè)重點(diǎn)不同。其中,出口防火墻對(duì)整個(gè)內(nèi)網(wǎng)進(jìn)行防護(hù),數(shù)據(jù)中心防火墻對(duì)數(shù)據(jù)中心內(nèi)的服務(wù)器進(jìn)行防護(hù),Web應(yīng)用防火墻主要針對(duì)網(wǎng)頁(yè)的訪問流量進(jìn)行防護(hù)。硬件防火墻和軟件防火墻的原理相同,但是硬件防火墻的防護(hù)性能更好,可以對(duì)大規(guī)模的攻擊進(jìn)行防護(hù)。  四、課堂活動(dòng)1.校園網(wǎng)中的網(wǎng)絡(luò)安全設(shè)備有哪些?防護(hù)對(duì)象分別是什么?主要起到什么作用?網(wǎng)絡(luò)安全設(shè)備出口防火墻    防護(hù)對(duì)象     主要作用     參考:出口防火墻防護(hù)對(duì)象為校園網(wǎng)內(nèi)所有設(shè)備,主要作用是將校園網(wǎng)和互聯(lián)網(wǎng)隔離,并進(jìn)行訪問控制。數(shù)據(jù)中心防火墻防護(hù)對(duì)象為數(shù)據(jù)中心內(nèi)所有服務(wù)器,主要作用是對(duì)數(shù)據(jù)中心內(nèi)的服務(wù)器進(jìn)行訪問控制。入侵檢測(cè)系統(tǒng)防護(hù)對(duì)象為數(shù)據(jù)中心內(nèi)所有服務(wù)器,主要作用是依據(jù)特征庫(kù)對(duì)網(wǎng)絡(luò)行為進(jìn)行更加準(zhǔn)確的識(shí)別,提前發(fā)現(xiàn)某些網(wǎng)絡(luò)攻擊或漏洞利用行為。漏洞掃描工具防護(hù)對(duì)象為數(shù)據(jù)中心內(nèi)所有服務(wù)器,主要作用是進(jìn)行漏洞掃描,提前發(fā)現(xiàn)漏洞。Web防火墻防護(hù)對(duì)象為數(shù)據(jù)中心內(nèi)所有服務(wù)器,主要作用是檢查網(wǎng)頁(yè)訪問流量,阻斷網(wǎng)絡(luò)攻擊行為。 2.信息安全事件可能導(dǎo)致許多威脅,請(qǐng)針對(duì)以下情況分別列舉應(yīng)對(duì)措施。(1)網(wǎng)站頁(yè)面被篡改,出現(xiàn)不符合國(guó)家法律的言論(2)網(wǎng)站被植入木馬,受到黑客控制(3)網(wǎng)站不能提供正常服務(wù)(4)用戶信息被售賣,用戶權(quán)利被侵犯(5)機(jī)密信息被竊取,對(duì)國(guó)家安全造成威脅參考:(1)應(yīng)立即停止服務(wù),查找網(wǎng)站頁(yè)面被篡改的原因,并對(duì)漏洞進(jìn)行修復(fù)(2)應(yīng)立即查殺病毒和木馬,確認(rèn)木馬被刪除后方可恢復(fù)服務(wù)。(3)確認(rèn)是否為拒絕服務(wù)攻擊還是系統(tǒng)本身故障造成的,定位原因后恢復(fù)服務(wù)。(4)確認(rèn)用戶信息泄露的原因,并進(jìn)行修復(fù),及時(shí)向警方報(bào)警。(5)定位機(jī)密信息被竊取的原因,修復(fù)漏洞,及時(shí)向警方報(bào)警。         

相關(guān)課件

高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)3.了解常用網(wǎng)絡(luò)安全協(xié)議的作用公開課課件ppt:

這是一份高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)3.了解常用網(wǎng)絡(luò)安全協(xié)議的作用公開課課件ppt,文件包含項(xiàng)目八第三課時(shí)pptx、項(xiàng)目八第三課時(shí)doc等2份課件配套教學(xué)資源,其中PPT共22頁(yè), 歡迎下載使用。

高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)2.配置校園網(wǎng)防火墻完美版ppt課件:

這是一份高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)2.配置校園網(wǎng)防火墻完美版ppt課件,文件包含項(xiàng)目八第二課時(shí)pptx、項(xiàng)目八第二課時(shí)doc等2份課件配套教學(xué)資源,其中PPT共26頁(yè), 歡迎下載使用。

高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)3.對(duì)重要信息進(jìn)行加密試講課課件ppt:

這是一份高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)3.對(duì)重要信息進(jìn)行加密試講課課件ppt,文件包含項(xiàng)目七第三課時(shí)pptx、項(xiàng)目七第三課時(shí)doc等2份課件配套教學(xué)資源,其中PPT共42頁(yè), 歡迎下載使用。

英語(yǔ)朗讀寶

相關(guān)課件 更多

高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)1.應(yīng)對(duì)網(wǎng)絡(luò)安全威脅評(píng)優(yōu)課ppt課件

高中信息技術(shù)滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)1.應(yīng)對(duì)網(wǎng)絡(luò)安全威脅評(píng)優(yōu)課ppt課件
信息技術(shù)選修2 網(wǎng)絡(luò)基礎(chǔ)1.應(yīng)對(duì)網(wǎng)絡(luò)安全威脅精品ppt課件

信息技術(shù)選修2 網(wǎng)絡(luò)基礎(chǔ)1.應(yīng)對(duì)網(wǎng)絡(luò)安全威脅精品ppt課件
滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)1.判斷校園網(wǎng)的網(wǎng)絡(luò)類型和拓?fù)浣Y(jié)構(gòu)精品課件ppt

滬教版(2019)選修2 網(wǎng)絡(luò)基礎(chǔ)1.判斷校園網(wǎng)的網(wǎng)絡(luò)類型和拓?fù)浣Y(jié)構(gòu)精品課件ppt
高中信息技術(shù)1.嘗試使用插入排序法實(shí)現(xiàn)商品銷量排序獲獎(jiǎng)?wù)n件ppt

高中信息技術(shù)1.嘗試使用插入排序法實(shí)現(xiàn)商品銷量排序獲獎(jiǎng)?wù)n件ppt
資料下載及使用幫助
版權(quán)申訴
版權(quán)申訴
若您為此資料的原創(chuàng)作者,認(rèn)為該資料內(nèi)容侵犯了您的知識(shí)產(chǎn)權(quán),請(qǐng)掃碼添加我們的相關(guān)工作人員,我們盡可能的保護(hù)您的合法權(quán)益。
入駐教習(xí)網(wǎng),可獲得資源免費(fèi)推廣曝光,還可獲得多重現(xiàn)金獎(jiǎng)勵(lì),申請(qǐng) 精品資源制作, 工作室入駐。
版權(quán)申訴二維碼
高中信息技術(shù)滬教版 (2019)選修2 網(wǎng)絡(luò)基礎(chǔ)電子課本

1. 探究校園網(wǎng)安全體系的組成

版本: 滬教版 (2019)

年級(jí): 選修2 網(wǎng)絡(luò)基礎(chǔ)

切換課文
所有DOC左下方推薦
歡迎來到教習(xí)網(wǎng)
  • 900萬優(yōu)選資源,讓備課更輕松
  • 600萬優(yōu)選試題,支持自由組卷
  • 高質(zhì)量可編輯,日均更新2000+
  • 百萬教師選擇,專業(yè)更值得信賴
微信掃碼注冊(cè)
qrcode
二維碼已過期
刷新

微信掃碼,快速注冊(cè)

手機(jī)號(hào)注冊(cè)
手機(jī)號(hào)碼

手機(jī)號(hào)格式錯(cuò)誤

手機(jī)驗(yàn)證碼 獲取驗(yàn)證碼

手機(jī)驗(yàn)證碼已經(jīng)成功發(fā)送,5分鐘內(nèi)有效

設(shè)置密碼

6-20個(gè)字符,數(shù)字、字母或符號(hào)

注冊(cè)即視為同意教習(xí)網(wǎng)「注冊(cè)協(xié)議」「隱私條款」
QQ注冊(cè)
手機(jī)號(hào)注冊(cè)
微信注冊(cè)

注冊(cè)成功

返回
頂部