文档介绍:网络系统集成与工程设计第 5 章网络安全技术 网络系统安全技术概述 网络系统面临的安全问题从系统和应用出发,网络的安全因素可以划分为五个安全层, 即物理层、系统层、应用层、网络层和安全管理层。应该在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 2. 网络层安全风险 3. 系统层的安全风险 4. 应用层安全风险(1)身份认证漏洞(2) DNS 服务威胁(3) (4)电子邮件系统漏洞 5. 管理层安全风险 网络安全产品信息安全和网络安全产品有以下几类: (1)防火墙。(2)安全路由器。(3)虚拟专用网(VPN) 。(4)安全服务器。(5)认证中心和公钥机制。(6)用户认证产品。(7)安全管理中心。(8)数据恢复与容灾系统。(9)入侵检测系统( IDS )。( 10 )安全数据库。( 11 )安全操作系统。 信息防护技术 访问控制策略 1. 入网访问控制入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。 2. 文件和网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。(1)特殊用户(即系统管理员); (2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限; (3)审计用户,负责网络的安全控制与资源使用情况的审计。文件系统的安全主要是通过设置文件的权限来实现的。(1)文件许可权文件属性决定了文件的被访问权限,即什么人能存取或执行该文件。(2)目录级安全控制网络应允许控制用户对目录、文件、设备的访问。(3)属性安全控制属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。(4)网络服务器安全控制网络允许在服务器控制台上执行一系列操作。 加密和认证 1. 加密网络系统自身的安全涉及很多技术,这些技术在网络攻守较量中又不断发展、完善。网络的一种安全问题是数据的安全,数据安全包括传输保密和存储保密,保密最核心的是密码算法,密码算法包括加密算法、密钥管理算法及验证算法。 2. 认证传统的用户认证系统有三个功能,即对用户进行认证(Authentication) 、授权(Authorization) 和计费数据采集(Accounting) 。(1)认证(Authentication) 认证就是指用户必须提供他是谁的证明。(2)授权(Authorization) 授权主要是用户管理,即针对普通操作员。(3)计费数据采集(Accounting) ①计费管理②计费策略定制③系统管理功能 安装 Radius 认证访问服务器远程认证拨号用户服务(Remote Authentication Dial In User Service , RADIUS) 是在网络访问服务器(Network Access Server , NAS) 和集中存放认证信息的 Radius 服务器之间传输认证、授权和配置信息的协议。 1. RADIUS 的工作原理 RADIUS 以 Client/Server 方式工作,实现了对远程电话拨号用户的身份认证、授权和计费功能。 RADIUS 的工作流程是:( 1)用户拨入 NAS; (2) NAS 向 RADIUS 服务器发送一系列加密的“属性/值”; (3) RADIUS 服务器检查用户是否存在、属性/值是否匹配; (4) RADIUS 服务器发送回“接受“或“拒绝“给 NAS 。用户认证、管理和计费系统的结构如图 所示: