文档介绍:网络系统集成与工程设计
第 5 章网络安全技术
网络系统安全技术概述
网络系统面临的安全问题
从系统和应用出发,网络的安全因素可以划分为五个安全层,即物理层、系统层、应用层、网络层和安全管理层。应该在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。
2. 网络层安全风险
3. 系统层的安全风险
4. 应用层安全风险
(1)身份认证漏洞
(2)DNS服务威胁
(3)
(4)电子邮件系统漏洞
5. 管理层安全风险
网络安全产品
信息安全和网络安全产品有以下几类:
(1)防火墙。
(2)安全路由器。
(3)虚拟专用网(VPN)。
(4)安全服务器。
(5)认证中心和公钥机制。
(6)用户认证产品。
(7)安全管理中心。
(8)数据恢复与容灾系统。
(9)入侵检测系统(IDS)。
(10)安全数据库。
(11)安全操作系统。
信息防护技术
访问控制策略
1. 入网访问控制
入网访问控制为网络访问提供了第一层访问控制。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。
2. 文件和网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。
(1)特殊用户(即系统管理员);
(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;
(3)审计用户,负责网络的安全控制与资源使用情况的审计。
文件系统的安全主要是通过设置文件的权限来实现的。
(1)文件许可权
文件属性决定了文件的被访问权限,即什么人能存取或执行该文件。
(2)目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。
(3)属性安全控制
属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。
(4)网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。
加密和认证
1. 加密
网络系统自身的安全涉及很多技术,这些技术在网络攻守较量中又不断发展、完善。网络的一种安全问题是数据的安全,数据安全包括传输保密和存储保密,保密最核心的是密码算法,密码算法包括加密算法、密钥管理算法及验证算法。
安装Radius认证访问服务器
远程认证拨号用户服务(Remote Authentication Dial In User Service,RADIUS)work Access Server,NAS)和集中存放认证信息的Radius服务器之间传输认证、授权和配置信息的协议。
1. RADIUS的工作原理
RADIUS以Client/Server方式工作,实现了对远程电话拨号用户的身份认证、授权和计费功能。
RADIUS的工作流程是:(1)用户拨入NAS; (2)NAS向RADIUS服务器发送一系列加密的“属性/值”; (3)RADIUS服务器检查用户是否存在、属性/值是否匹配;(4)RADIUS服务器发送回“接受“或“拒绝“给NAS。
用户认证、: