第2章-局域网的安全课件.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第2章 局域网的安全,主讲：,2.1 局域网概述,2.1.1,局域网的体系结构,2.1.2,局域网的标准,2.1.1 局域网的体系结构,局域网（Local Area Network，LAN）是在小范围内将各种数据通信设备互联起来，进行数据通信和资源共享的计算机网络。,在IEEE 802标准中，只定义了物理层和数据链路层两层，参考模型如下图所示。,2.1.2 局域网的标准,为了促进局域网的标准化，1980年2月，IEEE学会下属的802局域网络标准委员会宣告成立，专门从事局域网络标准化制订工作，并于1984年首先推出了IEEE 802系列标准中的IEEE 802.1IEEE 802.5，以后又陆续推出了IEEE 802.6IEEE 802.17。,2.2 局域网的安全措施,2.2.1,网络本身的安全设置,2.2.2,网络操作系统的安全,2.2.1 网络本身的安全设置,1.网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。,2.组建交换式局域网。对局域网的中心交换机进行网络分段后，由于使用共享式集线器，当用户与主机进行数据通信时，两台计算机之间的数据包会被同一台集线器上的其他用户所侦听。,2.2.2 网络操作系统的安全,1.安全密码控制,操作系统安装完成后，设置一个足够强壮的账号和密码非常关键，并最好将不用的匿名用户都删除。Windows NT操作系统是通过用户级别来设置用户的操作权限，所以配置安全策略十分必要。,2.安全漏洞扫描和补丁安装,对于目前的网络操作系统，用户需要经常关注它的官方站点，下载系统补丁程序。对于Windows系列的操作系统，可以登录微软官方网站更新大部分的系统组件，修补漏洞。,3.防火墙和杀毒软件,在局域网的构建中，安装一款优秀的杀毒软件十分重要。对杀毒软件的要求是该杀毒软件必须要有足够强大的病毒库，并且容易升级，同时，对于一些未知病毒应该具有一定的预测能力。,2.3 局域网安全备份技术,2.3.1,备份模式,2.3.2,备份策略,2.3.3,备份硬件和软件,2.3.1 备份模式,1.逻辑备份,在逻辑备份中，每个文件都是由不同的逻辑块组成的。每一个逻辑的文件块存储在连续的物理磁盘块上，但组成一个文件的不同逻辑块极有可能存储在分散的磁盘块上。备份软件通常既可以进行文件操作，又可以对磁盘块进行操作。,2.物理备份,物理备份是通过系统复制磁盘块文件到备份设备的方式，这种方式提高了备份的性能。为了允许文件恢复，基于设备的备份必须要收集文件和目录如何在磁盘上组织的信息，才能使备份媒介上的物理块与特定的文件关联。,2.3.2 备份策略,1.完全备份,完全备份指的是每次对所有系统数据进行备份。由于每次是对系统进行完全备份，在备份数据中有大量内容是重复的，这些重复数据占用了大量的磁盘空间，并且需要备份的数据量相当大，备份所需时间也就较长。,2.增量备份,增量备份指的是对系统的备份点进行设置，当下次进行系统备份的时候只存储系统里面增加的信息点。,3.差分备份,差分备份指的是先进行一次系统完全备份，以后数据的备份都是选择和当前系统不同的部分，将不同的信息点记录下来。恢复的时候，只要使用系统全备份的磁盘与发生灾难前一天的备份磁盘，就可以将系统完全恢复。,2.3.2 备份硬件和软件,1.备份硬件,备份硬件指的是存储备份信息的设备，它包括硬盘介质存储、光盘介质存储和磁带存储。常见的磁盘方式有磁盘阵列和磁盘冗余。磁盘阵列是RAID的中文名称，也就是将多个物理磁盘组成一个逻辑磁盘。目前RAID常用的有RAID 0，RAID 1等。,2.备份软件,备份软件是进行系统信息备份的主要部分，一款好的备份软件决定了数据备份的效率、安全性等方面。目前的备份软件分为专业和非专业两大类。,2.4 局域网存储技术,2.4.1,直连方式存储,2.4.2,网络附加存储,2.4.3,存储区域网络,2.4.1 直连方式存储,直连方式存储（DAS）是最先被采用的网络存储系统。在DAS存储体系结构中，为避免出现单点错误，通常采用多个服务器共享一个存储系统。,DAS存储方式如下图所示。,2.4.2 网络附加存储,网络附加存储（NAS）是一种专业的网络文件存储及文件备份解决方案。它基于局域网设计，按照TCP/IP协议进行通信，以文件输入/输出方式进行数据传输。,NAS系统包括处理器、文件服务管理模块和多个用于数据存储的硬盘驱动器。它可以应用在任何网络环境中，主服务器和客户端可以非常方便地在NAS上存取任意格式的文件，包括SMB格式、NFS格式和CIFS格式等。,2.4.3 存储区域网络,存储区域网络（SAN）是一种通过光纤集线器、光纤路由器、光纤交换机等连接设备将磁盘阵列等存储设备与相关服务器连接起来的高速专用子网，提供了一种与现有LAN连接的简易方法，允许企业独立地增加它们的存储容量。,NAS存储方式如下图所示。,2.5 局域网故障检测技术,2.5.1,网络连通性的检测,2.5.2,病毒检测,2.5.3,网络检测工具,2.5.1 网络连通性的检测,如果网络不通，应该考虑网卡是否安装正确，是否与其他设备有冲突或者网络是否损坏。这时应该首先查看网络协议是否安装，设置的网络参数是否正确，如果这些没有问题，再检查网络线缆是否损坏。,当出现一种网络应用故障时，若无法接入Internet，首先尝试使用其他网络应用，如果其他网络应用可正常使用，可以排除连通性的故障问题，而判定是网络设置的问题。,2.5.2 病毒检测,有些网络故障可能是由网络病毒造成的，如果网络服务出现不正常的情况，可以使用杀毒软件进行病毒查杀。目前，很多网络病毒都可能造成网络故障，所以病毒检测在排除网络故障中十分重要。,2.5.3 网络检测工具,Windows NT,操作系统中提供了,ping、pathping、tracert、netstat,等相关的网络测试命令，灵活使用这些命令，实现对网络的检测和管理是比较方便的。,（1）ping命令。用于测试本地主机和远程主机是否可以连通。,（2）tracert命令。它是实现网络路由跟踪的命令，它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来。,（3）netstat命令。用于检测网络上的连接情况，可以告知用户所有的连接及其详细的端口。,（4）pathping命令。用于跟踪数据包到达目标网络所采用的路由，并显示路径中每个路由器的数据包损失的信息。,2.6 访问控制技术,2.6.1,自主访问控制技术,2.6.2,强制访问控制技术,2.6.1 自主访问控制技术,自主访问控制模型（DAC Model）是根据自主访问控制策略建立的一种模型。它允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。,自主访问控制模型的特点是授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制的目的。,2.6.2 强制访问控制技术,强制访问控制模型（MAC Model）是一种多级访问控制策略。它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。,2.7 虚拟局域网,2.7.1,VLAN划分的原则,2.7.2,VLAN的划分方法,2.7.1 VLAN划分的原则,VLAN有5种划分原则，列举如下：,（1）基于端口划分,（2）基于MAC划分,（3）基于网络层协议划分,（4）基于IP组播划分,（5）基于用户划分,2.7.2,VLAN的划分方法,关于VLAN的划分方法，请同学们参考教材本节中的内容。,本章小结,本章主要讲述局域网的相关安全知识。从局域网的体系结构出发，描述局域网的模型和相关的局域网标准，讲述基本的局域网安全措施、局域网安全备份技术、局域网存储技术和故障检测技术、访问控制技术和VLAN虚拟局域网等相关知识点。,