【计算机网络】网络安全与管理_计算机网络安全-优快云博客

本文链接：https://blog.youkuaiyun.com/Go_ahead1025/article/details/144495234

在这里插入图片描述

上期回顾: 【计算机网络】应用层
个人主页：GUIQU.
归属专栏：计算机网络

在这里插入图片描述

1. 网络安全概述

1.1 定义

网络安全是指通过采取一系列的技术和管理措施，保护网络系统中的硬件、软件及数据不受偶然或者恶意的破坏、更改和泄露，确保网络服务的连续性、可靠性和保密性。可以将网络看作是一个城堡，网络安全措施就是城堡的城墙和守卫，防止外敌（攻击者）入侵。

1.2 重要性

保护数据隐私：在当今数字化时代，大量的个人信息（如姓名、身份证号、银行卡号等）和企业敏感数据（如商业机密、客户名单等）存储在网络系统中。网络安全能够防止这些数据被窃取，维护个人和企业的隐私。例如，银行的网上银行系统如果遭到攻击，客户的资金安全和个人信息隐私将受到严重威胁。
保障系统正常运行：网络攻击可能会导致网络系统瘫痪，使企业无法正常开展业务，如电商平台无法处理订单、医疗机构无法正常提供医疗服务等。通过网络安全措施，可以有效防止黑客攻击、病毒感染等情况，确保系统的稳定运行。

2. 网络安全威胁

2.1 网络攻击类型

2.1.1 恶意软件

病毒：计算机病毒是一种能够自我复制并传播的程序。它通常会附着在正常的文件或程序上，当用户运行被感染的文件时，病毒就会被激活。例如，CIH病毒曾经在全球范围内造成大量计算机硬盘数据丢失和系统损坏。病毒可能会删除文件、修改系统设置、占用系统资源，导致计算机运行缓慢甚至无法正常使用。
蠕虫：蠕虫是一种独立的程序，它不需要附着在其他文件上就能在网络中传播。它利用网络漏洞自动在网络中的计算机之间传播，传播速度极快。例如，“冲击波”蠕虫病毒，它通过网络扫描计算机的特定端口，发现有漏洞的计算机就会进行感染，导致大量计算机出现蓝屏、死机等现象，严重影响网络的正常运行。
木马：木马程序通常伪装成正常的软件，诱骗用户下载安装。一旦安装成功，攻击者就可以远程控制被感染的计算机。例如，一些不法分子通过制作虚假的游戏外挂程序，实际是木马程序，当用户下载并运行后，攻击者就可以获取用户计算机中的敏感信息，如账号密码等。

2.1.2 网络钓鱼

网络钓鱼是一种通过欺骗手段获取用户敏感信息的攻击方式。攻击者通常会制作与合法网站（如银行网站、电商网站等）非常相似的虚假网站，然后通过电子邮件、短信等方式诱骗用户访问这些虚假网站。当用户在虚假网站上输入账号、密码等信息时，攻击者就会获取这些信息并用于非法目的。例如，用户收到一封看似来自银行的电子邮件，提示用户账户出现异常，需要点击链接进行验证，用户点击链接后进入的是一个虚假银行网站，一旦输入账号密码，账户资金就可能被盗取。

2.1.3 拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）

DoS攻击是指攻击者通过发送大量的请求，使目标服务器或网络资源无法正常处理合法请求，从而导致服务中断。例如，攻击者向一个网站服务器发送大量的虚假访问请求，使得服务器的带宽被耗尽，无法处理正常用户的访问请求，导致网站无法正常访问。DDoS攻击则是通过控制大量的计算机（僵尸网络）同时向目标发起攻击，其攻击威力比DoS攻击更强大。在一些大型的网络攻击事件中，DDoS攻击能够使大型互联网公司的服务器瘫痪数小时甚至数天。

2.2 网络安全漏洞

操作系统漏洞：操作系统是计算机系统的核心软件，由于其复杂性，不可避免地会存在一些安全漏洞。例如，Windows操作系统曾出现过的“永恒之蓝”漏洞，黑客可以利用这个漏洞在未授权的情况下访问用户的计算机系统，获取敏感信息或植入恶意软件。
网络设备漏洞：路由器、交换机等网络设备也可能存在漏洞。这些漏洞可能会被攻击者利用来篡改网络配置、窃取网络流量或者发起中间人攻击。例如，某些品牌路由器曾被发现存在弱口令漏洞，攻击者可以轻易猜出密码，进而控制路由器，对连接该路由器的所有设备进行攻击。
应用程序漏洞：各种网络应用程序（如Web应用、移动应用等）也可能存在安全漏洞。例如，SQL注入漏洞是Web应用中常见的漏洞之一。攻击者通过在用户输入框中注入SQL语句，从而绕过应用程序的身份验证或者获取敏感数据。

3. 网络安全技术

3.1 加密技术

对称加密：如前所述，对称加密是指加密和解密使用相同的密钥。例如，AES加密算法就是一种常用的对称加密算法。在网络通信中，发送方和接收方事先共享一个密钥，发送方使用这个密钥对数据进行加密，接收方使用相同的密钥进行解密。这种加密方式加密速度快，适用于大量数据的加密，如文件传输等场景。
非对称加密：非对称加密使用一对密钥（公钥和私钥）。例如，RSA算法是一种经典的非对称加密算法。发送方使用接收方的公钥对数据进行加密，接收方使用自己的私钥进行解密。非对称加密安全性高，常用于数字签名、密钥交换等场景。例如，在电子合同签署中，通过非对称加密可以确保合同内容的真实性和不可篡改性。

3.2 防火墙技术

包过滤防火墙：包过滤防火墙会检查网络数据包的头部信息（如源IP地址、目的IP地址、端口号、协议类型等），根据预先设定的规则来决定是否允许数据包通过。例如，企业网络可以设置规则，只允许内部网络的计算机访问特定的外部网站（通过允许特定的目的IP地址和端口号），阻止其他可疑的外部访问，从而保护内部网络的安全。
状态检测防火墙：状态检测防火墙不仅检查数据包的头部信息，还会跟踪网络连接的状态。它能够根据连接的发起、传输和结束等状态来判断数据包是否合法。例如，在一个TCP连接中，防火墙会记录连接的三次握手、数据传输和四次挥手等过程，只有符合这个过程的数据包才会被允许通过，这样可以有效防止一些恶意攻击者利用虚假的连接状态进行攻击。

3.3 入侵检测与防御系统（IDS/IPS）

入侵检测系统（IDS）：IDS主要用于监测网络中的入侵行为。它通过收集网络中的各种信息（如网络流量、系统日志等），并使用检测算法来分析这些信息，判断是否存在入侵行为。例如，当检测到网络中有异常的大量扫描行为（可能是攻击者在寻找网络漏洞）时，IDS会发出警报，提醒管理员进行处理。
入侵防御系统（IPS）：IPS在IDS的基础上更进一步，它不仅能够检测入侵行为，还能够采取措施进行防御。例如，当IPS检测到有SQL注入攻击的迹象时，它可以直接阻断攻击，阻止恶意请求进入服务器，从而有效保护网络系统的安全。

4. 网络管理概述

4.1 定义

网络管理是指对网络的运行状态进行监测、控制和优化，以确保网络能够高效、可靠地为用户提供服务。它就像是网络系统的“管家”，负责网络的日常维护和管理。

4.2 目标

故障管理：及时发现和定位网络故障，采取措施进行修复，以减少故障对网络服务的影响。例如，当网络中的某条链路出现故障时，网络管理系统能够快速检测到，并通过备用链路或者其他修复措施恢复网络连接。
配置管理：对网络设备（如路由器、交换机等）的配置进行管理，包括设备的初始化配置、配置备份、配置修改等。例如，在企业网络中，网络管理员可以通过配置管理系统统一对所有网络设备的访问控制列表（ACL）进行配置，确保网络安全。
性能管理：监测网络的性能指标（如带宽利用率、延迟、丢包率等），并根据这些指标对网络进行优化。例如，当发现某条链路的带宽利用率过高时，可以考虑升级链路或者调整网络流量分布，以提高网络性能。

5. 网络管理技术与工具

5.1 简单网络管理协议（SNMP）

SNMP是一种广泛应用于网络管理的协议。它采用管理者 - 代理模型，管理者可以通过SNMP协议向网络设备（代理）发送请求，获取设备的状态信息（如接口状态、CPU使用率等），也可以对设备进行配置。例如，在一个大型的数据中心网络中，网络管理员可以使用SNMP管理软件来监控服务器、交换机等设备的运行状态，当设备出现异常时，能够及时收到通知并进行处理。