Internet及其应用Chapter11_Internet的安全性.pptVIP

第十一章 Internet的安全性 Contents 11.1 Internet安全问题 网络安全的主要内容: 如何保证合法用户对资源的合法访问 如何防止网络黑客的攻击 网络层安全防护的主要目的：保证网络的可用性和合法使用，保护网络中的网络设备、主机操作系统以及网络服务的正常运行，根据IP地址控制用户的网络访问。 ISO 7498-2 模型提供的安全服务： 认证（Authentication） 证明通信双方的身份与其所声明的一致。 访问控制（Access Control） 对不同的信息和用户设定不同权限，只允许授权用户访问授权资源。 数据保密（Data Confidentiality） 保证通讯内容不被他人捕获。 数据完整性（Data Integrity） 保证信息在传输过程中不会被他人篡改。 抗否认（Non-repudiation） 证明一条信息已经被发送和接收。 主要的安全机制： 1．身份鉴别机制 2．访问控制机制 3．数据加密机制 4．数据完整性机制 5．数字签名机制 6．防重发机制 7．审计机制 病毒的基本特征： 非授权可执行性 隐蔽性 传染性 潜伏性 破坏性 可触发性 蠕虫病毒 通常分为两类： （1）面向政府、企业用户和局域网，利用系统漏洞发起攻击，使整个网络瘫痪； （2）针对个人用户，主要通过电子邮件、恶意网页的形式，如“熊猫烧香”。 蠕虫程序 蠕虫的基本程序结构： （1）传播模块 （2）隐藏模块 （3）目的功能模块 计算机木马是基于远程控制的病毒程序。 将木马程序植入正常的软件、电子邮件等宿主机中，待这些软件被执行时，木马就可以悄悄进入系统并取得控制权。如“网络钓鱼”。 木马程序的隐藏方法 集成到程序中 隐藏在配置文件中 潜伏在win.ini或System.ini中 伪装在普通文件中 内置到注册表中 隐形于启动组中 捆绑在启动文件中 设置在超链接中 11.3 网络防火墙 11.3.1 防火墙的基本概念 防火墙是指在两个网络之间实现控制策略的系统（软件、硬件，或者是两者并用），用来保护内部的网络不易受到来自Internet的侵害。防火墙是一种安全策略的体现。 11.3.2 防火墙技术的分类 防火墙技术大体上分为两类： 1. 网络层技术 保护整个网络不受非法入侵，如包过滤型防火墙（packet filter） 2. 应用层技术 控制对应用程序的访问，如代理服务型防火墙（proxy service） 11.3.3 包过滤技术（Packet Filter） 包过滤技术的实现原理：检查所有进入网络的IP数据包，根据协议特定的标准，将不符合标准的数据包丢弃。 基于特定的协议标准，路由器在其端口区分数据包、限制数据包。过滤路由器也叫包过滤器。 包过滤技术涉及网络层和传输层。 11.3.4 代理服务器（Proxy Server） * * 11.1 Internet安全问题 11.2 Internet病毒防护 11.3 网络防火墙 Internet 攻击类型： （1）对用户身份的仿冒 （2）对网络上信息的窃取 （3）对网络上信息的篡改 （4）对发出的信息予以否认 （5）对信息进行重发 其他威胁来自：错误路由(Misrouting)、拒绝服务(Denial of Service)等等。 11.2 Internet病毒防护 蠕虫病毒由两部分组成： 主程序 引导程序 蠕虫程序的一般传播过程： （1）扫描：探测存在漏洞的主机； （2）攻击：按漏洞攻击步骤自动攻击扫描所找到的对象，取得此主机的管理员权限； （3）复制：通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 木马病毒 11.3.1 防火墙的基本概念 11.3.2 防火墙技术的分类11.3.3 包过滤技术（Packet Filter）11.3.4 代理服务器（Proxy Server） 防火墙位于内部网络和Internet之间 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 代理服务器 包过滤器 防火墙 代理服务器、包过滤器与OSI模型的关系 过滤路由器为内部网络提供安全边界 内部网络和外部网络之间存在直接的连接 What is Proxy Server ？ A server that sits between a client application, such as a Web browser, and a real