计算机网络技术教程 李光明 CH11计算机网络安全.pptVIP

第11章 计算机网络安全 11.1 计算机网络安全概述 11.2 网络安全技术 11.3 常见的网络攻击技术 11.4 操作实验：天网防火墙个人版的设置 本章学习提示 重点： 1. 计算机网络安全的含义 2. 网络安全技术的主要内容 11.1 计算机网络安全概述 11.1.1 计算机网络安全的含义 11.1.2 网络安全面临的威胁及原因 11.1.3 网络安全的主要内容 11.1.4 网络安全策略 11.1.5 计算机网络安全管理 11.1.1 计算机网络安全的含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。 网络安全包括物理安全、逻辑安全、操作系统安全、网络传输安全。 网络安全主要是指网络上的信息安全。 物理安全 物理安全是指计算机网络硬件、存储介质及相关设施的物理保护，防止遭到破坏和丢失。 物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。 屏蔽是防电磁泄漏的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。 逻辑安全 计算机的逻辑安全是指网络上系统信息的安全，包括存储安全、传输安全等。 措施 限制登录的次数，对试探操作加上时间限制； 把重要的文档、程序和文件加密； 限制存取非本用户自己的文件，除非得到明确的授权； 跟踪可疑的、未授权的存取企图等等。 网络安全涉及的内容： 技术方面的问题 管理方面的问题 两方面相互补充，缺一不可 网络安全具有四个特征： 保密性 完整性 可用性 可控性 11.1.2 网络安全面临的威胁及原因 1. 网络安全面临的威胁 网络安全威胁是指网络信息的一种潜在的侵害。 (1) 自然环境 各种自然灾害 系统的环境和场地条件，如温度、湿度、电源、地线和其它防护设施不良所造成的威胁 电磁辐射和电磁干扰的威胁 硬件设备老化，可靠性下降的威胁。 (2) 人为 2. 网络出现安全威胁的原因 薄弱的认证环节 易被监视的系统 有欺骗性的主机地址 有缺陷的局域网服务和相互信任的主机 复杂的设置和控制 无法估计主机的安全性 11.1.3 网络安全的主要内容 从技术角度看，网络安全的内容主要包括以下四个方面。 (1) 网络实体安全 (2) 软件安全 (3) 网络数据安全 (4) 网络安全管理 采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析，突发事件的安全处理等。 11.1.4 网络安全策略（安全机制） 网络用户的安全责任 系统管理员的安全责任 正确利用网络资源 检测到网络安全问题时的对策 11.1.5 计算机网络安全管理 行政管理 确定安全管理等级和安全管理范围 制定有关网络操作使用规程和人员出入机房管理制度 制定网络系统的维护制度和应急措施 技术管理 访问控制 检查安全漏洞 备份和恢复 攻击监控 11.2 网络安全技术 11.2.1 物理安全 11.2.2 数据加密 11.2.3 认证技术 11.2.4 防火墙技术 11.2.5 因特网网络安全防范建议 11.2.4 防火墙技术 1. 防火墙的概念 (1) 防火墙的定义及其组成 防火墙是指在内部网络与外部网络之间执行一定安全策略的安全防护系统。 防火墙的组成 防火墙＝过滤器＋安全策略（＋网关） (2) 防火墙的功能 ① 监控并限制访问 ② 控制协议和服务 ③ 保护内部网络 ④ 日志记录与审计 2．防火墙的类型 ⑴ 数据包过滤防火墙（数据包过滤路由器） 通过在网络中的适当位置对数据包进行过滤。 检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素。 依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络。 将不合乎逻辑的数据包加以删除。 优点 结构简单 便于使用和管理 易于实现对用户透明的访问 费用较低 ⑵ 应用级网关 也称为双宿主网关、应用型防火墙 应用级网关在应用层过滤进出内部网络特定服务的用户请求与响应。 如果应用级网关认为用户身份与服务请求、响应是合法的，它就会将服务请求转发到相应的服务器或主机。 如果应用级网关认为服务请求与响应是非法的，就将拒绝用户的服务请求，丢弃相应的包，并向网络管理员报警。 应用级网关的原理示意图 应用代理的基本原理示意图 ⑶ 主机屏蔽防火墙 主机屏蔽防火墙＝应用级网关＋数据包过滤路由器 ⑷ 子网屏蔽防火墙 子网屏蔽防火墙＝主机屏蔽防火墙＋包过滤路由器 3. 防火墙产品及其选用原则 (1) 典型的防火墙产品 Checkpoint Firewall-1（美国老牌） NetScreen公司