网络工程师辅导课完整版教案分析.ppt

二、网络安全技术与协议 4、防火墙 （3）组成：安全操作系统、过滤器、网关（提供中继服务，辅助控制业务流）、域名服务（将内部的域名与互联网隔离）、函件处理（进出函件必须经过防火墙）。 （4）结构：屏蔽路由器、双穴主机、屏蔽主机防火墙、屏蔽子网防火墙。（见书本P190-191） 二、网络安全技术与协议 4、防火墙分类 （1）屏蔽（包过滤）路由器：对进出内部网络的所有信息进行分析，并按照一定的安全策略对进出的信息进行限制。优点是速度快，对用户透明；缺点是维护困难。适用场合：非集中化管理的机构，网络主机较少，没有使用DHCP，没有集中安全策略的机构。 INTERNET 二、网络安全技术与协议 4、防火墙分类 （2）双穴主机（双宿网关防火墙）：由一台至少装有两块网卡的堡垒主机作为防火墙，位于内外网络之间，分别与内外网络相离，实现物理上的隔开。优点是：安全性较高，缺点是：需要强大的身份认证系统。 INTERNET 二、网络安全技术与协议 4、防火墙分类 （3）屏蔽主机防火墙：强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连接。它由包过滤路由器和堡垒主机组成。安全性较高。 INTERNET 二、网络安全技术与协议 4、防火墙分类 （4）屏蔽子网防火墙：用两个屏蔽路由器和一个堡垒主机，也称“单DMZ防火墙结构”。 DMZ ? E-Mail? File Transfer ? HTTP Intranet 企业网络 生产部 工程部 市场部 人事部 路由 Internet 中继 安 全 隐 患 外部/个体 外部/组织 内部/个体 内部/组织 Modem 二、网络安全技术与协议 5、电子商务的安全需求 （1）有效性：时刻、地点的有效。 （2）机密性：预防非法的存取和非法的截取。 （3）完整性：数据的一致性。 （4）不可抵赖性：不能否认发生的交易行为。 （5）审查能力：对数据审查的结果进行记录。 相关的安全技术包括：VPN，SSL，电子邮件安全协议（PEM、S/MIME、MOSS）、电子支付安全等。 二、网络安全技术与协议 6、SSL/SET和SHTTP（安全通信信道） （1）SSL：安全套接字，工作在传输层的安全协议，结合了信息加解密、数字签名认证两大技术。它适合于所有的TCP/IP应用，采用443端口。 （2）SHTTP：工作在应用层，确保商业贸易传输安全，仅限于Web应用。 （3）SET：安全快捷的交易模式，最早支持各种信任卡的交易。在使用SSL时，只要求服务器端拥有数字证书；而使用SET时，还要求客户端拥有数字证书。 二、网络安全技术与协议 7、PGP技术 （1）应用：PGP—Pretty Good Privacy，是一个基于RSA公匙加密体系的邮件加密软件。可以用它对你的邮件保密以防止非授权者阅读，它还能对你的邮件加上数字签名从而使收信人可以确信邮件是你发来的。它是一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，有很快的速度。而且它的源代码是免费的。 二、网络安全技术与协议 7、PGP技术 （2）原理：在不安全的通信链路上创建安全的消息和通信。PGP协议已经成为公钥加密技术和全球范围消息安全性的事实标准。；可以在文档中使用数字签名；任何人都可以用你的公钥加密写给你的信息，而不用担心信息被窃听。 二、网络安全技术与协议 8、Kerberos （1）原理：Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。其核心是使用DES加密技术。 2009年5月 网络工程系 彭劲杰 网络工程师考试辅导 系统及网络安全基础 一、系统与数据安全基础 二、网络安全技术与协议 迎考知识点复习 三、模拟试题及答题技巧 一、系统与数据安全基础 1、系