指导教师杨建国资料.ppt

防火墙的缺点： 不能防范不经由防火墙的攻击 如果内部网用户与Internet服务提供商建立直接的SLIP或 　PPP连接,则绕过防火墙系统所提供的全保护 不能防范人为因素的攻击 不能防止受病毒感染的软件或文件的传输 不能防止数据驱动式的攻击,当有些表面看来无害的数据邮 　寄或拷贝到内部网的主机上并执行时,可能会发生数据驱动 　式的攻击。例如, 一种数据驱动式的攻击可以使主机修改 　与系统安全有关的配置文件，从而使入侵者下一次更容易 　攻击该系统 第一代防火墙：基于路由器的防火墙 第二代防火墙：用户化的防火墙工具套 第三代防火墙：基于通用操作系统的防火墙 第四代防火墙：具有安全操作系统的防火墙 防火墙的发展 11.5 入侵检测系统 什么是入侵检测 　　入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中违反安全策略的行为和被攻击的迹象 杀毒软件可以做入侵检测吗？ 防火墙软件可以做入侵检测吗？ 入侵检测的作用 通过检测和记录网络中的安全违规行为，惩罚网络犯罪， 　防止网络入侵事件的发生 检测其它安全措施未能阻止的攻击或安全违规行为 检测黑客在攻击前的探测行为，预先给管理员发出警报 报告计算机系统或网络中存在的安全威胁 提供有关攻击的信息，帮助管理员诊断网络中存在的安全 　弱点，利于其进行修补 在大型、复杂的计算机网络中布置入侵检测系统，可以显 　著提高网络安全管理的质量 Internet 防火墙 IDS1 IDS2 IDS4 HUB 带主机IDS感应器的服务器 服务器 子网B IDS3 HUB 子网A 客户机 工作站 IDS在网络安防体系中的角色 11.6 物理隔离系统 逻辑隔离并不是将连接切断，其安全思路：在保证网络正 　常使用的情况下，尽可能安全 逻辑隔离是从网络安全等级上考虑划分合理的网络安全边 　界，使不同安全级别的网络或信息媒介不能相互访问 什么是物理隔离 物理隔离是指内部网不直接或间接地连接公共网 物理隔离的解决思路是：不安全就不连网，要绝对保证安全 最彻底的物理隔离方法：安装两套网络和计算机设备，一 　套对应内部办公环境，一套连接外部互联网，两套网络 　互不干扰 物理隔离的层次：网络隔离 + 数据隔离 第一代隔离技术：双机双网技术 第二代隔离技术：双硬盘隔离卡技术 第三代隔离技术：单硬盘隔离卡技术 第四代物理隔离技术：动态隔断技术 第五代物理隔离技术：反射隔离技术 物理隔离技术 11.7 honeypot Honeypots（蜜罐系统） 诱骗系统，它是一个包含漏洞的系统，通过模拟一个或多 　个易受攻击的主机，给黑客提供一个容易攻击的目标 由于蜜罐没有其它任务需要完成，因此所有连接的尝试都 　应被视为是可疑的 蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让 　攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受 　到了保护，真正有价值的内容将不受侵犯 蜜罐最初的目的之一是为起诉恶意黑客搜集证据，这看起 　来有“诱捕”的感觉 我想我们 有必要谈 一谈 qshnq wuent syoog yoo 明 文 密 文 加密过程 解密过程 加密算法及密钥 解密算法及密钥 11.8 数据加密技术 算法是一些公式、法则或程序，规定了明文与密文之间的 变换方法 密钥可以看作是算法中的参数 A用Private Key对数据进行加密。 1 加密的数据在网络上进行传输 2 B用Private Key对数据进行解密。 3 Data 3A78 Data 3A78 密码体制——私钥加密体制（对称） A用B的Public Key对数据进行加密。 1 加密的数据在网络上进行传输 2 B用自己的Private Key对数据进行解密。 3 Data 3A78 3A78 Data 密码体制——公钥加密体制（非对称） 11.9 信息隐藏技术 信息隐藏的最形象描述：眼见未必为实 什么是信息隐藏 信息隐藏是把一个有意义的信息隐藏在另一个称为载体的信息中，形成隐秘载体 嵌入对象 嵌入过程 隐藏对象 掩体对象 提取过程 隐藏分析 掩体对象 嵌入对象 密钥管理 嵌入密钥 提取密钥 信息隐藏的一般模型 版权保护： 医疗系统： 安全认证： 隐私保护： 安全通信： 匿名保护： 信息隐藏技术的应用 11.10 安全认证技术 安全认证是保证信息真实性的一个过程，是对付假冒攻击的有效方法，也是一种最重要的安全服务 认证的类型——消息认证 内容的认证 来源的认证 顺序的认证 认证类型——身份认证 基于秘密信息的身份认证方法 基于物理器件的身份认证方法 基于生物学信息的身份认证方法 11.11 VPN 虚拟专用网VPN被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条