计算机网络第7章解读.pptVIP

数据保密就是采取复杂多样的措施对数据加以保护，以防止数据被有意或无意地泄露给无关人员。 认证分为信息认证和用户认证两个方面 信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造， 用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证，也要求用户认证。 密码分析和密码学 破译密码的技术叫做密码分析 设计密码和破译密码的技术统称为密码学 密码学的历史非常悠久，传统的加密方法可以分成两类： 替代密码 换位密码 凯撒密码——最古老的地带密码 凯撒密码，它用D表示a，用E表示b，用F表示c，……，用C表示z，也就是说密文字母相对明文字母左移了3位。 更一般地，可以让密文字母相对明文字母左移k位，这样k就成了加密和解密的密钥。 数字签名的实现方法 使用秘密密钥算法的数字签名 使用公开密钥算法的数字签名 报文摘要 使用秘密密钥算法的数字签名 当A想向B发送一个签名的报文P时，它向CA发出KA（B，RA，t，P），其中RA为报文的随机编号，t为时间戳； CA将其解密后，重新组织成一个新的密文KB（A，RA，t，P，KCA（A，t，P））发给B，因为只有CA知道密钥KCA，因此其他任何人都无法产生和解开密文KCA（A，t，P）； B用密钥KB解开密文后，首先将KCA（A，t，P）放在一个安全的地方，然后阅读和执行P。 通常，部署防火墙的理由包括： 防止入侵者干扰内部网络的正常运行； 防止入侵者删除或修改存储再内部网络中的信息； 防止入侵者偷窃内部的秘密信息。 防火墙应该有以下功能： 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说，防火墙是穿不透的 。 内部网需要防范的三种攻击 间谍、试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃，盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。 破坏系统：通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。 防火墙在因特网与内部网中的位置 防火墙类型 1）从软、硬件形式上分为：软件防火墙和硬件防火墙以及芯片级防火墙。 2）从防火墙技术分为：“包过滤型”、“状态检测型”和“应用代理型”三大类。 3）从防火墙结构分为：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 4）按防火墙的应用部署位置分为： 边界防火墙、个人防火墙和混合防火墙三大类。 5）按防火墙性能分为：百兆级防火墙和千兆级防火墙两类。 包（分组）过滤型防火墙 包过滤（Packet Filtering）是防火墙最基本的实现形式，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。 包过滤防火墙通常是放置在因特网与内部网络之间的一个具备包过滤功能的简单路由器，这是因为包过滤是路由器的固有属性。 包过滤可依据以下三类条件允许或阻止数据包通过路由器： 包的源地址及源端口； 包的目的地址及目的端口； 包的传送协议，如FTP、SMTP、rlogin等。 包过滤的缺点 编制逻辑上严密无漏洞的包过滤规则比较困难，对编制好的规则进行测试维护也较麻烦。 维护复杂的包过滤规则也是一件很麻烦的事情 包过滤规则的判别会降低路由器的转发速度 对包中的应用数据无法过滤 它总是假定包头部信息是合法有效的。 以上这些缺点使得包过滤技术通常不单独使用，而是作为其他安全技术的一种补充。 状态监测型防火墙 采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。 采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 应用代理型防火墙 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 代理服务就是指定一台有访问因特网能力的主机作为网络中客户端的代理去与因特网中的主机进行通信。 代理服务器的工作 代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。 代理的工作过程 宏病毒特征 ① 宏病毒会感染.doc文档和.dot模板文件。 ② 宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。病毒宏将自身复制到Word通用（Normal）模板中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。 ③ 多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 宏病毒特征 ④ 宏病毒中总是含有对文档读写操