网络技术基础第十二章概论.pptx

第十二章 网络安全 ;12.1 网络安全概述; 对计算机网络所构成的威胁大致可分为两类：故意危害和无意危害。故意危害网络安全的主要有三种人：故意破坏者又称黑客（Hackers）、 不遵守规则者（Vandals）和刺探秘密者（Crackers）。;12.2 防火墙技术;2. 防火墙的主要功能; 监视Internet的使用情况; 不能防范受到病毒感染的软件或文件在网络上传输;图12-2 包过滤防火墙功能模型 ; 包过滤防火墙对用户来说是全透明的，其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络，使用起来非常简洁、方便，且速度快、费用低。; 和包过滤防火墙一样，应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直 接联系，它外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，这有利于实施非法访问和攻击。 ;3. 电路级网关（Circuit Level Gateway）;图12-4 代理服务防火墙功能模型; 代理服务软件要分析网络数据包并作出访问控制决定，从而在一定程度上影响了网络的性能，且代理服务器需要为每个网络用户专门设计，安装使用较复杂，成本也相对较高。 ;图12-5 屏蔽主机结构示意图 ;图12-6 屏蔽子网结构示意图 ;12.3 网络加密技术; 如果信息由源点直达目的地，在传递过程中不会被任何人接触到，则无需加密。而Internet是一个开放的系统，穿梭于其中的数据可能被任何人随意拦截，因此，将数据加密后再传送是进行秘密通信的最有效的方法。; 链路加密只对通信链路中的数据加密，而不对网络结点内的数据加密。因此链路上的所有数据报文（包括路由信息等）均以密文形式出现，而结点内的数据报文却以明文出现。; 链路加密比链路加密成本低，而且更安全。但结点加密要求报头和路由信息以明文形式传输，以便中间结点能得到如何处理消息的信息。因此这种方法仍然存在一定的风险。;12.3.2 网络加密算法;2. 根据收发双方的密钥是否相同来进行分类 ; 对称加密算法具有很强的保密强度，安全性就是其56位密钥。但由于至少有两个人持有密钥，所以任何一方都不能完全确定对方手中的密钥是否已经透露给了第三者。;（2）非对称加密算法 ; 必须注意的是：使用RSA加密时必须选用足够长的密钥。对于当前的计算机运行速度，使用512位的密钥已不安全。目前，安全电子贸易（SET）协议中要求CA采用2048位的密钥，其他实体使用1024位的密钥。目前而言，在技术上还无法预测攻破具有2048位密钥的RSA加密算法需要多少时间，所以从这个意义上说 ，RSA加密算法是绝对安全的。 ;12.4 数字证书和数字签名;3. 不可否认性 ;12.4.2 数字证书; 最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间、发证机关（证书授权中心）的名称、该证书的序列号等信息，证书的格式遵循 ITUT X.509国际标准。 ;12.4.3 数字签名; 一个单向散列函数h=H(M)可以将任意长度的输入串（消息M）映射为固定长度值h（这里h称为散列值，或信息摘要MD），其最大的特点是具有单向性。 ;具体实例请参照教材P241—P242学习。;12.5.1 入侵检测的基本概念 ;12.5.2 入侵检测的分类 ; 2. 根据检测所用分析方法的不同进行分类;3. 统计方法 ;12.6 网络防病毒技术;2. 计算机病毒的特点 ; 潜伏性 ; 衍生性 ; 混合型病毒 ;（4）按照计算机病毒的链接方式分类 ; 网络中病毒的感染一般从工作站开始，然后传播给服务器。服务器一旦染上了病毒不仅将造成自身的瘫痪，而且还会使病毒在工作站之间迅速传播，感染其它网络上的主机和服务器。; 将磁盘带到网络上运行后，使网络感染上病毒；; 网络防病毒软件能对文件服务器和工作站进行查毒扫描，发现病毒后立即报警并隔离带毒文件，由网络管理员负责清除病毒。; 实时扫描 ; 良好的技术支持 ;12.7 网络安全技术的发展前景;2. 非对称加密算法的发展前景 ; 分布式入侵检测 ; 无线通信在全球的应用越来越广，但也不可避免地带来了系统安全性的问题。由于在整个无线通信的过程中，用户信息的传输，如用户的身份信息、位置信息、语音等均暴露在第三方面前，因而极易受到被第三者截获的危险。IDS在这些方面还有着广阔的用武之地。;本章小结