网络技术基础 第十二章.pptx

第十二章 网络安全 本章学习要点： 网络安全概述 防火墙技术 网络加密技术 数字证书与数字签名 入侵检测技术 网络防病毒技术 网络安全技术的发展前景12.1 网络安全概述1. 网络安全的现状 随着全球信息化的飞速发展，网络已经成为社会和经济发展的强大推动力，其地位越来越重要。但同时网络安全的问题也日益突出。网 络安全涉及到国家安全、个人利益、企业生存等方方面面，因此它是信息化进程中具有重大战略意义的问题。 计算机犯罪始于二十世纪80年代，随着网络应用范围的逐步扩大，其犯罪手段日见“高明”，计算机网络安全面临严重威胁，安全事故屡有发生。从目前来看，网络安全的状况令人十分担忧，从技术到管理都处于落后、被动局面。 TCP/IP是Internet的标准协议，传统的网络应用都是基于此协议的，因而大部分网络安全问题都与TCP/IP协议有关。近来在局域网中，TCP/IP也越来越流行，这使得通过Internet侵入局域网变得十分容易。 对计算机网络所构成的威胁大致可分为两类：故意危害和无意危害。故意危害网络安全的主要有三种人：故意破坏者又称黑客（Hackers）、 不遵守规则者（Vandals）和刺探秘密者（Crackers）。 为网络安全担忧的人大致也可以分为两类，一类是使用网络资源的一般用户，另一类是提供网络资源的服务提供者。2. 网络面临的主要威胁 黑客的攻击 管理的欠缺 网络的缺陷 软件的漏洞或“后门” 企业网络内部返回本节首页返回本章首页InternetIntranet防火墙12.2 防火墙技术12.2.1 防火墙的基本概念 1. 什么是防火墙 “防火墙”（Fire Wall）是用来连接两个网络并控制两个网络之间相互访问的系统，如图12-1所示。它包括用于网络连接的软件和硬件以及控制访问的方案。防火墙用于对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保障。 图12-1 防火墙的位置与功能示意图 2. 防火墙的主要功能 集中的网络安全 防火墙允许网络管理员定义一个中心（阻塞点）来防止非法用户进入内部网络，禁止存在不安全因素的访问进出网络，并抗击来自各种线路的攻击。 安全警报 通过防火墙可以方便地监视网络的安全性，并产生报警信号。 重新部署网络地址转换（NAT） 接入Internet的机构，可以通过网络地址转换（NAT）来完成内部私有地址到外部注册地址的映射，而防火墙正是部署NAT的理想位置。 监视Internet的使用情况 防火墙也是审查和记录内部人员对Internet使用的一个最佳位置，可以在此对内部访问Internet的情况进行记录。 向外发布信息 防火墙同样还是部署WWW服务器和FTP服务器的理想位置。它允许Internet上的其它用户访问上述服务器，而禁止访问内部受保护的其它系统。 3. 防火墙的局限性 防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力: 不能防范绕过防火墙产生的攻击 不能防范由于内部用户不注意所造成的威胁 不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击12.2.2 防火墙的主要类型 典型的防火墙系统通常由一个或多个构件组成，相应地，实现防火墙的技术包括以下四大类： 1. 包过滤防火墙（Packet Filtering Firewall） 包过滤防火墙，又称网络级防火墙，通常由一台路由器或一台充当路由器的计算机组成，如图12-2所示。图12-2 包过滤防火墙功能模型 Internet/Intranet上的所有信息都是以IP数据包的形式传输的，包过滤路由器负责对所接收的每个数据包的IP地址，TCP或UDP分组头信息进行审查，以便确定其是否与某一条包过滤规则匹配。 包过滤防火墙检查每一条过滤规则，如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发；如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃。 包过滤防火墙对用户来说是全透明的，其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络，使用起来非常简洁、方便，且速度快、费用低。 包过滤防火墙也有其自身的缺点和局限性 ，例如它只检查地址和端口，对应用层上的黑客行为无能为力；包过滤规则配置比较复杂； 包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。2. 应用级网关（Application Level Gateway） 应用级网关主要控制对应用程序的访问，它能够对进出的数据包进行分析、统计，防止在受信任的服务器与不受信任的主机间直接建立联系。而且它还提供一种监督控制机制，使得网络内、外部的访 问请求在监督机制下得到保护，其功能模型如图12-3所示。图12-3 应用级网关的功能模型 和包过滤防火墙一