计算机网络安全50274new.docVIP

网络安全的概念 网络安全是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防数据，信息内容或能力拒绝服务或被非授权使用和篡改。 网络安全的基本属性 网络安全的基本属性是机密性、完整性、可用性。 机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施 密码技术。 完整性是指是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改 ，主要防范措施是校验与认技术。 可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。 可信计算机系统评估准则（TCSEC） TCSEC共分为如下4类7级： （1）D级，安全保护欠缺层 (2) C1级 自足安全保护级 (3) C2级，受控存取保护级 （4） B1级 标记安全保护级 （5）B2级 结构化保护级 （6）B3级 安全域保护级 （7）A1级 验证设计级 4、网络信息安全框架（图略） 1、安全特性 安全特性指的是该安全单元可解决哪些安全威胁 2、系统安全 系统安全是指该安全单元解决什么系统环境的安全问题 5、P2DR网络安全模型（图略） P2DR模型包含4个主要部分：安全策略、防护、检测和响应，防护、检测和响应组成了一个所谓的“完整”，“动态”的安全循环。 安全策略 在考虑建立网络安全系统时，在了解了网络信息安全系统等级划分和评估网络安全风险后，接下来一个很重要的任务就是要制定一个网络安全策略。 防护 防护就是根据系统可能出现的安全问题采取一些防预措施，通过一些传统的静态安全技术及方法来实现。 检测 如果攻击者穿过防护系统，检测系统就会将其检测出来。 响应 系统一旦检测出入侵，响应系统就开始响应，进行事件处理。 防火墙的概念及功能 防火墙是建立在内外网络边界上的过渡封锁机制，内部网络被认为是安全和可信的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。 功能如下： （1）访问控制功能 （2）内容控制功能 （3）全面的日志功能 （4）集中管理功能 （5）自身的安全和可用性 另外防火墙还具有如下附加功能： 流量控制 （2）NAT （3）VPN 防火墙的主要技术 防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术、状态检测包过滤技术，现在最常用的是状态检测包过滤技术。 防火墙的体系结构 防火墙的体系结构有双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。 防火墙的局限性 安装防火墙并不能做到绝对的安全，它有许多防范不到的地方，具体如下： 防火墙不能防范不经由防火墙的攻击； 防火墙不能防止感染了病毒的软件或文件的传输； 防火墙不能防止数据驱动式攻击； 防火墙不能防范恶意的内部人员入侵； 防火墙不能防范不断更新的攻击方式； 10、VPN的概念及分类 VPN是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑的虚拟子网。 VPN作为一种综合性的网络安全方案，包含了很多重要的技术，最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项技术。 VPN有三种类型：accessVPN(远程访问VPN)、Intranet VPN（企业内部VPN）和Extranet VPN(企业扩展VPN)。 11、第二层VPN隧道协议 第二层隧道协议有：L2F、PPTP和L2TP等 L2F已经过时，很少使用； PPTP在微软的推动与支持下，已经成为一种实际上的工业标准，被广泛的实现并使用很长一段时间，目前大多数厂家均支持PPTP； L2TP作为下一代隧道技术，是PPTP和L2F隧道功能的集合，其隧道并不局限于TCP/IP，但是目前仅支持IP。 12、第三层VPN隧道协议 第三层VPN隧道协议有如下几种： IP sec(IP Security)，是目前最常用的VPN解决方案。 GRE(General Routing Encapsulation) 13、IP sec的功能 IP SEC 具有如下功能： 作为一个隧道协议实现了VPN通信； 保证数据来源可靠 在IPsec通信之前双方要先用IKE认证对方身份并协商密钥，只有IKE协商成立后才能通信，由于第三方不可能知道验证和加密的算法以及相关密钥，因此无法冒充发送方，即使冒充，也会被接收方检测出来。 保证数据完整性 IPsec通过验证算法功能保证数据从发送方放到接收方的传送过程中任何数据篡改和丢失都可以被检测。 保证数据的机密性 IPsec通过加密算法使只有真正的接收方才能获取真正的发送内容，而他人无法获知数据的真实内容。 14、IP