网络应用主题三.pptVIP

网络应用主题三 网络安全 1. 安全网络和安全策略 “安全”具有相对性 设计安全系统的第一步是制定一个合理的安全策略。 安全策略的复杂性：涉及到计算机网络中存储、传送和处理等各个环节，以及对网络系统价值的评定。 3. 信息安全的基本要求 4. 安全责任和控制 正确分配系统的管理权限是安全策略成败的关键，包括 可记账性（accountablity）：规定权限，监督用户，记录用户 授权 5. 完整性机制 用于保证完整性的技术：校验和、CRC。 技术的缺点 6. 安全技术 6.1 访问控制与口令 计算机系统通过口令机制来控制对系统资源的访问。 漏洞：在线窃听（wiretapping） 6.2 加密技术 6.2.1 对称密码术（单一密钥） 对称密码术（单一密钥） 发送方使用的加密函数encrypt： 接收方使用的解密函数decrypt： 6.2.2 非对称密码术 非对称密码术 用公共密钥加密的报文除了使用相应的私有密钥外很难解密； 用私有密钥加密的报文除了使用相应的公钥密钥外很难解密； 6.2.3 数字签名的鉴定 公共密钥加密法用于验证发送方，这种技术称为数字签名（digital signature）。 使用方法： 应用原理 数字签名的鉴定 双重加密：接收双方互相验证，使得报文同时具有身份可验证性和保密性。 数字签名在网上银行中的应用 数字签名在网上银行中的应用 数字签名在网上银行中的应用 数字签名在网上银行中的应用 下载证书 由证书从授权中心获取唯一的pub-U用户，并在用户本地生成prv-U用户 用户发送 银行验证 6.3 包过滤 通过包过滤（packet filtering）技术可以防止网络系统中每台计算机都可随意访问其他计算机以及系统中的各项访问。 包过滤器是路由器的一部分，其功能是阻止包任意通过路由器在不同的网络之间传输。 网络管理员可配置包过滤器。 6.3 包过滤 包过滤器的工作是检查每个包的头部中的有关字段。 6.3 包过滤 除了源地址和目的地址之外，包过滤器还能检查出包中使用的上层协议，使得网络管理员能够对各种服务进行管理。 6.4 互联网防火墙概念 包过滤器经常用来控制一个单位的内部网络和Internet之间的通信。 6.4 互联网防火墙概念 用于保护一个单位内部网络，使之不受来自外部的非法访问的包过滤器，称为Internet防火墙（Internet firewall）。 防火墙是建立互不信任的单位之间的网络连接时最重要的安全工具。 除了安全机制之外，防火墙还可以降低系统成本。 6.4.1 防火墙的四大功能 允许网络管理员定义一个中心点来防止非法用户进入内部网络 可以很方便地监视网络的安全性，并报警 可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题 是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。  6.4.2 防火墙的两大分类 按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙（应用层网关防火墙）。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。 包过滤防火墙 第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 包过滤防火墙 包过滤防火墙 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或减少。 包过滤防火墙 代理防火墙 第一代：代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防