明文-大连理工大学.pptVIP

3.防火墙的局限性 防火墙防外不防内 防火墙很难解决内部网络人员的安全问题 防火墙难于管理和配置，容易造成安全漏洞 由于防火墙的管理和配置相当复杂，对防火墙管理人员的要求比较高，除非管理人员对系统的各个设备（如路由器、代理服务器、网关等）都有相当深刻的了解，否则在管理上有所疏忽是在所难免的。 大学计算机基础 8.3 信息安全技术 8.3.1 数据加密技术 任何一个加密系统至少由4部分组成： 明文：未经任何处理的原始报文 密文：加密后的报文 加密/解密算法 ：一个函数 加密/解密密钥：一串数字 数据加密解密的过程如图所示 密文通过解密算法与解密密钥还原为明文 解密密钥 加密密钥 明文 加密算法 明文 密文 解密算法 窃取者 发送端 接收端 加密技术＝加密算法＋密钥 目前数据加密技术分为两大类： 对称加密技术 非对称加密技术 对称加密： 加密密钥与解密密钥使用相同的算法 明文 明文 发送 明文 明文 密文 接收 非对称加密： 明文 明文 其他人 明文 明文 密文 本人 公共密钥PK 私有密钥SK 加密密钥与解密密钥使用不同的密钥 8.3.2 认证技术 信息安全主要涉及两个方面，一是通过密码技术防止入侵者破解系统的机密信息，二是通过认证技术防止入侵者伪造、篡改信息等主动攻击。 信息认证技术主要包含数字签名、身份认证等。 1. 数字签名技术 “数字签名”技术是通过一个单向函数对要传送的报文进行处理得到一个字母数字串，用以认证报文来源并核实报文是否发生变化。 数字签名的目的：保证发送信息的真实性和完整性，解决网络通信中双方身份的确认，防止欺骗和抵赖行为的发生。 数字签名的实现方法：采用非对称加密方式，发送方用自己的私钥来加密，接收方则利用发送方的公钥来解密。 数字签名 数字签名 接收方能够确认发送者的身份 发送方不能抵赖 接收方不能伪造报文 2. 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程，用来识别是否是授权用户，阻止非授权用户访问系统，是整个信息安全体系的基础。 身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。 通过身份认证，确认访问资源权限，防止非法用户假冒合法用户窃取敏感数据，这对保护信息资源是必要的。 在单机状态下，信息系统用户登录到计算机的认证方式主要有账户/ 口令方式、IC卡认证方式和生物特征认证方式。 在网络环境下进行身份认证时，主要使用动态口令认证、USB Key认证、单点登录和RADIUS（Remote Authentication Dial-in User Service）协议认证等方法。 8.3.3 防火墙技术 1. 防火墙概述 防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合 对内部和外部网络之间的通信进行控制 通过监测和限制跨越防火墙的数据流，尽可能地对外部网络屏蔽网络内部的结构、信息和运行情况 是一种行之有效的网络安全技术 防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。 2.防火墙的主要类型 包过滤防火墙 在网络层对数据包进行分析、选择和过滤 应用代理防火墙 网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。 状态检测防火墙 在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该数据包是接受还是拒绝 。 8.3.4虚拟专用网技术  虚拟专用网（Virtual Private Network，VPN）是近年来随着Internet的发展而迅速发展起来的技术，它提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。 VPN需要通信双方的配合。如，大连理工大学为了方便本校教职工在校园网覆盖区域以外随时访问校园内资源，开通校园网 VPN 服务，本校教职工可通过 VPN 服务，经公网接入并访问校园网内部资源。 8.3.5 入侵检测技术 入侵检测（Intrusion Detection Software，IDS）顾名思义是对入侵行为的发觉。 入侵检测是通过对计算机网络或计算机系统中的若干关键点的信息收集，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。是方火墙的合理补充，能够帮助系统对付网络攻击 * * * * * * * * * * * * *