4.网络安全幻灯片.pptVIP

Internet安全 主讲：程光 （博士后、副教授） 东南大学计算机科学与工程学院 互联网安全状况令人担忧 黑客攻击的目标对象和行为性质已从最初的政府机构、知名的社会及大公司网站的炫耀式走访入侵的简单举动，发展到了对中小企业的站点进行刻意破坏的极端局面。该类事件涉及的覆盖面越来越大、程度越来越深，以至于现在很多企业都不敢真正利用互联网进行电子商务建设。 4.1 Internet安全概述 4.2 防火墙技术 4.3 入侵检测技术 4.4 IP安全协议 4.5 电子商务应用安全协议 4.1 Internet安全概述 4.1.1 网络层安全 4.1.2 应用层安全 4.1.3 系统安全 4.1.1 网络层安全 网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。 典型的网络层安全服务包括： 认证和完整性 保密性 访问控制 4.1.2 应用层安全 应用层安全指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的安全措施。 应用层安全措施包括： 认证 访问控制 保密性 数据完整性 不可否认性 系统安全 系统安全是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。 系统安全措施包括： 确保在安装的软件中没有已知的安全缺陷 确保系统的配置能使入侵风险降低至最低 确保所下载的软件其来源是可信任的和可靠的 确保系统能得到适当管理以使侵入风险最小 确保采用合适的审计机制，采取新的合适的防御性措施 4.2 防火墙技术 4.2.1 防火墙的概念及功能特征 4.2.2 各种防火墙的基本原理及特点 4.2.3 防火墙的实现方式 4.2.4 防火墙的安全策略 4.2.1 防火墙的概念 防火墙是具有以下特征的计算机硬件或软件： （1）由内到外和由外到内的所有访问都必须 通过它；（2）只有本地安全策略所定义的合法 访问才被允许通过它；（3）防火墙本身无法被 穿透。 通常意义上讲的硬防火墙为硬件防火墙，它是 通过硬件和软件的结合来达到隔离内、外部网络 的目的，价格较贵，但效果较好，一般小型企业 和个人很难实现；软件防火墙是通过软件的方式 来达到，价格很便宜，但这类防火墙只能通过一 定的规则来达到限制一些非法用户访问内部网的 目的。 为什么需要防火墙？ 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 4.2.1 防火墙的功能特征 防火墙是网络安全的屏障 防火墙可以强化网络安全策略 对网络存取和访问进行监控审计 防止内部信息的外泄 防火墙的抗攻击能力 4.2.2 各种防火墙的基本原理及特点 包过滤型防火墙 应用网关型防火墙 代理服务型防火墙 包过滤型防火墙 1.包过滤型防火墙的工作原理 采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。 2.包过滤型防火墙的优缺点 包过滤型防火墙最大的优点是：价格较低、对用户透明、对网络性能的影响很小、速度快、易于维护。 但它也有一些缺点：包过滤配置起来比较复杂、它对IP欺骗式攻击比较敏感、它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。 应用网关型防火墙 1.应用网关型防火墙的工作原理 应用网关型防火墙是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析，登记和统计，形成报告。 2.应用级网关型防火墙的特点 依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这不利于抗击非法访问和攻击。 代理服务型防火墙 1. 代理服务型防火墙的工作原理 代理服务型防火墙运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求