计算机网络技术及应用电子教案教学课件作者第三版徐其兴13课件.pptVIP

第十三章　网络安全 本章主要内容： 网络安全概述 防火墙技术 网络病毒及其防范 数据加密与数字证书 网络管理 TCP/IP诊断命令 本章学习要点 了解网络安全的概念和网络安全面临的风险 掌握保证网络安全常用的技术 了解网络管理的概念、功能及管理方法 掌握几个常用TCP/IP诊断命令的使用 13.1 网络安全概述 13.1.1 网络安全的概念 狭义的网络安全：指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。 广义的网络安全：从广义角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 我们通常所说的网络安全主要是指狭义的网络安全。 13.1 网络安全概述 网络安全包括五个基本要素：机密性、完整性、可用性、可控制性与可审查性。 机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 可控制性：可以控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。 13.1 网络安全概述 13.1.2 网络安全面临的风险 目前网络安全面临的风险主要有以下五个方面。 非授权访问：指没有预先经过同意非法使用网络或计算机资源，比如有意避开系统访问控制机制，对网络设备及资源进行非正常使用；擅自扩大权限、越权访问信息等。 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(如，利用电磁泄漏或搭线窃听等方式截获机密信息)；在存储介质中丢失或泄漏；通过建立隐蔽隧道窃取敏感信息等。 13.1 网络安全概述 破坏数据完整性：指以非法手段获得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据 ，以干扰用户的正常使用。 拒绝服务攻击：不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应速度减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且很难防范。 13.1 网络安全概述 13.1.3 安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包括三个重要的组成部分。 威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律，不敢轻举妄动。 先进的技术：先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。 严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。 13.1 网络安全概述 13.1.4 网络安全技术 主动防御技术 数据加密 身份验证 存取控制 虚拟网络技术（VPN;VLAN) 被动防御技术 防火墙技术 安全扫描 路由过滤 安全管理 13.2 防火墙技术 13.2.1 防火墙的概念 防火墙（Firewall）是一种将内部网络和外部公共网络（Internet）分开的方法或设备。它检查到达防火墙两端的所有数据包(无论是输入还是输出)，从而决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障，使公共网络与内部网络之间建立起一个安全网关（Security Gateway）。防火墙通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。 防火墙的概念模型如下页图示。 13.2 防火墙技术 防火墙概念模型示意图 13.2 防火墙技术 13.2.2 防火墙的功能与分类 1. 防火墙的功能 防火墙一般具有如下三种功能： 忠实执行安全策略，限制他人进入内部网络，过滤掉不安全服务和非法用户。 限定内部网络用户访问特殊网络站点，接纳外网对本地公共信息的访问。 具有记录和审计功能，为监视互联网安全提供方便。 2. 防火墙分类 防火墙的主