第九章因特网应用技术计算机-网络安全选编.pptVIP

第九章 网络安全;复习与回顾;本章主要内容;9.1 网络安全问题概述;安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。 被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有：泄露信息内容和通信量分析等。 主动攻击涉及修改数据流或创建错误的数据流，它包括中断、截取、修改、捏造、假冒，重放，修改信息和拒绝服务等。 ;影响网络安全的主要因素???? ①信息泄密。 ②信息被篡改。 ③传输非法信息流。 ④网络资源的错误使用。 ⑤非法使用网络资源。 ⑥环境影响。 ⑦软件漏洞。 ⑧人为安全因素 ;中断：系统资源遭到破坏或变的不能使用。是对可用性的攻击。 截取：未授权实体得到了资源的访问权。是对保密性的攻击。 修改：未授权的实体不仅得到了访问权，而且还篡改了资源。是对完整性的攻击。 捏造：未授权的实体向系统中插入伪造的对象。是对真实性的攻击。 假冒：一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放涉及被动捕获数据单元以及后来的重新发送，以产生未经授权的效果。 ;修改信息：改变了真实信息的部分内容，或将信息延迟或重新排序，导致未授权的操作。 拒绝服务：禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断，这可以通过使网络失效而实现，或通过消息过载使网络性能降低。 还有一种特殊的主动攻击就是恶意程序攻击。 渗入威胁：假冒，旁路控制，授权侵犯。 植入威胁：特洛伊木马，陷门。;网络实体的安全 软件安全 数据安全 安全管理 数据保密性 数据完整性 可用性 可审查性;网络安全的主要内容 根据计算机网络所面临的威胁，计算机网络的安全工作主要集中在以下方面： 保密； 鉴别； 访问控制； 病毒防范； 防止木马;OSI/RM七层网络参考模型，不同的网络层次完成不同的功能。从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施不同。没有哪个层次能够单独提供全部的网络安全服务，每个层次都有自己的贡献。 在物理层，可以在通信线路上采用某些技术使得偷听不可能实现或者容易被检测出来。 在数据链路层，点对点链路可以通过加密来保障数据传输的安全性。当信息离开一个设备时加密，进入一个设备时解密。 在网络层，防火墙技术被用来处理信息在内外网络边界的流动，它可以确定哪些访问活动可以进行； 在传输层，端到端的连接可以进行加密。这也称为进程到进程间的加密。 ;9.2 防火墙;9.2.1 防火墙的功能;1．网络级防火墙 网络级防火墙又称为包过滤型防火墙，是基于数据包过滤的防火墙。 网络级防火墙可以将从数据包中获取的信息（源地址、目标地址、所用端口等）同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。网络级防火墙检查每一条规则直至发现包中的信息与某规则相符。 用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。 ;包过滤策略 * 拒绝来自某主机或某网段的所有连接。 * 允许来自某主机或某网段的所有连接。 * 拒绝来自某主机或某网段的指定端口的连接。 * 允许来自某主机或某网段的指定端口的连接。 * 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。 * 允许本地主机或本地网络与其它主机或其它网络的所有连接。 * 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。 * 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。;2．应用层防火墙 应用层防火墙又称为应用层网关，它的另外一个名字就是代理服务器。网络级防火墙可以按照IP地址禁止外部对内部的访问，但不能控制内部人员对外的访问。 代理服务器隔离在风险网络与内部网络之间，内外不能直接交换数据，数据交换由代理服务器“代理”完成。 当一个用户在可信赖的网络希望连接到在不被信赖的网络的服务如因特网，这个应用专注于在防火墙上的代理服务器，有效地伪装成在因特网上的真实服务器。它评估请求和决定允许或拒绝基于一系列被个人网络服务管理规则的请求。 ;代理服务器的功能 （1）设置用户验证和记账功能，可按用户进行记账，没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。 (2）对用户进行分级管理，设置不同用户的访问权限，对外界或内部的Internet地址进行过滤，设置不同的访问权限。 (3）增加缓冲器（Cache)，提高访问速度，对经常访问的地址创建缓冲区，提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区（可能高达几个GB或更大），当有外界的信息通过时，同时也将其保存到缓冲区中，当其他