第7章网络基础知识研讨.ppt

7.5.1 网络安全概述 计算机网络面临的威胁 授权访问。 信息泄漏或丢失。 破坏数据完整性。 拒绝服务攻击。 利用网络传播病毒。 网络安全技术分类 面对网络中的各种威胁，网络安全技术分为主动防范技术和被动防范技术两类。 主动防范技术 包括加密技术、验证技术、权限设置等。 被动防范技术 包括防火墙技术和防病毒技术等。 网络安全策略 采用何种方法和何种技术来面对网络威胁，属于安全策略的范畴。安全策略是网络信息系统安全性的完整解决方案，不同的网络信息系统需要不同的安全策略。 目前采较多的安全策略有如下防范方案。 采用防火墙技术。 加强主机安全。 安装防病毒软件。 VPN技术的使用。 安装入侵检测系统。 采用加密和认证技术 安装备份恢复与审计报警系统 制定详细的安全策略和技术人员操作、管理制度。 7.5.2 防火墙技术 防火墙的概念 在网络中，防火墙（Firewall）是设置在可信任的内部网和不可信任的外部网络（即公众网络）之间的一道屏障，以防止不可预测的、潜在破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内联网络的信息、结构和运行状况，实质上是一种隔离技术。 防火墙的逻辑结构 外部网络 内部网络 防火墙的基本特性 所有内部和外部网络之间传输的数据必须通过防火墙。 只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。 防火墙本身不受各种攻击的影响。 防火墙的基本准则 过滤不安全服务 过滤非法用户和访问特殊站点 防火墙的功能 限制非法用户进入内部网络。 为监控Internet安全提供方便。 提供使用和流量的日志和审计。 对外屏蔽内部网的信息、结构和运行状况。 防火墙类型 从防火墙的软、硬件形式上分，可以分为软件防火墙、硬件防火墙和芯片级防火墙。 从防火墙结构上分，主要有单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 防火墙按照防护原理，可分为包过滤、应用代理、规则检查等类型。市场上较为流行的防火墙大多属于规则检查防火墙。 网络级防火墙 网络级防火墙主要用来防止整个网络出现外来非法的入侵。 包过滤路由器的工作原理 内部网络 物理层 分组过滤规则 数据链跑层 Internet 外部网络 网络层 物理层 数据链跑层 网络层 包过滤路由器 应用级防火墙 应用级防火墙的核心技术就是代理服务器技术。在外部网络向内部网络申请服务时发挥了中间转接的作用。 应用级代理工作原理 内部网络 真正服务器 代理服务器 实际的连接 实际的连接 外部网络 客户 虚拟的连接 Internet 防火墙 * 2、电路交换的优点 (1) 连接建立后, 数据以固定的传输率传输, 传输延迟小。 (2) 由于物理线路被单独占用,故不可能发生冲突; (3) 适用于实时大批量连续的数据传输。 3、电路交换的缺点 (1) 建立连接将跨多个设备或线缆，则会需要花费很长的 时间。 (2) 连接建立后，由于线路是专用的，即使空闲，也不能 被其它设备使用造成一定的浪费。 (3) 对通信双方而言，必须做到双方的收发速度、编码方法、信息格式和传输控制等一致才能完成通信。 * 2、报文交换的优点 ⑴ 电路利用率高。报文可以分时共享交换设备间的线路。 ⑵ 在电路交换网络上，当通信量变得很大时,就不能接受新的呼叫。而在报文交换网络上,通信量大时仍然可以接收报文,不过传送延迟会增加。 ⑶ 报文交换系统可以把一个报文发送到多个目的地，而电路交换网络很难做到这一点。 ⑷ 报文交换网络可以进行速度和代码的转换。 3、报文交换的缺点 ⑴ 数据的传输延迟比较长，且延迟时间长短不一，因此不适用于实时或交互式的通信系统。 ⑵ 当报文传输错误时，必须重传整个报文。 * * 1、各层相对独立：每层只要实现相对独立的功能； 2、灵活性好：当任何一层发生变化时，只要层间接口不变，则上下各层都不受影响； 3、结构上可分割：各层可以采用最合适的技术实现； 4、易于实现和维护：层次结构使得整个系统被分解为若干相对独立的子系统，使得实现和维护更加容易。 * TCP／IP是国际互联网Internet采用的协议标准，是事实上的工业标准。 * （1）授权访问。非法攻击者未经授权，通过窃取口令、屏蔽口令验证等手段，非法入网使用资源和窃取数据信息。 （2）信息泄漏或丢失。非法攻击者利用各种手段截获计算机、外部设备在信息传输时产生的辐射电磁符号，达到窃取信息的目的。 （3）破坏数据完整性。非法攻击者进行主动攻击，对正在交换的数据进行修改或插入，使数据延时以及丢失等。 （4）拒绝服务攻击。最基本的DoS攻击（Denial of Serv