第7章_网络安全.pptVIP

第7章 网络安全 网络管理员考试培训 考点1 网络安全基础 一、网络安全基本概念 网络安全的基本要素：机密性、完整性、可用性、可控性与可审查性。 网络安全威胁：非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。 网络安全控制技术：防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术。 二、黑客的攻击手段 口令入侵：使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。 放置特洛伊木马：特洛伊木马程序是指非法驻留在目标计算机里，在目标计算机启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，如窃取口令等。 Dos攻击：也称拒绝服务攻击，其目的是使计算机或网络无法提供正常的服务。 二、黑客的攻击手段 端口扫描：利用扫描器侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。 网络监听：网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。 二、黑客的攻击手段 欺骗攻击：攻击者创造一个易于误解的上下文环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。 电子邮件攻击：主要表现为向目标信箱发送电子邮件炸弹。所谓的邮件炸弹实质上就是发送地址不详且容量庞大的邮件垃圾。 三、可信计算机系统评估标准 美国可信计算机系统评估准则（TCSEC） TCSEC将计算机系统的安全划分为4个等级、7个安全级别：D、C1、C2、B1、B2、B3、A1。 四、网络安全技术 （1）数据加密技术 分为对称密钥加密和非对称密钥加密。 对称密钥加密 发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。常用的对称加密算法有：DES、IDEA等算法。 非对称密钥加密 每个用户都有一对密钥：公开密钥和私有密钥。公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，另一把密钥来解密。常用算法有RSA算法。 四、网络安全技术 （2）加密算法 数据加密标准（DES）：加密前，先对整个明文进行分组。每一个组长为64位。然后对每个64位二进制数据进行加密处理，经过16轮迭代，产生一组64位密文数据。最后将各组密文串接起来，即得出整个密文。使用的密钥为64位。实际密钥长度为56位，有8位用于奇偶校验。 RSA算法：基于数论中寻求两个大素数比较简单，而将它们的乘积分解开则极其困难。每个用户有两个密钥：私有密钥和公共密钥，私有密钥用于解密和数字签名，公共密钥用于加密和验证签名。 四、网络安全技术 （3）报文摘要 通过一个单向的散列函数，以变长的信息输入，把其压缩成一个定长的值输出。主要算法有MD5和SHA两种。 （4）数字签名 用于确认发送者身份和消息完整性的一个加密的消息摘要。数字签名应满足以下3点： 接收者能够核实发送者 发送者事后不能抵赖对报文的签名 接收者不能伪造对报文的签名 四、网络安全技术 （5）数字证书 解决了公开密钥密码体制下密钥的发布和管理问题，用户可以公开其公钥，而保留其私钥。一般包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。数字证书是由认证中心（CA）签发的。 考点2 防火墙 一、防火墙简介 （1）防火墙 通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。 （2）实现方式 硬件防火墙：通过硬件和软件的组合来达到隔离内、外部网络的目的。 软件防火墙：通过纯软件的方式来实现隔离内、外部网络的目的。 考点2 防火墙 （3）防火墙的相关概念 非信任网络（公共网络）：处于防火墙之外的公共开放网络，一般指因特网。 信任网络（内部网络）：位于防火墙之内的可信网络，是防火墙要保护的目标 DMZ（非军事化区）：也称周边网络，可以位于防火墙之外也可以位于防火墙之内。安全敏感度和保护强度较低。非军事化区一般用来放置提供公共网络服务的设备。 可信主机：位于内部网的主机，且具有可信任的安全特性。 考点2 防火墙 公网IP地址：由因特网信息中心统一管理分配的IP地址。可在因特网上使用。 保留IP地址：专门保留用于内部网的IP地址。 包过滤：防火墙对每个数据包进行允许或拒绝的决定，具体地说，就是根据数据包的头部按照规则进行判断，决定继续转发还是丢弃。 网络地址转换（NAT）：防火墙将内部网主机不可路由的保留地址转换成公共网络可识别的公共地址，可以达到节省IP和隐藏内部网络拓扑结构信息等目的。 二、防火墙基本分类及实现原理 包过滤型防火墙：工作在OSI模型的网络层。通过访问控制表，检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，来确定是否允许该数据包通过。 代理