2016计算机网络（电工版）教案：网络安全02.docVIP

第七章 网络安全 本章主要内容 7.1网络安全基础知识7.2威胁网络安全的因素7.3网络安全分类7.4网络安全解决方案7.5防火墙基本概念。7.4 网络安全解决方案7.4.1 网络信息安全模型一个完整的网络信息安全系统至少包括三类措施： ●社会的法律政策，企业的规章制度及网络安全教育●技术方面的措施，如防火墙技术、防病毒。信息加密、身份确认以及授权等● 审计与管理措施，包括技术与社会措施 7.4.2 安全策略设计依据在制定网络安全策略时应当考虑如下因素：●对于内部用户和外部用户分别提供哪些服务程序●初始投资额和后续投资额（新的硬件、软件及工作人员）●方便程度和服务效率●复杂程度和安全等级的平衡● 网络性能7.4.3 网络安全解决方案(1)信息包筛选(2)应用中继器(3)保密与确认“保密”可以保证当一个信息被送出后，只有预定的接收者能够阅读和加以解释。它可以防止窃听，并且允许在公用网络上安全地传输机密的或者专用的信息。“确认”意味着向信息（邮件、数据、文件等）的接收者保证发送是该信息的拥有者，并且意味着，数据在传输期间不会被修改。 7.4.4 网络安全性措施 要实施一个完整的网络安全系统，至少应该包括三类措施：●社会的法律、法规以及企业的规章制度和安全教育等外部软件环境●技术方面的措施，如网络防毒、信息加密、存储通信、授权、认证以及防火墙技术● 审计和管理措施，这方面措施同时也包含了技术与社会措施。为网络安全系统提供适当安全的常用的方法：●修补系统漏洞●病毒检查●加密●执行身份鉴别●防火墙●捕捉闯入者●直接安全●空闲机器守则●废品处理守则●口令守则可以采取的网络安全性措施有：●选择性能优良的服务器。服务器是网络的核心；它的故障意味着整个网络的瘫痪，因此，要求的服务应具有：容错能力。带电热插拔技术，智能I／O技术，以及具有良好的扩展性●采用服务器备份。服务器备份方式分为冷备份与热备份二种，热备份方式由于实时性好，可以保证数据的完整性和连续性，得以广泛采用的一种备份方式●对重要网络设备、通信线路备份。通信故障就意味着正常工作无法进行。所以，对于交换机、路由器以及通信线路最好都要有相应的备份措施7.4.5 Internet安全管理(1)应解决的安全问题 (2)对Internet网的安全管理措施●安全保密遵循的基本原则：?根据所面临的安全问题，决定安全的策略。?根据实际需要综合考虑，适时地对现有策略进行适当的修改，每当有新的技术时就要补充相应的安全策略。?构造企业内部网络，在Intranet和 Internet之间设置“防火墙”以及相应的安全措施。●完善管理功能●加大安全技术的开发力度 7.4.6 网络安全的评估 ●确定单位内部是否已经有了一套有关网络安全的方案，如果有的话，将所有有关的文档汇总；如果没有的话，应当尽快制订●对已有的网络安全方案进行审查●确定与网络安全方案有关的人员，并确定对网络资源可以直接存取的人或单位（部门）●确保所需要的技术能使网络安全方案得以落实●确定内部网络的类型。因为网络类型的不同直接影响到安全方案接口的选择●如果需要接入互联网；则需要仔细检查联人互联网后可能出现的影响网络安全的事项●确定接入互联网的方式，是拔号接入，还是低速的专线，是一条T1中速专线，还是一条T3高速专线●确定单位内部能提供互联网访问的用户，并明确互联网接入用户是固定的还是移动的●是否需要加密，如果需要加密，必须说明要求的性质，比如，是对国内的还是对国外的，以便使安全系统的供应商能够做出正确的反应7.5 防火墙基本概念 7.5.1 因特网防火墙1．防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士，控制并检查站点的访问者。 防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说，防火墙是穿不透的。内部网需要防范的三种攻击有：间