辽工大专升本《计算机网络》第7章 网络安全.pptVIP

第7章 网络安全 7.1 计算机网络安全概述 7.1.1 网络安全的含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 广义上说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的所要研究的领域。 网络安全的核心是信息安全。 （1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性：对信息的传播及内容具有控制能力。 7.1.2 计算机网络面临的威胁 计算机网络上的通信面临威胁主要包括: 1. 截获：攻击者从网络上窃听信息。 2. 中断：攻击者有意中断网络上的通信。 3. 篡改：攻击者有意篡改网络上的信息。 4. 伪造：攻击者伪造信息在网络上传递。 上述的4种威胁可以分为两类：即被动攻击和主动攻击。其中截获信息被称为被动攻击，攻击者只是被动地观察和分析信息，而不干扰信息流，一般用于对网络上传输的信息进行了解。中断、篡改和伪造信息被称为主动攻击，主动攻击对信息进行各种处理，如有选择地更改、删除或伪造等。 被动攻击是不容易检测出来的，一般可以采用加密的方法，使 攻击者不能识别网络中所传输的信息内容。对于主动攻击除了进行信 息加密以外，还应该采用鉴别等措施。 7.1.3 网络安全的标准 为了衡量网络的安全性，世界各国制订了很多的网络安全标准，最为著名的是美国国防部《可信计算机系统标准评估准则》（习惯称为《橘皮书》），将多用户计算机系统的安全级别从低到高划分为四类七级，即D1、C1、C2、B1、B2、B3、A1。D级最低，A级最高。 （1）D1级，安全级别最低，为系统提供最小的安全保护。是一个没有任何保护措施的网络。如DOS、Window 3.x系统。 （2）C1级具备最低安全限度的等级，如Window 95/98. (3) C2级是具备基本保护能力的等级，可以满足一般应用的安全要求，如Window 2000/NT、Netware基本属于这一级。 （4）B1级和B2级是具有中等安全保护能力的等级，基本可以满足一般的重要应用的安全要求。 （5）B2级和A1级属于最高安全等级，只有极其重要的应用才需要使用。 7.2 数据加密技术 数据加密技术分为两大类：对称密钥加密和非对称密钥加密。 1.对称密钥加密 消息发送方和消息接收方必须使用相同的密钥，该密钥必须保密。发送方用该密钥对待发消息进行加密，然后将消息传输至接收方，接收方再用相同的密钥对收到的消息进行解密。 对称密钥加密的特点是加密方法的安全性依赖于密钥的秘密性。如何就对称密钥从发送方传给接收方，是对称密钥机制自身无法解决的问题。 2.非对称式加密（公用密钥加密技术） 假如X需要传送数据给A，X可将数据用A的公钥加密后再传给A，A收到后再用私钥解密 7.3 防火墙技术 防火墙是一种用来加强网络之间访问控制的特殊网络互连设备，如路由器、网关等。它对两个或多个网络之间传输的数据报和连接方式按照一定的安全策略进行检查，以决定网络之间的通信是否允许。其中被保护的网络称为内部网络，另一方则称为外部网络或公用网络。它能有效地控制内部网络和外部网络之间的访问和数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。 7.3 防火墙技术 2. 防火墙的三种类型 包过滤防火墙，通常由一部路由器或一部充当路由器的计算机组成。Internet/Intranet上的所有信息都是以IP数据包的形式传输的，两个网络之间的数据传送都要经过防火墙。包过滤路由器对所接收的每个数据包进行审查，以便确定其是否与某一条包过滤规则匹配。 （2） 应用型防火墙 应用型防火墙通常指运行代理（Proxy）服务器软件的一部计算机主机。采用应用级防火墙时，Intranet与Internet间是通过代理服务器连接的，二者不存在直接的物理连接。 通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服