第九章因特网应用技术计算机网络安全.pptVIP

第九章 网络安全 复习与回顾 以下说法是否正确，说明理由。 WWW是一种因特网上的应用，不是协议。 网站由若干个网页文件组成，其中第1个网页文件最重要，称为首页或主页。 HTTP的默认端口是80、81，FTP的默认端口是20、21。 HTTP、FTP、TELNET、DNS都是第7层（应用层）的服务或协议。 SMTP和POP3协议分别用于邮件的发送和接收。 在FTP服务器上，上传和下载所占用的带宽大体相同。 HTML是一种比较简单的程序设计语言。 因特网上任何资源的URL地址都是唯一的。 本章主要内容 9.1 网络安全问题概述 9.2 防火墙 9.3 VPN 9.4 计算机病毒 9.1 网络安全问题概述 9.1.1 什么是网络安全 网络安全是指网络系统的硬件、软件以及系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠和正常的运行，网络服务不中断。 从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。 被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有：泄露信息内容和通信量分析等。 主动攻击涉及修改数据流或创建错误的数据流，它包括中断、截取、修改、捏造、假冒，重放，修改信息和拒绝服务等。 影响网络安全的主要因素???? ①信息泄密。 ②信息被篡改。 ③传输非法信息流。 ④网络资源的错误使用。 ⑤非法使用网络资源。 ⑥环境影响。 ⑦软件漏洞。 ⑧人为安全因素 中断：系统资源遭到破坏或变的不能使用。是对可用性的攻击。 截取：未授权实体得到了资源的访问权。是对保密性的攻击。 修改：未授权的实体不仅得到了访问权，而且还篡改了资源。是对完整性的攻击。 捏造：未授权的实体向系统中插入伪造的对象。是对真实性的攻击。 假冒：一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放涉及被动捕获数据单元以及后来的重新发送，以产生未经授权的效果。 修改信息：改变了真实信息的部分内容，或将信息延迟或重新排序，导致未授权的操作。 拒绝服务：禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断，这可以通过使网络失效而实现，或通过消息过载使网络性能降低。 还有一种特殊的主动攻击就是恶意程序攻击。 渗入威胁：假冒，旁路控制，授权侵犯。 植入威胁：特洛伊木马，陷门。 网络实体的安全 软件安全 数据安全 安全管理 数据保密性 数据完整性 可用性 可审查性 网络安全的主要内容 根据计算机网络所面临的威胁，计算机网络的安全工作主要集中在以下方面： 保密； 鉴别； 访问控制； 病毒防范； 防止木马 OSI/RM七层网络参考模型，不同的网络层次完成不同的功能。从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施不同。没有哪个层次能够单独提供全部的网络安全服务，每个层次都有自己的贡献。 在物理层，可以在通信线路上采用某些技术使得偷听不可能实现或者容易被检测出来。 在数据链路层，点对点链路可以通过加密来保障数据传输的安全性。当信息离开一个设备时加密，进入一个设备时解密。 在网络层，防火墙技术被用来处理信息在内外网络边界的流动，它可以确定哪些访问活动可以进行； 在传输层，端到端的连接可以进行加密。这也称为进程到进程间的加密。 9.2 防火墙 9.2.1防火墙的功能 防火墙(Firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件，也可以是架设在一般硬件上的一套软件。 是一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。 主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 9.2.1 防火墙的功能 通常防火墙具有以下功能： 过滤进出的数据。 管理进出的访问行为。 封堵某些禁止的业务。 记录通过防火墙的信息内容和活动。 对网络攻击进行检测和报警。 9.2.2 防火墙的类型 1．网络级防火墙 网络级防火墙又称为包过滤型防火墙，是基于数据包过滤的防火墙。 网络级防火墙可以将从数据包中获取的信息（源地址、目标地址、所用端口等）同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。网络级防火墙检查每一条规则直至发现包中的信息与某规则相符。 用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACC