网络管理员培训-网络安全 课件.ppt

网络管理员培训 网络安全 计算机网络的迅猛发展，网络安全已成为网络发展中一个重要课题。由于网络传播信息快捷，隐蔽性强，在网络上难以识别用户的真实身份，网络犯罪、黑客攻击、有害信息传播等方面的问题日趋严重。网络安全的产生和发展，标志着传统的通信保密时代过渡到了信息安全时代。 一、 网络安全的基本概念 　1、网络安全的基本要素 机密性：确保信息不暴露给未授权的实体或进程。 完整性 ：只有得到允许的人才能修改数据，且能判断出数据是否被篡改。 可用性：得到授权的实体在需要是可访问数据。 可控性：可控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。 ２、 网络安全威胁 非授权访问 信息泄露和丢失 破坏数据的完整性 拒绝服务攻击(DoS) 利用网络传播病毒 3、网络安全控制技术 防火墙技术 机密技术 用户识别技术 访问控制技术 网络反病毒技术 漏洞扫描技术 入侵检测技术 二、 可信计算机系统评估标准 产生问题：我们所建立的、管理的、使用的网络系统和信息系统是否是安全的？怎么样来评估系统的安全性？ 1、计算机系统安全评估准则综述 1983年，美国国家计算机安全中心（NCSC）公布了可信计算机系统评估准则（TCSEC，俗称桔皮书） 90年代西欧四国（英、法、德、荷）联合提出了信息技术安全评估标准（ITSEC，又称欧洲白皮书） 1993年，加拿大发布了“加拿大可信计算机产品评估准则”（CTCPEC） 1993年同期，美国发布了“信息技术安全评估联邦准则”（FC） 1996年，6国7方提出了“信息技术安全评价通用准则”（CC） 1995年5月，ISO/IEC通过了将CC作为国际标准ISO/IEC 15408 信息技术安全评估准则的最后文本 2、可信计算机安全评估准则（TCSEC） TCSEC将计算机系统的安全等级、7个级别 D类安全等级：包括D1一个级别 C类安全等级：划分为C1和C2两类 B类安全等级：分为B1、B2、B3三类 A类安全等级：只包含A1一个级别 D1、C1、C2、B1、B2、B3、A1 安全级别低 高 3、我国计算机信息系统安全保护等级划分准则 1999年2月9日,成立了“中国国家信息安全评测认证中心” 2001年1月1日,执行《计算机信息系统安全保护等级划分准则》 本准则规定了5个安全等级： 第一级：对应于TCSEC的C1级 第二级：对应于TCSEC的C2级 第三级：对应于TCSEC的B1级 第四级：对应于TCSEC的B2级 第五级：对应于TCSEC的B3级 三、 防火墙 1、防火墙的定义 简单的说，防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合 防火墙对不同网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。 功能： 对进出的数据包进行过滤，滤掉不安全的服务和非法用户 监视因特网安全，对网络攻击行为进行检测和警报 记录通过防火墙的信息内容和活动 控制对特殊站点的访问，封堵某些禁止的访问行为 2、防火墙的相关概念 非信任网络 信任网络 DMZ 可信主机 非可信主机 公网IP地址 保留IP地址 包过滤 地址转换 3、防火墙的基本分类及实现原理 包过滤防火墙（静态包过滤防火墙） 应用层网关防火墙（代理防火墙） 状态检测防火墙（动态包过滤防火墙） 静态包过滤防火墙 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 应用层网关防火墙（代理防火墙） 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用