第4章 Internet安全.ppt

华北科技学院 李文武 第4章 Internet安全 第一节 TCP/IP及Internet安全概述 网络安全的威胁 非授权访问（unauthorized access）：一个非授权的人的入侵。 信息泄露（disclosure of information）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 拒绝服务（denial of service）：使得系统难以或不可能继续执行任务的所有问题。 网络安全的关键技术 主机安全技术。 身份认证技术。 访问控制技术。 密码技术。 防火墙技术。 安全审计技术。 安全管理技术。 二、网络层安全 有时也称作互连网层，处理分组在网络中的活动，例如分组的路由选择。包括IP协议（网际协议），ICMP协议（Internet互连网控制报文协议），以及IGMP协议（Internet组管理协议）。 作用—— 将数据封装成IP协议所需的数据包 选择合适的发送路径，将数据发送到接收方 网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。网络层安全不包括终端系统内部的任何安全问题。 二、网络层安全 如果一个终端系统不采取适当的安全措施就与Internet直接相连，那它收到的数据包就有可能发生下述情况： 在传输过程中被篡改； 不是来自于所声称的来源； 可能是蓄意攻击系统的一部分，包括系统入侵和拒绝服务攻击。 二、网络层安全 同样，它发送的数据包也有可能发生下述情况： 没有被传送到所标识的目的地； 可能会在传输的过程中被修改； 可能会被身份不明的入侵或系统偷窥。 典型的网络层安全服务包括： 认证和完整性：向接收系统提供可靠的数据包来源．确保数据包没有被修改。 保密性：保证数据包的内容除预期的接收者外．不泄露给其他任何人。 访问控制：限制特定的终端系统仅与特定的应用程序或特定的远程数据包来源地或目的地进行通信。 四、应用层安全 应用层负责处理特定的应用程序细节。 应用程序进入网络的通道。在应用层有许多TCP/IP工具和服务，如： Telnet、FTP、HTTP、SMTP、POP3等等。 应用层安全指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的安全措施。 应用层安全措施包括认证、访问控制、保密性、数据完整性和不可否认性，此外还包括与Web、消息传送有关的安全措施。 DNS的安全性 可能泄露内部机器主机信息 如操作系统等信息 为保证安全的服务，可使用认证用户而不是主机名或IP地址来验证 五、系统安全 系统安全是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。 系统安全包含如下措施： 确保在安装的软件中没有已知的安全缺陷。 确保系统的配置能使入侵风险降至最低。 确保所下载的软件其来源是可信任的和可靠的。 确保系统能得到适当管理以使侵入风险最小。 确保采用合适的审计机制，以便能防止对系统的成功入侵，还有采取新的合适的防御性措施。 第二节 防火墙技术 防火墙是用来限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。 是网络安全的第一道屏障，保障网络安全的第一个措施往往是安装和应用防火墙。 一、防火墙的基本概念 防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统。从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统。 防火墙被放在两个网络之间，并具有以下特性： 所有的从内部到外部或从外部到内部的通信都必须经过它； 只有有内部访问策略授权的通信才被允许通过； 系统本身具有高可靠性。 简而言之，防火墙是保护可信网络，防止黑客通过非可信网络入侵的一种设备。 一、防火墙的基本概念 防火墙具有如下功能： 过滤不安全的服务和非法用户。 控制对特殊站点的访问。 作为网络安全的集中监视点。 防火墙的控制能力 服务控制：确定哪些服务可以被访问 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制：根据用户来控制对服务的访问 行为控制：控制一个特定的服务的行为 防火墙也有其不足之处，主要表现在： 防火墙不能防范不经由防火墙的攻击。 防火墙不能防止受到病毒感染的软件或文件的传输。 防火墙不能防止数据驱动式攻击。 二、防火墙的基本原理 可以分为包过滤型和应用网关型两大类： 包过滤型防火墙。包过滤型防火墙的处理对象是IP包，其功能是处理通过网络的IP包的信息，实现进出网络的安全控制。 应用网关型防火墙。应用网关型防火墙的处理对象是各种不同的应用服务，其功能是通过对网络服务的代理，检查进出网络的各种服务。 （一）包过滤型防火墙 包过滤型防火墙是应用数据包过滤（packet filtering）技术在网络层对数据包进行