第11章 Red Hat Linux 9网络安全.ppt

第11章 Red Hat Linux 9网络安全 Linux平台作为一个安全性、稳定性比较高的操作系统被广泛地应用到了民用或者商业网络服务领域。尽管Linux是安全系数比较高的操作系统，但作为一种动态的、不断发展的操作系统，其自身仍然不可避免地存在着各种问题。本章将主要介绍Linux操作系统的一些安全特点，以及与之相关的安全技术。 11.1 网络安全基础 计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科地综合性学科。从广义上讲，凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全地研究内容。 11.1.1 信息安全简介 广义信息安全：包括军事、政治等国家机密安全，防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。 狭义信息安全：指信息网络的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续、可靠、正常地运行，信息服务不中断。 网络环境下的信息安全：包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等）以及安全系统。 1．信息安全的实现目标 （1）真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。 （2）保密性：保证机密信息不被窃听，或使窃听者不能了解信息的真实含义。 （3）完整性：保证数据的一致性，防止数据被非法用户篡改。 （4）可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。 （5）不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。 （6）可控制性：对信息的传播及内容具有控制能力。 （7）可审查性：对出现的网络安全问题提供调查的依据和手段。 2．主要的信息安全威胁 （1）窃取：非法用户通过数据窃听的手段获得敏感信息。 （2）截取：非法用户首先获得信息，再将此信息发送给真实接收者。 （3）伪造：将伪造的信息发送给接收者。 （4）篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。 （5）拒绝服务攻击：攻击服务系统，造成系统瘫痪，阻止合法用户获得服务。 （6）行为否认：否认已经发生的行为。 （7）非授权访问：未经系统授权而使用网络或计算机资源。 （8）传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难进行防范。 3．信息安全威胁的主要来源 （1）自然灾害、意外事故。（2）计算机犯罪。（3）人为错误，如使用不当，安全意识差等。（4）内部泄密。（5）外部泄密。（6）信息丢失。（7）电子谍报，如信息流量分析、信息窃取等。（8）信息战。 （9）网络协议自身缺陷，如TCP/IP协议的安全问题等。 4．信息安全涉及的主要问题 （1）网络攻击与攻击检测、防范问题。（2）安全漏洞与安全对策问题。（3）信息安全保密问题。（4）系统内部安全防范问题。（5）防病毒问题。（6）数据备份与恢复问题、灾难恢复问题。 11.1.2 网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性等问题的技术手段，主要包括物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术等。 11.2 防火墙技术 网络面临的安全威胁主要有人为或自然力造成的数据丢失、设备失效、线路阻断；操作人员的失误造成的数据丢失；来自外部或内部人员的恶意攻击和入侵等。 前面两种威胁的预防方法与传统电信网络中的预防方法基本相同。最后一种是当前Internet所面临的最大威胁，是电子商务、电子政务等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。目前解决网络安全问题的最有效方法是采用防火墙。 防火墙就是在可以信任的本地网络和不可信任的外部网络之间的一个阻塞点，内部网络和外部网络之间的所有数据传输都必须经过这一个阻塞点。 11.2.1 防火墙的体系结构及分类 目前防火墙的体系结构一般有双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构3种。 2．主机过滤体系结构 双重宿主主机结构是由一台同时连接于内、外网络的双重宿主主机提供安全保障的，而在主机过滤体系结构中，提供安全保护的主机仅与内部网络相连。另外，主机过滤结构还有一台单独的路由器（过滤路由器）。在这种体系结构中，网络安全主要由数据包过滤提供，其结构如右图： 过滤路由器中，数据包过滤配置的两种方法： （1）