《internet技术与应用教程第二版》-第9章.ppt

第9章 Internet网络安全 计算机网络安全的基本概念和基础知识 数据加密方法 数字签名的原理 防火墙 9.1 计算机网络安全基础知识 9.1.1 网络安全的含义 网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 9.1 计算机网络安全基础知识 9.1.1 网络安全的含义 网络安全又分为： （l）运行系统安全，即保证信息处理和传输系统的安全。 （2）网络上系统信息的安全。 （3）网络上信息传播的安全。全。 （4）网络上信息内容的安全。 2 网络安全的特征 （1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性：对信息的传播及内容具有控制能力。 3 网络安全的威胁 （1）非授权访问（unauthorized access）：一个非授权的人的入侵。 （2）信息泄露（disclosure of information）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 （3）拒绝服务（denial of service）：使得系统难以或不可能继续执行任务的所有问题。 4 网络安全的关键技术 ??????? 主机安全技术。 ??????? 身份认证技术。 ?????? 访问控制技术。 ??????? 密码技术。 ?????? 防火墙技术。 ?????? 安全审计技术。 安全管理技术。 9.３ 防火墙技术 9.2.1什么是防火墙 防火墙技术就是一种保护计算机网络安全的技术性措施，是在内部网络和外部网络之间实现控制策略的系统，主要是为了用来保护内部的网络不易受到来自Internet的侵害。图为防火墙示意图。 防火墙的主要功能如下： （1）过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。 （2）控制对特殊站点的访问。 （3）提供监视Internet安全和预警的方便端点。防火墙可以记录下所有通过它的访问，并提供网络使用情况的统计数据。 防火墙并非万能，影响网络安全的因素很多，对于以下情况防火墙无能为力： （1）不能防范绕过防火墙的攻击。 （2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。 （3）不能防止数据驱动式攻击。 （4）难以避免来自内部的攻击。 9.３.2 防火墙的三种类型 1.网络级防火墙 网络级防火墙也称包过滤防火墙，通常由一个路由器或一台充当路由器的计算机组成。 2.应用级防火墙 应用级防火墙通常指运行代理（Proxy）服务器软件的一台计算机主机。 3.电路级防火墙 电路级防火墙也称电路层网关，是一个具有特殊功能的防火墙，它可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。 9.３.3 防火墙体系结构 1.双重宿主主机体系结构 双重宿主主机体系结构是指在内部网络和外部网络的接口处使用至少两个网络设备，这些网络设备可以是路由器或普通计算机，其中一个连接内部网络（称为内部分组过滤器），另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接。 2. 主机过滤体系结构 这种结构由硬件和软件共同完成，硬件主要是指路由器，软件主要是指过滤器，它们共同完成外界计算机访问内部网络时从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet。 路由器、过滤器的作用？ 3. 子网过滤体系结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与Internet网络隔离开。 （1）参数网络 （2）堡垒主机 （3）内部路由器 （4）外部路由器 9.３.４ 包过滤技术 　　　定义：包过滤（Packet Filter）是在网络层中对数据包实施有选择的通过。 1. 包过滤是如何工作的 （1）将包的目的地址作为判据； （2）将包的源地址作为判据； （3）将包的传送协议作为判据。 9.３.４ 包过滤技术 　　包过滤不允许进行如下的操作： （1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。 （2）允许用户传送一些文件而不允许用户传送其它文件。 2. 包过滤的优缺点 （