[XXR5]CH7-5ed 网络安全.ppt

第9章 网络安全;本章主要内容;网络安全的概念;物理安全保护;信息安全基本要素;信息安全基本要素;信息安全模型;信息安全要素;安全威胁;网络安全性威协;网络安全攻击的形式;网络安全攻击;网络安全攻击;被动攻击： 目的是窃听、监视、存储数据，但是不修改数据。很难被检测出来，通常采用预防手段来防止被动攻击，如数据加密。 主动攻击： 修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。 ;主动攻击又可进一步划分为三种，即： （1）更改报文流（篡改） （2）拒绝报文服务（中断） （3）伪造连接初始化（伪造）;安全威胁的后果;（1）防止析出报文内容； （2）防止信息量分析； （3）检测更改报文流； （4）检测拒绝报文服务； （5）检测伪造初始化连接。;常见的安全威胁 ;常见的安全威胁 ;常见的安全威胁;常见的安全威胁;常见的安全威胁;安全威胁分类;互联网安全事件;我国的历史数据;我国的历史数据;大规模蠕虫事件;网络安全成全球化问题;黑客入侵和破坏的危险;黑客（ Hacker ）;黑客（ Hacker ）;凯文 米特尼克;凯文 米特尼克;凯文 米特尼克;莫里斯;莫里斯;什么是黑客 ？;安全策略;安全策略;安全工作目的（1）;安全工作目的（2）;密码学基本概念;密码学基本术语;密码系统的模型;加密;机密性:提供只允许特定用户访问和阅读信息，任何非授权用户对信息都不可理解的服务[通过数据加密实现]。;密码学的作用;密码系统的定义;密码系统的定义;单钥体制（对称密码）: 　　K1＝K2 双钥体制（非对称密码）: 　　K1≠K2;单钥密码技术又称对称密码技术，即同用一个密钥去加密和解密数据。;公钥体制;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;　　*　　　　　　;*;*;*;*;*;常规加密;(b) 公钥加密：具有机密性;(c) 公钥加密：认证和签名;;课件制作人：谢希仁;　　*　　　　　　;　???*　　　　　　;　　*　　　　　　;　　*　　　　　　; 防火墙的定义;I T 领域使用的防火墙概念;防火墙发展; 防火墙分类;防火墙在网络中的位置; 第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。所以称为包过滤防火墙。 ;包过滤防火墙;包过滤防火墙 ;;应用代理防火墙;; 优点： 　　 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。 　　 通过限制某些协议的传出请求，来减少网络中不必要的服务。 　　 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。 缺点： 　　 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 一些应用程序可能根本不支持代理连接。 ;;状态/动态检测防火墙;;优点： 检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。 识别带有欺骗性源IP地址包的能力。 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通 过防火墙，绕过是困难的。 基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的FTP连接，允许返回的FTP包通过。 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。 记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。 ;状态/动态检测防火墙的缺点;状态检测防火墙原理图;市场发展需要的新技术;基于状态检测的硬件防火墙 采用ASIC芯片硬件设计体系 具有内容处理芯片和内容处理加速单元 可以实现实时分析和数据包协调处理 具有优化内容搜索、模式识别和数据分析功能 同时具有病毒扫描、VPN、内容过滤和基于网络的入侵检测功能。;底层内容过滤原理图;防火墙的性能指标;防火墙产品功能特性组;操作模式: NAT/Route/Transparent;双向NAT;透明模式的支持;基于时间的策略控制; IP/MAC绑定;HA功能;病毒检测;蠕虫保护;内容安全控制;入侵检测;抵抗DOS/DDOS攻击 防止入侵者的扫描 防止源路由攻击 防止IP碎片攻击 防止ICMP/IGMP攻击 防止IP欺骗攻击;虚拟专用网（VPN）;计算机病毒