计算机网络技术 知识与应用第07章网络安全和网络管理.ppt

公钥基础设施（PKI） 公钥基础设施是一种全新的安全技术，它利用加密技术和公钥概念为网络通信提供安全基础平台。能为用户提供数据机密性、数据完整性、身份识别与认证、不可否认性及时间戳等服务。 PKI由公钥加密技术、数字证书、证书发放机构（CA）和公钥安全策略等基本部分组成。一个完整的PKI应用系统至少包括以下五个部分。 认证中心CA：CA是PKI的核心，CA负责管理PKI机构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。 X.500目录服务器：X.500目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP协议查询自己或其他人的正式和下载黑名单信息。 具有SSL的安全：SSL是高强度的密码算法，WWW服务器Secure socket layer（SSL）协议最初由Netcase企业发展，现在已经成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通信的全球化标准。 Web安全通信平台：Web有Web Client和Web Server两端，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性、和身份验证。 自开发安全应用系统：在开发安全应用系统是指各行业自己开发的各种应用系统，例如银行、证劵的应用系统等。 应用案例 下列安全协议中， （47） 能保证交易双方无法抵赖。 A．SET B．HTTPS C．PGP D．MOSS 解析 1．SET（Secure Electronic Transaction，安全电子交易）是众多可以实现的电子支付手段中发展比较完善的，使用广泛的一种电子交易模式。主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。 ? 解决多方认证问题。不仅对客户的信用卡认证，而且要对在线商家认证，实现客户、商家和银行间的相互认证。 2．HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。 3．PGP(Pretty Good Privacy)，是一个基于RSA公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。 答案：（1）A[wx1]? ?[wx1]原来有背景色的地方，现在换为矩形框，“叠放次序”，衬于文字下方。 7.3防火墙技术 “防火墙”(Firewall) 一种将内网和公共访问网（如Internet）分开的方法，它实际上是一种隔离技术，它能将你“同意“的人和数据进入你的网络，同时将你”不同意“的人和数据拒之门外，最大限度的保护你的网络。 7.3.1 防火墙的功能及局限性 防火墙的优点 （1）防火墙作为内部网络的访问控制点，可以禁止未经授权的用户通过外部网络访问内部网络。 （2）通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。 （3）如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 （4）防火墙可以防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 防火墙的局限性 （1）防火墙不能防范来自内部网络的攻击。防火墙主要用于隔离内网和外网，主要防范外来入攻击，如果攻击来自内网，那它将无能为力。 （2）不能防范绕过防火墙的攻击。防火墙只能过滤经过它的数据流，如果存在着内网和外网的不安全通道（某内部用户通过电话Modem与Internet建立的连接），那么防火墙就无法对这个绕过它的通道进行控制。 （3）防火墙不能防范计算机病毒。病毒通常与受感染的软件或文件绑定在一起传输，不能期望防火墙对每个进出的文件内容都进行扫描，查找和清除病毒，否则会影响数据传输的效率。 7.3.2防火墙的分类 根据防火墙所采用的