杨建国计算机网络讲义114.pptVIP

指导教师:杨建国;第十一章 网络完全（需更新）;11.1 网络安全概述;1.网络安全面临的主要威胁: 黑客、病毒、拒绝服务攻击 身份窃取: 非授权访问: 冒充合法用户: 数据窃取: 破坏数据的完整性: 拒绝服务: 否认: 数据流分析: 干扰系统正常运行: 病毒与恶意攻击:;2.导致网络不安全的因素:网络本身存在安全缺陷、人为因素、 　自然因素 环境: 资源共享: 数据通信: 计算机病毒: TCP/IP协议的安全缺陷:;3.安全技术措施: 认证用户使用名与他们的真实身份一致 在网络上不透明发送用户名和密码来进行用户认证 确信这些服务在Internet和Intranet上均有效 在实时和存储转发应用情况下保护通信秘密 确保信息在发送和接收间避免干扰 保护秘密文件,使得只有授权的用户可以访问;二.网络完全措施 1.安全策略: 需求、风险、代价平衡分析的原则: 综合性、整体性原则: 一致性原则: 易操作性原则: 适应性、灵活性原则: 可评价性原则:;2.网络安全保障体系: 加强计算机安全立法 制定合理的网络管理措施 采用安全保密技术,保证系统安全;3.局域网的安全技术: 实行实体访问控制 保护网络介质 数据访问控制 数据存储保护 计算机病毒防护;4.广域网络的安全技术: 数据通信加密 通信链路安全保护 采用局域网络安全的各项措施;11.2 数据加密技术;一. 密码学概述 加密：通过对信息的重新组合,只有收发双方才能解码还原 　信息;明文;1.对称密钥密码体制: DES加密算法:;不足: 密钥使用一段时间后就要更换 密钥量太大,难以进行管理 无法满足不相识的人进行私人谈话时的保密性要求 难以解决数字签名验证的问题 优点：算法简单、密钥简短、破译困难;2.公开密钥密码体制: RSA算法: 优点: 密钥分配简单 密钥的保存量少 可以满足互不相识的人进行私人谈话时的保密性要求 可以完成数字签名和数字鉴别 3.公开密钥认证: 认证是指用户必须提供 他是谁的证明;二.安全套接字层 SSL: 为TCP/IP连接提供数据加密、服务器身份验证和消息 　完整性 1.启动Web服务器上的SSL安全服务: 生成密钥对文件和请求文件 从身份验证权限中请求一个证书 在服务器???安装证书 激活WWW服务文件夹上的SSL安全服务;2.SSL提供的三种基本的安全服务: 信息私密: 信息完整性: 相互认证:; SSL协议(“端对端方式”)：适用于“货到付款”方式; SET协议(“三端方式”)：适用于“银行转账”方式;11.3 防火墙技术; 防火墙的优点: 保护那些易受攻击的服务 控制对特殊站点的访问 集中化的安全管理 对网络存取访问进行记录和统计; 防火墙的不足: 不能防范不经由防火墙的攻击.如果内部网用户与Internet服 　务提供商建立直接的SLIP或PPP连接,则绕过防火墙系统所 　提供的全保护 不能防范人为因素的攻击 不能防止受病毒感染的软件或文件的传输 不能防止数据驱动式的攻击,当有些表面看来无害的数据邮 　寄或拷贝到内部网的主机上并执行时,可能会发生数据驱动 　式的攻击;二. 防火墙的体系结构 一切未被允许的都是禁止的 一切未被禁止的都是允许的;三. 防火墙十招 1．双端口或三端口的结构: 2．透明的访问方式: 3．灵活的代理系统: 4．多级的过滤技术: 5．网络地址转换技术: 6．Internet网关技术: 7．安全服务器网络（SSN）: 8．用户鉴别与加密: 9．用户定制服务: 10．审计和告警:;四.防火墙的类型 1.数据包过滤器: 通常包括对源和目的IP地址及端口的检查 许多过滤器允许管理员分别定义基于路由器上的数据包出去 　界面和进来界面的规则 过滤规则通常以表格的形式表示，有的还有“询问” 要建立正确的、完善的过滤规则集是很困难的： 　如表11.1-11.3; 优点：简单( 允许内部和外部系统之间直接交换数据包) 缺点：不能区分用户、无法保留攻击者的踪迹、难以发现 　已发生的网络攻击;2.应用层网关(或代理服务器): 堡垒主机(Bastion Host): 　一个应用层网关 它是一个专门的系统，有特殊的装备，并能抵御攻击 特点：它的硬件执行一个安全版本的操作系统 负责提供代理服务; 代理服务(Proxy Service): 服务器端程序、客户端程序; 代理服务器：运行代理服务程序的机器 每个代理都是一个独立的、简短的程序 提供日志 (log) 及审计 (audit) 服务 优点：安全性方面比数据包过滤器强 缺点：在性能与透明性方面较差; 双宿主机网关(Dual Homed