计算机网络基础（第九章）.pptVIP

计算机网络基础 第九章 网络安全技术 本章学习任务 熟悉网络安全的概念 了解网络所面临的安全威胁以及主要应对措施 熟悉防火墙的有关概念和配置结构 熟悉VPN技术及其工作过程 掌握计算机病毒的有关知识 网络安全问题概述 什么是网络安全 网络安全是指网络系统的硬件，软件以及系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠和正常的运行，网络服务不中断。 网络所面临的安全威胁 安全威胁分为故意的和偶然的两类。 故意威胁又可以分为被动和主动两类。 被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有：泄露信息内容和通信量分析等。 主动攻击涉及修改数据流或创建错误的数据流，它包括中断、截取、修改、捏造、假冒，重放，修改信息和拒绝服务等。 网络安全的内容 根据计算机网络所面临的威胁，计算机网络的安全工作主要集中在以下方面： 保密； 鉴别； 访问控制； 病毒防范。 网络安全的层次模型 ISO定义了OSI/RM七层网络参考模型，不同的网络层次完成不同的功能。 从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施是不同的。没有哪个层次能够单独提供全部的网络安全服务，每个层次都有自己的贡献。 防火墙 防火墙并不是真正的墙，它是一种重要的访问控制措施，是一种有效的网络安全模型，是机构总体安全策略的一部分，它阻挡的是对内、对外的非法访问和不安全数据的传递。在因特网上，通过它隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网）的连接，能够增强内部网络的安全性。 防火墙通常分为两种类型：网络级防火墙和应用级防火墙。 防火墙配置主要有四种：屏蔽路由器方式，双穴主机网关方式、被屏蔽主机网关方式和被屏蔽子网方式。 虚拟专用网技术 虚拟专用网实际上就是将Internet看作一种公有数据网，这种公有网和PSTN网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。 VPN的优点 建设成本低 容易扩展 使用方便 易管理 广泛支持 安全性好 VPN技术 目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。 两种密码体制 根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密过程推导出解密过程(或者由解密过程推导出加密过程)，可将密码体制分为对称密码体制(也叫作单钥密码体制、秘密密钥密码体制)和非对称密码体制(也叫作双钥密码体制、公开密钥密码体制)。 对称密码体制 早期主要使用替代密码和置换密码。 从得到的密文的序列结构来划分，加密体制又分为序列密码和分组密码两种体制。 分组密码的代表是美国的数据加密标准DES。 DES的保密性仅取决于对密钥的保密，而算法是公开的。 公开密码体制 公开密钥算法的特点如下： 1、用加密密钥PK对明文X加密后，再用解密密钥SK解密，即可恢复出明文，或写为：DSK（EPK（X））=X 　 2、加密密钥不能用来解密，即DPK（EPK（X））≠X 3、在计算机上可以容易地产生成对的PK和SK。 4、从已知的PK实际上不可能推导出SK。 5、加密和解密的运算可以对调，即：EPK（DSK（X））=X 密钥的管理 目前，公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。 数字签名 数字签名必须保证以下几点： 接收者能够核实发送者对报文的签名； 发送者事后不能抵赖对报文的签名； 接收者不能伪造对报文的签名。 报文鉴别 报文鉴别码是用一个密钥生成的一个小的数据块追加在报文的后面 这种技术的前提是通信的双方使用对称密钥密码体制。 生成报文鉴别码的过程和加密的过程十分相似，所不同的是进行鉴别不是对于加密的反向计算。因此，鉴别是比较难攻破的。 计算机病毒知识 计算机病毒简介 计算机病毒不是自然界一直就有的，而是有人利用计算机软件或硬件所固有的脆弱性，编制的具有特殊功能的程序。 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一种计算机指令或程序代码。 计算机病毒的特征 可执行性 传染性和传播性 破坏性 欺骗性 隐蔽性和潜伏性 针对性 触发性 计算机病毒的分类 根据病毒所依附的操作系统分 根据病毒的传播媒介分 根据病毒传播和