第8章 Linux网络安全4.ppt

第8章 网络安全  本章学习目标 通过对本章的学习，读者应该掌握以下主要内容： ? 计算机网络安全的基本概念及Linux系统安全 ???? 防火墙技术基本知识 ???? 用iptales实现包过滤型防火墙 * * 8.1 计算机网络安全基础知识 8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 因此，网络安全在不同的环境和应用中会得到不同的解释。 （1）运行系统安全，即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等。它侧重于保证系统正常的运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免由与电磁泄漏，产生信息泄露，干扰他人（或受他人干扰），本质上是保护系统的合法操作和正常运行。 （2）网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传播的安全，即信息传播后的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用通信网络上大量自由传输的信息失控。它本质上是维护道德、法律或国家利益。 （4）网络上信息内容的安全，即讨论的狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。它本质上是保护用户的利益和隐私。 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。 可见，计算机网络安全主要是从保护网络用户的角度来进行的，是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。 8.1.2 网络安全的特征 网络安全应具有以下四个方面的特征： （1）保密性是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性是指对信息的传播及内容具有控制能力。 8.1.3 对网络安全的威胁 与网络连通性相关的有三种不同类型的安全威胁： （1）非授权访问（Unauthorized Access）指一个非授权用户的入侵。 （2）信息泄露（Disclosure of Information）指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 （3）拒绝服务（Denial of Service）指使系统难以或不能继续执行任务的所有问题。 8.1.4 网络安全的关键技术 从广义上讲，计算机网络安全技术主要有： （1）主机安全技术： （2）身份认证技术： （3）访问控制技术： （4）密码技术： （5）防火墙技术： （6）安全审计技术： （7）安全管理技术： 8.1.5 Linux系统的网络安全策略 1．简介 随着Internet／Intranet网络的日益普及，采用Linux网络操作系统作为服务器的用户也越来越多，这一方面是因为Linux是开放源代码的免费正版软件，另一方面也是因为较之微软的Windows NT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。在Internet／Intranet的大量应用中，网络本身的安全面临着重大的挑战，随之而来的信息安全问题也日益突出。以美国为例，据美国联邦调查局（FBI）公布的统计数据，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet计算机黑客侵入事件。一般认为，计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢？主要原因是很多人，尤其是很多网络管理员没有