计算机网络安全问题-理论.pptVIP

计算机网络安全 11.1 网络安全概述 11.1.1 网络安全问题 计算机网络安全：实体的安全、运行环境的安全、信息的安全 1.网络安全面临的主要威胁 身份窃取 非授权访问 冒充合法用户 数据窃取 破坏数据的完整性 拒绝服务 否认 数据流分析 干扰系统正常运行 病毒与恶意攻击 2.导致网络不安全的因素 环境 资源共享 数据通信 计算机病毒 TCP/IP协议的安全缺陷 3.安全技术措施 11.1.2 网络安全措施 1.安全策略 2.网络安全保障体系 加强计算机安全立法 制定合理的网络管理措施 采用安全保密技术，保证系统安全 3.局域网的安全技术 实行实体访问控制 保护网络介质 数据访问控制 数据存储保护 计算机病毒防护 4.广域网的安全技术 数据通信加密 通信链路安全保护 采用局域网络安全的各项措施 11.2 数据加密技术 数据加密技术：为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破译所采用的主要技术手段之一，也是网络安全的重要技术。 数据加密技术分为：数据传输、数据存储、数据完整性鉴别、密钥管理技术。 11.2.1 密码学概述 加密：把明文变换成密文的过程。 解密：把密文还原成明文的过程。 认证：识别个人、网络上的机器或机构。 数字签名：将发送文件与特定的密钥捆在一起。 签名识别：数字签名的反过程，它证明签名有效。 1.对称密钥密码体制 DES加密算法 对称密码体制的不足 2.公开密钥密码体制 RSA算法 公开密钥密码体制的优点 公开密钥认证 11.3 防火墙技术 11.3.1 防火墙的概念 防火墙：用于增强内部网络和Internet之间的访问控制，而设置的一种由计算机硬件和软件组成的系统。 防火墙的优点：保护那些易受攻击的服务、控制对特殊站点的访问、集中化的安全管理、对网络存取访问进行记录和统计。 11.3.2 防火墙的体系结构 1.一切未被允许的都是禁止的 2.一切未被禁止的都是允许的 11.3.3 防火墙的类型 1.防火墙分类 数据包过滤器 电路层网关 应用层网关 2.数据包过滤防火墙 系统结构 工作原理：数据包过滤器在收到报文后，先扫描报文头，检查报文头中的报文类型（TCP，UDP等）、源IP地址、目的IP地址和目的TCP/UDP端口等域，然后将规则库中的规则应用到该数据包头上，以决定是将此数据包转发出去还是丢弃。 2.应用层网关 （1）堡垒主机 系统结构 工作原理：堡垒主机的硬件是一台普通的主机，软件上配置了代理服务程序，从而具备强大而完备的安全功能，它是内部网络与Internet之间的通信桥梁，它中继所有的网络通信，并具有授权认证、访问控制、日志记录、审计报告和监控等功能。 （2）代理服务 （3）双宿主机网关 系统结构 工作原理：双宿主机网关（Dual Home Gateway）是在堡垒主机中插装两块网络接口卡，并在其上运行代理服务器软件，受保护网与Internet之间不能直接进行通信，必须经过堡垒主机。 3.屏蔽主机网关 系统结构 工作原理：屏蔽主机网关防火墙配置时需要一个带数据包过滤功能的路由器和一台堡垒主机。常将堡垒主机设置在被保护网络中，路由器设置在堡垒主机和Internet网络之间，这样堡垒主机是被保护网络中唯一可到达Internet网络的系统。 4.屏蔽子网网关 系统结构 工作原理：屏蔽子网防火墙采用两个包过滤路由器和一个堡垒主机。在受保护网与Internet之间有一个小型的独立网络，对这个屏蔽子网的访问受到路由器过滤规则的保护。 5.电路层网关 系统结构 工作原理：电路层网关是一个特殊的功能，可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。 * 加密算法E 发送端 密钥Ke 解密算法D 接收端 密钥Kd 密文C=E（K，P） 偷听者 明文P 明文P Internet Intranet 过滤器 Internet Intranet 过滤器 堡垒主机 代理服务器工作原理 * * *