第6章节 网络安全技术基础.pptVIP

第6章 网络安全技术基础 学习目标 1）了解计算机网络安全的主要内容 2）理解并掌握防火墙技术及其实现 3）了解认证技术的种类和实现方法 4）了解密码体制和加密技术 6.1 网络信息安全概述 6.1.1 网络面临的安全威胁 计算机网络通信面临的四种威胁： （1）截获（Interception） 攻击者从网络上窃听他人的通信内容。 （2）中断（Interruption） 攻击者有意中断他人在网络上的通信。 （3）篡改（Modification） 攻击者故意篡改网络上传送的报文。 （4）伪造（Fabrication） 攻击者伪造信息在网络上传送。 6.1 网络信息安全概述 安全威胁可以分为两大类： 主动攻击：更改信息和拒绝用户使用资源的攻击。（如2,3,4） 被动攻击：截获信息的攻击（如1）。 6.1 网络信息安全概述 被动攻击又称为通信量分析，攻击者不干扰信息流，只是观察和分析某一个协议数据单元（PDU）。被动攻击往往是主动攻击的前奏。 主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。主动攻击从类型上分为： （1）更改报文流 （2）拒绝报文服务 （3）伪造连接初始化 （4）恶意攻击程序（计算机病毒、计算机蠕虫、特洛伊木马和逻辑炸弹） 6.1 网络信息安全概述 计算机网络通信安全的六个目标： （1）防止析出报文内容 （2）防止通信量分析 （3）检测更改报文流 （4）检测拒绝报文服务 （5）检测伪造初始化连接 （6）防止和检测计算机病毒 6.1 网络信息安全概述 6.1.2计算机网络安全的内容 （1）保密性 （2）安全协议设计 （3）接入控制 6.1 网络信息安全概述 6.1.3计算机网络安全研究的主要问题 需要考虑的主要问题： （1）网络防攻击技术 （2）网络安全漏洞与对策的研究 （3）网络中的信息安全问题 （4）防抵赖问题 （5）网络内部安全防范 （6）网络防病毒 （7）网络数据备份与恢复及灾难恢复 6.2防火墙技术 6.2.1概述 防火墙是一种网络安全防护系统，是由软件和硬件构成，用来在网络之间执行控制策略的系统。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。一般都将防火墙设置在内部网络和外部网络之间。 防火墙的主要功能包括： 1）检查所有从外部网络进入内部网络的数据包； 2）检查所有从内部网络流出到外部网络的数据包； 3）执行安全策略，限制所有不符合安全策略要求的分组通过； 4）具有防攻击能力，保证自身的安全性。 6.2防火墙技术 6.2.2防火墙的实现 防火墙系统往往由包过滤路由器和应用级网关组合而成，由于组合方式有多种，因此防火墙系统的结构也有多种形式。 6.2防火墙技术 1.包过滤路由器 （1）包过滤基本概念 6.2防火墙技术 （2）包过滤路由器配置的基本方法 6.2防火墙技术 （3）包过滤方法的优缺点分析 优点： 1）结构简单，便于管理，造价低。 2）由于操作在网络层和传输层进行，所以对应用层透明。 缺点： 1）在路由器中配置包过滤规则比较困难。 2）只能控制到主机一级，不涉及包的内容与用户一级，有局限性。 6.2防火墙技术 2.应用级网关 （1）多归属主机 多归属主机又称为多宿主主机，它是具有多个网络接口卡的主机，其结构如图所示。如果将多归属主机用在应用层的用户身份认证与服务请求合法性检查上，那么这一类可以起到防火墙作用的多归属主机就叫做应用级网关，或应用网关。 6.2防火墙技术 （2）应用级网关 6.2防火墙技术 （3）应用代理 6.2防火墙技术 6.2.3防火墙的系统结构 1.防火墙系统结构的基本概念 防火墙是一个由软件与硬件组成的系统。由于不同内部网络的安全策略与防护目的不同，防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用级网关、应用代理都可以作为防火墙使用。实际的防火墙系统要比以上原理性讨论的问题复杂得多，它们经常将包过滤路由器与应用级网关作为基本单元。采用多级的结构和多种组态。 6.2防火墙技术 2.堡垒主机的概念 从理论上讲，用一个双归属主机作为应用级网关可以起到防火墙的作用。在这种结构中，应用级网关完全暴露给整个外部网络，而应用级网关的自身安全会影响到整个系统的工作，因此从防火墙设计者来说，运行应用级网关软件的计算机系统必须非常可靠。人们把处于防火墙关键部位、运行应用级网关软件的计算机系统称为堡垒主机。 6.2防火墙技术 设置堡垒主机需要注意以下几个问题： （1）在堡垒