计算机网络应用技术.pptVIP

防火墙分类-包过滤防火墙 包过滤防火墙 主要作用于网络层和传输层，根据包头源地址、目的地址和端口号，协议类型判断是否允许数据包通过，满足条件的转发，否则丢弃 一般在路由器上进行包过滤 优点：实现简单，对用户透明，效率高 缺点：正确的制定规则不容易，不能引入认证机制 防火墙分类-状态检测防火墙 状态检测防火墙 包过滤防火墙的升级版，功能向前兼容－状态检测防火墙有包过滤的功能 两种方式的比较 1）包过滤防火墙：检查每个进来的数据包 2）状态检测防火墙：只有数据包中有相应的状态信息，才与状态检测表比较，提高了系统的性能 例如： 一个SYN包建立了一个会话，防火墙先将这个数据包和规则库比较，如果通过了这个数据连接请求，它就被添加到状态检测表中。 防火墙分类-应用代理防火墙 应用代理防火墙（应用层网关） 运行于应用层，完全阻隔网络通信流。对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用 数据出去时，不用源的IP，而是代理主机使自己用的IP重新封装，防止外部世界发现内部网络的地址 防火墙总结 防火墙应工作在网络层以上，层次越低，安全性越差，兼容性越好，系统开销越小（包过滤） 层次越高，安全性越好，系统开销越大（应用层网关） 11.2.3 入侵检测IDS(intrusion detection system) 防火墙是被动防御（静态防御技术），入侵检测是主动防御.针对新的攻击作出主动地积极的响应 入侵检测：一种硬件或者软件系统，该系统对系统资源的非授权使用能够作出及时的判断、记录和报警 入侵检测三个基本步骤：收集信息，数据分析，响应 入侵检测系统是防火墙之后的第二道安全闸门（智能摄像头） 入侵检测系统 11.2.4 信息安全的核心－密码技术 密码学：研究信息系统安全保密的科学 密码编码学：主要研究对信息进行编码，实现对信息的隐蔽 密码分析学：主要研究加密消息的破译或消息的伪造 早期的密码机 对称加密算法 加密密钥和解密密钥相同，安全性依赖于密钥。加密前的消息称为明文，加密后的消息称为密文 例如：凯撒密码（最简单的） 非对称加密算法 非对称密钥：是指一对加密密钥与解密密钥，这两个密钥是数学相关，用某用户密钥加密后所得的信息，只能用该用户的解密密钥才能解密。 特点：如果知道了其中一个，并不能计算出另外一个。因此如果公开了一对密钥中的一个，并不会危害到另外一个的秘密性质。 公开的密钥为公钥；不公开的密钥为私钥。 不用共享密钥 数字签名 目的：防抵赖，防篡改 方法：发信人用自己的私钥对所发的信息进行加密，接受信息者用发行者的公钥解密，保证了信息的真实性、完整性和不可否认性 问题：发的信息量大，为保证安全，私钥通常保存在usb key或IC卡中，加密运算也在卡里进行，IC卡的处理器能力一般较弱，加密事件会很长，效率低 解决办法：哈希函数(得到的是消息的摘要） 数字签名：发送方使用哈希算法求出待发信息的数字摘要，用私钥对数字摘要进行加密，形成的一段信息称为数字签名 数字签名 发送方：数字签名附在待发信息后，发送 接受端：用发者公钥对数字签名解密，得到摘要H1 将收到的信息本身要哈希算法求得另一个只要H2，对比两者是否相同 11.2.5 网络安全隔离技术与方法 安全隔离的目的：确保将有害攻击隔离。 隔离技术：完全隔离，硬件卡隔离，数据传播隔离，空气开关隔离和安全通道隔离 1）完全隔离：信息孤立 2）硬件卡隔离：安装在主板和硬盘之间，任何状态下两块硬盘不存在数据共享，确保两个网络环境实现完全物理隔离（双网结构布线） 网络安全隔离技术与方法 数据传播隔离：利用分时复制文件隔离，不支持常见的网络应用 空气开关隔离：单刀双掷开关，内外网分时访问临时缓存器 安全通道隔离：网闸，由两个主机系统和一个隔离交换矩阵组成，内外网通过网闸进行连接，同一时刻只与一个网络连接，保持物理的分离，实现数据的摆渡。在网闸上启用安全通道，设置数据进出控制安全策略 安全通道隔离－网闸 11.3 网络故障诊断 故障：硬件故障，网络故障 排除方法（网络故障）：利用常见的windows网络命令来进行诊断和维护 常用的命令：ping tracert netstat ipconfig ARP 解决网络故障第一步：判断网络故障的位置 Ping命令 功能：主要测试连通性。若连通可以排除网络访问层、网卡、输入输出线路、电缆、路由器等存在故障 默认ping是发送4个ICMP报文，每个请求32直接数据，正常收到4个回应报文。以毫秒显示发送请求到收到应答的