第9章_网络安全与网络管理.pptVIP

9.5 网络安全问题的鉴别 鉴别网络安全问题可以从5个方面进行： 访问点（access points） 系统配置（system configuration） 软件缺陷（software bugs） 内部威胁（insider threats） 物理安全性（physical security） 网络访问点的结构 9.6 网络防火墙技术 9.6.1 防火墙的基本概念 防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件； 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。 防火墙的位置与作用 防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界； 构成防火墙系统的两个基本部件是：包过滤路由器（packet filtering router）和应用级网关（application gateway）； 最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成； 由于组合方式有多种，因此防火墙系统的结构也有多种形式。 9.6.2 防火墙的主要类型 包过滤路由器 包过滤路由器按照系统内部设置的包过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发； 包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址、目的IP地址、协议类型 、IP选项内容 、源TCP端口号 、目的TCP端口号 、TCP ACK标识等。 包过滤路由器的结构 应用级网关 多归属主机又称为多宿主主机，它具有两个或两个以上的网络接口，每个网络接口与一个网络连接，具有在不同网络之间交换数据的路由能力。 如果多归属主机连接了两个网络，它可以叫做双归属主机。只要能确定应用程序访问控制规则，就可以采用双归属主机作为应用级网关，在应用层过滤进出内部网络特定服务的用户请求与响应。 应用代理是应用级网关的另一种形式，它是以存储转发方式检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。 应用级网关的结构 应用代理的工作原理 江西蓝天学院 计算机网络技术教程 * 罗少彬 编著 计算机网络技术教程 第9章 网络安全与网络管理 本章学习要求： 了解：网络安全的重要性 掌握：网络安全技术研究的基本问题 掌握：网络安全策略制定的方法与基本内容 了解：网络安全问题的鉴别的基本概念 掌握：网络防火墙的基本概念 了解：网络文件的备份与恢复的基本方法 了解：网络防病毒的基本方法 掌握：网络管理的基本概念 9.1 网络安全的重要性 网络安全问题已经成为信息化社会的一个焦点问题； 每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。 9.2 网络安全技术研究的基本问题 9.2.1 构成对网络安全威胁的主要因素与相关技术的研究 网络防攻击问题 网络安全漏洞与对策问题 网络中的信息安全保密问题 网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题 网络防攻击问题 服务攻击: 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常; 非服务攻击: 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。 网络防攻击主要问题需要研究的几个问题 网络可能遭到哪些人的攻击？ 攻击类型与手段可能有哪些？ 如何及时检测并报告网络被攻击？ 如何采取相应的网络安全策略与网络安全防护体系？ 网络安全漏洞与对策的研究 网络信息系统的运行涉及到： 计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议 网络安全漏洞也会表现在以上几个方面。 网络中的信息安全保密 信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用； 信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击； 网络中的信息安全保密问题 数据加密与解密 将明文变换成密文的过程称为加密； 将密文经过逆变换恢复成明文的过程称为解密。 网络内部安全防范问题 网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为； 对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网