第9章：网络安全.ppt

《计算机网络》第9章 网络安全与网络管理技术 * 9.3 防火墙技术 9.3.1 防火墙的基本概念 防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件； 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。 《计算机网络》第9章 网络安全与网络管理技术 * 防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（security perimeter）； 构成防火墙系统的两个基本部件是： 包过滤路由器（packet filtering router） 应用级网关（application gateway） 最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成； 由于组合方式有多种，因此防火墙系统的结构也有多种形式。 《计算机网络》第9章 网络安全与网络管理技术 * 9.3.2 包过滤路由器 包过滤路由器的结构 《计算机网络》第9章 网络安全与网络管理技术 * 路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发； 包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是： ? 源IP地址 ? 目的IP地址 ? 协议类型 ? IP选项内容 ? 源TCP端口号 ? 目的TCP端口号 ? TCP ACK标识 《计算机网络》第9章 网络安全与网络管理技术 * 包过滤的工作流程 《计算机网络》第9章 网络安全与网络管理技术 * 包过滤路由器作为防火墙的结构 《计算机网络》第9章 网络安全与网络管理技术 * 假设网络安全策略规定： 内部网络的E-mail服务器（IP地址为192.1.6.2，TCP端口号为25）可以接收来自外部网络用户的所有电子邮件； 允许内部网络用户传送到与外部电子邮件服务器的电子邮件； 拒绝所有与外部网络中名字为TESTHOST主机的连接。 《计算机网络》第9章 网络安全与网络管理技术 * 包过滤规则表 《计算机网络》第9章 网络安全与网络管理技术 * 9.3.3 应用级网关的概念 多归属主机（multihomed host） 典型的多归属主机结构 《计算机网络》第9章 网络安全与网络管理技术 * 应用级网关 《计算机网络》第9章 网络安全与网络管理技术 * 应用代理（application proxy） 《计算机网络》第9章 网络安全与网络管理技术 * 9.3.4 防火墙的系统结构 堡垒主机的概念 一个双归属主机作为应用级网关可以起到防火墙作用； 处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。 《计算机网络》第9章 网络安全与网络管理技术 * 典型防火墙系统系统结构分析 采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构 《计算机网络》第9章 网络安全与网络管理技术 * 包过滤路由器的转发过程 《计算机网络》第9章 网络安全与网络管理技术 * S-B1配置的防火墙系统中数据传输过程 《计算机网络》第9章 网络安全与网络管理技术 * 采用多级结构的防火墙系统（ S-B1-S-B1配置）结构示意图 《计算机网络》第9章 网络安全与网络管理技术 * 9.4 网络防攻击与入侵检测技术 9.4.1 网络攻击方法分析 目前黑客攻击大致可以分为8种基本的类型： 入侵系统类攻击 缓冲区溢出攻击 欺骗类攻击 拒绝服务攻击 对防火墙的攻击 利用病毒攻击 木马程序攻击 后门攻击 * 欢迎辞 吴功宜 编著 计算机网络（第2版） 第9章网络安全与网络管理技术 《计算机网络》第9章 网络安全与网络管理技术 * 本章学习要求: 了解：网络安全的重要性 理解：密码体制的基本概念及应用 掌握：防火墙的基本概念 掌握：网络入侵检测与防攻击的基本概念与方法 掌握：网络文件备份与恢复的基本方法 了解：网络病毒防治的基本方法 了解：网络管理的基本概念与方法 《计算机网络》第9章 网络安全与网络管理技术 * 9.1 网络安全研究的主要问题 9.1.1 网络安全的重要性 网络安全问题已经成为信息化社会的一个焦点问题； 每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。 《计算机网络》第9章 网络安全与网络管理技术 * 9.1.2 网络安全技术研究的主要问题 网络防攻击问题 网络安全