网络安全技术相关知识概述(ppt 26页).ppt

9.1网络安全概述 9.1.5网络安全的方法 基本上说，处理网络的安全问题有两种方法。用户或允许某人访问某些资源，或者拒绝某人访问这些资源。对于某种装置来说，访问或者拒绝访问的标准是唯一的。 1．允许访问 指定的用户具有特权才能够进行访问。这些标准在某种程度上应该与资源共有的性质相匹配。 2．拒绝访问 拒绝访问是对某一网络资源访问的一个拒绝。 3．异常处理 网络安全中经常同时使用上述两种方法。 9.2 网络安全策略 9.2.1 最小特权 或许最根本的安全原则就是最小特权原则。最小特权原则意味着任何对象仅应具有该对象需要完成指定任务的特权，它能尽量避免你遭受侵袭，并减少侵袭造成的损失。 9.2.2 纵深防御 不要只依靠单一安全机制，尽量建立多层机制。避免某个单一安全机制失败后你的网络会彻底地垮掉。 9.2.3 阻塞点 阻塞点强迫侵袭者通过一个你可以监控的窄小通道在因特网安全系统中，位于你的局域网和因特网之间的防火墙（假设它是你的主机和因特网之间的唯一连接）就是这样一个阻塞点。 9.2 网络安全策略 9.2.4 最薄弱环节 安全保护的基本原则是链的强度取决于它的最薄弱环节，就像墙的坚固程度取决于它的最弱点。聪明的侵袭者总要找出那个弱点并集中精力对其进行攻击。你应意识到防御措施中的弱点，以便采取行动消除它们，同时你也可以仔细监测那些无法消除的缺陷。平等对待安全系统的所有情况，以使得此处与彼处的危险性不会有太大的差异。 9.2.5 失效保护状态 安全保护的另一个基本原则就是在某种程度上做到失效保护，即如果系统运行错误，那么它们会停止服务，拒绝用户访问，这可能会导致合法用户无法访问该系统，但这是可接受的折衷方法。 9.2 网络安全策略 9.2.6 普遍参与 为了使安全机制更有效，绝大部分安全保护系统要求网络用户的普遍参与。如果某个用户可以轻易地从你的安全保护机制中退出，那么侵袭者很有可能会先侵袭内部人员系统，然后再从内部侵袭你的网络。 9.2.7防御多样化 正如你可以通过使用大量的系统提供纵深防御一样，你也可以通过使用大量不同类型的系统得到额外的安全保护。如果你的系统都相同，那么只要知道怎样侵入一个系统就会知道怎样侵入所有系统。 9.2 网络安全策略 9.2.8简单化 简单化也是一个安全保护战略，这有两个原因：第一，简单的事情易于理解，如果你不了解某事，你就不能真正了解它是否安全；第二，复杂化会提供隐藏的角落和缝隙，一间工作室比一拣大厦更容易保证其安全性。 复杂程序有更多的小毛病，任何小毛病都可能引发安全问题。 9.3防火墙的作用与设计 9.3.1 防火墙的作用 Internet的迅速发展为人们发布和检索信息提供了方便，但它也使污染和破坏信息变得更容易。人们为了保护数据和资源的安全，创建了防火墙。 防火墙从本质上来说是一种保护装置，用来保护网络数据、资源和用户的声誉。 防火墙服务用于多个目的： ·限定人们从一个特别的节点进入。 ·防止入侵者接近你的防御设施。 ·限定人们从一个特别的节点离开。 ·有效的阻止破坏者对你的计算机系统进行破坏。 9.3防火墙的作用与设计 从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，它通常是一组硬件设备（路由器、主机）和软件的多种组合。 ● 防火墙的优点： (1)防火墙能强化安全策略 (2)防火墙能有效地记录因特网上的活动 (3)防火墙可以实现网段控制 (4)防火墙是一个安全策略的检查站 ● 防火墙的缺点： (1)防火墙不能防范恶意的知情者 (2)防火墙不能防范不通过它的连接 9.3防火墙的作用与设计 (3)防火墙不能防备全部的威胁 (4)防火墙不能防范病毒 防火墙要检测随机数据中的病毒十分困难，它要求： ·确认数据包是程序的一部分 ·确定程序的功能 ·确定病毒引起的改变 9.3.2防火墙的功能 防火墙通常具有以下几种功能： ·数据包过滤 ·代理服务 9.3防火墙的作用与设计 1．数据包过滤 数据包过滤系统在内部网络与外部主机之间发送数据包，但它们发送的数据包是有选择的。它们按照自己的安全策略允许或阻止某些类型的数据包通过，这种控制由路由器来完成，所以数据包过滤系统通常也称之为屏蔽路由器。 普通路由器只是简单地查看每一个数据包的目标地址，然后选择发往目标地址的最佳路径。处理数据包目标地址的方法一般有两种： ·如果路由器知道如何将数据包发送到目标地址，则发送。 ·如果路由器不知道如何将数据包发送到目标地址，则返回数据包，经由ICMP向源地址发送不能到达的消息。 9.3防火墙的作用与设计 屏蔽路由器有以下特点： ·屏蔽路由器比普通的路由器担负更大的责任，它不但要执行转发任务，还要执行确定转发的任务。 ·如果屏蔽路