互联网安全技术与防范对策.pptVIP

网络安全的定义 网络安全是信息系统安全的基础。网络系统的安全涉及到平台的各个方面。按照网络OSI的7层模型，网络安全贯穿于整个7层模型。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。下表表示了对应网络系统的安全体系层次模型： 网络应用系统的安全体系包括：访问控制、检查安全漏洞、攻击监控、加密通信、认证、备份和恢复、多层防御、设立安全监控中心。 网络安全服务内涵 ①认证。 ②对等实体鉴别 ③访问控制 ④信息加密 ⑤信息的完整性 ⑥抗拒绝服务 ⑦业务的有效性 ⑧审计 ⑨不可抵赖 网络安全防范机制 ①加密机制 ②数字签名机制 ③存取控制机制 ④信息完整性机制 ⑤业务量填充机制 ⑥路由控制机制 ⑦公证机制 网络安全关键技术 （1）入侵检测 （2）访问控制 （3）加密技术 （4）身份认证技术 防火墙的由来：古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（FireWall） 防火墙的概念：是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。 防火墙是具有以下特征的计算机硬件或软件： （1）所有进出网络的通信流都应该通过防火墙； （2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权； （3）理论上说，防火墙是穿不透的。 通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。 防火墙的功能 1.防火墙是网络安全的屏障 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。 2.防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。 4.防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger ， DNS 等服务。 5.防火墙的抗攻击能力 除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN 。 防火墙的不足 防火墙的缺点主要表现在以下几个方面： 1、不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理，如主机安全和用户教育等。 2、不能防范不通过它的连接 防火墙能够有效地防止通过它的传输信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 3、不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一扇防火墙能自动防御所有新的威胁。 4、防火墙不能防范病毒 防火墙一般不能消除网络上的病毒。  防火墙的一些相关术语 网关：在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。 DMZ非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放