计算机网络安全问题-理论

1计算机网络安全11.1网络安全概述11.1.1网络安全问题•计算机网络安全：实体的安全、运行环境的安全、信息的安全1.网络安全面临的主要威胁•身份窃取•非授权访问•冒充合法用户2•数据窃取•破坏数据的完整性•拒绝服务•否认•数据流分析•干扰系统正常运行•病毒与恶意攻击2.导致网络不安全的因素•环境•资源共享•数据通信•计算机病毒•TCP/IP协议的安全缺陷33.安全技术措施11.1.2网络安全措施1.安全策略2.网络安全保障体系•加强计算机安全立法•制定合理的网络管理措施•采用安全保密技术，保证系统安全3.局域网的安全技术•实行实体访问控制•保护网络介质•数据访问控制4•数据存储保护•计算机病毒防护4.广域网的安全技术•数据通信加密•通信链路安全保护•采用局域网络安全的各项措施11.2数据加密技术•数据加密技术：为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破译所采用的主要技术手段之一，也是网络安全的重要技术。•数据加密技术分为：数据传输、数据存储、数据完整性鉴别、密钥管理技术。511.2.1密码学概述•加密：把明文变换成密文的过程。•解密：把密文还原成明文的过程。•认证：识别个人、网络上的机器或机构。•数字签名：将发送文件与特定的密钥捆在一起。•签名识别：数字签名的反过程，它证明签名有效。1.对称密钥密码体制•DES加密算法•对称密码体制的不足加密算法E发送端密钥Ke解密算法D接收端密钥Kd密文C=E（K，P）偷听者明文P明文P62.公开密钥密码体制•RSA算法•公开密钥密码体制的优点•公开密钥认证11.3防火墙技术11.3.1防火墙的概念•防火墙：用于增强内部网络和Internet之间的访问控制，而设置的一种由计算机硬件和软件组成的系统。•防火墙的优点：保护那些易受攻击的服务、控制对特殊站点的访问、集中化的安全管理、对网络存取访问进行记录和统计。711.3.2防火墙的体系结构1.一切未被允许的都是禁止的2.一切未被禁止的都是允许的11.3.3防火墙的类型1.防火墙分类•数据包过滤器•电路层网关•应用层网关2.数据包过滤防火墙•系统结构InternetIntranet过滤器8•工作原理：数据包过滤器在收到报文后，先扫描报文头，检查报文头中的报文类型（TCP，UDP等）、源IP地址、目的IP地址和目的TCP/UDP端口等域，然后将规则库中的规则应用到该数据包头上，以决定是将此数据包转发出去还是丢弃。2.应用层网关（1）堡垒主机•系统结构•工作原理：堡垒主机的硬件是一台普通的主机，软件上配置了代理服务程序，从而具备强大而完备的安全功能，它是内部网络与Internet之间的通信桥梁，它中继所有的网络通信，并具有授权认证、访问控制、日志记录、审计报告和监控等功能。InternetIntranet过滤器堡垒主机9（2）代理服务（3）双宿主机网关•系统结构代理服务器工作原理10•工作原理：双宿主机网关（DualHomeGateway）是在堡垒主机中插装两块网络接口卡，并在其上运行代理服务器软件，受保护网与Internet之间不能直接进行通信，必须经过堡垒主机。3.屏蔽主机网关•系统结构•工作原理：屏蔽主机网关防火墙配置时需要一个带数据包过滤功能的路由器和一台堡垒主机。常将堡垒主机设置在被保护网络中，路由器设置在堡垒主机和Internet网络之间，这样堡垒主机是被保护网络中唯一可到达Internet网络的系统。114.屏蔽子网网关•系统结构•工作原理：屏蔽子网防火墙采用两个包过滤路由器和一个堡垒主机。在受保护网与Internet之间有一个小型的独立网络，对这个屏蔽子网的访问受到路由器过滤规则的保护。5.电路层网关12•系统结构•工作原理：电路层网关是一个特殊的功能，可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。