第10章计算机网络安全

第10章计算机网络安全2020年2月计算机网络基础2本章主要内容计算机网络安全的概念；计算机网络对安全性的要求；访问控制技术和设备安全；防火墙技术；网络安全攻击及解决方法；计算机网络安全的基本解决方案。2020年2月计算机网络基础3计算机网络安全概述背景介绍对计算机网络安全性问题的研究总是围绕着信息系统进行，其主要目标就是要保护计算资源，免受毁坏、替换、盗窃和丢失，而计算资源包括了计算机及网络设备、存储介质、软硬件、信息数据等。2020年2月计算机网络基础4计算机网络安全的解决策略访问控制选择性访问控制病毒和计算机破坏程序加密系统计划和管理物理安全通信安全2020年2月计算机网络基础5计算机网络安全的要求——安全性内部安全对用户进行识别和认证，防止非授权用户访问系统；确保系统的可靠性，以避免软件的缺陷（Bug）成为系统的入侵点；对用户实施访问控制，拒绝其访问超出访问权限的资源；加密传输和存储的数据，防止重要信息被非法用户理解或修改；对用户的行为进行实时监控和审计，检查其是否对系统有攻击行为，并对入侵的用户进行跟踪。外部安全加强系统的物理安全，防止其他用户直接访问系统；保证人事安全，加强安全教育，防止用户（特别是内部用户）泄密。2020年2月计算机网络基础6计算机网络安全的要求——完整性解决问题：如何保护计算机系统内软件和数据不被非法删改。软件完整性数据完整性2020年2月计算机网络基础7计算机网络安全的要求——保密性解决问题：如何防止用户非法获取关键的敏感信息，避免机密信息的泄露。加密是保护数据的一种重要方法，也是保护存储在系统中的数据的一种有效手段，人们通常采用加密来保证数据的保密性。2020年2月计算机网络基础8计算机网络安全的要求——可用性可用性是指无论何时，只要用户需要，系统和网络资源必须是可用的，尤其是当计算机及网络系统遭到非法攻击时，它必须仍然能够为用户提供正常的系统功能或服务。为了保证系统和网络的可用性，必须解决网络和系统中存在的各种破坏可用性的问题。2020年2月计算机网络基础9计算机网络的保护策略创建安全的网络环境数据加密调制解调器的安全灾难和意外计划系统计划和管理使用防火墙技术2020年2月计算机网络基础10网络安全的脆弱点网络安全脆弱点的几个方面通信设备网络传输介质网络连接网络操作系统病毒攻击物理安全2020年2月计算机网络基础11常用的安全工具防火墙防火墙是在内部网与外部网之间实施安全防范的系统，用于确定哪些内部资源允许外部访问，以及允许哪些内部网用户访问哪些外部资源及服务；防火墙的基本类型有：包过滤型代理服务器型堡垒主机2020年2月计算机网络基础12常用的安全工具鉴别报文鉴别身份认证数字签名2020年2月计算机网络基础13常用的安全工具其他工具访问控制加/解密技术审计和入侵检测安全扫描2020年2月计算机网络基础14访问控制技术作用：对访问系统及其数据的人进行识别，并检验其身份——用户是谁？该用户的身份是否真实？基于口令的访问控制技术选用口令应遵循的原则增强口令安全性措施其他方法选择性访问控制技术2020年2月计算机网络基础15设备安全调制解调器安全通信介质的安全计算机与网络设备的物理安全2020年2月计算机网络基础16防火墙技术使用防火墙可用于“安全隔离”，其实质就是限制什么数据可以“通过”防火墙进入到另一个网络防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络进入到内部网络或者从内部到外部，其中包括的信息有电子邮件消息、文件传输、登录到系统以及类似的操作等。企业内部网IntranetInternet攻击者防火墙2020年2月计算机网络基础17防火墙的优缺点防火墙的优点允许网络管理员在网络中定义一个控制点，将内部网络与外部网络隔开；审查和记录Internet使用情况的最佳点；设置网络地址翻译器（NAT）的最佳位置；作为向客户或其他外部伙伴发送信息的中心联系点；防火墙的局限性不能防范不经过防火墙产生的攻击；不能防范由于内部用户不注意所造成的威胁；不能防止受到病毒感染的软件或文件在网络上传输；很难防止数据驱动式攻击；2020年2月计算机网络基础18服务器工作站Modem防火墙Internet攻击服务器服务器工作站工作站内部路由器服务器外部主机2020年2月计算机网络基础19防火墙设计防火墙的基本准则“拒绝一切未被允许的东西”“允许一切未被特别拒绝的东西”机构的安全策略必须以安全分析、风险评估和商业需要分析为基础；防火墙的费用取决于它的复杂程度以及要保护的系统规模；2020年2月计算机网络基础20防火墙的种类包过滤路由器可以决定对它所收到的每个数据包的取舍。逐一审查每份数据包以及它是否与某个包过滤规则相匹配。过滤规则以IP数据包中的信息为基础：IP源地址、IP目的地址、封装协议（TCP、UDP、ICMP等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP报文类型、包输入接口和包输出接口等。如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃2020年2月计算机网络基础21Internet包过滤路由器(屏蔽路由器)分析入出的数据包,根据过滤规则决定是否转发数据包内部网2020年2月计算机网络基础22防火墙的种类代理服务器代理服务器上安装有特殊用途的特别应用程序，被称为代理服务或代理服务器程序。使用代理服务后，各种服务不再直接通过防火墙转发，对应用数据的转发取决于代理服务器的配置：只支持一个应用程序的特定功能，同时拒绝所有其他功能；支持所有的功能，比如同时支持、FTP、Telnet、SMTP和DNS等。2020年2月计算机网络基础23防火墙代理服务程序代理服务器Internet外部主机外部主机代理客户机(内部主机)内部网代理客户机(内部主机)2020年2月计算机网络基础24防火墙的种类包过滤路由器允许信息包在外部系统与内部系统之间的直接流动。代理服务器允许信息在系统之间流动，但不允许直接交换信息包。堡垒主机是Internet上的主机能够连接到的、唯一的内部网络上的系统，它对外而言，屏蔽了内部网络的主机系统，所以任何外部的系统试图访问内部的系统或服务时，都必须连接到堡垒主机上。堡垒主机的特点：堡垒主机的硬件平台上运行的是一个比较“安全”的操作系统，以防止操作系统受损，同时也确保了防火墙的完整性。只有必要的服务才安装在堡垒主机内，如Telnet、DNS、FTP、SMTP和用户认证等。2020年2月计算机网络基础25Internet内部网防火墙包过滤路由器堡垒主机2020年2月计算机网络基础26常见的网络攻击特洛伊木马；拒绝服务（DoS）；邮件炸弹；SYN淹没攻击；过载攻击；入侵；信息窃取；病毒；2020年2月计算机网络基础27网络安全的防卫模式无安全防卫；模糊安全防卫；主机安全防卫；网络安全防卫；2020年2月计算机网络基础28常用的安全措施原则建立最小特权；多种安全机制；控制点原则；解决系统的弱点；失败时的安全策略；全体人员的共同参与；