单击此处编辑母版标题样式,单击此处编辑母版文本样式,计算机网络基础,(第,3,版),工业和信息化“十三五”高职高专人才培养规划教材,计算机网络基础(第3版)工业和信息化“十三五”高职高专人才培,1,目标,/,要点,随着信息技术的不断发展,网络应用日益增多,网络安全威胁日益严重。本章主要讲述与安全相关的基础知识,主要包括网络安全的定义及关键技术、防火墙技术、杀毒软件的使用等。通过本章的学习,读者应能掌握基本安全技术的使用,保证网络的安全。,学习目标,学习要点,1,了解网络安全的定义和面临的威胁,掌握防火墙的相关概念,理解常见的防火墙系统结构,了解病毒的概念,掌握,360,杀毒软件的使用方式,2,3,目标/要点随着信息技术的不断发展,网络应用日益增多,网络安全,2,目录,/Contents,10.1,网络安全概述,防火墙技术,杀毒软件的应用,10.2,10.3,第,10,章 计算机网络安全技术,目录/Contents10.1网络安全概述 防火墙技术 杀毒,3,第,10,章 计算机网络安全技术,10.1,网络安全概述,10.1.1,网络面临的安全威胁,在日益网络化的社会,网络安全问题也不断涌现。网络安全面临的威胁主要表现为:,敏感信息为非授权用户所获取;,网络服务不能或不正常运行,甚至使合法用户不能进入计算机网络系统;,黑客攻击;,硬件或软件方面的漏洞;,利用网络传播病毒。,4,第10章 计算机网络安全技术 10.1 网络安全概述,4,1,网络安全的概念,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或恶意的攻击而遭到破坏、更改、泄露,系统能连续可靠正常运行,网络服务不中断。,网络安全具备以下个特征。,(,1,)保密性。保密性是指信息不泄露给非授权用户、实体或过程,或供其利用的特性。即敏感数据在传播或存储介质中不会被有意或无意泄露。,(,2,)完整性。完整性是指数据未经授权不能进行改变的特性。即信息在存储或传输过程中,保持不被修改,不被破坏和丢失的特性。,(,3,)可用性。可用性是指信息可被授权实体访问并按需求使用的特性。即当需要时能允许存取所需的信息。例如,网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。,(,4,)可控性。可控性是指对信息的传播及内容具有控制能力的特性。,1网络安全的概念,5,2,网络安全威胁,网络安全威胁是指对网络信息的潜在危害,分为人为和自然两种,人为又分为有意和无意两类。,(,1,)信息泄露。信息泄露是指信息被透露给非授权的实体。常见的信息泄露有如下几种。,网络监听,业务流分析,电磁、射频截获,人员有意或无意破坏,媒体清理,漏洞利用,授权侵犯,物理侵入,病毒、木马、后门、流氓软件,网络钓鱼,2网络安全威胁,6,(,2,)完整性破坏。可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式来实现。,(,3,)拒绝服务攻击。对信息或资源合法的访问被拒绝或者推迟与时间密切相关的操作。,(,4,)网络滥用。合法的用户滥用网络,引入不必要的安全威胁,主要包括如下几类。,非法外联,非法内联,移动风险,设备滥用,业务滥用,(2)完整性破坏。可以通过漏洞利用、物理侵犯、授权侵犯、病毒,7,10.1.2,计算机网络安全的内容,计算机网络安全是涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合学科,它包括网络管理、数据安全及数据传输安全等很多方面。,网络安全主要是指网络上的信息安全,包括物理安全、逻辑安全、操作系统安全、网络传输安全。,1,物理安全,物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。,物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。,(,1,)防盗,(,2,)防火,(,3,)防静电,(,4,)防雷击,(,5,)防电磁泄漏,10.1.2 计算机网络安全的内容,8,2,逻辑安全,计算机的逻辑安全主要是用口令、文件许可、加密、检查日志等方法来实现。,防止黑客入侵主要依赖于计算机的逻辑安全。,逻辑安全可以通过以下措施来加强:,(,1,)限制登录的次数,对试探操作加上时间限制;,(,2,)把重要的文档、程序和文件加密;,(,3,)限制存取非本用户自己的文件,除非得到明确的授权;,(,4,)跟踪可疑的、未授权的存取企图。,2逻辑安全,9,3,操作系统安全,操作系统分为网络操作系统和个人操作系统,其安全内容主要包括如下几方面:,(,1,)系统本身的漏洞;,(,2,)内部和外部用户的安全威胁;,(,3,)通信协议本身的安全性;,(,4,)病毒感染。,4,网络传输安全,网络传输安全是指信息在传播过程中出现丢失、泄露、受到破坏等情况。,其主要内容如下。,(,1,)访问控制服务:用来保护计算机和联网资源不被非授权使用。,(,2,)通信安全服务:用来认证数据的保密性和完整性,以及各通信的可信赖性。,3操作系统安全,10,10.1.3,网络安全的关键技术,1,数据加密技术,信息加密是保障信息安全的最基本、最核心的技术措施和理论基础,信息加密也是现代密码学的主要组成部分。,如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。,在私钥密码中,收信方和发信方使用相同的密钥,即加密密钥和脱密密钥是相同或等价的。,在众多的常规密码中影响最大的是,DES,密码。,在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能由加密密钥推导出脱密密钥。,最有影响的公钥加密算法是,RSA,,它能够抵抗到目前为止已知的所有密码攻击。,10.1.3 网络安全的关键技术,11,2,信息确认技术,信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。,一个安全的信息确认方案应该能使:,合法的接收者能够验证他收到的消息是否真实;,发信者无法抵赖自己发出的消息;,除合法发信者外,别人无法伪造消息;,发生争执时可由第三人仲裁。,按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。,用于消息确认中的常用算法有:,ElGamal,签名、数字签名标准(,DSS)、One-time,签名、,Undeniable,签名、,Fail-stop、,签名、,Schnorr,确认方案、,Okamoto,确认方案、,Guillou-Quisquater,确认方案、,Snefru、Nhash、MD4 MD5,等,其中最著名的算法应该是数字签名标准(,DSS),算法。,2信息确认技术,12,3,防火墙技术,防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合。,这种安全部件处于被保护网络和其他网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或做出其他操作。,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。,防火墙系统可以用于内部网络与,Internet,之间的隔离,也可用于内部网络不同网段的隔离,后者通常称为,Intranet,防火墙。,3防火墙技术,13,目前的防火墙系统根据其实现方式大致可分为两种,即包过滤防火墙和应用层网关。,包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包,根据防火墙的访问控制策略对数据包进行过滤,只准许授权的数据包通行。,应用层网关位于,TCP/IP,协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对之进行检查。,目前的防火墙系统根据其实现方式大致可分为两种,即包过滤防火墙,14,4,网络安全扫描技术,网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应防范措施,从而降低系统安全风险而发展起来的一种安全技术。,利用安全扫描技术,可以对局域网络、,Web,站点、主机操作系统、系统服务及防火墙系统的安全漏洞进行扫描,系统管理员可以了解在运行的网络系统中存在的不安全的网络服务,在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误。,网络安全扫描技术主要有网络远程安全扫描、防火墙系统扫描、,Web,网站扫描、系统安全扫描等几种方式。,4网络安全扫描技术,15,5,网络入侵检测技术,网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。,6,黑客诱骗技术,黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。,这种黑客诱骗系统通常也称为蜜罐(,Honeypot),系统,最重要的功能是一种特殊设置,用来对系统中所有操作进行监视和记录。,5网络入侵检测技术,16,10.2,防火墙技术,防火墙是一种网络安全保障手段,一种有效的网络安全机制,是保证主机和网络安全必不可少的工具。,其主要目标是通过控制进、出网络的资源权限,迫使所有的连接都经过该工具的检查,防止需要保护的网络遭外界因素的干扰和破坏。,在逻辑上,防火墙是一个分离器、限制器,也是一个分析器。,防火墙是网络之间一种特殊的访问控制设施,在,Internet,网络与内部网之间设置一道屏障,防止黑客进入内部网,用于确定哪些内部资源允许外部访问、哪些内部网络可以访问外部网络。,防火墙在网络中的位置如图,10-1,所示。,10.2 防火墙技术 防火墙是一种网络安全保障手段,一种,17,计算机网络基础第10章-计算机网络安全技术ppt课件,18,10.2.1,防火墙概述,1,防火墙的定义,防火墙是置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策(允许、拒绝、监视、记录)控制进出网络访问行为。,防火墙本身具有较强的抗攻击能力,是提供信息安全服务、实现网络和信息安全的基础设施。,在逻辑上,防火墙是一个分离器、限制器,也是一个分析器,它能够有效地监控内部网和,Internet,之间的任何活动,保证了内部网络的安全。,10.2.1 防火墙概述,19,2,防火墙的分类,(,1,)按形态分类。按形态可将防火墙分为软件防火墙和硬件防火墙两种。,两种防火墙的比较见表,10-1,。,2防火墙的分类,20,(,2,)按保护对象分类。按保护对象可将防火墙分为网络防火墙和单机防火墙两种。,两种防火墙的比较见表,10-2,。,(2)按保护对象分类。按保护对象可将防火墙分为网络防火墙和单,21,(,3,)按使用核心技术分类。按使用的核心技术可把防火墙分为包过滤防火墙(根据流经防火墙的数据包头信息,决定是否允许该数据包通过)、状态检测防火墙、应用代理防火墙、复合型防火墙。,(3)按使用核心技术分类。按使用的核心技术可把防火墙分为包过,22,3,防火墙的特性,一个好的防火墙系统应具有,3,方面的特性:,所有在内部网络和外部网络之间传输的数据必须通过防火墙;,只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;,防火墙本身不受各种攻击的影响。,4,防火墙的局限性,防火墙能过滤进出网络的数据包,能管理进出网络的访问行为。但防火墙不是万能的,还存在一定程度的局限性:,防火墙不能防范不经过防火墙的攻击,如拨号访问、内部攻击等;,防火墙不能防范利用电子邮件夹带的病毒等恶性程序;,防火墙不能解决来自内部网络的攻击和安全问题;,防火墙不能防止策略配置不当或错误配置引起的安全威胁;,3防火墙的特性,23,防火墙不能防止利用标准网络协议中的缺陷进行的攻击;,防火墙不能防止利用服务器系统漏洞所进行的攻击;,防火墙不能防止数据驱动式的攻击,有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击;,防火墙不能防止本身安全漏洞的威