计算机网络技术及应用13.ppt

《计算机网络技术及应用13.ppt》由会员分享，可在线阅读，更多相关《计算机网络技术及应用13.ppt（51页珍藏版）》请在优知文库上搜索。

1、计算机网络技术及应用1 第十三章第十三章网络安全网络安全 本章主要内容：本章主要内容： q 网络安全概述q 防火墙技术q 网络病毒及其防范q 数据加密与数字证书 q 网络管理q TCP/IP诊断命令计算机网络技术及应用2本章学习要点o 了解网络安全的概念和网络安全面临的风险o 掌握保证网络安全常用的技术o 了解网络管理的概念、功能及管理方法o 掌握几个常用TCP/IP诊断命令的使用计算机网络技术及应用313.1 网络安全概述 13.1.1 网络安全的概念 狭义的网络安全：狭义的网络安全：指计算机、网络系统的硬件、软件计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原及

2、其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保障系统能连续可靠地运因而遭到破坏、更改、泄露，保障系统能连续可靠地运行。行。计算机网络安全从本质上来讲就是系统的信息安全。 广义的网络安全：广义的网络安全：从广义角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 我们通常所说的网络安全主要是指狭义的网络安全。我们通常所说的网络安全主要是指狭义的网络安全。 计算机网络技术及应用4 网络安全包括五个基本要素：机密性、完整性、可用性、网络安全包括五个基本要素：机密性、完整性、可用性、可控制性与可审查性。可

3、控制性与可审查性。 机密性：机密性：确保信息不暴露给未授权的实体或进程。 完整性：完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 可用性：可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 可控制性：可控制性：可以控制授权范围内的信息流向及行为方式。 可审查性：可审查性：对出现的网络安全问题提供调查的依据和手段。13.1 网络安全概述 计算机网络技术及应用513.1.2 网络安全面临的风险 目前网络安全面临的风险主要有以下五个方面。 非授权访问：非授权访问：指没有预先经过同意非法使用网络或计算机资源，比如有意避开系统访问控制机制，对

4、网络设备及资源进行非正常使用；擅自扩大权限、越权访问信息等。 信息泄漏或丢失：信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(如，利用电磁泄漏或搭线窃听等方式截获机密信息)；在存储介质中丢失或泄漏；通过建立隐蔽隧道窃取敏感信息等。 13.1 网络安全概述 计算机网络技术及应用6 破坏数据完整性：破坏数据完整性：指以非法手段获得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据 ，以干扰用户的正常使用。 拒绝服务攻击：拒绝服务攻击：不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应速度

5、减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且很难防范。 13.1 网络安全概述 计算机网络技术及应用713.1.3 安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包括三个重要的组成部分。 威严的法律：威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律，不敢轻举妄动。 先进的技术：先进的技术：先进的安全技术是信息安全的根本保

6、障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。 严格的管理：严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。13.1 网络安全概述 计算机网络技术及应用813.1.4 网络安全技术 主动防御技术 数据加密数据加密 身份验证 存取控制 虚拟网络技术（VPN;VLAN) 被动防御技术 防火墙技术防火墙技术 安全扫描 路由过滤 安全管理 13.1 网络安全概述 计算机网络技术及应用913.2.1 防火墙的概念（Firewall）是一种将内部网络和外部公共是一种

7、将内部网络和外部公共网络（网络（Internet）分开的方法或设备。它检查到达防）分开的方法或设备。它检查到达防火墙两端的所有数据包火墙两端的所有数据包(无论是输入还是输出无论是输入还是输出)，从而，从而决定拦截这个包还是将其放行。决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障，使公共网络与内部网络之间建立起一个安全网关（Security Gateway）。防火墙通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。 防火墙的概念模型如下页图示。13.2 防火墙技术计算机网络技术及应用1013.2 防火墙技

8、术内部端口外部端口防火墙概念模型示意图计算机网络技术及应用1113.2.2 防火墙的功能与分类1. 防火墙的功能防火墙的功能 防火墙一般具有如下三种功能： 忠实执行安全策略，限制他人进入内部网络，过滤掉不安全服务和非法用户。 限定内部网络用户访问特殊网络站点，接纳外网对本地公共信息的访问。 具有记录和审计功能，为监视互联网安全提供方便。2. 防火墙分类防火墙分类 防火墙的主要技术类型包括数据包过滤、应用代理服务数据包过滤、应用代理服务器和状态检测三种类型。即包过滤防火墙，应用代理服务器和状态检测三种类型。即包过滤防火墙，应用代理服务器，状态检测防火墙。器，状态检测防火墙。13.2 防火墙技术计

9、算机网络技术及应用12 数据包过滤技术是指在网络层对数据包进行分析、数据包过滤技术是指在网络层对数据包进行分析、选择。选择的依据是系统内设置的过滤逻辑，称为访选择。选择的依据是系统内设置的过滤逻辑，称为访问控制。通过检查数据流中每一个数据包的源地址、问控制。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。合来确定是否允许该数据包通过。 数据包过滤防火墙的优点是速度快，逻辑简单，成本低，易于安装和使用，网络性能和透明度好。其缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口也存在着

10、潜在危险。13.2 防火墙技术计算机网络技术及应用13 应用代理服务器是防火墙的第二代产品，应用代理应用代理服务器是防火墙的第二代产品，应用代理服务器技术能够将所有跨越防火墙的网络通信链路分服务器技术能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器为两段，使得网络内部的客户不直接与外部的服务器通信。通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢，操作系统容易遭到攻击。13.2 防火墙技术计算机网络技术及应用14

11、状态检测防火墙又称状态检测防火墙又称动态动态包过滤防火墙，在网络层包过滤防火墙，在网络层由一个检查引擎截获数据包并抽取出与应用层状态有由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，然后以此决定对该数据包是接受还是拒绝。关的信息，然后以此决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被中止。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，根据协议、端口号及源地址、目的地址的具体情况确定数据包是否可以通过，执行速度很快。 13.2 防火墙技术计算机网络技术及应用1513.3 网络病毒及其防范 当

12、前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通常是指各种木马病毒和借助邮件传播的病毒。网络病毒通常是指各种木马病毒和借助邮件传播的病毒。 13.3.1 特洛伊木马(Trojan)病毒及其防范 特洛伊木马是一种黑客程序，特洛伊木马是一种黑客程序，从它对被感染电脑的危害性方面考虑，我们不妨称之为病毒，但它与病毒有些区别。它一般它与病毒有些区别。它一般并不破坏受害者硬盘数据，而是悄悄地潜伏在被感染的机器中，并不破坏受害者硬盘数据，而是悄悄地潜伏在被感染的机器中，一旦这台机器连接到网络，就可能大祸临头。黑客通过一旦这台机器连接到网络，就可能大祸临头。黑客通过Internet找到感染

13、病毒的机器，在自己的电脑上远程操纵它，找到感染病毒的机器，在自己的电脑上远程操纵它，窃取用户的上网帐户和密码、随意修改或删除文件，它对网络窃取用户的上网帐户和密码、随意修改或删除文件，它对网络用户的威胁极大。用户的威胁极大。用户的计算机在不知不觉中已经被开了个后门，并且受到别人的暗中监视与控制。计算机网络技术及应用16 不要轻易泄露你的不要轻易泄露你的IP地址，下载来历不明的软件时要警地址，下载来历不明的软件时要警惕其中是否隐藏了木马，使用下载软件前一定要用木马检惕其中是否隐藏了木马，使用下载软件前一定要用木马检测工具进行检查。测工具进行检查。对付特洛伊木马除了用手工清除方法用手工清除方法外，

14、也可用可用Lockdown 2000等专门的反木马软件来清除等专门的反木马软件来清除，还可以用它们来检测自己机器上是否有已知或未知的木马程序，实时监视自己电脑端口是否有“异常活动”，禁止别人访问你的机器。一旦有人企图连接你的机器，他们就会发出报警声音，还能对正在扫描你机器的人进行跟踪，告诉你此人来自何处、正在做什么，提示用户用专门的反木马软件进行清除。13.3 网络病毒及其防范 计算机网络技术及应用1713.3.2 邮件病毒及其防范 邮件病毒和普通病毒是一样的，只不过由于它们主要通过电邮件病毒和普通病毒是一样的，只不过由于它们主要通过电子邮件传播，所以才称为子邮件传播，所以才称为“邮件病毒邮件

15、病毒”。它通常借助邮件。它通常借助邮件“附附件件”夹带的方法进行扩散，一旦你收到这类夹带的方法进行扩散，一旦你收到这类E-mail，运行了附，运行了附件中病毒程序就能使你的电脑染毒。件中病毒程序就能使你的电脑染毒。这类病毒本身的代码并不复杂，大都是一些脚本，比如I love you病毒病毒，就是一个用VB Script编写的仅十几KB的脚本文件，只要收到该病毒的E-mail并打开附件后，病毒就会按照脚本指令，将浏览器自动连接上一个网址，下载木马程序，更改一些文件后缀为.vbs，最后再把病毒自动发给Outlook通讯薄中的每一个人。 此外，常见的其他邮件病毒有：Nimda(尼姆达尼姆达)蠕虫、蠕

16、虫、SirCam蠕虫、欢乐时光、蠕虫、欢乐时光、W32.Nachi蠕虫（中文称蠕虫（中文称“冲击波杀冲击波杀手手”）、）、W32.Blaster（中文称（中文称“冲击波冲击波”）等病毒）等病毒。13.3 网络病毒及其防范 计算机网络技术及应用18 不要打开陌生人来信中的附件，最好是直接删除；不要打开陌生人来信中的附件，最好是直接删除； 不要轻易运行附件中的不要轻易运行附件中的 .EXE、.COM等可执行文件，等可执行文件，运行以前要先查杀病毒；运行以前要先查杀病毒； 安装一套可以实时查杀安装一套可以实时查杀E-mail病毒的防病毒软件；病毒的防病毒软件； 收到自认为有趣的邮件时，不要盲目转发，因为这样会收到自认为有趣的邮件时，不要盲目转发，因为这样会帮助病毒的传播；对于通过脚本帮助病毒的传播；对于通过脚本“工作工作”的病毒，可以采的病毒，可以采用在浏览器中禁止用在浏览器中禁止JAVA或或ActiveX运行的方法来阻止病毒运行的方法来阻止病毒的发作。的发作。 13.3 网络病毒及其防范 计算机网络技术及应用1913.4 数据加密与数字证书 13.4.1 数据加密技术 数据加密就是通过一定