（中职）计算机网络技术模块7教学课件.ppt-得力文库

资源描述

《（中职）计算机网络技术模块7教学课件.ppt》由会员分享，可在线阅读，更多相关《（中职）计算机网络技术模块7教学课件.ppt（57页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Y CF正版可修改PPT（中职）计算机网络技术模块7 教学课件模块7 网络安全与管理任务1 网络安全的概述任务2 计算机病毒的防治任务3 防火墙的概念7.3.1 防火墙的作用7.3.2 防火墙的安全控制管理7.3.3 防火墙的主要技术7.3.4 常见的防火墙设计方案7.3.5 典型的Internet 防火墙7.3.6 分布式防火墙下一页模块7 网络安全与管理任务4 数据加密任务5 网络安全认证技术上一页任务1 网络安全的概述计算机网络的广泛应用已经对经济、文化、教育与科学的发展产生了重要的影响，同时也不可避免地带来了一些新的社会、道德、政治与法律问题。计算机犯罪正在引起社会的普遍关

2、注，对社会也构成了很大的威胁。目前计算机犯罪和黑客攻击事件高速增长，计算机病毒的增长速度更加迅速，它们都给计算机网络带来了很大的威胁。1.网络安全的概念与特征网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。下一页返回任务1 网络安全的概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络

3、安全的研究领域。一个安全的计算机网络应该具有以下几个方面的特征。(1)网络系统的可靠性指保证网络系统不因各种因素的影响而中断正常工作。(2)软件和数据的完整性指保护网络系统中存储和传输的软件(程序)与数据不被非法操作，即保证数据不被插入、替换和删除，数据分组不丢失、乱序，数据库中的数据或系统中的程序不被破坏等。(3)软件和数据的可用性指在保证软件和数据完整的同时，还要能使其被正常利用和操作。下一页返回上一页任务1 网络安全的概述(4)软件和数据的保密性主要是利用密码技术对软件和数据进行加密处理，保证在系统中存储和网络上传输的软件和数据不被无关人员识别。2.威胁网络安全的原因网络设备、软件

4、、协议等网络自身的安全缺陷，网络的开放性以及黑客恶意的攻击是威胁网络安全的根本原因。而网络管理手段、技术、观念的相对滞后也是导致安全隐患的一个重要因素。1)黑客攻击黑客(Hacker)是指网络的非法入侵者，其起源可追溯到20 世纪60 年代，目前已经成为一个人数众多的特殊群体。通常黑客是为了获得非法的经济利益或达到某种政治目的对网络进行入侵的，也有单纯出于个人兴趣对网络进行非法入侵，而前者的危害性往往更大。下一页返回上一页任务1 网络安全的概述近几年随着网络应用的日益普及，全社会对网络的依赖程度不断提高，网络的入侵者已经不仅仅局限于单个黑客或黑客团体，一些政府或军事集团出于信息战的需要

5、，也开始通过入侵对手网络来收集信息，甚至通过入侵对手网络来直接打击对手。2)自然灾难计算机信息系统仅仅是一个智能的机器，易受自然灾难及环境(温度、湿度、振动、冲击、污染)的影响。目前，不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等安全防护措施，接地系统也疏于周到考虑，抵御自然灾难和意外事故的能力较差。3)人为的无意失误如操作员安全配置不当造成的安全漏洞、用户安全意识不强、用户口令选择不慎、用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。下一页返回上一页任务1 网络安全的概述 4)网络软件的漏洞和“后门”网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这

6、些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现的黑客攻入网络内部的事件，大部分就是因为安全措施不完善所招致的。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。5)计算机病毒 20 世纪90 年代，出现了曾引起世界性恐慌的“计算机病毒”，其蔓延范围广，增长速度惊人，造成的损失难以估计。它像灰色的幽灵一样将自己附在其他程序上，在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后，轻则系统工作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。下一页返回上一页任务1 网

7、络安全的概述 3.网络安全威胁介类计算机网络面临的安全威胁如图7-1 所示，主要有截获、中断、篡改和伪造4 种。(1)截获从网络上窃听他人的通信内容。(2)中断有意中断他人在网络上的通信。(3)篡改故意篡改网络上传送的报文。(4)伪造伪造信息在网络上传送。上述四种威胁可划分为两大类，即主动攻击和被动攻击。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU(Protocol Data Unit，协议数据单元)而不干扰信息流。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。下一页返回上一页任务1 网络

8、安全的概述对于主动攻击，可以采取适当措施加以检测。但是，对于被动攻击，通常是检测不出来的。对付被动攻击可以采用各种数据加密技术，而对付主动攻击，则需将加密技术与适当的鉴别技术相结合。还有一种特殊的主动攻击，即恶意程序的攻击。恶意程序种类繁多，对网络安全威胁较大的主要有以下4 种。(1)计算机病毒:一种会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2)计算机蠕虫:通过网络的通信功能将自身从一个节点发送到另一个节点并启动运行的程序。(3)特洛伊木马:一种程序，它执行的功能超出所声称的功能。(4)逻辑炸弹:一种当运行环境满足某种特定条件时执行其特殊功能的程序

9、。下一页返回上一页任务1 网络安全的概述 4.计算机网络安全的内容从技术角度看，网络安全的内容大体包括四个方面。1)网络实体安全如机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的安装及配置等。2)软件安全如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改，不受病毒的侵害等。3)网络数据安全如保护网络信息的数据安全不被非法存取，保护其完整一致等。4)网络安全管理如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等内容。返回上一页任务2 计算机病毒的防治近几年来，计算机病毒的种类越来越多，

10、危害越来越大，因此了解一些关于计算机病毒的知识，随时预防，查杀计算机病毒是十分必要的。1.计算机病毒概述 1)什么是计算机病毒计算机病毒是一种程序，并非是医学上所称的病毒，这里只是借用了“病毒”的名称，对人体本身并没有任何作用，它们所危害的是计算机系统。这些病毒程序往往都不大，并且大部分是有害的，有些破坏性极大。它们的一个共同特征是可以自行复制，就像病毒那样有很强的传染性，一旦感染会很快扩散，这些特点都很像医学上的病毒，所以把它们称为计算机病毒。计算机病毒是人为编写的有害程序，因此它是一种计算机犯罪现象。下一页返回任务2 计算机病毒的防治 2)计算机病毒的危害计算机病毒按照种类不同，对计

11、算机系统的危害也不同。有些病毒只是占用系统的资源，干扰用户的工作，例如在屏幕上显示一些莫名其妙的图案等。有些病毒却破坏系统的资源，造成用户文件的损坏或丢失，甚至使计算机系统瘫痪，这类病毒称为恶性病毒。近几年来，恶性病毒的种类越来越多，通过互联网、电子邮件等方式进行广泛传播，危害也越来越大。例如1998 年开始出现的CIH 病毒，可以摧毁主板BIOS 程序。CIH 病毒曾使全球众多的计算机系统发生瘫痪。我国的许多计算机也曾遭受过重大的损失。3)计算机病毒的特点一般说来，计算机病毒具有以下特点。(1)破坏性:这是计算机病毒的主要特点，也是计算机病毒的目的。如上所述，轻则干扰用户的工作，重则破坏计

12、算机系统。下一页返回上一页任务2 计算机病毒的防治(2)传染性:计算机病毒都具有自我复制能力，它能够在计算机系统中进行传播和扩散。运行被计算机病毒感染的程序以后，可以很快地感染计算机中的其他程序，继而扩散到整个计算机系统。特别是在计算机网络中，传染的速度更快，危害的程度也更大。(3)潜伏性:有些计算机病毒在侵入计算机系统后，立即发作，但有许多计算机病毒潜伏在正常的程序之中，不是立即发作，而是等待一定的激发条件，如日期、时间、文件运行的次数等。这些激发条件是病毒设计者预先设定的，它们病毒就像定时炸弹一样，一旦激发条件出现，便立即发作危害计算机系统。例如前面提到的CIH 病毒，发作时间是4 月

13、26 日，还有一种CIH 病毒的变种，发作日期是每月的26 日。(4)隐蔽性:这是计算机病毒的又一特点。病毒程序在发作以前不容易被用户发现，它们有的隐藏在计算机操作系统的引导扇区中，有的隐藏在硬盘分区表中，有的隐藏在可执行文件或用户的数据文件中以及其他介质之中。下一页返回上一页任务2 计算机病毒的防治 2.计算机病毒的检侧如何知道计算机是否感染了病毒呢?当发生了下列现象时，应该想到计算机有可能感染了病毒。(1)显示器上出现了莫名其妙的数据或图案。(2)数据或文件发生丢失。(3)程序的长度发生了改变。(4)程序运行发生异常。(5)磁盘的空间发生了改变，明显缩小。(6)系统运行速度明显减慢。

14、(7)经常发生死机现象。(8)访问外设时发生异常，例如不能正确打印等。如果发现有计算机病毒感染的迹象，应及时用反病毒软件进行检测，及时清除病毒。下一页返回上一页任务2 计算机病毒的防治 3.计算机病毒的预防采取以下措施，可以有效地预防计算机感染病毒。(1)应准备一种或几种反病毒软件，经常或定期检测计算机，以便病毒感染后能及时发现，及时清除。(2)安装具有实时监测功能的反病毒软件或防病毒卡，防止计算机病毒的侵袭。(3)一定要及时对硬盘的分区表及重要的文件做备份，一旦系统遭到破坏，可以及时恢复。分区表是用来管理、记忆文件在磁盘空间存储位置的，有些反病毒软件具有备份分区表的功能。(4)不要使用

15、盗版软件及来路不明的软盘或光盘。(5)需要使用外来的软盘或光盘时，应先进行检查，确保没有病毒时再使用。(6)对不需写入数据的磁盘进行写保护处理。下一页返回上一页任务2 计算机病毒的防治(7)定期对文件做备份，培养随时进行备份的良好习惯。(8)有些计算机病毒有特定的发作日期，例如CIH 病毒是每月26 日发作。当某种病毒流行的时候，应尽量避免在病毒发作的日期开机，或事先调整系统日期，避开病毒发作的日期。4.病毒的消除一旦发现病毒，用户就应该立即着手进行消除，但并不只是对发现病毒的文件进行病毒消除，还要对那些可疑的或者无法确认安全的内容进行检测。如果发现机器感染了病毒，假若连接在网上，则应立

16、即使机器脱离网络，以防扩大传染范围，对已经感染的软件应进行隔离，在消除病毒之前不要使用。发现病毒后，应使用未被感染过的备份软件重新启动机器，如果感染特别严重，可以考虑将其低级格式化，再做分区和高级格式化，以彻底清除病毒，下一页返回上一页任务2 计算机病毒的防治然后运行DOS 中的SYS 命令，重新写入BOOT 区。如果CMOS 内存区被感染，则应该将主板上的电池取下，以清除此区域中的病毒。目前最方便、最理想的方法是利用市场上数量众多的查杀病毒软件进行杀毒。如KV3000、瑞星杀毒软件、金山毒霸等。返回上一页任务3 防火墙的概念目前保护网络安全最主要的手段之一是构筑防火墙，防火墙(Fi

17、rewall)是一种特殊编程的路由器，实施访问控制策略来保护内部的网络不受来自外界的侵害，是近年来日趋成熟的保护计算机网络安全的重要措施。防火墙是一种隔离控制技术，它的作用是在某个机构的网络和不安全的网络(如Internet)之间设置屏障，阻止对信息资源的非法访问，防火墙也可以被用来阻止保密信息从企业的网络上被非法传出。7.3.1 防火墙的作用防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面。(1)限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯。下一页返回任务3 防火墙的概念(2)限制内部网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。防火墙在内部

18、网与外部网之间的界面上构造了一个保护层，并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网及外部网的访问。防火墙技术已成为实现网络安全策略的最有效的工具之一，并被广泛地应用到网络安全管理上。7.3.2 防火墙的安全控制管理为网络建立防火墙，首先需要决定它将采取何种安全控制模型。通常有两种模型可供选择。(1)没有被列为允许访问的服务都是被禁止的。(2)没有被列为禁止访问的服务都是被允许的。如果防火墙采取第一种安全控制模型，那么需要确定所有可以被提供的服务以及它下一页返回上一页任务3 防火墙的概念们的安全特性，然后开放这些服务，并将所有

19、其他未被列入的服务排除在外，禁止访问。如果防火墙采取第二种模型，则正好相反，需要确定哪些被认为是不安全的服务，禁止其访问;而其他服务则被认为是安全的，允许访问。从安全性角度考虑，第一种模型更可靠一些。因为很难找出网络所有的漏洞，从而也就很难排除所有的非法服务。而从灵活性和使用方便性的角度考虑则第二种模型更合适。7.3.3 防火墙的主要技术 1.包过滤包过滤(Packet Filtering)在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表(ACL)。下一页返回上一页任务3 防火墙的概念该技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协

20、议状态或它们的组合来确定是否允许该数据包通过。这种防火墙通常安装在路由器上。一般而言，包过滤包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤，其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。另外，两者均被配置为只过滤最有用的数据域，包括协议类型,IP 地址、TCP/UDP 端口、分段口和源路由信息，但还是有许多方法可绕过包过滤器进入Internet,这是因为:(1)TCP 只能在第0 个分段中被过滤。(2)特洛伊木马可以使用NAT 使包过滤器失效。(3)许多包过滤器允许1024 以上的端口通过。因此，“纯”包过滤器的防火墙不能完全保证内部网的安

21、全，必须与代理服务器和网络地址翻译结合起来才能解决问题。下一页返回上一页任务3 防火墙的概念 2.代理型代理服务技术(应用层网关防火墙)是防火墙技术中使用得较多的技术，也是一种安全性能较高的技术，它的安全性要高于包过滤技术，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通

22、道，外部的恶意侵害也就很难伤害到企业内部网络系统。1)代理服务技术的优点安全性较高。能有效对付基于应用层的侵入和病毒。可将内部网络的结构屏蔽起来。下一页返回上一页任务3 防火墙的概念能针对协议实现其特有的安全特性。具有数据流监控、过滤、记录、报警等功能。2)代理服务技术的缺点必须为每一个网络应用服务都专门开发相应的应用代理服务软件。系统管理复杂。需要专用的服务器来承担。3.监测型监测型(状态检测防火墙)防火墙是新一代产品，监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。下一页返回上一页任务3 防火墙

23、的概念同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。各类防火墙的对比如表7-1 所示。7.3.4 常见的防火墙设计方案最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。目前，比较流行的有以下三种防火墙配置方案。下

24、一页返回上一页任务3 防火墙的概念 1.双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP 数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP 数据包从一个网络(例如，因特网)并不是直接发送到其他网络(例如，内部的被保护的网络)。防火墙内部的系统能与双重宿主主机通信，但是这些系统不能直接互相通信，它们之间的IP 通信被完全阻止。双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间，并且被连接到因特网和内部的网

25、络，这种体系结构如图7-2 所示。下一页返回上一页任务3 防火墙的概念 2.屏蔽主机体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭)，而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包负责，其结构如图7-3所示。在图7-3 中堡垒主机位于内部的网络上。从图中可以看出，在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁(例如，传送进来的电子邮件)。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连

26、接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。下一页返回上一页任务3 防火墙的概念数据包过滤也允许堡垒主机开放可允许的连接(“可允许”由用户站点的安全策略决定)到外部世界。屏蔽的路由器数据包过滤配置可以按如下执行。(1)允许其他的内部主机为了某些服务与因特网上的主机连接(即允许那些已经由数据包过滤的服务)。(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。用户可以针对不同的服务混合使用这些手段;某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理，这完全取决于用户实行的安全策略。下一页返回上一页任务3 防火墙的概念 3.屏蔽

27、子网体系结构屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与因特网隔离开。堡垒主机是用户网络上最容易受侵袭的计算机。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的计算机，因为它本质上是能够被侵袭的计算机。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其他内部计算机之间没有其他的防御手段时(除了它们可能有的主机安全之外，这通常是非常少的)，如果有人成功地侵入屏蔽主机体系结构中的堡垒主机，那就可以毫无阻挡地进入内部系统了。通过在周边网络上隔离堡垒主机，能减少在堡垒

28、主机上侵入的影响。可以说，它只给入侵者一些访问的机会，但不是全部。下一页返回上一页任务3 防火墙的概念屏蔽子网体系结构的最简单的形式为两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间(通常为因特网)，其结构如图7-4 所示。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他仍然必须通过内部路由器，在此情况下，整个系统中不存在损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。7.3.5 典型的Internet 防火墙现在已经了解了防火墙的基本概念，通常情况下，包过滤防火墙

29、与应用网关常常一起配合使用，这样既为内部的主机访问外部信息提供了一个安全的数据通道，同时又能有效地防止外部主机对内部网络的非法访问。图7-5 是一个典型的防火墙的示意图。下一页返回上一页任务3 防火墙的概念如图7-5 所示，包过滤防火墙不仅实现了对外的屏障，而且实现了对内部主机的屏障，将公司内部的主机与外部网络隔离起来。它阻拦所有的数据报，除非数据报来自代理主机。当然，整个防火墙系统的安全性取决于代理主机的安全。如果一个入侵者能够访问代理主机，他也可以访问内部网络上的其他主机。可以说，防火墙与家里的防盗门很相似，它们对普通人来说是一层安全防护，但是没有任何一种防火墙能提供绝对的保护。这就

30、是为什么许多公司建立多层防火墙的原因，当黑客闯过一层防火墙后他只能获取一部分数据，其他的数据仍然被安全地保护在内部防火墙之后。总之，防火墙是增加计算机网络安全的手段之一，只要网络应用存在，防火墙就有其存在的价值。下一页返回上一页任务3 防火墙的概念 7.3.6 分布式防火墙传统的防火墙如包过滤型和代理型，它们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高，目前出现了一种新型防火墙，那就是“分布式防火墙”，英文名为Distributed Firewalls，它是在传统的边界式防火墙基础上开发的。由于其优越的安全防护体系符合未来的发展趋势，所以这一技术一出现便得

31、到许多用户的认可和接受。下面重点介绍这种新型的防火墙技术。1.分布式防火墙的产生因为传统的防火墙设置在网络边界，处于内、外部计算机网络之间，所以也称为“边界防火墙”。随着人们对网络安全防护要求的提高，边界防火墙明显已不能满足需求，因为给网络带来安全威胁的不仅是外部网络，更多的是内部网络。但边界防火墙无法对内下一页返回上一页任务3 防火墙的概念部网络实现有效的保护，除非对每一台主机都安装防火墙，这是不可能的。基于这种需求，一种新型的防火墙技术即分布式防火墙技术产生了。它可以很好地解决边界防火墙的不足，不用为每台主机安装防火墙而能够把防火墙的安全防护系统延伸到网络中的各台主机。一方面有效地

32、保证了用户的投资不会很高，另一方面给网络带来了非常全面的安全防护。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，新的防火墙体系结构包含如下部分。下一页返回上一页任务3 防火墙的概念(1）网络防火墙(Network Firewall)。网络防火墙是用于内部网与外部网之间，以及内部网各子网之间的防护产品。与传统边界防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络间的安全防护体系就显得更加安全可靠。(2)主机防火墙(Host Firewall)。主机防火墙驻留在主机中，负责策略的实

33、施。它对网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一子网内部工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。(3)中心管理(Central Managerment)。中心管理服务器负责安全策略的制定、管理、分发及日志的汇总，中心策略是分布式防火墙系统的核心和重要特征之一。下一页返回上一页任务3 防火墙的概念这是一个防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是以前传统边界防火墙所不具有的新的防火墙的管理功能。这样防火墙

34、就可进行智能管理，提高了防火墙的安全防护灵活性，使其具备可管理性。2.分布式防火墙的主要特点综合起来这种新的防火墙技术具有以下几个主要特点。(1)保护全面性。分布式防火墙把互联网和内部网络均视为“不友好的”，它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web 服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议，如HTTP和HTTPS 之外的协议通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功能。下一页返回上一页任务3 防火墙的概念(2)适用于服务器托管。不同的托管用户有不同数量的服务器在数据中心托管，服务器上也有不同的应用。对于安装了中心管理

35、系统的管理终端，数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控，并提供有关的安全日志记录。对于这类用户，他们通常所采用的防火墙方案是采用虚拟防火墙方案，但这种配置相当复杂，非一般网管人员能胜任。而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙，用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，还可以利用中心管理软件对该服务器进行远程监控，不需租用额外的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI 卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱下一页返回上一页任务3

36、防火墙的概念里面，也就无需单独的空间托管费了，对于企业来说更加实惠。在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在计算机网络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议、内外皆防的全方位安全体系，在增强系统安全性、提高系统性能、系统扩展性等方面都有着很好的优势。因为分布式防火墙采用了软件形式(有的采用了软件+硬件形式)，所以功能配置更加灵活，具备充分的智能管理能力，总的来说可以体现在以下6 个方面。下一页返回上一页任务3 防火墙的概念(1)Internet 访问控制:依据工作站名称、设备指纹等属性，使用“Internet 访问规则”，控制该工作站或工作

37、站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web 服务器，某个用户可否基于某工作站访问WWW 服务器，同时当某个工作站/用户达到规定流量后是否断网。(2)应用访问控制:通过对网络通信从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网/Internet 的应用服务请求，如SQL 数据库访问、IPX 协议访问等。(3)网络状态监控:实时动态报告当前网络中所有的用户登录、Internet 访问、内部网访问、网络入侵事件等信息。(4)黑客攻击的防御:抵御包括Smurf 拒绝服务攻击、ARP 欺骗式攻击、Ping

38、攻击、Trojan 木马攻击等的近百种来自网络内部以及来自Internet 的黑客攻击手段。下一页返回上一页任务3 防火墙的概念(5)日志管理:管理对工作站协议规则日志、用户登录事件日志、用户Internet 访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。(6)系统工具:包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。返回上一页任务4 数据加密安全立法对保护网络系统有不可替代的重要作用，但依靠法律也阻止不了攻击者对网络数据的各种威胁。加强行政管理、人事管理、采取物理保护措施等都是保护系统安全所不可缺少的有效措施，但有时也会受到各种环境

39、、费用、技术以及系统工作人员素质等条件的限制。采用访问控制、系统软硬件保护等方法保护网络系统资源，简单易行，但也存在诸如系统内部某些职员可以轻松越过这些障碍，而进行计算机犯罪等不易解决的问题。采用密码技术保护网络中存储和传输中的数据，是一种非常实用、经济、有效的方法。对信息进行加密保护可以防止攻击者窃取网络机密信息，也可以检测出他们对数据的插入、删除、修改及滥用有效数据的各种行为。下一页返回任务4 数据加密对网络数据进行加密要用到加密学方面的知识。加密学有着悠久的历史，在计算机发明之前，很早就有人在利用加密的方法传递信息，像军事人员、外交使者和情侣们等都曾利用加密方法来传递机密的、隐私的信

40、息。其中军事人员对密码学的发展的贡献最大，而且还扩展了该领域。数据加密的目的是，确保通信双方相互交换的数据是保密的，即使这些数据在半路被第三方截获，也会由于不知道密码而无法了解该信息的真实含义。如果一个加密算法或加密机制能够满足这种条件，则可以认为该算法是安全的，这是衡量一个加密算法好坏的主要依据。传统的数据加密模型如图7-6 所示。下一页返回上一页任务4 数据加密密码技术是对存储或者传输的信息采取秘密交换以防止第三者对信息窃取的技术。密码技术涉及以下术语。(1)明文:待加密的报文或数据。(2)密文:加密后的报文或数据。(3)密钥:用于加密和解密的钥匙，通常是一个字符串。(4)加密算法:

41、加密所采用的变换方法。(5)加密:把明文转换成密文的过程。(6)解密:对密文实施与加密相逆的变换，从而获得一个字符串。返回上一页任务5 网络安全认证技术 1.网络安全认证技术的概况网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程，其基本思想是通过验证被认证对象的属性，来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或指纹、声音、视网膜这样的生理特征。认证常常用于通信双方相互确认身份，以保证通信的安全。认证一般可以分为下列两种。(1)身份认证:用于鉴别用户身份。(2)消息认证:用于保证信息的完整性和抗否认性;在

42、很多情况下，用户要确认网上信息的真假，信息是否被第三方修改或伪造，这就需要消息认证。下一页返回任务5 网络安全认证技术 2.身份认证技术随着网络技术的发展，如何辨识网络另一端的用户身份成为一个很迫切的问题。在许多情况下都有对身份识别认证的要求，例如使用6 位密码在自动柜员机(ATM)上取钱;通过计算机网络登录远程计算机，必须给出用户名和口令;保密通信双方交换密钥时需要确保对方的身份等。身份认证(Identification and Authentication)可以定义为:为了使某些授予许可权限的权威机构、组织和个人满意，而提供所要求的证明自己身份的过程。3.消息认证技术在计算机网络中，

43、用户A 将消息送给用户B，用户B 需要确定收到的消息是否来自A，而且还要确定来自A 的消息有没有被别人修改过，有时用户A 也要知道发送出去的消息是否正确的到达了目的地。消息认证就是使消息的接收者能够检验收到的消息是否真实的方法。下一页返回上一页任务5 网络安全认证技术消息认证实际上是对消息本身产生一个冗余的信息MAC(消息认证码)，消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一的，因此可以有效地保护消息的完整性，以及实现发送方消息的不可抵赖和不能伪造。消息认证技术可以防止数据的伪造和被篡改，以及证实消息来源的有效性，已广泛应用于信息网络

44、。随着密码技术与计算机计算能力的提高，消息认证码的实现方法也在不断地改进和更新，多种实现方式会为更安全的消息认证码提供保障。4.数字证书数字证书是网络环境中的一种身份证，用于证明某一用户的身份以及其公开密钥的合法性。在公开密钥体制环境中，必须有一个来自第三方的可信机构，对任何一个公开用户的公开密钥进行公证，证明用户的身份以及他与公开密钥的匹配关系。下一页返回上一页任务5 网络安全认证技术数字证书由权威公正的第三方机构即CA中心签发，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性、签名信息的不

45、可否认性，从而保障网络应用的安全性。数字证书可用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。5.数字签名数字签名机制提供了一种身份鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。数字签名一般采用非对称加密技术(如RSA)，通过对整个明文进行某种变换，得到一个值作为核实签名。下一页返回上一页任务5 网络安全认证技术接收者使用发送者提供的公开密钥对签名进行解密运算，如能正确解密，则签名有效，证明对方的身份是

46、真实的。在实际应用中，一般是对传送的数据包中的一个IP 包进行一次签名验证，以提高网络的运行效率。当然签名也可以采用多种方式，例如，将签名附在明文之后。数字签名普遍用于银行、电子贸易等中。数字签名采用一定的数据交换协议，使双方能够满足两个条件:(1)接收方能够鉴别发送方所宣称的身份。(2)发送方以后不能否认他发送的数据这一事实。数字签名不同于手写签字，数字签名随文本的变化而变化;手写签字反映某个人的个性特征，是不变的;手写签名与数字签名的另外一个区别是一个数字签名的备份是与原来的签名相同的，而签名的纸质文件的备份通常与原来的签名文件作用不同。下一页返回上一页任务5 网络安全认证技术这个特

47、点意味着必须防止签名的数字信息被再一次使用，例如在签名中包含一些时间信息等，可以防止签名的再次使用。下面举例说明数字签名的应用。若A 向B 发送消息，其创建数字签名的过程如图7-7(a)所示。(1)利用散列函数计算原消息的摘要。(2)用自己的私钥加密摘要，并将摘要附在原消息的后面。B 收到消息，对数字签名进行验证的过程如图7-7(b)所示。(1)将消息中的原消息及其加密后的摘要分离出来。(2)使用A 的公钥将加密后的摘要解密。(3)利用散列函数重新计算原消息的摘要。(4)将解密后的摘要与自己用相同散列算法生成的摘要进行比较。若两者相等，则说明消息在传递过程中没有被篡改;否则，消息不可信。下一页

48、返回上一页任务5 网络安全认证技术了解数字签名及其验证过程后可以发现，这一技术带来了以下三个方面的安全性。(1)信息的完整性:由散列函数的特性可知，如果信息在传输过程中遭到篡改，B 重新计算出的摘要必然不同于用A 的公钥解密出的摘要，因此B 就确信信息不可信。(2)信源确认:因为公钥和私钥之间存在对应关系，既然B 能用A 的公钥解开加密的摘要，并且其值与B 重新计算出的摘要一致，那么该消息是A 发出的。(3)不可抵赖性:这一点实际上是(2)的理由阐述。因为只有A持有自己的私钥，其他人不可能冒充他的身份，所以A 无法否认他发过这一则消息。返回上一页图7-1 网络面临的安全威胁返回表7-1 防火墙对比返回图7-2 双重宿主主机结构返回图7-3 屏蔽主机结构返回图7-4 屏蔽子网结构返回图7-5 由包过滤路由器和应用网关构成的Internet 防火墙返回图7-6 数据加密的通用模型返回图7-7 数字签名(a)签名的生成过程;(b)签名的验证过程返回

展开阅读全文