計算機網絡基礎第10章-計算機網絡安全技術課件

計算機網絡基礎（第3版）工業(yè)和信息化“十三五”高職高專人才培養(yǎng)規(guī)劃教材

計算機網絡基礎（第3版）工業(yè)和信息化“十三五”高職高專人才培目標/要點隨著信息技術的不斷發(fā)展，網絡應用日益增多，網絡安全威脅日益嚴重。本章主要講述與安全相關的基礎知識，主要包括網絡安全的定義及關鍵技術、防火墻技術、殺毒軟件的使用等。通過本章的學習，讀者應能掌握基本安全技術的使用，保證網絡的安全。學習目標

學習要點1了解網絡安全的定義和面臨的威脅掌握防火墻的相關概念，理解常見的防火墻系統(tǒng)結構了解病毒的概念，掌握360殺毒軟件的使用方式23目標/要點隨著信息技術的不斷發(fā)展，網絡應用日益增多，網絡安全目錄/Contents10.1網絡安全概述防火墻技術殺毒軟件的應用10.210.3第10章計算機網絡安全技術

目錄/Contents10.1網絡安全概述防火墻技術殺毒第10章計算機網絡安全技術10.1網絡安全概述

10.1.1網絡面臨的安全威脅在日益網絡化的社會，網絡安全問題也不斷涌現(xiàn)。網絡安全面臨的威脅主要表現(xiàn)為：敏感信息為非授權用戶所獲取；網絡服務不能或不正常運行，甚至使合法用戶不能進入計算機網絡系統(tǒng)；黑客攻擊；硬件或軟件方面的漏洞；利用網絡傳播病毒。

4第10章計算機網絡安全技術10.1網絡安全概述

1．網絡安全的概念網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的因素或惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠正常運行，網絡服務不中斷。網絡安全具備以下４個特征。（1）保密性。保密性是指信息不泄露給非授權用戶、實體或過程，或供其利用的特性。即敏感數(shù)據(jù)在傳播或存儲介質中不會被有意或無意泄露。（2）完整性。完整性是指數(shù)據(jù)未經授權不能進行改變的特性。即信息在存儲或傳輸過程中，保持不被修改，不被破壞和丟失的特性。（3）可用性?？捎眯允侵感畔⒖杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能允許存取所需的信息。例如，網絡環(huán)境下拒絕服務、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。（4）可控性?？煽匦允侵笇π畔⒌膫鞑ゼ皟热菥哂锌刂颇芰Φ奶匦?。

1．網絡安全的概念2．網絡安全威脅網絡安全威脅是指對網絡信息的潛在危害，分為人為和自然兩種，人為又分為有意和無意兩類。（1）信息泄露。信息泄露是指信息被透露給非授權的實體。常見的信息泄露有如下幾種。網絡監(jiān)聽業(yè)務流分析電磁、射頻截獲人員有意或無意破壞媒體清理漏洞利用授權侵犯物理侵入病毒、木馬、后門、流氓軟件網絡釣魚

2．網絡安全威脅（2）完整性破壞?？梢酝ㄟ^漏洞利用、物理侵犯、授權侵犯、病毒、木馬、漏洞等方式來實現(xiàn)。（3）拒絕服務攻擊。對信息或資源合法的訪問被拒絕或者推遲與時間密切相關的操作。（4）網絡濫用。合法的用戶濫用網絡，引入不必要的安全威脅，主要包括如下幾類。非法外聯(lián)非法內聯(lián)移動風險設備濫用業(yè)務濫用

（2）完整性破壞。可以通過漏洞利用、物理侵犯、授權侵犯、病毒10.1.2計算機網絡安全的內容計算機網絡安全是涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合學科，它包括網絡管理、數(shù)據(jù)安全及數(shù)據(jù)傳輸安全等很多方面。網絡安全主要是指網絡上的信息安全，包括物理安全、邏輯安全、操作系統(tǒng)安全、網絡傳輸安全。1．物理安全物理安全是指用來保護計算機硬件和存儲介質的裝置和工作程序。物理安全包括防盜、防火、防靜電、防雷擊和防電磁泄漏等內容。（1）防盜（2）防火（3）防靜電（4）防雷擊（5）防電磁泄漏

10.1.2計算機網絡安全的內容2．邏輯安全計算機的邏輯安全主要是用口令、文件許可、加密、檢查日志等方法來實現(xiàn)。防止黑客入侵主要依賴于計算機的邏輯安全。邏輯安全可以通過以下措施來加強：（1）限制登錄的次數(shù)，對試探操作加上時間限制；（2）把重要的文檔、程序和文件加密；（3）限制存取非本用戶自己的文件，除非得到明確的授權；（4）跟蹤可疑的、未授權的存取企圖。

2．邏輯安全3．操作系統(tǒng)安全操作系統(tǒng)分為網絡操作系統(tǒng)和個人操作系統(tǒng)，其安全內容主要包括如下幾方面：（1）系統(tǒng)本身的漏洞；（2）內部和外部用戶的安全威脅；（3）通信協(xié)議本身的安全性；（4）病毒感染。4．網絡傳輸安全網絡傳輸安全是指信息在傳播過程中出現(xiàn)丟失、泄露、受到破壞等情況。其主要內容如下。（1）訪問控制服務：用來保護計算機和聯(lián)網資源不被非授權使用。（2）通信安全服務：用來認證數(shù)據(jù)的保密性和完整性，以及各通信的可信賴性。

3．操作系統(tǒng)安全10.1.3網絡安全的關鍵技術1．數(shù)據(jù)加密技術信息加密是保障信息安全的最基本、最核心的技術措施和理論基礎，信息加密也是現(xiàn)代密碼學的主要組成部分。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為對稱加密算法（私鑰密碼體系）和非對稱加密算法（公鑰密碼體系）。在私鑰密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和脫密密鑰是相同或等價的。在眾多的常規(guī)密碼中影響最大的是DES密碼。在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡苡杉用苊荑€推導出脫密密鑰。最有影響的公鑰加密算法是RSA，它能夠抵抗到目前為止已知的所有密碼攻擊。

10.1.3網絡安全的關鍵技術2．信息確認技術信息確認技術通過嚴格限定信息的共享范圍來達到防止信息被非法偽造、篡改和假冒。一個安全的信息確認方案應該能使：合法的接收者能夠驗證他收到的消息是否真實；發(fā)信者無法抵賴自己發(fā)出的消息；除合法發(fā)信者外，別人無法偽造消息；發(fā)生爭執(zhí)時可由第三人仲裁。按照其具體目的，信息確認系統(tǒng)可分為消息確認、身份確認和數(shù)字簽名。用于消息確認中的常用算法有：ElGamal簽名、數(shù)字簽名標準（DSS）、One-time簽名、

Undeniable簽名、Fail-stop、簽名、Schnorr確認方案、Okamoto確認方案、Guillou-Quisquater確認方案、Snefru、Nhash、MD4．MD5等，其中最著名的算法應該是數(shù)字簽名標準（DSS）算法。

2．信息確認技術3．防火墻技術防火墻系統(tǒng)是一種網絡安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結合。這種安全部件處于被保護網絡和其他網絡的邊界，接收進出被保護網絡的數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問控制策略進行過濾或做出其他操作。防火墻系統(tǒng)不僅能夠保護網絡資源不受外部的侵入，而且還能夠攔截從被保護網絡向外傳送有價值的信息。防火墻系統(tǒng)可以用于內部網絡與Internet之間的隔離，也可用于內部網絡不同網段的隔離，后者通常稱為Intranet防火墻。

3．防火墻技術目前的防火墻系統(tǒng)根據(jù)其實現(xiàn)方式大致可分為兩種，即包過濾防火墻和應用層網關。包過濾防火墻的主要功能是接收被保護網絡和外部網絡之間的數(shù)據(jù)包，根據(jù)防火墻的訪問控制策略對數(shù)據(jù)包進行過濾，只準許授權的數(shù)據(jù)包通行。應用層網關位于TCP/IP協(xié)議的應用層，實現(xiàn)對用戶身份的驗證，接收被保護網絡和外部之間的數(shù)據(jù)流并對之進行檢查。

目前的防火墻系統(tǒng)根據(jù)其實現(xiàn)方式大致可分為兩種，即包過濾防火墻4．網絡安全掃描技術網絡安全掃描技術是為使系統(tǒng)管理員能夠及時了解系統(tǒng)中存在的安全漏洞，并采取相應防范措施，從而降低系統(tǒng)安全風險而發(fā)展起來的一種安全技術。利用安全掃描技術，可以對局域網絡、Web站點、主機操作系統(tǒng)、系統(tǒng)服務及防火墻系統(tǒng)的安全漏洞進行掃描，系統(tǒng)管理員可以了解在運行的網絡系統(tǒng)中存在的不安全的網絡服務，在操作系統(tǒng)上存在的可能導致遭受緩沖區(qū)溢出攻擊或者拒絕服務攻擊的安全漏洞，還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯誤。網絡安全掃描技術主要有網絡遠程安全掃描、防火墻系統(tǒng)掃描、Web網站掃描、系統(tǒng)安全掃描等幾種方式。

4．網絡安全掃描技術5．網絡入侵檢測技術網絡入侵檢測技術也叫網絡實時監(jiān)控技術，它通過硬件或軟件對網絡上的數(shù)據(jù)流進行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應，如切斷網絡連接，或通知防火墻系統(tǒng)對訪問控制策略進行調整，將入侵的數(shù)據(jù)包過濾掉等。6．黑客誘騙技術黑客誘騙技術是近期發(fā)展起來的一種網絡安全技術，通過一個由網絡安全專家精心設置的特殊系統(tǒng)來引誘黑客，并對黑客進行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐（Honeypot）系統(tǒng)，最重要的功能是一種特殊設置，用來對系統(tǒng)中所有操作進行監(jiān)視和記錄。

5．網絡入侵檢測技術10.2防火墻技術防火墻是一種網絡安全保障手段，一種有效的網絡安全機制，是保證主機和網絡安全

必不可少的工具。其主要目標是通過控制進、出網絡的資源權限，迫使所有的連接都經過該工具的檢查，防止需要保護的網絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器、限制器，也是一個分析器。防火墻是網絡之間一種特殊的訪問控制設施，在Internet網絡與內部網之間設置一道屏障，防止黑客進入內部網，用于確定哪些內部資源允許外部訪問、哪些內部網絡可以訪問外部網絡。防火墻在網絡中的位置如圖10-1所示。

10.2防火墻技術防火墻是一種網絡安全保障手段，一種計算機網絡基礎第10章--計算機網絡安全技術課件10.2.1防火墻概述1．防火墻的定義防火墻是置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全政策（允許、拒絕、監(jiān)視、記錄）控制進出網絡訪問行為。防火墻本身具有較強的抗攻擊能力，是提供信息安全服務、實現(xiàn)網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器、限制器，也是一個分析器，它能夠有效地監(jiān)控內部網和Internet之間的任何活動，保證了內部網絡的安全。

10.2.1防火墻概述2．防火墻的分類（1）按形態(tài)分類。按形態(tài)可將防火墻分為軟件防火墻和硬件防火墻兩種。兩種防火墻的比較見表10-1。

2．防火墻的分類（2）按保護對象分類。按保護對象可將防火墻分為網絡防火墻和單機防火墻兩種。兩種防火墻的比較見表10-2。

（2）按保護對象分類。按保護對象可將防火墻分為網絡防火墻和單（3）按使用核心技術分類。按使用的核心技術可把防火墻分為包過濾防火墻（根據(jù)流經防火墻的數(shù)據(jù)包頭信息，決定是否允許該數(shù)據(jù)包通過）、狀態(tài)檢測防火墻、應用代理防火墻、復合型防火墻。

（3）按使用核心技術分類。按使用的核心技術可把防火墻分為包過3．防火墻的特性一個好的防火墻系統(tǒng)應具有3方面的特性：所有在內部網絡和外部網絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；只有被授權的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻；防火墻本身不受各種攻擊的影響。4．防火墻的局限性防火墻能過濾進出網絡的數(shù)據(jù)包，能管理進出網絡的訪問行為。但防火墻不是萬能的，還存在一定程度的局限性：防火墻不能防范不經過防火墻的攻擊，如撥號訪問、內部攻擊等；防火墻不能防范利用電子郵件夾帶的病毒等惡性程序；防火墻不能解決來自內部網絡的攻擊和安全問題；防火墻不能防止策略配置不當或錯誤配置引起的安全威脅；

3．防火墻的特性防火墻不能防止利用標準網絡協(xié)議中的缺陷進行的攻擊；防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊；防火墻不能防止數(shù)據(jù)驅動式的攻擊，有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內部網的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅動式的攻擊；防火墻不能防止本身安全漏洞的威脅。5．常用的防火墻實現(xiàn)策略（1）允許所有除明確拒絕之外的通信或服務。（2）拒絕所有除明確允許之外的通信或服務。

防火墻不能防止利用標準網絡協(xié)議中的缺陷進行的攻擊；10.2.2防火墻系統(tǒng)結構防火墻通過檢查所有進出內部網絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立一條安全邊界（SecurityPerimeter）。防火墻系統(tǒng)由兩個基本部件構成：一是包過濾路由器（PacketFilteringRouter），二是應用級網關（ApplicationGateway）。最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網關組合而成。根據(jù)組合方式的不同，防火墻系統(tǒng)的結構也有多種形式。

10.2.2防火墻系統(tǒng)結構1．包過濾路由器結構（1）結構。包過濾路由器結構如圖10-2所示。（2）工作流程。包過濾防火墻的工作流程如圖10-3所示。

1．包過濾路由器結構計算機網絡基礎第10章--計算機網絡安全技術課件（3）性能分析。優(yōu)點：價格低廉，易于使用。缺點：過濾規(guī)則的創(chuàng)建非常重要，如果配置錯誤則不但不會阻擋威脅，甚至還出現(xiàn)允許某些威脅通過的缺陷；不隱藏內部網絡配置，任何被允許訪問的用戶都可看到網絡的布局和結構；對網絡的監(jiān)視和日志功能較弱。

（3）性能分析。2．應用級網關（1）概念。應用級網關是在每個需要保護的主機上放置高度專用的應用軟件，實現(xiàn)協(xié)議過濾和轉發(fā)功能。（2）結構。應用級網關防火墻的結構如圖10-4所示。（3）性能分析。應用級網關防火墻也是通過特定的邏輯來判斷是否允許數(shù)據(jù)包通過，允許內外網絡的計算機建立直接聯(lián)系，外部網絡用戶能直接了解內部網絡的結構，這給黑客的入侵和攻擊提供了機會。

2．應用級網關計算機網絡基礎第10章--計算機網絡安全技術課件3．雙宿堡壘主機防火墻（1）堡壘主機。堡壘主機是處于防火墻關鍵部位、運行應用級網關軟件的計算機系統(tǒng)。堡壘主機上裝有兩塊網卡，一塊連接內網，一塊連接外部網絡。（2）結構。雙宿堡壘主機防火墻結構如圖10-5所示。

3．雙宿堡壘主機防火墻（3）數(shù)據(jù)傳輸過程。雙宿堡壘主機防火墻數(shù)據(jù)傳輸過程如圖10-6所示。（4）性能分析。雙宿堡壘主機有兩個網絡接口，強行讓進出內部網絡的數(shù)據(jù)通過保壘主機，避免了黑客繞過堡壘主機而直接進入內部網絡的可能，即使受到攻擊，也只有堡壘主機遭到破壞，堡壘主機會記錄日志，有利于問題的查找和系統(tǒng)的維護

（3）數(shù)據(jù)傳輸過程。雙宿堡壘主機防火墻數(shù)據(jù)傳輸過程如圖104．DMZ防火墻（1）什么是DMZ防火墻。DMZ（DemilitarizedZone，非軍事區(qū)）防火墻也稱為屏蔽子網（ScreenedSubnet）防火墻，是在內部網絡和外部網絡之間建立一個被隔離的子網。（2）DMZ的防火墻結構。DMZ防火墻結構如圖10-7所示。（3）DMZ防火墻性能分析。

4．DMZ防火墻10.3

殺毒軟件的應用10.3.1殺毒軟件介紹1．常用殺毒軟件介紹病毒具有很強的傳染性和破壞性，如果沒有適當?shù)姆烙胧?/p>