網(wǎng)絡安全培訓課程圖文

關于網(wǎng)絡安全培訓課程圖文課程綜述第2頁,共194頁，2024年2月25日，星期天課程綜述課程內容

本課程以分析計算機網(wǎng)絡面臨的安全威脅為起點，闡述了常用的網(wǎng)絡安全技術，介紹了主流網(wǎng)絡安全產品和常用網(wǎng)絡安全策略，并著重強調內容安全（防病毒）在網(wǎng)絡安全中的重要地位。

分析計算機網(wǎng)絡面臨的安全威脅闡述常用的計算機網(wǎng)絡安全技術介紹主要的網(wǎng)絡安全產品類型推薦企業(yè)網(wǎng)絡安全策略第3頁,共194頁，2024年2月25日，星期天課程綜述課程目標

本課程的目標是提高學員的網(wǎng)絡安全意識，使學員熟悉基本的網(wǎng)絡安全理論知識和常用網(wǎng)絡安全產品，了解部署整個網(wǎng)絡安全的防護系統(tǒng)和策略的方法。在此基礎上，讓學員充分了解病毒防范的重要性和艱巨性，了解“內部人員的不當使用”和“病毒”是整個網(wǎng)絡系統(tǒng)中最難對付的兩類安全問題。全面了解基本的網(wǎng)絡弱點了解安全技術原理了解各類安全技術的產品及其實現(xiàn)方式了解內容安全（防病毒）的難度及在網(wǎng)絡安全中日益重要的地位第4頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全概述第一章第5頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全概述本章概要

本章介紹網(wǎng)絡安全的定義、安全網(wǎng)絡的基本特征以及計算機網(wǎng)絡面臨的威脅。本章內容包含以下幾部分：網(wǎng)絡安全背景計算機網(wǎng)絡面臨的威脅網(wǎng)絡安全的定義安全網(wǎng)絡的基本特征第6頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全概述課程目標通過本章的學習，學員應能夠了解：網(wǎng)絡安全的定義及其涵蓋的范圍計算機網(wǎng)絡面臨的威脅主要來自哪些方面安全的計算機網(wǎng)絡的基本特征第7頁,共194頁，2024年2月25日，星期天在我們的生活中，經?？梢月牭较旅娴膱蟮溃篨X網(wǎng)站受到黑客攻擊XX計算機系統(tǒng)受到攻擊，造成客戶數(shù)據(jù)丟失目前又出現(xiàn)XX計算機病毒，已擴散到各大洲……網(wǎng)絡安全的背景計算機網(wǎng)絡在帶給我們便利的同時已經體現(xiàn)出了它的脆弱性……第8頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全的背景經常有網(wǎng)站遭受黑客攻擊第9頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全的背景用戶數(shù)據(jù)的泄漏第10頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全的背景調查顯示：網(wǎng)絡攻擊數(shù)量與日俱增/stats/cert_stats.htmlIncidentsreportedtoCERT/CCinrecentyearsYear第11頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全的背景網(wǎng)絡病毒在全球范圍內高速擴散2001年7月19日01:05:002001年7月19日20:15:00第12頁,共194頁，2024年2月25日，星期天網(wǎng)絡病毒在全球范圍內高速擴散SatJan2505:29:002003——SatJan2506:00:002003第13頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全的背景黑客攻擊技術與網(wǎng)絡病毒日趨融合第14頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全的背景攻擊者需要的技能日趨下降攻擊工具復雜性攻擊者所需技能第15頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全面臨的威脅互聯(lián)網(wǎng)在推動社會發(fā)展的同時，也面臨著日益嚴重的安全問題：信息系統(tǒng)存在諸多弱點企業(yè)外部的網(wǎng)絡攻擊企業(yè)內部發(fā)起的網(wǎng)絡破壞計算機病毒的破壞……計算機網(wǎng)絡的最大威脅是來自企業(yè)內部員工的惡意攻擊和計算機病毒的威脅。第16頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全面臨的威脅網(wǎng)絡面臨多種風險物理風險系統(tǒng)風險信息風險應用風險其它風險網(wǎng)絡的風險管理風險

設備防盜，防毀鏈路老化人為破壞網(wǎng)絡設備自身故障停電導致無法工作機房電磁輻射其他

信息存儲安全信息傳輸安全信息訪問安全其他身份鑒別訪問授權機密性完整性不可否認性可用性

計算機病毒

外部攻擊內部破壞其他風險軟件弱點是否存在管理方面的風險需有無制定相應的安全制度安全拓撲安全路由Internet第17頁,共194頁，2024年2月25日，星期天磁盤意外損壞光盤意外損壞磁帶被意外盜走導致數(shù)據(jù)丟失導致數(shù)據(jù)無法訪問信息系統(tǒng)的弱點信息存儲的弱點第18頁,共194頁，2024年2月25日，星期天信息系統(tǒng)的弱點信息傳輸?shù)娜觞c搭線竊聽信息總部下屬機構黑客信息泄密

信息被篡改Internet第19頁,共194頁，2024年2月25日，星期天企業(yè)網(wǎng)絡非法用戶非法登錄合法用戶越權訪問信息系統(tǒng)的弱點計算機網(wǎng)絡信息被非法訪問

信息被越權訪問

信息被非授權訪問第20頁,共194頁，2024年2月25日，星期天各種網(wǎng)絡攻擊企業(yè)外部的網(wǎng)絡攻擊1993年3月1日，由于駭客入侵，紐約市區(qū)供電中斷8個小時，造成巨大經濟損失。1998年6月，國內某著名銀行一用戶通過網(wǎng)絡使用非法手段盜支36萬元人民幣。1999年8月，一少年侵入德里醫(yī)院篡改血庫信息，致使12名病人因錯誤輸血而死亡。據(jù)美國《金融時報》報道，現(xiàn)在平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡的事件；超過1/3的互聯(lián)網(wǎng)被攻破。……第21頁,共194頁，2024年2月25日，星期天各種網(wǎng)絡攻擊企業(yè)內部的網(wǎng)絡破壞統(tǒng)計顯示：來自企業(yè)內部的網(wǎng)絡破壞更加危險；員工的不正常使用也是企業(yè)內網(wǎng)的一個重要不安全因素。盡管企業(yè)外部的攻擊可以對企業(yè)網(wǎng)絡造成巨大威脅，企業(yè)內部員工的不正確使用和惡意破壞是一種更加危險的因素。摘自ICSA/FBI,2001第22頁,共194頁，2024年2月25日，星期天計算機病毒的破壞1998年，CIH病毒影響到2000萬臺計算機；1999年，梅利莎造成8000萬美元損失；2000年，愛蟲病毒影響到1200萬臺計算機，損失高達幾十億美元；2001年，紅色代碼病毒，目前造成的損失已超過十二億美元?！F(xiàn)在計算機病毒已達5萬多種，并呈幾何級數(shù)增長第23頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全問題的嚴重性網(wǎng)絡安全隱患到處存在據(jù)美國《金融時報》報道，現(xiàn)在平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡的事件；超過1/3的互聯(lián)網(wǎng)被攻破。被認為保護措施最嚴密的美國白宮被多次闖入。中國國內80％的網(wǎng)絡存在安全隱患，20％的網(wǎng)站有嚴重安全問題。……第24頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全問題的嚴重性網(wǎng)絡安全問題造成的巨大損失據(jù)統(tǒng)計，在全球范圍內，由于信息系統(tǒng)的脆弱性而導致的經濟損失，每年達數(shù)億美元，并且呈逐年上升的趨勢。美國FBI統(tǒng)計數(shù)據(jù)：美國每年因為網(wǎng)絡安全問題而造成的經濟損失高達75億美圓?！?5頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全的定義廣義的網(wǎng)絡安全定義：凡是涉及到網(wǎng)絡上信息的安全性，完整性，可用性，真實性和可控性的相關理論和技術都是網(wǎng)絡信息安全所要研究的領域。狹義的網(wǎng)絡安全定義：指信息內容的安全性，即保護信息的秘密性、真實性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進行竊聽、冒充、詐騙、盜用等有損合法用戶利益的行為，保護合法用戶的利益和隱私。本課程涉及的網(wǎng)絡安全是指狹義的網(wǎng)絡安全。網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全，它涉及的范圍相當廣。第26頁,共194頁，2024年2月25日，星期天安全網(wǎng)絡的特征安全的網(wǎng)絡具有下列四個特征：保密性完整性可用性可控性第27頁,共194頁，2024年2月25日，星期天如何構建一個安全的網(wǎng)絡？構建計劃周密、安全可行的安防體系人制度技術安防體系完整的安防體系應該由人、制度和技術三方面組成；本課程的第二章到第四章討論了網(wǎng)絡安全技術的相關問題；本課程第五章著重討論了安防體系中人和制度的因素，并提出了規(guī)劃企業(yè)安防體系的一般方法。第28頁,共194頁，2024年2月25日，星期天計算機網(wǎng)絡面臨的安全威脅第二章第29頁,共194頁，2024年2月25日，星期天本章概要計算機網(wǎng)絡面臨的安全威脅本章分析了威脅計算機網(wǎng)絡安全的各種因素，具體如下：網(wǎng)絡安全漏洞網(wǎng)絡攻擊概述網(wǎng)絡攻擊手段計算機病毒的危害第30頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全漏洞系統(tǒng)存在安全方面的脆弱性非法用戶得以獲得訪問權合法用戶未經授權提高訪問權限系統(tǒng)易受來自各方面的攻擊網(wǎng)絡安全漏洞的概念網(wǎng)絡協(xié)議的安全漏洞操作系統(tǒng)的安全漏洞應用程序的安全漏洞安全漏洞的分類第31頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全漏洞系統(tǒng)和軟件的設計存在缺陷，通信協(xié)議不完備；如TCP/IP協(xié)議就有很多漏洞。技術實現(xiàn)不充分；如很多緩存溢出方面的漏洞就是在實現(xiàn)時缺少必要的檢查。配置管理和使用不當也能產生安全漏洞；如口令過于簡單，很容易被黑客猜中。安全漏洞產生的原因第32頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全漏洞常見的Internet服務中都存在安全漏洞：

安全漏洞FTP文件傳輸?shù)陌踩┒碬WW服務的安全漏洞Usenet新聞的安全漏洞網(wǎng)絡服務的安全漏洞網(wǎng)絡文件系統(tǒng)的安全漏洞電子郵件的安全漏洞Telnet的安全漏洞第33頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全漏洞常見的Internet服務中都存在安全漏洞：

安全漏洞FTP文件傳輸?shù)陌踩┒碬WW服務的安全漏洞Usenet新聞的安全漏洞網(wǎng)絡服務的安全漏洞網(wǎng)絡文件系統(tǒng)的安全漏洞電子郵件的安全漏洞Telnet的安全漏洞網(wǎng)絡攻擊病毒破壞第34頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊概述網(wǎng)絡攻擊的概念利用安全漏洞使用攻擊軟件或命令使用網(wǎng)絡命令使用專用網(wǎng)絡軟件自己編寫攻擊軟件攻擊具體內容非法獲取、修改或刪除用戶系統(tǒng)信息在用戶系統(tǒng)上增加垃圾、色情或有害的信息破壞用戶的系統(tǒng)第35頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊概述常見的網(wǎng)絡攻擊者駭客（Hacker）黑客（Cracker）幼稚黑客（ScriptKiddie）內奸工業(yè)間諜病毒制造者……第36頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊概述網(wǎng)絡攻擊的工具分布式工具(DistributedTool)攻擊程序(IntrusionProgram)自治代理(AutonomousAgents

)工具集(ToolSets)用戶命令(UserCommand)第37頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊概述一個網(wǎng)絡攻擊的組成網(wǎng)絡攻擊攻擊者工具訪問結果目標駭客黑客幼稚黑客內奸工業(yè)間諜分布式工具程序自治代理工具集用戶命令信息破壞信息暴露服務偷竊服務拒絕破壞配置的脆弱點實現(xiàn)的漏洞黑客用戶命令配置的脆弱點信息破壞破壞第38頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊的類型拒絕服務：使遭受的資源目標不能繼續(xù)正常提供服務侵入攻擊：攻擊者竊取到系統(tǒng)的訪問權并盜用資源信息盜竊：攻擊者從目標系統(tǒng)中偷走數(shù)據(jù)。信息篡改：攻擊者篡改信息內容。網(wǎng)絡攻擊主要可以分為以下幾種類型：第39頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊的類型拒絕服務（DenialofService）CPU拒絕服務第40頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊的類型信息盜竊（Eavesdropping）信息盜竊telnetusername:danpassword:m-y-p-a-s-s-w-o-r-dd-a-n第41頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊的類型侵入攻擊（Intrusion）Bob侵入攻擊I’mBob,PleaseletmeLogin.第42頁,共194頁，2024年2月25日，星期天網(wǎng)絡攻擊的類型信息篡改（LossofIntegrity）BankCustomerDeposit$1000Deposit$100信息篡改第43頁,共194頁，2024年2月25日，星期天常見的網(wǎng)絡攻擊手段主要網(wǎng)絡攻擊手段E-Mail炸彈(E-MailBombing)邏輯炸彈(LogicBombing)DDos攻擊(DistributedDenialofService)特洛伊木馬(TrojanHorseProgram)口令入侵(PasswordIntrusion)網(wǎng)絡竊聽(Eavesdropping)IP地址欺騙(IPSpoofing)病毒攻擊(Viruses)第44頁,共194頁，2024年2月25日，星期天計算機病毒的危害計算機病毒的概念計算機病毒的特征計算機病毒的種類網(wǎng)絡病毒網(wǎng)絡病毒的特點及危害性常見的網(wǎng)絡病毒病毒——網(wǎng)絡攻擊的有效載體本部分主要討論以下幾內容：第45頁,共194頁，2024年2月25日，星期天計算機病毒的概念計算機病毒是指一段具有自我復制和傳播功能的計算機代碼，這段代碼通常能影響計算機的正常運行，甚至破壞計算機功能和毀壞數(shù)據(jù)。第46頁,共194頁，2024年2月25日，星期天計算機病毒的特征病毒是一段可執(zhí)行的程序病毒具有廣泛的傳染性病毒具有很強的隱蔽性病毒具有潛伏性病毒具有可觸發(fā)性病毒具有破壞性第47頁,共194頁，2024年2月25日，星期天計算機病毒的種類啟動型病毒文件型病毒宏病毒Script病毒JAVA病毒Shockwave病毒第48頁,共194頁，2024年2月25日，星期天網(wǎng)絡病毒的概念利用網(wǎng)絡協(xié)議及網(wǎng)絡的體系結構作為傳播的途徑或傳播機制，并對網(wǎng)絡或聯(lián)網(wǎng)計算機造成破壞的計算機病毒稱為網(wǎng)絡病毒。第49頁,共194頁，2024年2月25日，星期天網(wǎng)絡病毒的特點及危害破壞性強傳播性強針對性強擴散面廣傳染方式多消除難度大第50頁,共194頁，2024年2月25日，星期天常見的網(wǎng)絡病毒蠕蟲病毒多態(tài)病毒伙伴病毒梅利莎病毒BO病毒隱藏病毒JAVA病毒第51頁,共194頁，2024年2月25日，星期天病毒——網(wǎng)絡攻擊的有效載體網(wǎng)絡的新威脅——病毒+網(wǎng)絡攻擊第52頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全技術基礎第三章第53頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全技術基礎本章概要

本章首先介紹了計算機網(wǎng)絡的基本知識，然后分別就各種網(wǎng)絡安全技術進行了闡述。本章涉及的網(wǎng)絡安全技術有：數(shù)據(jù)加密技術（Encryption）身份認證技術（Authentication）包過濾技術（PacketFiltering）資源授權使用（Authorization）內容安全（防病毒）技術第54頁,共194頁，2024年2月25日，星期天網(wǎng)絡安全技術基礎課程目標

通過本章的學習，學員應能夠了解：計算機網(wǎng)絡的基本知識和常用網(wǎng)絡協(xié)議常用的網(wǎng)絡安全技術及其適用范圍內容安全（防病毒）技術在網(wǎng)絡安全領域的重要地位第55頁,共194頁，2024年2月25日，星期天計算機網(wǎng)絡基礎知識計算機網(wǎng)絡的分層結構復雜的計算機網(wǎng)絡計算機網(wǎng)絡的七層模型（OSI）TCP/IP網(wǎng)絡的層次結構常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術TCP/IP協(xié)議族局域網(wǎng)技術和廣域網(wǎng)技術常見的Internet服務

第56頁,共194頁，2024年2月25日，星期天復雜的計算機網(wǎng)絡計算機網(wǎng)絡分層結構IBM3274Dial-on-DemandSDLCT1/E1XWindowsASCIIProtocolTranslatorLATHostPoint-to-PointSMDS,

X.25,

FrameRelayIBMMainframewithFEPFDDIDialBackupDialBackupLoadSharingLANSwitchLANSwitchInter-SwitchLink(ISL)VLANsSwitch1Switch2Switch3Switch4Router1Router2Router3Router4Router5Router6Router7Router8第57頁,共194頁，2024年2月25日，星期天OSI七層模型計算機網(wǎng)絡分層結構應用層ApplicationLayer表示層PresentationLayer會話層SessionLayer傳輸層TransportLayer網(wǎng)絡層NetworkLayer數(shù)據(jù)鏈路層DataLinkLayer物理層PhysicalLayer與用戶應用的接口數(shù)據(jù)格式的轉換會話管理與數(shù)據(jù)同步端到端的可靠傳輸分組傳送、路由選擇、流量控制相鄰節(jié)點間無差錯地傳送幀在物理媒體上透明傳送位流第58頁,共194頁，2024年2月25日，星期天OSI七層模型計算機網(wǎng)絡分層結構應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層網(wǎng)絡層數(shù)據(jù)鏈路層物理層網(wǎng)絡層數(shù)據(jù)鏈路層物理層應用層協(xié)議表示層協(xié)議會話層協(xié)議傳輸層協(xié)議主機A主機B路由器路由器第59頁,共194頁，2024年2月25日，星期天計算機網(wǎng)絡分層結構TCP/IP網(wǎng)絡層次結構應用層ApplicationLayer表示層PresentationLayer會話層SessionLayer傳輸層TransportLayer網(wǎng)絡層NetworkLayer數(shù)據(jù)鏈路層DataLinkLayer物理層PhysicalLayer應用層ApplicationLayer傳輸層TransportLayer互聯(lián)網(wǎng)絡層Inter-NetworkingLayer網(wǎng)絡接口層NetworkAccessLayerTCP/IP網(wǎng)絡分層結構OSI網(wǎng)絡分層結構第60頁,共194頁，2024年2月25日，星期天計算機網(wǎng)絡分層結構應用層ApplicationLayer傳輸層TransportLayer互聯(lián)網(wǎng)絡層Inter-NetworkingLayer網(wǎng)絡接口層NetworkAccessLayerXWindowNFSSMTPDNSSNMPHTTPFTPTelnetUDPTCPIPRARPARPBootPICMPFDDITokenRingX.25EthernetTCP/IP網(wǎng)絡層次結構第61頁,共194頁，2024年2月25日，星期天常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術TCP/IP協(xié)議族(網(wǎng)絡互聯(lián)層和傳輸層)

IP協(xié)議：InternetProtocolTCP協(xié)議：TransmissionControlProtocolUDP協(xié)議：UserDatagramProtocolICMP協(xié)議：InternetControlMessageProtocolARP協(xié)議：AddressResolutionProtoclRARP協(xié)議：ReversedAddressResolutionProtocol第62頁,共194頁，2024年2月25日，星期天常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術TCP/IP協(xié)議族(應用層)HTTP：HyperTextTransmissionProtocolFTP：FileTransmissionProtocolSMTP：SimpleMailTransmissionProtocolDNS：DomainnameServiceSNMP：SimpleNetworkManagementProtocolTelnetPOP3第63頁,共194頁，2024年2月25日，星期天常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術TCP/IP協(xié)議支持的鏈路層協(xié)議EthernetTokenRingFDDIHLDCPPPX.25FrameRelayTCP/IP協(xié)議幾乎能支持所有的鏈路層協(xié)議，包括局域網(wǎng)協(xié)議和廣域網(wǎng)協(xié)議第64頁,共194頁，2024年2月25日，星期天常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術局域網(wǎng)(LAN)技術令牌環(huán)網(wǎng)（TokenRing）分布式光纖接入（FDDI）以太網(wǎng)/快速以太網(wǎng)/千兆以太網(wǎng)（Ethernet/FastEthernet/GigabitEthernet）第65頁,共194頁，2024年2月25日，星期天常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術局域網(wǎng)(LAN)常見設備集線器（HUB）交換機（Switch）網(wǎng)卡（NIC）PCMCIA網(wǎng)卡第66頁,共194頁，2024年2月25日，星期天常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術廣域網(wǎng)(WAN)技術租用專線（LeasedLine）幀中繼技術（FrameRelay）電話撥號接入技術（DialUp）ISDN撥號接入技術（ISDN）虛擬專用網(wǎng)技術（VPN）Serviceprovider第67頁,共194頁，2024年2月25日，星期天常用的網(wǎng)絡協(xié)議和網(wǎng)絡技術廣域網(wǎng)(WAN)常見設備ADSL路由器CableModemISDN適配器第68頁,共194頁，2024年2月25日，星期天常見的Internet服務電子郵件WWW服務Telnet文件傳輸網(wǎng)絡管理撥號網(wǎng)絡第69頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術

數(shù)據(jù)加密的概念數(shù)據(jù)加密技術原理數(shù)據(jù)傳輸?shù)募用艹Ｓ眉用軈f(xié)議本部分涉及以下內容：第70頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密的概念

數(shù)據(jù)加密模型密文網(wǎng)絡信道明文明文三要素：信息明文(Plaintext)、密鑰(Key)、信息密文(Ciphertext).加密密鑰信息竊取者解密密鑰加密算法解密算法第71頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密的概念

數(shù)據(jù)加密技術的概念數(shù)據(jù)加密(Encryption)是指將明文信息(Plaintext)采取數(shù)學方法進行函數(shù)轉換成密文(Ciphertext)，只有特定接受方才能將其解密(Decryption)還原成明文的過程。

明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密鑰(Key)：控制加密算法和解密算法得以實現(xiàn)的關鍵信息，分為加密密鑰和解密密鑰；加密(Encryption)：將明文通過數(shù)學算法轉換成密文的過程；解密(Decryption)：將密文還原成明文的過程。第72頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密的概念

數(shù)據(jù)加密技術的應用數(shù)據(jù)保密；身份驗證；保持數(shù)據(jù)完整性；確認事件的發(fā)生。第73頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理

對稱密鑰加密（保密密鑰法）非對稱密鑰加密（公開密鑰法）混合加密算法哈希（Hash）算法數(shù)字簽名數(shù)字證書公共密鑰體系數(shù)據(jù)加密技術原理第74頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理對稱密鑰加密（保密密鑰法）加密算法解密算法密鑰網(wǎng)絡信道明文明文密文加密密鑰解密密鑰兩者相等第75頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理非對稱密鑰加密（公開密鑰加密）加密算法解密算法公開密鑰網(wǎng)絡信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導不相等第76頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理

混合加密系統(tǒng)對稱密鑰加密算法對稱密鑰解密算法對稱密鑰網(wǎng)絡信道明文明文密文混合加密系統(tǒng)既能夠安全地交換對稱密鑰，又能夠克服非對稱加密算法效率低的缺陷！非對稱密鑰加密算法非對稱密鑰解密算法對稱密鑰公開密鑰私有密鑰

混合加密系統(tǒng)是對稱密鑰加密技術和非對稱密鑰加密技術的結合第77頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理

哈希（Hash）算法信息加密解密網(wǎng)絡信道信息密文

哈希算法（hashalgorithm），也叫信息標記算法（message-digestalgorithm），可以提供數(shù)據(jù)完整性方面的判斷依據(jù)。哈希算法結果相同，則數(shù)據(jù)未被篡改比較結果不同，則數(shù)據(jù)已被篡改信息標記（digest）常用的哈希算法：MD5SHA-1哈希算法第78頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理數(shù)字簽名

數(shù)字簽名（digitalsignature）技術通過某種加密算法，在一條地址消息的尾部添加一個字符串，而收信人可以根據(jù)這個字符串驗明發(fā)信人的身份，并可進行數(shù)據(jù)完整性檢查。第79頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理數(shù)字簽名的工作原理非對稱加密算法非對稱解密算法Alice的私有密鑰網(wǎng)絡信道合同Alice的公開密鑰哈希算法標記標記-2合同哈希算法比較標記-1如果兩標記相同，則符合上述確認要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認：合同的確是Alice發(fā)送的合同在傳輸途中未被修改第80頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理數(shù)字簽名的作用唯一地確定簽名人的身份；對簽名后信件的內容是否又發(fā)生變化進行驗證；發(fā)信人無法對信件的內容進行抵賴。當我們對簽名人同公開密鑰的對應關系產生疑問時，我們需要第三方頒證機構（CA:CertificateAuthorities）的幫助。第81頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理數(shù)字證書

數(shù)字證書相當于電子化的身份證明，應有值得信賴的頒證機構（CA機構）的數(shù)字簽名，可以用來強力驗證某個用戶或某個系統(tǒng)的身份及其公開密鑰。

數(shù)字證書既可以向一家公共的辦證機構申請，也可以向運轉在企業(yè)內部的證書服務器申請。這些機構提供證書的簽發(fā)和失效證明服務。第82頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理數(shù)字證書標準：X.509X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標準。在X.500確保用戶名稱惟一性的基礎上,X.509為X.500用戶名稱提供了通信實體的鑒別機制，并規(guī)定了實體鑒別過程中廣泛適用的證書語法和數(shù)據(jù)接口。X.509的最初版本公布于1988年。X.509證書由用戶公共密鑰和用戶標識符組成。此外還包括版本號、證書序列號、CA標識符、簽名算法標識、簽發(fā)者名稱、證書有效期等信息。X.509標準的最新版本是X.509

v3，它定義了包含擴展信息的數(shù)字證書。該版數(shù)字證書提供了一個擴展信息字段，用來提供更多的靈活性及特殊應用環(huán)境下所需的信息傳送。第83頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理數(shù)字證書中的常見內容發(fā)信人的公開密鑰；發(fā)信人的姓名；證書頒發(fā)者的名稱；證書的序列號；證書頒發(fā)者的數(shù)字簽名；證書的有效期限。第84頁,共194頁，2024年2月25日，星期天數(shù)據(jù)加密技術原理申請數(shù)字證書，并利用它發(fā)送電子郵件用戶向CA機構申請一份數(shù)字證書，申請過程會生成他的公開/私有密鑰對。公開密鑰被發(fā)送給CA機構，CA機構生成證書，并用自己的私有密鑰簽發(fā)之，然后向用戶發(fā)送一份拷貝。用戶的同事從CA機構查到用戶的數(shù)字證書，用證書中的公開密鑰對簽名進行驗證。用戶把文件加上簽名，然后把原始文件同簽名一起發(fā)送給自己的同事。證書申請簽發(fā)的數(shù)字證書文件和數(shù)字簽名數(shù)字證書的驗證用戶同事CA第85頁,共194頁，2024年2月25日，星期天數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式SH：會話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡層包頭；LH：鏈路層包頭；E：鏈路層包尾；應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEE：明文信息：密文信息第86頁,共194頁，2024年2月25日，星期天數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式用于保護通信節(jié)點間傳輸?shù)臄?shù)據(jù)，通常用硬件在物理層或數(shù)據(jù)鏈路層實現(xiàn)。優(yōu)點由于每條通信鏈路上的加密是獨立進行的，因此當某條鏈路受到破壞不會導致其它鏈路上傳輸?shù)男畔⒌陌踩?。報文中的協(xié)議控制信息和地址都被加密，能夠有效防止各種流量分析。不會減少網(wǎng)絡有效帶寬。只有相鄰節(jié)點使用同一密鑰，因此，密鑰容易管理。加密對于用戶是透明的，用戶不需要了解加密、解密過程。第87頁,共194頁，2024年2月25日，星期天數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式缺點在傳輸?shù)闹虚g節(jié)點，報文是以明文的方式出現(xiàn)，容易受到非法訪問的威脅。每條鏈路都需要加密/解密設備和密鑰，加密成本較高。第88頁,共194頁，2024年2月25日，星期天數(shù)據(jù)傳輸?shù)募用?/p>

端對端加密方式應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEESH：會話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡層包頭；LH：鏈路層包頭；E：鏈路層包尾；：明文信息：密文信息第89頁,共194頁，2024年2月25日，星期天數(shù)據(jù)傳輸?shù)募用?/p>

端對端加密方式

在源節(jié)點和目標節(jié)點對傳輸?shù)膱笪倪M行加密和解密，一般在應用層或表示層完成。優(yōu)點在高層實現(xiàn)加密，具有一定的靈活性。用戶可以根據(jù)需要選擇不同的加密算法。缺點報文的控制信息和地址不加密，容易受到流量分析的攻擊。需要在全網(wǎng)范圍內對密鑰進行管理和分配。第90頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

SSL協(xié)議:安全套接層協(xié)議（SecureSocketLayer）。SSL是建立安全通道的協(xié)議，位于傳輸層和應用層之間，理論上可以為任何數(shù)量的應用層網(wǎng)絡通信協(xié)議提供通信安全。SSL協(xié)議提供的功能有安全（加密）通信、服務器（或客戶）身份鑒別、信息完整性檢查等。SSL協(xié)議最初由Netscape公司開發(fā)成功，是在Web客戶和Web服務器之間建立安全通道的事實標準。SSL協(xié)議大量使用于網(wǎng)站的安全連接。第91頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

數(shù)據(jù)鏈路層和物理層網(wǎng)絡層（IP）傳輸層（TCP）安全套接層（SSL）Telnt,mail,news,ftp,nntp,dns等S/MIMEHTTPS-HTTP

SSL協(xié)議:安全套接層協(xié)議所在層次第92頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

SSL協(xié)議:建立SSL協(xié)議的六個步驟建立SSL協(xié)議的前三個步驟1?？蛻魝魉汀癈lientHello”2。服務器傳送“ServerHello”3。服務器傳送公開密鑰服務器服務器服務器客戶端客戶端客戶端公開密鑰第93頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

SSL協(xié)議:建立SSL協(xié)議的六個步驟建立SSL協(xié)議的后三個步驟4?？蛻魝魉兔孛苊荑€給服務器5。服務器和客戶端均傳送“ChangeCipherSpec”和“Finished”給對方6?？蛻舳伺c服務器開始使用秘密密鑰交換資料服務器服務器服務器客戶端客戶端客戶端第94頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

TLS協(xié)議:傳輸層安全協(xié)議（TransportLayerSecurity）。

TLS協(xié)議由IETF（InternetEngineeringTaskForce）組織開發(fā)。TLS協(xié)議是對SSL3.0協(xié)議的進一步發(fā)展。同SSL協(xié)議相比，TLS協(xié)議是一個開放的、以有關標準為基礎的解決方案，使用了非專利的加密算法。第95頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

IP-Sec協(xié)議(VPN加密標準):InternetInternal

NetworkEncryptedIP

與SSL協(xié)議不同，IP-Sec協(xié)議試圖通過對IP數(shù)據(jù)包進行加密，從根本上解決因特網(wǎng)的安全問題。IP-Sec是目前遠程訪問VPN網(wǎng)的基礎，可以在Internet上創(chuàng)建出安全通道來。

第96頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

IP-Sec協(xié)議:IPHDRMayBeEncryptedIPHDRDataIPsecHDRDataIPHDRDataIPsecHDRIPHDRNewIPHDRMayBeEncryptedData信道模式透明模式IP-Sec協(xié)議有兩種模式：透明模式：把IP-Sec協(xié)議施加到IP數(shù)據(jù)包上，但保留數(shù)據(jù)包原來的數(shù)據(jù)頭；信道模式：把數(shù)據(jù)包的一切內容都加密（包括數(shù)據(jù)頭），然后再加上一個新的數(shù)據(jù)頭。第97頁,共194頁，2024年2月25日，星期天常用加密協(xié)議

其它加密協(xié)議與標準:SSH：SecureShell，在UNIX操作系統(tǒng)中用于遠程控制Web服務器和其他服務器。DNSSEC：DomainNameServerSecurity，主要用于分布式域名服務。GSSAPI：GenericSecurityServicesAPI，為各種密碼學提供身份鑒別、密鑰交換、數(shù)據(jù)加密的平臺。PGP協(xié)議：PrettyGoodProtocol，適合于加密文件和加密電子郵件。第98頁,共194頁，2024年2月25日，星期天身份鑒別技術IsthatAlice?Hi,thisisAlice.Pleasesendmedata.Internet身份鑒別技術的提出

在開放的網(wǎng)絡環(huán)境中，服務提供者需要通過身份鑒別技術判斷提出服務申請的網(wǎng)絡實體是否擁有其所聲稱的身份。第99頁,共194頁，2024年2月25日，星期天身份鑒別技術常用的身份鑒別技術基于用戶名和密碼的身份鑒別基于對稱密鑰密碼體制的身份鑒別技術基于KDC（密鑰分配中心）的身份鑒別技術基于非對稱密鑰密碼體制的身份鑒別技術基于證書的身份鑒別技術第100頁,共194頁，2024年2月25日，星期天身份鑒別技術Yes.Ihaveausernamed“Alice”whosepasswordis“byebye”.Icansendhimdata.Hi,thisisAlice.MyUserIdis“Alice”,mypasswordis“byebye”.Pleasesendmedata.Internet基于用戶名和密碼的身份鑒別

第101頁,共194頁，2024年2月25日，星期天身份鑒別技術ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于對稱密鑰體制的身份鑒別A在這種技術中，鑒別雙方共享一個對稱密鑰KAB，該對稱密鑰在鑒別之前已經協(xié)商好（不通過網(wǎng)絡）。RBKAB(RB)RAKAB(RA)AliceBob①②③④⑤第102頁,共194頁，2024年2月25日，星期天身份鑒別技術ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于KDC的身份鑒別技術A,KA(B,KS)基于KDC（KeyDistributionCenter，密鑰分配中心）的身份鑒別技術克服了基于對稱密鑰的身份鑒別技術中的密鑰管理的困難。在這種技術中，參與鑒別的實體只與KDC共享一個對稱密鑰，鑒別通過KDC來完成。KB(A,KS)AliceBob①②KDC第103頁,共194頁，2024年2月25日，星期天身份鑒別技術基于非對稱密鑰體制的身份鑒別在這種技術中，雙方均用對方的公開密鑰進行加密和傳輸。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob①②③第104頁,共194頁，2024年2月25日，星期天身份鑒別技術基于證書的身份鑒別技術為解決非對稱密鑰身份鑒別技術中存在的“公開密鑰真實性”的問題，可采用證書對實體的公開密鑰的真實性進行保證。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetPKB(A,KS),CAPKA(B,KS)AliceBob①②第105頁,共194頁，2024年2月25日，星期天資源使用授權資源使用授權的概念當用戶登陸到系統(tǒng)時，其任何動作都要受到約束在使用者和各類系統(tǒng)資源間建立詳細的授權映射，確保用戶只能使用其授權范圍內的資源。通過訪問控制列表(ACL:AccessControlList)來實現(xiàn)資源使用授權。系統(tǒng)中的每一個對象與一個ACL關聯(lián)。ACL中包含一個或多個訪問控制入口(AccessControlEntry,ACE)。第106頁,共194頁，2024年2月25日，星期天資源使用授權資源使用授權實例分析InternetIntranetDNS/MailDMZTelnetJoeInsideHostAFirewallInternetSecureMonitorJoeUserProfileid=JoeFail=0Service=ShellCmd=Telnet{PermitHostA}Cmd=FTP{PermitHostB}第107頁,共194頁，2024年2月25日，星期天包過濾技術包過濾技術的基本概念包過濾技術指在網(wǎng)絡中適當?shù)奈恢茫ㄗ饔迷诰W(wǎng)絡層和傳輸層）對數(shù)據(jù)包有選擇的通過；選擇的依據(jù)是系統(tǒng)內設置的過濾規(guī)則（分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過）；只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉發(fā)到相應的網(wǎng)絡接口；其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。包過濾一般由屏蔽路由器來完成。包過濾技術是防火墻最常用的技術。第108頁,共194頁，2024年2月25日，星期天數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內部網(wǎng)屏蔽路由器數(shù)據(jù)包包過濾技術包過濾技術的基本原理數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略第109頁,共194頁，2024年2月25日，星期天包過濾技術包過濾技術的特點較高的網(wǎng)絡性能。成本較低。不足：優(yōu)點：包過濾技術是安防強度最弱的防火墻技術。雖然有一些維護工具，但維護起來十分困難。IP包的源地址、目的地址、TCP端口號是唯一可以用于判斷是否允許包通過的信息。不能阻止IP地址欺騙，不能防止DNS欺騙。第110頁,共194頁，2024年2月25日，星期天內容安全（防病毒）技術病毒檢測方法比較法搜索法特征字的識別法分析法病毒清除方法文件型病毒的清除引導型病毒的清除內存殺毒未知病毒的檢測壓縮文件病毒的檢測和清除第111頁,共194頁，2024年2月25日，星期天計算機病毒的檢測病毒檢測方法：搜索法分析法特征字識別法比較法病毒檢測方法第112頁,共194頁，2024年2月25日，星期天計算機病毒的檢測比較法比較法是通過用原始備份與被檢測的引導扇區(qū)或文件進行比較，來判斷系統(tǒng)是否感染病毒的方法。文件長度的變化和文件中程序代碼的變化都可以用來作為比較法判斷有無病毒的依據(jù)。比較法的優(yōu)點：簡單、方便，不需專用軟件，并且還能發(fā)現(xiàn)尚不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計算機病毒。比較法的缺點：無法確認病毒的種類。當發(fā)現(xiàn)差異時，無法判斷產生差異的原因是由于病毒的感染，還是由于突然停電、程序失控、惡意程序破壞等原因造成的。第113頁,共194頁，2024年2月25日，星期天計算機病毒的檢測搜索法搜索法的主要缺點：當被掃描的文件很長時，掃描所花的時間也多。當新的病毒特征串未加入病毒代碼庫時，老版本的掃描程序無法識別新病毒。當病毒產生新的變種時，病毒特征串被改變，因此可以躲過掃描程序。容易產生誤報警。搜索法是用每一種病毒體含有的特征字節(jié)串對被檢測的對象進行掃描，如果發(fā)現(xiàn)特征字節(jié)串，就表明發(fā)現(xiàn)了該特征串所代表的病毒。被廣泛應用。第114頁,共194頁，2024年2月25日，星期天計算機病毒的檢測特征字的識別法同搜索法不同，特征字識別法只需從病毒體內抽取很少幾個關鍵的特征字，組成特征字庫，可進行病毒的查殺。由于需要處理的字節(jié)很少，又不必進行串匹配，特征字識別法的識別速度大大高于搜索法。特征字識別法比搜索法更加注意“程序活性”，減少了錯報的可能性。第115頁,共194頁，2024年2月25日，星期天計算機病毒的檢測分析法分析法是反病毒專家使用的方法，不適合普通用戶。反病毒專家采用分析法對染毒文件和病毒代碼進行分析，得出分析結果后形成反病毒產品。分析法可分為動態(tài)和靜態(tài)兩種。一般必須采用動靜結合的方法才能完成整個分析過程。第116頁,共194頁，2024年2月25日，星期天計算機病毒的清除病毒清除方法：文件型病毒的清除引導型病毒的清除壓縮文件病毒的檢測與清除內存殺毒病毒清除方法第117頁,共194頁，2024年2月25日，星期天計算機病毒的清除文件型病毒的清除清除文件型病毒，可以有如下一些方案：如果染毒文件有未染毒的備份的話，用備份文件覆蓋染毒文件即可。如果可執(zhí)行文件有免疫疫苗的話，遇到病毒后，程序可以自動復原。如果文件沒有任何防護的話，可以通過殺毒程序進行殺毒和文件的恢復。但殺毒程序不能保證文件的完全復原。第118頁,共194頁，2024年2月25日，星期天計算機病毒的清除引導型病毒的清除清除引導型病毒，可以有以下一些方案：對于硬盤，可以在其未感染病毒時進行硬盤啟動區(qū)和分區(qū)表的備份。當感染引導型病毒后，可以將備份的數(shù)據(jù)寫回啟動區(qū)和分區(qū)表即可清除引導型病毒?？梢杂脷⒍拒浖砬宄龑筒《尽５?19頁,共194頁，2024年2月25日，星期天計算機病毒的清除內存殺毒由于內存中的活病毒體會干擾反病毒軟件的檢測結果，所以幾乎所有的反病毒軟件設計者都要考慮到內存殺毒。內存殺毒技術首先找到病毒在內存中的位置，重構其中部分代碼，使其傳播功能失效。第120頁,共194頁，2024年2月25日，星期天計算機病毒的清除壓縮文件病毒的檢測和清除壓縮程序在壓縮文件的同時也改變了依附在文件上的病毒代碼，使得一般的反病毒軟件無法檢查到病毒的存在。已被壓縮的文件被解壓縮并執(zhí)行時，病毒代碼也被恢復并激活，將到處傳播和破壞。目前的主流防病毒軟件都已經在其產品中包含了特定的解壓縮模塊，可以既檢查被壓縮后的病毒，又不破壞被壓縮后沒有病毒的文件。第121頁,共194頁，2024年2月25日，星期天主要網(wǎng)絡安全產品第四章第122頁,共194頁，2024年2月25日，星期天主要網(wǎng)絡安全產品本章概要

本章針對目前主流的幾類網(wǎng)絡安全產品進行介紹，涉及的網(wǎng)絡安全產品有以下幾種：防火墻產品入侵監(jiān)測產品VPN網(wǎng)關防病毒產品漏洞評估第123頁,共194頁，2024年2月25日，星期天防火墻的基本概念防火墻是一種高級訪問控制設備，是置于不同網(wǎng)絡安全域之間的一系列部件的組合，是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡的訪問行為。不可信的網(wǎng)絡及服務器可信任的網(wǎng)絡防火墻路由器InternetIntranet供外部訪問的服務及資源可信任的用戶不可信的用戶

DMZ第124頁,共194頁，2024年2月25日，星期天防火墻的主要技術應用層代理技術(ApplicationProxy)包過濾技術(PacketFiltering)狀態(tài)包過濾技術(StatefulPacketFiltering)應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層防火墻的主要技術種類第125頁,共194頁，2024年2月25日，星期天數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術包過濾技術的基本原理數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略第126頁,共194頁，2024年2月25日，星期天數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術狀態(tài)檢測包過濾技術的基本原理數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾判斷信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)狀態(tài)檢測控制策略第127頁,共194頁，2024年2月25日，星期天數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術應用層代理技術的基本原理數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應用代理判斷信息控制策略第128頁,共194頁，2024年2月25日，星期天防火墻的用途防火墻的用途控制對網(wǎng)點的訪問和封鎖網(wǎng)點信息的泄露能限制被保護子網(wǎng)的泄露具有審計作用能強制安全策略第129頁,共194頁，2024年2月25日，星期天防火墻不能防備病毒防火墻對不通過它的連接無能為力防火墻不能防備內部人員的攻擊限制有用的網(wǎng)絡服務防火墻不能防備新的網(wǎng)絡安全問題防火墻的弱點防火墻的弱點第130頁,共194頁，2024年2月25日，星期天防火墻的構筑原則構筑防火墻要從以下幾方面考慮：體系結構的設計安全策略的制定安全策略的實施第131頁,共194頁，2024年2月25日，星期天防火墻的產品(國外)第132頁,共194頁，2024年2月25日，星期天防火墻的產品(國內)第133頁,共194頁，2024年2月25日，星期天入侵監(jiān)測系統(tǒng)入侵監(jiān)測系統(tǒng)的概念入侵監(jiān)測的主要技術入侵監(jiān)測系統(tǒng)的主要類型入侵監(jiān)測系統(tǒng)的優(yōu)點和不足含入侵監(jiān)測系統(tǒng)的網(wǎng)絡體系結構入侵監(jiān)測系統(tǒng)的發(fā)展本節(jié)將分以下幾部分介紹入侵監(jiān)測系統(tǒng)：第134頁,共194頁，2024年2月25日，星期天入侵監(jiān)測系統(tǒng)的概念防火墻不能徹底消除網(wǎng)絡入侵的威脅；入侵監(jiān)測系統(tǒng)(IDS：Intrusiondetectionsystem)用于監(jiān)控網(wǎng)絡和計算機系統(tǒng)被入侵或濫用的征兆；IDS系統(tǒng)以后臺進程的形式運行，發(fā)現(xiàn)可疑情況，立即通知有關人員；IDS是監(jiān)控和識別攻擊的標準解決方案，是安防體系的重要組成部分；假如說防火墻是一幢大樓的門鎖，那入侵監(jiān)測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)?；靖拍畹?35頁,共194頁，2024年2月25日，星期天入侵監(jiān)測系統(tǒng)的概念能夠發(fā)現(xiàn)異于正常行為的操作不需要人工干預即可不間斷運行對網(wǎng)絡入侵行為進行實時報警和主動響應不需要占用大量的系統(tǒng)資源能方便地進行升級入侵監(jiān)測系統(tǒng)應有的功能第136頁,共194頁，2024年2月25日，星期天入侵監(jiān)測的主要技術主要技術簽名分析法SignatureAnalysis統(tǒng)計分析法StatisticsAnalysis數(shù)據(jù)完整性分析法DataIntegrationAnalysis第137頁,共194頁，2024年2月25日，星期天入侵監(jiān)測系統(tǒng)的主要類型應用軟件入侵監(jiān)測系統(tǒng)ApplicationIntrusionDetection主機入侵監(jiān)測系統(tǒng)HostIntrusionDetection網(wǎng)絡入侵監(jiān)測系統(tǒng)NetworkIntrusionDetection集成入侵監(jiān)測系統(tǒng)IntegratedIntrusionDetectionIDS的主要類型第138頁,共194頁，2024年2月25日，星期天含入侵監(jiān)測系統(tǒng)的網(wǎng)絡體系結構含IDS的網(wǎng)絡體系結構InternetIDS1IDS2IDS3IDS4子網(wǎng)A子網(wǎng)B交換機帶主機IDS感應器的服務器服務器第139頁,共194頁，2024年2月25日，星期天入侵監(jiān)測系統(tǒng)的優(yōu)點和不足能完善現(xiàn)有的安防體系；能幫助用戶更好地掌握系統(tǒng)情況；能追蹤攻擊線路，以便抓住攻擊者。入侵監(jiān)測系統(tǒng)的優(yōu)點入侵監(jiān)測系統(tǒng)能夠增強網(wǎng)絡的安全性，它第140頁,共194頁，2024年2月25日，星期天入侵監(jiān)測系統(tǒng)的優(yōu)點和不足傳統(tǒng)的入侵監(jiān)測系統(tǒng)不能在沒有用戶參與的情況下對攻擊行為展開調查。傳統(tǒng)的入侵監(jiān)測系統(tǒng)不能在沒有用戶參與的情況下阻止攻擊行為的發(fā)生。不能克服網(wǎng)絡協(xié)議方面的缺陷不能克服設計原理方面的缺陷。響應不夠及時，簽名數(shù)據(jù)庫難以及時更新。入侵監(jiān)測系統(tǒng)的不足入侵監(jiān)測系統(tǒng)不是萬能的，也存在許多不足：第141頁,共194頁，2024年2月25日，星期天入侵監(jiān)測系統(tǒng)的發(fā)展能對入侵做出主動的反映；不再完全依賴于簽名數(shù)據(jù)庫，易于管理；追求的目標是在攻擊對系統(tǒng)造成真正的危害之前將它們化解掉；隨時都可以對攻擊展開的跟蹤調查；極大的改善了IDS系統(tǒng)的易用性，減輕了主機安防在系統(tǒng)管理方面的壓力?？谷肭旨夹g——入侵監(jiān)測的發(fā)展方向入侵監(jiān)測系統(tǒng)的發(fā)展方向是抗入侵技術（IntrusionResistant）。該技術能在系統(tǒng)遇到攻擊時設法把它化解掉，讓網(wǎng)絡和系統(tǒng)還能正常運轉?？谷肭旨夹g具有如下優(yōu)勢：第142頁,共194頁，2024年2月25日，星期天入侵監(jiān)測產品常見的入侵監(jiān)測產品CiscoSystem:NetRangerNetworkAssociate:CyberCopInternetSecuritySystem:RealSecureIntrusionDetection:KaneSecurityMonitorAxentTechnologies:OmniGuard/IntruderAlert中科網(wǎng)威：天眼啟明星辰：SkyBell（天闐）第143頁,共194頁，2024年2月25日，星期天VPN網(wǎng)關VPN的基本概念VPN的功能VPN的分類及用途VPN常用協(xié)議基于IPSec協(xié)議的VPN體系結構本節(jié)將分以下幾部分介紹VPN網(wǎng)關：第144頁,共194頁，2024年2月25日，星期天VPN的基本概念虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）技術是指在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳播。InternetVPN通道隧道交換機移動用戶VPN的基本概念第145頁,共194頁，2024年2月25日，星期天VPN必須具備如下功能：VPN的功能保證數(shù)據(jù)的真實性，通信主機必須是經過授權的，要有抵抗地址冒認（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。提供動態(tài)密鑰交換功能，提供密鑰中心管理服務器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。提供安全防護措施和訪問控制，要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡的能力，并且可以對VPN通道進行訪問控制（AccessControl）第146頁,共194頁，2024年2月25日，星期天內部網(wǎng)VPN——用VPN連接公司總部和其分支機構.

遠程訪問VPN——用VPN連接公司總部和遠程用戶.

外聯(lián)網(wǎng)VPN——用VPN連接公司和其業(yè)務伙伴.VPN的分類及用途子公司LAN合作伙伴LAN遠程用戶Internet第147頁,共194頁，2024年2月25日，星期天InternetVPN服務器VPN服務器路由器路由器加密信道加密認證VPN總部LAN子公司LAN一個安全的VPN服務，應該為子公司的不同用戶指定不同的訪問權限。VPN的分類及用途內部網(wǎng)VPN

第148頁,共194頁，2024年2月25日，星期天InternetVPN服務器加密信道總部LANVPN的功能：1、訪問控制管理。2、用戶身份認證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計記錄。5、密鑰和數(shù)字簽名管理。PC機移動用戶公共服務器VPN的分類及用途遠程訪問VPN

第149頁,共194頁，2024年2月25日，星期天InternetVPN服務器VPN服務器加密信道加密認證VPN公司內聯(lián)網(wǎng)合作公司內聯(lián)網(wǎng)1、VPN服務應有詳細的訪問控制。2、與防火墻/協(xié)議兼容。FTP服務器VPN的分類及用途外聯(lián)網(wǎng)VPN

第150頁,共194頁，2024年2月25日，星期天VPN常用協(xié)議OSI七層模型安全技術安全協(xié)議應用層表示層應用代理會話層傳輸層會話層代理SOCKV5網(wǎng)絡層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2TP

VPN常用的協(xié)議有SOCKv5、IPSec、PPTP以及L2TP等。這些協(xié)議對應的OSI層次結構如下：VPN常用協(xié)議第151頁,共194頁，2024年2月25日，星期天不安全網(wǎng)網(wǎng)關或主機網(wǎng)關或主機IP數(shù)據(jù)包傳輸層數(shù)據(jù)應用程序IP數(shù)據(jù)包傳輸層數(shù)據(jù)應用程序SA加密算法加密密鑰認證算法認證密鑰SA加密算法加密密鑰認證算法認證密鑰安全聯(lián)系基于IPSec協(xié)議的VPN體系結構第152頁,共194頁，2024年2月25日，星期天VPN產品第153頁,共194頁，2024年2月25日，星期天防病毒產品企業(yè)防病毒策略——建立多層次病毒防護體系防病毒產品的選擇原則防病毒廠商及主要產品本節(jié)將分以下幾部分介紹防病毒產品相關內容：第154頁,共194頁，2024年2月25日，星期天企業(yè)防病毒策略——多層次病毒防護體系企業(yè)防病毒策略的制訂企業(yè)應建立多層次的、立體的病毒防護體系，并應配備完善的管理系統(tǒng)來設置和維護病毒防護策略，從而達到防范各種病毒危害的目的。在企業(yè)每臺臺式機上安裝客戶端防病毒軟件在服務器上安裝基于服務器的防病毒軟件在網(wǎng)關上安裝基于Internet網(wǎng)關的防病毒產品這一防護體系能極大程度地保證企業(yè)網(wǎng)絡不受病毒的危害與其亡羊補牢不如未雨綢繆第155頁,共194頁，2024年2月25日，星期天多層次病毒防護體系的實施：對個人工作站進行病毒防護對文件服務器進行病毒防護對郵件服務器進行病毒防護企業(yè)Internet聯(lián)接的病毒防護企業(yè)廣域網(wǎng)的病毒防護企業(yè)防病毒策略——多層次病毒防護體系第156頁,共194頁，2024年2月25日，星期天選擇的防病毒產品應與現(xiàn)有網(wǎng)絡具有拓撲契合性企業(yè)應選用網(wǎng)絡版的防病毒軟件應選用單一品牌防毒軟件產品慎選防病毒軟件的供應商防病毒產品的選擇原則選型原則第157頁,共194頁，2024年2月25日，星期天防病毒產品的選擇原則病毒查殺能力對新病毒的反應能力病毒實時監(jiān)測能力。快速、方便的升級智能安裝、遠程識別管理方便，易于操作對現(xiàn)有資源的占用情況系統(tǒng)兼容性軟件的價格軟件商的企業(yè)實力防病毒產品選擇應考慮的具體因素第158頁,共194頁，2024年2月25日，星期天常見的防病毒產品第159頁,共194頁，2024年2月25日，星期天漏洞評估的概念基本概念通過對系統(tǒng)進行動態(tài)的試探和掃描，找出系統(tǒng)中各類潛在的弱點，給出相應的報告，建議采取相應的補救措施或自動填補某些漏洞。主要優(yōu)點通過漏洞評估，網(wǎng)絡管理人員能