網(wǎng)絡(luò)安全的主要內(nèi)容

關(guān)于網(wǎng)絡(luò)安全的主要內(nèi)容12Internet攻擊類型

網(wǎng)絡(luò)威脅可以分成以下不同類型：黑客入侵、內(nèi)部攻擊、不良信息傳播、秘密信息泄漏、修改網(wǎng)絡(luò)配置而造成網(wǎng)絡(luò)癱瘓等。安全威脅主要來自下面幾個方面：

（1）對用戶身份的仿冒（2）對網(wǎng)絡(luò)上信息的竊?。?）對網(wǎng)絡(luò)上信息的篡改（4）對發(fā)出的信息予以否認(rèn)（5）對信息進(jìn)行重發(fā)第2頁,共33頁，2024年2月25日，星期天3ISO7498-2模型提供的五種安全服務(wù)：·認(rèn)證（Authentication）·訪問控制（AccessControl）·數(shù)據(jù)保密（DataConfidentiality）·數(shù)據(jù)完整性（DataIntegrity）·抗否認(rèn)（Non-repudiation）第3頁,共33頁，2024年2月25日，星期天4目前所建立的主要的安全機(jī)制包括：

1．身份鑒別機(jī)制

2．訪問控制機(jī)制

3．?dāng)?shù)據(jù)加密機(jī)制

4．?dāng)?shù)據(jù)完整性機(jī)制

5．?dāng)?shù)字簽名機(jī)制

6．防重發(fā)機(jī)制

7．審計(jì)機(jī)制第4頁,共33頁，2024年2月25日，星期天511.2Interne安全技術(shù)--防火墻防火墻位于內(nèi)部網(wǎng)絡(luò)和Internet之間第5頁,共33頁，2024年2月25日，星期天6在網(wǎng)絡(luò)中，“防火墻”是指在兩個網(wǎng)絡(luò)之間實(shí)現(xiàn)控制策略的系統(tǒng)（軟件、硬件，或者是兩者并用），用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不易受到來自Internet的侵害。是一種安全策略的體現(xiàn)。第6頁,共33頁，2024年2月25日，星期天7

防火墻技術(shù)的主要內(nèi)容防火墻技術(shù)大體上分為網(wǎng)絡(luò)層或應(yīng)用層兩類。防火墻產(chǎn)品大體上可以分成兩類：

一類是基于包過濾（Packetfilter）的包過濾型防火墻。另一類是基于代理服務(wù)（Proxyservice）的代理服務(wù)型防火墻。第7頁,共33頁，2024年2月25日，星期天8包過濾技術(shù)（PacketFilter）包過濾（PacketFiltering）：

基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力。包過濾器主要基于以下選項(xiàng)進(jìn)行包過濾：

源端口號

目的端口號

TCP標(biāo)志第8頁,共33頁，2024年2月25日，星期天9過濾路由器為內(nèi)部網(wǎng)絡(luò)提供安全邊界

第9頁,共33頁，2024年2月25日，星期天10包過濾模型包過濾服務(wù)器模型第10頁,共33頁，2024年2月25日，星期天11包過濾設(shè)備的方式工作：包過濾標(biāo)準(zhǔn)必須為包過濾設(shè)備端口存儲起來，這些包過濾標(biāo)準(zhǔn)叫包過濾規(guī)則。當(dāng)包到達(dá)端口時，對包報(bào)頭進(jìn)行語法分析。包過濾器規(guī)則以特殊的方式存儲如果一條規(guī)則阻止包傳輸或接受，此包便不被允許。如果一條規(guī)則允許包傳輸或接受，此包可以被繼續(xù)處理。如果包不滿足任何一條規(guī)則，該包被阻塞。第11頁,共33頁，2024年2月25日，星期天12包過濾技術(shù)的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：對小型的、不太復(fù)雜的站點(diǎn)包過濾較容易實(shí)現(xiàn)。缺點(diǎn)：他們很少有或沒有日志記錄能力，所以網(wǎng)絡(luò)管理員很難確認(rèn)系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。這種防火墻的最大缺陷是依賴一個單一的部件來保護(hù)系統(tǒng)。第12頁,共33頁，2024年2月25日，星期天13代理服務(wù)器（ProxyServer）代理服務(wù)器的位置第13頁,共33頁，2024年2月25日，星期天14應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層代理服務(wù)器包過濾器防火墻代理服務(wù)器、包過濾器與OSI模型的關(guān)系第14頁,共33頁，2024年2月25日，星期天15設(shè)置代理服務(wù)器時要注意到：

打開所有輸出TCP連接。

允許SMTP和DNS進(jìn)入郵件主機(jī)。

允許FTP進(jìn)入高于1024的端口。雙宿主主機(jī)

在TCP/IP中，多宿主主機(jī)（Multi-HomedHost）這個詞用來描述具有多個網(wǎng)卡的主機(jī)第15頁,共33頁，2024年2月25日，星期天16第16頁,共33頁，2024年2月25日，星期天17雙宿主主機(jī)示意圖第17頁,共33頁，2024年2月25日，星期天18雙宿主主機(jī)可以用于把一個內(nèi)部網(wǎng)絡(luò)從一個不可信的外部網(wǎng)絡(luò)中分離出來。因?yàn)殡p宿主主機(jī)不能轉(zhuǎn)發(fā)任何TCP/IP流量，所以它可以徹底堵塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何IP流量。雙宿主主機(jī)是防火墻使用的最基本配置，雙宿主防火墻主機(jī)的重要性是路由被禁止;網(wǎng)絡(luò)段之間唯一的路徑是通過應(yīng)用層的功能。第18頁,共33頁，2024年2月25日，星期天19帶有應(yīng)用程序進(jìn)程的雙宿主主機(jī)第19頁,共33頁，2024年2月25日，星期天20堡壘主機(jī)（BastionHost）是對網(wǎng)絡(luò)安全至關(guān)重要的防火墻主機(jī)。堡壘主機(jī)是一個組織的網(wǎng)絡(luò)安全的中心主機(jī)。堡壘主機(jī)通常和包過濾器放在一起使用，構(gòu)成二級安全體系.第20頁,共33頁，2024年2月25日，星期天21雙網(wǎng)絡(luò)接口和過濾路由器作為第一線防衛(wèi)的堡壘主機(jī)第21頁,共33頁，2024年2月25日，星期天22應(yīng)用層網(wǎng)關(guān)

可以管理存儲轉(zhuǎn)發(fā)的流量以及某些交互流量記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一應(yīng)用層網(wǎng)關(guān)的缺點(diǎn)是，用戶的程序經(jīng)常為每個應(yīng)用程序而編寫。第22頁,共33頁，2024年2月25日，星期天23應(yīng)用層網(wǎng)關(guān)第23頁,共33頁，2024年2月25日，星期天24作為客戶機(jī)和服務(wù)器的代理第24頁,共33頁，2024年2月25日，星期天25防火墻的體系結(jié)構(gòu)單宿主堡壘主機(jī)防火墻幾種常見的防火墻體系結(jié)構(gòu):第25頁,共33頁，2024年2月25日，星期天26包過濾路由器、單宿主堡壘主機(jī)的防火墻第26頁,共33頁，2024年2月25日，星期天27單路由器、雙宿主堡壘主機(jī)防火墻（有DMZ）第27頁,共33頁，2024年2月25日，星期天28單路由器、雙堡壘主機(jī)防火墻（兩個DMZ）第28頁,共33頁，2024年2月25日，星期天2911.3加強(qiáng)Internet安全性意識及防護(hù)網(wǎng)絡(luò)攻擊經(jīng)常能夠得逞的主要原因有以下原因：

一方面是由于現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)具有內(nèi)在的安全脆弱性；另一個方面卻是由于管理者思想麻痹,沒有采取正確的安全策略和安全機(jī)制第29頁,共33頁，2024年2月25日，星期天30網(wǎng)絡(luò)安全防護(hù)的一般措施信息質(zhì)量主要指：（1）可靠性（2）完整性（3）可用性（4）可維護(hù)性第30頁,共33頁，2024年2月25日，星期天31網(wǎng)絡(luò)安全策略1.加強(qiáng)網(wǎng)絡(luò)設(shè)計(jì)2.管理網(wǎng)絡(luò)旁路3.嚴(yán)格控制服務(wù)4