網絡安全課件

12五月2024網絡安全9.1網絡安全概述9.1.2網絡安全的重要性計算機系統(tǒng)經常遭到進攻。更令人不安的是大多數(shù)進攻未被察覺。這些進攻給國家安全帶來的影響程度還未確定，但已發(fā)現(xiàn)的進攻多數(shù)是針對計算機系統(tǒng)所存放的敏感信息，其中三分之二的進攻是成功的，入侵者（黑客）盜竊、修改或破壞了系統(tǒng)上的數(shù)據。被推薦的安全措施有：·對非法訪問的登錄進行橫幅警告?！ゆI盤級監(jiān)控?！げ蹲??！ず艚姓逫D?！る娫捊厝　！?shù)據加密。·防火墻。防火墻是防止Intranet被入侵的最好方法。

9.1網絡安全概述9.1.3信息系統(tǒng)安全的脆弱性信息系統(tǒng)在安全方面存在的問題。1．操作系統(tǒng)安全的脆弱性2．計算機網絡安全的脆弱性3．數(shù)據庫管理系統(tǒng)安全的脆弱性4．缺少安全管理9.1網絡安全概述9.1.4安全控制的種類可用于保護一個計算機網絡的安全控制有兩種，即內部和外部控制。1．內部控制簡單的說內部控制是對計算機系統(tǒng)本身的控制。密碼、防火墻和數(shù)據加密都屬于內部控制。內部控制只有與某一級的外部控制相結合時才生效。2．外部控制外部控制指系統(tǒng)本身無法控制的部分。外部控制總體上有三類：·物理控制·人事控制·程序控制9.1網絡安全概述9.1.5網絡安全的方法基本上說，處理網絡的安全問題有兩種方法。用戶或允許某人訪問某些資源，或者拒絕某人訪問這些資源。對于某種裝置來說，訪問或者拒絕訪問的標準是唯一的。1．允許訪問指定的用戶具有特權才能夠進行訪問。這些標準在某種程度上應該與資源共有的性質相匹配。2．拒絕訪問拒絕訪問是對某一網絡資源訪問的一個拒絕。3．異常處理網絡安全中經常同時使用上述兩種方法。9.2網絡安全策略9.2.1最小特權或許最根本的安全原則就是最小特權原則。最小特權原則意味著任何對象僅應具有該對象需要完成指定任務的特權，它能盡量避免你遭受侵襲，并減少侵襲造成的損失。9.2.2縱深防御不要只依靠單一安全機制，盡量建立多層機制。避免某個單一安全機制失敗后你的網絡會徹底地垮掉。9.2.3阻塞點阻塞點強迫侵襲者通過一個你可以監(jiān)控的窄小通道在因特網安全系統(tǒng)中，位于你的局域網和因特網之間的防火墻（假設它是你的主機和因特網之間的唯一連接）就是這樣一個阻塞點。9.2網絡安全策略9.2.4最薄弱環(huán)節(jié)安全保護的基本原則是鏈的強度取決于它的最薄弱環(huán)節(jié)，就像墻的堅固程度取決于它的最弱點。聰明的侵襲者總要找出那個弱點并集中精力對其進行攻擊。你應意識到防御措施中的弱點，以便采取行動消除它們，同時你也可以仔細監(jiān)測那些無法消除的缺陷。平等對待安全系統(tǒng)的所有情況，以使得此處與彼處的危險性不會有太大的差異。9.2.5失效保護狀態(tài)安全保護的另一個基本原則就是在某種程度上做到失效保護，即如果系統(tǒng)運行錯誤，那么它們會停止服務，拒絕用戶訪問，這可能會導致合法用戶無法訪問該系統(tǒng)，但這是可接受的折衷方法。9.2網絡安全策略9.2.6普遍參與為了使安全機制更有效，絕大部分安全保護系統(tǒng)要求網絡用戶的普遍參與。如果某個用戶可以輕易地從你的安全保護機制中退出，那么侵襲者很有可能會先侵襲內部人員系統(tǒng)，然后再從內部侵襲你的網絡。9.2.7防御多樣化正如你可以通過使用大量的系統(tǒng)提供縱深防御一樣，你也可以通過使用大量不同類型的系統(tǒng)得到額外的安全保護。如果你的系統(tǒng)都相同，那么只要知道怎樣侵入一個系統(tǒng)就會知道怎樣侵入所有系統(tǒng)。9.2網絡安全策略9.2.8簡單化簡單化也是一個安全保護戰(zhàn)略，這有兩個原因：第一，簡單的事情易于理解，如果你不了解某事，你就不能真正了解它是否安全；第二，復雜化會提供隱藏的角落和縫隙，一間工作室比一揀大廈更容易保證其安全性。復雜程序有更多的小毛病，任何小毛病都可能引發(fā)安全問題。9.3防火墻的作用與設計9.3.1防火墻的作用Internet的迅速發(fā)展為人們發(fā)布和檢索信息提供了方便，但它也使污染和破壞信息變得更容易。人們?yōu)榱吮Ｗo數(shù)據和資源的安全，創(chuàng)建了防火墻。防火墻從本質上來說是一種保護裝置，用來保護網絡數(shù)據、資源和用戶的聲譽。防火墻服務用于多個目的：·限定人們從一個特別的節(jié)點進入?！し乐谷肭终呓咏愕姆烙O施?！は薅ㄈ藗儚囊粋€特別的節(jié)點離開。·有效的阻止破壞者對你的計算機系統(tǒng)進行破壞。9.3防火墻的作用與設計從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，它通常是一組硬件設備（路由器、主機）和軟件的多種組合?！穹阑饓Φ膬?yōu)點：(1)防火墻能強化安全策略(2)防火墻能有效地記錄因特網上的活動(3)防火墻可以實現(xiàn)網段控制(4)防火墻是一個安全策略的檢查站●防火墻的缺點：(1)防火墻不能防范惡意的知情者(2)防火墻不能防范不通過它的連接9.3防火墻的作用與設計(3)防火墻不能防備全部的威脅(4)防火墻不能防范病毒防火墻要檢測隨機數(shù)據中的病毒十分困難，它要求：·確認數(shù)據包是程序的一部分·確定程序的功能·確定病毒引起的改變9.3.2防火墻的功能防火墻通常具有以下幾種功能：·數(shù)據包過濾·代理服務9.3防火墻的作用與設計1．數(shù)據包過濾數(shù)據包過濾系統(tǒng)在內部網絡與外部主機之間發(fā)送數(shù)據包，但它們發(fā)送的數(shù)據包是有選擇的。它們按照自己的安全策略允許或阻止某些類型的數(shù)據包通過，這種控制由路由器來完成，所以數(shù)據包過濾系統(tǒng)通常也稱之為屏蔽路由器。普通路由器只是簡單地查看每一個數(shù)據包的目標地址，然后選擇發(fā)往目標地址的最佳路徑。處理數(shù)據包目標地址的方法一般有兩種：·如果路由器知道如何將數(shù)據包發(fā)送到目標地址，則發(fā)送。·如果路由器不知道如何將數(shù)據包發(fā)送到目標地址，則返回數(shù)據包，經由ICMP向源地址發(fā)送不能到達的消息。9.3防火墻的作用與設計屏蔽路由器有以下特點：·屏蔽路由器比普通的路由器擔負更大的責任，它不但要執(zhí)行轉發(fā)任務，還要執(zhí)行確定轉發(fā)的任務?！と绻帘温酚善鞯陌踩Ｗo失敗，內部的網絡將被暴露。·簡單的屏蔽路由器不能修改任務。·屏蔽路由器能允許或拒絕服務，但它不能保護服務之內的單獨操作。如果一個服務沒有提供安全的操作，或者這個服務由不安全的服務器提供，那么屏蔽路由器就不能保證它的安全。9.3防火墻的作用與設計2．代理服務代理服務是運行在防火墻主機上的專門的應用程序（服務器程序）。防火墻主機可以是一個同時擁有內部網絡接口和外部網絡接口的雙重宿主主機，也可以是一些內部網絡中唯一可以與因特網通信的堡壘主機。代理服務程序接受用戶對因特網服務的請求，并按照安全策略轉發(fā)它們的請求。所謂代理就是一個提供替代連接并且充當服務的網關。由于這個原因，代理也稱之為應用級網關。代理服務位于內部用戶和外部服務之間，它在幕后處理所有用戶和因特網服務之間的通信，以代替它們之間的直接交談。9.3防火墻的作用與設計9.3.3防火墻的體系結構防火墻的體系結構一般有以下幾種·雙重宿主主機體系結構·屏蔽主機體系結構·屏蔽子網體系結構1．雙重宿主主機體系結構雙重宿主主機體系結構是具有雙重宿主功能的主機而構筑的。該計算機至少有兩個網絡接口，一個是內部網絡接口，一個是因特網接口。9.3防火墻的作用與設計2．屏蔽主機體系結構雙重宿主主機體系結構提供內部網絡和外部網絡之間的服務（但是路由關閉），屏蔽主機體系結構使用一個單獨的路由器來提供內部網絡主機之間的服務。在這種體系結構中，主要的安全機制由數(shù)據包過濾系統(tǒng)來提供。3．屏蔽子網體系結構屏蔽子網體系結構在屏蔽主機體系結構的基礎上添加額外的安全層，它通過添加周邊網絡把內部網絡更進一步地與因特網隔離開。周邊網絡堡壘主機內部路由器外部路由器9.3防火墻的作用與設計4．防火墻體系結構的不同形式①使用多堡壘主機②合并內部路由器與外部路由器③合并堡壘主機與外部路由器④合并堡壘主機與內部路由器⑤使用多臺內部路由器⑥使用多臺外部路由器⑦使用多個周邊網絡⑧使用雙重宿主主機與屏蔽子網9.3防火墻的作用與設計9.3.4內部防火墻①實驗室網絡②不安全的網絡③特別安全的網絡④合作共建防火墻⑤共享周邊網絡⑥堡壘主機可有可無9.3防火墻的作用與設計9.3.5發(fā)展趨勢被稱為“第三代防火墻”的系統(tǒng)正在成為現(xiàn)實，它綜合了數(shù)據包過濾與代理系統(tǒng)的特點與功能。目前，人們正在設計新的IP協(xié)議（也被稱為IPversion6）。IP協(xié)議的變化將對防火墻的建立與運行產生深刻的影響，大多數(shù)網絡上的信息流都有可能被泄漏，但新式的網絡技術如幀中繼、異步傳輸模式（ATM）可將數(shù)據包從源地址直接發(fā)送給目的地址，從而防止信息流在傳輸中途被泄露。9.4WWW的安全性本節(jié)討論有關WWW方面的安全性問題，包括以下幾方面的內容：*HTTP協(xié)議*SSL加密和安全HTTP*WWW服務器及配置問題*JAVAapplet和JavaScript*CGI程序*Perl語言*Plug-in*ActiveX*Cookie9.4WWW的安全性9.4.1Web與HTTP協(xié)議HTTP是應用級的協(xié)議，主要用于分布式、協(xié)作的超媒體信息系統(tǒng)。HTTP協(xié)議是通用的、無狀態(tài)的，其系統(tǒng)建設與傳輸?shù)臄?shù)據無關。HTTP也是面向對象的協(xié)議，可用于各種任務，包括（并不局限于）名字服務、分布式對象管理、請求方法的擴展和命令等等。1．Web的訪問控制2．HTTP安全考慮3．安全超文本傳輸協(xié)議4．安全套接層5．緩存的安全性9.4WWW的安全性9.4.2WWW服務器的安全漏洞1．NCSA服務器的安全漏洞2．ApacheWWW月務器的安全問題3．NetscaPe的WWW服務器的安全問題9.4.3CGI程序的安全性問題1．CGI程序的編寫應注意的問題2．CGI腳本的激活方式3．不要依賴于隱藏變量的值4．WWW客戶應注意的問題5．使用Perl的感染檢查9.4WWW的安全性6．CGI的權限問題7．Plug-in的安全性9.4.5SSL的加密的安全性SSL用公共密鑰加密，來在客戶與服務器之間交換一個進程密鑰，這個密鑰用來加密HTTP傳輸過程（包括請求和響應）。每次傳輸采用不同的密鑰，因而即使某些人能夠破譯某次傳輸，并不意味著他們發(fā)現(xiàn)了服務器的密碼，如果他們想要破譯下一次，他們就必須付出像第一次那樣的時間和努力。9.4WWW的安全性9.4.6Java與JavaScript1．Javaapplet的安全性問題2．JavaScript的安全性問題9.4.7ActiveX的安全性ActiveX是Mi