《Internet网络技术与应用教程第9章 网络安全》由会员分享,可在线阅读,更多相关《Internet网络技术与应用教程第9章 网络安全(40页珍藏版)》请在金锄头文库上搜索。
1、第9章 Internet网络安全 本章学习目标:本章主要让读者了解Internet网络所存在的潜在威胁,以及如何防范这些威胁。通过对本章的学习,读者应该掌握以下主要内容: =掌握网络安全的基本概念和内容。 =了解什么是防火墙以及它的几种类型、体系结构和采用的主要技术。 =在Internet网络上,如何对个人计算机中的内容进行保护。 *1第9章 Internet网络安全 9.1 计算机网络安全基础知识 9.2 防火墙技术 9.3 Internet网络上个人计算机的保护 *29.1 计算机网络安全基础知识 9.1.1 网络安全的含义 网络安全的一个通用定义: 网络安全是指网络系统的硬件、软件及 其
2、系统中的数据受到保护,不受偶然的或者 恶意的原因而遭到破坏、更改、泄露,系统 连续可靠正常地运行,网络服务不中断。 网络安全又分为: (l)运行系统安全,即保证信息处理和传输 系统的安全。 (2)网络上系统信息的安全。 (3)网络上信息传播的安全。全。 (4)网络上信息内容的安全。 Date39.1.2 网络安全的特征 (1)保密性:信息不泄露给非授权的用户、 实体或过程,或供其利用的特性。 (2)完整性:数据未经授权不能进行改变的 特性,即信息在存储或传输过程中保持不被 修改、不被破坏和丢失的特性。 (3)可用性:可被授权实体访问并按需求使 用的特性,即当需要时应能存取所需的信息 。网络环境
3、下拒绝服务、破坏网络和有关系 统的正常运行等都属于对可用性的攻击。 (4)可控性:对信息的传播及内容具有控制 能力。 Date49.1.3 网络安全的威胁 (1)非授权访问(unauthorized access): 一个非授权的人的入侵。 (2)信息泄露(disclosure of information ):造成将有价值的和高度机密的信息暴露 给无权访问该信息的人的所有问题。 (3)拒绝服务(denial of service):使得 系统难以或不可能继续执行任务的所有问题 。 Date59.1.4 网络安全的关键技术 主机安全技术。身份认证技术。访问控制技术。密码技术。防火墙技术。安全审
4、计技术。安全管理技术。 Date69.1.5 网络安全的策略 1.网络用户的安全责任 2.系统管理员的安全责任 3.正确利用网络资源 4.检测到安全问题时的对策 Date79.1.6 威胁网络安全的因素 计算机网络安全受到的威胁包括:“黑客”的攻击计算机病毒拒绝服务攻击(Denial of Service Attack) Date81. 安全威胁的类型 (1)非授权访问。这主要的是指对网络设 备以及信息资源进行非正常使用或超越权 限使用。 (2)假冒合法用户,主要指利用各种假冒 或欺骗的手段非法获得合法用户的使用权 ,以达到占用合法用户资源的目的。 (3)数据完整性受破坏。干扰系统的正常运行,
5、改变系统正常 运行的方向,以及延时系统的响应时间。 (4)病毒。 (5)通信线路被窃听等。 Date92. 计算机系统的脆弱性 (1)计算机系统的脆弱性主要来自于操 作系统的不安全性,在网络环境下, 还来源于通信协议的不安全性。 (2)存在超级用户,如果入侵者得到了 超级用户口令,整个系统将完全受控 于入侵者。 (3)计算机可能会因硬件或软件故障而 停止运转,或被入侵者利用并造成损 失。 Date103. 协议安全的脆弱性 当前计算机网络系统都使用的TCP IP协议以及FTP、E-mail、NFS等都 包含着许多影响网络安全的因素,存 在许多漏洞。众所周知的是Robert Morries在 V
6、AX机上用 C编写的一个 GUESS软件,它根据对用户名的搜索 猜测机器密码口令的程序,自在1988 年11月开始在网络上传播以后,几乎 每年都给Internet造成上亿美元的损失 Date114. 人为的因素 不管是什么样的网络系统都离不开人 的管理,但又大多数缺少安全管理员,特别 是高素质的网络管理员。此外,缺少网络安 全管理的技术规范,缺少定期的安全测试与 检查,更缺少安全监控。令人担忧的许多网 络系统已使用多年,但网络管理员与用户的 注册、口令等还是处于缺省状态。 Date129.1.7 网络安全性措施 1. 网络安全措施要实施一个完整的网络安全系统,至少应 该包括三类措施: (1)社
7、会的法律、法规以及企业的规章制度 和安全教育等外部软件环境。 (2)技术方面的措施,如网络防毒、信息加 密、存储通信、授权、认证以及防火墙技术 。 (3)审计和管理措施,这方面措施同时也包 含了技术与社会措施。 Date132. 网络安全性方法 为网络安全系统提供适当安全的常用方法: (1)修补系统漏洞 (2)病毒检查 (3)加密 (4)执行身份鉴别 (5)防火墙 (6)捕捉闯入者 (7)直接安全 (8)空闲机器守则 (9)废品处理守则 (10)口令守则Date149.2 防火墙技术 9.2.1什么是防火墙 防火墙起源于一种古老的安全防护措施。防火 墙技术就是一种保护计算机网络安全的技术性措施
8、 ,是在内部网络和外部网络之间实现控制策略的系 统,主要是为了用来保护内部的网络不易受到来自 Internet的侵害。图为防火墙示意图。Date15防火墙的主要功能如下: (1)过滤不安全服务和非法用户,禁止末授 权的用户访问受保护网络。(2)控制对特殊站点的访问。防火墙可以允 许受保护网的一部分主机被外部网访问,而 另一部分被保护起来,防止不必要访问。如 受保护网中的Mail、FTP、WWW 服务器等可 允许被外部网访问,而其他访问则被主机禁 止。有的防火墙同时充当对外服务器,而禁 止对所有受保护网内主机的访问。(3)提供监视Internet安全和预警的方便 端点。防火墙可以记录下所有通过它
9、的访问 ,并提供网络使用情况的统计数据。 Date16防火墙并非万能,影响网络安全的因素很多 ,对于以下情况防火墙无能为力: (1)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染的 软件或文件的传输。 (3)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。 Date179.2.2 防火墙的三种类型 1.网络级防火墙 网络级防火墙也称包过滤防火墙,通常 由一个路由器或一台充当路由器的计算机组 成。 2.应用级防火墙 应用级防火墙通常指运行代理(Proxy) 服务器软件的一台计算机主机。 3.电路级防火墙 电路级防火墙也称电路层网关,是一个 具有特殊功能的防火墙,它可以
10、由应用层网 关来完成。电路层网关只依赖于TCP连接, 并不进行任何附加的包处理或过滤。 Date189.2.2 防火墙体系结构 1.双重宿主主机体系结构 双重宿主主机体系结构是指在内部网络和外部网络的 接口处使用至少两个网络设备,这些网络设备可以是路由器 或普通计算机,其中一个连接内部网络(称为内部分组过滤 器),另一个连接外部网络(称为外部分组过滤器),它们之间由设备连接,如图所示。 Date192. 主机过滤体系结构 这种结构由硬件和软件共同完成 ,硬件主要是指路由器,软件主要是 指过滤器,它们共同完成外界计算机 访问内部网络时从IP地址或域名上的 限制,也可以指定或限制内部网络访 问In
11、ternet。路由器仅对主机的特定 的PORT(端口)上数据通讯加以路由 ,而过滤器则执行筛选、过滤、验证 及其安全监控,这样可以在很大程度 上隔断内部网络与外部网络之间不正 常的访问登录。 Date203. 子网过滤体系结构 子网过滤体系结构添加了额外的安全层到主机 过滤体系结构中,即通过添加参数网络,更进一步 地把内部网络与Internet网络隔离开。 (1)参数网络 (2)堡垒主机 (3)内部路由器 (4)外部路由器 Date219.2.3 包过滤技术 定义:包过滤(Packet Filter)是在网络层中对数据包 实施有选择的通过。1. 包过滤是如何工作的 (1)将包的目的地址作为判据
12、; (2)将包的源地址作为判据; (3)将包的传送协议作为判据。 包过滤系统只能进行类似以下情况的操作: (1)不让任何用户从外部网用Telnet登录; (2)允许任何用户使用SMTP往内部网发电子邮件; (3)只允许某台机器通过NNTP往内部网发新闻。 包过滤不允许进行如下的操作: (1)允许某个用户从外部网用Telnet登录而不允许其它用户进 行这种操作。 (2)允许用户传送一些文件而不允许用户传送其它文件。 Date222. 包过滤的优缺点(1)包过滤的优点包过滤方式有许多优点,而其主要优点之一是仅 用一个放置在重要位置上的包过滤路由器就可保护 整个网络。如果内部网络中的站点与Inter
13、net网络 之间只有一台路由器,那么不管内部网络规模有多 大,只要在这台路由器上设置合适的包过滤,内部 网络中的站点就可获得很好的网络安全保护。 (2)包过滤的缺点 在机器中配置包过滤规则比较困难; 对系统中的包过滤规则的配置进行测试也较麻 烦; 许多产品的包过滤功能有这样或那样的局限 性,要找一个比较完整的包过滤产品比较困难。 Date233. 包过滤路由器的配置 在配置包过滤路由器时,首先要确定哪些服务允许 通过而哪些服务应被拒绝,并将这些规定翻译成有关 的包过滤规则。有关服务翻译成包过滤规则时非常重 要的几个概念。 (1)协议的双向性。协议总是双向的,协议包括一方发 送一个请求,而另一方
14、返回一个应答。在制定包过滤 规则时,要注意包是从两个方向来到路由器的。 (2)“往内”与“往外”的含义。在制定包过滤规则时 ,必须准确理解“往内”与“往外”的包和“往内” 与“往外”的服务这几个词的语义。 (3)“默认允许”与“默认拒绝”。网络的安全策略中 的有两种方法:默认拒绝(没有明确地指明被允许就 应被拒绝)与默认允许(没有明确地指明被拒绝就应 被允许)。从安全角度来看,用默认拒绝应该更合适 。 Date244. 包的基本构造 包的构造有点像洋葱一样,它是由各层 连接的协议组成的。每一层,包都由包头与 包体两部分组成。在包头中存放与这一层相 关的协议信息,在包体中,存放包在这一层 的数据
15、信息。这些数据信息也包含了上层的 全部信息(即上一层包头和包体信息)。在 每一层上对包的处理是将从上层获取的全部 信息作为包体,然后根据本层的协议再加上 包头。这种对包的层次性操作(每一层均加 装一个包头)一般称为封装。 Date255. 包过滤处理内核过滤路由器可以利用包过滤手段来 提高网络的安全性。 (1)包过滤和网络策略 (2)一个简单的包过滤模型 (3)包过滤器操作 Date269.3 Internet网络个人计算机的保护 9.3.1 Internet网络病毒的防范 1.杀病毒软件 (1)金山毒霸的启动 (2)查杀病毒 按上述方法打开金山毒霸,显示出金山毒霸的主界面,如图所 示。 在金
16、山毒霸主界面左侧的列表框中,选择需要进行查杀病毒的文件夹,并将其选中(即打)。 Date27然后,在金山毒霸主界面的右边“控制中心”内, 单击“开始查毒”,程序就开始开始查杀病毒了。 这时,程序切换到“查毒结果”界面,如图所示。 如果发现病毒,程序将弹出“发现病毒”窗口询问 对此要进行的下一步操作。选择相应的操作后,即 可继续进行查毒。 如果没有发现病毒,程序将会提示用户“病毒检测 完毕”单击“确认”键,返回“控制中心”界面 Date28(3)病毒防火墙 金山毒霸提供了一个重要的功能,就是 病毒防火墙,这对于经常上网的用户十分有 用。启动该程序后,会驻留于内存中,自动 运行于后台,并会在任意应用程序对文件进 行操作、接收电子邮件、从网络下载文件、 打开光盘时进行病毒监控,彻底的防止病毒 入侵。如果检查到病毒,将根据对其属性的 设置做出相应的反应。 Date292. 在线杀毒 目前,很多网站都提供这种在线杀 毒,如网易(
