《计算机网络实用技术 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 王恩波 张露 第10章_计算机网络安全》由会员分享,可在线阅读,更多相关《计算机网络实用技术 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 王恩波 张露 第10章_计算机网络安全(48页珍藏版)》请在金锄头文库上搜索。
1、第十章 计算机网络安全,本章导读 本章主要介绍网络安全的概念、表现、特征,影响网络安全的因素,以及造成网络不安全的主要原因。防火墙作为保证网络安全的设施,对局域网中的计算机和外界数据的进出进行审计检查,以减少外界对局域网内部计算机的影响,并讲解几种常见的单机防火墙的应用。最后简要介绍了数据加密方面的知识。,101 Internet 安全概述 1011 Internet 安全现状,随着网络经济和网络时代的到来,网络将会进入一个无处不在,无所不有的境地。经济、文化、军事和社会生活将会强烈地依赖网络。网络的安全和可靠性将成为世界各国共同关注的焦点。 由于计算机信息有共享和易扩散等特性,它在处理、存储
2、、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄漏、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。因此,网络管理员担心“黑客”攻击站点,一般用户害怕文件或数据丢失,政府机关则关心国家机密是否真正安全。,根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部;入侵的来源首先是内部心怀不满的员工,其次为黑客,另外是竞争者等。 据英国安全公司Mi2g的报告显示,仅在2003年8月18日一天里,该公司就接到报告,发现有1120次攻击事件。Mi2g主席-首席执行官D
3、K Matai 表示, 2003年的黑客攻击次数超过75万,相当于他们从1995年以来所接到的黑客攻击报告总数。,据统计,商业信息被窃取的事件以每月260的速率在增加。然而,据专家估计,每公开报道一次网络入侵,就有近500例是不被公众所知晓的。 可以说,在现在的Internet上,没有任何事情是可以绝对相信的,从远方的一个IP地址收到的一份电子邮件,我们都不能完全相信它是真实的。今天,网络和主机是否易受攻击,成了网络世界最关注的事情和最时髦的话题。网络的安全不仅是研究者研讨的课题,也是全球因特网使用者和建设者最关注的一个话题。,1012 什么是网络安全,网络安全从其本质上来讲就是网络上的信息安
4、全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。,网络安全应具有以下四个方面的特征:,保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:对信息的传播及内容具有控制能力。,在不同环境和应用中的网络安全具有以下内容:,运行系统安全,即保证信息处理和传输系统的安
5、全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。 网络上系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。 网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。 网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和
6、隐私。,需要强调以下两个观点,首先,没有绝对安全的计算机,为安全而做的所有工作只是为了给威胁系统安全的人增加一定的难度; 另一个是系统越安全,给用户带来的不便也就越多。系统安全性和系统可用性是互相矛盾和对立的,必须努力保持平衡,争取找到两者的最佳结合点。,1013 建立网络安全观念,关于个人的安全,经常被人们忽视,因而很容易成为黑客或者一些人测试黑客工具的实验品。也许你有过这样的经历:你的Win98正上网中,屏幕突然变蓝,然后一般是必须重新启动才能上网,即使可以继续也会出现某些奇怪的错误;你在BBS注册的网名别人也可以用;有人使用了你的网上免费信箱;上网账号被人盗用等。 由于网络自身固有的不安
7、全性使得安全成为最基本的需求。例如当数据在Internet上从A站点传往B站点时,它可能会经过许多其它的站点,这样就给其他人截取数据甚至更换数据的机会。系统上的其他用户可以把你的数据恶毒地传到你不希望的地方。入侵者可以获得系统的访问权限,他可以利用高深的技术来伪装成你,偷走系统中的重要信息,甚至拒绝你访问自己的资源。所以增强网络安全意识刻不容缓。,102 影响网络安全的因素 1021 网络安全面临的威胁,1、黑客(hacking) 黑客在网络上经常采用的手段有: 1、利用UNIX操作系统提供的缺省账户进行攻击:许多主机都有ftp和guest等账户,有的账户甚至没有囗令。黑客可以利用这些信息进行
8、攻击。 2、截取口令方法:通过网络监听或记录用户的击键得到用户的口令。 3、寻找系统漏洞。 4、强力闯入:可以采用物理访问的方法,如在控制台用boot-s命令,可以无数次地猜口令。 5、偷取特权:使用特洛伊木马程序或缓冲区溢出程序都有可能得到系统特权。 6、使用一个节点作为根据地,攻击其他节点:可以使用网络监听的方法,也可以利用主机信任关系,在突破一台主机后,尝试攻破同一网络内的其他主机。 7、清理磁盘:在一些删除的文件,回收站内的文件或者是临时目录内的文件中,往往含有重要信息,黑客可以清理这些文件,找到有用的信息。,2、计算机病毒 计算机病毒被发现十多年来,其种类呈几何级数增长。目前,活体病
9、毒已达14000种,病毒机理和变种不断演变,为检测与消除带来了很大的难度,成为计算机及其网络发展的一个很大的危害。,3、特洛伊木马(Trojan Horse)程序 4、陷门(Trap door)或后门(Back door) 5、拒绝服务攻击(Denial of Service Attack),1022 影响网络安全的主要原因,1、目标主机的错误配置 2、系统缺陷或开发商缺乏反应 3、用户的安全意识淡漠,103 网络病毒,网络病毒的特点 1、破坏性强 网络病毒破坏性极强。网络病毒不仅会通过网络不断的传染其他的机器,而且会向网络发出大量的数据包,这些数据包不仅耗尽了网络的带宽,而且会导致网络设备因
10、无法处理数据包而瘫痪,整个网络彻底崩溃。 2、传播性强 网络病毒普遍具有较强的再生机制,一接触就可通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。 3、具有潜伏性和可激发性 4、针对性强,1033 防病毒措施,1.安装正版软件 因为盗版软件光盘中常带有病毒,使用这样的光盘,系统很自然地就会感染上病毒。 2.及时打补丁 即使使用正版的操作系统光盘,操作系统本身也带有漏洞,很多病毒和黑客程序都是利用这些系统的漏洞,对系统进行攻击,因此安装完操作系统之后,必须马上打系统补丁。对使用Win2000系统的用户,目前的补丁版本是SP4,再加上冲击波、震荡波的补丁
11、基本就可以了。使用XP的用户也要打相应的补丁。使用IE6的用户还要打IE6的补丁。 3.安装杀毒软件,定期升级,4.安装防火墙软件 为什么安装了杀毒软件还要装防火墙软件呢?安装杀毒软件是为了自己不感染病毒,安装防火墙软件是为了阻止网络上病毒的攻击和传染。防火墙软件给我们的计算机添加了一层防护。 5.使用软盘或U盘前一定要杀毒 即使是网络病毒,也会通过软盘或U盘相互传染,因此如果使用别人的软盘或U盘,或者自己的软盘或U盘在别人机器上用过,回来在自己的机器上使用之前一定要先杀毒。正所谓“防毒之心不可无”。 6.不在小网站下载软件 很多网站提供软件供下载,也有一些别有居心的人会在自己网站提供的软件中
12、加入木马程序,如果谁下载了这样的软件可就得不偿失了。因此如果需要下载软件,尽量到大网站或口碑好的网站下载。 7.不随意打开陌生人的邮件 邮件仍是传播病毒的一条主要捷径,不光是附件会携带病毒,邮件本身也会携带病毒。因此不要随便打开陌生人的邮件附件,甚至邮件本身。另一条方法就是设置邮件规则,过滤可能的病毒邮件。 8.不轻信QQ中网友的消息,104 网络防火墙 1041 什么是防火墙,一个好的防火墙系统应具有以下五方面的特性:,1、所有的内部网络和外部网络之间传输的数据必须通过防火墙; 2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙; 3、防火墙本身不受各种攻击的影响; 4、
13、使用目前新的信息安全技术,比如现代密码技术等; 5、人机界面良好,用户配置使用方便,易管理。,1042 防火墙技术,1、包过滤技术 包过滤(Packet Filter)技术是在网络层对数据包进行检查,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。,2、应用网关技术,应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议进行过滤,能够对数据包分析并形成相关的报告。应用网关能够对所有的输出输入通信进行控制, 以防有价值
14、的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。,3、代理服务器技术,代理服务器(Proxy Server)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求。 具体地说,代理服务器是运行
15、在防火墙主机上的专门的程序,这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。,包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便,缺点是审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。 代理技术则能进行安全控制又可以加速访问,能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每
16、一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。,1043 防火墙体系结构 1、屏蔽路由器(Screening Router),2、双宿主机网关(Dual Homed Gateway),3、被屏蔽主机(Screened Host),4、被屏蔽子网 (Screened Subnet),105 单机防火墙,1051 Sygate Personal Firewall Sygate Personal Firewall是一款功能强大、使用灵活的网络防火墙,它的主要功能就是用来防范黑客攻击,它可以侦察出谁在扫描自己的端口(port)。同时设置自己机器的安全级别,和允许访问网络的程序等。 上机实验,1052 天网个人防火墙,登录天网安全阵线http:/
