《《网络安全技术培训》》由会员分享,可在线阅读,更多相关《《网络安全技术培训》(23页珍藏版)》请在金锄头文库上搜索。
1、 第十一章网络平安 本章主要内容:网络平安的概念防火墙技术网络病毒及其防范数据加密与数字证书 1编辑课件11.1 网络平安概述 11.1.1 网络平安的概念 狭义的网络平安:是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息平安。广义的网络平安:从广义角度来讲,但凡涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络平安的研究领域。它涵盖了与网络系统有关的所有硬件
2、、软件、数据、管理、环境等内容。我们通常所说的网络平安主要是指狭义的网络平安。2编辑课件网络平安包括五个根本要素:机密性、完整性、可用性、可控制性与可审查性。机密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控制性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络平安问题提供调查的依据和手段。11.1 网络平安概述 3编辑课件11.1.2 网络平安面临的风险 一般认为,目前网络平安面临的风险主要有以下五个方面。非授权访问:指没有
3、预先经过同意非法使用网络或计算机资源,比方有意避开系统访问控制机制,对网络设备及资源进行非正常使用;擅自扩大权限、越权访问信息等。信息泄漏或丧失:指敏感数据在有意或无意中被泄漏出去或丧失。它通常包括信息在传输中丧失或泄漏(比方,利用电磁泄漏或搭线窃听等方式截获机密信息);在存储介质中丧失或泄漏;通过建立隐蔽隧道窃取敏感信息等。破坏数据完整性:指以非法手段获得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。拒绝效劳攻击:不断对网络效劳系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使
4、用,甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的效劳。利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且很难防范。11.1 网络平安概述 4编辑课件11.1.3平安策略平安策略是指在一个特定的环境里,为保证提供一定级别的平安保护所必须遵守的规那么,它包括三个重要的组成局部。(1)威严的法律:平安的基石是社会法律、法规与手段。通过建立一套平安管理标准和方法,即通过建立与信息平安相关的法律和法规,可以使非法者慑于法律,不敢轻举妄动。(2)先进的技术:先进的平安技术是信息平安的根本保障。用户通过对自身面临的威胁进行风险评估,决定其需要的平安效劳种类,选择相应的平安
5、机制,然后集成先进的平安技术。(3)严格的管理:各网络使用机构、企业和单位应建立相宜的信息平安管理方法,加强内部管理,建立审计和跟踪体系,提高整体信息平安意识。11.1 网络平安概述 5编辑课件11.1.4网络平安措施既然网络中存在诸多平安威胁,就有必要建立完善的网络平安策略。在平安策略中技术措施是网络正常运行的保证。网络平安措施主要包括口令与访问控制方式、防火墙技术、应用网关与代理效劳器技术、密码技术、IP加密技术和数字签名等技术。11.1 网络平安概述 6编辑课件11.2.1防火墙的概念防火墙Firewall是一种将内部网络和外部公共网络Internet分开的方法或设备。它检查到达防火墙两
6、端的所有数据包(无论是输入还是输出),从而决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障,使公共网络与内部网络之间建立起一个平安网关SecurityGateway。防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的平安保护。防火墙的概念模型如下页图示。11.2 防火墙技术7编辑课件11.2 防火墙技术内部端口外部端口防火墙概念模型示意图8编辑课件11.2.2防火墙的功能与分类1防火墙的功能防火墙一般具有如下三种功能:1忠实执行平安策略,限制他人进入内部网络,过滤掉不平安效劳和非法用户。2限定内部网络用户访问
7、特殊网络站点,接纳外网对本地公共信息的访问。3具有记录和审计功能,为监视互联网平安提供方便。2.防火墙分类防火墙的主要技术类型包括数据包过滤、应用代理效劳器和状态检测三种类型。即包过滤防火墙,应用代理效劳器,状态检测防火墙。11.2 防火墙技术9编辑课件 包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙 数数数数据据据据包包包包过过过过滤滤滤滤技技技技术术术术是是是是指指指指在在在在网网网网络络络络层层层层对对对对数数数数据据据据包包包包进进进进行行行行分分分分析析析析、选择。选择的选择。选择的选择。选择的选择。选择的依依依依据据据据是是是是系系系系统统统统内内内内设设设设置置置置的的的的过过
8、过过滤滤滤滤逻逻逻逻辑辑辑辑,称称称称为为为为访访访访问问问问控控控控制制制制。通通通通过过过过检检检检查数据流中查数据流中查数据流中查数据流中每每每每一一一一个个个个数数数数据据据据包包包包的的的的源源源源地地地地址址址址、目目目目的的的的地地地地址址址址、所所所所用用用用端端端端口口口口号号号号、协协协协议议议议状态等因素状态等因素状态等因素状态等因素或它们的组合来确定是否允许该数据包通过。或它们的组合来确定是否允许该数据包通过。或它们的组合来确定是否允许该数据包通过。或它们的组合来确定是否允许该数据包通过。数数数数据据据据包包包包过过过过滤滤滤滤防防防防火火火火墙墙墙墙的的的的优优优优点
9、点点点是是是是速速速速度度度度快快快快,逻逻逻逻辑辑辑辑简简简简单单单单,本本本本钱低,易于安钱低,易于安钱低,易于安钱低,易于安装装装装和和和和使使使使用用用用,网网网网络络络络性性性性能能能能和和和和透透透透明明明明度度度度好好好好。其其其其缺缺缺缺点点点点是是是是配配配配置置置置困困困困难难难难,容易出现漏容易出现漏容易出现漏容易出现漏洞,而且为特定效劳开放的端口也存在着潜在危险。洞,而且为特定效劳开放的端口也存在着潜在危险。洞,而且为特定效劳开放的端口也存在着潜在危险。洞,而且为特定效劳开放的端口也存在着潜在危险。11.2 防火墙技术10编辑课件 应用代理效劳器应用代理效劳器应用代理效
10、劳器应用代理效劳器应用代理效劳器是防火墙的第二代产品,应用代理应用代理效劳器是防火墙的第二代产品,应用代理应用代理效劳器是防火墙的第二代产品,应用代理应用代理效劳器是防火墙的第二代产品,应用代理效劳器技术能够将所有跨越防火墙的网络通信链路分为效劳器技术能够将所有跨越防火墙的网络通信链路分为效劳器技术能够将所有跨越防火墙的网络通信链路分为效劳器技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的效劳器通信。两段,使得网络内部的客户不直接与外部的效劳器通信。两段,使得网络内部的客户不直接与外部的效劳器通信。两段,使得网络内部的客户不直接与外部的效劳器通信。防火墙内外计算
11、机系统间应用层的连接由两个代理效劳防火墙内外计算机系统间应用层的连接由两个代理效劳防火墙内外计算机系统间应用层的连接由两个代理效劳防火墙内外计算机系统间应用层的连接由两个代理效劳器之间的连接来实现。外部计算机的网络链路只能到达器之间的连接来实现。外部计算机的网络链路只能到达器之间的连接来实现。外部计算机的网络链路只能到达器之间的连接来实现。外部计算机的网络链路只能到达代理效劳器,从而起到隔离防火墙内外计算机系统的作代理效劳器,从而起到隔离防火墙内外计算机系统的作代理效劳器,从而起到隔离防火墙内外计算机系统的作代理效劳器,从而起到隔离防火墙内外计算机系统的作用。通过代理效劳器通信的缺点是执行速度
12、明显变慢,用。通过代理效劳器通信的缺点是执行速度明显变慢,用。通过代理效劳器通信的缺点是执行速度明显变慢,用。通过代理效劳器通信的缺点是执行速度明显变慢,操作系统容易遭到攻击。操作系统容易遭到攻击。操作系统容易遭到攻击。操作系统容易遭到攻击。11.2 防火墙技术11编辑课件状态检测防火墙状态检测防火墙状态检测防火墙状态检测防火墙状态检测防火墙又称动态包过滤防火墙,在网状态检测防火墙又称动态包过滤防火墙,在网状态检测防火墙又称动态包过滤防火墙,在网状态检测防火墙又称动态包过滤防火墙,在网络层由一个检查引擎截获数据包并抽取出与应用层状态络层由一个检查引擎截获数据包并抽取出与应用层状态络层由一个检查
13、引擎截获数据包并抽取出与应用层状态络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决定对该数据包是接受还是拒绝。有关的信息,然后以此决定对该数据包是接受还是拒绝。有关的信息,然后以此决定对该数据包是接受还是拒绝。有关的信息,然后以此决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包检查引擎维护一个动态的状态信息表并对后续的数据包检查引擎维护一个动态的状态信息表并对后续的数据包检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连进行检查,一旦发现任何连接的参数有意外变化,该连进行检查,一旦发现任何连接的参
14、数有意外变化,该连进行检查,一旦发现任何连接的参数有意外变化,该连接就被中止。状态检测防火墙克服了包过滤防火墙和应接就被中止。状态检测防火墙克服了包过滤防火墙和应接就被中止。状态检测防火墙克服了包过滤防火墙和应接就被中止。状态检测防火墙克服了包过滤防火墙和应用代理效劳器的局限性,根据协议、端口号及源地址、用代理效劳器的局限性,根据协议、端口号及源地址、用代理效劳器的局限性,根据协议、端口号及源地址、用代理效劳器的局限性,根据协议、端口号及源地址、目的地址的具体情况确定数据包是否可以通过,执行速目的地址的具体情况确定数据包是否可以通过,执行速目的地址的具体情况确定数据包是否可以通过,执行速目的地
15、址的具体情况确定数据包是否可以通过,执行速度很快。度很快。度很快。度很快。11.2 防火墙技术12编辑课件11.2.3 代理效劳器的设置方法1 翻开IE浏览器,选择【工具】|【Internet选项】,出现【Internet选项】对话框,选择【连接】选项卡,如左以下图所示。2 单击【局域网设置】按钮,出现如右上图所示的对话框。11.2 防火墙技术13编辑课件3输入代理效劳器的IP地址和端口数据,单击【高级】按钮,出现如以下图所示的对话框。4对各种代理效劳输入代理效劳器的IP地址,并对不使用代理效劳器的连接输入域名或IP地址,可以使用统配符“*。依次单击【确定】按钮,完成代理效劳器设置。11.2
16、防火墙技术14编辑课件11.3 网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通常是指各种木马病毒和借助邮件传播的病毒。11.3.1 特洛伊木马(Trojan)病毒及其防范 特洛伊木马是一种黑客程序,从它对被感染电脑的危害性方面考虑,我们不妨称之为病毒,但它与病毒有些区别。它一般并不破坏受害者硬盘数据,而是悄悄地潜伏在被感染的机器中,一旦这台机器连接到网络,就可能大祸临头。黑客通过Internet找到感染病毒的机器,在自己的电脑上远程操纵它,窃取用户的上网帐户和密码、随意修改或删除文件,它对网络用户的威胁极大。用户的计算机在不知不觉中已经被开了个后门,并且受到别人的暗中监视与控制。15编辑课件对特洛伊木马的防范对特洛伊木马的防范不不要要轻轻易易泄泄露露你你的的IP地地址址,下下载载来来历历不不明明的的软软件时要警惕其中是否件时要警惕其中是否隐隐藏藏了了木木马马,使使用用下下载载软软件件前前一一定定要要用用木木马马检检测工具进行检查。对测工具进行检查。对付付特特洛洛伊伊木木马马除除了了用用手手工工去去除除方方法法外外,也也可可用用Lockdown20
