当前位置:文档之家 › 计算机四级网络工程师 第10章 网络安全技术

计算机四级网络工程师 第10章 网络安全技术

  • 格式:ppt
  • 大小:840.50 KB
  • 文档页数:49

下载文档原格式

  / 49

合集下载

网络安全技术指什么

网络安全技术指什么

网络安全技术指什么网络安全技术指采用各种手段和方法,以确保网络系统的机密性、完整性、可用性和可信任性,保护网络系统免受恶意攻击、未经授权的访问和数据泄露等威胁。

网络安全技术包括以下几个方面:1. 防火墙技术:防火墙是网络系统的第一道防线,通过定义网络连接的规则和安全策略,控制进出网络的数据流量。

防火墙可以防范来自外部网络的攻击,并限制内部网络对外部网络的访问。

2. 入侵检测和防范技术:入侵检测系统(IDS)和入侵防御系统(IPS)用于监控网络流量,检测和阻止入侵行为。

IDS通过分析网络流量中的异常行为和攻击特征,及时发现入侵活动。

IPS在检测到入侵行为后,可以主动采取防御措施,如阻止恶意流量、锁定攻击源等。

3. 加密和认证技术:加密技术用于保护敏感数据的机密性,通过对数据进行加密,使其在传输和存储过程中不易被窃取和篡改。

认证技术用于确保用户的身份和权限,如密码、生物特征识别、数字证书等。

4. 安全审计和日志管理技术:安全审计和日志管理是网络系统的监控和管理手段,通过记录和分析网络系统的操作和事件,识别潜在的安全威胁和风险,及时采取相应的安全措施。

5. 强化网络设备和操作系统的安全性:网络设备和操作系统是网络系统的核心组件,其安全性关系到整个网络系统的安全。

强化网络设备和操作系统的安全性包括及时安装补丁、更新安全配置、关闭不必要的服务等措施。

6. 安全培训和意识教育:网络安全技术的最后一道防线是人,因此进行安全培训和意识教育对于提高网络系统的安全性至关重要。

通过培训和教育,员工可以了解网络安全的重要性,学习如何正确使用和管理网络系统,避免操作中的安全风险。

总之,网络安全技术是保护网络系统免受各种威胁的关键措施,它涉及多个方面的技术和手段,旨在提高网络系统的安全性和可信任性。

只有综合使用各种网络安全技术,才能有效地保护网络系统免受恶意攻击,并确保网络的正常运行和信息的安全。

网络安全技术是什么

网络安全技术是什么

网络安全技术是什么网络安全技术是指为了保护网络系统、数据和用户的安全而采取的各种技术手段和措施。

随着网络的发展和普及,网络安全问题也日渐严峻,网络安全技术的重要性也日益凸显。

首先,网络安全技术包括了网络防火墙技术。

网络防火墙是指在网络系统与外界的通信中起到保护系统安全的作用,可以对入侵和恶意攻击进行检测和阻断。

通过防火墙技术,可以有效地保护网络系统的安全,防范黑客和病毒的侵入。

同时,防火墙技术还能够对网络传输进行监控和管理,确保网络数据的安全性。

其次,网络加密技术也是网络安全技术的重要组成部分。

网络加密技术是将数据进行加密处理,使得数据在传输过程中无法被未经授权的第三方窃取和篡改。

网络加密技术可以保护用户的隐私和敏感信息,防止数据泄露和信息泄露。

例如,SSL/TLS协议就是基于公钥加密技术的一种网络加密技术,它可以保护网络通信的安全性,防止信息被劫持和篡改。

再次,入侵检测和入侵防御技术也是网络安全技术的重要内容。

入侵检测技术通过对网络流量和系统日志的实时监控和分析,检测和识别潜在的入侵事件和非法访问。

入侵防御技术则是针对入侵事件和攻击行为采取相应的防御措施,包括封堵网络流量、拦截恶意代码和提升系统安全等。

入侵检测和入侵防御技术的应用可以最大限度地提升网络系统的安全性,减少入侵事件对系统的损害。

此外,网络安全技术还包括访问控制技术和身份认证技术。

访问控制技术是指通过权限管理和访问策略控制用户对网络系统和数据的访问权限,防止未授权用户的非法访问。

身份认证技术则是通过用户的身份验证和认证,确定用户的真实身份,避免冒名顶替和假冒陷。

这些技术能够有效地保护网络系统的安全,阻止未经授权的用户进入系统。

综上所述,网络安全技术是为了保护网络系统、数据和用户的安全而采取的各种技术手段和措施。

通过网络防火墙技术、网络加密技术、入侵检测和入侵防御技术、访问控制技术和身份认证技术等,可以有效地保护网络安全,确保网络系统的稳定和顺畅运行。

计算机四级网络安全技术知识讲解

计算机四级网络安全技术知识讲解

计算机四级网络平安技术知识讲解计算机四级网络平安技术知识讲解网络平安就是网络上的信息平安。

从广义上来说,但凡涉及到网络信息的保密性、完好性、可用性、真实性和可控性得相关技术和理论都是网络平安的研究领域。

1信息加密技术在保障信息平安各种功能特性的诸多技术中,密码技术是信息平安的核心和关键技术,通过数据加密技术,可以在一定程度上进步数据传输的平安性,保证传输数据的完好性。

一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部平安性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。

数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程。

假设E为加密算法,D为解密算法,那么数据的加密解密数学表达式为:P=D(KD,E(KE,P))2数据加密技术2.1数据加密技术数据加密技术主要分为数据传输加密和数据存储加密。

数据传输加密技术主要是对传输中的数据流进展加密,常用的有链路加密、节点加密和端到端加密三种方式。

链路加密是传输数据仅在物理层前的数据链路层进展加密,不考虑信和信宿,它用于保护通信节点间的数据,接收方是传送途径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进展,直至到达目的地。

与链路加密类似的节点加密方法,是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,防止了链路加密节点处易受攻击的缺点。

端到端加密是为数据从一端到另一端提供的加密方式。

数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。

端到端加密是在应用层完成的。

在端到端加密中,除报头外的`的报文均以密文的形式贯穿于全部传输过程,只是在发送端和接收端才有加、解密设备,而在中间任何节点报文均不解密,因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。

另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息,由于网络传输中要涉及到路由选择,在链路加密时,报文和报头两者均须加密。

计算机四级网络工程师培训教程

计算机四级网络工程师培训教程
9
计算机网络的功能
泉州用户 Hub/SW
Hub/SW
local
Area Network
router
F1、数据通讯/传输
mobile
北京用户
通信网络
网络接入设备
Hub/SW
用户
router
server1
server2
F3、提高数据可靠性 F4、分布计算
local ISP
10
计算机网络的功能
1. 数据通信 (data communication)
主机 1 AP1 5 4 3 2 1
主机 2 AP2 5
运输层报文再传送到网络层
4
加上网络层首部,成为 IP 数据报(或分组) 3
2
1
25
主机 1 向主机 2 发送数据
主机 1 AP1 5 4 3 2 1
主机 2 AP2 5
4
IP 数据报再传送到数据链路层
3
加上链路层首部和尾部,成为数据链路层帧 2
– 文件传输、IP电话、email、视频会议、信息发布、交互式 娱乐…
2. 资源共享(resource sharing)
– 试图解除“地理上的束缚“,共享软件、硬件、数据/信息
3. 提高可靠性 (high reliability )
– 依靠可替代的资源,提供连续的高可靠服务: • 硬件双机备份 • 软件和数据库备份
• 因此往往采取折中的办法,即综合 OSI 和 TCP/IP 的优点,采用一种只有 五层协议的体系结构 。
19
TCP/IP 与 OSI 参考模型
TCP/IP参考模型
应用层 (Telnet/ftp/ smtp/www…)
传输层(TCP层) 互联网层(IP层)

计算机四级考试网络工程师考点:网络安全与信息安全

计算机四级考试网络工程师考点:网络安全与信息安全

计算机四级考试网络工程师考点:网络安全与信息安全计算机四级考试网络工程师考点:网络安全与信息安全网络安全与信息安全是现代互联网关注的重点。

你知道网络安全与信息安全包括哪些内容吗?下面是店铺为大家带来的网络安全与信息安全的知识,欢迎阅读。

一、密码学1、密码学是以研究数据保密为目的,对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。

2、对称密钥密码系统(私钥密码系统):在传统密码体制中加密和解密采用的是同一密钥。

常见的算法有:DES、IDEA3、加密模式分类:(1)序列密码:通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流逐位加密得到密文。

(2)分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则,利用简单圈函数及对合等运算,充分利用非线性运算。

4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。

实现的过程:每个通信双方有两个密钥,K和K',在进行保密通信时通常将加密密钥K公开(称为公钥),而保留解密密钥K'(称为私钥),常见的算法有:RSA二、鉴别鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程,一般通过某种复杂的身份认证协议来实现。

1、口令技术身份认证标记:PIN保护记忆卡和挑战响应卡分类:共享密钥认证、公钥认证和零知识认证(1)共享密钥认证的思想是从通过口令认证用户发展来了。

(2)公开密钥算法的出现为2、会话密钥:是指在一次会话过程中使用的密钥,一般都是由机器随机生成的,会话密钥在实际使用时往往是在一定时间内都有效,并不真正限制在一次会话过程中。

签名:利用私钥对明文信息进行的变换称为签名封装:利用公钥对明文信息进行的变换称为封装3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。

客户方需要向服务器方递交自己的凭据来证明自己的身份,该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。

计算机四级网络工程师考试纲要及题库

计算机四级网络工程师考试纲要及题库

计算机四级网络工程师复习纲要第一单元网络规划与设计第一章网络系统结构与设计的基本原则学习目的:1、掌握广域网、城域网与局域网的主要技术特点2、了解大型网络系统的结构特点3、了解大型网络系统设计的基本知识4、掌握宽带城域网特点、结构与主要技术特征5、了解宽带城域网主要技术方案与设备选型的基本知识1.1基础知识1.1.1计算机网络的分类按覆盖的地理范围:局域网(LAN)、城域网(MAN)与广域网(WAN)。

1.1.2计算机网络结构的特点资源子网与通信子网(接口报文处理机,IMP)1.1.3广域网技术的发展一、广域网是一种公共数据网络(PDN)二、广域网技术研究的重点是宽带核心交换技术1.1.4局域网技术的发展以太网技术的发展三个方向:提高以太网的数据传输速率:传统以太网、快速以太网、千兆以太网与10G以太网局域网互联技术的发展交换式局域网技术的发展1.1.5城域网技术的发展一、城域网概念的演变宽带城域网二、宽带城域网建设对传输网络和服务业务的影响三、城域网发展的主要业务1.2实训任务1.2.1实训任务一:宽带城域网的逻辑结构一、宽带城域网的逻辑结构“三个平台与一个出口”(网络平台、业务平台、管理平台与城市宽带出口。

)二、网络平台的层次结构核心交换层、边缘汇聚层与用户接入层三、核心交换层、边缘汇聚层与用户接入层的主要功能1、核心交换层的基本功能2、汇聚层的基本功能3、接入层的基本功能接入层解决的是“最后一公里“问题。

在降低网络造价的前提下,系统能够满足当前的数据交换量,接入的用户数与业务类型的要求,并具有可扩展的能力。

1.2.2实训任务二:宽带城域网组网的基本原则可运营性,可管理性,可盈利性及可扩展性。

1.2.3实训任务三:管理和运营宽带城域网的关键技术带宽管理、服务质量、网络管理、用户管理、多业务接入、统计与计费、IP地址的分配与地址转换与网络安全。

1.2.4实训任务四:构建宽带城域网的基本技术与方案一、基于SDH技术的城域网二、基于10G Ethernet技术的宽带城域网三、基于弹性分组环RPR技术的城域网1.2.5实训任务五:网络接入技术与方法一、接入网技术发展的背景二、接入服务的界定三、接入技术与“数字会聚”、“三网融合”四、宽带接入技术的基本类型五、各种接入技术的特点1.数字用户线xDSL接入技术2.光纤同轴电缆混合网HFC的基本概念3.光纤接入技术4.宽带无线接入技术习题:一、选择题:1.宽带城域网技术特征:A.城域网的概念泛指:网络运营商在城市范围内提供各种信息服务业务的所有网络;B.它是以TCP/IP协议为基础,通过各种网络互联设备;C.它可以实现语音、数据、图像、多媒体视频、IP电话、IP接入和各种增值业务服务与智能业务服务D.它是一种典型的城域网技术。

网络安全技术 pdf

网络安全技术 pdf网络安全技术是指为保护计算机网络的安全而采取的一系列技术和措施。

随着互联网的快速发展,网络安全问题也日益突出,网络攻击、黑客入侵、信息泄露等问题给个人、组织和国家的安全带来了严重威胁。

因此,采取相应的网络安全技术对于确保网络安全至关重要。

网络安全技术主要包括以下几个方面:1. 防火墙技术:防火墙是一种网络安全设备,可以检测和阻止非法或有害的网络流量。

防火墙可以根据设定的规则来筛选进出网络的数据包,有效地阻挡攻击者对网络的入侵。

2. 加密技术:加密技术是通过对数据进行加密和解密来确保数据的机密性和完整性。

常见的加密技术包括SSL(Secure Sockets Layer)和VPN(Virtual Private Network)等,它们可以保护数据在传输过程中的安全。

3. 入侵检测系统(IDS):入侵检测系统可以监测和记录网络中的异常行为,并主动发出警报。

它可以帮助及时发现和应对网络攻击,减小攻击的影响范围。

4. 访问控制技术:访问控制技术是通过对用户身份和权限进行验证和管理,控制用户对网络资源的访问。

这包括识别、认证和授权等环节,确保只有合法用户才能获取对应的资源。

5. 病毒防护技术:病毒防护技术是为了保护计算机和网络免受病毒、恶意软件和恶意代码的侵害。

它主要通过实时监测、扫描和清除恶意文件来防止病毒的传播。

6. 安全审计技术:安全审计技术用于收集、分析和监控网络中的安全事件和日志,以便及时发现和处理安全问题。

它可以帮助了解网络的安全状态和风险,制定相应的安全策略和措施。

7. 数据备份和恢复技术:数据备份和恢复技术是为了应对数据丢失或损坏的情况。

它可以将重要数据进行定期备份,以防止因系统故障、病毒攻击或人为错误导致数据的不可恢复性丢失。

综上所述,网络安全技术是保护计算机网络免受攻击和威胁的重要手段,通过使用防火墙、加密技术、入侵检测系统、访问控制技术、病毒防护技术、安全审计技术和数据备份和恢复技术等技术,可以有效地提高网络的安全性和可靠性。

网络工程(网络安全技术)

网络工程(网络安全技术)网络工程(网络安全技术)网络工程是指通过计算机网络将多个计算机系统连接起来,形成一个庞大的信息通信系统,以满足信息传输、资源共享和协作工作的需求。

而网络安全技术则是指利用各种技术手段,保护计算机网络中的信息和系统免受未经授权的访问、恶意攻击和数据泄露的威胁。

网络工程的目标是建立安全可靠、快速高效的计算机网络系统,使得用户能够在万维网上快速浏览、搜索信息,进行远程办公、学习和娱乐,实现信息共享和协作工作。

而网络安全技术则是确保网络系统免受各种安全威胁的侵害和破坏。

网络工程中的网络安全技术包括以下几个方面:1. 防火墙技术:防火墙是网络安全的第一道防线,通过设置防火墙可以限制网络流量和访问权限,过滤恶意流量和攻击。

防火墙技术能够阻止网络入侵和黑客攻击,保护网络系统的安全。

2. 入侵检测和防御技术:入侵检测和防御技术是通过监控网络流量和系统日志,及时发现并阻止未经授权的访问和恶意攻击。

入侵检测系统可以实时监测网络中的异常行为,并及时发出警报。

防御技术则是采取措施阻止攻击者的入侵行为,确保网络系统的安全。

3. 数据加密技术:数据加密技术是在数据传输和存储过程中,对敏感信息进行加密保护,防止数据被未经授权的人员窃取和篡改。

数据加密技术可以有效地保护用户的隐私和敏感信息。

4. 虚拟私人网络(VPN)技术:VPN技术通过在公共网络上建立加密隧道,使得用户在公共网络上的通信变得安全可靠。

VPN技术可以实现用户之间的隐私保护和数据传输的安全。

5. 安全审计和漏洞扫描技术:安全审计是对网络系统进行检查和评估,发现潜在的安全隐患和漏洞。

漏洞扫描技术则是通过主动扫描和测试网络系统的安全性,发现网络系统中存在的漏洞和安全风险。

网络工程中的网络安全技术是保护网络系统的重要手段,可以防止网络攻击和数据泄露的风险。

随着互联网和计算机网络的快速发展,网络安全问题越来越突出,网络工程师需掌握和应用网络安全技术,保护网络系统的安全。

网络工程师考试复习资料电子档

四级网络工程师目录第1章网络系统结构与设计的基本原则 1考纲透解 1大纲要求 1考频统计 1命题方向 1考点1 计算机网络的分类★★★ 2考点透解 2考题透解 3考点2 宽带城域网的结构特点★★★ 5考点透解 5考题透解 6考点3 宽带城域网的技术特征★★★ 8考点透解 8考题透解 10过关练习 13过关练习答案 14第2章中小型网络系统总体规划与设计方法 15考纲透解 15大纲要求 15考频统计 15命题方向 15考点1 基于网络的信息系统基本结构★★★ 16考点透解 16考题透解 17考点2 网络需求分析★★★ 18考点透解 18考题透解 19考点3 网络总体规划设计★★★ 21考点透解 21考题透解 22考点4 网络关键设备选型★★★ 24考点透解 24考题透解 25考点5 网络服务器选型★★★ 29考点透解 29考题透解 29考点6 网络系统安全设计★★★ 32考点透解 32考题透解 33过关练习 35过关练习答案 36第3章IP地址规划设计技术 37考纲透解 37大纲要求 37考频统计 37命题方向 37考点1 IP地址划分★★★ 38考点透解 38考题透解 41考点2 IP地址规划方法★★★ 44考点透解 44考题透解 46过关练习 49过关练习答案 50第4章路由设计基础 51考纲透解 51大纲要求 51考频统计 51命题方向 51考点1 路由选择算法★★★ 52考点透解 52考题透解 53考点2 自治系统与Internet路由选择协议★★★ 55 考点透解 55考题透解 58过关练习 63过关练习答案 64第5章局域网技术 65考纲透解 65大纲要求 65考频统计 65命题方向 65考点1 局域网基本知识★★★ 66考点透解 66考题透解 68考点2 综合布线★★★ 71考点透解 71考题透解 73考点3 以太网组网★★★ 77考点透解 77考题透解 79考点4 局域网互联设备★★★ 82考点透解 82考题透解 84过关练习 86过关练习答案 89第6章交换机及其配置 90考纲透解 90大纲要求 90考频统计 90命题方向 90考点1 交换机的基本工作原理★★★ 91 考点透解 91考题透解 93考点2 交换机的结构与分类★★★ 94考点透解 94考题透解 96考点3 交换机的配置★★★ 99考点透解 99考题透解 102考点4 交换机端口的基本配置★★★ 104考题透解 105考点5 交换机VLAN的配置★★★ 106考点透解 106考题透解 108考点6 交换机STP的配置★★★ 110考点透解 110考题透解 112过关练习 113过关练习答案 115第7章路由器及其配置 116考纲透解 116大纲要求 116考频统计 116命题方向 116考点1 路由器基本操作与配置方法★★★ 117考点透解 117考题透解 118考点2 路由器接口配置★★★ 120考点透解 120考题透解 122考点3 静态路由配置★★★ 125考点透解 125考题透解 125考点4 RIP动态路由配置★★★ 128考点透解 128考题透解 129考点5 OSPF动态路由配置★★★ 130考点透解 130考题透解 132考点6 路由器的DHCP功能及其配置★★★ 134 考点透解 134考题透解 136考点7 访问控制列表的配置★★★ 137考点透解 137过关练习 142过关练习答案 145第8章无线局域网设备安装与调试 146考纲透解 146大纲要求 146考频统计 146命题方向 146考点1 无线网络的基础知识★★★ 147考点透解 147考题透解 148考点2 无线局域网设计的基本知识★★★ 149考点透解 149考题透解 151考点3 无线局域网设备★★★ 153考点透解 153考题透解 154过关练习 156过关练习答案 156第9章计算机网络信息服务系统的安装与配置 157 考纲透解 157大纲要求 157考频统计 157命题方向 157考点1 DNS服务器的安装配置★★★ 158考点透解 158考题透解 160考点2 DHCP服务器的安装配置★★★ 163考点透解 163考题透解 165考点3 WWW服务器的安装配置★★★ 168考点透解 168考题透解 169考点4 FTP服务器的安装配置★★★ 171考点透解 171考点5 E-mail服务器的安装配置★★★ 176考点透解 176考题透解 178过关练习 180过关练习答案 182第10章网络安全技术 183考纲透解 183大纲要求 183考频统计 183命题方向 183考点1 网络安全的概念★★★ 184考点透解 184考题透解 187考点2 数据备份技术★★★ 189考点透解 189考题透解 190考点3 数据加密技术★★★ 193考点透解 193考题透解 194考点4 防病毒、防火墙与入侵检测技术★★★ 196 考点透解 196考题透解 198过关练习 202过关练习答案 203第11章网络管理技术 204考纲透解 204大纲要求 204考频统计 204命题方向 204考点1 网络管理的基本知识★★★ 205考点透解 205考题透解 208考点2 网络管理★★★ 211考点透解 211考点3 常见网络故障及漏洞扫描★★★ 216 考点透解 216考题透解 217过关练习 220过关练习答案 221第12章综合题 222考纲透解 222大纲要求 222命题方向 222考点1 IP地址划分 222考点透解 222考题透解 223考点2 交换机的配置 224考点透解 224考题透解 224考点3 路由器的配置 232考点透解 232考题透解 233考点4 DHCP的配置 235考点透解 235考题透解 235考点5 利用工具监控和管理网络 240考点透解 240考题透解 240考点6 大综合题 242考题透解 242过关练习 246过关练习答案 252第13章模拟试卷 25513.1 模拟试卷一 25513.2 模拟试卷二 26213.3 模拟试卷三 26713.4 模拟试卷四 27113.5 模拟试卷五 277命题方向一、总的情况1. 本章作为学习网络系统的基础部分以了解为主。

《网络安全技术 》课件


三、常见网络安全攻击方式
网络钓鱼
攻击者通过伪造合法的通信,诱骗用户揭示 敏感信息。
拒绝服务攻击
攻击者通过发送大量请求使网络资源超载, 导致服务不可用。
勒索软件
加密用户数据并要求赎金,以解密数据。
缓冲区溢出
攻击者利用软件漏洞,将超出缓冲区大小的 数据注入到程序中。
四、网络安全技术简介
1 防火墙技术
哈希加密
将数据转换为固定长度的哈希 值,验证数据完整性。
八、访问控制技术
类别 基于角色的访问控制(RBAC) 强制访问控制(MAC) 自主访问控制(DAC)
描述
根据用户角色和权限进行访问控制,授权灵活 高效。
根据固定的安全级别进行访问控制,全面保护 系统资源。
根据用户自主控制访问权限,便于管理和灵活 授权。
《网络安全技术》PPT课 件
网络安全技术课件将深入介绍网络安全的各个方面,包括网络安全的基本概 念、威胁、攻击方式、技术简介以及最新发展动态。
一、网络安全介绍
网络安全是保护计算机网络及其使用的数据不受未经授权访问、破坏或更改 的技术和措施。
二、网络安全威胁
网络安全面临的威胁包括恶意软件、黑客攻击、数据泄露以及社交工程等。
• 软件防火墙 • 硬件防火墙 • 应用级网关
功能
• 过滤网络流量 • 监控网络通信 • 控制访问权限
实现
• 包过滤(Packet Filtering) • 应用代理
(Application Proxy) • 状态检测(Stateful
Inspection)
六、入侵检测技术
1
网络入侵检测系统(NIDS)
十六、网络安全政策与规范
网络安全政策和规范用于指导和规范组织的网络安全行为。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

10.1.4 网络安全模型
1.基本模型 在网络信息传输中,为了保证信息传输的安全 性,一般需要一个值得信任的第三方,负责向源 结点和目的结点进行秘密信息分发,同时在双方 发生争执时,也要起到仲裁的作用。在基本的安 全模型中,通信的双方在进行信息传输前,先建 立起一条逻辑通道,并提供安全的机制和服务, 来实现在开放网络环境中信息的安全传输。 (1)从源结点发出的信息,使用如信息加密等加 密技术对其进行安全的转,从而实现该信息的保 密性,同时也可以在该信息中附加一些特征的信 息,作为源结点的身份验证。
图10-4 加密与解密的流程
2.密钥 加密与解密的操作过程都是在一组密钥的控下 进行的,这个密钥可以作为加密算法中可变参数, 它的改变可以改变明文与密文之间的数学函数关 系。 表10-2 密钥位数与尝试密钥的个数
密钥位数 40 56 64 尝试个数 密钥位数 112 尝试个数
240 = 109951162776
(1)机密性 (2)完整性 (3)可用性 4 (4)可鉴别性 (5)不可抵赖性
10.1.4 计算机系统安全等级
1.D类 D类的安全级别最低,保护措施最少且没有安 全功能。 2.C类 C类是自定义保护级,该级的安全特点是系统 的对象可自主定义访问权限。C类分为两个级别: C1级与C2级。 (1)C1级 C1级是自主安全保护级,它能够实现用户与数 据的分离。数据的保护是以用户组为单位的,并 实现对数据进行自主存取控实现制。
2.常用对称密钥技术 常用的对称密钥算法有DES算法与IDES算法。 (1)DES算法 DES算法是一种迭代的分组密码,它的输入与 输出都是64,包括一个56位的密钥和附加的8位 奇偶校验位。 (2)IDEA算法 IDEA算法的明文与密文都是64位的,密钥的长 度为128位,它是比DEA算法更有效的算法。
图10-12 包过滤路由器的数据包转发过程
图10-13 屏蔽子网结构示意图
10.4.4 防火墙的安装与配置
1.防火墙的网络接口 (1)内网 内网一般包括企业的内部网络或是内部网络的 一部分。 (2)外网 外网指,要通过防火墙来实现访 问限制。 (3)DMZ (非军事化区) DMZ是一个隔离的网络,可以在这个网络中放 置Web服务器或是E-mail服务器等,外网的用户 可以访问DMZ。
图10-1 信息安全威胁
10.1.2 网络攻击
1.服务攻击 服务攻击即指对网络中的某些服务器进行攻击, 使其“拒绝服务”而造成网络无法正常工作。 2.非服务攻击 利用协议或操作系统实现协议时的漏洞来达到 攻击的目的,它不针对于某具体的应用服务,因 此非服务攻击是一种更有效的攻击手段。
10.1.3 网络安全的基本要素
10.4 防火墙
10.4.1 防火墙的基本概念 (1)所有的从外部到内部的通信都必须经过它。 (2)只有有内部访问策略授权的通信才能被允许 通过。 (3)系统本身具有很强的高可靠性。 图10-7 防火墙的安装位置
10.4.2 防火墙的基本类型
1.包过滤路由器 图10-8 包过滤路由器的工作原理
2.应用网关 图10-9 应用网关的工作原理
10.2 数据备份
10.2.1 数据备份模型 1.物理备份 物理备份是将磁盘块的数据从拷贝到备份介质 上的备份过程,它忽略了文件和结构,它也被称 为“基于块的备份”和“基于设备的备份”。 2.逻辑备份 逻辑备份顺序地读取每个文件的物理块,并连续 地将文件写在备份介质上,实现每个文件的恢复, 因此,逻辑备份也被称为“基于文件的备份”。
(3)B3级 B3级是安全级,它能够实现访问监控器的要求, 访问监控器是指监控器的主体和客体之间授权访 问关系的部件。该级还支持安全管理员职能、扩 充审计机制、当发生与安全相关的事件时将发出 信号、同时可以提供系统恢复过程。 4.A类 A类是可验证的保护级。它只有一个等级即A1 级。A1级的功能与B3几乎是相同的,但是A1级 的特点在于它的系统拥有正式的分析和数学方法, 它可以完全证明一个系统的安全策略和安全规格 的完整性与一致性。同时,A1级还规定了将完全 计算机系统运送到现场安装所遵守的程序。
10.3 加密技术
10.3.1 加密与解密 1.基本流程 A发送消息“Password is welcome”这样的报 文给B,但不希望有第三个人知道这个报文的内 容,因此他使用一定的加密算法,将该报文转换 为别人无法识别的密文,这个密文即使在传输的 过程中被截获,一般人也无法解密。当B收到该 密文后,使用共同协商的解密算法与密钥,则将 该密文转化为原来的报文内容。
第10章 网络安全技术
本章要点: 10.1 基本概念 10.2 数据备份 10.3 加密技术 10.4 防火墙 10.5 防病毒 10.6 入侵检测
10.1 基本概念
10.1.1 信息安全威胁 1.窃听 信息在传输过程中被直接或是间接地窃听网络 上的特定数据包,通过对其的分析得到所需的重 要信息。数据包仍然能够到到目的结点,其数据 并没有丢失。 2.截获 信息在传输过程中被非法截获,并且目的结点 并没有收到该信息,即信息在中途丢失了。
10.4.3 防火墙的结构
1.包过滤型结构 包过滤型结构是通过专用的包过滤路由器或是 安装了包过滤功能的普通路器来实现的。包过滤 型结构对进出内部网络的所有信息进行分析,按 照一定的安全策略对这些信息进行分析与限制。 2.双宿网关结构 连接了两个网络的多宿主机称为双宿主机。多 宿主机是具有多个网络接口卡的主机,每个接口 都可以和一个网络连接,因为它能在不同的网络 之间进行数据交换换,因此也称为网关。双宿网 关结构即是一台装有两块网卡的主机作为防火墙, 将外部网络与同部网络实现物理上的隔开。
10.3.3 非对称密钥技术
1.工作原理 不可能从任何一个密钥推导出另一个密钥。同 时加密密钥为公钥是可以公开的,而解密密钥为 私钥是保密的。在此,非对称密钥技术也被称为 公钥加密加技术。 图10-6 非对称密钥技术
2.常用非对称密钥技术 常用的非对称密钥算法包括RSA算法、DSA算 法、PKCS算法与PGP算法。其中最常见的技术 即为RSA算法,它的理论基础是数论中大素数分 解,它的保密性随着密钥的长度的增加而增强。 但是,现在使用这种算法来加密大量的数据,其 实现的速度太慢了,因此该算法现在广泛应用于 密钥的分发。 重点提示: ※重点提示:加密的基本思想即是将明文转变 为密文,而解密则是将密文转变为明文,这样保 证了信息传输的保密性。密钥是加重密算法中的 可变参数,密钥的位数长度决定了加密算法的安 全性。传统的密码体制包括对称密码体制和非对 称密码体制。
图10-11 双宿网关结构
3.屏蔽主机结构 屏蔽主机结构将所有的外部主机强制与一个堡 垒主机相连,从而不允许它们直接与内部网络的 主机相连,因此屏撇主机结构是由包过滤路由器 和堡垒主机组成的。 4.屏蔽子网结构 屏蔽子网结构使用了两个屏蔽路由器和两个堡 垒主机。在该系统中,从外部包过滤由器开始的 部分是由网络系统所属的单位组建的,属于内部 网络,也称为“DMZ网络”。外部包过滤路由器 与外部堡垒主机构成了防火墙的过滤子网;内部 包过滤路由器和内部堡垒主机则用于对内部网络 进行进一步的保护。
3.伪造 没有任何信息从源信息结点发出,但攻击者伪 造出信息并冒充源信息结点发出信息,目的结点 将收到这个伪造信息。 4.篡改 信息在传输过程中被截获,攻击者修改其截获 的特定数据包,从而破坏了数据的数据的完整性, 然后再将篡改后的数据包发送到目的结点。在目 的结点的接收者看来,数据似乎是完整没有丢失 的,但其实已经被恶意篡改过。 重点提示: ※重点提示:网络安全是指利用各种网络监控 和管理技术,对网络系统的硬、软件和系统中的 数据资源进行保护,从而保证网络系统连续、安 全且可靠的运行。网络中存在的信息安全威胁有 窃听、截获、伪造和篡改。
3.应用代理 图10-10 应用代理的工作原理
4.状态检测 状态检测能通过状态检测技术,动态地维护各 个连接的协议状态。 重点提示: ※重点提示:防火墙在网络之间通过执行控制 策略来保护网络系统,防火墙包括硬件和软件两 部分。防火墙根据其实现技术可以分为:包过滤 路由器、应用网关、应用代理和状态检测4类。 4
(2)源结点与目的结点应该共享如加密密钥这样 的保密信息,这些信息除了发送双方和可信任 的第三方以外,对其他用户都是保密的。 图10-2 网络安全基本模型
2.P2DR模型 (1)安全策略(Policy) 安全策略是模型中的防护、检测和响应等部分 实施的依据,一个安全策略体系的建立包括策略 的制定、评估与执行。 (2)防护(Protection) 防护技术包括:防火墙、操作系统身份认证、 数据加密、访问控制、授权、虚拟专用网技术和 数据备份等,它对系统可能出现的安全问题采取 预防措施。 (3)检测(Detection) 检测功能使用漏洞评估、入侵检测等系统检测 技术,当攻击者穿透防护系统时,发挥功用。
10.2.3 数据备分的设备
1.磁盘阵列 2.磁带机 3.磁带库 4.光盘塔 5.光盘库 6.光盘镜像服务器
10.2.4 数据备份的策略
1.完全备份 完全备份即是将用户指定的数据甚至是整个系 统的数据进行完全的备份。 2.增量备份 增量备份是针对完全备份,在进行增量备份, 只有那些在上次完全或者增量备份后被修改了的 文件才会被备份。 3.差异备份 差异备份是将最近一次完全备份后产生的所有 数据更新进行备份。差异备份将完全恢复时所涉 及到的备份文件数量限制为2 个。
256 = 7.205759403793 ×1016
128
2112 = 5.192296858535 ×1033
2128 = 3.402823669209 ×1038
264 = 1.844674407371×1019
10.3.2 对称密钥技术
1.工作原理 对称密钥技术即是指加密技术的加密密钥与解 密密钥是相同的,或者是有些不同,但同其中一 个可以很容易地推导出另一个。 图10-5 对称密钥技术