当前位置:文档之家 › 第6章 网络安全技术基础

第6章 网络安全技术基础

  • 格式:ppt
  • 大小:754.50 KB
  • 文档页数:39

下载文档原格式

  / 39

合集下载

网络安全技术基础

网络安全技术基础

4
TCP UDP SPX
2.2.1 开放式系统互连参考模型
层次 名称 主要功能 功能概述 应用示例 IP、IPX、 、 、 为传输层实体的数据包实施 ARP、RARP 、 数据走什么路 分组交换、路由选择、 分组交换、路由选择、拥塞 径可以到达? 径可以到达? 、IGMP 、 控制 ICMP
3
网络层
2.1.2 网络安全技术体系
系统层即指传输层。 注:系统层即指传输层。 系统层即指传输层
2.1.3 典型的网络安全协议 1. IPSec IPSec(Internet Protocol Security)因特网安全协议 因特网安全协议 IPSec是在 包级为IP业务提供保护的安全协议 业务提供保护的安全协议, IPSec是在IP包级为 业务提供保护的安全协议, 是在 保密和 认证 认证服 目的是使用现代密码学方法支持ESP保密和AH认证服 保密 目的是使用现代密码学方法支持 使用户能有选择地使用,得到所期望的安全服务。 有选择地使用 务,使用户能有选择地使用,得到所期望的安全服务。 2. SSL SSL(Secure Sockets Layer)安全套接字层 安全套接字层 SSL由两层组成: SSL记录协议和SSL握手协议。 由两层组成: 记录协议和 握手协议。 由两层组成 记录协议 握手协议 主要优点: 协议独立于应用层, 传输层和 主要优点:SSL协议独立于应用层,是在传输层和应用 协议独立于应用层 是在传输层 之间实现加密传输的应用最广泛的协议。 加密传输的应用最广泛的协议 层之间实现加密传输的应用最广泛的协议。
2.2.3 网络安全层次特征体系
为了更好地理解网络安全层次体系,也可以将计 为了更好地理解网络安全层次体系,也可以将计 看成一个由多个安全单元组成的集合。 算机网络安全看成一个由多个安全单元组成的集合 算机网络安全看成一个由多个安全单元组成的集合。

网络安全技术基础

网络安全技术基础
网络安全技术基础
汇报人:
时间:2024年X月
目录
第1章 网络安全概述 第2章 网络威胁概述 第3章 网络安全技术 第4章 网络安全管理 第5章 网络安全技术应用 第6章 网络安全未来发展 第7章 网络安全技术基础
● 01
第1章 网络安全概述
网络安全概念
网络安全是指保护网络免受未经授权访问、损 坏或更改的技术和政策的总称。随着互联网的 普及,网络安全变得至关重要。确保网络安全 可以保护个人隐私和企业重要信息,防止数据 泄露和恶意攻击。
区块链安全
区块链原理
分布式账本 共识算法
区块链应用安全
智能合约安全 数据隐私保护
区块链技术挑战
扩容性问题 私钥管理
网络安全技术应用总结
云安全
01 数据保护
移动安全
02 应用保护
物联网安全
03 设备保护
总结
网络安全技术应用涉及到多个方面, 包括云安全、移动安全、物联网安 全和区块链安全。在现代社会中, 随着信息技术的不断发展,网络安 全的重要性愈发凸显。了解并应用 这些网络安全技术,可以更好地保 护个人和组织的信息资产,确保网 络数据的机密性、完整性和可用性。
总结
网络安全管理涉及众多方面,从制 定策略到培训、监控和评估,每个 环节都至关重要。只有建立完善的 管理体系,才能有效应对网络安全 威胁,确保信息安全和系统稳定运 行。
● 05
第五章 网络安全技术应用
云安全
云安全是指保护云计算环境中的数据、应用程 序和服务免受各种安全威胁和攻击。云安全架 构是构建在云服务提供商基础设施之上的安全 框架,云安全策略则是为保护云环境中的敏感 数据和应用而制定的策略。选择合适的云安全 服务提供商对于确保云数据的安全至关重要。

第6章 计算机网络安全

第6章 计算机网络安全

(3)漏洞和后门的区别 漏洞和后门是不同的,漏洞是不可避免的, 无论是硬件还是软件都存在着漏洞;而后门 是完全可以避免的。漏洞是难以预知的,而 后门是人为故意设置的。
2.操作系统的安全
(1)Unix操作系统 ①Unix系统的安全性:控制台安全是Unix系统 安全的一个重要方面,当用户从控制台登录 到系统上时,系统会提示一些系统的有关信 息。提示用户输入用户的使用账号,用户输 入账号的内容显示在终端屏幕上,而后提示 用户输入密码,为了安全起见,此时用户输 入的密码则不会显示在终端屏幕上。如果用 户输入错误口令超过3次后,系统将锁定用户, 禁止其登录,这样可以有效防止外来系统的 侵入。
②Windows 2000的安全漏洞 资源共享漏洞、资源共享密码漏洞、Unicode 漏洞、全拼输入法漏洞、Windows 2000的账 号泄露问题、空登录问题等。这些漏洞除了 空登录问题需要更改文件格式从FAT32到NTFS 外,其余的漏洞在Microsoft最新推出的补丁 中已经得到纠正。
3.Windows XP操作系统
(1)公钥密码体制基本模型 明文:作为算法输入的可读消息或数据。 加密算法:加密算法对明文进行各种各样的 转换。 公共的和私有的密钥:选用的一对密钥,一 个用来加密,一个用来解密。解密算法进行 的实际转换取决于作为输入提供的公钥或私 钥。 密文:作为输出生成的杂乱的消息,它取决 于明文和密钥,对于给定的消息,两种不同 的密钥会生成两种不同的密文。 解密算法:这种算法以密文和对应的私有密 钥为输入,生成原始明文。
(2)加密技术用于网络安全通常有两种形式:
面向网络服务的加密技术通常工作在网络层 或传输层,使用经过加密的数据包传送、认 证网络路由及其他网络协议所需的信息,从 而保证网络的连通性和可用性不受损害。 面向网络应用服务的加密技术,不需要对电 子信息(数据包)所经过的网络的安全性能提 出特殊要求,对电子邮件等数据实现了端到 端的安全保障。

第六章(计算机网络基础与应用)

第六章(计算机网络基础与应用)
网络拓扑结构通常可以反映出网络中各实 体之间的结构关系 。不同的结构其信道 访问技术、性能(包括各种负载下的延迟、 吞吐量、可靠性以及信道利用率等)、设 备开销等各不相同,分别适用于不同场合。
常见的网络 拓扑结构
总线型网络 环型网络 星型网络
树型网络 网状结构与混合结构
6
(一)总线型(BUS) 总线型连接方法如下图所示。这种连接方法是用一 条电缆将电脑串联起来。
19
(1)双绞线 双绞线由外面包裹着绝缘层的铜芯导线组成。两根 导线绞合在一起形成一对线,而且这一对线构成平衡 电路(每一对线里的电压幅度相同而相位相反)。通 过绞合可以免受EMI(电磁干扰)和RFI(无线电频率 干扰)干扰。
20
(2)光缆 光缆由居中的玻璃纤芯组成,光波就通过它传播。 纤芯外面包裹着玻璃包层,它主要将纤芯中的光波反 射回纤芯。一层厚塑料外护套包裹着这套组件,为了 提高强度还加上了特殊的纤维织物。
对话的语言。
客户机 客户机
网络服务:网络相关软件。
邮件服务器
文件服务器
返回
3
计算机网络基础
6.1.1 计算机网络的产生与发展
最早的计算机网络始于20世纪50年代,是以单台计 算机为主机的远程联机系统,称为面向终端的计算机网络 。连接到远程主机的终端没有自主处理能力,它们共享远 程主机的处理能力。
modem 前 端 机 公 用 电 话 网 modem
9
(二)星型(STAR) 星型连接方法如下图所示。
10
1.星型的特点 (1)每一个终端(Terminal)均有一条专用链路与中心(CENTER) 相连。 (2)中心设备可靠性要求高,属于集中控制。 (3)要扩展网络较难(例如新增用户)受端口数和软件的限制 。 (4)访问协议简单:只要解决各站点与中心的信息交换即可。 2.优点 (1)由于每个站点直接连至中心设备,故障检测和隔离都比较 简单。如果某站点出现故障,可方便地将该站点从系统中删除 。 (2)如果某终端与中心的专用链路出现故障,则不会影响网络 的其他终端的正常工作,只有该终端受影响。

网络安全基础第三版课后完整答案

网络安全基础第三版课后完整答案

网络安全基础第三版课后完整答案加油计算机网络安全第一章:1、什么是OSI安全体系结构?安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?认证,访问控制,数据机密性,数据完成性,不可抵赖性5、列出并简要定义安全机制的分类?加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。

第二章:1、对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法2、加密算法使用的两个基本功能是什么?替换和转换3、两个人通过对称密码通信需要多少个密钥?1个4、分组密码和流密码的区别是什么?流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。

比如des是64比特的明文一次性加密成密文。

密码分析方面有很多不同。

比如流密码中,比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同。

比如流密码通常是在特定硬件设备上实现。

分组密码既可以在硬件实现,也方便在计算机上软件实现。

5、攻击密码的两个通用方法是什么?密钥搜索和夯举方法6、什么是三重加密?在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES 的强度大约和112-bit的密钥强度相当。

三重DES有四种模型。

(a)使用三个不同密钥,顺序进行三次加密变换(b)使用三个不同密钥,依次进行加密-解密-加密变换(c)其中密钥K1=K3,顺序进行三次加密变换(d)其中密钥K1=K3,依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密?3DES加密过程中的第二步使用的解密没有密码方面的意义。

它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据8、链路层加密和端到端加密的区别是什么?对于链路层加密,每条易受攻击的通信链路都在其两端装备加密设备。

《网络安全法教程》 6+第六章 网络运行安全一般规定

《网络安全法教程》 6+第六章 网络运行安全一般规定

▪ (二)网络安全等级保护工作具体内容和要求 ▪ 1、定级备案 定级备案是整个网络安全等级保护的首要环节,是开展网络建设、整改、测评、监督检查等后续工作 的重要基础。 ▪ 2、自查、测评与整改 自查、测评和整改是公安机关执行网络安全等级保护检查工作的重要内容,至少每年一次的自查与测 评,也是公安机关实现对网络进行监督管理的重要手段,
▪ (三)法律责任及案例分析
《网络安全法》第六十一条规定,网络运营者违反本法第二十四条第一款规定,未要求用户提供真实 身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正 或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业 整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人 员处一万元以上十万元以下罚款。
网络安全法教程
第六章 网络运行安全一般规定
第六章 网络运行安全一般规定
▪ 【内容提要】本章介绍了网络运营者、网络 设备、产品和服务、其他相关行为主体的网 络运行安全要求,网络安全的支持与协作, 以及涉密网络的安全保护要求,力图使读者 了解《网络安全法》中网络运行安全的一般 规定。
第一节 网络运营者的安全要求
第二节 网络设备、产品和服务的安全要求
▪ 一、网络设备和服务的通用安全要求
▪ (一)网络产品和服务的安全基线
▪ 1、不得设置恶意程序
2、安全风险应对要求
▪ 3、安全维护要求
4、用户信息的收集及保护要求
▪ (二)网络产品和服务安全的审查办法
作为《网络产品和服务安全通用要求》(送审稿)的配套法规,《网络产品和服务安全审查办法(试 行)》首次明确了对“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”进行安全审 查的要求,审查内容是产品和服务的“安全性、可控性”,而“安全、可控”的具体标准又由《信息 技术产品安全可控评价指标》(GB/T 36630-2018)进行规定。

第六章第七章网络知识与网络安全(修订后)

一、单选题**1. 计算机网络是按照()相互通信的。

A.网络协议B. 信息交换方式C. 传输装置D. 分类标准答案A*2.建立计算机网络的最主要的目的是()。

A. 提高内存容量B. 提高计算精度C. 提高运算速度D. 共享资源答案D*3.要浏览Internet网页,需要知道()。

A. 网页制作的过程B. 网页设计的风格C. 网页的作者D. 网页的URL地址答案D**4.OSI参考模型是国际标准化组织制定的模型,把计算机之间的通信分成()个互相连接的协议层A. 6B. 7C. 5D. 8答案B**5. 电子邮件地址有两部分组成。

即:用户名@()。

A. 邮件服务器名B. 设备名C. 匿名D. 文件名答案A***6.以下为互联网中正确IP地址的是()。

A. 128.128.1B. 0.0.1.259C. 255.255.258.359D. 128.127.0.1答案D**7.所谓加密是指将一个信息经过()及加密函数转换,变成无意义的密文,而接受方则将此密文经过解密函数,()还原成明文。

A. 解密钥匙、解密钥匙B. 解密钥匙、加密钥匙C. 加密钥匙、解密钥匙D. 加密钥匙、加密钥匙答案C**8.下列对Internet说法错误的是()。

A. 客户机上运行的是WWW浏览器B. 服务器上运行的是Web文件C. 客户机上运行的是Web服务程序D. 服务器上运行的是Web服务程序答案C*9.Internet采用的通信协议是()。

A. TCP/IPB. FTPC. WWWD. SPX/IP答案A**10.下面关于Internet网上的计算机地址的叙述,错误的是()。

A. Internet网上的域名是唯一的,不能同时分配给两台计算机B. Internet网上的IP地址是唯一的,不能同时分配给两台计算机C. Internet网上的计算机地址用域名或IP地址表示D. Internet网上的所有计算机的域名的长度是固定相同的答案D*11.接入Internet的主要方式有()。

网络安全技术概述ppt

网络安全技术概述ppt网络安全技术概述网络安全技术是指用于保护计算机网络、系统和数据资源免遭非法访问、使用、破坏和泄露的技术手段。

随着互联网和信息化的快速发展,网络安全问题日益突出,各种网络攻击手段层出不穷,因此网络安全技术显得尤为重要。

常见的网络安全技术包括:1. 防火墙技术:防火墙是一种位于计算机网络和外部网络之间的安全设备,通过监控和过滤网络流量,防止非法访问和攻击。

防火墙技术可以实现入侵检测和入侵防御,保护企业网络的安全。

2. 入侵检测和入侵防御技术:入侵检测系统(IDS)可以实时监控网络流量和系统日志,识别潜在的攻击行为,提供及时警报和通知。

入侵防御系统(IPS)则可以实施主动的防御措施,如封锁攻击来源的IP地址、屏蔽攻击流量等。

3. 数据加密技术:数据加密是指将原始数据使用加密算法转换为密文,并通过密钥将其还原为明文的过程。

数据加密技术可以保护数据在传输、存储和处理过程中的安全性,防止未经授权的访问和篡改。

4. 虚拟专用网络(VPN)技术:VPN技术可以通过在公共网络上建立加密隧道,实现远程用户对私有网络的访问。

VPN技术可以提供安全的远程访问和数据传输,保护用户隐私和数据安全。

5. 电子邮件过滤技术:电子邮件是网络通信的重要方式,也是网络攻击的重点目标。

电子邮件过滤技术可以识别和拦截含有恶意软件、垃圾邮件和网络钓鱼等内容的邮件,保护用户账号和计算机系统的安全。

6. 身份认证技术:身份认证是指确认用户身份的过程。

常见的身份认证技术包括口令认证、指纹认证、刷卡认证等。

身份认证技术可以防止非法用户冒充合法用户进入系统,保护系统和数据的安全。

7. 无线网络安全技术:随着无线网络的普及,无线网络安全问题愈发突出。

无线网络安全技术包括无线网络加密、身份认证、无线勒索等,可以保护无线网络不受未经授权的访问和攻击。

综上所述,网络安全技术是不可或缺的,必须与计算机网络和系统一起发展。

通过使用安全设备、加密技术、身份认证和网络隔离等技术手段,可以提高网络安全水平,保护计算机网络和系统的安全。

第6章 网络安全基础


6.2.4建立网络安全策略
1.网络安全策略的定义
所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、 必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的或 非授权的访问和破坏所提供的全局的指导,或者说,是指网络管理部门根 据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安 全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方 面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、安全策略改变的能力以及对安全系统实施审计、管理和漏洞检
查等措施。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任 追查和重要数据恢复等保障。
6.2.2 ISO的网络安全体系结构标准 安全体系结构的目的是从技术上保证安全目标全部准确地实现,包括 确定必要的安全服务、安全机制和技术管理以及它们在系统上的配置。 国际标准化组织在ISO7498-2中描述的开放系统互连OSI安全体系结 构确立了5种基本安全服务和8种安全机制。
受控的访问控制 存取控制以用户为单位,广泛的审计 选择的安全保护 有选择的存取控制,用户与数据分离,数据的 保护以用户组为单位 保护措施很少,没有安全功能
D
D1
最小保护
美国国防部的标准自问世以来,一直是评估多用户主机和小型操作 系统的标准。其他方面,如数据库安全、网络安全也一直是通过这本美 国国防部标准的桔皮书进行解释和评估的,如可信任网络解释(Trusted Network Interpretation)和可信任数据库解释(Trusted Database Interpretation)等。
6.1.3网络安全要素
1.保密性 2.完整性 3.可用性 4.可控性 5.不可否认性
6.1.4网络安全面临的主要威胁

第6章 网络安全技术


数字签名过程
签名验证过程
6.3 常见的网络安全技术
6.3.1 防火墙 (1)防火墙的基本概念
防火墙是指设置在不同网络或网络安全域之间的一 系列部件的组合。它是不同网络或网络安全域之间信息 的唯一出入口,能根据企业的安全策略控制(允许、拒 绝、监测)出入网络的信息流,且本身具有较强的抗攻 击能力。它是提供信息安全服务、实现网络和信息安全 的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也 是一个分析器。它有效地监控了内部网和Internet之间 的任何活动,保障了内部网络的安全。
6.2 数据加密和数字签名
计算机网络的安全主要涉及传输的数据和存储的 数据的安全问题。它包含两个主要内容:一是数据保密 性,即防止非法地获悉数据;二是数据完整性,即防止 非法地编辑数据。解决这个问题的基础是现代密码学。
6.2.1 数据加密
用户在网络上相互通信,其主要危险是被非法窃听。因 此,对网络传输的报文进行数据加密,是一种很有效的反窃 听手段。通常采用某种算法对原文进行加密,然后将密码电 文进行传输,即使被截获,一般也难以及时破译。
(2)防范黑客入侵的措施
①选用安全的口令 ②实施存取控制 ③确保数据的安全 ④定期分析系统日志 ⑥不断完善服务器系统的安全性能 ⑦进行动态站点监控 ⑧用安全管理软件测试自己的站点 ⑨做好数据的备份工作 ⑩使用防火墙
⑤谨慎开放缺乏安全保障的应用和端口
ห้องสมุดไป่ตู้
(1)传统加密算法 传统的加密方法,其密钥是由简单的字符串组成的,可 以经常改变。因此,这种加密模型是稳定的,其优点就在 于可以秘密而又方便地变换密钥,从而达到保密的目的, 传统加密方法可以分为两大类:替代密码和换位密码。 (2)私钥密码体制 DES是对称加密算法中最具代表性的一种,又称为对称 密码或私钥密码。DES是两种基本的加密方法――替代和换 位细致而复杂的结合。 DES由于加密和解密时所用的密钥是相同或者相似的, 因此,可由加密密钥推导得出解密密钥,反之亦然,密钥 采用另外一个安全信道来发送。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
被动攻击又称为通信量分析,攻击者不干扰信息 被动攻击又称为通信量分析, 只是观察和分析某一个协议数据单元(PDU)。 )。被 流,只是观察和分析某一个协议数据单元(PDU)。被 动攻击往往是主动攻击的前奏。 动攻击往往是主动攻击的前奏。 主动攻击是指攻击者对某个连接中通过的PDU PDU进行 主动攻击是指攻击者对某个连接中通过的PDU进行 各种处理。主动攻击从类型上分为: 各种处理。主动攻击从类型上分为: (1)更改报文流 (2)拒绝报文服务 (3)伪造连接初始化 (4)恶意攻击程序(计算机病毒、计算机蠕虫、 恶意攻击程序(计算机病毒、计算机蠕虫、 特洛伊木马和逻辑炸弹) 特洛伊木马和逻辑炸弹)
客户端
Internet 响应 转发请求 代理客户
应用代理的基本工作原理
6.2防火墙技术 6.2防火墙技术
6.2.3防火墙的系统结构 6.2.3防火墙的系统结构
1.防火墙系统结构的基本概念 1.防火墙系统结构的基本概念 防火墙是一个由软件与硬件组成的系统。 防火墙是一个由软件与硬件组成的系统。由于不同内部网络 的安全策略与防护目的不同, 的安全策略与防护目的不同,防火墙系统的配置与实现方式也有 很大的区别。简单的一个包过滤路由器或应用级网关、 很大的区别。简单的一个包过滤路由器或应用级网关、应用代理 都可以作为防火墙使用。 都可以作为防火墙使用。实际的防火墙系统要比以上原理性讨论 的问题复杂得多, 的问题复杂得多,它们经常将包过滤路由器与应用级网关作为基 本单元。采用多级的结构和多种组态。 本单元。采用多级的结构和多种组态。
6.2防火墙技术 6.2防火墙技术
3.典型防火墙的系统结构分析 3.典型防火墙的系统结构分析 (1)采用一个包过滤路由器与单堡垒主机组成的防火墙系统结构 )
Internet 客户机 路由器 单堡垒主机
采用一个包过滤路由器与单堡垒主机组成的防火墙
6.2防火墙技术 6.2防火墙技术
堡垒主机
包过滤路由器
6.2防火墙技术 6.2防火墙技术
2.堡垒主机的概念 2.堡垒主机的概念 从理论上讲, 从理论上讲,用一个双归属主机作为应用级网关可以起到 防火墙的作用。在这种结构中, 防火墙的作用。在这种结构中,应用级网关完全暴露给整个外 部网络,而应用级网关的自身安全会影响到整个系统的工作, 部网络,而应用级网关的自身安全会影响到整个系统的工作, 因此从防火墙设计者来说, 因此从防火墙设计者来说,运行应用级网关软件的计算机系统 必须非常可靠。人们把处于防火墙关键部位、 必须非常可靠。人们把处于防火墙关键部位、运行应用级网关 软件的计算机系统称为堡垒主机。 软件的计算机系统称为堡垒主机。
应用程序 访问控制
包过滤 规则
应用层 传输层
网络层 数据链路层 物理层 Internet 防火墙
网络层 数据链路层 物理层 内部网络
包过滤路由器与单堡垒主机组成的防火墙数据传输过程
6.2防火墙技术 6.2防火墙技术
(2)采用多级结构的防火墙系统 对于安全要求更高的应用领域, 对于安全要求更高的应用领域,还可以采用两个包过滤路由 器与两个堡垒主机组成的防火墙系统
6.2防火墙技术 6.2防火墙技术
6.2.1概述 6.2.1概述
防火墙是一种网络安全防护系统,是由软件和硬件构成, 防火墙是一种网络安全防护系统,是由软件和硬件构成,用 来在网络之间执行控制策略的系统。 来在网络之间执行控制策略的系统。设置防火墙的目的是保护内 部网络资源不被外部非授权用户使用。 部网络资源不被外部非授权用户使用。一般都将防火墙设置在内 部网络和外部网络之间。 部网络和外部网络之间。 防火墙的主要功能包括: 防火墙的主要功能包括: 检查所有从外部网络进入内部网络的数据包; 1)检查所有从外部网络进入内部网络的数据包; 检查所有从内部网络流出到外部网络的数据包; 2)检查所有从内部网络流出到外部网络的数据包; 执行安全策略,限制所有不符合安全策略要求的分组通过; 3)执行安全策略,限制所有不符合安全策略要求的分组通过; 具有防攻击能力,保证自身的安全性。 4)具有防攻击能力,保证自身的安全性。
6.2防火墙技术 6.2防火墙技术
2.应用级网关 2.应用级网关 (1)多归属主机 多归属主机又称为多宿主主机, 多归属主机又称为多宿主主机,它是具有多个网络接口卡 的主机,其结构如图所示。 的主机,其结构如图所示。如果将多归属主机用在应用层的用户 身份认证与服务请求合法性检查上, 身份认证与服务请求合法性检查上,那么这一类可以起到防火墙 作用的多归属主机就叫做应用级网关,或应用网关。 作用的多归属主机就叫做应用级网关,或应用网关。
多级结构的防火墙系统示意图
6.3认证技术 6.3认证技术
6.3.1认证技术概述 6.3.1认证技术概述
认证技术主要解决网络通信过程中通信双方的身份认可。 认证技术主要解决网络通信过程中通信双方的身份认可。认 证方式一般有账户名/口令认证、使用摘要算法的认证、 证方式一般有账户名/口令认证、使用摘要算法的认证、基于 PKI(公钥基础设施)的认证等。 PKI(公钥基础设施)的认证等。 大多数情况下, 大多数情况下,授权和访问控制都是伴随在成功的认证之后 目前有关认证的使用技术主要有:消息认证、 的。目前有关认证的使用技术主要有:消息认证、身份认证和数 字签名。 字签名。
6.1 网络信息安全概述
计算机网络通信安全的六个目标: 计算机网络通信安全的六个目标: (1)防止析出报文内容 (2)防止通信量分析 (3)检测更改报文流 (4)检测拒绝报文服务 (5)检测伪造初始化连接 (6)防止和检测计算机病毒
6.1 网络信息安全概述
6.1.2计算机网络安全的内容 6.1.2计算机网络安全的内容
动 作 阻 塞 阻 塞 允 许 允 许
源主机 地址 OTHERH OST * * 192.3.8 .1
源端 口号 *
目的主 机地址 * OTHERH OST
192.3.8. 1
目的 端 口号
协 议 * * TC P
TC P
描 述 阻塞来自OTHERHOST的 数据包 阻塞传到OTHERHOST的 数据包 允许外部用户传送到 内部网络电子邮件服 务器的数据包 允许内部邮件服务器 传送到外部网络的电 子邮件数据包
6.2防火墙技术 6.2防火墙技术
6.2.2防火墙的实现 6.2.2防火墙的实现
防火墙系统往往由包过滤路由器和应用级网关组合而成, 防火墙系统往往由包过滤路由器和应用级网关组合而成,由 于组合方式有多种,因此防火墙系统的结构也有多种形式。 于组合方式有多种,因此防火墙系统的结构也有多种形式。
6.2防火墙技术 6.2防火墙技术
6.3认证技术 6.3认证技术
6.3.2消息认证 6.3.2消息认证
1、消息认证的概念 消息认证就是消息的接收者能够检验收到的消息是否正确的 方法。消息认证又称为完整性校验,它在银行业称为消息认证, 方法。消息认证又称为完整性校验,它在银行业称为消息认证, OSI安全模型中称为封装 消息认证的内容应包括: 安全模型中称为封装。 在OSI安全模型中称为封装。消息认证的内容应包括:证实消息 的信源和信宿;消息内容是否被有意或无意地篡改; 的信源和信宿;消息内容是否被有意或无意地篡改;消息的序号 和时间性是否正确。 和时间性是否正确。
服务器
应用级网关
应用程序 访问控制 内部网络 网络接口 网络接口
Internet
防火墙
工作站
外部网络
应用级网关原理示意图
6.2防火墙技术 6.2防火墙技术
(3)应用代理
应用代理是应用级网关的另一种 直实服务器 形式,但它们的工作方式不同。 形式,但它们的工作方式不同。应用 外部 级网关是以存储转发方式, 级网关是以存储转发方式,检查和确 应用层代理服务 定网络服务请求的用户身份是否合法, 定网络服务请求的用户身份是否合法, 应用协 决定是转发还是丢弃该服务请求。因 决定是转发还是丢弃该服务请求。 代理服务器 议分析 此从某种意义上说, 此从某种意义上说,应用级网关在应 用层“转发”合法的应用请求。 用层“转发”合法的应用请求。应用 请求 转发响应 代理与应用级网关不同之处在于: 代理与应用级网关不同之处在于:应 Intranet 用代理完全接管了用户与服务器的访 问,隔离了用户主机与被访问服务器 真实的 之间的数据包的交换通道。 之间的数据包的交换通道。
网络面临的安全威胁
6.1 网络信息安全概述
安全威胁可以分为两大类: 安全威胁可以分为两大类: 主动攻击:更改信息和拒绝用户使用资源的攻击。( 2,3,4) 。(如 主动攻击:更改信息和拒绝用户使用资源的攻击。(如2,3,4) 被动攻击:截获信息的攻击( 被动攻击:截获信息的攻击(如1)。
6.1 网络信息安全概述
第6章 网络安全技术基础
学习目标
1)了解计算机网络安全的主要内容 2)理解并掌握防火墙技术及其实现 3)了解认证技术的种类和实现方法 4)了解密码体制和加密技术
6.1 网络信息安全概述
6.1.1 网络面临的安全威胁
计算机网络通信面临的四种威胁: 计算机网络通信面临的四种威胁: 截获(Interception) 攻击者从网络上窃听他人的通信内容。 (1)截获(Interception) 攻击者从网络上窃听他人的通信内容。 中断(Interruption) 攻击者有意中断他人在网络上的通信。 (2)中断(Interruption) 攻击者有意中断他人在网络上的通信。 篡改(Modification) 攻击者故意篡改网络上传送的报文。 (3)篡改(Modification) 攻击者故意篡改网络上传送的报文。 伪造(Fabrication) 攻击者伪造信息在网络上传送。 (4)伪造(Fabrication) 攻击者伪造信息在网络上传送。
1.包过滤路由器 1.包过滤路由器 (1)包过滤基本概念
设置包过滤规则
分析包参数
根据过滤规则确定 包是否允许转发
y