计算机网络技术基础工业和信息化普通高等教育“十二五”规划教材周舸第十二章节网络安全.ppt

第十二章网络安全本章学****要点:网络安全概述防火墙技术网络防病毒技术网络安全技术的发展前景网络加密技术数字证书与数字签名入侵检测技术/,网络已经成为社会和经济发展的强大推动力,其地位越来越重要。但同时网络安全的问题也日益突出。网络安全涉及到国家安全、个人利益、企业生存等方方面面,因此它是信息化进程中具有重大战略意义的问题。计算机犯罪始于二十世纪80年代,随着网络应用范围的逐步扩大,其犯罪手段日见“高明”,计算机网络安全面临严重威胁,安全事故屡有发生。从目前来看,网络安全的状况令人十分担忧,从技术到管理都处于落后、被动局面。TCP/的标准协议,传统的网络应用都是基于此协议的,因而大部分网络安全问题都与TCP/IP协议有关。近来在局域网中,TCP/IP也越来越流行,侵入局域网变得十分容易。/对计算机网络所构成的威胁大致可分为两类:故意危害和无意危害。故意危害网络安全的主要有三种人:故意破坏者又称黑客(Hackers)、不遵守规则者(Vandals)和刺探秘密者(Crackers)。为网络安全担忧的人大致也可以分为两类,一类是使用网络资源的一般用户,另一类是提供网络资源的服务提供者。“***”企业网络内部返回本节首页返回本章首页/“防火墙”(FireWall)是用来连接两个网络并控制两个网络之间相互访问的系统,如图12-1所示。它包括用于网络连接的软件和硬件以及控制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,为网络提供安全保障。防火墙图12-(阻塞点)来防止非法用户进入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种线路的攻击。通过防火墙可以方便地监视网络的安全性,并产生报警信号。重新部署网络地址转换(NAT)的机构,可以通过网络地址转换(NAT)来完成内部私有地址到外部注册地址的映射,而防火墙正是部署NAT的理想位置。/使用的一个最佳位置,的情况进行记录。上的其它用户访问上述服务器,而禁止访问内部受保护的其它系统。,影响网络安全的因素很多,对于以下情况它无能为力:/,相应地,实现防火墙的技术包括以下四大类:(PacketFilteringFirewall)不能防范由于内部用户不注意所造成的威胁包过滤防火墙,又称网络级防火墙,通常由一台路由器或一台充当路由器的计算机组成,如图12-2所示。/图12-/上的所有信息都是以IP数据包的形式传输的,包过滤路由器负责对所接收的每个数据包的IP地址,TCP或UDP分组头信息进行审查,以便确定其是否与某一条包过滤规则匹配。包过滤防火墙检查每一条过滤规则,如果找到一个匹配,且规则允许该数据包通过,则该数据包根据路由表中的信息向前转发;如果找到一个匹配,且规则拒绝此数据包,则该数据包将被舍弃。/包过滤防火墙对用户来说是全透明的,其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络,使用起来非常简洁、方便,且速度快、费用低。包过滤防火墙也有其自身的缺点和局限性,例如它只检查地址和端口,对应用层上的黑客行为无能为力;包过滤规则配置比较复杂;包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。(ApplicationLevelGateway)应用级网关主要控制对应用程序的访问,它能够对进出的数据包进行分析、统计,防止在受信任的服务器与不受信任的主机间直接建立联系。而且它还提供一种监督控制机制,使得网络内、外部的访问请求在监督机制下得到保护,其功能模型如图12-3所示。/和包过滤防火墙一样,应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直接联系,它外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。应用级网关具有较强的访问控制功能,是目前最安全的防火墙技术之一。但其每一种协议都需要相应的***,实现起来比较困难,效率不如网络级防火墙高,而且对用户缺乏“透明度”。图12-3应用级网关的功能模型/