第9章 网络安全与网络管理
网络安全与网络管理
9.1 网络安全的基本概念
3. 网络安全服务的主要内容
保密性服务 认证性服务 数据完整性服务 防抵赖服务 访问控制服务
4. 网络安全标准
9.2 网络安全策略的设计
1. 网络安全策略与网络用户的关系 2. 制定网络安全策略的思想
凡是没有明确表示允许的就要被禁止。 凡是没有明确表示禁止的就要被允许。
பைடு நூலகம்
3. 网络资源的定义 4. 网络使用与责任的定义 5. 网络安全受到威胁时的行动方案
保护方式或跟踪方式
9.3 网络防火强技术
1.为何设立网络防火墙 2. 防火墙的概念(Firewall)
在Internet与Intranet之间起到检查网络服务请求合 法性的设备。 是指一个由软件和硬件设备组合而成,处于LAN和 Internet,用来加强Internet与LAN之间安全防范 的—个或一组系统。
9.1 网络安全的基本概念
网络中的信息安全保密问题 明文:在密码学中的源信息。 密文:为保护明文,可以将明文通过某 种算法进行变换,使之成为无法识别的 信息。 加密:将明文变成密文的过程。 解密:将密文经过逆变换恢复成明文的 过程。
9.1 网络安全的基本概念
对称密钥:如果一个加密系统的加密密钥和解 密密钥相同,或者虽然不相同,但由其中任意 一个可以很容易地推导出另一个,所采用的就 是对称密钥算法。 非对称密钥:如果一个加密系统的加密和解密 密匙不相同,并且由加密密匙推导出解密密匙 (或者由解密密匙推导出加密密匙)在计算上 是不可行的,所采用的就是非对称密钥算法。
9.4 网络管理技术
1. 网络管理的定义
狭义的网络管理:仅指对网络通信量等网络参考性 能的管理。 广义的网络管理:指对网络应用系统的管理。
计算机网络第9章网络安全与网络管理技术
计算机网络第9章网络安全与网络管理技术在计算机网络中,网络安全是一项非常重要的技术,它涉及到保护计算机网络和网络中的数据免受未经授权的访问、攻击、损坏和盗窃。
网络管理技术则是指对计算机网络进行有效管理和维护的技术,包括网络监控、故障处理和性能优化等。
网络安全包括网络身份验证、访问控制、防火墙、加密等技术。
网络身份验证是确保只有经过授权的用户能够访问计算机网络的主要手段,常见的身份验证方式包括用户名和密码、指纹识别、虹膜识别等。
访问控制则是指对网络资源和services的访问进行控制,以确保只有经过授权的用户能够使用这些资源和services。
防火墙技术则是指通过设置网络边界的防火墙设备来监控网络流量,并阻止未经授权的访问。
加密技术则是将敏感数据进行加密处理,以保证数据在网络传输过程中不被窃取或篡改。
网络管理技术包括网络监控、故障处理和性能优化。
网络监控是对计算机网络进行实时监控和管理,以确保网络正常运行。
通过监控网络流量、设备运行状态和网络拓扑结构,管理员可以及时发现并解决网络故障。
故障处理则是指对网络故障进行分析和修复的过程,包括故障诊断、故障定位和故障恢复等操作。
性能优化则是通过分析网络负载、带宽利用率和延迟等指标,对网络进行优化,以提高网络的性能和可靠性。
网络安全和网络管理技术密切相关,两者相互促进。
网络管理技术可以帮助管理员及时发现并解决网络安全问题,而网络安全技术则可以保护网络管理系统的安全性和完整性。
在实际应用中,管理员需要综合运用网络安全和网络管理技术,制定合理的网络安全策略和管理机制,以保护计算机网络的安全并提供良好的网络服务。
总结起来,网络安全和网络管理技术是计算机网络中非常重要的两个方面。
网络安全技术保护网络和数据的安全性,防止未经授权的访问,攻击和损坏;而网络管理技术则通过监控网络流量,设备状态等,对网络进行有效的管理和维护。
通过综合运用这些技术,可以提供安全可靠的网络服务。
《计算机网络》第9章 网络安全与网络管理技术.ppt
2019-10-29
8
谢谢你的观看
• 网络安全漏洞的存在是不可避免的;
• 网络软件的漏洞和“后门”是进行网络攻击的 首选目标;
• 网络安全研究人员与网络管理人员也必须主动 地了解本系统的计算机硬件与操作系统、网络 硬件与网络软件、数据库管理系统、应用软件, 以及网络通信协议可能存在的安全问题,利用 各种软件与测试工具主动地检测网络可能存在 的各种安全漏洞,并及时地提出对策与补救措 施。
• 服务攻击(application dependent attack) : 对网络提供某种服务的服务器发起攻击,造成该 网络的“拒绝服务”,使网络工作不正常;
• 非服务攻击(application independent attack) : 不针对某项具体应用服务,而是基于网络层等低 层协议而进行的,使得网络通信设备工作严重阻 塞或瘫痪。
2019-10-29
21
谢谢你的观看
什么是密码 密码是含有一个参数k的数学变换,即
C = Ek(m) • m是未加密的信息(明文) • C是加密后的信息(密文) • E是加密算法 • 参数k称为密钥 • 密文C是明文m 使用密钥k 经过加密算法计算后的结果; • 加密算法可以公开,而密钥只能由通信双方来掌握。
2019-10-29
32
谢谢你的观看
9.3.2 包过滤路由器
包过滤路由器的结构
2019-10-29
33
谢谢你的观看
• 路由器按照系统内部设置的分组过滤规则(即访问控 制表),检查每个分组的源IP地址、目的IP地址,决 定该分组是否应该转发;
第09章-网络安全与网络管理
第09章-网络安全与网络管理
网络安全与网络管理
09章
网络安全是指通过各种方式保护计算机网络和其资源不受未经
授权的访问、使用、抄袭、修改、破坏或泄露的威胁的一系列技术、措施和行为。
网络管理是指对计算机网络进行监督、控制和维护以
确保网络的高效运行和安全性。
本章将详细介绍网络安全和网络管理的相关内容,包括以下几
个方面:
1、网络安全基础知识
1.1 网络安全概述
1.2 网络安全攻击类型
1.3 网络安全威胁与风险评估
1.4 网络安全防护措施
2、网络安全技术
2.1 防火墙技术
2.2 入侵检测与防御技术
2.3 VPN技术
2.4 数据加密与解密技术
2.5 认证与授权技术
2.6 安全策略与管理技术
3、网络风险评估与漏洞管理
3.1 风险评估概述
3.2 风险评估方法与工具
3.3 漏洞扫描与修复
4、网络流量分析与监控
4.1 流量分析概述
4.2 流量监控工具与技术
4.3 网络日志分析与事件响应
5、网络设备管理
5.1 网络设备管理概述
5.2 网络设备监控与维护
6、网络安全教育与培训
6.1 网络安全意识教育
6.2 员工培训计划
6.3 安全意识培训材料和方法
本文档涉及附件:
1、网络安全检查表
4、网络设备监控指南
法律名词及注释:
1、数据保护法:指保护个人数据隐私和确保合法处理个人数据的法律。
2、电子商务法:指规范和保护电子商务活动的法律。
3、信息安全法:指规范和保护信息网络安全的法律。
4、网络安全法:指规范和保护网络安全的法律。
第09章-网络安全与网络管理
第09章-网络安全与网络管理第 09 章网络安全与网络管理在当今数字化的时代,网络已经成为我们生活和工作中不可或缺的一部分。
从日常的社交娱乐到重要的商务活动,网络无处不在。
然而,伴随着网络的广泛应用,网络安全与网络管理的重要性也日益凸显。
网络安全,简单来说,就是保护网络系统中的硬件、软件以及其中的数据不受偶然或者恶意的原因而遭到破坏、更改、泄露。
想象一下,您在网上银行的账户信息被黑客窃取,或者您公司的重要商业机密被竞争对手非法获取,这些情况都可能给个人和企业带来巨大的损失。
首先,我们来谈谈网络面临的一些常见威胁。
病毒和恶意软件是大家比较熟悉的,它们可能会悄悄潜入您的设备,破坏系统、窃取数据或者导致设备无法正常运行。
还有网络钓鱼攻击,不法分子通过伪装成合法的机构或个人,骗取您的敏感信息,比如密码、信用卡号等。
此外,黑客攻击也是一大威胁,他们可能试图入侵企业的网络系统,以获取有价值的信息或者破坏关键设施。
那么,如何保障网络安全呢?这就需要采取一系列的措施。
安装杀毒软件和防火墙是基本的防护手段。
杀毒软件可以检测和清除病毒、恶意软件,而防火墙则能阻止未经授权的访问。
另外,保持软件和系统的更新也非常重要,因为很多更新都是为了修复可能存在的安全漏洞。
强密码的使用也是关键。
一个复杂且独特的密码能大大增加账户的安全性。
不要使用过于简单的密码,如生日、电话号码等容易被猜到的信息。
而且,不同的账户应该使用不同的密码,这样即使一个账户的密码被破解,其他账户也能相对安全。
对于企业来说,网络安全更是至关重要。
他们需要建立完善的网络安全策略,包括员工培训,让员工了解网络安全的重要性和如何避免常见的安全陷阱。
同时,进行定期的安全审计和风险评估,及时发现并解决潜在的安全隐患。
说完网络安全,我们再来看看网络管理。
网络管理的目的是确保网络能够高效、稳定地运行,满足用户的需求。
网络管理包括对网络设备的管理,比如路由器、交换机等。
要确保这些设备正常运行,配置合理,能够有效地传输数据。
计算机网络技术PPT教学课件-第9章 网络安全与网络管理技术
加密技术应用案例
9.3 防火墙技术
防火墙(Firewall)是在两个网络之间执行访问控 制策略的硬件或软件系统,目的是保护网络不被他 人侵扰。 本质上,它遵循的是一种数据进行过滤的网络通信 安全机制,只允许授权的通信,而禁止非授权的通 信。 通常,防火墙就是位于内部网或Web站点与因特 网之间的一台路由器或计算机。
一个包过滤路由器与一个堡垒主机组成的防火墙大系统
一个包过滤路由器与一个堡垒主机(双宿主)组成 的防火墙系统
采用多极结构的防火墙系统
9.4 网络防攻略与入侵检测技术
网络攻击方法分析 入侵系统类攻击
信息收集型攻击 口令攻击 漏洞攻击
缓冲区溢出攻击 欺骗类攻击 拒绝服务攻击 对防火墙的攻击 利用病毒攻击 木马程序攻击 后门攻击
编制逻辑上严密无漏洞的包过滤规则比较困难, 对编制好的规则进行测试维护也较麻烦。 维护复杂的包过滤规则也是一件很麻烦的事情 包过滤规则的判别会降低路由器的转发速度
对包中的应用数据无法过滤
它总是假定包头部信息是合法有效的。 以上这些缺点使得包过滤技术通常不单独使用, 而是作为其他安全技术的一种补充。
防火墙在因特网与内部网中的位置
包过滤防火墙(路由器)
包过滤(Packet Filtering)是防火墙最基本的 实现形式,它控制哪些数据包可以进出网络而哪 些数据包应被网络拒绝。 包过滤防火墙通常是放置在因特网与内部网络之 间的一个具备包过滤功能的简单路由器,这是因 为包过滤是路由器的固有属性。
堡垒主机 把处于防火墙关键部位、运行应用 级网关软件的计算机系统称为堡垒主机。
第九章 网络管理和网络安全PPT教学课件
2020/12/10
3
3
配置管理(Configuration Management)
配置管理也是基本的网络管理功能。
一个计算机网络是由多种多样的设备连接而成的, 这些被管对象的物理结构和逻辑结构各不相同,结构中 的各种参数、状态和名字等信息也需要相互了解和相互 适应。这对于一个大型计算机网络的运行是至关重要的。 另外,网络的运行环境也是经常变化的,系统本身也要 随着用户的增加、减少或设备的维护、添加而经常调整 网络的配置,使网络能够更有效地工作。网络管理提供 的这些手段构成了网络管理的配置功能域,它是用来定 义、识别、初始化、控制和监测通信网中的被管对象的 功能集合。
2020/12/10
2
2
故障管理(Fault Management)
故障管理是最基本的网络管理功能。
故障管理是网络管理功能中与故障检测、故障诊断 和故障恢复或排除等工作相关的部分,其目的是保证网 络能够提供连续、可靠的服务。
在大型计算机网络发生故障时,往往不能确定故障 所在的具体位置,这就需要故障管理提供逐步隔离和最 后故障定位的一整套方法和工具;有的时候,故障是随 机产生的,需要经过较长时间的跟踪和分析,才能找到 故障原因。这就需要有一个故障管理系统,科学地管理 网络所发现的所有故障,具体地记录每一个故障的产生, 跟踪分析以至最终确定并排除故障。
⑶ GetResponse原语:表示被管代理对管理者的响应,并回送相应变 量的状态信息(差错码、差错状态等)。
⑷ SetRequest原语:表示管理者发送给被管代理的“设置变量”请求, 要求被管代理在本地MIB库中设置相应的变量值。
⑸ Trap原语:当被管代理发现某些预定的网络事件(例如,被管设备 出错或关机)时,它会主动向管理者发送信息,报告发生的事件。管理者 可以根据Trap原语发送来的信息进行差错诊断和处理。
第九章网络安全与管理课件
国际数据加密算法IDEA
使用128位密钥,因而更不容易被攻破。计算指出,当密钥长度为128位时,若每微秒可搜索一百万次,则破译IDEA密码要花费5.4*1018年,这显然比较安全。
非对称密钥密码体制
使用不同的加密密钥与解密密钥。 在公钥密码体制中,加密密钥(即公钥)PK是公开信息,而解密密钥(即私钥或秘钥) SK是需要保密的。 加密算法和解密算法也都是公开的。 虽然密钥SK是由公钥PK决定的,但却不能根据PK计算出SK。
公钥密码体制
任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量。
三、数字签名
报文鉴别——接收者能够核实发送者对报文的签名; 报文的完整性——接收者不能伪造对报文的签名; 不可否认——发送者事后不能抵赖对报文的签名。 现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。
数字签名必须保具有A的私钥,所以除A外没有别人能产生这个密文。因此B相信报文X是A签名发送的。 (2)若A要抵赖曾发送报文给B,B可将明文和对应的密文出示给第三者。第三者很容易用A的公钥去证实A确实发送X给B。 (3)反之,若B将X伪造成X’,则B不能在第三者前出示对应的密文。这样就证明了B伪造了报文。
具有保密性的数字签名
四、防火墙(firewall)
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。 防火墙内的网络称为“可信赖的网络”,而将外部的因特网称为“不可信赖的网络”。 防火墙可用来解决内联网和外联网的安全问题。
概念
防火墙在互连网络中的位置
谢谢大家
恶意程序
明文 X
二、加密技术
一般的数据加密模型
解密算法是加密算法的逆运算在进行解密运算时如果不事先约定好密钥就无法解出明文
第9章网络安全与网络管理技术
• Elgamal公钥体制是一种基于离散对数的公钥密 码体制;
• 目前,许多商业产品采用的公钥加密算法还有 Diffie-Hellman密钥交换、数据签名标准DSS、 椭圆曲线密码等 。
• 包过滤规则一般是基于部分或全部报头的内容。例如, 对于TCP报头信息可以是: • 源IP地址 • 目的IP地址 • 协议类型 • IP选项内容 • 源TCP端口号 • 目的TCP端口号 • TCP ACK标识
第9章网络安全与网络管理技术
Байду номын сангаас
包过滤的 工作流程
第9章网络安全与网络管理技术
• 包过滤路由器配置的基本方法
第9章网络安全与网络管理技术
9.2.2 对称密钥(symmetric cryptography)密码 体系
• 对称加密的特点
第9章网络安全与网络管理技术
9.2.3 非对称密钥(asymmetric cryptography) 密码体系
• 非对称密钥密码体系的特点
第9章网络安全与网络管理技术
非对称加密的标准
• 最简单的防火墙由一个包过滤路由器组成,而复杂的防 火墙系统由包过滤路由器和应用级网关组合而成;
• 由于组合方式有多种,因此防火墙系统的结构也有多种 形式。
第9章网络安全与网络管理技术
9.3.2 包过滤路由器 (路由器工作原理)
包过滤路由器的结构
第9章网络安全与网络管理技术
• 路由器按照系统内部设置的分组过滤规则(即访问控 制表),检查每个分组的源IP地址、目的IP地址,决 定该分组是否应该转发;
第9章网络安全与网络管理技术
第9、10章 网络安全与管理
2)网络安全性方法
为网络安全系统提供适当安全的常用方法: (1)修补系统漏洞 (2)病毒检查 (3)加密 (4)执行身份鉴别 (5)防火墙 (6)捕捉闯入者 (7)直接安全 (8)空闲机器守则 (9)废品处理守则 (10)口令守则
工作站
工作站 包过滤路由器 Internet
工作站
服务器
包过滤的优缺点
(1)包过滤的优点
包过滤方式有许多优点,而其主要优点之一是仅用一个放 置在重要位置上的包过滤路由器就可保护整个网络。如果内部 网络中的站点与Internet网络之间只有一台路由器,那么不管 内部网络规模有多大,只要在这台路由器上设置合适的包过滤, 内部网络中的站点就可获得很好的网络安全保护。
这种结构由硬件和软件共同完成,硬件主要是指 路由器,软件主要是指过滤器,它们共同完成外界计 算机访问内部网络时从IP地址或域名上的限制,也可 以指定或限制内部网络访问Internet。路由器仅对主 机的特定的PORT(端口)上数据通讯加以路由,而过 滤器则执行筛选、过滤、验证及其安全监控,这样可 以在很大程度上隔断内部网络与外部网络之间不正常 的访问登录。
定义:包过滤(Packet Filter)是在网络层中对数据包 实施有选择的通过。
包过滤是如何工作的
(1)将包的目的地址作为判据; (2)将包的源地址作为判据; (3)将包的传送协议作为判据。 包过滤系统只能进行类似以下情况的操作: (1)不让任何用户从外部网用Telnet登录; (2)允许任何用户使用SMTP往内部网发电子邮件; (3)只允许某台机器通过NNTP往内部网发新闻。 包过滤不允许进行如下的操作: (1)允许某个用户从外部网用Telnet登录而不允许其它用户 进行这种操作。 (2)允许用户传送一些文件而不允许用户传送其它文件。
网络安全与网络管理
网络安全与网络管理一、网络安全的重要性网络安全是指保护计算机网络及其相关设备、数据和服务免受非法访问、攻击和破坏的一系列措施和技术。
随着 Internet 的普及和发展,网络安全问题越来越受到重视。
网络安全的重要性体现在以下几个方面:1. 保护个人隐私在互联网上,个人信息容易被窃取、滥用或泄露。
网络安全可以保护个人的隐私,防止个人信息被非法获取和利用。
2. 维护企业利益企业在网络中承载了大量的商业数据和机密信息,这些信息如果被攻击者窃取或破坏,将对企业利益造成严重损害。
网络安全能够帮助企业保护重要的商业机密,维护企业利益。
3. 防止网络犯罪网络犯罪在互联网时代愈发猖獗。
黑客入侵、网络诈骗、网络敲诈等形式多样的网络犯罪行为严重威胁了网络安全。
加强网络安全意识和技术防护可以有效预防网络犯罪的发生。
二、网络安全的挑战网络安全面临多重挑战,主要包括以下几个方面:1. 威胁多样化随着网络技术的发展,网络威胁的形式也越来越多样化。
病毒、蠕虫、木马、僵尸网络等恶意软件的出现使得网络安全面临新的挑战。
2. 安全意识不足网络安全需要每个网络用户都有一定的安全意识和知识,但目前很多用户对网络安全的认识仍然较为薄弱,缺乏对网络安全的重视。
3. 安全技术更新迭代快网络安全技术更新迭代非常快,黑客攻击技术也在不断进步。
传统的网络安全技术已经无法满足新形势下的网络安全需求,需要不断研发和更新安全技术。
三、网络管理与网络安全的关系网络管理是指对计算机网络的规划、组织、控制和协调等管理活动。
网络管理与网络安全是紧密相关的,网络管理的目标之一就是保障网络的安全。
网络管理与网络安全之间的关系主要体现在以下几个方面:1. 网络管理保障网络安全网络管理包括对网络设备、配置、流量、拓扑结构等进行有效管理和监控,确保网络的正常运行和安全。
只有良好的网络管理才能够为网络安全提供稳固的基础。
2. 网络安全影响网络管理网络安全事件的发生会对网络管理带来很大的影响。
计算机网络技术_网络安全与网络管理
中
心
§9 网络安全及网络管理
• 本章内容
• 网络安全概述 • 容错技术 • 加密与认证 • 网络管理
• 黑客文化与安全对策
wangd@
网
络
工
程
专
业
实
训
中
心
课程议题
网络安全概述
wangd@
网
络
工
程
专
业
实
训
中
心
网络安全概述
• “安全”一词在字典中被定义为“远离危险的状态或 特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击 或逃跑而采取的措施”。 • 随着经济信息化的迅速发展,计算机网络对安全要求 越来越高,尤其自Internet/Intranet应用发展以来, 网络的安全已经涉及到国家主权等许 多重大问题。随着“黑客”工具技术 的日益发展,使用这些工具所需具备 的各种技巧和知识在不断减少,从而 造成的全球范围内“黑客”行为的泛 滥,导致了一个全新战争形式的出现, 即网络安全技术的大战。
wangd@网络来自工程专
业
实
训
中
心
RAID
• Redundant Array of Inexpensive Disks • 6 levels redundancy, 0-5
RAID 0 Stripes data across multiple disks, no parity, so there is no redundancy. RAID 1 Disk mirroring (disk duplexing) writes data to two identical partitions on separate hard disks. Disk duplexing uses two hard disk controller cards
第09章-网络安全与网络管理
第09章-网络安全与网络管理第09章-网络安全与网络管理网络安全和网络管理是现代社会不可或缺的重要组成部分。
本章将详细介绍网络安全的概念、网络攻击和防御、网络管理的重要性以及网络监控和维护的方法。
1-网络安全概念网络安全是指保护计算机和网络系统免受未经授权的访问、使用、披露、干扰、破坏或篡改的能力。
网络安全的目标包括保护计算机系统和数据的机密性、完整性和可用性。
1-1 计算机系统和数据的机密性保护机密性保护是指保护计算机系统和数据免受未经授权的访问。
这可以通过使用强密码、访问控制列表、加密技术等来实现。
1-2 计算机系统和数据的完整性保护完整性保护是指保护计算机系统和数据免受未经授权的篡改。
使用数字签名、数据备份和恢复、完整性检查等措施可以实现完整性保护。
1-3 计算机系统和数据的可用性保护可用性保护是指保护计算机系统和数据免受未经授权的干扰或拒绝服务攻击。
通过使用冗余系统、备份设备、网络流量监控等手段可以实现可用性保护。
2-网络攻击与防御网络攻击是指恶意用户或黑客通过利用网络系统的漏洞来获取未经授权的访问、破坏或盗取信息的行为。
为了保护网络安全,需要采取多种防御措施。
2-1 常见的网络攻击类型●黑客攻击:黑客通过利用系统漏洞、密码等手段非法访问计算机系统。
●和恶意软件:、蠕虫等恶意软件可以破坏计算机系统和数据。
●拒绝服务攻击:攻击者通过向目标服务器发送大量请求,使其无法正常处理合法请求。
●钓鱼攻击:攻击者伪装成合法机构或个人,以获取用户的敏感信息。
●数据泄露:未经授权地披露或泄露敏感数据。
●网络钓鱼:攻击者伪装成合法机构或个人,以引诱用户恶意或恶意文件。
2-2 网络防御措施●防火墙和入侵检测系统:防火墙可以监控和控制网络流量,入侵检测系统可以检测异常活动并及时采取措施。
●加密技术:通过使用加密算法对数据进行加密,可以保护数据的机密性和完整性。
●访问控制:使用强密码、访问控制列表等措施限制未经授权的访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9.3.1防火墙的基本类型 9.3.1防火墙的基本类型
防火墙有许多形式, 防火墙有许多形式,有以软件形式运行在普通计算机之 上的,也有以固件形式设计在路由器之中的. 上的,也有以固件形式设计在路由器之中的.按功能及 工作方式可以将防火墙分为两种:包过滤防火墙和应用 工作方式可以将防火墙分为两种: 网关. 网关. 1:包过滤防火墙 包过滤防火墙: 1:包过滤防火墙:在因特网上所有往来的信息都被分割 成若干个IP数据包在网络让传输, IP数据包在网络让传输 成若干个IP数据包在网络让传输,每个数据包中都带有 发送者及接收者的IP地址信息. IP地址信息 发送者及接收者的IP地址信息.包过滤防火墙对收到的 所有IP包进行检查,依据已经制定的过滤规则判断该IP IP包进行检查 所有IP包进行检查,依据已经制定的过滤规则判断该IP 包的源或目的地址,以决定是否允许该IP包通过. IP包通过 包的源或目的地址,以决定是否允许该IP包通过. 包过滤技术基于路由器技术, 包过滤技术基于路由器技术,因而包过滤防火墙又称为 包过滤路由器防火墙. 包过滤路由器防火网络的安全威胁 对计算机网络的安全威胁可以分为两大类: 对计算机网络的安全威胁可以分为两大类:主 动攻击和被动攻击. 动攻击和被动攻击. 主动攻击分中断,篡改,伪造三种; 主动攻击分中断,篡改,伪造三种; 被动攻击只有一种是:截获. 被动攻击只有一种是:截获.
9.1.2 网络的安全威胁
9.1.3 网络安全策略
恢复:指事件发生后,将系统恢复到原来状态或比原来更安全的 恢复:指事件发生后, 状态.它可分为系统恢复和信息恢复两个方面. 状态.它可分为系统恢复和信息恢复两个方面. 系统恢复是指修补缺陷和消除后门.系统恢复包括系统升级,软 系统恢复是指修补缺陷和消除后门.系统恢复包括系统升级, 件升级,打补丁..通常,黑客第一次入侵后是利用系统缺陷, ..通常 件升级,打补丁..通常,黑客第一次入侵后是利用系统缺陷,在 入侵成功后,黑客就在系统中留下一些后门,如安装木马程序. 入侵成功后,黑客就在系统中留下一些后门,如安装木马程序. 尽管缺陷被补丁修复,黑客还可以再通过后门入侵.因此, 尽管缺陷被补丁修复,黑客还可以再通过后门入侵.因此,消除 后门是系统恢复的另一种重要工作. 后门是系统恢复的另一种重要工作. 信息恢复是指恢复丢失数据. 信息恢复是指恢复丢失数据.丢失数据可能是由于黑客入侵所 也可能是由于系统故障,自然灾害等到原因所致. 致,也可能是由于系统故障,自然灾害等到原因所致.
中断: 中断: 当网络上的用户在通信时, 当网络上的用户在通信时,破坏者可以中断他 们之间的通信. 们之间的通信. 篡改: 篡改: 当网络用户A 发送报文时, 当网络用户A向B发送报文时,报文在转发的过 程中被C更改. 程中被C更改.
9.1.2 网络的安全威胁
伪造: 伪造: 网络用户C非法获取用户B的权限并以B 网络用户C非法获取用户B的权限并以B的名 义与A进行通信. 义与A进行通信. 截获: 截获: 当网络用户A 进行通信时, 当网络用户A与B进行通信时,如果不采取任 何保密措施, 何保密措施,那么其他人就有可能偷看到他们 之间的通信内容. 之间的通信内容.
9.3.1 防火墙的基本概念
防火墙主要功能包括 :检查所有从外部 网络进入内联网络的数据包; 网络进入内联网络的数据包;检查所有从 内联网络流出到外部网络的数据包; 内联网络流出到外部网络的数据包;执行 安全策略, 安全策略,限制所有不符合要求的分组通 具有防攻击能力,保证自身的安全性. 过;具有防攻击能力,保证自身的安全性.
9.1.2 网络的安全威胁
还有一种特殊的主动攻击就是恶意程序的攻击. 还有一种特殊的主动攻击就是恶意程序的攻击.恶意程 序的种类繁多,对网络安全构成较大威胁的有: 序的种类繁多,对网络安全构成较大威胁的有: 计算机病毒:一种会“传染”其他程序的程序, 计算机病毒:一种会“传染”其他程序的程序,传染是 通过修改其他程序来将自身或其变种复制进去完成的. 通过修改其他程序来将自身或其变种复制进去完成的.
9.1.3 网络安全策略
9.1.3 网络安全策略 为应对网络可能带来的安全威胁, 为应对网络可能带来的安全威胁,需要一 定的网络安全策略. 定的网络安全策略. 常用的网络安全策 略包括防护,检测,响应,恢复. 略包括防护,检测,响应,恢复.如下图所 示
9.1.3 网络安全策略
防护: 防护:是根据系统已知的可能安全问题采取一些预 防措施,如打补丁,访问控制,数据加密等. 防措施,如打补丁,访问控制,数据加密等. 检测:安全策略的第二关是检测.攻击者如果穿过防 检测:安全策略的第二关是检测. 护系统,检测系统就会检测出来. 护系统,检测系统就会检测出来.如检测入侵者的身 包括攻击源,系统损失等到. 份,包括攻击源,系统损失等到. 响应:检测关一旦检测出入侵,响应系统则开始响应, 响应:检测关一旦检测出入侵,响应系统则开始响应, 进行事件处理.通过紧急响应进行事件处理. 进行事件处理.通过紧急响应进行事件处理.
9.1.2 网络的安全威胁
主动攻击是指攻击者对连接中通过的PDU(协议数据 主动攻击是指攻击者对连接中通过的PDU(协议数据 PDU( 单元)进行各种处理.如有选择的更改,删除, 单元)进行各种处理.如有选择的更改,删除,延迟这 PDU.还可以在以后的时间将以前录下的PDU插入这 还可以在以后的时间将以前录下的PDU 些PDU.还可以在以后的时间将以前录下的PDU插入这 个连接(即重放攻击), ),甚至还可以将合成的或伪造的 个连接(即重放攻击),甚至还可以将合成的或伪造的 PDU送入到一个连接中去 送入到一个连接中去. PDU送入到一个连接中去. 所有主动攻击都是上述各种方法的某种组合, 所有主动攻击都是上述各种方法的某种组合,从类型 上还可以将主动攻击分为以下三种:更改报文流; 上还可以将主动攻击分为以下三种:更改报文流;拒 绝连接初始化; 绝连接初始化;
9.1.4 网络安全机制与手段
防业务流分析机制: 防业务流分析机制:通过填充多余的业务流来防止攻击都进 行业务流量分析,填充过的信息要加密保护才能有效. 行业务流量分析,填充过的信息要加密保护才能有效. 路由控制机制:为使用安全的子网,中继站和链路,即可以预 路由控制机制:为使用安全的子网,中继站和链路, 先安排网络中的路由,也可以对其动态进行选择. 先安排网络中的路由,也可以对其动态进行选择. 公证机制:通过第三方参与的签名机制. 公证机制:通过第三方参与的签名机制.它是基于通信双方对 第三方的绝对信任. 第三方的绝对信任.让认证方备有适用的数字签名加密或完 整性机制等.当褓间互通信息时, 整性机制等.当褓间互通信息时,就由公证方利用其提供的上 述机制进行公证. 述机制进行公证.
9.1.4 网络安全机制与手段
访问控制机制:它是根据实体的身份及有关信息,来决定实体的 访问控制机制:它是根据实体的身份及有关信息, 访问权限. 访问权限. 数据完整机制:在通信中,发送方根据要发送的信息产生一定的 数据完整机制:在通信中, 额外的信息,将后者加密以后随信息本体一同发出; 额外的信息,将后者加密以后随信息本体一同发出;接收方接收 到信息本体后,产生相应的额外信息, 到信息本体后,产生相应的额外信息,并与接收到的额外信息进 行比较,以判断在通信过程中信息本体是否被篡改. 行比较,以判断在通信过程中信息本体是否被篡改. 认证交换机制:使用认证信息实现同级之间的认证. 认证交换机制:使用认证信息实现同级之间的认证.如由发方提 供一口令,收方检验.也可以利用实体所具有的特征,如指纹, 供一口令,收方检验.也可以利用实体所具有的特征,如指纹,视 网膜等到实现. 网膜等到实现.
9.1.2 网络的安全威胁
计算机蠕虫:一种执行的功能超出其所声称的功能. 计算机蠕虫:一种执行的功能超出其所声称的功能. 如一个编译程序除执行编译任务之外, 如一个编译程序除执行编译任务之外,来还将用户的 源程序偷偷地复制下来, 源程序偷偷地复制下来,这种程序就是一种特洛伊木 计算机机病毒有时也以特洛伊木马的形式出现. 马.计算机机病毒有时也以特洛伊木马的形式出现. 逻辑炸弹: 逻辑炸弹:一种当运行环境满足某种特定条件时执行 其他特殊功能的程序. 其他特殊功能的程序.如一个编译程序在平时运行得 很好,但当系统时间为13日又为星期五时, 13日又为星期五时 很好,但当系统时间为13日又为星期五时,它删除系 统中所有的文件,这种程序就是一种逻辑炸弹. 统中所有的文件,这种程序就是一种逻辑炸弹.
9.1.4 网络安全机制与手段
为确保计算机网络安全, 为确保计算机网络安全,必须实施一定的 安全机制.通过有加密机制, 安全机制.通过有加密机制,数字签名机 访问控制机制,数据完整机制, 制,访问控制机制,数据完整机制,认证交 换机制,防业务流分析机制, 换机制,防业务流分析机制,路由控制机 公证机制. 制,公证机制.
第9章 网络安全与网络管理
第9章 网络安全与网络管理
计算机网络对整个社会带来便利的同时也带来了巨 大的安全问题. 大的安全问题. 事实上,资源共享和信息安全是一对矛盾, 事实上,资源共享和信息安全是一对矛盾,随着资源 共享的加强,网络安全的问题也日益突出, 共享的加强,网络安全的问题也日益突出,计算机网 络对整个社会带来便利的同时也带来了巨大的安全 问题, 问题,如计算机病毒对网络的侵袭和黑客对网络的攻 击,计算机网络安全问题已经引起了全世界范围的重 视.
9.1.4 网络安全机制与手段
加密机制: 加密机制:它可用来加密存放着的数据或流通 中的信息; 中的信息;它即可以单独使用也可以同其他机 制结合使用.加密算法通常分为单密钥系统和 制结合使用. 公开密钥系统. 公开密钥系统. 数字签名机制: 数字签名机制:对信息进行签字的过程和对已 经签字的信息进行证实的过程. 经签字的信息进行证实的过程.前者要使用签 字者的私有信息(如私有密钥); );后都使用公开 字者的私有信息(如私有密钥);后都使用公开 的信息(如公开密钥), ),以核实签字是否由签字 的信息(如公开密钥),以核实签字是否由签字 者的私有信息产生. 者的私有信息产生.数字签名机制必须保证签 字只能由签字者的私人信息产生. 字只能由签字者的私人信息产生.