第10章计算机网络安全

15
设备安全
调制解调器安全 通信介质的安全 计算机与网络设备的物理安全
2020年7月
16
防火墙技术
使用防火墙可用于“安全隔离”，其实质就是限制什么数据可以“通 过”防火墙进入到另一个网络 防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络 进入到内部网络或者从内部到外部，其中包括的信息有电子邮件 消息、文件传输、登录到系统以及类似的操作等。
第10章 计算机网络安全
本章主要内容
计算机网络安全的概念； 计算机网络对安全性的要求； 访问控制技术和设备安全； 防火墙技术； 网络安全攻击及解决方法； 计算机网络安全的基本解决方案。
2020年7月
2
计算机网络安全概述
背景介绍 对计算机网络安全性问题的研究总是围绕着信息
系统进行，其主要目标就是要保护计算资源，免 受毁坏、替换、盗窃和丢失，而计算资源包括了 计算机及网络设备、存储介质、软硬件、信息数 据等。
如果找到一个匹配，且规则拒绝此数据包，则该数 据包将被舍弃
2020年7月
21
Internet
分析入出的数据包,根据过 滤规则决定是否转发数据包
包过滤路由器 (屏蔽路由器)
内部网
2020年7月
22
防火墙的种类
代理服务器
代理服务器上安装有特殊用途的特别应用程序，被称 为代理服务或代理服务器程序。
2020年7月
企业内部网 Intranet
防火墙
Internet
攻击者
17
防火墙的优缺点
防火墙的优点
允许网络管理员在网络中定义一个控制点，将内部网络与外部网 络隔开；
审查和记录Internet使用情况的最佳点； 设置网络地址翻译器（NAT）的最佳位置； 作为向客户或其他外部伙伴发送信息的中心联系点；
2020年7月
8
计算机网络安全的要求——可用性
可用性是指无论何时，只要用户需要，系统和 网络资源必须是可用的，尤其是当计算机及网 络系统遭到非法攻击时，它必须仍然能够为用 户提供正常的系统功能或服务。
为了保证系统和网络的可用性，必须解决网络 和系统中存在的各种破坏可用性的问题。
2020年7月
9
2020年7月
6
计算机网络安全的要求——完整性
解决问题：如何保护计算机系统内软件和数据不 被非法删改。 软件完整性 数据完整性
2020年7月
7
计算机网络安全的要求——保密性
解决问题：如何防止用户非法获取关键的敏感 信息，避免机密信息的泄露。 加密是保护数据的一种重要方法，也是保护 存储在系统中的数据的一种有效手段，人们 通常采用加密来保证数据的保密性。
防火墙的局限性
不能防范不经过防火墙产生的攻击； 不能防范由于内部用户不注意所造成的威胁； 不能防止受到病毒感染的软件或文件在网络上传输； 很难防止数据驱动式攻击；
2020年7月
18
服务器 攻击
工作站
Modem
服务器
外部主机 Internet
服务器
内部路由器
防火墙
工作站
服务器
工作站
2020年7月
逐一审查每份数据包以及它是否与某个包过滤规则 相匹配。
过滤规则以IP数据包中的信息为基础：
IP源地址、IP目的地址、封装协议（TCP、UDP、 ICMP等）、TCP/UDP源端口、TCP/UDP目的 端口、ICMP报文类型、包输入接口和包输出接 口等。
如果找到一个匹配，且规则允许该数据包通过，则 该数据包根据路由表中的信息向前转发。
防火墙
防火墙是在内部网与外部网之间实施安全防范的系统， 用于确定哪些内部资源允许外部访问，以及允许哪些 内部网用户访问哪些外部资源及服务；
防火墙的基本类型有：
包过滤型 代理服务器型 堡垒主机
2020年7月
12
常用的安全工具
鉴别
报文鉴别 身份认证 数字签名
2020年7月
13
常用的安全工具
计算机网络的保护策略
创建安全的网络环境 数据加密 调制解调器的安全 灾难和意外计划 系统计划和管理 使用防火墙技术
2020年7月
10
网络安全的脆弱点
网络安全脆弱点的几个方面
通信设备 网络传输介质 网络连接 网络操作系统 病毒攻击 物理安全
Baidu Nhomakorabea
2020年7月
11
常用的安全工具
对用户实施访问控制，拒绝其访问超出访问权限的资源；
加密传输和存储的数据，防止重要信息被非法用户理解 或修改；
对用户的行为进行实时监控和审计，检查其是否对系统 有攻击行为，并对入侵的用户进行跟踪。
外部安全
加强系统的物理安全，防止其他用户直接访问系统；
保证人事安全，加强安全教育，防止用户（特别是内部 用户）泄密。
其他工具
访问控制 加/解密技术 审计和入侵检测 安全扫描
2020年7月
14
访问控制技术
作用：对访问系统及其数据的人进行识别，并检验其身 份——用户是谁？该用户的身份是否真实？
基于口令的访问控制技术
选用口令应遵循的原则 增强口令安全性措施 其他方法
选择性访问控制技术
2020年7月
使用代理服务后，各种服务不再直接通过防火墙转发， 对应用数据的转发取决于代理服务器的配置： 只支持一个应用程序的特定功能，同时拒绝所有其 他功能； 支持所有的功能，比如同时支持WWW、FTP、 Telnet、SMTP和DNS等。
要开发并实施有效的安全策略，尽可能减少可能 面临的各种风险；
准备适当的应急计划，使网络系统在遭到破坏或 攻击后能够尽快恢复正常工作；
定期检查各种安全管理措施的实施情况与有效性。
2020年7月
5
计算机网络安全的要求——安全性
内部安全
对用户进行识别和认证，防止非授权用户访问系统；
确保系统的可靠性，以避免软件的缺陷（Bug）成为系 统的入侵点；
2020年7月
3
计算机网络安全的解决策略
访问控制 选择性访问控制 病毒和计算机破坏程序 加密 系统计划和管理 物理安全 通信安全
2020年7月
4
计算机网络安全包括的内容
保护系统和网络的资源免遭自然或人为的破坏；
明确网络系统的脆弱性和最容易受到影响或破坏 的地方；
对计算机系统和网络的各种威胁有充分的估计；
19
防火墙设计
防火墙的基本准则
“拒绝一切未被允许的东西” “允许一切未被特别拒绝的东西”
机构的安全策略
必须以安全分析、风险评估和商业需要分析为基础；
防火墙的费用
取决于它的复杂程度以及要保护的系统规模；
2020年7月
20
防火墙的种类
包过滤路由器
可以决定对它所收到的每个数据包的取舍。