網(wǎng)絡(luò)安全的主要內(nèi)容

1、.1Internet安全問(wèn)題現(xiàn)狀 網(wǎng)絡(luò)安全的主要內(nèi)容: 在網(wǎng)絡(luò)上如何保證合法用戶(hù)對(duì)資源的合法訪(fǎng)問(wèn)以及如何防止網(wǎng)絡(luò)黑客的攻擊 網(wǎng)絡(luò)層的安全防護(hù)主要目的是：保證網(wǎng)絡(luò)的可用性和合法使用，保護(hù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備，主機(jī)操作系統(tǒng)以及網(wǎng)絡(luò)服務(wù)的正常運(yùn)行，根據(jù)IP地址控制用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn) .2 Internet攻擊類(lèi)型網(wǎng)絡(luò)威脅可以分成以下不同類(lèi)型：黑客入侵、內(nèi)部攻擊、不良信息傳播、秘密信息泄漏、修改網(wǎng)絡(luò)配置而造成網(wǎng)絡(luò)癱瘓等 。 安全威脅主要來(lái)自下面幾個(gè)方面：（1）對(duì)用戶(hù)身份的仿冒 （2）對(duì)網(wǎng)絡(luò)上信息的竊取 （3）對(duì)網(wǎng)絡(luò)上信息的篡改 （4）對(duì)發(fā)出的信息予以否認(rèn) （5）對(duì)信息進(jìn)行重發(fā).3 ISO 7498-2模型提供

2、的五種安全服務(wù)： 認(rèn)證（Authentication） 訪(fǎng)問(wèn)控制（Access Control） 數(shù)據(jù)保密（Data Confidentiality） 數(shù)據(jù)完整性（Data Integrity） 抗否認(rèn)（Non-repudiation）.4 目前所建立的主要的安全機(jī)制包括： 1身份鑒別機(jī)制 2訪(fǎng)問(wèn)控制機(jī)制 3數(shù)據(jù)加密機(jī)制 4數(shù)據(jù)完整性機(jī)制 5數(shù)字簽名機(jī)制 6防重發(fā)機(jī)制 7審計(jì)機(jī)制.511.2 Interne安全技術(shù)-防火墻防火墻位于內(nèi)部網(wǎng)絡(luò)和Internet之間.6 在網(wǎng)絡(luò)中，“防火墻”是指在兩個(gè)網(wǎng)絡(luò)之間實(shí)現(xiàn)控制策略的系統(tǒng)（軟件、硬件，或者是兩者并用），用來(lái)保護(hù)內(nèi)部的網(wǎng)絡(luò)不易受到來(lái)自Inter

3、net的侵害。是一種安全策略的體現(xiàn)。.7 防火墻技術(shù)的主要內(nèi)容 防火墻技術(shù)大體上分為網(wǎng)絡(luò)層或應(yīng)用層兩類(lèi) 。 防火墻產(chǎn)品大體上可以分成兩類(lèi)：一類(lèi)是基于包過(guò)濾（Packet filter）的包過(guò)濾型防火墻。另一類(lèi)是基于代理服務(wù)（Proxy service）的代理服務(wù)型防火墻。 .8包過(guò)濾技術(shù)（Packet Filter） 包過(guò)濾（Packet Filtering）：基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力。 包過(guò)濾器主要基于以下選項(xiàng)進(jìn)行包過(guò)濾： 源端口號(hào) 目的端口號(hào) TCP標(biāo)志.9過(guò)濾路由器為內(nèi)部網(wǎng)絡(luò)提供安全邊界 .10 包過(guò)濾模型 包過(guò)濾服務(wù)器外部網(wǎng)段1外部網(wǎng)段2外部網(wǎng)段N內(nèi)部

4、網(wǎng)段1內(nèi)部網(wǎng)段2內(nèi)部網(wǎng)段N包過(guò)濾服務(wù)器模型 .11 包過(guò)濾設(shè)備的方式工作： 包過(guò)濾標(biāo)準(zhǔn)必須為包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)，這些包過(guò)濾標(biāo)準(zhǔn)叫包過(guò)濾規(guī)則。 當(dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。 包過(guò)濾器規(guī)則以特殊的方式存儲(chǔ) 如果一條規(guī)則阻止包傳輸或接受，此包便不被允許。 如果一條規(guī)則允許包傳輸或接受，此包可以被繼續(xù)處理。 如果包不滿(mǎn)足任何一條規(guī)則，該包被阻塞。.12 包過(guò)濾技術(shù)的優(yōu)缺點(diǎn) 優(yōu)點(diǎn) ：對(duì)小型的、不太復(fù)雜的站點(diǎn)包過(guò)濾較容易實(shí)現(xiàn)。 缺點(diǎn)：他們很少有或沒(méi)有日志記錄能力，所以網(wǎng)絡(luò)管理員很難確認(rèn)系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。這種防火墻的最大缺陷是依賴(lài)一個(gè)單一的部件來(lái)保護(hù)系統(tǒng)。.13代理服務(wù)器（Pr

5、oxy Server） 代理服務(wù)器的位置 .14應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層代理服務(wù)器包過(guò)濾器防火墻 代理服務(wù)器、包過(guò)濾器與OSI模型的關(guān)系 .15 設(shè)置代理服務(wù)器時(shí)要注意到： 打開(kāi)所有輸出TCP連接。 允許SMTP和DNS進(jìn)入郵件主機(jī)。 允許FTP進(jìn)入高于1024的端口。 雙宿主主機(jī) 在TCP/IP中，多宿主主機(jī)（Multi-Homed Host）這個(gè)詞用來(lái)描述具有多個(gè)網(wǎng)卡的主機(jī) .16.17共享數(shù)據(jù)應(yīng)用層A應(yīng)用層B雙宿主主機(jī)網(wǎng)絡(luò)1主機(jī)A網(wǎng)絡(luò)2主機(jī)B網(wǎng)卡網(wǎng)卡雙宿主主機(jī)示意圖.18 雙宿主主機(jī)可以用于把一個(gè)內(nèi)部網(wǎng)絡(luò)從一個(gè)不可信的外部網(wǎng)絡(luò)中分離出來(lái)。因?yàn)殡p宿主主機(jī)不能轉(zhuǎn)發(fā)任何T

6、CP/IP流量，所以它可以徹底堵塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何IP流量。 雙宿主主機(jī)是防火墻使用的最基本配置，雙宿主防火墻主機(jī)的重要性是路由被禁止;網(wǎng)絡(luò)段之間唯一的路徑是通過(guò)應(yīng)用層的功能。 .19網(wǎng)卡網(wǎng)卡雙宿主主機(jī)應(yīng)用程序轉(zhuǎn)發(fā)器外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)帶有應(yīng)用程序進(jìn)程的雙宿主主機(jī) .20 堡壘主機(jī)（Bastion Host）是對(duì)網(wǎng)絡(luò)安全至關(guān)重要的防火墻主機(jī)。堡壘主機(jī)是一個(gè)組織的網(wǎng)絡(luò)安全的中心主機(jī)。 堡壘主機(jī)通常和包過(guò)濾器放在一起使用，構(gòu)成二級(jí)安全體系 . .21雙網(wǎng)絡(luò)接口和過(guò)濾路由器作為第一線(xiàn)防衛(wèi)的堡壘主機(jī) .22 應(yīng)用層網(wǎng)關(guān)可以管理存儲(chǔ)轉(zhuǎn)發(fā)的流量以及某些交互流量 記錄和控制所有進(jìn)出流量的能力是應(yīng)用層

7、網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一 應(yīng)用層網(wǎng)關(guān)的缺點(diǎn)是，用戶(hù)的程序經(jīng)常為每個(gè)應(yīng)用程序而編寫(xiě)。 .23應(yīng)用層網(wǎng)關(guān) .24客戶(hù)機(jī)服務(wù)器代理客戶(hù)機(jī)代理服務(wù)站代理應(yīng)用程序?qū)孬@的客戶(hù)機(jī)和服務(wù)器之間的通信有全部控制權(quán)作為客戶(hù)機(jī)和服務(wù)器的代理.25防火墻的體系結(jié)構(gòu) 單宿主堡壘主機(jī)防火墻 幾種常見(jiàn)的防火墻體系結(jié)構(gòu) :.26 包過(guò)濾路由器、單宿主堡壘主機(jī)的防火墻.27單路由器、雙宿主堡壘主機(jī)防火墻（有DMZ） .28單路由器、雙堡壘主機(jī)防火墻（兩個(gè)DMZ） .2911.3 加強(qiáng)Internet安全性意識(shí)及防護(hù) 網(wǎng)絡(luò)攻擊經(jīng)常能夠得逞的主要原因有以下原因：一方面是由于現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)具有內(nèi)在的安全脆弱性；另一個(gè)方面卻是由于管理者思想麻痹,沒(méi)有采取正確的安全策略和安全機(jī)制.30網(wǎng)絡(luò)安全防護(hù)的一般措施 信息質(zhì)量主要