網絡安全的主要內容

1、.1Internet安全問題現(xiàn)狀 網絡安全的主要內容: 在網絡上如何保證合法用戶對資源的合法訪問以及如何防止網絡黑客的攻擊 網絡層的安全防護主要目的是：保證網絡的可用性和合法使用，保護網絡中的網絡設備，主機操作系統(tǒng)以及網絡服務的正常運行，根據IP地址控制用戶的網絡訪問 .2 Internet攻擊類型網絡威脅可以分成以下不同類型：黑客入侵、內部攻擊、不良信息傳播、秘密信息泄漏、修改網絡配置而造成網絡癱瘓等 。 安全威脅主要來自下面幾個方面：（1）對用戶身份的仿冒 （2）對網絡上信息的竊取 （3）對網絡上信息的篡改 （4）對發(fā)出的信息予以否認 （5）對信息進行重發(fā).3 ISO 7498-2模型提供

2、的五種安全服務： 認證（Authentication） 訪問控制（Access Control） 數(shù)據保密（Data Confidentiality） 數(shù)據完整性（Data Integrity） 抗否認（Non-repudiation）.4 目前所建立的主要的安全機制包括： 1身份鑒別機制 2訪問控制機制 3數(shù)據加密機制 4數(shù)據完整性機制 5數(shù)字簽名機制 6防重發(fā)機制 7審計機制.511.2 Interne安全技術-防火墻防火墻位于內部網絡和Internet之間.6 在網絡中，“防火墻”是指在兩個網絡之間實現(xiàn)控制策略的系統(tǒng)（軟件、硬件，或者是兩者并用），用來保護內部的網絡不易受到來自Inter

3、net的侵害。是一種安全策略的體現(xiàn)。.7 防火墻技術的主要內容 防火墻技術大體上分為網絡層或應用層兩類 。 防火墻產品大體上可以分成兩類：一類是基于包過濾（Packet filter）的包過濾型防火墻。另一類是基于代理服務（Proxy service）的代理服務型防火墻。 .8包過濾技術（Packet Filter） 包過濾（Packet Filtering）：基于協(xié)議特定的標準，路由器在其端口能夠區(qū)分包和限制包的能力。 包過濾器主要基于以下選項進行包過濾： 源端口號 目的端口號 TCP標志.9過濾路由器為內部網絡提供安全邊界 .10 包過濾模型 包過濾服務器外部網段1外部網段2外部網段N內部

4、網段1內部網段2內部網段N包過濾服務器模型 .11 包過濾設備的方式工作： 包過濾標準必須為包過濾設備端口存儲起來，這些包過濾標準叫包過濾規(guī)則。 當包到達端口時，對包報頭進行語法分析。 包過濾器規(guī)則以特殊的方式存儲 如果一條規(guī)則阻止包傳輸或接受，此包便不被允許。 如果一條規(guī)則允許包傳輸或接受，此包可以被繼續(xù)處理。 如果包不滿足任何一條規(guī)則，該包被阻塞。.12 包過濾技術的優(yōu)缺點 優(yōu)點 ：對小型的、不太復雜的站點包過濾較容易實現(xiàn)。 缺點：他們很少有或沒有日志記錄能力，所以網絡管理員很難確認系統(tǒng)是否正在被入侵或已經被入侵了。這種防火墻的最大缺陷是依賴一個單一的部件來保護系統(tǒng)。.13代理服務器（Pr

5、oxy Server） 代理服務器的位置 .14應用層表示層會話層傳輸層網絡層數(shù)據鏈路層物理層代理服務器包過濾器防火墻 代理服務器、包過濾器與OSI模型的關系 .15 設置代理服務器時要注意到： 打開所有輸出TCP連接。 允許SMTP和DNS進入郵件主機。 允許FTP進入高于1024的端口。 雙宿主主機 在TCP/IP中，多宿主主機（Multi-Homed Host）這個詞用來描述具有多個網卡的主機 .16.17共享數(shù)據應用層A應用層B雙宿主主機網絡1主機A網絡2主機B網卡網卡雙宿主主機示意圖.18 雙宿主主機可以用于把一個內部網絡從一個不可信的外部網絡中分離出來。因為雙宿主主機不能轉發(fā)任何T

6、CP/IP流量，所以它可以徹底堵塞內部和外部不可信網絡間的任何IP流量。 雙宿主主機是防火墻使用的最基本配置，雙宿主防火墻主機的重要性是路由被禁止;網絡段之間唯一的路徑是通過應用層的功能。 .19網卡網卡雙宿主主機應用程序轉發(fā)器外部網絡內部網絡帶有應用程序進程的雙宿主主機 .20 堡壘主機（Bastion Host）是對網絡安全至關重要的防火墻主機。堡壘主機是一個組織的網絡安全的中心主機。 堡壘主機通常和包過濾器放在一起使用，構成二級安全體系 . .21雙網絡接口和過濾路由器作為第一線防衛(wèi)的堡壘主機 .22 應用層網關可以管理存儲轉發(fā)的流量以及某些交互流量 記錄和控制所有進出流量的能力是應用層

7、網關的主要優(yōu)點之一 應用層網關的缺點是，用戶的程序經常為每個應用程序而編寫。 .23應用層網關 .24客戶機服務器代理客戶機代理服務站代理應用程序對截獲的客戶機和服務器之間的通信有全部控制權作為客戶機和服務器的代理.25防火墻的體系結構 單宿主堡壘主機防火墻 幾種常見的防火墻體系結構 :.26 包過濾路由器、單宿主堡壘主機的防火墻.27單路由器、雙宿主堡壘主機防火墻（有DMZ） .28單路由器、雙堡壘主機防火墻（兩個DMZ） .2911.3 加強Internet安全性意識及防護 網絡攻擊經常能夠得逞的主要原因有以下原因：一方面是由于現(xiàn)有的網絡系統(tǒng)具有內在的安全脆弱性；另一個方面卻是由于管理者思想麻痹,沒有采取正確的安全策略和安全機制.30網絡安全防護的一般措施 信息質量主要