網(wǎng)絡(luò)安全的主要內(nèi)容

1、編輯ppt1Internet安全問題現(xiàn)狀 網(wǎng)絡(luò)安全的主要內(nèi)容: 在網(wǎng)絡(luò)上如何保證合法用戶對資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客的攻擊 網(wǎng)絡(luò)層的安全防護主要目的是：保證網(wǎng)絡(luò)的可用性和合法使用，保護網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備，主機操作系統(tǒng)以及網(wǎng)絡(luò)服務(wù)的正常運行，根據(jù)IP地址控制用戶的網(wǎng)絡(luò)訪問 編輯ppt2 Internet攻擊類型網(wǎng)絡(luò)威脅可以分成以下不同類型：黑客入侵、內(nèi)部攻擊、不良信息傳播、秘密信息泄漏、修改網(wǎng)絡(luò)配置而造成網(wǎng)絡(luò)癱瘓等 。 安全威脅主要來自下面幾個方面：（1）對用戶身份的仿冒 （2）對網(wǎng)絡(luò)上信息的竊取 （3）對網(wǎng)絡(luò)上信息的篡改 （4）對發(fā)出的信息予以否認 （5）對信息進行重發(fā)編輯ppt3 IS

2、O 7498-2模型提供的五種安全服務(wù)： 認證（Authentication） 訪問控制（Access Control） 數(shù)據(jù)保密（Data Confidentiality） 數(shù)據(jù)完整性（Data Integrity） 抗否認（Non-repudiation）編輯ppt4 目前所建立的主要的安全機制包括： 1身份鑒別機制 2訪問控制機制 3數(shù)據(jù)加密機制 4數(shù)據(jù)完整性機制 5數(shù)字簽名機制 6防重發(fā)機制 7審計機制編輯ppt511.2 Interne安全技術(shù)-防火墻防火墻位于內(nèi)部網(wǎng)絡(luò)和Internet之間編輯ppt6 在網(wǎng)絡(luò)中，“防火墻”是指在兩個網(wǎng)絡(luò)之間實現(xiàn)控制策略的系統(tǒng)（軟件、硬件，或者是兩者

3、并用），用來保護內(nèi)部的網(wǎng)絡(luò)不易受到來自Internet的侵害。是一種安全策略的體現(xiàn)。編輯ppt7 防火墻技術(shù)的主要內(nèi)容 防火墻技術(shù)大體上分為網(wǎng)絡(luò)層或應(yīng)用層兩類 。 防火墻產(chǎn)品大體上可以分成兩類：一類是基于包過濾（Packet filter）的包過濾型防火墻。另一類是基于代理服務(wù)（Proxy service）的代理服務(wù)型防火墻。 編輯ppt8包過濾技術(shù)（Packet Filter） 包過濾（Packet Filtering）：基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力。 包過濾器主要基于以下選項進行包過濾： 源端口號 目的端口號 TCP標(biāo)志編輯ppt9過濾路由器為內(nèi)部網(wǎng)絡(luò)提供安全

4、邊界 編輯ppt10 包過濾模型 包過濾服務(wù)器外部網(wǎng)段1外部網(wǎng)段2外部網(wǎng)段N內(nèi)部網(wǎng)段1內(nèi)部網(wǎng)段2內(nèi)部網(wǎng)段N包過濾服務(wù)器模型 編輯ppt11 包過濾設(shè)備的方式工作： 包過濾標(biāo)準(zhǔn)必須為包過濾設(shè)備端口存儲起來，這些包過濾標(biāo)準(zhǔn)叫包過濾規(guī)則。 當(dāng)包到達端口時，對包報頭進行語法分析。 包過濾器規(guī)則以特殊的方式存儲 如果一條規(guī)則阻止包傳輸或接受，此包便不被允許。 如果一條規(guī)則允許包傳輸或接受，此包可以被繼續(xù)處理。 如果包不滿足任何一條規(guī)則，該包被阻塞。編輯ppt12 包過濾技術(shù)的優(yōu)缺點 優(yōu)點 ：對小型的、不太復(fù)雜的站點包過濾較容易實現(xiàn)。 缺點：他們很少有或沒有日志記錄能力，所以網(wǎng)絡(luò)管理員很難確認系統(tǒng)是否正在

5、被入侵或已經(jīng)被入侵了。這種防火墻的最大缺陷是依賴一個單一的部件來保護系統(tǒng)。編輯ppt13代理服務(wù)器（Proxy Server） 代理服務(wù)器的位置 編輯ppt14應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層代理服務(wù)器包過濾器防火墻 代理服務(wù)器、包過濾器與OSI模型的關(guān)系 編輯ppt15 設(shè)置代理服務(wù)器時要注意到： 打開所有輸出TCP連接。 允許SMTP和DNS進入郵件主機。 允許FTP進入高于1024的端口。 雙宿主主機 在TCP/IP中，多宿主主機（Multi-Homed Host）這個詞用來描述具有多個網(wǎng)卡的主機 編輯ppt16編輯ppt17共享數(shù)據(jù)應(yīng)用層A應(yīng)用層B雙宿主主機網(wǎng)絡(luò)1主機A網(wǎng)

6、絡(luò)2主機B網(wǎng)卡網(wǎng)卡雙宿主主機示意圖編輯ppt18 雙宿主主機可以用于把一個內(nèi)部網(wǎng)絡(luò)從一個不可信的外部網(wǎng)絡(luò)中分離出來。因為雙宿主主機不能轉(zhuǎn)發(fā)任何TCP/IP流量，所以它可以徹底堵塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何IP流量。 雙宿主主機是防火墻使用的最基本配置，雙宿主防火墻主機的重要性是路由被禁止;網(wǎng)絡(luò)段之間唯一的路徑是通過應(yīng)用層的功能。 編輯ppt19網(wǎng)卡網(wǎng)卡雙宿主主機應(yīng)用程序轉(zhuǎn)發(fā)器外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)帶有應(yīng)用程序進程的雙宿主主機 編輯ppt20 堡壘主機（Bastion Host）是對網(wǎng)絡(luò)安全至關(guān)重要的防火墻主機。堡壘主機是一個組織的網(wǎng)絡(luò)安全的中心主機。 堡壘主機通常和包過濾器放在一起使用，構(gòu)成二級安

7、全體系 . 編輯ppt21雙網(wǎng)絡(luò)接口和過濾路由器作為第一線防衛(wèi)的堡壘主機 編輯ppt22 應(yīng)用層網(wǎng)關(guān)可以管理存儲轉(zhuǎn)發(fā)的流量以及某些交互流量 記錄和控制所有進出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點之一 應(yīng)用層網(wǎng)關(guān)的缺點是，用戶的程序經(jīng)常為每個應(yīng)用程序而編寫。 編輯ppt23應(yīng)用層網(wǎng)關(guān) 編輯ppt24客戶機服務(wù)器代理客戶機代理服務(wù)站代理應(yīng)用程序?qū)孬@的客戶機和服務(wù)器之間的通信有全部控制權(quán)作為客戶機和服務(wù)器的代理編輯ppt25防火墻的體系結(jié)構(gòu) 單宿主堡壘主機防火墻 幾種常見的防火墻體系結(jié)構(gòu) :編輯ppt26 包過濾路由器、單宿主堡壘主機的防火墻編輯ppt27單路由器、雙宿主堡壘主機防火墻（有DMZ） 編輯ppt28單路由器、雙堡壘主機防火墻（兩個DMZ） 編輯ppt2911.3 加強Internet安全性意識及防護 網(wǎng)絡(luò)攻擊經(jīng)常能夠得逞的主要原因有以下原因：一方面是由于現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)具有內(nèi)在的安全脆弱性