网络安全(36张)课件.ppt

1、2022-11-3网络安全(PPT36页)网络安全网络安全(PPT36页页)网络安全(PPT36页)网络安全的基本概念网络安全的基本概念网络安全是信息安全学科的重要组成部分，涉网络安全是信息安全学科的重要组成部分，涉及计算机科学、网路技术、通信技术、密码及计算机科学、网路技术、通信技术、密码技术、信息安全技术、应用数学、数论、信技术、信息安全技术、应用数学、数论、信息论等多个学科的综合科学。息论等多个学科的综合科学。网络的安全是指通过采用各种技术和管理措施，使网网络的安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完络系统正常运行，从而确保网络数据的可用性、完

2、整性和保密性。网络安全的具体含义会随着整性和保密性。网络安全的具体含义会随着“角度角度”的变化而变化。比如：从用户（个人、企业等）的的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的息在网络上传输时受到机密性、完整性和真实性的保护。而从企业的角度来说，最重要的就是内部信保护。而从企业的角度来说，最重要的就是内部信息上的安全加密以及保护。息上的安全加密以及保护。网络安全(PPT36页)网络安全是指网络系统的硬件、软件及其系统网络安全是指网络系统的硬件、软件及其系统中的数据

3、受到保护，不因偶然的或者恶意的中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。可靠正常地运行，网络服务不中断。网络可为计算机信息的获取、传输、处理、利网络可为计算机信息的获取、传输、处理、利用与共享提供一个高效、快捷、安全的通信用与共享提供一个高效、快捷、安全的通信环境与传输通道。网络安全从根本上解决的环境与传输通道。网络安全从根本上解决的网络中存在的安全隐患问题，从而确保信息网络中存在的安全隐患问题，从而确保信息在网络环境中的存储、处理与传输安全的目在网络环境中的存储、处理与传输安全的目的。因此

4、，网络安全技术主要考虑对其构成的。因此，网络安全技术主要考虑对其构成威胁的主要因素，归纳为威胁的主要因素，归纳为8个因素。个因素。网络安全(PPT36页)主要威胁因素主要威胁因素-网络防攻击技术网络防攻击技术u 网络防攻击技术：如网络被攻击，出现网络网络防攻击技术：如网络被攻击，出现网络瘫痪，则无法正常工作，要采取攻击防范措瘫痪，则无法正常工作，要采取攻击防范措施。就要先了解主要的攻击类型。施。就要先了解主要的攻击类型。网络攻击的基本类型：划分为服务攻击与非服网络攻击的基本类型：划分为服务攻击与非服务攻击，从黑客攻击的手段上可以划分为务攻击，从黑客攻击的手段上可以划分为8种：系统入侵类攻击、缓

5、冲区溢出攻击、欺种：系统入侵类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马程序攻击、后门攻击。病毒类攻击、木马程序攻击、后门攻击。网络安全(PPT36页)主要威胁因素主要威胁因素-网络防攻击技术网络防攻击技术u 服务攻击的特点：服务攻击的特点：服务攻击（服务攻击（application dependent attack）是指对为网络提供某种服务的服务器发）是指对为网络提供某种服务的服务器发起攻击，造成网络的起攻击，造成网络的“拒绝服务拒绝服务”，使网络工作不，使网络工作不正常。正常。拒绝服务攻击（拒绝服务攻击（denial

6、-of-service-attack）产生的效果表现在消耗带宽、消耗计算）产生的效果表现在消耗带宽、消耗计算资源、使系统和应用崩溃等资源、使系统和应用崩溃等3个方面，它阻止某个方面，它阻止某种服务的合法使用者访问他有权访问的服务。特种服务的合法使用者访问他有权访问的服务。特定的网络服务包括定的网络服务包括E-mail、TELNET、FTP、WWW服务等。服务等。网络安全(PPT36页)主要威胁因素主要威胁因素-网络防攻击技术网络防攻击技术u 非服务攻击的特点：非服务攻击的特点：非服务攻击（非服务攻击（application independent attack）不针对某项具体应用）不针对某项具

7、体应用服务，而是针对网络层等低层协议进行的。攻击服务，而是针对网络层等低层协议进行的。攻击者可能使用各种工具方法对网络通信设备（路由者可能使用各种工具方法对网络通信设备（路由器、交换机）发起攻击，使得网络通信设备工作器、交换机）发起攻击，使得网络通信设备工作严重阻塞或瘫痪。严重阻塞或瘫痪。与服务攻击相比，非服务攻击与特定服务与服务攻击相比，非服务攻击与特定服务无关。它往往利用协议或操作系统实现协议时的无关。它往往利用协议或操作系统实现协议时的漏洞来达到攻击的目的，更为隐蔽且常常被人所漏洞来达到攻击的目的，更为隐蔽且常常被人所忽略，因而是一种更为危险的攻击手段。忽略，因而是一种更为危险的攻击手段

8、。网络安全(PPT36页)主要威胁因素主要威胁因素-网络防攻击技术网络防攻击技术u 黑客攻击的主要手段：黑客攻击的主要手段：1.缓冲区溢出攻击：向一个有限空间的缓冲区拷贝了过长的字符，缓冲区溢出攻击：向一个有限空间的缓冲区拷贝了过长的字符，结果会出现了两种情况：一是过长的字符覆盖了相邻的存储单结果会出现了两种情况：一是过长的字符覆盖了相邻的存储单元，这样会引起程序运行的失败，严重的话，可以导致当机、元，这样会引起程序运行的失败，严重的话，可以导致当机、系统重新启动等后果；二是利用这样的漏洞可以执行任意的指系统重新启动等后果；二是利用这样的漏洞可以执行任意的指令，甚至获得系统的操作权。第一个缓冲

9、区溢出攻击令，甚至获得系统的操作权。第一个缓冲区溢出攻击-Morris蠕虫。蠕虫。2.欺骗类攻击：利用欺骗类攻击：利用TCP/IP协议本身的一些缺陷，黑客可对其进协议本身的一些缺陷，黑客可对其进行网络欺骗的主要方式有：行网络欺骗的主要方式有：IP欺骗、欺骗、ARP欺骗、欺骗、DNS欺骗、欺骗、WEB欺骗、电子邮件欺骗、（通过指定路由，以假冒身份与其欺骗、电子邮件欺骗、（通过指定路由，以假冒身份与其他主机进行合法通信、或发送假报文，使受攻击主机出现错误他主机进行合法通信、或发送假报文，使受攻击主机出现错误动作、地址欺骗（包括伪造源地址和伪造中间站点）等。动作、地址欺骗（包括伪造源地址和伪造中间站

10、点）等。http:/ 黑客攻击的主要手段：黑客攻击的主要手段：3.拒绝服务攻击：即攻击者想办法让目标主机停止提供服务或资源拒绝服务攻击：即攻击者想办法让目标主机停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝对目标造成麻烦，使某些服务被暂

11、停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。务攻击也成为了攻击者的终极手法。4.后门类攻击：通常黑客在得到一个主机的控制权后，总是考虑如后门类攻击：通常黑客在得到一个主机的控制权后，总是考虑如何使下次闯进来能够轻易些，而不需要每次都重复利用复杂的漏何使下次闯进来能够轻易些，而不需要每次都重复利用复杂的漏洞，因为有可能被系统管理员发现漏洞并及时补上。这时就需要洞

12、，因为有可能被系统管理员发现漏洞并及时补上。这时就需要安装安装backdoor（后门）了，这样只要管理员没有发现被入侵（后门）了，这样只要管理员没有发现被入侵或没有发现这个后门，下次就可以非常轻松的通过后门进入了。或没有发现这个后门，下次就可以非常轻松的通过后门进入了。http:/ 网络防攻击研究主要解决以下问题：网络防攻击研究主要解决以下问题：1.网络可能遭到那些人的攻击网络可能遭到那些人的攻击2.攻击类型与手段有哪些攻击类型与手段有哪些3.如何及时检测并报告网络被攻击如何及时检测并报告网络被攻击4.如何采取相应的网络安全策略与网络安全如何采取相应的网络安全策略与网络安全防护体系防护体系网络

13、安全(PPT36页)主要威胁因素主要威胁因素-网络安全漏洞与对策研究网络安全漏洞与对策研究u 网络信息系统的运行一定涉及到计算机硬件与操作网络信息系统的运行一定涉及到计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应系统、网络硬件与网络软件、数据库管理系统、应用软件，以及各种通信协议。他们都会存在一些问用软件，以及各种通信协议。他们都会存在一些问题，不可能是百分之百无缺陷或者无漏洞的。题，不可能是百分之百无缺陷或者无漏洞的。u 网络服务是通过各种协议来完成的，因此网络协议网络服务是通过各种协议来完成的，因此网络协议的安全性是网络安全的重要方面。值得注意的是网的安全性是网络安全的重要方

14、面。值得注意的是网络协议的安全性是很难得到绝对保证的。络协议的安全性是很难得到绝对保证的。u 目前，保证协议安全性主要有两种方法：目前，保证协议安全性主要有两种方法：1.用形式化方法来证明一个协议是安全的，主要是采用形式化方法来证明一个协议是安全的，主要是采用漏洞分析确保其安全性。因此具有很大的局限性用漏洞分析确保其安全性。因此具有很大的局限性2.用设计者的经验来分析协议安全性，经验有限、认用设计者的经验来分析协议安全性，经验有限、认识不足等。识不足等。网络安全(PPT36页)主要威胁因素主要威胁因素-网络安全漏洞与对策研究网络安全漏洞与对策研究u 网络安全漏洞的存在是不可避免的。网络软件的漏

15、网络安全漏洞的存在是不可避免的。网络软件的漏洞和洞和“后门后门”是进行网络攻击的首选目标。是进行网络攻击的首选目标。u 要求网络管理人员与网络安全研究人员主动地了解要求网络管理人员与网络安全研究人员主动地了解本地系统的计算机硬件与操作系统、网络硬件与网本地系统的计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统等网络通信协议可能存在络软件、数据库管理系统等网络通信协议可能存在的安全隐患。利用各种工具测试主动监测可能存在的安全隐患。利用各种工具测试主动监测可能存在的漏洞。及时防范，提出补救措施。的漏洞。及时防范，提出补救措施。网络安全(PPT36页)主要威胁因素主要威胁因素-网络中的信息安

16、全问题网络中的信息安全问题u 黑客攻击手段和方法多种多样，一般可以分为主动黑客攻击手段和方法多种多样，一般可以分为主动攻击和被动攻击。攻击和被动攻击。u 主动攻击：是以各种方式有选择地破坏信息的有效主动攻击：是以各种方式有选择地破坏信息的有效性和完整性。性和完整性。u 被动攻击：是在不影响网络正常工作的情况下，进被动攻击：是在不影响网络正常工作的情况下，进行信息的截获、盗取和破译。行信息的截获、盗取和破译。u 网络中的信息安全主要分为：信息存储安全和信息网络中的信息安全主要分为：信息存储安全和信息传输安全。传输安全。网络安全(PPT36页)主要威胁因素主要威胁因素-网络中的信息安全问题网络中的

17、信息安全问题u 信息存储安全：是指如何保证静态存在联网计算机信息存储安全：是指如何保证静态存在联网计算机中的信息不被未授权的网络用户非法使用。中的信息不被未授权的网络用户非法使用。u 网络中的非法用户可以通过猜测用户口令或盗取口网络中的非法用户可以通过猜测用户口令或盗取口令，或者设法绕过网络安全认证系统来冒充合法用令，或者设法绕过网络安全认证系统来冒充合法用户，非法查看、下载、使用、修改、删除未被授权户，非法查看、下载、使用、修改、删除未被授权访问的信息，使用未必授权的网络服务。用户保护访问的信息，使用未必授权的网络服务。用户保护手段一般是用户访问权限设置、用户口令加密、用手段一般是用户访问权

18、限设置、用户口令加密、用户身份认证、数据加密等。户身份认证、数据加密等。网络安全(PPT36页)主要威胁因素主要威胁因素-网络中的信息安全问题网络中的信息安全问题u 信息传输安全：是指如何保证信息在网络传输的过信息传输安全：是指如何保证信息在网络传输的过程中不被泄露与不被攻击。程中不被泄露与不被攻击。网络安全(PPT36页)主要威胁因素主要威胁因素-网络中的信息安全问题网络中的信息安全问题u 截获信息：信息重信息源节点发送出来，中途被攻击截获信息：信息重信息源节点发送出来，中途被攻击者非法截获，信息目的节点没有接收到应该接受的信者非法截获，信息目的节点没有接收到应该接受的信息，因而造成了信息在

19、传输途中丢失。息，因而造成了信息在传输途中丢失。u 窃听信息：信息从信息源节点传输到信息目的节点，窃听信息：信息从信息源节点传输到信息目的节点，但中途被攻击者非法窃听，尽管信息目的节点接收到但中途被攻击者非法窃听，尽管信息目的节点接收到了信息，信息并没有丢失，但如果被窃听到的是军事了信息，信息并没有丢失，但如果被窃听到的是军事信息等重要、重大信息均由可能造成严重损失。信息等重要、重大信息均由可能造成严重损失。u 篡改信息：信息从信息源节点传输到信息目的节点的篡改信息：信息从信息源节点传输到信息目的节点的中途被攻击者非法截获，攻击者将截获的信息进行修中途被攻击者非法截获，攻击者将截获的信息进行修

20、改或者插入欺骗的信息，然后将篡改后的信息发送给改或者插入欺骗的信息，然后将篡改后的信息发送给信息目的节点。目的节点接收到信息但是被篡改的。信息目的节点。目的节点接收到信息但是被篡改的。u 伪造信息：该种情况是信息源并没有信息要传输给信伪造信息：该种情况是信息源并没有信息要传输给信息目的节点，攻击者冒充信息源节点用户，将伪造信息目的节点，攻击者冒充信息源节点用户，将伪造信息发送给信息目的节点，如果目的节点无法发现信息息发送给信息目的节点，如果目的节点无法发现信息是伪造的，也会造成问题。是伪造的，也会造成问题。网络安全(PPT36页)主要威胁因素主要威胁因素-网络中的信息安全问题网络中的信息安全问

21、题u 保障网络中信息的安全主要技术是数据加密和数据解密。保障网络中信息的安全主要技术是数据加密和数据解密。u 数据加密：在密码学中将源信息称为明文，为了保护明文，使用数据加密：在密码学中将源信息称为明文，为了保护明文，使用某种算法对其进行变换，使之成为无法识别的密文，将明文变为某种算法对其进行变换，使之成为无法识别的密文，将明文变为密文的过程即为数据加密。密文的过程即为数据加密。u 数据解密：将密文经过逆变换转换为明文的过程为数据解密。数据解密：将密文经过逆变换转换为明文的过程为数据解密。网络安全(PPT36页)u http:/ http:/ 防抵赖是指如何防止信息源用户对其发送的信息事防抵赖

22、是指如何防止信息源用户对其发送的信息事后不承认，或者用户接受到信息之后不认账。后不承认，或者用户接受到信息之后不认账。u 一般通过身份认证、数字签名、数字信封、第三方一般通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，确认等方法，来确保网络信息传输的合法性问题，防止抵赖现象出现。防止抵赖现象出现。网络安全(PPT36页)主要威胁因素主要威胁因素-网络内部安全防范网络内部安全防范u 网络内部安全防范是指如何防止内部具有合法身份网络内部安全防范是指如何防止内部具有合法身份的用户有意或者无意地做出对网络与信息安全有害的用户有意或者无意地做出对网络与信息安全有害的行

23、为。的行为。u 对网络安全有害的行为主要有：泄露网络用户或者对网络安全有害的行为主要有：泄露网络用户或者管理员口令、违反网络安全规定、绕过防火墙私自管理员口令、违反网络安全规定、绕过防火墙私自和外部网络连接，造成系统瘫痪、越权查看、修改和外部网络连接，造成系统瘫痪、越权查看、修改和删除系统文件、应用程序和数据、越权修改网络和删除系统文件、应用程序和数据、越权修改网络系统配置，造成网络工作不正常等等。系统配置，造成网络工作不正常等等。u 解决该类问题主要通过网络管理软件随时监控网络解决该类问题主要通过网络管理软件随时监控网络运行状态与用户工作状态，对重要资源如硬盘、数运行状态与用户工作状态，对重

24、要资源如硬盘、数据库等使用状态进行记录与审计；另一方面制定和据库等使用状态进行记录与审计；另一方面制定和不断完善网络使用管理制度，加强要用户培训和管不断完善网络使用管理制度，加强要用户培训和管理，提高网络安全意识。理，提高网络安全意识。网络安全(PPT36页)主要威胁因素主要威胁因素-网络防病毒网络防病毒u 全球出现的数万种病毒基本可划分全球出现的数万种病毒基本可划分6种，引导性病种，引导性病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马病毒与木马病毒与Internet语言病毒。语言病毒。网络安全(PPT36页)主要威胁因素主要威胁因素-垃圾、灰色

25、邮件与软件垃圾、灰色邮件与软件u 垃圾邮件与灰色软件目前已达到失控地步。灰色软垃圾邮件与灰色软件目前已达到失控地步。灰色软件包括间谍程序、广告程序、后门程序、下载程序件包括间谍程序、广告程序、后门程序、下载程序、植入程序等。、植入程序等。u 间谍软件的制造者经常是为某个利益集团服务，用间谍软件的制造者经常是为某个利益集团服务，用来悄悄地安装在用户计算机中，窃取用户机密文件来悄悄地安装在用户计算机中，窃取用户机密文件和个人隐私。和个人隐私。网络安全(PPT36页)主要威胁因素主要威胁因素-网络数据备份恢复与灾难恢复网络数据备份恢复与灾难恢复u 在实际运行中，虽然可以从预防、检查、反应等方在实际运

26、行中，虽然可以从预防、检查、反应等方面着手来减少网络信息系统的不安全因素，但是要面着手来减少网络信息系统的不安全因素，但是要安全保证系统不出现安全事件，这是任何人都不可安全保证系统不出现安全事件，这是任何人都不可能做到的。能做到的。u 网络信息系统的硬件与软件都是可以用钱买到的，网络信息系统的硬件与软件都是可以用钱买到的，而数据是多年积累的成果，并具有重要价值，数据而数据是多年积累的成果，并具有重要价值，数据一旦丢失，且不能恢复，则可能带来不可挽回的损一旦丢失，且不能恢复，则可能带来不可挽回的损失。一个实用的网络信息系统设计中必须有网络数失。一个实用的网络信息系统设计中必须有网络数据备份、数据

27、恢复和灾难恢复策略与实现方法。据备份、数据恢复和灾难恢复策略与实现方法。网络安全(PPT36页)数据加密数据加密u 数据加密又称为密码学，数据加密目前仍是计算机系数据加密又称为密码学，数据加密目前仍是计算机系统对信息进行保护的一项最实用和最可靠的办法，也统对信息进行保护的一项最实用和最可靠的办法，也是网络安全技术中的核心技术。是网络安全技术中的核心技术。u 数据加密的概念：数据加密的概念：加密的目的是防止机密信息的泄露，同时还可以证实加密的目的是防止机密信息的泄露，同时还可以证实信息源的真实性、验证所接收到的信息的完整性。加信息源的真实性、验证所接收到的信息的完整性。加密系统是指对信息进行编码

28、和解码所使用的过程、算密系统是指对信息进行编码和解码所使用的过程、算法和方法的统称。法和方法的统称。明文：加密前的原始数据或消息明文：加密前的原始数据或消息密文：加密后的数据密文：加密后的数据密钥：在加密中使用的并且只有接受双方才知道的信息密钥：在加密中使用的并且只有接受双方才知道的信息加密：使用密钥将明文转换为密文的过程加密：使用密钥将明文转换为密文的过程解密：将密文转换为明文的过程解密：将密文转换为明文的过程网络安全(PPT36页)数据加密数据加密网络安全(PPT36页)数字签名数字签名u 数据加密的主要目的是防止第三方获得真实的数据。但是，数据加密的主要目的是防止第三方获得真实的数据。但

29、是，并没有解决通信双方有可能由于某些原因而引起纠纷：并没有解决通信双方有可能由于某些原因而引起纠纷：1、否认，发送方有时候不承认已发送过的文件、否认，发送方有时候不承认已发送过的文件2、伪造，接受者伪造一份来自发送者的文件、伪造，接受者伪造一份来自发送者的文件3、篡改，接受者私自修改接收的文件、篡改，接受者私自修改接收的文件4、冒充，网络中某一个用户冒充发送者或者接受者、冒充，网络中某一个用户冒充发送者或者接受者数字签名：在以计算机文件为基础的事物处理中采用电子形式数字签名：在以计算机文件为基础的事物处理中采用电子形式的签名，即为数字签名。可用于辨别数据签署人的身份，并的签名，即为数字签名。可

30、用于辨别数据签署人的身份，并表明签署人对信息中包含信息的认可。表明签署人对信息中包含信息的认可。数字签名是一种信息认证技术，利用数据加密技术和数据转换数字签名是一种信息认证技术，利用数据加密技术和数据转换技术，根据某种协议产生一个反映被签署文件的特征和签署技术，根据某种协议产生一个反映被签署文件的特征和签署人的特征，已保证文件的真实性和有效性，同时也可用来核人的特征，已保证文件的真实性和有效性，同时也可用来核实接受者是否有伪造、篡改行为。因此，数字签名既可以用实接受者是否有伪造、篡改行为。因此，数字签名既可以用于对用户身份确认和鉴别，还可以对信息的真实性、可靠性于对用户身份确认和鉴别，还可以对

31、信息的真实性、可靠性进行确认，以防止冒充、抵赖、伪造和篡改等问题。进行确认，以防止冒充、抵赖、伪造和篡改等问题。网络安全(PPT36页)防火墙技术防火墙技术u 信息加密技术能够保证数据在传输过程中的安全性，但无信息加密技术能够保证数据在传输过程中的安全性，但无法保护公司或者企业内部网络不受外来的入侵。为了防止法保护公司或者企业内部网络不受外来的入侵。为了防止内部网络受到外部入侵，可在互联网被保护的人口放置一内部网络受到外部入侵，可在互联网被保护的人口放置一个设备，即防火墙。防火墙将一个互联网分成两个部分：个设备，即防火墙。防火墙将一个互联网分成两个部分：防火墙内部和外部。防火墙内部和外部。u

32、防火墙通常处于企业内部局域网与防火墙通常处于企业内部局域网与Internet之间，形成企之间，形成企业内部网与业内部网与Internet之间的一道屏障，限制之间的一道屏障，限制Internet用用户对内部网络的访问以及管理内部用户访问外界的权限。户对内部网络的访问以及管理内部用户访问外界的权限。防火墙可以对进出的说有数据进行分析，并对用户进行认防火墙可以对进出的说有数据进行分析，并对用户进行认证，从而保护企业网不受来自外部的非法用户的入侵，防证，从而保护企业网不受来自外部的非法用户的入侵，防止有害信息进入受保护网，也可以控制企业内部网与止有害信息进入受保护网，也可以控制企业内部网与Intern

33、et之间的数据流量，为网络提高安全保证。之间的数据流量，为网络提高安全保证。网络安全(PPT36页)防火墙的原则防火墙的原则u 防火墙是一类防范措施的总称。这类防范措施简单的可以防火墙是一类防范措施的总称。这类防范措施简单的可以只用路由器来实现，复杂的可以用主机甚至一个子网来实只用路由器来实现，复杂的可以用主机甚至一个子网来实现。它可以在现。它可以在IP层设置屏蔽，也可以用应用层软件来阻止层设置屏蔽，也可以用应用层软件来阻止外来攻击。外来攻击。u 原则：原则：1、过滤不安全服务，即一切未被许可的就是禁止的。基于该、过滤不安全服务，即一切未被许可的就是禁止的。基于该原则，防火墙应封锁所有信息流，

34、然后会对希望提供安全原则，防火墙应封锁所有信息流，然后会对希望提供安全服务逐项开放，对不安全的服务或可能有安全隐患的服务服务逐项开放，对不安全的服务或可能有安全隐患的服务一律禁用。其弊端是安全性高于用户使用的方便性，用户一律禁用。其弊端是安全性高于用户使用的方便性，用户所能使用的服务范围受到限制。所能使用的服务范围受到限制。2、过滤非法用户和访问特殊站点，一切未被禁止的就是允许、过滤非法用户和访问特殊站点，一切未被禁止的就是允许的。基于该原则，防火墙应先允许所有的用户和站点对内的。基于该原则，防火墙应先允许所有的用户和站点对内部网络进行访问，然后网络管理员按照部网络进行访问，然后网络管理员按照

35、IP地址对未授权的地址对未授权的用户或不信任的站点进行逐项屏蔽。弊端是在日益增多的用户或不信任的站点进行逐项屏蔽。弊端是在日益增多的网络服务面前，网络管理人员疲于奔命，很难提供可靠的网络服务面前，网络管理人员疲于奔命，很难提供可靠的安全保护。安全保护。网络安全(PPT36页)防火墙的功能防火墙的功能防火墙的主要功能：防火墙的主要功能：1、作为网络的安全屏障。只有经过授权通信才能通过防火墙，防、作为网络的安全屏障。只有经过授权通信才能通过防火墙，防火墙作为控制点、阻塞点，能极大提高内部网络的安全性。火墙作为控制点、阻塞点，能极大提高内部网络的安全性。2、强化网络安全策略。通过以防火墙为中心的安全

36、方案配置，能、强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全控制（如口令、加密、身份认证）配置在防火墙上将所有安全控制（如口令、加密、身份认证）配置在防火墙上。这种集中式的安全管理和网络安全问题比分散到各个主机上。这种集中式的安全管理和网络安全问题比分散到各个主机上更经济。更经济。3、有效记录、有效记录Internet上的活动。作为内外网访问的必经点，所上的活动。作为内外网访问的必经点，所有的信息都必须经过防火墙，所以适合收集关于系统和网络使有的信息都必须经过防火墙，所以适合收集关于系统和网络使用、误用的信息，对网络存取和访问进行监控，监视网络的安用、误用的信息，对网络存取和

37、访问进行监控，监视网络的安全性并产生报警。全性并产生报警。4、防止攻击性故障蔓延和内部信息的泄露。利用防火墙技术对内、防止攻击性故障蔓延和内部信息的泄露。利用防火墙技术对内部网络进行划分，可以实现内部网络中重点网段的隔离，从而部网络进行划分，可以实现内部网络中重点网段的隔离，从而缩小了局部网络的安全问题对全局网络造成的影响。缩小了局部网络的安全问题对全局网络造成的影响。网络安全(PPT36页)防火墙的局限性防火墙的局限性1、防火墙不能防范不经过防火墙的攻击。如内部用户直接与、防火墙不能防范不经过防火墙的攻击。如内部用户直接与外部网络连接，绕过防火墙系统所设置的安全措施，就可能外部网络连接，绕过

38、防火墙系统所设置的安全措施，就可能造成一个潜在的后门攻击渠道。造成一个潜在的后门攻击渠道。2、防火墙不能防范人为因素的攻击。不能防范内部人员的破、防火墙不能防范人为因素的攻击。不能防范内部人员的破坏或用户误操作造成的威胁，以及口令泄密而受到的攻击。坏或用户误操作造成的威胁，以及口令泄密而受到的攻击。3、防火墙不能防止数据驱动式的攻击。有些隐藏的数据被传、防火墙不能防止数据驱动式的攻击。有些隐藏的数据被传输到主机后，可能会发起数据攻击。输到主机后，可能会发起数据攻击。4、防火墙不能防止感染病毒的软件或文件的传输。由于操作、防火墙不能防止感染病毒的软件或文件的传输。由于操作系统、病毒、二进制数文件

39、类型的种类太多，且更新快，所系统、病毒、二进制数文件类型的种类太多，且更新快，所以防火墙无法逐个扫描来查找病毒。以防火墙无法逐个扫描来查找病毒。网络安全(PPT36页)防火墙的类型防火墙的类型u 防火墙总体可划分两大类：基于包过滤，基于代理服务。最防火墙总体可划分两大类：基于包过滤，基于代理服务。最大的区别就是基于包过滤的防火墙可以直接转发报文，对用大的区别就是基于包过滤的防火墙可以直接转发报文，对用户完全透明，因而速度较快；而基于代理的防火墙需要通过户完全透明，因而速度较快；而基于代理的防火墙需要通过代理服务器建立连接，因而有更强的身份验证和日志功能。代理服务器建立连接，因而有更强的身份验证

40、和日志功能。u 包过滤防火墙：是实现防火墙功能的有效而基本的方法。包包过滤防火墙：是实现防火墙功能的有效而基本的方法。包过滤技术是基于路由器技术设计的，包过滤防火墙又称为包过滤技术是基于路由器技术设计的，包过滤防火墙又称为包过滤路由器防火墙，过滤器的主要功能是在网络层中对数据过滤路由器防火墙，过滤器的主要功能是在网络层中对数据包实施有选择的通过，以包实施有选择的通过，以IP数据包信息为基础，根据数据包信息为基础，根据IP源源地址、地址、IP目的地址、封装协议端口号，确定它是否允许该数目的地址、封装协议端口号，确定它是否允许该数据包通过。据包通过。u 该配置包过滤规则比较复杂，不具备自身认证功能

41、，安全性该配置包过滤规则比较复杂，不具备自身认证功能，安全性较差，并利用较差，并利用TCP和和UDP端口号来限制某些类型的服务，在端口号来限制某些类型的服务，在不同操作系统的环境下的兼容性较差。不能满足各种安全要不同操作系统的环境下的兼容性较差。不能满足各种安全要求。求。网络安全(PPT36页)防火墙的类型防火墙的类型u 代理服务防火墙也称为应用网关，它是运行在代理服务器上代理服务防火墙也称为应用网关，它是运行在代理服务器上的一些特定的应用程序或服务程序。通过对每种应用服务编的一些特定的应用程序或服务程序。通过对每种应用服务编制专门的代理程序来监视和控制应用层通信流。它位于制专门的代理程序来监

42、视和控制应用层通信流。它位于Internet与与Internet之间，代理服务器把内部网络安全屏之间，代理服务器把内部网络安全屏蔽起来，当代理服务器代表用于与蔽起来，当代理服务器代表用于与Internet建立连接时，建立连接时，可用自己的可用自己的IP地址代替内部网络的地址代替内部网络的IP地址，所有内部网络地址，所有内部网络中的站点对外是不可见的。中的站点对外是不可见的。网络安全(PPT36页)网络入侵检测网络入侵检测-黑客攻击的基本类型黑客攻击的基本类型u 黑客攻击的实质就是利用被攻击方信息系统自身存在的安黑客攻击的实质就是利用被攻击方信息系统自身存在的安全漏洞，通过使用网络命令和专用软件

43、进入对方网络系统全漏洞，通过使用网络命令和专用软件进入对方网络系统的攻击。攻击手段主要有：的攻击。攻击手段主要有：1、网络监听：嗅探器是利用计算机的网络接口，截获目的计、网络监听：嗅探器是利用计算机的网络接口，截获目的计算机数据报文的一种技术。常见的网络监听工具有算机数据报文的一种技术。常见的网络监听工具有NetRay，Sniffit，Sniffer，Snoop、Gobbler等。等。2、拒绝服务攻击，其目的就是拒绝服务访问，破坏系统的正、拒绝服务攻击，其目的就是拒绝服务访问，破坏系统的正常运行，最终使网络连接堵塞、或者服务器因疲于处理攻常运行，最终使网络连接堵塞、或者服务器因疲于处理攻击者发

44、送的数据包而使服务器崩溃、系统资源耗尽。常见击者发送的数据包而使服务器崩溃、系统资源耗尽。常见的的DoS攻击有同步洪流、死亡之攻击有同步洪流、死亡之Ping、Finger炸弹。炸弹。3、源、源IP地址欺骗，如果数据包能够使其自身沿着路由达到目地址欺骗，如果数据包能够使其自身沿着路由达到目的地，而且应答包也可以回到源的地，而且应答包也可以回到源IP地址，那么源地址，那么源IP地址一地址一定是有效的。则给使用源定是有效的。则给使用源IP地址欺骗提供可能，冒充内地址欺骗提供可能，冒充内网网Ip地址，欺骗路由器进而进入内网，进行攻击。地址，欺骗路由器进而进入内网，进行攻击。网络安全(PPT36页)网络

45、入侵检测网络入侵检测-黑客攻击的基本类型黑客攻击的基本类型4、源路由欺骗攻击，信息包从起点到终点经过的路由是由两点、源路由欺骗攻击，信息包从起点到终点经过的路由是由两点间的路由器决定的。为了防范源路由欺骗攻击，可以配置路间的路由器决定的。为了防范源路由欺骗攻击，可以配置路由器，使它抛弃来自外部网却声称是内部主机的报文；或者由器，使它抛弃来自外部网却声称是内部主机的报文；或者在路由器上直接关闭源路由。在路由器上直接关闭源路由。5、缓冲区溢出，通过向程序的缓冲区写入超出其长度的内容，、缓冲区溢出，通过向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行造成缓冲区

46、的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令。需要及时对系统进行升级以堵塞缓冲区溢出漏其他的指令。需要及时对系统进行升级以堵塞缓冲区溢出漏洞。洞。6、密码攻击，密码攻击通过多种方式实现，特洛伊木马程序、密码攻击，密码攻击通过多种方式实现，特洛伊木马程序、IP地址欺骗和报文监听等。地址欺骗和报文监听等。网络安全(PPT36页)恶意程序及防治恶意程序及防治u 恶意程序通常指带有攻击意图所编写的程序。主要包括：恶意程序通常指带有攻击意图所编写的程序。主要包括：暗门、逻辑炸弹、特洛伊木马、蠕虫、细菌、病毒等。暗门、逻辑炸弹、特洛伊木马、蠕虫、细菌、病毒等。u 暗门：又称为后门，是指隐藏在程序中

47、的秘密功能，通常暗门：又称为后门，是指隐藏在程序中的秘密功能，通常是程序设计者为了进行日后调试和测试程序而设置的秘密是程序设计者为了进行日后调试和测试程序而设置的秘密入口。知道后门的人可以不经过安全检查访问过程而获得入口。知道后门的人可以不经过安全检查访问过程而获得访问。访问。u 逻辑炸弹：是一种当运行环境满足某种特定条件时，执行逻辑炸弹：是一种当运行环境满足某种特定条件时，执行其他特殊功能的程序。例如：系统时间为其他特殊功能的程序。例如：系统时间为13日且为星期五日且为星期五时，删去系统文件。时，删去系统文件。u 特洛伊木马：包含了一段隐藏的、激活时某种不想要的或特洛伊木马：包含了一段隐藏的

48、、激活时某种不想要的或有害的功能代码，它的危害性可以用来非直接地完成一些有害的功能代码，它的危害性可以用来非直接地完成一些非授权用户不能直接完成的功能。非授权用户不能直接完成的功能。u 计算机蠕虫：一种通过网络通信功能将自身从一个节点发计算机蠕虫：一种通过网络通信功能将自身从一个节点发送到另一个节点并启动其程序。其传播主要靠网络载体实送到另一个节点并启动其程序。其传播主要靠网络载体实现。一旦改程序被激活，计算机蠕虫可以像病毒或细菌，现。一旦改程序被激活，计算机蠕虫可以像病毒或细菌，或者像特洛伊木马程序进行毁灭性破坏。或者像特洛伊木马程序进行毁灭性破坏。网络安全(PPT36页)恶意程序及防治恶意

49、程序及防治u 计算机细菌：是一些不明显破坏文件的程序，他们的唯一计算机细菌：是一些不明显破坏文件的程序，他们的唯一目的就是繁殖自己。典型的细菌程序就是在多个程序中同目的就是繁殖自己。典型的细菌程序就是在多个程序中同时执行自己的副本，每个细菌都在重复地复制自己，以指时执行自己的副本，每个细菌都在重复地复制自己，以指数级复制增加，最终耗尽系统资源，从而拒绝用户访问系数级复制增加，最终耗尽系统资源，从而拒绝用户访问系统资源。统资源。u 计算机病毒：一种会传染其他程序的程序，其传染是通过计算机病毒：一种会传染其他程序的程序，其传染是通过修改其他程序来把自身或其变种复制进去完成的。修改其他程序来把自身或其变种复制进去完成的。2022-11-3网络安全(PPT36页)