1、计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日1第七章第七章 计算机网络的安全计算机网络的安全教学目标教学重点教学过程计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用
2、2023年1月17日2教学目标教学目标 了解计算机网络安全的概念了解计算机网络安全的概念 掌握常用加密掌握常用加密/解密的方法解密的方法 理解防火墙技术理解防火墙技术 了解病毒及其防治技术了解病毒及其防治技术计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日3教学重点教学重点 掌握加密掌握加密/解密的方法解密的方法 掌握报文鉴别的方法掌握报文鉴别的方法计算机网络技术与应用简
3、明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日4教学过程教学过程 网络安全问题概述网络安全问题概述 密码与信息加密密码与信息加密 防火墙技术防火墙技术 计算机病毒与防治计算机病毒与防治计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应
4、用网络技术与应用网络技术与应用网络技术与应用2023年1月17日57.1 网络安全问题概述网络安全问题概述 计算机网络安全的概念计算机网络安全的概念 网络安全的需求特性网络安全的需求特性 网络安全研究的主要问题网络安全研究的主要问题计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日67.1.1 计算机网络安全的概念计算机网络安全的概念 国际标准化组织国际标准化组织(1SO)
5、引用引用ISO 74982文献文献中对安全的定义是:安全就是最大程度地中对安全的定义是:安全就是最大程度地减少数据和资源被攻击的可能性。减少数据和资源被攻击的可能性。中华人民八和国计算机信息系统安全保护条例中华人民八和国计算机信息系统安全保护条例的第三条规范了包括计算机网络系统在内的计算的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概念:机信息系统安全的概念:“计算机信息系统的安计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设全保护,应当保障计算机及其相关的和配套的设备、设施备、设施(含网络含网络)的安全,运行环境的安全,保的安全,运行环境的安全,保障信息的安全,保障计
6、算机功能的正常发挥,以障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。维护计算机信息系统的安全运行。”计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日77.1.2 网络安全的需求特性网络安全的需求特性 网络安全保障的归结点还是网上的信网络安全保障的归结点还是网上的信息安全息安全 信息安全的需求特性信息安全的需求特性机密性机密性完整性完整性可用性可用
7、性可控性可控性不可否认性不可否认性计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日87.1.3 网络安全研究的主要问题网络安全研究的主要问题 网络安全涉及网络安全涉及5个层次的安全个层次的安全计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应
8、用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日97.1.3 网络安全研究的主要问题(网络安全研究的主要问题(1)物理安全物理安全 环境安全环境安全 设备安全设备安全 媒体安全媒体安全计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日107.1.3 网络安全研究的主要问题(网络安全研究的主要问题(2)网络安全网络安全网络安全局域网
9、、子网安全访问控制(防火墙)网络检测(网络入侵监测系统)网络中数据传输安全数据加密(VPN等)网络运行安全备份与恢复应急网络协议安全TCP/IP其他协议计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日117.1.3 网络安全研究的主要问题(网络安全研究的主要问题(3)系统安全系统安全系统安全操作系统安全反病毒系统安全检测入侵检测(监控)审计分析数据库系统安全数据库安全数据
10、库管理系统安全计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日127.1.3 网络安全研究的主要问题(网络安全研究的主要问题(4)应用安全应用安全应用安全应用软件开发平台安全各种编程语言平台安全程序本身的安全应用系统安全应用软件系统安全计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与
11、应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日137.1.3 网络安全研究的主要问题(网络安全研究的主要问题(5)管理安全管理安全 人在一系列的安全问题中总是处于主导的作用,人在一系列的安全问题中总是处于主导的作用,因此要解决这个问题须从技术和管理两个方面因此要解决这个问题须从技术和管理两个方面入手。入手。技术技术 管理管理计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用
12、网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日147.2 密码与信息加密密码与信息加密 7.2.1 密码技术概述密码技术概述 7.2.2 对称加密算法对称加密算法 7.2.3 非对称加密算法非对称加密算法 7.2.4 报文鉴别报文鉴别计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日157.2 密码与信息加密密码与信息加密 密码学
13、是一门古老而深奥的学科密码学是一门古老而深奥的学科 计算机密码学又是一门新兴的学科计算机密码学又是一门新兴的学科 随着计算机网络和计算机通信技术的发展,计随着计算机网络和计算机通信技术的发展,计算机密码学得到了前所未有的重视并迅速普及算机密码学得到了前所未有的重视并迅速普及和发展起来。在国外,它已成为计算机安全主和发展起来。在国外,它已成为计算机安全主要的研究方向。要的研究方向。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技
14、术与应用网络技术与应用网络技术与应用2023年1月17日167.2.1 密码技术概述密码技术概述 密码学的历史比较悠久,在四千年前,古密码学的历史比较悠久,在四千年前,古埃及人就开始使用密码来保密传递消息。埃及人就开始使用密码来保密传递消息。两千多年前,罗马国王两千多年前,罗马国王Julius Caesar(恺恺撒撒)就开始使用目前称为就开始使用目前称为“恺撒密码恺撒密码”的密的密码系统。但是密码技术直到码系统。但是密码技术直到20世纪世纪40年代年代以后才有重大突破和发展。特别是以后才有重大突破和发展。特别是20世纪世纪70年代后期,由于计算机、电子通信的广年代后期,由于计算机、电子通信的广
15、泛使用,现代密码学得到了空前的发展。泛使用,现代密码学得到了空前的发展。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日17(一)一般的数据加密模型(一)一般的数据加密模型计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络
16、技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日18一般的数据加密模型(一般的数据加密模型(1)加密算法与解密算法加密算法与解密算法 加密的基本思想是伪装明文(加密的基本思想是伪装明文(plaint text,未经现代密未经现代密码学的一个基本原则是:一切秘密寓于密钥之中。在码学的一个基本原则是:一切秘密寓于密钥之中。在设计加密系统时,加密算法是可以公开的,真正需要设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。加密的信息)以隐藏其真实内容,即保密的是密钥。加密的信息)以隐藏其真实内容,即将明文将明文X伪装成密文伪装成密文Y(cipher text,加密后的
17、信息加密后的信息)。伪装明文的操作称为加密伪装明文的操作称为加密 由密文恢复出原文的过程称为解密由密文恢复出原文的过程称为解密 现代密码学的一个基本原则是:一切秘密寓于密钥之现代密码学的一个基本原则是:一切秘密寓于密钥之中。中。在设计加密系统时,加密算法是可以公开的,真正需要保密的在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。是密钥。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术
18、与应用2023年1月17日19一般的数据加密模型(一般的数据加密模型(2)密钥密钥 加密算法和解密算法的操作通常都是在一组密加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。钥的控制下进行的。对于同一种加密算法,密钥的位数越长,破译的难对于同一种加密算法,密钥的位数越长,破译的难度也就越大,安全性也就越好,密钥空间度也就越大,安全性也就越好,密钥空间(key space)即二进制即二进制01组合的数目越大,密钥的可能范组合的数目越大,密钥的可能范围也就越大,那么攻击者就越不容易通过蛮力攻击围也就越大,那么攻击者就越不容易通过蛮力攻击(brute-force attack)来破译,只好用
19、穷举法对密)来破译,只好用穷举法对密钥的所有组合进行猜测,直到成功地解密。钥的所有组合进行猜测,直到成功地解密。对称密码体制对称密码体制 非对称密码体制非对称密码体制计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日20一般的数据加密模型(一般的数据加密模型(3)模型的数学表示模型的数学表示 明文用明文用M(Message,消息消息)或或P(Plaintext,明明文文)密
20、文用密文用C(Ciphertext)加密加密E(Encrypt)EK(M)=C 解密解密D(Decrypt)DK(C)=M DK(EK(M)=M 计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日21(二)基本的加密方法举例(二)基本的加密方法举例(1)替代加密替代加密 保持明文的字符顺序,只是将原字符替换并隐藏起来。保持明文的字符顺序,只是将原字符替换并隐藏起来。密钥为密
21、钥为3 明文明文 caesar cipher 密文密文 FDHVDU FLSKHUab cd efgh imq rstu vw xyzD E F G H IJK L PT U V W X Y Z A B C计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日22(二)基本的加密方法举例(二)基本的加密方法举例(2)置换加密(变位加密)置换加密(变位加密)不隐藏原明文的字符,但
22、不隐藏原明文的字符,但却将字符重新排序变位却将字符重新排序变位 密钥为密钥为 cipher 明文明文 Attack begin at four 密文密文 abacnuaiotettgfksr密钥C I P H E R顺序1 4 5 3 2 6 注:此顺序与密钥等价,但不如密钥便于记忆明文a tta c K 注:明文的意思是“四时开始进攻”b e g in sa tf o u r计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术
23、与应用网络技术与应用网络技术与应用2023年1月17日237.2.2 对称加密算法对称加密算法 加密密钥和解密密钥相同加密密钥和解密密钥相同 Dk(Ek(M)=C 典型算法:数据加密标准典型算法:数据加密标准DES计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日247.2.3 非对称加密非对称加密 又称又称“公开密钥加密公开密钥加密”,密钥互不相同,密钥互不相同,公钥用来
24、加密,私钥用来解密。公钥用来加密,私钥用来解密。Dsk(Epk(M)=C计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日25RSA 公开密钥密码系统()公开密钥密码系统()RSA算法的安全性基于大整数分解的难度。算法的安全性基于大整数分解的难度。其公钥和私钥是一对大素数的函数。从一其公钥和私钥是一对大素数的函数。从一个公钥和密文中恢复出明文的难度等价于个公钥和密文中恢复出
25、明文的难度等价于分解两个大素数的乘积。分解两个大素数的乘积。加密过程举例:加密过程举例:1)选择两个大素数)选择两个大素数p=7,q=17 2)计算)计算n=p*q=119 3)计算)计算(n)=(p 1)(q 1)=96 计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日26 4)从)从0,95中随机选取一个正整数中随机选取一个正整数e,1e(n),且,且e与与(n)互素
26、。选互素。选e=5 )最后计算出满足)最后计算出满足e*d=1 mod(n)的的d=77。)公开密钥)公开密钥PK=(e,n)=5,119 )秘密密钥)秘密密钥SK=(d,n)=77,119 )用公钥加密,)用公钥加密,Y=Xe mod n=66,即密即密文为文为66 )用私钥解密,)用私钥解密,X=Yd mod n=19,即明即明文为文为19 RSA 公开密钥密码系统()公开密钥密码系统()计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技
27、术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日277.2 报文鉴别报文鉴别 为了防止信息在传送的过程中被非法窃听,可以为了防止信息在传送的过程中被非法窃听,可以采用数据加密技术对信息进行加密;采用数据加密技术对信息进行加密;为了防止信息被篡改或伪造,使用了鉴别技术为了防止信息被篡改或伪造,使用了鉴别技术;所谓鉴别,就是验证对象身份的过程,例如验证所谓鉴别,就是验证对象身份的过程,例如验证用户身份、网络或数据串的完整性等,它保证了用户身份、网络或数据串的完整性等,它保证了其他人不能冒名顶替。其他人不能冒名顶替。报文鉴别就是信息在网络通信的过程中,通信的报文鉴别就是信息在网
28、络通信的过程中,通信的接收方能够验证所收到的报文的真伪的过程,包接收方能够验证所收到的报文的真伪的过程,包括验证发送方的身份、报文内容、发送时间等等。括验证发送方的身份、报文内容、发送时间等等。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日28报文鉴别原理(报文鉴别原理(1)采用报文摘要算法来实现报文鉴别采用报文摘要算法来实现报文鉴别计算机网络技术与应用简明教程计算机网
29、络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日29报文鉴别原理(报文鉴别原理(2)在发送方在发送方A,将长度不定的报文,将长度不定的报文m经过报文摘要算法(也称经过报文摘要算法(也称为为MD算法)运算后,得到长度固定的报文算法)运算后,得到长度固定的报文H(m),H(m)称为报文称为报文摘要;摘要;使用发送方的私钥使用发送方的私钥SKA对报文对报文H(m)进行加密,生成报文摘要进行加密,生成报文摘要密文密
30、文ESKA(H(m),并将其拼接在报文并将其拼接在报文m上,一起发送到接收方上,一起发送到接收方B;在接收方,接收到报文在接收方,接收到报文m和报文摘要密文和报文摘要密文ESKA(H(m)后,将后,将其用对应的发送方其用对应的发送方A的公钥的公钥PKA进行解密进行解密DPKA(ESKA(H(m),还还原为原为H(m);将接收到的报文将接收到的报文m经过经过MD算法运算得到报文摘要,并将该报算法运算得到报文摘要,并将该报文摘要于文摘要于中解得的中解得的H(m)比较,判断两者是否相同,从而判断比较,判断两者是否相同,从而判断接收到的报文是否是发送端发送的。接收到的报文是否是发送端发送的。计算机网络
31、技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日30报文鉴别原理(报文鉴别原理(3)报文鉴别特性报文鉴别特性防抵赖特性防抵赖特性发送方私钥加密的信息摘要,称为数字签名,即发送方私钥加密的信息摘要,称为数字签名,即ESKA(H(m)。接收方收到此签名,由于私钥。接收方收到此签名,由于私钥SKA的持有者只有发送方的持有者只有发送方A自己,因此接收方自己,因此接收方B,只需,只需用接收方
32、算出的报文摘要用接收方算出的报文摘要H(m)和接收方解密的报和接收方解密的报文摘要文摘要DPKA(ESKA(H(m)加以比较即可。若相加以比较即可。若相同,说明对应的公钥揭开了对应私钥加密的信息,同,说明对应的公钥揭开了对应私钥加密的信息,由于私钥的唯一性,也就可以断定发送方由于私钥的唯一性,也就可以断定发送方A的身份,的身份,A也就不能抵赖了。也就不能抵赖了。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与
33、应用网络技术与应用2023年1月17日31报文鉴别原理(报文鉴别原理(4)报文鉴别特性报文鉴别特性防篡改和防伪造特性防篡改和防伪造特性为了实现报文鉴别的不可篡改、不可伪造的目的,为了实现报文鉴别的不可篡改、不可伪造的目的,MD算法算法必须满足下面的几个条件;必须满足下面的几个条件;给定一个报文给定一个报文m,计算其报文摘要,计算其报文摘要H(m)是非常容易的;是非常容易的;给定一个报文摘要值给定一个报文摘要值y,想返回原始的报文,想返回原始的报文x,使得,使得H(x)=y是很难的,或者是不可能的,也就是是很难的,或者是不可能的,也就是MD算法是不可逆的;算法是不可逆的;给定给定m,想找到另外一
34、个,想找到另外一个m,使得,使得H(m)=H(m)是很是很难的难的,也就是要求也就是要求MD值是唯一的。值是唯一的。这样,就保证了攻击者无法伪造另外一个报文这样,就保证了攻击者无法伪造另外一个报文m,使得,使得H(m)=H(m),从而达到了报文鉴别的目的。,从而达到了报文鉴别的目的。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日327.3 防火墙技术防火墙技术 7.3.
35、1 防火墙的概述防火墙的概述 7.3.2 典型防火墙技术典型防火墙技术 7.3.3 防火墙的不足与新技术防火墙的不足与新技术计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日337.3.1 防火墙概述防火墙概述 概念和模型概念和模型 由计算机硬件或软件系统构成防火墙,用来在由计算机硬件或软件系统构成防火墙,用来在内部可信任网络和外部非信任网络之间实施接内部可信任网络和外部非
36、信任网络之间实施接入控制策略,以保护内部安全,使敏感的数据入控制策略,以保护内部安全,使敏感的数据不被窃取和篡改。不被窃取和篡改。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日347.3.1 概述概述(1)功能功能1)防火墙是网络安全的屏障:一个防火墙能极大地提高一个内)防火墙是网络安全的屏障:一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务降低风险。
37、部网络的安全性,并通过过滤不安全的服务降低风险。2)防火墙可以强化网络安全策略:通过以防火墙为中心的安全)防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。方案配置,能将所有安全软件配置在防火墙上。3)对网络存取和访问进行监控审计:如果所有的访问都经过防)对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。时也能提供网络使用情况的统计数据。4)防止内部信息外泄:通过防火墙对内部网络的划分,可实现)防止内部信息外
38、泄:通过防火墙对内部网络的划分,可实现内网重点网段的隔离,从而限制了局部重点或敏感网络安全问内网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。题对全局网络造成的影响。5)防止资源被滥用:防火墙支持具有)防止资源被滥用:防火墙支持具有Internet服务特性的服务特性的VPN,通过通过VPN将企业单位分布在全世界各地的将企业单位分布在全世界各地的LAN或专用子网,有或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。享提供了技术保障。计算机网络技术与应用简明教程计算机网络技术与应用
39、简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日357.3.1 概述概述(2)发展过程发展过程计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日367.3.2 典型防火墙技术典型防火墙技术(1)包过
40、滤型防火墙包过滤型防火墙计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日377.3.2 典型防火墙技术典型防火墙技术(2)应用代理防火墙应用代理防火墙计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应
41、用网络技术与应用网络技术与应用2023年1月17日387.3.2 典型防火墙技术典型防火墙技术(3)状态检测防火墙状态检测防火墙计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日397.3.2 典型防火墙技术典型防火墙技术(4)自适应代理型防火墙自适应代理型防火墙计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应
42、用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日407.3.3 防火墙的不足与新技术防火墙的不足与新技术不能防范不经过防火墙的攻击行为不能防范不经过防火墙的攻击行为 不能防止来自内部的以及和外部勾结的攻击不能防止来自内部的以及和外部勾结的攻击防火墙对用户不完全透明防火墙对用户不完全透明限制或关闭一些有用但存在安全缺陷的网络服务限制或关闭一些有用但存在安全缺陷的网络服务防火墙不能有效地防范数据驱动型的攻击防火墙不能有效地防范数据驱动型的攻击 防火墙也不能防范受到病毒感染的程序、文件或
43、防火墙也不能防范受到病毒感染的程序、文件或电子邮件的传输。电子邮件的传输。防火墙不能防范防火墙不能防范Internet上不断出现的新的威胁上不断出现的新的威胁手段和新的攻击方法。手段和新的攻击方法。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日417.4 计算机病毒及防治计算机病毒及防治7.4.1 计算机病毒概述计算机病毒概述7.4.2 计算机病毒的特点及分类计算机病毒
44、的特点及分类7.4.3 计算机病毒的检测和防治计算机病毒的检测和防治7.4.4 反病毒软件的选择反病毒软件的选择计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日427.4.1 计算机病毒概述(定义)计算机病毒概述(定义)一般来说,凡是能够引起计算机故障、破坏计算机数据一般来说,凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒的程序统称为计算机病毒(Comput
45、er Virus)。依据此定。依据此定义,诸如逻辑炸弹、蠕虫等均可称为计算机病毒。义,诸如逻辑炸弹、蠕虫等均可称为计算机病毒。一种较为广泛的定义是:计算机病毒就是能够通过某种一种较为广泛的定义是:计算机病毒就是能够通过某种途径潜伏在计算机存储介质或程序之中,当达到某种条途径潜伏在计算机存储介质或程序之中,当达到某种条件即被激活,对计算机资源进行破坏的一组程序或指令件即被激活,对计算机资源进行破坏的一组程序或指令集合。集合。1994年年2月月18日,我国正式颁布实施日,我国正式颁布实施中华人民共和国中华人民共和国计算机信息系统安全保护条例计算机信息系统安全保护条例,在,在条例条例第二十八第二十八
46、条中明确指出:条中明确指出:“计算机病毒,是指编制或者在计算机计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代机使用,并能自我复制的一组计算机指令或者程序代码。码。”计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日437.4.1 计算机病毒概述(产
47、生)计算机病毒概述(产生)1949年,约翰年,约翰冯纽曼提出一种会自我繁殖的程冯纽曼提出一种会自我繁殖的程序序(现在称为病毒现在称为病毒)。1959年,年,Bell实验室的实验室的Core War,计算机病毒,计算机病毒的雏形。的雏形。1983年,年,VAXII/750计算机系统上运行,第一个计算机系统上运行,第一个病毒实验成功病毒实验成功。1986年初,第一个真正的计算机病毒问世,即年初,第一个真正的计算机病毒问世,即在巴基斯坦出现的在巴基斯坦出现的“Brain”病毒。病毒。1989年,我国发现最早的小球病毒报告。年,我国发现最早的小球病毒报告。1989年年7月,第一个反病毒软件月,第一个反
48、病毒软件KILL6.0问世。问世。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日447.4.2 计算机病毒的特点及分类(计算机病毒的特点及分类(1)特点特点传染性传染性传染性是判断一段程序代码是否为计算机病毒的传染性是判断一段程序代码是否为计算机病毒的根本依据根本依据 隐蔽性隐蔽性潜伏性及可触发性潜伏性及可触发性CIH,冲击波,冲击波MSblast等等破坏性破坏性计算机
49、网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日457.4.2 计算机病毒的特点及分类(计算机病毒的特点及分类(2)分类分类1按感染方式分为引导型、文件型和混合型按感染方式分为引导型、文件型和混合型病毒病毒2按连接方式分为源码型、入侵型、操作系按连接方式分为源码型、入侵型、操作系统型和外壳型病毒统型和外壳型病毒3按破坏性可分为良性病毒和恶性病毒按破坏性可分为良性病毒和恶性病毒4
50、网络病毒网络病毒Internet语言病毒语言病毒特洛伊木马型病毒特洛伊木马型病毒蠕虫病毒蠕虫病毒计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用2023年1月17日467.4.3 计算机病毒的检测和防治(计算机病毒的检测和防治(1)1、病毒的检测、病毒的检测(1)屏幕显示异常,弹出异常窗口。)屏幕显示异常,弹出异常窗口。(2)声音异常,有虚假报警。)声音异常,有虚假报警。(3)系统工作异常: