第10章计算机网络安全_第1页
第10章计算机网络安全_第2页
第10章计算机网络安全_第3页
第10章计算机网络安全_第4页
第10章计算机网络安全_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 计算机网络第10章 计算机网络安全 有一定级别权限的用户有可有一定级别权限的用户有可能威胁网络安全能威胁网络安全 外部的非法访问和攻击会威外部的非法访问和攻击会威胁网络安全胁网络安全 硬件本身可能会损坏,电压、硬件本身可能会损坏,电压、电流的突变,事故和灾害的发生,日常电流的突变,事故和灾害的发生,日常的消耗和磨损的消耗和磨损 软件故障或病毒发作而引起的程软件故障或病毒发作而引起的程序出错,软件本身的缺陷,软件被删除、更改序出错,软件本身的缺陷,软件被删除、更改 数据文件被删除或丢失,数据被数据文件被删除或丢失,数据被篡改、盗用,或者在传输过程中被窃取篡改、盗用,或者在传输过程中被窃取病毒是

2、一种影响广泛的威胁,能病毒是一种影响广泛的威胁,能通过网络广泛传播,最终影响整个网络的正常通过网络广泛传播,最终影响整个网络的正常运行运行q 19891989年年2 2月月1515日,颁布基于日,颁布基于OSIOSI参考模型的七参考模型的七层协议之上的层协议之上的信息安全体系结构标准信息安全体系结构标准ISO7498-2ISO7498-2。内容主要包括:。内容主要包括: 五类安全服务:五类安全服务:保密性、完整性、鉴别、访保密性、完整性、鉴别、访问控制、抗否认。问控制、抗否认。 八类安全机制:八类安全机制:加密、数字签名、访问控制、加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路

3、由数据完整性、鉴别交换、业务流填充、路由控制、公证)。控制、公证)。 19911991年,颁布了年,颁布了OSIOSI安全管理标准安全管理标准ITU X.800ITU X.800。用途是提供专门的硬件、固件用途是提供专门的硬件、固件和软件的安全规范和有关的技术评价方法,来和软件的安全规范和有关的技术评价方法,来支持综合自动数据处理系统的安全模型策略。支持综合自动数据处理系统的安全模型策略。n “桔皮书桔皮书”把安全标准分为:把安全标准分为:A A、B B、C C、D D四四级级是美国家计算机安全中心发表的是美国家计算机安全中心发表的。“红皮书红皮书”是解释是解释“桔皮书桔皮书”的一个手册的一个

4、手册,将,将C2C2规范的各个方面都从网络角度加以描述,惟规范的各个方面都从网络角度加以描述,惟一重要的不同的是规定了网络发起人的作用。一重要的不同的是规定了网络发起人的作用。 防火墙防病毒入侵检测包过滤10.4 防火墙技术 n防火墙:防火墙:防火墙是在内部网与外部网之间实施安全防防火墙是在内部网与外部网之间实施安全防范的系统,用于确定哪些内部资源允许外部访问,以范的系统,用于确定哪些内部资源允许外部访问,以及允许哪些内部网用户访问哪些外部资源及服务。及允许哪些内部网用户访问哪些外部资源及服务。防火墙的优缺点 n防火墙的优点n允许网络管理员在网络中定义一个控制点,将内部网络与外部网络隔开;n审

5、查和记录Internet使用情况的最佳点;n设置网络地址翻译器(NAT)的最佳位置;n作为向客户或其他外部伙伴发送信息的中心联系点;n防火墙的局限性防火墙的局限性n不能防范不经过防火墙的攻击;n不能防范由于内部的威胁;n不能防止病毒攻击; n很难防止数据驱动式攻击;一种高层次、具体到事件的策略,用于定义网络一种高层次、具体到事件的策略,用于定义网络中允许的或禁止的网络服务,且包括对拨号访问中允许的或禁止的网络服务,且包括对拨号访问等连接的限制等连接的限制针对具体的规则来实施的网络服务访问策略。防针对具体的规则来实施的网络服务访问策略。防火墙一般执行下面两种基本设计策略中的一种火墙一般执行下面两

6、种基本设计策略中的一种v 未禁止的都是允许的服务未禁止的都是允许的服务v 未允许的都是禁止的服务未允许的都是禁止的服务 能够根据单个包的能够根据单个包的TCPTCP、UDPUDP、ICMPICMP、IPIP报报头来决定允许或拒绝通信头来决定允许或拒绝通信它审查每一个数据包以确定其是否与某一它审查每一个数据包以确定其是否与某一条包过滤规则匹配条包过滤规则匹配可以综合考虑通信流量的方向、可以综合考虑通信流量的方向、IPIP源地址源地址和目的地址、以及和目的地址、以及TCPTCP或或UDPUDP的源端口号和目的源端口号和目的端口号的端口号 n代理服务器上安装有特殊用途的特别应用程序,被称为代理服务或

7、代理服务器程序。n使用代理服务后,各种服务不再直接通过防火墙转发,对应用数据的转发取决于代理服务器的配置:n只支持一个应用程序的特定功能,同时拒绝所有其他功能;n支持所有的功能,比如同时支持WWW、FTP、Telnet、SMTP和DNS等。 将所有的外部主机与一台堡垒主机相连接,再设置将所有的外部主机与一台堡垒主机相连接,再设置一个过滤路由器作为桥梁一个过滤路由器作为桥梁提供的安全等级比包过滤防火墙系统要高提供的安全等级比包过滤防火墙系统要高实现了网络层安全(包过滤)和应用层安全(代理实现了网络层安全(包过滤)和应用层安全(代理服务)服务)屏蔽子网本质上与屏蔽主机一样,但增加了周边屏蔽子网本质上与屏蔽主机一样,但增加了周边网络一层保护网络一层保护周边网络用了两个包过滤路由器和一台堡垒主

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论