第10章计算机网络安全

1、 计算机网络第10章 计算机网络安全 有一定级别权限的用户有可有一定级别权限的用户有可能威胁网络安全能威胁网络安全 外部的非法访问和攻击会威外部的非法访问和攻击会威胁网络安全胁网络安全 硬件本身可能会损坏，电压、硬件本身可能会损坏，电压、电流的突变，事故和灾害的发生，日常电流的突变，事故和灾害的发生，日常的消耗和磨损的消耗和磨损 软件故障或病毒发作而引起的程软件故障或病毒发作而引起的程序出错，软件本身的缺陷，软件被删除、更改序出错，软件本身的缺陷，软件被删除、更改 数据文件被删除或丢失，数据被数据文件被删除或丢失，数据被篡改、盗用，或者在传输过程中被窃取篡改、盗用，或者在传输过程中被窃取病毒是

2、一种影响广泛的威胁，能病毒是一种影响广泛的威胁，能通过网络广泛传播，最终影响整个网络的正常通过网络广泛传播，最终影响整个网络的正常运行运行q 19891989年年2 2月月1515日，颁布基于日，颁布基于OSIOSI参考模型的七参考模型的七层协议之上的层协议之上的信息安全体系结构标准信息安全体系结构标准ISO7498-2ISO7498-2。内容主要包括：。内容主要包括： 五类安全服务：五类安全服务：保密性、完整性、鉴别、访保密性、完整性、鉴别、访问控制、抗否认。问控制、抗否认。 八类安全机制：八类安全机制：加密、数字签名、访问控制、加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路

3、由数据完整性、鉴别交换、业务流填充、路由控制、公证）。控制、公证）。 19911991年，颁布了年，颁布了OSIOSI安全管理标准安全管理标准ITU X.800ITU X.800。用途是提供专门的硬件、固件用途是提供专门的硬件、固件和软件的安全规范和有关的技术评价方法，来和软件的安全规范和有关的技术评价方法，来支持综合自动数据处理系统的安全模型策略。支持综合自动数据处理系统的安全模型策略。n “桔皮书桔皮书”把安全标准分为：把安全标准分为：A A、B B、C C、D D四四级级是美国家计算机安全中心发表的是美国家计算机安全中心发表的。“红皮书红皮书”是解释是解释“桔皮书桔皮书”的一个手册的一个

4、手册，将，将C2C2规范的各个方面都从网络角度加以描述，惟规范的各个方面都从网络角度加以描述，惟一重要的不同的是规定了网络发起人的作用。一重要的不同的是规定了网络发起人的作用。 防火墙防病毒入侵检测包过滤10.4 防火墙技术 n防火墙：防火墙：防火墙是在内部网与外部网之间实施安全防防火墙是在内部网与外部网之间实施安全防范的系统，用于确定哪些内部资源允许外部访问，以范的系统，用于确定哪些内部资源允许外部访问，以及允许哪些内部网用户访问哪些外部资源及服务。及允许哪些内部网用户访问哪些外部资源及服务。防火墙的优缺点 n防火墙的优点n允许网络管理员在网络中定义一个控制点，将内部网络与外部网络隔开；n审

5、查和记录Internet使用情况的最佳点；n设置网络地址翻译器（NAT）的最佳位置；n作为向客户或其他外部伙伴发送信息的中心联系点；n防火墙的局限性防火墙的局限性n不能防范不经过防火墙的攻击；n不能防范由于内部的威胁；n不能防止病毒攻击； n很难防止数据驱动式攻击；一种高层次、具体到事件的策略，用于定义网络一种高层次、具体到事件的策略，用于定义网络中允许的或禁止的网络服务，且包括对拨号访问中允许的或禁止的网络服务，且包括对拨号访问等连接的限制等连接的限制针对具体的规则来实施的网络服务访问策略。防针对具体的规则来实施的网络服务访问策略。防火墙一般执行下面两种基本设计策略中的一种火墙一般执行下面两

6、种基本设计策略中的一种v 未禁止的都是允许的服务未禁止的都是允许的服务v 未允许的都是禁止的服务未允许的都是禁止的服务 能够根据单个包的能够根据单个包的TCPTCP、UDPUDP、ICMPICMP、IPIP报报头来决定允许或拒绝通信头来决定允许或拒绝通信它审查每一个数据包以确定其是否与某一它审查每一个数据包以确定其是否与某一条包过滤规则匹配条包过滤规则匹配可以综合考虑通信流量的方向、可以综合考虑通信流量的方向、IPIP源地址源地址和目的地址、以及和目的地址、以及TCPTCP或或UDPUDP的源端口号和目的源端口号和目的端口号的端口号 n代理服务器上安装有特殊用途的特别应用程序，被称为代理服务或

7、代理服务器程序。n使用代理服务后，各种服务不再直接通过防火墙转发，对应用数据的转发取决于代理服务器的配置：n只支持一个应用程序的特定功能，同时拒绝所有其他功能；n支持所有的功能，比如同时支持WWW、FTP、Telnet、SMTP和DNS等。 将所有的外部主机与一台堡垒主机相连接，再设置将所有的外部主机与一台堡垒主机相连接，再设置一个过滤路由器作为桥梁一个过滤路由器作为桥梁提供的安全等级比包过滤防火墙系统要高提供的安全等级比包过滤防火墙系统要高实现了网络层安全（包过滤）和应用层安全（代理实现了网络层安全（包过滤）和应用层安全（代理服务）服务）屏蔽子网本质上与屏蔽主机一样，但增加了周边屏蔽子网本质上与屏蔽主机一样，但增加了周边网络一层保护网络一层保护周边网络用了两个包过滤路由器和一台堡垒主