第九章因特网应用技术计算机-网络安全

1、第九章第九章 网络安全网络安全复习与回顾复习与回顾o以下说法是否正确，说明理由。以下说法是否正确，说明理由。oWWW是一种因特网上的应用，不是协议。是一种因特网上的应用，不是协议。o网站由若干个网页文件组成，其中第网站由若干个网页文件组成，其中第1个网页文件最个网页文件最重要，称为首页或主页。重要，称为首页或主页。oHTTP的默认端口是的默认端口是80、81，FTP的默认端口是的默认端口是20、21。oHTTP、FTP、TELNET、DNS都是第都是第7层（应用层）层（应用层）的服务或协议。的服务或协议。oSMTP和和POP3协议分别用于邮件的发送和接收。协议分别用于邮件的发送和接收。o在在F

2、TP服务器上，上传和下载所占用的带宽大体相同。服务器上，上传和下载所占用的带宽大体相同。oHTML是一种比较简单的程序设计语言。是一种比较简单的程序设计语言。1.因特网上任何资源的因特网上任何资源的URL地址都是唯一的。地址都是唯一的。本章主要内容本章主要内容o9.1 网络安全问题概述o9.2 防火墙o9.3 VPNo9.4 计算机病毒9.1 网络安全问题概述网络安全问题概述o9.1.1 什么是网络安全什么是网络安全o网络安全是指网络系统的网络安全是指网络系统的硬件、软件硬件、软件以及系统中的以及系统中的数据数据受到保护，不会由于偶然或恶意的原因而遭到受到保护，不会由于偶然或恶意的原因而遭到破

3、坏破坏、更改更改、泄露泄露，系统能连续、可靠和正常的运，系统能连续、可靠和正常的运行，网络服务不中断。行，网络服务不中断。o从广义来说，凡是涉及到网络上信息的从广义来说，凡是涉及到网络上信息的保密性保密性、完完整性整性、可用性可用性、真实性真实性和和可控性可控性的相关技术和理论的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的安全技术、应用数学、数论、信息论等多种学科的综合性学科。综合性学科。 o安全威胁分为安

4、全威胁分为故意的故意的和和偶然的偶然的两类。故意两类。故意威胁又可以分为威胁又可以分为被动被动和和主动主动两类。两类。o被动攻击的特点是被动攻击的特点是偷听偷听或或监视传送监视传送。其目。其目的是获得正在传送的信息。被动攻击有：的是获得正在传送的信息。被动攻击有：泄露信息内容和通信量分析等。泄露信息内容和通信量分析等。o主动攻击涉及修改数据流或创建错误的数主动攻击涉及修改数据流或创建错误的数据流，它包括中断、截取、修改、捏造、据流，它包括中断、截取、修改、捏造、假冒，重放，修改信息和拒绝服务等。假冒，重放，修改信息和拒绝服务等。 9.1.2 网络所面临的安全威胁o影响网络安全的主要因素 信息泄

5、密。信息被篡改。传输非法信息流。网络资源的错误使用。非法使用网络资源。环境影响。软件漏洞。人为安全因素 9.1.2 网络所面临的安全威胁o中断：系统资源遭到破坏或变的不能使用。是对可用性的攻击。 o截取：未授权实体得到了资源的访问权。是对保密性的攻击。 o修改：未授权的实体不仅得到了访问权，而且还篡改了资源。是对完整性的攻击。 o捏造：未授权的实体向系统中插入伪造的对象。是对真实性的攻击。 o假冒：一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 o重放涉及被动捕获数据单元以及后来的重新发送，以产生未经授权的效果。 9.1.2 网络所面临的安全威胁o修改信息：改变了真实信息的

6、部分内容，或将信息延迟或重新排序，导致未授权的操作。 o拒绝服务：禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断，这可以通过使网络失效而实现，或通过消息过载使网络性能降低。o还有一种特殊的主动攻击就是恶意程序攻击。渗入威胁：假冒，旁路控制，授权侵犯。 植入威胁：特洛伊木马，陷门。9.1.2 网络所面临的安全威胁网络实体的安全软件安全数据安全安全管理数据保密性数据完整性可用性可审查性9.1.3 网络安全的内容o网络安全的主要内容 根据计算机网络所面临的威胁，计算机网络的安全工作主要集中在以下方面：保密保密；鉴别鉴别；访问控制访问控制；病毒防范病毒防范

7、；防止木马防止木马9.1.3 网络安全的内容oOSI/RM七层网络参考模型，不同的网络层次完成不同的功能。从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施不同。没有哪个层次能够单独提供全部的网络安全服务，每个层次都有自己的贡献。o在物理层，可以在通信线路上采用某些技术使得偷听不可能实现或者容易被检测出来。 o在数据链路层，点对点链路可以通过加密来保障数据传输的安全性。当信息离开一个设备时加密，进入一个设备时解密。 o在网络层，防火墙技术被用来处理信息在内外网络边界的流动，它可以确定哪些访问活动可以进行；o在传输层，端到端的连接可以进行加密。这也称为进程到进程间的加密。 9.1.

8、4 网络安全的层次模型9.2 防火墙防火墙o9.2.1防火墙的功能 o防火墙(Firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件，也可以是架设在一般硬件上的一套软件。o是一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。o主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 9.2.1 9.2.1 防火墙的功能防火墙的功能o通常防火墙具有以下功能：过滤进出的数据。管理进出的访问行为。封堵某些禁止的业务。记录通过防火墙的信息内容和活动。对网络攻击进行检测和报警。o1网络级防火墙o网络级防

9、火墙又称为包过滤型防火墙，是基于数据包过滤的防火墙。o网络级防火墙可以将从数据包中获取的信息（源地址、目标地址、所用端口等）同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。网络级防火墙检查每一条规则直至发现包中的信息与某规则相符。o用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。 9.2.2 防火墙的类型防火墙的类型o包过滤策略* 拒绝来自某主机或某网段的所有连接。* 允许来自某主机或某网段的所有连接。* 拒绝来自某主机或某网段的指

10、定端口的连接。* 允许来自某主机或某网段的指定端口的连接。* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。* 允许本地主机或本地网络与其它主机或其它网络的所有连接。* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。9.2.2 防火墙的类型防火墙的类型o2应用层防火墙o应用层防火墙又称为应用层网关，它的另外一个名字就是代理服务器。网络级防火墙可以按照IP地址禁止外部对内部的访问，但不能控制内部人员对外的访问。o代理服务器隔离在风险网络与内部网络之间，内外不能直接交换数据，数据交换由代理服务器“代理”完成。o当

11、一个用户在可信赖的网络希望连接到在不被信赖的网络的服务如因特网，这个应用专注于在防火墙上的代理服务器，有效地伪装成在因特网上的真实服务器。它评估请求和决定允许或拒绝基于一系列被个人网络服务管理规则的请求。 9.2.2 防火墙的类型防火墙的类型o代理服务器的功能（1）设置用户验证和记账功能，可按用户进行记账，没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。(2）对用户进行分级管理，设置不同用户的访问权限，对外界或内部的Internet地址进行过滤，设置不同的访问权限。(3）增加缓冲器（Cache)，提高访问速度，对经常访问的地址创建缓冲区，

12、提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区（可能高达几个GB或更大），当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。(4）连接内网与Internet：因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限。(5）节省IP开销9.2.2 防火墙的类型防火墙的类型o3数据库防火墙o是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审

13、计。o通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。o面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。9.2.2 防火墙的类型防火墙的类型数据泄漏事件 (1) 金融行业金融行业：2012年年4月，月，vsia信用卡泄密事件信用卡泄密事件致使致使150万个账户受影响。万个账户受影响。(2) 政府部门政府部门：2012年年1月，广东公安厅技术漏洞月，广东公安厅技术漏洞致致444万出入境数据泄漏。万出入境数据泄漏。(3) 互联网互联网：2011年岁末，数据泄密信息过亿，其年岁

14、末，数据泄密信息过亿，其中当当网中当当网1200万用户信息泄漏；支付宝账户泄漏万用户信息泄漏；支付宝账户泄漏达达1500万到万到2500万；万；CSDN 600余万用户信余万用户信息泄漏。息泄漏。(4) 电信行业电信行业：2011年年3月，陕西移动月，陕西移动1394万用户万用户信息被盗。信息被盗。(5) 医疗行业医疗行业：2008年深圳年深圳4万余名孕妇信息泄漏。万余名孕妇信息泄漏。数据库防火墙的数据库防火墙的核心功能屏蔽直接访问数据库的通道屏蔽直接访问数据库的通道二次认证二次认证：基于独创的“连接六元组【机器指纹（不可伪造）、IP地址、MAC地址、用户、应用程序、时间段】”授权单位，应用程

15、序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。攻击保护攻击保护连接监控连接监控安全审计安全审计审计探针审计探针细粒度权限控制细粒度权限控制精准精准SQL语法分析语法分析自动自动SQL学习学习o1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙o防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和

16、访问的审计和控制。 9.2.3 防火墙的基本特征防火墙的基本特征o2、只有符合安全策略的数据流才能通过防火墙o防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口=2）转发设备，它跨接于

17、多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。9.2.3 防火墙的基本特征防火墙的基本特征o3、防火墙自身应具有非常强的抗攻击免疫力o这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。9.2.3 防火墙的基本特

18、征防火墙的基本特征o4、应用层防火墙具备更细致的防护能力 o具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，在具备传统防火墙、IPS（入侵防御系统）、防毒等功能的同时，还能够对用户和内容进行识别管理，兼具了应用层的高性能和智能联动两大特性，能够更好的针对应用层攻击进行防护。 9.2.3 防火墙的基本特征防火墙的基本特征o国外主流厂商为思科（Cisco）、CheckPoint、NetScreeno国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品 9.2.4 防火墙产品防火墙产品o1屏蔽路由器方式o这是防火墙的最基本的配置，它可以由厂

19、家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外网络连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上安装分组过滤软件，可以实现分组过滤的功能。9.2.5 防火墙的配置防火墙的配置o2双穴主机网关方式（Dual-homed）o双穴主机网关放置在两个网络之间，又称为堡垒主机。通常是用一台装有两个网卡的堡垒主机实现，在主机上运行防火墙软件，各自与内外部网络相连。9.2.5 防火墙的配置防火墙的配置o3屏蔽主机网关方式o用一个分组过滤路由器连接外部网络，再通过一个堡垒主机连接内部网络。这种方式中的屏蔽路由器为保护堡垒主机的安全建立了一道屏障，屏蔽路由器只接受来自堡垒主机的数据作

20、为出去的数据，并将由外部进入的数据送往堡垒主机。9.2.5 防火墙的配置防火墙的配置o4被屏蔽子网方式o在内部网络和外部网络之间建立一个被隔离的子网。它包含两个分组过滤路由器和一个堡垒主机。两台分组过滤路由器在公共网络和私有网络之间构成了一个隔离网，称之为“停火区” , 也称为非军事区，堡垒主机放置在“停火区”内。 9.2.5 防火墙的配置防火墙的配置9.3 虚拟专用网虚拟专用网VPN技术技术 o虚拟专用网VPN（Virtual Private Network）是随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务，乃至培训、

21、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。oVPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。 VPN的工作原理的工作原理o隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重

22、新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。o隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络。 1隧道技术功能功能o将数据流强制送到特定的地址o隐藏私有的网络地址o在IP网上传递非IP数据包o提供数据安全支持o对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用。2加解密技术o密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKI

23、P与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。3密钥管理技术oVPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 4使用者与设备身份认证技术9.4 计算机病毒计算机病毒 o9.4.1病毒简介 o病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算器病毒是一段象生物病毒一样的程序，它会覆制自己并传播到其它宿主，并对宿主造成损害。病毒在传播期间一般会隐蔽自己，由特定的出发条件触发开始产生破坏。9.4.1 病毒特征病毒特征 o病毒的基本特性传染性：隐蔽性：破坏性：潜伏性：运行正常的计算机突然经常性无缘无故地死机操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误磁盘空间迅速减少共享目录无法使用收到陌生人发来的电子邮件自动链接到一些陌生的网站9.4.2 病毒的表现形式病毒的表现形式 新购置的计算机硬件和软件系统都要经过测试计算机系统尽量使用硬盘启动对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭环境中不会自