计算机网络技术基础：网络安全

1、 网络安全 l 网络安全手段之信息加密 l 网络安全手段之防火墙 l 网络病毒 l 网络管理 先天性安全漏洞 Internet的前身是APPANET，而APPNET最初是为军事机构服务的，对网络安全的关注较少。 在进行通信时，Internet用户的数据被拆成一个个数据包，然后经过若干结点辗转传递到终点。在Internet上，数据传递是靠TCP/IP实现的。但是TCP/IP在传递数据包时，并未对其加密。换言之，在数据包所经过的每个结点上，都可直接获取这些数据包，并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信息，则任何人都可轻易解读。网络安全威胁国家基础设施因特网网络对国民经济的影响在

2、加强安全漏洞危害在增大信息对抗的威胁在增加研究安全漏洞以防之因特网电力交通通讯控制广播工业金融医疗研究攻防技术以阻之苍蝇不叮无缝的蛋 计算机网络犯罪及特点 据伦敦英国银行协会统计，全球每年因计算机犯罪造成的损失大约为80亿美元。而计算机安全专家则指出，实际损失金额应在100亿美元以上。 网络犯罪的特点是，罪犯不必亲临现场、所遗留的证据很少且有效性低。并且，与此类犯罪有关的法律还有待于进一步完善。 遏制计算机犯罪的有效手段是从软、硬件建设做起，力争防患于未然，例如，可购置防火墙（firewall），进行网络安全培训，增强防范意识等。 计算机面临的安全威胁 安全威胁可以划分为以下三种类型： 意外的

3、安全威胁 管理的安全威胁 故意的安全威胁 安全威胁的表现形式可能有主动攻击（中断、篡改、伪造）、被动攻击（截获）、拒绝服务、设置后门、传播病毒等。木马、暗门、病毒 计算机技术中的木马，是一种与计算机病毒类似的指令集合，它寄生在普通程序中，并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是，前者不进行自我复制，即不感染其他程序。 暗门（trapdoor）又称后门（backdoor），指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。 病毒（Virus）是一种会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 各种安全威胁

4、都可能成为黑客对网络信息系统攻击的手段。免受安全威胁的最有效的方法是不要运行来历不明的程序。 蠕虫（Worm）是一种通过网络通信功能将自身从一个节点发送到另一个节点并启动之的程序。 逻辑炸弹（Logic Bomb）是一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 网络安全手段之一信息加密 加密指改变数据的表现形式。信息加密的目的是确保通信双方相互交换的数据是加密的，即使这些数据在传送过程中被第三方截获，也无法了解该信息的真实含义。 加密旨在对第三者保密，如果信息由源点直达目的地，在传递过程中不会被任何人接触到，则无需加密。 加密与解密“This is a book”称为明文（plai

5、ntext或cleartext）；“!# $% & *()-”称为密文（ciphertext）。明文转换成密文的过程称为加密（encryption），相反的过程则称为解密（decryption）。 加、解密示意图 算法类型 目前加密数据涉及到的算法有秘密钥匙（secret key）和公用钥匙（public key）加密算法。 比较著名的有美国的DES算法，RSA非对称公开密钥算法以及瑞典开发的IDEA加密算法等。DES算法的原理是使用一套公开算法 及 秘密钥匙完成对明文的加密。 秘密钥匙加密秘密钥匙加密法又称为对称式加密法或传统加密法。其特点是加密明文和解读密文时使用的是同一把钥匙。 缺点：由

6、于至少有两个人持有钥匙，所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者。 公用钥匙加密 公用钥匙加密法又称非对称式加密，RSA非对称公开密钥算法就是一种公用钥匙加密法。 公用钥匙加密法的特色是完成一次加、解密操作时，需要使用一对钥匙。通常，将其中的一个钥匙称为私有钥匙（private key），由个人妥善收藏；与之成对的另一把钥匙称为公用钥匙，公用钥匙可以像电话号码一样被公之于众。 X需要传送数据给A，X可将数据用A的公用钥匙加密后再传给A，A收到后再用私有钥匙解密。缺点：利用公用钥匙加密虽然可避免钥匙共享而带来的问题，但使用时要的计算量较大。 网络安全手段之二防火墙 防火墙是用

7、来连接两个网络并控制两个网络之间相互访问的系统，它包括用于网络连接的软件和硬件以及控制访问的方案。主要功能是对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，同时阻止内部人员向外传输敏感数据，为网络提供安全保障。 防火墙的基本准则： 过滤不安全服务。 过滤非法用户，控制对特殊站点的访问。 防火墙是一类防范措施的总称。这类防范措施简单的可以只用路由器实现，复杂的可以用服务器甚至一个子网来实现。它可以在IP层设置屏障，也可以用应用层软件来阻止外来攻击。 防火墙按照功能及工作方式可分为两种：包过滤防火墙 和 应用网关。 防火墙的类型 1. 包过滤防火墙 包过滤（packet

8、filter）防火墙就是对收到的所有IP数据包进行检查，根据事先制订好的一组过滤规则来判断收到的IP数据包的源地址或目的地址，以决定是否允许该IP包通过。 包过滤防火墙 包过滤防火墙是一种基于网络层的安全技术，对于应用层上的黑客行为无能为力。这一类的防火墙产品主要有防火墙路由器、在充当路由器的计算机上运行的防火墙软件等。 包过滤路由器是由路由器和过滤器共同完成对外界计算机访问内部网络的限制，也可以指定或限制内部网络访问Internet。 路由器只对过滤器上的特定端口上的数据通信加以路由，过滤器的主要功能就是在网络层中根据IP源地址、IP目的地址、端口号，来确定它是否允许该数据包通过。 包过滤路

9、由器的优点就是它仅在网络层进行操作，这种操作对于应用层的用户来说是透明的，不要求用户与服务器在应用操作系统及程序方面做任何的修改。 包过滤路由器防火墙的缺点： 1、配置包过滤规则较复杂； 2、只能控制到主机，不涉及数据包内容检查； 3、容易遭到破坏。防火墙的类型2. 应用网关 应用网关（application gateway），即代理服务器（proxy）。它是为内部用户提供一种能够安全地访问外部服务的机制。 内部网络的一台计算机要访问Internet上某一服务器的信息：1）在浏览器中键入URL地址。2）浏览器发出访问WWW信息的要求，代理服务器收到请求。3）代理服务器检查网络管理员所制定的规则

10、，以确认该计算机有权访问WWW，而且要去的站点是不被禁止的。代理服务器将URL送到Internet上。4）当所需信息从Internet上返回后先送到代理服务器，代理服务器收到页面后给它们加上地址送到发出请求的计算机上去。代理服务器的主要功能 （1）提供缓冲功能。对经常访问的地址创建缓冲，可提高热门信息的访问效率。（2）对用户进行分级管理。设置不同用户的不同级别的访问权限，增强网络的安全性。（3）实施用户验证和记帐功能。非法用户无权使用代理服务器，可以对用户的访问时间、访问地点、信息流量进行跟踪和统计。（4）节省IP资源。采用代理服务器访问Internet时，只需要给代理服务器一个真实的IP地址

11、，而内部的网络使用虚拟的网络地址。典型的Internet防火墙 通常情况下，包过滤防火墙与应用网关可以一起配合使用，这样既为内部的主机访问外部信息提供一个安全的数据通道，同时又能有效地防止外部主机对内部网络的非法访问。 防火墙 防火墙从实现方式上可分为硬件防火墙和软件防火墙两种，从应用领域可分为网络防火墙和个人防火墙。前面介绍的多为硬件防火墙，用于保证网络接口处的安全。个人用户安装在个人计算机或服务器上的是个人防火墙软件，保证计算机或服务器的网络连接安全。 个人防火墙 常见的个人防火墙产品包括金山网镖、江民黑客防火墙、瑞星个人防火墙、天网防火墙、费尔防火墙、Norton Personal Fi

12、rewall（诺顿）、Zone Alarm Pro等。这些软件功能都大同小异，能基本满足用户对防范恶意攻击的需求，不过它们在功能、资源消耗、智能化、易用性上有所区别。天网防火墙 天网个人版防火墙安全级别分为高、中、低三级，默认的安全等级为中级。天网防火墙天网防火墙的应用程序访问网络规则是为了弥补传统基于IP包过滤的防火墙无法控制内部应用程序的缺陷而设计的。它是专门用于对用户计算机内部的应用程序访问网络做审核，使得潜藏于计算机内部的后门软件或者非法进程无法对用户的计算机造成危害。 天网防火墙天网个人版防火墙把网络访问情况和应用程序进程执行情况结合起来，监控“应用程序访问网络状态”。天网防火墙天网

13、个人版防火墙会把所有不符合规则的数据包拦截并且记录下来，每条记录从左到右分别是发送/接收时间、发送IP地址、本机通讯端口、标志位。 防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力：（1）不能防范绕过防火墙的攻击。 （2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。 （3）难以避免来自内部的攻击。 网络病毒及防杀 Internet/Intranet的迅速发展和广泛应用给病毒增加了新的传播途径，网络将正逐渐成为病毒的第一传播途径。 Internet/Intranet带来了两种不同的安全威胁：一种威胁来自文件下载，一些被浏览的或是通过FTP下载的文件中可能存在病毒；另一种威胁

14、来自电子邮件。 常见的网络病毒 电子邮件病毒。有毒的通常不是邮件本身，而是其附件。 Java程序病毒。Java是目前网页上最流行的程序设计语言，由于可以跨平台执行，不论是Windows 9X/NT还是Unix工作站，都可被Java病毒感染。 ActiveX病毒。当使用者浏览含有病毒的网页时，就可能通过ActiveX控件将病毒下载至本地计算机上。 网页病毒。Java及ActiveX病毒大部分都保存在网页中，网页也传染病毒。 网络病毒的特点 传染方式多 传染速度快 清除难度大 破坏性强 激发形式多样 潜在性 在网络环境中，计算机病毒具有如下特点: 网络计算机病毒的防治 加强网络管理人员的网络安全意识，对内部网与外界进行的数据交换进行有效的控制和管理，同时坚决抵制盗版软件； 以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。 引起网络病毒感染的主要原因在于网络用户自身。因此，防范网络病毒应从两方面着手： 网络防病毒软件的应用 网络防病毒软件的基本功能是：对文件服务器和工作站进行病毒扫描、检查、隔离、报警。 网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描和人工扫描。 一般主要针对网络工作站和服务器使用网络防病