中职计算机网络基础与应用第6章电子课件

1、YCF正版可修改PPT（中职)计算机网络基础与应用第6章ppt电子课件第6章 掌握网络安全管理与防范学习目标（1）了解网络安全的定义、主要特性和主要威胁。（2）了解网络防火墙的基本概念，熟悉网络防火墙的分类。（3）熟悉配置网络防火墙的基本原则，了解常见的网络防火墙产品。（4）掌握必备的网络防病毒技术。（5）了解密码与密码学技术。（6）了解数字签名的相关知识。学习要点（1）网络安全的概念。（2）网络防火墙技术。（3）网络防病毒技术。网络的安全是指在整个网络体系下的所有硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因破坏、更改、泄露，保证系统连续可靠地运行和网络服务不中断的措施。从定义

2、上说网络安全的定义网络安全就是网络上信息、数据的安全。从本质上说6.1 网络安全的概念6.1.1 网络安全的定义2.机密性3.身份认证性4.完整性5.不可否认性1.安全性6.1 网络安全的概念6.1.2 网络安全的主要特性随着互联网技术的发展，许多行业和部门都建立了基于网络的信息系统。与此同时，计算机系统的安全问题日益复杂和突出。一方面，网络提供了资源共享性，提高了系统的可靠性，通过分散工作负荷提高了工作效率。另一方面，正是这些特点增加了网络安全的复杂和脆弱性，资源共享和分布增加了网络受威胁和攻击的可能性。6.1 网络安全的概念6.1.3 网络安全的主要威胁网络威胁主要来源于以下几个方面：1.

3、网络中的物理威胁2.网络信息中的安全威胁6.1 网络安全的概念6.1.3 网络安全的主要威胁1.网络中的物理威胁例如，空气温度、湿度、尘土等环境因素，以及设备故障、电源故障、电磁干扰、线路截获等。6.1 网络安全的概念6.1.3 网络安全的主要威胁2.网络信息中的安全威胁（1）黑客攻击。黑客一词最早源自英文hacker，原指热心于计算机技术、水平高超的计算机专家，尤其是程序设计人员。但到了今天，“黑客”一词已被用于泛指那些专门利用计算机网络搞破坏或恶作剧的家伙。常见的攻击手段有系统入侵、网络监听、信息截取、拒绝服务攻击等。6.1网络安全的概念6.1.3网络安全的主要威胁2.网络信息中的安全威胁

4、（2）计算机病毒。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。6.1网络安全的概念6.1.3网络安全的主要威胁网络防火墙是一个硬件和软件的结合体，它将一个机构的内部网络和外部网络隔离开，允许一些数据分组通过而阻止另外一些数据分组通过。概 念6.2 网络防火墙技术6.2.1 网络防火墙的基本概念（3）防火墙自身免于渗透。（2）仅允许被批准的流量通过。（1）从外部到内部和

5、从内部到外部的所有流量都通过防火墙。图6-1显示了一个防火墙，它位于被管理网络和因特网区域部分之间的边界处。3个目标6.2 网络防火墙技术6.2.1 网络防火墙的基本概念图6-1 常见防火墙6.2 网络防火墙技术6.2.1 网络防火墙的基本概念（1）（2）（3）软件防火墙硬件防火墙 芯片级防火墙 6.2 网络防火墙技术6.2.2 防火墙的分类1.按照防火墙的组成结构划分（1）软件防火墙。软件防火墙运行于特定的计算机上，它需要用户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。6.2 网络防火墙技术

6、6.2.2 防火墙的分类（2）硬件防火墙。硬件防火墙主要指基于硬件架构但是又不适用专用硬件平台的防火墙。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的UNIX、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因而依然会受到OS本身的安全性影响。6.2 网络防火墙技术6.2.2 防火墙的分类（3）芯片级防火墙。它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更

7、高。做这类防火墙最出名的厂商莫过于NetScreen。其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少，不过价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。6.2 网络防火墙技术6.2.2 防火墙的分类2.按照体系结构划分分组过滤型防火墙应用程序网关防火墙6.2 网络防火墙技术6.2.2 防火墙的分类分组过滤或包过滤，是一种通用、廉价、有效的安全手段。包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：由于其过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分

8、满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响；由于缺少上下文关联信息，因而不能有效地过滤如UDP、RPC一类的协议。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。6.2 网络防火墙技术6.2.2 防火墙的分类应用程序网关防火墙此类防火墙使得一个组织可以根据IP和TCP/UDP首部执行粗粒度过滤，即按照IP地址和端口号进行过滤。允许内部用户连接某个外部FTP站点，而阻止外部用户访问组织内部的FTP站点。但是，包过滤防火墙却无法做到允许一部分内部特权用户访问一个外部FTP站点，即无法在这些内部特权用户创建向外部FTP站点的连接之前进行身份鉴

9、别。6.2 网络防火墙技术6.2.2 防火墙的分类图6-2 应用程序网关在网络中的应用为了实现更细致的安全控制策略，防火墙系统必须把包过滤防火墙和应用程序网关结合起来。图6-2所示的应用程序网关是一个应用程序专用服务器（常被称为代理服务器），所有应用程序数据（进入或外出的）都必须通过应用程序网关。6.2 网络防火墙技术6.2.2 防火墙的分类1.配置防火墙的思路默认情况下，所有的防火墙都是按以下两种情况配置的。（1）拒绝所有的流量通过，除了允许通过的。（2）允许所有的流量通过，除了禁止通过的。6.2 网络防火墙技术6.2.3 配置防火墙的思路与基本原则2.配置防火墙的基本原则在防火墙的配置中，

10、用户首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下4个基本原则。（1）简单实用。（2）全面深入。（3）内外兼顾。（4）性能测试。6.2 网络防火墙技术6.2.3 配置防火墙的思路与基本原则1.CheckPoint FireWallCheckPoint公司是世界上发展速度最快的软件公司之一，在网络防火墙市场上持续保持领先地位。6.2 网络防火墙技术6.2.4 防火墙产品介绍（1）访问控制。（2）授权认证。（3）内容安全检测。CheckPoint FireWall-1 V3.0防火墙的主要特点有以下几个：6.2 网络防火墙技术6.2.4 防火墙产品介绍2.Cisco

11、PIXCisco PIX是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因而减少了黑客利用操作系统BUG攻击的可能性。6.2 网络防火墙技术6.2.4 防火墙产品介绍优势:就性能而言，Cisco PIX是同类硬件防火墙产品中最好的，对100Base-T线缆可达最高速率通信。因此，对于数据流量要求高的场合，如大型的ISP，应该是首选。致命伤:其一价格昂贵，其二升级困难，其三管理烦琐复杂。6.2 网络防火墙技术6.2.4 防火墙产品介绍计算机病毒（Computer Virus）在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒“指编制或者在计算机程序中插入的

12、破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。概 念6.3 网络防病毒技术6.3.1 病毒的概念及网络病毒的特点在网络环境中，计算机病毒具有一些新的特点。（1）破坏性强。（2）传播性强。（3）具有潜伏性和可激发性。（4）针对性强。（5）扩散面广。6.3 网络防病毒技术6.3.1 病毒的概念及网络病毒的特点6.3 网络防病毒技术6.3.1 病毒的概念及网络病毒的特点想 一 想你知道哪些防病毒软件？在你看来，哪种更好用一些？针对网络上的病毒传播方式，用户可以充分利用网络操作系统本身提供的安全保护措施加强网络安全管理，具体有以下几点。（1）尽量多用无盘工作

13、站。（2）尽量少用超级用户登录。（3）严格控制用户的网络使用权限。（4）对某些频繁使用或非常重要的文件属性加以控制，以免被病毒传染。（5）严格限制远程工作站的登录权限。6.3 网络防病毒技术6.3.2 基于网络安全体系的防毒管理措施工作站是网络的门，只要将这扇门关好，就能有效地防止病毒入侵。工作站防毒主要有以下几种方法。（1）使用防毒杀毒软件。（2）安装防毒卡。（3）安装防毒芯片。6.3 网络防病毒技术6.3.3 基于工作站的防毒技术服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM（NetWare L

14、oad Module）技术，以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上的产品，如Central Point公司的AntiVirus for Networks、Intel公司的LANDesk Virus Protect等，都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。6.3 网络防病毒技术6.3.4 基于服务器的NLM防毒技术（1）对服务器中所有的文件扫描。（2）实时在线扫描。（3）服务器扫描选择。（4）自动报告功能及病毒存档。（5）工作站扫描。（6）对用户开放

15、的病毒特征接口。常见的服务器病毒防治方法如下：6.3 网络防病毒技术6.3.4 基于服务器的NLM防毒技术在上述四种网络防毒技术中，Station Lock是一种针对病毒行为的防治方法，StationLock已能提供Intel以太网络接口卡支持，未来还将支持各种普及型的以太令牌环（Token-Ring）网络接口卡。基于服务器的防治病毒方法，表现在可以集中式扫毒，能实现实时扫描功能，软件升级方便。特别是当连网的机器很多时，利用这种方法比为每台工作站都安装防病毒产品要节省成本。6.3 网络防病毒技术6.3.4 基于服务器的NLM防毒技术什么是数字签名？数字签名（又称公钥数字签名、电子签章）是一种类

16、似写在纸上普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。6.4 数字签名与密码技术6.4.1 数字签名技术1.数字签名的基本概念图6-3 数字签字示意图6.4 数字签名与密码技术6.4.1 数字签名技术在书面文件上签名的作用：（1）因为自己的签名难以否认，从而确认了文件已签署这一事实。（2）因为签名不易仿冒，从而确定了文件是真的这一事实。（1）信息是由签名者发送的。（2）信息自签发后到收到为止未曾做过任何修改。采用数字签名，也能确认以下两点：6.4 数字签名与密码技术6.4.1 数字签名技术2.数字签名的特点数字签名的处理过程（采用双重加密）如下。（1）使用SHA编

17、码将发送文件加密产生128 bit的数字摘要。（2）发送方用自己的专用密钥对摘要再加密，形成数字签名。（3）将原文和加密的摘要同时传给对方。（4）接收方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生同一摘要。（5）将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比，若两者一致，则说明在传送过程中信息没有破坏和篡改。否则，说明信息已经失去安全性和保密性。数字签名的原理如图6-4所示。6.4 数字签名与密码技术6.4.1 数字签名技术3.数字签名的原理图6-4 数字签名的原理6.4 数字签名与密码技术6.4.1 数字签名技术1.密码学的概念密码学是研究编制密码和破译密

18、码的技术科学。研究密码变化的客观规律，应用于编制密码以保守通信秘密的，称为编码学；应用于破译密码以获取通信情报的，称为破译学。编码学和破译学总称为密码学。6.4 数字签名与密码技术6.4.2 密码技术6.4数字签名与密码技术6.4.2密码技术2.密码学的发展简介密码学的漫长历史可以追溯到公元前400多年。人们最早为了确保通信的机密，通过一些图形或象形文字相互传达信息。“密码学”真正成为科学是在19世纪末和20世纪初。如今“密码学”不仅用于国家军事安全上，而且更多地集中在实际生活中。T机密性鉴别报文完整性不可否认性6.4 数字签名与密码技术6.4.2 密码技术3.基本功能所有密码算法都包含用一种

19、东西替换另一种东西的思想，如取明文的一部分进行计算，替换适当的密文以生成加密的数据。6.4 数字签名与密码技术6.4.2 密码技术4.传统对称密码体系什么是公钥密码体系？公钥加密密码的使用在概念上相当简单。假如小王和小芳通信，这时小王和小芳没有共享一个密钥，而小芳则有两个密钥，一个世界上任何人（包括入侵者小刘）都可能得到的公钥，另外一个只有小芳知道的私钥。小芳接收到小王的加密报文后，用其私钥和一个众所周知的解密算法解密小王的加密报文。因此，小王可以使用小芳的公开的密钥给小芳发送机密数据，他们都无须分发任何密钥。这种就是公钥加密方式。6.4数字签名与密码技术6.4.2密码技术5.公钥密码体系实训

20、使用Windows防火墙屏蔽端口和杀毒软件（1）掌握使用Windows防火墙屏蔽端口的操作。（2）了解杀毒软件的基本知识，掌握杀毒软件的安装过程。实 训 目 的（1）使用Windows防火墙屏蔽端口。（2）安装并使用360杀毒软件。实 训 内 容实训使用Windows防火墙屏蔽端口和杀毒软件1.使用Windows防火墙屏蔽端口（1）单击“开始”“控制面板”选项，打开“控制面板”窗口，如图6-6所示。实 训 方 法图6-6“控制面板”窗口实训使用Windows防火墙屏蔽端口和杀毒软件（2）在窗口中单击“Windows防火墙”链接，打开“Windows防火墙”窗口，如图6-7所示。图6-7“Win

21、dows防火墙”窗口实训使用Windows防火墙屏蔽端口和杀毒软件（3）在左侧窗格中单击“高级设置”链接，弹出“高级安全Windows防火墙”窗口，如图6-8所示。图6-8“高级安全Windows防火墙”窗口实训使用Windows防火墙屏蔽端口和杀毒软件（4）在左侧窗格中单击“入站规则”，进入“入站规则”设置界面，如图6-9所示。图6-9“入站规则”设置界面实训使用Windows防火墙屏蔽端口和杀毒软件（5）在右侧窗格中单击“新建规则”，弹出“新建入站规则向导”对话框，选中“端口”单选按钮，如图6-10所示。图6-10“新建入站规则向导”对话框实训使用Windows防火墙屏蔽端口和杀毒软件（6

22、）单击“下一步”按钮，弹出“协议和端口”界面，设置该规则是应用于TCP还是UDP，然后根据需要输入相应的端口号。例如，这里选中TCP单选按钮，然后选中“特定本地端口”单选按钮，再在文本框中输入想要屏蔽的端口号（可以是单个的端口号，也可以是端口号范围），如图6-11所示。图6-11“协议和端口”界面实训使用Windows防火墙屏蔽端口和杀毒软件（7）输入完成后，单击“下一步”按钮，弹出“操作”界面，在该界面中可以设置该端口号是否可以被允许连接，这里选中“阻止连接”单选按钮，如图6-12所示。图6-12“操作”界面实训使用Windows防火墙屏蔽端口和杀毒软件（8）单击“下一步”按钮，弹出“配置文件”界面，在该界面中可以设置应用该规则的场合，如图6-13所示。（9）根据需要选中对应的复选框，然后单击“下一步”按钮，弹出“名称”界面，在该界面中可以设置该端口的名称和相应的描述文字，如图6-14所示。（10）设置完成后，单击“完成”按钮，即可完成端口的屏蔽操作。实训使用Windows防火墙屏蔽端口和杀毒软件图6-13“配置文件”界面图6-14“名称”界面实训使用Window