计算机网络基础第10章-计算机网络安全技术课件

计算机网络基础（第3版）工业和信息化“十三五”高职高专人才培养规划教材

计算机网络基础（第3版）工业和信息化“十三五”高职高专人才培目标/要点随着信息技术的不断发展，网络应用日益增多，网络安全威胁日益严重。本章主要讲述与安全相关的基础知识，主要包括网络安全的定义及关键技术、防火墙技术、杀毒软件的使用等。通过本章的学习，读者应能掌握基本安全技术的使用，保证网络的安全。学习目标

学习要点1了解网络安全的定义和面临的威胁掌握防火墙的相关概念，理解常见的防火墙系统结构了解病毒的概念，掌握360杀毒软件的使用方式23目标/要点随着信息技术的不断发展，网络应用日益增多，网络安全目录/Contents10.1网络安全概述防火墙技术杀毒软件的应用10.210.3第10章计算机网络安全技术

目录/Contents10.1网络安全概述防火墙技术杀毒第10章计算机网络安全技术10.1网络安全概述

10.1.1网络面临的安全威胁在日益网络化的社会，网络安全问题也不断涌现。网络安全面临的威胁主要表现为：敏感信息为非授权用户所获取；网络服务不能或不正常运行，甚至使合法用户不能进入计算机网络系统；黑客攻击；硬件或软件方面的漏洞；利用网络传播病毒。

4第10章计算机网络安全技术10.1网络安全概述

1．网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或恶意的攻击而遭到破坏、更改、泄露，系统能连续可靠正常运行，网络服务不中断。网络安全具备以下４个特征。（1）保密性。保密性是指信息不泄露给非授权用户、实体或过程，或供其利用的特性。即敏感数据在传播或存储介质中不会被有意或无意泄露。（2）完整性。完整性是指数据未经授权不能进行改变的特性。即信息在存储或传输过程中，保持不被修改，不被破坏和丢失的特性。（3）可用性。可用性是指信息可被授权实体访问并按需求使用的特性。即当需要时能允许存取所需的信息。例如，网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性。可控性是指对信息的传播及内容具有控制能力的特性。

1．网络安全的概念2．网络安全威胁网络安全威胁是指对网络信息的潜在危害，分为人为和自然两种，人为又分为有意和无意两类。（1）信息泄露。信息泄露是指信息被透露给非授权的实体。常见的信息泄露有如下几种。网络监听业务流分析电磁、射频截获人员有意或无意破坏媒体清理漏洞利用授权侵犯物理侵入病毒、木马、后门、流氓软件网络钓鱼

2．网络安全威胁（2）完整性破坏。可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式来实现。（3）拒绝服务攻击。对信息或资源合法的访问被拒绝或者推迟与时间密切相关的操作。（4）网络滥用。合法的用户滥用网络，引入不必要的安全威胁，主要包括如下几类。非法外联非法内联移动风险设备滥用业务滥用

（2）完整性破坏。可以通过漏洞利用、物理侵犯、授权侵犯、病毒10.1.2计算机网络安全的内容计算机网络安全是涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合学科，它包括网络管理、数据安全及数据传输安全等很多方面。网络安全主要是指网络上的信息安全，包括物理安全、逻辑安全、操作系统安全、网络传输安全。1．物理安全物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。（1）防盗（2）防火（3）防静电（4）防雷击（5）防电磁泄漏

10.1.2计算机网络安全的内容2．逻辑安全计算机的逻辑安全主要是用口令、文件许可、加密、检查日志等方法来实现。防止黑客入侵主要依赖于计算机的逻辑安全。逻辑安全可以通过以下措施来加强：（1）限制登录的次数，对试探操作加上时间限制；（2）把重要的文档、程序和文件加密；（3）限制存取非本用户自己的文件，除非得到明确的授权；（4）跟踪可疑的、未授权的存取企图。

2．逻辑安全3．操作系统安全操作系统分为网络操作系统和个人操作系统，其安全内容主要包括如下几方面：（1）系统本身的漏洞；（2）内部和外部用户的安全威胁；（3）通信协议本身的安全性；（4）病毒感染。4．网络传输安全网络传输安全是指信息在传播过程中出现丢失、泄露、受到破坏等情况。其主要内容如下。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据的保密性和完整性，以及各通信的可信赖性。

3．操作系统安全10.1.3网络安全的关键技术1．数据加密技术信息加密是保障信息安全的最基本、最核心的技术措施和理论基础，信息加密也是现代密码学的主要组成部分。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为对称加密算法（私钥密码体系）和非对称加密算法（公钥密码体系）。在私钥密码中，收信方和发信方使用相同的密钥，即加密密钥和脱密密钥是相同或等价的。在众多的常规密码中影响最大的是DES密码。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能由加密密钥推导出脱密密钥。最有影响的公钥加密算法是RSA，它能够抵抗到目前为止已知的所有密码攻击。

10.1.3网络安全的关键技术2．信息确认技术信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使：合法的接收者能够验证他收到的消息是否真实；发信者无法抵赖自己发出的消息；除合法发信者外，别人无法伪造消息；发生争执时可由第三人仲裁。按照其具体目的，信息确认系统可分为消息确认、身份确认和数字签名。用于消息确认中的常用算法有：ElGamal签名、数字签名标准（DSS）、One-time签名、

Undeniable签名、Fail-stop、签名、Schnorr确认方案、Okamoto确认方案、Guillou-Quisquater确认方案、Snefru、Nhash、MD4．MD5等，其中最著名的算法应该是数字签名标准（DSS）算法。

2．信息确认技术3．防火墙技术防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合。这种安全部件处于被保护网络和其他网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或做出其他操作。防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为Intranet防火墙。

3．防火墙技术目前的防火墙系统根据其实现方式大致可分为两种，即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。

目前的防火墙系统根据其实现方式大致可分为两种，即包过滤防火墙4．网络安全扫描技术网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统安全风险而发展起来的一种安全技术。利用安全扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误。网络安全扫描技术主要有网络远程安全扫描、防火墙系统扫描、Web网站扫描、系统安全扫描等几种方式。

4．网络安全扫描技术5．网络入侵检测技术网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。6．黑客诱骗技术黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐（Honeypot）系统，最重要的功能是一种特殊设置，用来对系统中所有操作进行监视和记录。

5．网络入侵检测技术10.2防火墙技术防火墙是一种网络安全保障手段，一种有效的网络安全机制，是保证主机和网络安全

必不可少的工具。其主要目标是通过控制进、出网络的资源权限，迫使所有的连接都经过该工具的检查，防止需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器、限制器，也是一个分析器。防火墙是网络之间一种特殊的访问控制设施，在Internet网络与内部网之间设置一道屏障，防止黑客进入内部网，用于确定哪些内部资源允许外部访问、哪些内部网络可以访问外部网络。防火墙在网络中的位置如图10-1所示。

10.2防火墙技术防火墙是一种网络安全保障手段，一种计算机网络基础第10章--计算机网络安全技术课件10.2.1防火墙概述1．防火墙的定义防火墙是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策（允许、拒绝、监视、记录）控制进出网络访问行为。防火墙本身具有较强的抗攻击能力，是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器，也是一个分析器，它能够有效地监控内部网和Internet之间的任何活动，保证了内部网络的安全。

10.2.1防火墙概述2．防火墙的分类（1）按形态分类。按形态可将防火墙分为软件防火墙和硬件防火墙两种。两种防火墙的比较见表10-1。

2．防火墙的分类（2）按保护对象分类。按保护对象可将防火墙分为网络防火墙和单机防火墙两种。两种防火墙的比较见表10-2。

（2）按保护对象分类。按保护对象可将防火墙分为网络防火墙和单（3）按使用核心技术分类。按使用的核心技术可把防火墙分为包过滤防火墙（根据流经防火墙的数据包头信息，决定是否允许该数据包通过）、状态检测防火墙、应用代理防火墙、复合型防火墙。

（3）按使用核心技术分类。按使用的核心技术可把防火墙分为包过3．防火墙的特性一个好的防火墙系统应具有3方面的特性：所有在内部网络和外部网络之间传输的数据必须通过防火墙；只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙；防火墙本身不受各种攻击的影响。4．防火墙的局限性防火墙能过滤进出网络的数据包，能管理进出网络的访问行为。但防火墙不是万能的，还存在一定程度的局限性：防火墙不能防范不经过防火墙的攻击，如拨号访问、内部攻击等；防火墙不能防范利用电子邮件夹带的病毒等恶性程序；防火墙不能解决来自内部网络的攻击和安全问题；防火墙不能防止策略配置不当或错误配置引起的安全威胁；

3．防火墙的特性防火墙不能防止利用标准网络协议中的缺陷进行的攻击；防火墙不能防止利用服务器系统漏洞所进行的攻击；防火墙不能防止数据驱动式的攻击，有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击；防火墙不能防止本身安全漏洞的威胁。5．常用的防火墙实现策略（1）允许所有除明确拒绝之外的通信或服务。（2）拒绝所有除明确允许之外的通信或服务。

防火墙不能防止利用标准网络协议中的缺陷进行的攻击；10.2.2防火墙系统结构防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立一条安全边界（SecurityPerimeter）。防火墙系统由两个基本部件构成：一是包过滤路由器（PacketFilteringRouter），二是应用级网关（ApplicationGateway）。最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成。根据组合方式的不同，防火墙系统的结构也有多种形式。

10.2.2防火墙系统结构1．包过滤路由器结构（1）结构。包过滤路由器结构如图10-2所示。（2）工作流程。包过滤防火墙的工作流程如图10-3所示。

1．包过滤路由器结构计算机网络基础第10章--计算机网络安全技术课件（3）性能分析。优点：价格低廉，易于使用。缺点：过滤规则的创建非常重要，如果配置错误则不但不会阻挡威胁，甚至还出现允许某些威胁通过的缺陷；不隐藏内部网络配置，任何被允许访问的用户都可看到网络的布局和结构；对网络的监视和日志功能较弱。

（3）性能分析。2．应用级网关（1）概念。应用级网关是在每个需要保护的主机上放置高度专用的应用软件，实现协议过滤和转发功能。（2）结构。应用级网关防火墙的结构如图10-4所示。（3）性能分析。应用级网关防火墙也是通过特定的逻辑来判断是否允许数据包通过，允许内外网络的计算机建立直接联系，外部网络用户能直接了解内部网络的结构，这给黑客的入侵和攻击提供了机会。

2．应用级网关计算机网络基础第10章--计算机网络安全技术课件3．双宿堡垒主机防火墙（1）堡垒主机。堡垒主机是处于防火墙关键部位、运行应用级网关软件的计算机系统。堡垒主机上装有两块网卡，一块连接内网，一块连接外部网络。（2）结构。双宿堡垒主机防火墙结构如图10-5所示。

3．双宿堡垒主机防火墙（3）数据传输过程。双宿堡垒主机防火墙数据传输过程如图10-6所示。（4）性能分析。双宿堡垒主机有两个网络接口，强行让进出内部网络的数据通过保垒主机，避免了黑客绕过堡垒主机而直接进入内部网络的可能，即使受到攻击，也只有堡垒主机遭到破坏，堡垒主机会记录日志，有利于问题的查找和系统的维护

（3）数据传输过程。双宿堡垒主机防火墙数据传输过程如图104．DMZ防火墙（1）什么是DMZ防火墙。DMZ（DemilitarizedZone，非军事区）防火墙也称为屏蔽子网（ScreenedSubnet）防火墙，是在内部网络和外部网络之间建立一个被隔离的子网。（2）DMZ的防火墙结构。DMZ防火墙结构如图10-7所示。（3）DMZ防火墙性能分析。

4．DMZ防火墙10.3

杀毒软件的应用10.3.1杀毒软件介绍1．常用杀毒软件介绍病毒具有很强的传染性和破坏性，如果没有适当的防御措施