计算机网络安全课程课件

计算机网络(第3版)吴功宜编著·普通高等教育精品教材

·普通高等教育“十一五”国家级规划教材

计算机网络·普通高等教育精品教材

·普通高等教育“十一五”国1第9章网络安全第9章网络安全2本章学习要求：了解：网络安全的重要性与研究的主要内容。了解：当前网络安全形势的变化。理解：密码体制基本概念及其在网络安全中的应用。掌握：网络安全协议的概念及应用。掌握：防火墙的概念及应用。掌握：入侵检测的基本概念与方法。掌握：网络业务持续性规划技术基本概念与方法。理解：恶意代码与网络病毒防治的基本概念与方法。3《计算机网络》第9章网络安全本章学习要求：3本章知识点结构4《计算机网络》第9章网络安全本章知识点结构4《计算机网络》第9章网络安全9.1网络安全的基本概念9.1.1网络安全重要性与特点网络安全是网络技术研究中一个永恒的主题网络安全是一个系统的社会工程趋利性是当前网络攻击的主要动机网络安全关乎国家安全与社会稳定5《计算机网络》第9章网络安全9.1网络安全的基本概念9.1.1网络安全重要性与特9.1.2网络安全服务功能与法律法规网络安全服务的基本功能:可用性机密性完整性不可否认性可控性6《计算机网络》第9章网络安全9.1.2网络安全服务功能与法律法规网络安全服务的基本功9.1.3网络安全威胁的发展趋势

恶意代码保持快速增长的势头对移动终端设备攻击的威胁快速上升针对应用软件漏洞的攻击更为突出针对搜索引擎的攻击呈快速上升趋势假冒软件的攻击将转变攻击方式利用社交网络、高仿网站与钓鱼欺诈发起攻击僵尸网络将会出现新的变种垃圾邮件正在变换新的活动方式7《计算机网络》第9章网络安全9.1.3网络安全威胁的发展趋势恶意代码保持快速增长的9.1.4网络安全研究的主要问题信息被攻击的4种基本类型8《计算机网络》第9章网络安全9.1.4网络安全研究的主要问题信息被攻击的4种基本类型可能存在的网络攻击与威胁9《计算机网络》第9章网络安全可能存在的网络攻击与威胁99.1.5网络攻击的主要类型漏洞攻击欺骗攻击

DoS与DDoS对防火墙的攻击恶意软件与病毒攻击10《计算机网络》第9章网络安全9.1.5网络攻击的主要类型漏洞攻击10DDoS攻击过程示意图11《计算机网络》第9章网络安全DDoS攻击过程示意图119.2加密与认证技术9.2.1密码算法与密码体制的基本概念加密与解密过程示意图12《计算机网络》第9章网络安全9.2加密与认证技术9.2.1密码算法与密码体制的基易位密码方法原理示意图13《计算机网络》第9章网络安全易位密码方法原理示意图13密钥长度与密钥个数密钥长度（bit）组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×103814《计算机网络》第9章网络安全密钥长度与密钥个数149.2.2对称密码体系对称加密的工作原理15《计算机网络》第9章网络安全9.2.2对称密码体系对称加密的工作原理159.2.3非对称密码体系非对称加密的工作原理16《计算机网络》第9章网络安全9.2.3非对称密码体系非对称加密的工作原理169.2.4公钥基础设施PKIPKI工作原理示意图17《计算机网络》第9章网络安全9.2.4公钥基础设施PKIPKI工作原理示意图179.2.5数字签名技术数字签名的工作原理示意图18《计算机网络》第9章网络安全9.2.5数字签名技术数字签名的工作原理示意图189.2.6身份认证技术的发展所知：个人所掌握的密码、口令所有：个人的身份证、护照、信用卡、钥匙个人特征：人的指纹、声音、笔迹、手型、脸

型、血型、视网膜、虹膜、DNA，

以及个人动作方面的特征根据安全要求和用户可接受的程度，以及成本等因素，可以选择适当的组合，来设计一个自动身份认证系统。19《计算机网络》第9章网络安全9.2.6身份认证技术的发展所知：个人所掌握的密码、口令9.3网络安全协议9.3.1网络安全协议的基本概念网络安全协议设计的要求是实现协议执行过程中的认证性、机密性、完整性与不可否认性。网络安全协议的研究与标准的制定涉及网络层、传输层与应用层。20《计算机网络》第9章网络安全9.3网络安全协议9.3.1网络安全协议的基本概念29.3.2网络层安全与IPSec协议、IPSecVPNIPSec安全体系结构IPSec的安全服务是在IP层提供的。IPSec安全体系主要是由：认证头协议、封装安全载荷协议与Internet密钥交换协议等组成。认证头协议用于增强IP协议的安全性，提供对IP分组源认证、IP分组数据传输完整性与防重放攻击的安全服务。封装安全载荷协议提供对IP分组源认证、IP分组数据完整性、秘密性与防重放攻击的安全服务。Internet密钥交换协议用于协商AH协议与ESP协议所使用的密码算法与密钥管理体制。IPSec对于IPv4是可选的，而是IPv6基本的组成部分。21《计算机网络》第9章网络安全9.3.2网络层安全与IPSec协议、IPSecVPNAH协议基本工作原理传输模式的AH协议原理示意图22《计算机网络》第9章网络安全AH协议基本工作原理22隧道模式ESP工作原理示意图23《计算机网络》第9章网络安全隧道模式ESP工作原理示意图239.3.4传输层安全与SSL、TLP协议SSL协议在层次结构中的位置24《计算机网络》第9章网络安全9.3.4传输层安全与SSL、TLP协议SSL协议在层次9.3.4应用层安全与PGP、SET协议数字信封工作原理示意图25《计算机网络》第9章网络安全9.3.4应用层安全与PGP、SET协议数字信封工作原理SET结构示意图26《计算机网络》第9章网络安全SET结构示意图269.4防火墙技术9.4.1防火墙的基本概念防火墙的位置与作用27《计算机网络》第9章网络安全9.4防火墙技术9.4.1防火墙的基本概念279.4.2包过滤路由器包过滤路由器的结构28《计算机网络》第9章网络安全9.4.2包过滤路由器包过滤路由器的结构28包过滤的工作流程29《计算机网络》第9章网络安全包过滤的工作流程29包过滤路由器作为防火墙的结构30《计算机网络》第9章网络安全包过滤路由器作为防火墙的结构30包过滤规则表31《计算机网络》第9章网络安全包过滤规则表319.4.3应用级网关的概念典型的多归属主机结构示意图32《计算机网络》第9章网络安全9.4.3应用级网关的概念典型的多归属主机结构示意图32应用级网关原理示意图33《计算机网络》第9章网络安全应用级网关原理示意图33应用代理工作原理示意图34《计算机网络》第9章网络安全应用代理工作原理示意图349.4.4防火墙的系统结构应用级网关结构示意图35《计算机网络》第9章网络安全9.4.4防火墙的系统结构应用级网关结构示意图35采用S-B1配置的防火墙系统结构36《计算机网络》第9章网络安全采用S-B1配置的防火墙系统结构36包过滤路由器的转发过程37《计算机网络》第9章网络安全包过滤路由器的转发过程37S-B1配置的防火墙系统层次结构示意图38《计算机网络》第9章网络安全S-B1配置的防火墙系统层次结构示意图38S-B1-S-B1配置的防火墙系统结构示意图39《计算机网络》第9章网络安全S-B1-S-B1配置的防火墙系统结构示意图399.4.5防火墙报文过滤规则制定方法用防火墙保护的内部网络结构示意图40《计算机网络》第9章网络安全9.4.5防火墙报文过滤规则制定方法用防火墙保护的内部网ICMP报文过滤规则41《计算机网络》第9章网络安全ICMP报文过滤规则41对Web访问的报文过滤规则42《计算机网络》第9章网络安全对Web访问的报文过滤规则42对FTP访问报文的过滤规则43《计算机网络》第9章网络安全对FTP访问报文的过滤规则43E-Mail服务的报文过滤规则44《计算机网络》第9章网络安全E-Mail服务的报文过滤规则449.5入侵检测技术9.5.1入侵检测的基本概念入侵检测系统（IDS）是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并采取相应的防护手段。45《计算机网络》第9章网络安全9.5入侵检测技术9.5.1入侵检测的基本概念45入侵检测系统的基本功能主要有：监控、分析用户和系统的行为检查系统的配置和漏洞评估重要的系统和数据文件的完整性对异常行为的统计分析，识别攻击类型，并向网络管理人员报警对操作系统进行审计、跟踪管理，识别违反授权的用户活动46《计算机网络》第9章网络安全入侵检测系统的基本功能主要有：46入侵检测系统IDS的通用框架结构47《计算机网络》第9章网络安全入侵检测系统IDS的通用框架结构479.5.2入侵检测的基本方法基于主机的入侵检测系统的基本结构48《计算机网络》第9章网络安全9.5.2入侵检测的基本方法基于主机的入侵检测系统的基本基于网络的入侵检测系统的基本结构49《计算机网络》第9章网络安全基于网络的入侵检测系统的基本结构499.5.3蜜罐技术的基本概念蜜罐（honeypot）是一个包含漏洞的诱骗系统，通过模拟一个主机、服务器或其他网络设备，给攻击者提供一个容易攻击的目标，用来被攻击和攻陷。设计蜜罐系统希望达到以下三个主要目的：—

转移网络攻击者对有价值的资源的注意力，保护网

络中有价值的资源。

—

通过对攻击者的攻击目标、企图、行为与破坏方式

等数据的收集、分析，了解网络安全状态，研究相

应的对策。

—对入侵者的行为和操作过程进行记录，为起诉入侵

者搜集有用的证据。50《计算机网络》第9章网络安全9.5.3蜜罐技术的基本概念蜜罐（honeypot）是一9.6网络业务持续性规划技术9.6.1网络文件备份与恢复的重要性网络文件备份恢复属于日常网络与信息系统维护的范畴，而业务持续性规划涉及对突发事件对网络与信息系统影响的预防技术。由于自然灾害与人为的破坏，造成网络基础设施的破坏，将导致信息系统业务流程的非计划性中断。网络业务持续性规划技术针对可能出现的突发事件，提前做好预防突发事件出现造成重大后果的预案，控制突发事件对网络信息系统关键业务流程所造成的影响。51《计算机网络》第9章网络安全9.6网络业务持续性规划技术9.6.1网络文件备份与9.6.2业务持续性规划技术研究业务持续性规划技术包括的基本内容：规划的方法学问题风险分析方法数据恢复规划52《计算机网络》第9章网络安全9.6.2业务持续性规划技术研究业务持续性规划技术包括的9.7恶意代码与网络防病毒技术9.7.1恶意代码的定义与演变过程恶意传播代码（MMC）也称作“恶意代码”或“恶意程序”。恶意代码是指：能够从一台计算机传播到另一台计算机，从一个网络传播到一个网络的程序，目的是在用户和网络管理员不知情的情况下对系统进行故意地修改。恶意代码具有如下三个共同的特征：恶意的目的、本身是程序、通过执行发生作用。53《计算机网络》第9章网络安全9.7恶意代码与网络防病毒技术9.7.1恶意代码的定恶意代码发展阶段划分：第一代：DOS病毒（1986年～1995年）第二代：宏病毒（1995年～2000年）第三代：网络蠕虫病毒（1999年～2004年）第四代：趋利性恶意代码（2005年～至今）54《计算机网络》第9章网络安全恶意代码发展阶段划分：549.7.2病毒的基本概念病毒（viruses）程序名称来源类似于生物学的病毒。病毒是指一段程序代码，通过对其他程序进行修改，感染这些程序，使之成为含有该病毒程序的一个拷贝。一般病毒具有两种基本的功能：

—

感染其他程序

—

破坏程序或系统的正常运行，或植入攻击55《计算机网络》第9章网络安全9.7.2病毒的基本概念病毒（viruses）程序名称来9.7.3蠕虫的基本概念蠕虫是一种依靠自复制能力进行传播的程序。蠕虫可以利用电子邮件、聊天室等应用程序进行传播。蠕虫可以将自己附在一封要发送出的邮件上，或者在两个互相信任的系统之间，通过一条简单的FTP命令来传播。蠕虫一般不寄生在其他文件或引导区中。56《计算机网络》第9章网络安全9.7.3蠕虫的基本概念569.7.4特洛伊木马的基本概念特洛伊木马程序简称为“木马程序”。木马程序是专为欺骗用户，让用户以为它是友好程序而设计的。木马程序不改变或感染其他的文件，它只是伪装成一种正常程序，随着其他的一些应用程序，装到用户计算机中，但是程序是个什么的用户并不知道。木马程序不具备自我复制与传播能力，而是以伪装的欺骗手段诱使用户去激活木马程序。木马程序可以远程操控远程计算机，下载、安装其他恶意代码，窃取用户信息，删除数据和破坏系统。很多木马程序就是后面程序。57《计算机网络》第9章网络安全9.7.4特洛伊木马的基本概念579.7.5垃圾邮件的基本概念垃圾邮件的定义：收件人事先没有提出要求或者不同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件。收件人无法拒收的电子邮件。隐藏发件人身份、地址、标题等信息的电子邮件。含有虚假的信息源、发件人、路由等信息的电子邮件。58《计算机网络》第9章网络安全9.7.5垃圾邮件的基本概念58垃圾邮件的危害：垃圾邮件的仓储、传输占有了大量的网络存储资源与传输带宽，影响了正常的电子邮件服务。垃圾邮件的清理需要耗费用户大量的时间、精力与费用，大大地降低了电子邮件使用效率与信任度。垃圾邮件经常包含了大量诈骗、色情，甚至是反动的内容，对社会形成了危害。垃圾邮件常包含了病毒、网络钓鱼链接或挂马网站链接，成为病毒传播的重要载体，威胁互联网的安全。垃圾邮件常常被攻击者利用，造成某些电子邮件服务器的瘫痪与资源耗尽，严重地影响系统的正常运行。垃圾邮件的泛滥严重地影响着ISP的服务质量与形象，甚至使它们的IP地址因大量转发垃圾邮件而被封杀。59《计算机网络》第9章网络安全垃圾邮件的危害：59

1、用爱心来做事，用感恩的心做人。

2、人永远在追求快乐，永远在逃避痛苦。

3、有多大的思想，才有多大的能量。

4、人的能量=思想+行动速度的平方。

5、励志是给人快乐，激励是给人痛苦。

6、成功者绝不给自己软弱的借口。

7、你只有一定要，才一定会得到。

8、决心是成功的开始。

9、当你没有借口的那一刻，就是你成功的开始。

10、命运是可以改变的。

11、成功者绝不放弃。

12、成功永远属于马上行动的人。

13、下定决心一定要，才是成功的关键。

14、成功等于目标，其他都是这句话的注解。

15、成功是一个过程，并不是一个结果。

16、成功者学习别人的经验，一般人学习自己的经验。

17、只有第一名可以教你如何成为第一名。

18、学习需要有计划。

19、完全照成功者的方法来执行。

20、九十九次的理论不如一次的行动来得实际。

21、一个胜利者不会放弃，而一个放弃者永远不会胜利。

22、信心、毅力、勇气三者具备，则天下没有做不成的事。23、如果你想得到，你就会得到，你所需要付出的只是行动。

24、一个缺口的杯子，如果换一个角度看它，它仍然是圆的。

25、对于每一个不利条件，都会存在与之相对应的有利条件。

26、一个人的快乐，不是因为他拥有的多，而是他计较的少。

27、世间成事，不求其绝对圆满，留一份不足，可得无限美好。

28记住：你是你生命的船长；走自己的路，何必在乎其它。

29、你要做多大的事情，就该承受多大的压力。

30、如果你相信自己，你可以做任何事。

31、天空黑暗到一定程度，星辰就会熠熠生辉。

32、时间顺流而下，生活逆水行舟。

33、生活充满了选择，而生活的态度就是一切。

34、人各有志，自己的路自己走。

35、别人的话只能作为一种参考，是不能左右自己的。

36、成功来自使我们成功的信念。

37、相互了解是朋友，相互理解是知己。

38、没有所谓失败，除非你不再尝试。

39、有时可能别人不在乎你，但你不能不在乎自己。

40、你必须成功，因为你不能失败。

41、羡慕别人得到的，不如珍惜自己拥有的。

42、喜欢一个人，就该让他（她）快乐。

43、别把生活当作游戏，谁游戏人生，生活就惩罚谁，这不是劝诫，而是--规则！

44、你要求的次数愈多，你就越容易得到你要的东西，而且连带地也会得到更多乐趣。

45、把气愤的心境转化为柔和，把柔和的心境转化为爱，如此，这个世间将更加完美。

46、一份耕耘，一份收获，付出就有回报永不遭遇过失败，因我所碰到的都是暂时的挫折。

47、心如镜，虽外景不断变化，镜面却不会转动，这就是一颗平常心，能够景转而心不转。

48、每件事情都必须有一个期限，否则，大多数人都会有多少时间就花掉多少时间。

49、人，其实不需要太多的东西，只要健康地活着，真诚地爱着，也不失为一种富有。

50、生命之长短殊不重要，只要你活得快乐，在有生之年做些有意义的事，便已足够。

51、活在忙与闲的两种境界里，才能俯仰自得，享受生活的乐趣，成就人生的意义。

52、一个从来没有失败过的人，必然是一个从未尝试过什么的人。

53、待人退一步，爱人宽一寸，人生自然活得很快乐。

54、经验不是发生在一个人身上的事件，而是一个人如何看待发生在他身上的事。

55、加倍努力，证明你想要的不是空中楼阁。胜利是在多次失败之后才姗姗而来。1、用爱心来做事，用感恩的心做人。60计算机网络(第3版)吴功宜编著·普通高等教育精品教材

·普通高等教育“十一五”国家级规划教材

计算机网络·普通高等教育精品教材

·普通高等教育“十一五”国61第9章网络安全第9章网络安全62本章学习要求：了解：网络安全的重要性与研究的主要内容。了解：当前网络安全形势的变化。理解：密码体制基本概念及其在网络安全中的应用。掌握：网络安全协议的概念及应用。掌握：防火墙的概念及应用。掌握：入侵检测的基本概念与方法。掌握：网络业务持续性规划技术基本概念与方法。理解：恶意代码与网络病毒防治的基本概念与方法。63《计算机网络》第9章网络安全本章学习要求：3本章知识点结构64《计算机网络》第9章网络安全本章知识点结构4《计算机网络》第9章网络安全9.1网络安全的基本概念9.1.1网络安全重要性与特点网络安全是网络技术研究中一个永恒的主题网络安全是一个系统的社会工程趋利性是当前网络攻击的主要动机网络安全关乎国家安全与社会稳定65《计算机网络》第9章网络安全9.1网络安全的基本概念9.1.1网络安全重要性与特9.1.2网络安全服务功能与法律法规网络安全服务的基本功能:可用性机密性完整性不可否认性可控性66《计算机网络》第9章网络安全9.1.2网络安全服务功能与法律法规网络安全服务的基本功9.1.3网络安全威胁的发展趋势

恶意代码保持快速增长的势头对移动终端设备攻击的威胁快速上升针对应用软件漏洞的攻击更为突出针对搜索引擎的攻击呈快速上升趋势假冒软件的攻击将转变攻击方式利用社交网络、高仿网站与钓鱼欺诈发起攻击僵尸网络将会出现新的变种垃圾邮件正在变换新的活动方式67《计算机网络》第9章网络安全9.1.3网络安全威胁的发展趋势恶意代码保持快速增长的9.1.4网络安全研究的主要问题信息被攻击的4种基本类型68《计算机网络》第9章网络安全9.1.4网络安全研究的主要问题信息被攻击的4种基本类型可能存在的网络攻击与威胁69《计算机网络》第9章网络安全可能存在的网络攻击与威胁99.1.5网络攻击的主要类型漏洞攻击欺骗攻击

DoS与DDoS对防火墙的攻击恶意软件与病毒攻击70《计算机网络》第9章网络安全9.1.5网络攻击的主要类型漏洞攻击10DDoS攻击过程示意图71《计算机网络》第9章网络安全DDoS攻击过程示意图119.2加密与认证技术9.2.1密码算法与密码体制的基本概念加密与解密过程示意图72《计算机网络》第9章网络安全9.2加密与认证技术9.2.1密码算法与密码体制的基易位密码方法原理示意图73《计算机网络》第9章网络安全易位密码方法原理示意图13密钥长度与密钥个数密钥长度（bit）组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×103874《计算机网络》第9章网络安全密钥长度与密钥个数149.2.2对称密码体系对称加密的工作原理75《计算机网络》第9章网络安全9.2.2对称密码体系对称加密的工作原理159.2.3非对称密码体系非对称加密的工作原理76《计算机网络》第9章网络安全9.2.3非对称密码体系非对称加密的工作原理169.2.4公钥基础设施PKIPKI工作原理示意图77《计算机网络》第9章网络安全9.2.4公钥基础设施PKIPKI工作原理示意图179.2.5数字签名技术数字签名的工作原理示意图78《计算机网络》第9章网络安全9.2.5数字签名技术数字签名的工作原理示意图189.2.6身份认证技术的发展所知：个人所掌握的密码、口令所有：个人的身份证、护照、信用卡、钥匙个人特征：人的指纹、声音、笔迹、手型、脸

型、血型、视网膜、虹膜、DNA，

以及个人动作方面的特征根据安全要求和用户可接受的程度，以及成本等因素，可以选择适当的组合，来设计一个自动身份认证系统。79《计算机网络》第9章网络安全9.2.6身份认证技术的发展所知：个人所掌握的密码、口令9.3网络安全协议9.3.1网络安全协议的基本概念网络安全协议设计的要求是实现协议执行过程中的认证性、机密性、完整性与不可否认性。网络安全协议的研究与标准的制定涉及网络层、传输层与应用层。80《计算机网络》第9章网络安全9.3网络安全协议9.3.1网络安全协议的基本概念29.3.2网络层安全与IPSec协议、IPSecVPNIPSec安全体系结构IPSec的安全服务是在IP层提供的。IPSec安全体系主要是由：认证头协议、封装安全载荷协议与Internet密钥交换协议等组成。认证头协议用于增强IP协议的安全性，提供对IP分组源认证、IP分组数据传输完整性与防重放攻击的安全服务。封装安全载荷协议提供对IP分组源认证、IP分组数据完整性、秘密性与防重放攻击的安全服务。Internet密钥交换协议用于协商AH协议与ESP协议所使用的密码算法与密钥管理体制。IPSec对于IPv4是可选的，而是IPv6基本的组成部分。81《计算机网络》第9章网络安全9.3.2网络层安全与IPSec协议、IPSecVPNAH协议基本工作原理传输模式的AH协议原理示意图82《计算机网络》第9章网络安全AH协议基本工作原理22隧道模式ESP工作原理示意图83《计算机网络》第9章网络安全隧道模式ESP工作原理示意图239.3.4传输层安全与SSL、TLP协议SSL协议在层次结构中的位置84《计算机网络》第9章网络安全9.3.4传输层安全与SSL、TLP协议SSL协议在层次9.3.4应用层安全与PGP、SET协议数字信封工作原理示意图85《计算机网络》第9章网络安全9.3.4应用层安全与PGP、SET协议数字信封工作原理SET结构示意图86《计算机网络》第9章网络安全SET结构示意图269.4防火墙技术9.4.1防火墙的基本概念防火墙的位置与作用87《计算机网络》第9章网络安全9.4防火墙技术9.4.1防火墙的基本概念279.4.2包过滤路由器包过滤路由器的结构88《计算机网络》第9章网络安全9.4.2包过滤路由器包过滤路由器的结构28包过滤的工作流程89《计算机网络》第9章网络安全包过滤的工作流程29包过滤路由器作为防火墙的结构90《计算机网络》第9章网络安全包过滤路由器作为防火墙的结构30包过滤规则表91《计算机网络》第9章网络安全包过滤规则表319.4.3应用级网关的概念典型的多归属主机结构示意图92《计算机网络》第9章网络安全9.4.3应用级网关的概念典型的多归属主机结构示意图32应用级网关原理示意图93《计算机网络》第9章网络安全应用级网关原理示意图33应用代理工作原理示意图94《计算机网络》第9章网络安全应用代理工作原理示意图349.4.4防火墙的系统结构应用级网关结构示意图95《计算机网络》第9章网络安全9.4.4防火墙的系统结构应用级网关结构示意图35采用S-B1配置的防火墙系统结构96《计算机网络》第9章网络安全采用S-B1配置的防火墙系统结构36包过滤路由器的转发过程97《计算机网络》第9章网络安全包过滤路由器的转发过程37S-B1配置的防火墙系统层次结构示意图98《计算机网络》第9章网络安全S-B1配置的防火墙系统层次结构示意图38S-B1-S-B1配置的防火墙系统结构示意图99《计算机网络》第9章网络安全S-B1-S-B1配置的防火墙系统结构示意图399.4.5防火墙报文过滤规则制定方法用防火墙保护的内部网络结构示意图100《计算机网络》第9章网络安全9.4.5防火墙报文过滤规则制定方法用防火墙保护的内部网ICMP报文过滤规则101《计算机网络》第9章网络安全ICMP报文过滤规则41对Web访问的报文过滤规则102《计算机网络》第9章网络安全对Web访问的报文过滤规则42对FTP访问报文的过滤规则103《计算机网络》第9章网络安全对FTP访问报文的过滤规则43E-Mail服务的报文过滤规则104《计算机网络》第9章网络安全E-Mail服务的报文过滤规则449.5入侵检测技术9.5.1入侵检测的基本概念入侵检测系统（IDS）是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并采取相应的防护手段。105《计算机网络》第9章网络安全9.5入侵检测技术9.5.1入侵检测的基本概念45入侵检测系统的基本功能主要有：监控、分析用户和系统的行为检查系统的配置和漏洞评估重要的系统和数据文件的完整性对异常行为的统计分析，识别攻击类型，并向网络管理人员报警对操作系统进行审计、跟踪管理，识别违反授权的用户活动106《计算机网络》第9章网络安全入侵检测系统的基本功能主要有：46入侵检测系统IDS的通用框架结构107《计算机网络》第9章网络安全入侵检测系统IDS的通用框架结构479.5.2入侵检测的基本方法基于主机的入侵检测系统的基本结构108《计算机网络》第9章网络安全9.5.2入侵检测的基本方法基于主机的入侵检测系统的基本基于网络的入侵检测系统的基本结构109《计算机网络》第9章网络安全基于网络的入侵检测系统的基本结构499.5.3蜜罐技术的基本概念蜜罐（honeypot）是一个包含漏洞的诱骗系统，通过模拟一个主机、服务器或其他网络设备，给攻击者提供一个容易攻击的目标，用来被攻击和攻陷。设计蜜罐系统希望达到以下三个主要目的：—

转移网络攻击者对有价值的资源的注意力，保护网

络中有价值的资源。

—

通过对攻击者的攻击目标、企图、行为与破坏方式

等数据的收集、分析，了解网络安全状态，研究相

应的对策。

—对入侵者的行为和操作过程进行记录，为起诉入侵

者搜集有用的证据。110《计算机网络》第9章网络安全9.5.3蜜罐技术的基本概念蜜罐（honeypot）是一9.6网络业务持续性规划技术9.6.1网络文件备份与恢复的重要性网络文件备份恢复属于日常网络与信息系统维护的范畴，而业务持续性规划涉及对突发事件对网络与信息系统影响的预防技术。由于自然灾害与人为的破坏，造成网络基础设施的破坏，将导致信息系统业务流程的非计划性中断。网络业务持续性规划技术针对可能出现的突发事件，提前做好预防突发事件出现造成重大后果的预案，控制突发事件对网络信息系统关键业务流程所造成的影响。111《计算机网络》第9章网络安全9.6网络业务持续性规划技术9.6.1网络文件备份与9.6.2业务持续性规划技术研究业务持续性规划技术包括的基本内容：规划的方法学问题风险分析方法数据恢复规划112《计算机网络》第9章网络安全9.6.2业务持续性规划技术研究业务持续性规划技术包括的9.7恶意代码与网络防病毒技术9.7.1恶意代码的定义与演变过程恶意传播代码（MMC）也称作“恶意代码”或“恶意程序”。恶意代码是指：能够从一台计算机传播到另一台计算机，从一个网络传播到一个网络的程序，目的是在用户和网络管理员不知情的情况下对系统进行故意地修改。恶意代码具有如下三个共同的特征：恶意的目的、本身是程序、通过执行发生作用。113《计算机网络》第9章网络安全9.7恶意代码与网络防病毒技术9.7.1恶意代码的定恶意代码发展阶段划分：第一代：DOS病毒（1986年～1995年）第二代：宏病毒（1995年～2000年）第三代：网络蠕虫病毒（1999年～2004年）第四代：趋利性恶意代码（2005年～至今）114《计算机网络》第9章网络安全恶意代码发展阶段划分：549.7.2病毒的基本概念病毒（viruses）程序名称来源类似于生物学的病毒。病毒是指一段程序代码，通过对其他程序进行修改，感染这些程序，使之成为含有该病毒程序的一个拷贝。一般病毒具有两种基本的功能：

—

感染其他程序

—

破坏程序或系统的正常运行，或植入攻击115《计算机网络》第9章网络安全9.7.2病毒的基本概念病毒（viruses）程序名称来9.7.3蠕虫的基本概念蠕虫是一种依靠自复制能力进行传播的程序。蠕虫可以利用电子邮件、聊天室等应用程序进行传播。蠕虫可以将自己附在一封要发送出的邮件上，或者在两个互相信任的系统之间，通过一条简单的FTP命令来传播。蠕虫一般不寄生在其他文件或引导区中。116《计算机网络》第9章网络安全9.7.3蠕虫的基本概念569.7.4特洛伊木马的基本概念特洛伊木马程序简称为“木马程序”。木马程序是专为欺骗用户，让用户以为它是友好程序而设计的。木马程序不改变或感染其他的文件，它只是伪装成一种正常程序，随着其他的一些应用程序，装到用户计算机中，但是程序是个什么的用户并不知道。木马程序不具备自我复制与传播能力，而是以伪装的欺骗手段诱使用户去激活木马程序。木马程序可以远程操控远程计算机，下载、安装其他恶意代码，窃取用户信息，删除数据和破坏系统。很多木马程序就是后面程序。117《计算机网络》第9章网络安全9.7.4特洛伊木马的基本概念579.7.5垃圾邮件的基本概念垃圾邮件的定义：收件人事先没有提出要求或者不同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件。收件人无法拒收的电子邮件。隐藏发件人身份、地址、标题等信息的电子邮件。含有虚假的信息源、发件人、路由等信息的电子邮件。118《计算机网络》第9章网络安全9.7.5垃圾邮件的基本概念58垃圾邮件的危害：垃圾邮件的仓储、传输占有了大量的网络存储资源与传输带宽，影响了正常的电子邮件服务。垃圾邮件的清理需要耗费用户大量的时间、精力与费用，大大地降低了电子邮件使用效率与信任度。垃圾邮件经常包含了大量诈骗、色情，甚至是反动的内容，对社会形成了危害。垃圾邮件常包含了病毒、网络钓鱼链接或挂马网站链接，成为病毒传播的重要载体，威胁互联网的安全。垃圾邮件常常被攻击者利用，造成某些电子邮件服务器的瘫痪与资源耗尽，严重地影响系统的正常运行。垃圾邮件的泛滥严重地影响着ISP的服务质量与形象，甚至使它们的IP地址因大量转发垃圾邮