第10章计算机网络安全

计算机网络第10章计算机网络安全本章主要内容

影响网络安全的因素可以采取的安全措施信息安全体系结构计算系统安全标准常用的安全技术防火墙技术影响网络安全的因素内部因素：有一定级别权限的用户有可能威胁网络安全

外部威胁：外部的非法访问和攻击会威胁网络安全

硬件安全：硬件本身可能会损坏，电压、电流的突变，事故和灾害的发生，日常的消耗和磨损影响网络安全的因素软件故障

：软件故障或病毒发作而引起的程序出错，软件本身的缺陷，软件被删除、更改信息安全

：数据文件被删除或丢失，数据被篡改、盗用，或者在传输过程中被窃取病毒的攻击：病毒是一种影响广泛的威胁，能通过网络广泛传播，最终影响整个网络的正常运行可以采取的安全措施

提高安全意识采用身份认证和控制访问使用防火墙采用信息加密技术做好故障恢复和网络数据备份工作做好硬件设备的防泄漏处理信息安全体系结构1989年2月15日，颁布基于OSI参考模型的七层协议之上的信息安全体系结构标准ISO7498-2。内容主要包括：五类安全服务：保密性、完整性、鉴别、访问控制、抗否认。八类安全机制：加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证）。1991年，颁布了OSI安全管理标准ITUX.800。计算系统安全标准“桔皮书”（美国国防部委托计算机系统评价规范说明书）用途是提供专门的硬件、固件和软件的安全规范和有关的技术评价方法，来支持综合自动数据处理系统的安全模型策略。

“桔皮书”把安全标准分为：A、B、C、D四级“红皮书”是美国家计算机安全中心发表的“可信计算机系统评价规范的可信网络描述”。“红皮书”是解释“桔皮书”的一个手册，将C2规范的各个方面都从网络角度加以描述，惟一重要的不同的是规定了网络发起人的作用。常用的安全技术VPN虚拟专用网防火墙防病毒入侵检测包过滤10.4防火墙技术防火墙：防火墙是在内部网与外部网之间实施安全防范的系统，用于确定哪些内部资源允许外部访问，以及允许哪些内部网用户访问哪些外部资源及服务。防火墙的优缺点防火墙的优点允许网络管理员在网络中定义一个控制点，将内部网络与外部网络隔开；审查和记录Internet使用情况的最佳点；设置网络地址翻译器（NAT）的最佳位置；作为向客户或其他外部伙伴发送信息的中心联系点；防火墙的局限性不能防范不经过防火墙的攻击；不能防范由于内部的威胁；不能防止病毒攻击；很难防止数据驱动式攻击；防火墙策略网络服务访问策略一种高层次、具体到事件的策略，用于定义网络中允许的或禁止的网络服务，且包括对拨号访问等连接的限制防火墙设计策略针对具体的规则来实施的网络服务访问策略。防火墙一般执行下面两种基本设计策略中的一种

未禁止的都是允许的服务未允许的都是禁止的服务防火墙的种类和应用包过滤防火墙

能够根据单个包的TCP、UDP、ICMP、IP报头来决定允许或拒绝通信它审查每一个数据包以确定其是否与某一条包过滤规则匹配可以综合考虑通信流量的方向、IP源地址和目的地址、以及TCP或UDP的源端口号和目的端口号代理服务器上安装有特殊用途的特别应用程序，被称为代理服务或代理服务器程序。使用代理服务后，各种服务不再直接通过防火墙转发，对应用数据的转发取决于代理服务器的配置：只支持一个应用程序的特定功能，同时拒绝所有其他功能；支持所有的功能，比如同时支持WWW、FTP、Telnet、SMTP和DNS等。

代理服务器防火墙

屏蔽主机防火墙将所有的外部主机与一台堡垒主机相连接，再设置一个过滤路由器作为桥梁提供的安全等级比包过滤防火墙系统要高实现了网络层安全（包过滤）和应用层安全（代理服务）屏蔽子网防火墙屏蔽子网本质上与屏蔽主机一样，但增加了周边网络一层保护周边网络用了两个包过滤路由器和一台堡垒主机