第章网络安全2

计算机网络基础与局域网构建第8章网络安全1

知识点

●网络安全基本概念

●几种常见的盗窃数据或侵入网络的方法

●常见网络病毒及特点

●防火墙的作用、局限性、特性和功能

●防火墙类型

重点和难点

防火墙相关知识第8章网络安全28.1网络安全简介8.2几种常见的盗窃数据或侵入网络的方法8.3网络病毒及防杀8.4防火墙概述8.5网络安全标准本章内容3网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。

网络安全主要是指网络上的信息安全。网络安全包括物理安全、逻辑安全、操作系统安全、网络传输安全。

8.1.1网络安全的定义8.1网络安全简介41.物理安全物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。计算机如果被盗，尤其是硬盘被窃，信息丢失所造成的损失可能远远超过计算机硬件本身的价值，因此防盗是物理安全的重要一环。8.1.1网络安全的定义52.逻辑安全 计算机的逻辑安全需要用口令字、文件许可、加密、检查日志等方法来实现。防止黑客入侵主要依赖于计算机的逻辑安全。 可以通过以下措施来加强计算机的逻辑安全：◆限制登录的次数，对试探操作加上时间限制；◆重要的文档、程序和文件加密；◆限制存取非本用户自己的文件，除非得到明确的授权；◆跟踪可疑的、未授权的存取企图等等。8.1.1网络安全的定义63.操作系统安全

操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统需要提供给许多人使用，操作系统必须能区分用户，防止他们相互干扰。一些安全性高、功能较强的操作系统可以为计算机的每个用户分配账户。不同账户有不同的权限。操作系统不允许一个用户修改由另一个账户产生的数据。

8.1.1网络安全的定义74.网络传输安全网络传输安全可以通过以下的安全服务来达到：◆访问控制服务：用来保护计算机和联网资源不被非授权使用。◆通信安全服务：用来认证数据的保密性和完整性，以及各通信的可信赖性。如基于互联网的电子商务就依赖并广泛采用通信安全服务。8.1.1网络安全的定义8①网络建设单位、管理人员和技术人员缺乏安全防范意识。②组织和部门的有关人员对网络的安全现状不明确，不知道或不清楚网络存在的安全隐患。③组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构。④组织和部门的计算机网络没有建立完善的管理体系业务活动中存在安全疏漏。⑤

网络安全管理人员和技术有员缺乏必要的专业安全知识，不能安全地配置和管理网络，不能及时发现已经存在的和随时可能出现的安全问题，对突发的安全事件不能作出积极、有序和有效的反应。

8.1.2计算机网络存在的主要安全问题9安全昏体系桌结构纲由许强多静界态的紫安全粮控制间措施碎和动牛态的到安全禾分析塞过程其组成军：①安全撤需求士分析“知已妨知彼境，百冶战不溉殆”②安全慰风险隙管理③制定傻安全尊策略④定期毒安全革审核⑤计算打机网锹络安萌全同浊必要巩的外厌部支快持是渐分不府开的⑥计算球机网攻络安炒全管尺理8.赌1.振3计算撑机网崖络安喘全体润系的绢建立10最简吸易的追窃听院方式此是将舟计算都机连少入网体络，宣利用定专门毛的工借具软凡件对宴在网素络上怀传输赔的数悦据包铲进行索分析戏。进涌行窃死听的识最佳席位置钓是网脱络中霸的路价由器解，特分别是等位于险关卡纤处的飘路由肌器,它们借是数塑据包雁的集句散地宰，在喂该处俘安装砍一个帽窃听隙程序汪，可疾以轻展易获慕取很巩多秘跟密。8.利2.乱1网络钓窃听11这种典入侵帆方式组一般狐出现禁在使汁用支晕持信织任机阳制网鹅络中交。在惠这种爸机制乒下，叠通常摄，用捐户只剃需拥迈有合旅法帐葬号即抱可通酱过认喉证，声因此精入侵更者可条以利规用信蠢任关望系，腹冒充豆一方龙与另奇一方抢连网库，以尿窃取摔信息丈。假设驳某入箭侵者涛欲利百用主辫机A入侵责某公裳司的励的内乖部网浪络主烂机B，则其表步骤焦大致盆如下计：①确定钳要入冲侵的谊主机B。②确定熔主机B所信与任的洒主机A。③利用虑主机X在短世时间耽内发协送大牢量的奏数据芒包给A，使之崇穷于仔应付般。④利用馒主机X向B发送仿源地州址为A的数器据包逐。窃取膊技术昼的要较点如都图8-谨2-症3所示:8.滔2.撞2窃取12图8-钉2-姜3窃取涂技术导的要愁点示贫意图8.罢2.惜2窃取13会话该劫夺甩指入抓侵者逢首先蓄在网喜络上纺窥探臣现有狼的会柴话，计发现庙有攻西击价吨值的隔会话温后，的便将周参与遵会话絮的一奋方截肉断，萌并顶袭替被拌截断尚方继续续与京另一棉方进边行连期接，扫以窃桶取信届息。会话拌劫夺询不像舌窃取铸那样摇容易阿防范喝。对摸于由饰外部赢网络缴入侵地内部醋网络长的途脑径，简可用互防火镇墙切欺断，上但对宏于内祖、外肯部网映络之惰间的锡会话授，除词了采旦用数济据加夺密手绒段外阿，没稳有其目他方冬法可迁保绝堂对安先全。以图8-盗2-刘4为例介，当油主机A正与局主机B进行胳会话似时，X切入僻会话椒，并带假冒B的名渔义发刃送数妨据包塑给A，通知常其中捞断会笋话，点然后X顶替A继续细与B进行川会话贤。8.胆2.边3会话骄窃夺14图8-贡2-塔4会话悲劫夺物过程系示意愉图8.旦2.欠3会话火窃夺158.均2.坡4地址厅欺骗地址肚欺骗塞技术络的简锐单原废理就烘是伪欺造一梅个被彩主机证信任或的IP地址把，从瓜而获熊得主玩机的斑信任陵而造芹成攻玻击，捕如图8-阳2-恶5。168.扶2.存5拒绝队服务临攻击拒绝汪服务乱攻击窑（De划ny傅o灯f行Se抄rv施ic车e，即DO艇S），通常握是以绘消耗亦服务壮器端促资源供为目胀标，暗通过斧伪造栽超过怎服务蹈器处夸理能咏力的略请求卵数据去造成膏服务扎器响兔应阻茶塞，枪从而厕使正外常的企用户躺请求拆得不碰到应毅答，念实现云攻击鄙目的17计算榜机技时术中鲜的木补马，盆是一施种与草计算跑机病恩毒类买似的快指令愉集合骨，它谢寄生桂在普临通程略序中勺，并个在暗施中进廉行某刊些破康坏性掩操作爷或进蛾行盗田窃数青据。提示叫：木马惹与计撒算机妈病毒革的区跪别是煌，前端者不杀进行情自我吸复制怖，即鞭不感枪染其渐他程份序。暗门宫（tr沫ap俗do谎or）又称合后门然（ba巷ck馆do填or），指隐抚藏在昌程序辽中的锋秘密邮功能乘，通达常是获程序彩设计塑者为慈了能献在日蛾后随阿意进誉入系尊统而迁设置筝的。病毒简是一屡种寄痕生在醋普通钻程序院中、晒且能跃够将研自身蔑复制令到其滤他程杜序、销并通众过执框行某往些操孔作，嘱破坏同系统容或干弦扰系算统运览行的绪“坏饮”程罗序。8.凭2.役6木马吐、病淹毒、蹦暗门18安装楚防火啊墙、喜选择碍满足谁工业硬标准补的的衫安全潮结构羞、对右进出迅网络臂环境兔的存飞储媒历体实津施严陷格管肤制，策可起购到一跨定的叙安全就防护套作用杏，但佳仍然什不能舰保证何绝对箱安全骆。例如劫，系凑统内富的木巴马可忘以使面用如须下手蜂段数套将据法送达卧外界替：约木定木贩马忙狡碌代害表1，不猴忙碌缓代表0，当塞木马奶忙碌蕉时，粘因其铅占用微系统佩资源疑，计骡算机稿的响撤应速静度将狗便慢日，否女则，典响应算速度盛较高牌。外携界接蔽应者篮可每况隔一仰秒，锡对计蛇算机酒的响担应速善度测车试一涛次，够以得常知木看马是捉否忙浇碌，膨从而业可获雾得数嗓据。但是旅，通梯过隐安秘通孝道外慰运数站据的芒速度紫通常糟甚低问。8.兔2.控7隐秘幕通道198.秒3网络也病毒咳及防睛杀In亭te伶rn恋et敞/I钻nt互ra尘ne舱t的迅塌速发仔展和仔广泛膊应用火给病丸毒增买加了择新的固传播充途径碑，网塔络将统正逐叼渐成豆为病乳毒的著第一役传播倘途径谋。In稍te帅rn赞et唇/I却nt箩ra誓ne敏t带来答了两澡种不甩同的谦安全泰威胁持：一闻种威韵胁来砖自文置件下钳载，涉这些谁被浏左览的凤或是掏通过FT渐P下载鸽的文撇件中语可能筑存在肺病毒盗；另钢一种施威胁腰来自节电子词邮件兽。20在网横络环旱境中臂，计污算机馆病毒文具有溜如下惕特点强。◆传染遍方式哑多。◆传染私速度割快。◆清除绿难度名大。◆破坏翠性强瘦。◆激发存形式念多样名。◆潜在况性。8.拖3.轻1网络俱病毒乳的特俯点21◆电子丽邮件联病毒茶。有坐毒的舌通常些不是雁邮件滤本身杯，而搜是其倒附件烤。◆低Ja计va程序嘉病毒披。Ja就va是目桌前网脊页上忍最流江行的绑程序蜂设计倒语言社，由胆于它难可以露跨平顾台执晕行，译因此当不论磁是Wi威nd傲ow少s跃9X蛾/N袭T还是Un仔ix工作劣站，过甚至贼是CR永AY超级值电脑区，都调可被Ja宗va病毒就感染衫。◆酬Ac消ti阴ve针X病毒独。当馋使用涉者浏馒览含骂有病范毒的更网页勿时，研就可声能通抱过Ac但ti民ve敬X控件轧将病拼毒下登载至嫂本地法计算线机上愚。◆网页扬病毒淹。上档面介没绍过Ja摇va及Ac愚ti璃ve盘X病毒傅，它务们大头部分丑都保触存在馅网页失中，泳所以拳网页蔬当然岩也能由传染堪病毒滩。8.难3.知2常见泽的网悠络病阔毒221.对文盯件病锻毒的它敏感读性◆网络敲服务么器上策的文眨件病咽毒。◆识In痒te券rn傅et月/I丘nt款ra演ne约t上的贩文件读病毒割。2.对引钓导病状毒的闸敏感柴性3.对宏末病毒嚷的敏匀感性8.旷3.竞3网络只对病莫毒的斤敏感石性23◆加强惧网络休管理辫人员割的网晚络安猛全意垒识，牙对内宵部网纳与外单界进笨行的伍数据盟交换槐进行救有效赢的控两制和除管理部，同侄时坚饰决抵保制盗翅版软登件；◆以网性为本倘，多至层防庆御，夜有选角择地储加载怀保护有计算厚机网疫络安茄全的裕网络井防病血毒产境品。8.自3.芳4网络贫计算狠机病道毒的活防治24选购跨防毒昏软件冷，需伪要注浑意的不指标吴包括诊：扫薄描速捧度、咏正确造识别梨率、贤误报佳率、团技术眼支持司水平挽、升环级的议难易茫程度锹、可院管理尝性和吹警示何手段荐等。◆扫描拾速度饶。一飞般应融选择污每30秒钟闭能够赠扫描10晒00个文战件以灾上的悦防毒件软件欺。◆识别盗率。腿使用盆一定霞数量陡的病煌毒样血本进夜行测纳试，魄正规篇的测贯试数鉴量应酬该在10锋00刷0种以苗上。◆病毒系清除挨。可辆靠、啄有效这地清末除病拾毒，轮并保组证数验据的荒完整外性，僻是一位件非部常必膀要和芝复杂淡的工链作。8.螺3.考5防毒咱、杀惠毒软伪件的凳选择258.恨4防火衬墙“防增火墙私用来殖连接杆两个刻网络肃并控残制两本个网垦络之杯间相只互访事问的麻系统村，是残一种馒在内围部网菊和外令部网崭之间辞实施捞的安猜全防朝范措倘施。芽如图8-勺4-乘1所示晌是防姓火墙吹示意吴图。26应用票防火抄墙的骗主要渠目的想是要盘强制胜执行损一定英的安层全策刃略，库能够关过滤愁掉不搞安全罗服务明和非迈法用帜户、茄控制绞对特蝇殊站陷点的谜访问押，并蓝提供需监视辞系统逗安全院和预壁警的烧方便冠端点往。具辰体来斥说，精防火辱墙的幕作用诉主要接体现睬在以畅下几戏个方堵面：◆防火肢墙是锹网络犬安全危的屏您障◆防火捆墙可晋以强蛛化网燥络安速全策绸略◆防火味墙可渠以对稍网络闯的存纲取和喂访问抵进行唉监控党、审至计◆防火泥墙可辰以防奇止内尚部信越息的唇外泄◆防火仍墙可族以限病制网倍络暴党露8.酒4.叮1防火注墙的夫作用27尽管盟防火岁墙有态许多束防范孔功能布，但松由于欣互连缠网的颤开放通性，复它也洞有一订些力刊不能庸及的商地方摸，具盼体表喊现在政以下类几个恨方面秩：◆防火胳墙不勺能防叠范不秒经过惨防火堡墙的反攻击舒。◆防火污墙不葬能防监止感纵染了肚病毒喉的软篇件或姻文件个的传滴输。◆防火昨墙不拐能防典止数堤据驱旁动式毕攻击案。◆防火月墙不甘能防饲止来鸽自内糟部变锤节者柜和用雅户带甚来的贺威胁其。8.动4.睡2防火杠墙的职局限详性28防火胆墙技村术的唐发展绵，可辛将其伤分为丈四个货阶段瞎：◆第一赛代防铲火墙土，网浪络级继防火沃墙，病又称袋包过仆滤防睬火墙料。◆第二蓄代防缓火墙欢，也淘称代寒理防某火墙少。◆第三序代防鼠火墙吸，称程为状收态监净控功槽能防雹火墙昌。◆第四汤代防贴火墙斩，一旬个全体方位背的安竭全技定术集断成系能统。归纳连起来茫，一伏个好悼的防忧火墙其系统宏应具区有以靠下的枕一些富特性弟：◆所有形在内灾部网切络和斯外部锁网络宫之间擦传输忌的数陵据都赠必须包经过爪防火墙肯。◆只有基被授轿权的脉合法秤数据页。◆防火搞墙本耽身应越能抵宴御各昼种攻义击的数影响露。◆防火红墙应味使用膊目前熔较先答进的丹信息尺安全惠技术把。◆防火终墙应说具有躬良好士的人贩机界务面，楼方便续用户水配置令及管趋理8.矮4.佣3防火粱墙的剧的特莲性和慢功能298.疤4.塞4防火听墙的章分类1、网置络级定防火剩墙2、应胖用级挂防火忽墙3、电饲路级壤防火集墙4、状吹态监瓶测防励火墙5、新食一代厕防火蹲墙技打术：拣新型玩防火骂墙，加既有欲包过打滤的追功能翻，又桐能在蛙应用搂层进深行代婚理。30出于溪对更股高安秃全性戴的要身求，释通常抹的防裙火墙肉体系哭是多发种解托决不示同问碎题的外技术哥的有鸭机组蔑合。室目前斑常见地的配发置有蓄以下睡几种网：1.屏蔽益路由烈器（Sc龄re日en疗in歉g笛Ro匀ut仪er）屏蔽贸路由想器是匠防火滩墙最却基本叉的构趣件，失是最穷简单编也是短最常茎见的兽防火跪墙。屈屏蔽筝路由篮器作监为内袋外连腰接的四唯一冠通道料，要句求所达有的俘报文福都必箱须在辞此通勇过检影查。坟路由街器上埋可以房诚安装映基于IP层的趴报文院过滤程软件捐，实政现报哈文过至滤功甚能。估许多轿路由映器本烧身带遇有报插文过企滤配某置选眨项，枕但一勒般比您较简琴单。8.省4.这5防火伴墙的疮体系叛结构312.双宿供主主酬机网倦关（Du阔al狮H赴om乱ed因G迅at捷ew月ay）双宿旦主主朵机是纵一台果安装支有两亦块网灯卡的损计算章机，喷每块泼网卡逮有各避自的IP地址晓，并脚分别娇与受即保护脉网和姻外部黑网相疮连。坡如果贪外部势网络方上的余计算杯机想撇与内堤部网想络上邮的计吓算机裂进行默通信贼，它坚就必汗须与茫双宿溪主主派机上歪与外改部网好络相锤连的IP地址蚊联系搂，代纯理服尿务器芦软件胞再通被过另葡一块愁网卡就与内册部网哲络相缘瑞连接利。也柄就是跳说，毒外部叮网络滚与内悔部网盼络不升能直叔接通迈信，树它们帐之间材的通窗信必督须经垦过双拼宿主裕主机藏的过喂滤和太控制诞。如功下图8-筋4-篮3所示脸。8.颤4.忆5防火亚墙的谈体系困结构32图8-挠4-港3双宿倘主主奸机网雄关结泼构示预意图8.青4.愿5防火笼墙的信体系辟结构333.屏蔽冠主机生网关蔽（Sc群re险en钳ed调H兼os的t嫩Ga含te故wa碌y）屏蔽彩主机跑网关故由屏受蔽路史由器但和应蝴用网恒关组森成，世屏蔽同路由虾器的南作用捡是包穗过滤拥，应飞用网灿关的凡作用斗是代纺理服絮务。济这样房诚，在趣内部仿网络盲和外旨部网套络之糠间建精立了宅两道较安全缴屏障超，既稍实现纤了网功络层句安全使，有基实现嘴了应饭用层增安全今。来围自外切部网炕络的森所有果通信挤都会兼连接她到屏稻蔽路会由器路，它役根据牛所设珍置的磁规则幕过滤棕这些缩慧通信辉。如厌下图8-捕4-放4所示逗。8.判4.色5防火饰墙的志体系鸦结构34图8-慎4-临4屏蔽借主机冈网关艘结构挨示意溪图8.情4.筐5防火幅墙的范体系慕结构354.屏蔽画子网车（Sc浩re辽en华ed亲S评ub脏ne渡t）屏蔽泛子网坑体系胀结构笑是在斯屏蔽独主机客网关删的基盆础上茫再添从加一隙个屏浓蔽路贸由器忘，两疤个路己由器殖放在钩子网革的两石端，彻三者哈形成椅了一扣个被屈称为浅“非锁军事布区”它的子棋网，艰如下巴图8-匀4-忍5所示壳。8.培4.踏5防火剖墙的被体系肠结构36图8-悼4-航5屏蔽唐子网攀体系去结构线示意遣图8.完4.齿5防火送墙的生体系等结构3719队83年美轻国国叼防部皇计算悟机安追全保插密中枯心发酿表了《可信夕计算埋机系柱统评词估准洪则》（TC服SE督C，Tr厌us暗te贝d箭Co姿mp糊ut亦er撞S补ys思te婚m壤Ev程al秧ua拜ti术on偷C绢ri纠te猴ri当a），简称轰橙皮悬书.橙皮洗书中匙将计副算机秧系统简安全匀性划顷分为A、B、C、D四个雾等级讨，其庸中较近高等肃级的闹安全泄范围宅涵盖独较低偶等级较的安厌全范扎围，瞒而每歼个大幕等级艇又依婚安全铜性高克低分缩慧成数道个小城等级役，即齿：D—甚—最低怨保护距（Mi局ni皂ma或l倾Pr父ot奔ec灯ti赢on）C—秩—自定版式保院护（Di成sc棍re膀ti雁on扩ar祝y酷Pr鹿ot从ec丑ti范on）B—歪—强制房诚式保环护（Ma过nd锐at容or穴y态Pr阀ot默ec袄ti眼on）A—绕—可验撕证之限保护碗（Ve患ri已fi歪ed颗P衰ro绒te项ct溪io金n）8.俘5网络覆安全幸标准38从20亩01年1月1日起箭，我问国实医施强咐制性悄国家姨标准《计算乐机信暑息安丑全保渠护等右级划特分准荐则》。该奖准则秧将计中算机吹信息住系统财安全傍保护糖等级霞划分机为五生个级赴别，张从低境到高咬依次碎是：第一翁级闪用户馋自主鼠保护里级；第二苹级臣系统传审计梅保护钢级；第三涉级室安全轻标记袜保护总级；第四刺级描结构扮化保怒护级