搜索
2019/12/19计算机网络技术及应用1第十一章网络安全本章主要内容:网络安全的概念防火墙技术网络病毒及其防范数据加密与数字证书2019/12/19计算机网络技术及应用211.1网络安全概述11.1.1网络安全的概念狭义的网络安全:是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。广义的网络安全:从广义角度来讲,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件、数据、管理、环境等内容。我们通常所说的网络安全主要是指狭义的网络安全。2019/12/19计算机网络技术及应用3网络安全包括五个基本要素:机密性、完整性、可用性、可控制性与可审查性。机密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控制性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。11.1网络安全概述2019/12/19计算机网络技术及应用411.1.2网络安全面临的风险一般认为,目前网络安全面临的风险主要有以下五个方面。1)非授权访问:指没有预先经过同意非法使用网络或计算机资源,比如有意避开系统访问控制机制,对网络设备及资源进行非正常使用;擅自扩大权限、越权访问信息等。2)信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(比如,利用电磁泄漏或搭线窃听等方式截获机密信息);在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感信息等。3)破坏数据完整性:指以非法手段获得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。4)拒绝服务攻击:不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。5)利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且很难防范。11.1网络安全概述2019/12/19计算机网络技术及应用511.1.3安全策略安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则,它包括三个重要的组成部分。(1)威严的法律:安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者慑于法律,不敢轻举妄动。(2)先进的技术:先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。(3)严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。11.1网络安全概述2019/12/19计算机网络技术及应用611.1.4网络安全措施既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。在安全策略中技术措施是网络正常运行的保证。网络安全措施主要包括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、密码技术、IP加密技术和数字签名等技术。11.1网络安全概述2019/12/19计算机网络技术及应用711.2.1防火墙的概念防火墙(Firewall)是一种将内部网络和外部公共网络(Internet)分开的方法或设备。它检查到达防火墙两端的所有数据包(无论是输入还是输出),从而决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障,使公共网络与内部网络之间建立起一个安全网关(SecurityGateway)。防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。防火墙的概念模型如下页图示。11.2防火墙技术2019/12/19计算机网络技术及应用811.2防火墙技术内部端口外部端口防火墙概念模型示意图2019/12/19计算机网络技术及应用911.2.2防火墙的功能与分类1.防火墙的功能防火墙一般具有如下三种功能:(1)忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法用户。(2)限定内部网络用户访问特殊网络站点,接纳外网对本地公共信息的访问。(3)具有记录和审计功能,为监视互联网安全提供方便。2.防火墙分类防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。即包过滤防火墙,应用代理服务器,状态检测防火墙。11.2防火墙技术2019/12/19计算机网络技术及应用10包过滤防火墙数据包过滤技术是指在网络层对数据包进行分析、选择。选择的依据是系统内设置的过滤逻辑,称为访问控制。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安装和使用,网络性能和透明度好。其缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口也存在着潜在危险。11.2防火墙技术2019/12/19计算机网络技术及应用11应用代理服务器应用代理服务器是防火墙的第二代产品,应用代理服务器技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢,操作系统容易遭到攻击。11.2防火墙技术2019/12/19计算机网络技术及应用12状态检测防火墙状态检测防火墙又称动态包过滤防火墙,在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被中止。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,根据协议、端口号及源地址、目的地址的具体情况确定数据包是否可以通过,执行速度很快。11.2防火墙技术2019/12/19计算机网络技术及应用1311.2.3代理服务器的设置方法(1)打开IE浏览器,选择【工具】|【Internet选项】,出现【Internet选项】对话框,选择【连接】选项卡,如左下图所示。(2)单击【局域网设置】按钮,出现如右上图所示的对话框。11.2防火墙技术2019/12/19计算机网络技术及应用14(3)输入代理服务器的IP地址和端口数据,单击【高级】按钮,出现如下图所示的对话框。(4)对各种代理服务输入代理服务器的IP地址,并对不使用代理服务器的连接输入域名或IP地址,可以使用统配符“*”。依次单击【确定】按钮,完成代理服务器设置。11.2防火墙技术2019/12/19计算机网络技术及应用1511.3网络病毒及其防范当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通常是指各种木马病毒和借助邮件传播的病毒。11.3.1特洛伊木马(Trojan)病毒及其防范特洛伊木马是一种黑客程序,从它对被感染电脑的危害性方面考虑,我们不妨称之为病毒,但它与病毒有些区别。它一般并不破坏受害者硬盘数据,而是悄悄地潜伏在被感染的机器中,一旦这台机器连接到网络,就可能大祸临头。黑客通过Internet找到感染病毒的机器,在自己的电脑上远程操纵它,窃取用户的上网帐户和密码、随意修改或删除文件,它对网络用户的威胁极大。用户的计算机在不知不觉中已经被开了个后门,并且受到别人的暗中监视与控制。2019/12/19计算机网络技术及应用16对特洛伊木马的防范不要轻易泄露你的IP地址,下载来历不明的软件时要警惕其中是否隐藏了木马,使用下载软件前一定要用木马检测工具进行检查。对付特洛伊木马除了用手工清除方法外,也可用Lockdown2000等专门的反木马软件来清除,还可以用它们来检测自己机器上是否有已知或未知的木马程序,实时监视自己电脑端口是否有“异常活动”,禁止别人访问你的机器。一旦有人企图连接你的机器,他们就会发出报警声音,还能对正在扫描你机器的人进行跟踪,告诉你此人来自何处、正在做什么,提示用户用专门的反木马软件进行清除。11.3网络病毒及其防范2019/12/19计算机网络技术及应用1711.3.2邮件病毒及其防范邮件病毒和普通病毒是一样的,只不过由于它们主要通过电子邮件传播,所以才称为“邮件病毒”。它通常借助邮件“附件”夹带的方法进行扩散,一旦你收到这类E-mail,运行了附件中病毒程序就能使你的电脑染毒。这类病毒本身的代码并不复杂,大都是一些脚本,比如Iloveyou病毒,就是一个用VBScript编写的仅十几KB的脚本文件,只要收到该病毒的E-mail并打开附件后,病毒就会按照脚本指令,将浏览器自动连接上一个网址,下载木马程序,更改一些文件后缀为.vbs,最后再把病毒自动发给Outlook通讯薄中的每一个人。11.3网络病毒及其防范2019/12/19计算机网络技术及应用18对于邮件病毒可以采取以下防范措施:不要打开陌生人来信中的附件,最好是直接删除;不要轻易运行附件中的.EXE、.COM等可执行文件,运行以前要先查杀病毒;安装一套可以实时查杀E-mail病毒的防病毒软件;收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒的传播;对于通过脚本“工作”的病毒,可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。11.3网络病毒及其防范2019/12/19计算机网络技术及应用1911.4数据加密与数字证书11.4.1数据加密技术密码体制可以分为两大类:对称密钥和非对称密钥。1.对称密钥体制对称密钥(又称为私钥密码)体制使用相同的密钥加密和解密信息,亦即通信双方建立并共享一个密钥。对称密钥的工作原理为:用户A要传送机密信息给B,则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K,于是A用密钥K和加密算法E对明文P加密得到密文C,并将密文C发送给B;B收到后,用同样一把密钥K和解密算法D对密文解密,得到明文P,即还原,全部过程如下页图所示。2019/12/19计算机网络技术及应用20对称密钥的工作原理示意图11.4数据加密与数字证书2019/12/19计算机网络技术及应用212.非对称密钥体制非对称密钥体制也称为公钥密钥体制,是现代密码学最重要的发明和进展。非对称密钥体制不同于传统的对称密钥体制,它要求密钥成对出现,一个为公共密钥,另一个为专用密钥,且不可能从其中一个推导出另一个。公共密钥可以发布出去,专用密钥要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密,反之亦然。非对称密钥体制的原理为:用户A和用户B各自拥有一对密钥(KA、KA-1)和(KB、KB-1)。私钥KA-1、KB-1分别由A、B各自保管,而KA、KB则以证书的形式对外公布。当A要将明文消息P安全发送给B时,A用B的公钥KB加密P得到密文C;而B收到密文P后,用私钥KB-1解密恢复明文P。相比之下,公钥体制不仅可以实现保密通信,而且可以对消息进行数字签字。11.4数据加密与数字证书2019/12/19计算机网络技术及应用2211.4.2数字证书数字证书是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份,即要在Internet上解决“我是谁”的问题,就如同现实中我们每个人都拥有一张证明个人身份的身份证一样。数字证书是由权威公正的第三方机构电子身份认证中心C