10计算机网络基础_网络安全的管理

电子工业出版社计算机网络基础计算机网络基础第十章网络安全的管理10.1任务描述小王有一台笔记本电脑，平时在家里通过路由器接入互联网，上学时在学校通过校园网接入互联网，其接入网络的方式如图10-1所示。由于小王平时需要用计算机完成网上聊天、网络购物、文件传输等功能，涉及用户账号、网上银行等关键信息，如果计算机感染了病毒或木马，将会带来不必要的损失。因此，通过适当的措施保障网络安全就显得尤为重要。计算机网络基础10.2设计与实施10.2.1设计依据网络安全的理论模型进行分析，有物理安全风险、链路安全风险、网络互联安全风险、系统安全风险、应用安全风险以及管理安全风险。针对不同的安全风险种类，相应的技术措施如表10-1所示。计算机网络基础10.2设计与实施10.2.1设计安全威胁种类采取措施物理安全：自然灾害、硬件损伤、电源故障、被偷盗设备冗余、线路冗余、数据备份、异地服务器双备份链路安全：传输线路上被窃取数据，尤其是无线网络加密技术网络互联安全：来自Internet、系统内用户、系统外用户的安全威胁防火墙、物理隔离、入侵检测、用户认证系统安全：操作系统和协议的漏洞、配置错误漏洞扫描、防火墙、入侵检测、病毒防护、系统更新应用安全：应用软件、数据库漏洞，资源共享漏洞，E-mail等引发的病毒传输防火墙、物理隔离、入侵检测、病毒扫描、用户认证、数据加密、内容过滤、数据备份管理安全：管理员权限错误、口令泄密、错误操作、资源乱用、内部泄密管理体系、管理制度、管理技术措施计算机网络基础10.2.2实施步骤1．所需仪器材料防火墙、防病毒软件。2．实施步骤根据以上分析，个人接入互联网的安全防护体系部署措施如下：通过安装防火墙系统防止外部攻击；安装防病毒软件实现病毒防治。计算机网络基础（1）安装防火墙以Windows7系统为例，由于Windows7在系统安全性方面做了很多的改进，包括内置防火墙功能，其配置简单，功能实用，如图10-2所示。计算机网络基础（2）安装防病毒软件对个人计算机而言，比较常见的有360杀毒软件、瑞星杀毒软件、江民杀毒软件等，如图10-4所示。计算机网络基础10.3相关知识10.3.1网络安全概述网络安全概念网络安全的内容网络安全意义网络安全威胁计算机网络基础1．网络安全概念计算机网络安全是指计算机及其网络资源不受自然和人为有害因素的威胁和危害，即计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而受到破坏、更改和泄露，确保系统能连续可靠而又正常地运行，使网络提供的服务不中断。网络安全包括5个基本要素：完整性、机密性、可用性、可控性与不可否认性。计算机网络基础2．网络安全的内容安全保密访问防范鉴别计算机网络基础3．网络安全的意义从普通用户的角度来说，涉及个人隐私和商业利益的信息在网络上传输时应当受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改和抵赖等手段对用户的利益和隐私造成损害和侵犯。计算机网络基础4．网络安全的威胁黑客攻击管理欠缺软件漏洞网络陷进计算机网络基础10.3.2网络安全技术1．数据加密技术数据加密技术是对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取，其思想核心是对在并不安全可靠的网络上交换的重要信息全部通过加密处理，以实现真正的信息安全。计算机网络基础（1）对称加密算法对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。对称加密算法的特点：算法公开；计算量小；加密速度快；加密效率高。1数据加密算法计算机网络基础（2）非对称加密算法非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。在使用非对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时只有使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。1数据加密算法计算机网络基础（3）不可逆加密算法不可逆加密算法的特征是：加密过程中不需要使用密钥，输入明文后，由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。显然，在这类加密过程中，加密的是自己，解密的还得是自己，而所谓解密，实际上就是重新加一次密，所使用的“密码”也就是输入的明文。1数据加密算法计算机网络基础2．入侵检测技术入侵检测技术帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。应用主机目标网络计算机网络基础3．报文摘要与通信学中差错控制技术类似，报文摘要通过添加一定的冗余位计算密码检验和，即添加固定长度的认证码，附加在消息后面发送，根据认证码检验报文是否被篡改。设M是可变长的报文，K是发送者和接收者共享的密钥，令，即为算出的报文摘要。由于报文摘要是原报文唯一的压缩表示，代表了原报文的特征，所以也叫做数字指纹。计算机网络基础4．访问控制技术访问控制是指主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。访问控制的目的是控制主体对客体资源的访问权限，包括以下3个要素。主体控制客体计算机网络基础（1）基于登录验证的访问控制技术登录验证中最常采用的是密码验证。密码是只有系统管理员和用户自己才知道的简单字符串。它是实现访问控制的一种最简单和有效的方法。没有一个正确的密码，入侵者就很难闯入计算机系统。所以，只要保证密码机密，非授权用户一般就无法使用该账户。但密码只是一个字符串，一旦被别人获取，就不能提供任何安全了。因此，尽可能选择较安全的密码是非常必要的。系统管理员和系统用户都有保护密码的职责。计算机网络基础（2）基于操作权限的访问控制技术基于操作权限的访问控制技术，即选择性访问控制，其思想在于明确规定了对文件和数据的操作权限。对于进入系统的授权用户，需要限制该用户在计算机系统中所能访问的内容和访问的权限。也就是说，规定用户可以做什么或不能做什么，比如能否运行某个特别的程序、能否阅读某个文件、能否修改存放在计算机上的信息或删除其他人创建的文件等。计算机网络基础（3）基于物理设备的访问控制技术访问控制也可从访问介质上加以考虑，即对通信介质、主机设备、联网设备进行控制，进一步确保安全。通信介质•有线介质和无线介质主机设备•物理设备安全与授权联网安全•连接网络和登陆计算机网络基础5．网络安全认证技术网络安全认证技术概述•身份认证•消息认证数字证书•CA中心•加密•解密数字签名•接收方能够鉴别发送方•发送方以后不能否认发送数据计算机网络基础6．数据备份与恢复数据失效物理损坏逻辑损坏数据备份热备份数据备份计算机网络基础10.3.3防火墙技术1．防火墙概述防火墙（Firewall）通常是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件），如图10-8所示。图10-8防火墙逻辑位置示意图计算机网络基础10.3.3防火墙技术2．防火墙功能防火墙能增强内部网络的安全性，加强网络间的访问控制，防止外部用户非法使用内部网络资源，保护内部网络不被破坏，防止内部网络的敏感数据被窃取。•记录•阻挡•包转发•包过滤限制流量透明转发入侵检测外部攻击计算机网络基础10.3.3防火墙技术3．防火墙分类结构软件防火墙硬件防火墙芯片防火墙协议网络层防火墙应用层防火墙计算机网络基础10.3.3防火墙技术4．防火墙的缺陷防火墙内部网络可以在很大程度上免受攻击。但是，所有的网络安全问题不是都可以通过简单地配置防火墙来达到的。虽然当单位将其网络互联时，防火墙是网络安全重要的一环，但并非安装防火墙的网络就没有任何危险，也有许多危险是在防火墙能力范围之外的。计算机网络基础10.3.3防火墙技术5．防火墙的体系结构（1）包过滤防火墙，包过滤或分组过滤，是一种通用、廉价、有效的安全手段，如图10-9所示。图10-9包过滤防火墙的工作原理计算机网络基础10.3.3防火墙技术5．防火墙的体系结构（2）双宿网关防火墙，双宿网关由两块网卡的主机构成。两块网卡分别与受保护网和外部网相连，如图10-10所示。图10-10双宿主机网关计算机网络基础10.3.3防火墙技术5．防火墙的体系结构（3）屏蔽主机防火墙屏蔽主机防火墙体系结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。计算机网络基础10.3.3防火墙技术5．防火墙的体系结构（4）屏蔽子网防火墙屏蔽子网防火墙体系结构为堡垒机放在一个子网内，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。大型企业防火墙建议采用屏蔽子网防火墙，以得到更安全的保障。计算机网络基础10.3.3防火墙技术6．防火墙技术（1）数据包过滤包过滤（PacketFilter）技术是最早出现的防火墙技术，虽然防火墙技术发展到现在提出了很多新的理念，但是包过滤仍然是防火墙为系统提供安全保障的主要技术，它可以阻挡攻击，禁止外部/内部访问某些站点以及限制单个IP地址的流量和连接数。计算机网络基础10.3.3防火墙技术包过滤技术发展到现在，已经从早期的静态包过滤技术演变到了现在的动态包过滤技术：①静态包过滤、②动态包过滤，如图10-14所示。图10-14包过滤路由的物理位置计算机网络基础10.3.3防火墙技术6．防火墙技术（2）应用层代理应用层代理（Proxy）技术针对每一个特定应用，在应用层实现网络数据流保护功能，应用层代理使得网络管理员能够实现比包过滤更严格的安全策略。应用层代理不用依靠包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种服务定制特殊代码（代理服务）的方式来管理Internet服务。计算机网络基础10.3.3防火墙技术6．防火墙技术（3）电路级网关另一种类型的代理技术称为电路级网关（CircuitGateway），也叫电路层网关，它工作在OSI参考模型的会话层，在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上打开一个通道进行传输。计算机网络基础10.3.3防火墙技术6．防火墙技术（4）地址翻译技术NAT（NetAddressTranslation，网络地址翻译）的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的口地址编号问题，内部主机地址隐匿在TCP/IP开始开发的时候，没有人会想象到它发展得如此之快。计算机网络基础10.3.3防火墙技术6．防火墙技术（5）状态监测技术。无论是包过滤，还是代理服务，都是根据管理员预定义好的规则提供服务或者限制某些访问。然而在提供网络访问能力和保证网络安全方面，显然存在矛盾，只要允许访问某些网络服务，就有可能造成某种系统漏洞；然而如果限制太严厉，合法的网络访问就受到不必要的限制。