2010-5-15
1
第 9章 Internet网络安全
本章学习目标,
本章主要让读者了解 Internet网络所存在的潜在威胁,以及如何防范这些威胁。通
过对本章的学习,读者应该掌握以下主要内容:
?掌握网络安全的基本概念和内容。
?了解什么是防火墙以及它的几种类型、体系结构和采用的主要技术。
?在 Internet网络上,如何对个人计算机中的内容进行保护。
2010-5-15
2
第 9章 Internet网络安全
9.1 计算机 网络安全基础知识
9.2 防火墙技术
9.3 Internet网络上个人计算机的保护
2010-5-15
3
9.1 计算机 网络安全基础知识
9.1.1 网络安全的含义
网络安全的一个通用定义:
网络安全是指网络系统的硬件、软件及其
系统中的数据受到保护,不受偶然的或者恶
意的原因而遭到破坏、更改、泄露,系统连
续可靠正常地运行,网络服务不中断。
网络安全又分为:
( l)运行系统安全,即保证信息处理和传输系
统的安全。
( 2)网络上系统信息的安全。
( 3)网络上信息传播的安全。 全。
( 4)网络上信息内容的安全。
2010-5-15
4
9.1.2 网络安全的特征
( 1) 保密性:信息不泄露给非授权的用户, 实
体或过程, 或供其利用的特性 。
( 2) 完整性:数据未经授权不能进行改变的特
性, 即信息在存储或传输过程中保持不被修
改, 不被破坏和丢失的特性 。
( 3) 可用性:可被授权实体访问并按需求使用
的特性, 即当需要时应能存取所需的信息 。
网络环境下拒绝服务, 破坏网络和有关系统
的正常运行等都属于对可用性的攻击 。
( 4)可控性:对信息的传播及内容具有控制能
力。
2010-5-15
5
9.1.3 网络安全的威胁
( 1) 非授权访问 ( unauthorized access),
一个非授权的人的入侵 。
( 2 ) 信 息 泄 露 ( disclosure of
information),造成将有价值的和高度机密
的信息暴露给无权访问该信息的人的所有问
题 。
( 3)拒绝服务( denial of service):使得
系统难以或不可能继续执行任务的所有问题。
2010-5-15
6
9.1.4 网络安全的关键技术
主机安全技术。
身份认证技术。
访问控制技术。
密码技术。
防火墙技术。
安全审计技术。
安全管理技术。
2010-5-15
7
9.1.5 网络安全的策略
1.网络用户的安全责任
2.系统管理员的安全责任
3.正确利用网络资源
4.检测到安全问题时的对策
2010-5-15
8
9.1.6 威胁网络安全的因素
计算机网络安全受到的威胁包括:
,黑客, 的攻击
计算机病毒
拒绝服务攻击( Denial of Service
Attack)
2010-5-15
9
1,安全威胁的类型
( 1) 非授权访问 。 这主要的是指对网络设备
以及信息资源进行非正常使用或超越权限使
用 。
( 2) 假冒合法用户, 主要指利用各种假冒或
欺骗的手段非法获得合法用户的使用权, 以
达到占用合法用户资源的目的 。
( 3) 数据完整性受破坏 。
干扰系统的正常运行, 改变系统正常运
行的方向, 以及延时系统的响应时间 。
( 4) 病毒 。
( 5)通信线路被窃听等。
2010-5-15
10
2,计算机系统的脆弱性
( 1) 计算机系统的脆弱性主要来自于操
作系统的不安全性, 在网络环境下, 还
来源于通信协议的不安全性 。
( 2) 存在超级用户, 如果入侵者得到了
超级用户口令, 整个系统将完全受控于
入侵者 。
( 3)计算机可能会因硬件或软件故障而
停止运转,或被入侵者利用并造成损失。
2010-5-15
11
3,协议安全的脆弱性
当前计算机网络系统都使用的 TCP/
IP协议以及 FTP,E-mail,NFS等都包含
着许多影响网络安全的因素, 存在许多
漏洞 。 众所周知的是 Robert Morries在
VAX机上用 C编写的一个 GUESS软件,
它根据对用户名的搜索猜测机器密码口
令的程序, 自在 1988年 11月开始在网络
上传播以后, 几乎每年都给 Internet造成
上亿美元的损失
2010-5-15
12
4,人为的因素
不管是什么样的网络系统都离不开人的
管理,但又大多数缺少安全管理员,特别是
高素质的网络管理员。此外,缺少网络安全
管理的技术规范,缺少定期的安全测试与检
查,更缺少安全监控。令人担忧的许多网络
系统已使用多年,但网络管理员与用户的注
册、口令等还是处于缺省状态。
2010-5-15
13
9.1.7 网络安全性措施
1,网络安全措施
要实施一个完整的网络安全系统, 至少应该
包括三类措施:
( 1) 社会的法律, 法规以及企业的规章制度和
安全教育等外部软件环境 。
( 2) 技术方面的措施, 如网络防毒, 信息加密,
存储通信, 授权, 认证以及防火墙技术 。
( 3)审计和管理措施,这方面措施同时也包含
了技术与社会措施。
2010-5-15
14
2,网络安全性方法
为网络安全系统提供适当安全的常用方法:
( 1) 修补系统漏洞
( 2) 病毒检查
( 3) 加密
( 4) 执行身份鉴别
( 5) 防火墙
( 6) 捕捉闯入者
( 7) 直接安全
( 8) 空闲机器守则
( 9) 废品处理守则
( 10) 口令守则
2010-5-15
15
9.2 防火墙技术
9.2.1什么是防火墙
防火墙起源于一种古老的安全防护措施。防火墙
技术就是一种保护计算机网络安全的技术性措施,是
在内部网络和外部网络之间实现控制策略的系统,主
要是为了用来保护内部的网络不易受到来自 Internet的
侵害。 图为防火墙示意图。
2010-5-15
16
防火墙的主要功能如下:
( 1) 过滤不安全服务和非法用户, 禁止末授
权的用户访问受保护网络 。
( 2) 控制对特殊站点的访问 。 防火墙可以允
许受保护网的一部分主机被外部网访问, 而
另一部分被保护起来, 防止不必要访问 。 如
受保护网中的 Mail,FTP,WWW 服务器等可允
许被外部网访问, 而其他访问则被主机禁止 。
有的防火墙同时充当对外服务器, 而禁止对
所有受保护网内主机的访问 。
( 3)提供监视 Internet安全和预警的方便端
点。防火墙可以记录下所有通过它的访问,
并提供网络使用情况的统计数据。
2010-5-15
17
防火墙并非万能,影响网络安全的因素很多,
对于以下情况防火墙无能为力:
( 1)不能防范绕过防火墙的攻击。
( 2)一般的防火墙不能防止受到病毒感染的软
件或文件的传输。
( 3)不能防止数据驱动式攻击。
( 4)难以避免来自内部的攻击。
2010-5-15
18
9.2.2 防火墙的三种类型
1.网络级防火墙
网络级防火墙也称包过滤防火墙,通常由
一个路由器或一台充当路由器的计算机组成。
2.应用级防火墙
应用级防火墙通常指运行代理( Proxy)
服务器软件的一台计算机主机。
3.电路级防火墙
电路级防火墙也称电路层网关,是一个具
有特殊功能的防火墙,它可以由应用层网关
来完成。电路层网关只依赖于 TCP连接,并不
进行任何附加的包处理或过滤。
2010-5-15
19
9.2.2 防火墙体系结构
1.双重宿主主机体系结构
双重宿主主机体系结构是指在内部网络和外部网络的接
口处使用至少两个网络设备,这些网络设备可以是路由器或
普通计算机,其中一个连接内部网络(称为内部分组过滤
器),另一个连接外部网络(称为外部分组过滤器),它们
之间由设备连接,如图所示。
2010-5-15
20
2,主机过滤体系结构
这种结构由硬件和软件共同完成,
硬件主要是指路由器,软件主要是指过
滤器,它们共同完成外界计算机访问内
部网络时从 IP地址或域名上的限制,也
可以指定或限制内部网络访问 Internet。
路由器仅对主机的特定的 PORT(端口)
上数据通讯加以路由,而过滤器则执行
筛选、过滤、验证及其安全监控,这样
可以在很大程度上隔断内部网络与外部
网络之间不正常的访问登录。
2010-5-15
21
3,子网过滤体系结构
子网过滤体系结构添加了额外的安全层到主机
过滤体系结构中,即通过添加参数网络,更进一步地
把内部网络与 Internet网络隔离开。
( 1)参数网络
( 2)堡垒主机
( 3)内部路由器
( 4)外部路由器
2010-5-15
22
9.2.3 包过滤技术
定义:包过滤( Packet Filter)是在网络层中对数据包实
施有选择的通过。
1,包过滤是如何工作的
( 1) 将包的目的地址作为判据;
( 2) 将包的源地址作为判据;
( 3) 将包的传送协议作为判据 。
包过滤系统只能进行类似以下情况的操作:
( 1) 不让任何用户从外部网用 Telnet登录;
( 2) 允许任何用户使用 SMTP往内部网发电子邮件;
( 3) 只允许某台机器通过 NNTP往内部网发新闻 。
包过滤不允许进行如下的操作:
( 1) 允许某个用户从外部网用 Telnet登录而不允许其它用户进行
这种操作 。
( 2) 允许用户传送一些文件而不允许用户传送其它文件 。
2010-5-15
23
2,包过滤的优缺点
( 1) 包过滤的优点
包过滤方式有许多优点, 而其主要优点之一是仅用
一个放置在重要位置上的包过滤路由器就可保护整个
网络 。 如果内部网络中的站点与 Internet网络之间只
有一台路由器, 那么不管内部网络规模有多大, 只要
在这台路由器上设置合适的包过滤, 内部网络中的站
点就可获得很好的网络安全保护 。
( 2) 包过滤的缺点
① 在机器中配置包过滤规则比较困难;
② 对系统中的包过滤规则的配置进行测试也较麻烦;
③ 许多产品的包过滤功能有这样或那样的局限性,
要找一个比较完整的包过滤产品比较困难。
2010-5-15
24
3,包过滤路由器的配置
在配置包过滤路由器时, 首先要确定哪些服务允许通
过而哪些服务应被拒绝, 并将这些规定翻译成有关的包
过滤规则 。 有关服务翻译成包过滤规则时非常重要的几
个概念 。
( 1) 协议的双向性 。 协议总是双向的, 协议包括一方发送
一个请求, 而另一方返回一个应答 。 在制定包过滤规则
时, 要注意包是从两个方向来到路由器的 。
( 2), 往内, 与, 往外, 的含义 。 在制定包过滤规则时,
必须准确理解, 往内, 与, 往外, 的包和, 往内, 与
,往外, 的服务这几个词的语义 。
( 3), 默认允许, 与, 默认拒绝, 。 网络的安全策略中的
有两种方法:默认拒绝 ( 没有明确地指明被允许就应被
拒绝 ) 与默认允许 ( 没有明确地指明被拒绝就应被允
许 ) 。 从安全角度来看, 用默认拒绝应该更合适 。
2010-5-15
25
4,包的基本构造
包的构造有点像洋葱一样,它是由各层
连接的协议组成的。每一层,包都由包头与
包体两部分组成。在包头中存放与这一层相
关的协议信息,在包体中,存放包在这一层
的数据信息。这些数据信息也包含了上层的
全部信息(即上一层包头和包体信息)。在
每一层上对包的处理是将从上层获取的全部
信息作为包体,然后根据本层的协议再加上
包头。这种对包的层次性操作(每一层均加
装一个包头)一般称为封装。
2010-5-15
26
5,包过滤处理内核
过滤路由器可以利用包过滤手段来
提高网络的安全性。
( 1)包过滤和网络策略
( 2)一个简单的包过滤模型
( 3)包过滤器操作
2010-5-15
27
9.3 Internet网络个人计算机的保护
9.3.1 Internet网络病毒的防范
1.杀病毒软件
( 1)金山毒霸的启动
( 2)查杀病毒
①按上述方法打开金山毒霸,显示出金山毒霸的主界面,如图所示。
②在金山毒霸主界面左侧的列表框中,选择需要进行查杀病毒的文
件夹,并将其选中(即打 √ )。
2010-5-15
28
③ 然后,在金山毒霸主界面的右边, 控制中心, 内,单
击, 开始查毒,,程序就开始开始查杀病毒了。
④这时,程序切换到, 查毒结果, 界面,如图所示。如
果发现病毒,程序将弹出, 发现病毒, 窗口询问对此
要进行的下一步操作。选择相应的操作后,即可继续
进行查毒。
⑤如果没有发现病毒,程序将会提示用户, 病毒检测完
毕, 单击, 确认, 键,返回, 控制中心, 界面
2010-5-15
29
( 3)病毒防火墙
金山毒霸提供了一个重要的功能,就是病
毒防火墙,这对于经常上网的用户十分有用。
启动该程序后,会驻留于内存中,自动运行
于后台,并会在任意应用程序对文件进行操
作、接收电子邮件、从网络下载文件、打开
光盘时进行病毒监控,彻底的防止病毒入侵。
如果检查到病毒,将根据对其属性的设置做
出相应的反应。
2010-5-15
30
2,在线杀毒
目前,很多网站都提供这种在线杀
毒,如网易( www.163.com,如图所示)
2010-5-15
31
9.3.2 构建个人防火墙
个人用户只能使用应用级防火墙 。 这种防火墙一
般都是使用包过滤和协议过滤等技术实现的, 能有效
地防止用户数据直接暴露在 Internet中, 并记录主机
和 Internet数据交换的情况, 从而保证了用户的安全 。
下面以, 天网防火墙, 为例来介绍如何构建个人防火
墙 。
2010-5-15
32
1,天网防火墙的设置
(1)单击主界面上的, 系统设置, 按钮,出
现系统设置对话框
(2)若选择, 开机后自动启动防火墙,,那
么每次开机后,防火墙会自动启动。
(3), 防火墙自定义规则, 中的, 重置, 按
钮主要用于把程序本身所提供的默认规则覆
盖掉当前的规则。如果用户把安全规则调乱
了,可以用这个功能恢复系统默认规则。
(4)单击, 浏览, 按钮,选择报警时的声音
文件,在用户设置的规则中有报警设置时,
将会以这个声音文件报警。单击, 重置, 按
钮,可以将报警声音文件恢复成系统默认文
件。
2010-5-15
33
2,安全规则设置
(1)启动天网防火墙
(2)单击主界面上的, 自定义 IP规则, 图形
按钮
(3)用户可以单击, 自定义 IP规则, 后面的
按钮来完成增加、修改、删除、保存/应用、
向上、向下等操作。按钮图标的具体说明如
图所示。
2010-5-15
34
天网防火墙可以为用户添加新的规则
( 1)从列表框中选择要修改的规则,然后,单击工具条上
的, 修改, 按钮,出现, 规则修改, 对话框。
( 2)首先输入规则的, 名称, 和, 说明,,以便于查找和
阅读。
( 3)通过, 数据包方向, 列表框,选择该规则来决定对进
入计算机的数据包还是输出计算机的数据包有效,用户
可以选择, 接收,,, 发送, 和, 接收或发送, 3种规
则。
( 4)通过, 对方的 IP地址, 框,用户可以确定选择数据包
从哪里来或是到哪里去,有四种设置。
任何地址 局域网网络地址
指定地址 指定的网络地址
2010-5-15
35
( 5)设置该规则所对应的协议,有 IP、
TCP,UDP,ICMP和 IGMP这 5个面板。
( 6)设置对数据包采取的行动。
通行:指让该数据包畅通无阻的进入
或输出 。
拦截:指让该数据包无法进入或输
出 。
继续下一规则:指不对该数据包作任
何处理, 由该规则的下一条规则来确定
对该包的处理 。
( 7)当设置完毕后,单击, 确定, 按钮,
返回到, 自定义 IP规则, 的界面。
2010-5-15
36
天网防火墙中的各种规则是按照从上
而下的顺序依次起作用的, 用户可以自
行调整规则的次序, 使重要的规则先起
作用 。
( 1) 由于规则判断是由上而下的, 用户
可以通过单击, 规则上下移动, 按钮调
整规则的顺序 ( 注意:只有相同协议的
规则才可以调整相互顺序 ) 。
( 2)当调整好顺序后,可按保存按钮
保存用户的修改。当规则增加或修改后,
为了让这些规则生效,还要单击, 保存 /
应用, 按钮。
2010-5-15
37
3,其它设置
( 1) 日志
在天网防火墙的主界界面单击, 日志, 按钮,如
图所示。用户可单击, 保存, 按钮来保存日志信息,
也可按, 清空, 按钮清空日志。
( 2)接通 /断开网络连接
按下, 接通 /断开网
络, 按钮,那么用户的计
算机就完全与网络断开
了,就好像拔下了网线
一样。没有任何人可以
访问用户的计算机,并
且用户也不可以访问网
络。
2010-5-15
38
( 3)应用程序网络状态
按下, 应用程序网络状态, 按钮,打开
应用程序网络状态的窗口,如图所示,以显
示当前用户的计算机上应用程序所使用的协
议及所占用端口的情况
2010-5-15
39
本章小结
本章首先讲解了计算机网络安全的一
些基础知识,包括网络安全含义、网络安
全特征、网络安全的关键技术以及采取保
护网络安全的措施等方面;第二,本章还
介绍了计算机网络安全的一种有效措施
―― 防火墙技术,注重介绍了防火墙的体
系结构以及防火墙在网络安全中所采用的
方法。最后,从实用的角度出发,介绍了
一个 Internet网络用户如何在上网的同时保
护好自己的主机,免受破坏。通过这一章
的学习,使读者学会使自己的计算机更加
安全的方法。
2010-5-15
40
习 题
1.什么是网络安全? 网络安全的含义是什么?
2.威胁网络安全的因素有哪些? 保护网络安
全的措施有哪些?
3.什么是防火墙? 防火墙几种类型是什么?
4.什么是包过滤技术? 其特点是什么?
5.防火墙的体系结构有哪几种方式?
6.利用天网防火墙构建一个防火墙 。
1
第 9章 Internet网络安全
本章学习目标,
本章主要让读者了解 Internet网络所存在的潜在威胁,以及如何防范这些威胁。通
过对本章的学习,读者应该掌握以下主要内容:
?掌握网络安全的基本概念和内容。
?了解什么是防火墙以及它的几种类型、体系结构和采用的主要技术。
?在 Internet网络上,如何对个人计算机中的内容进行保护。
2010-5-15
2
第 9章 Internet网络安全
9.1 计算机 网络安全基础知识
9.2 防火墙技术
9.3 Internet网络上个人计算机的保护
2010-5-15
3
9.1 计算机 网络安全基础知识
9.1.1 网络安全的含义
网络安全的一个通用定义:
网络安全是指网络系统的硬件、软件及其
系统中的数据受到保护,不受偶然的或者恶
意的原因而遭到破坏、更改、泄露,系统连
续可靠正常地运行,网络服务不中断。
网络安全又分为:
( l)运行系统安全,即保证信息处理和传输系
统的安全。
( 2)网络上系统信息的安全。
( 3)网络上信息传播的安全。 全。
( 4)网络上信息内容的安全。
2010-5-15
4
9.1.2 网络安全的特征
( 1) 保密性:信息不泄露给非授权的用户, 实
体或过程, 或供其利用的特性 。
( 2) 完整性:数据未经授权不能进行改变的特
性, 即信息在存储或传输过程中保持不被修
改, 不被破坏和丢失的特性 。
( 3) 可用性:可被授权实体访问并按需求使用
的特性, 即当需要时应能存取所需的信息 。
网络环境下拒绝服务, 破坏网络和有关系统
的正常运行等都属于对可用性的攻击 。
( 4)可控性:对信息的传播及内容具有控制能
力。
2010-5-15
5
9.1.3 网络安全的威胁
( 1) 非授权访问 ( unauthorized access),
一个非授权的人的入侵 。
( 2 ) 信 息 泄 露 ( disclosure of
information),造成将有价值的和高度机密
的信息暴露给无权访问该信息的人的所有问
题 。
( 3)拒绝服务( denial of service):使得
系统难以或不可能继续执行任务的所有问题。
2010-5-15
6
9.1.4 网络安全的关键技术
主机安全技术。
身份认证技术。
访问控制技术。
密码技术。
防火墙技术。
安全审计技术。
安全管理技术。
2010-5-15
7
9.1.5 网络安全的策略
1.网络用户的安全责任
2.系统管理员的安全责任
3.正确利用网络资源
4.检测到安全问题时的对策
2010-5-15
8
9.1.6 威胁网络安全的因素
计算机网络安全受到的威胁包括:
,黑客, 的攻击
计算机病毒
拒绝服务攻击( Denial of Service
Attack)
2010-5-15
9
1,安全威胁的类型
( 1) 非授权访问 。 这主要的是指对网络设备
以及信息资源进行非正常使用或超越权限使
用 。
( 2) 假冒合法用户, 主要指利用各种假冒或
欺骗的手段非法获得合法用户的使用权, 以
达到占用合法用户资源的目的 。
( 3) 数据完整性受破坏 。
干扰系统的正常运行, 改变系统正常运
行的方向, 以及延时系统的响应时间 。
( 4) 病毒 。
( 5)通信线路被窃听等。
2010-5-15
10
2,计算机系统的脆弱性
( 1) 计算机系统的脆弱性主要来自于操
作系统的不安全性, 在网络环境下, 还
来源于通信协议的不安全性 。
( 2) 存在超级用户, 如果入侵者得到了
超级用户口令, 整个系统将完全受控于
入侵者 。
( 3)计算机可能会因硬件或软件故障而
停止运转,或被入侵者利用并造成损失。
2010-5-15
11
3,协议安全的脆弱性
当前计算机网络系统都使用的 TCP/
IP协议以及 FTP,E-mail,NFS等都包含
着许多影响网络安全的因素, 存在许多
漏洞 。 众所周知的是 Robert Morries在
VAX机上用 C编写的一个 GUESS软件,
它根据对用户名的搜索猜测机器密码口
令的程序, 自在 1988年 11月开始在网络
上传播以后, 几乎每年都给 Internet造成
上亿美元的损失
2010-5-15
12
4,人为的因素
不管是什么样的网络系统都离不开人的
管理,但又大多数缺少安全管理员,特别是
高素质的网络管理员。此外,缺少网络安全
管理的技术规范,缺少定期的安全测试与检
查,更缺少安全监控。令人担忧的许多网络
系统已使用多年,但网络管理员与用户的注
册、口令等还是处于缺省状态。
2010-5-15
13
9.1.7 网络安全性措施
1,网络安全措施
要实施一个完整的网络安全系统, 至少应该
包括三类措施:
( 1) 社会的法律, 法规以及企业的规章制度和
安全教育等外部软件环境 。
( 2) 技术方面的措施, 如网络防毒, 信息加密,
存储通信, 授权, 认证以及防火墙技术 。
( 3)审计和管理措施,这方面措施同时也包含
了技术与社会措施。
2010-5-15
14
2,网络安全性方法
为网络安全系统提供适当安全的常用方法:
( 1) 修补系统漏洞
( 2) 病毒检查
( 3) 加密
( 4) 执行身份鉴别
( 5) 防火墙
( 6) 捕捉闯入者
( 7) 直接安全
( 8) 空闲机器守则
( 9) 废品处理守则
( 10) 口令守则
2010-5-15
15
9.2 防火墙技术
9.2.1什么是防火墙
防火墙起源于一种古老的安全防护措施。防火墙
技术就是一种保护计算机网络安全的技术性措施,是
在内部网络和外部网络之间实现控制策略的系统,主
要是为了用来保护内部的网络不易受到来自 Internet的
侵害。 图为防火墙示意图。
2010-5-15
16
防火墙的主要功能如下:
( 1) 过滤不安全服务和非法用户, 禁止末授
权的用户访问受保护网络 。
( 2) 控制对特殊站点的访问 。 防火墙可以允
许受保护网的一部分主机被外部网访问, 而
另一部分被保护起来, 防止不必要访问 。 如
受保护网中的 Mail,FTP,WWW 服务器等可允
许被外部网访问, 而其他访问则被主机禁止 。
有的防火墙同时充当对外服务器, 而禁止对
所有受保护网内主机的访问 。
( 3)提供监视 Internet安全和预警的方便端
点。防火墙可以记录下所有通过它的访问,
并提供网络使用情况的统计数据。
2010-5-15
17
防火墙并非万能,影响网络安全的因素很多,
对于以下情况防火墙无能为力:
( 1)不能防范绕过防火墙的攻击。
( 2)一般的防火墙不能防止受到病毒感染的软
件或文件的传输。
( 3)不能防止数据驱动式攻击。
( 4)难以避免来自内部的攻击。
2010-5-15
18
9.2.2 防火墙的三种类型
1.网络级防火墙
网络级防火墙也称包过滤防火墙,通常由
一个路由器或一台充当路由器的计算机组成。
2.应用级防火墙
应用级防火墙通常指运行代理( Proxy)
服务器软件的一台计算机主机。
3.电路级防火墙
电路级防火墙也称电路层网关,是一个具
有特殊功能的防火墙,它可以由应用层网关
来完成。电路层网关只依赖于 TCP连接,并不
进行任何附加的包处理或过滤。
2010-5-15
19
9.2.2 防火墙体系结构
1.双重宿主主机体系结构
双重宿主主机体系结构是指在内部网络和外部网络的接
口处使用至少两个网络设备,这些网络设备可以是路由器或
普通计算机,其中一个连接内部网络(称为内部分组过滤
器),另一个连接外部网络(称为外部分组过滤器),它们
之间由设备连接,如图所示。
2010-5-15
20
2,主机过滤体系结构
这种结构由硬件和软件共同完成,
硬件主要是指路由器,软件主要是指过
滤器,它们共同完成外界计算机访问内
部网络时从 IP地址或域名上的限制,也
可以指定或限制内部网络访问 Internet。
路由器仅对主机的特定的 PORT(端口)
上数据通讯加以路由,而过滤器则执行
筛选、过滤、验证及其安全监控,这样
可以在很大程度上隔断内部网络与外部
网络之间不正常的访问登录。
2010-5-15
21
3,子网过滤体系结构
子网过滤体系结构添加了额外的安全层到主机
过滤体系结构中,即通过添加参数网络,更进一步地
把内部网络与 Internet网络隔离开。
( 1)参数网络
( 2)堡垒主机
( 3)内部路由器
( 4)外部路由器
2010-5-15
22
9.2.3 包过滤技术
定义:包过滤( Packet Filter)是在网络层中对数据包实
施有选择的通过。
1,包过滤是如何工作的
( 1) 将包的目的地址作为判据;
( 2) 将包的源地址作为判据;
( 3) 将包的传送协议作为判据 。
包过滤系统只能进行类似以下情况的操作:
( 1) 不让任何用户从外部网用 Telnet登录;
( 2) 允许任何用户使用 SMTP往内部网发电子邮件;
( 3) 只允许某台机器通过 NNTP往内部网发新闻 。
包过滤不允许进行如下的操作:
( 1) 允许某个用户从外部网用 Telnet登录而不允许其它用户进行
这种操作 。
( 2) 允许用户传送一些文件而不允许用户传送其它文件 。
2010-5-15
23
2,包过滤的优缺点
( 1) 包过滤的优点
包过滤方式有许多优点, 而其主要优点之一是仅用
一个放置在重要位置上的包过滤路由器就可保护整个
网络 。 如果内部网络中的站点与 Internet网络之间只
有一台路由器, 那么不管内部网络规模有多大, 只要
在这台路由器上设置合适的包过滤, 内部网络中的站
点就可获得很好的网络安全保护 。
( 2) 包过滤的缺点
① 在机器中配置包过滤规则比较困难;
② 对系统中的包过滤规则的配置进行测试也较麻烦;
③ 许多产品的包过滤功能有这样或那样的局限性,
要找一个比较完整的包过滤产品比较困难。
2010-5-15
24
3,包过滤路由器的配置
在配置包过滤路由器时, 首先要确定哪些服务允许通
过而哪些服务应被拒绝, 并将这些规定翻译成有关的包
过滤规则 。 有关服务翻译成包过滤规则时非常重要的几
个概念 。
( 1) 协议的双向性 。 协议总是双向的, 协议包括一方发送
一个请求, 而另一方返回一个应答 。 在制定包过滤规则
时, 要注意包是从两个方向来到路由器的 。
( 2), 往内, 与, 往外, 的含义 。 在制定包过滤规则时,
必须准确理解, 往内, 与, 往外, 的包和, 往内, 与
,往外, 的服务这几个词的语义 。
( 3), 默认允许, 与, 默认拒绝, 。 网络的安全策略中的
有两种方法:默认拒绝 ( 没有明确地指明被允许就应被
拒绝 ) 与默认允许 ( 没有明确地指明被拒绝就应被允
许 ) 。 从安全角度来看, 用默认拒绝应该更合适 。
2010-5-15
25
4,包的基本构造
包的构造有点像洋葱一样,它是由各层
连接的协议组成的。每一层,包都由包头与
包体两部分组成。在包头中存放与这一层相
关的协议信息,在包体中,存放包在这一层
的数据信息。这些数据信息也包含了上层的
全部信息(即上一层包头和包体信息)。在
每一层上对包的处理是将从上层获取的全部
信息作为包体,然后根据本层的协议再加上
包头。这种对包的层次性操作(每一层均加
装一个包头)一般称为封装。
2010-5-15
26
5,包过滤处理内核
过滤路由器可以利用包过滤手段来
提高网络的安全性。
( 1)包过滤和网络策略
( 2)一个简单的包过滤模型
( 3)包过滤器操作
2010-5-15
27
9.3 Internet网络个人计算机的保护
9.3.1 Internet网络病毒的防范
1.杀病毒软件
( 1)金山毒霸的启动
( 2)查杀病毒
①按上述方法打开金山毒霸,显示出金山毒霸的主界面,如图所示。
②在金山毒霸主界面左侧的列表框中,选择需要进行查杀病毒的文
件夹,并将其选中(即打 √ )。
2010-5-15
28
③ 然后,在金山毒霸主界面的右边, 控制中心, 内,单
击, 开始查毒,,程序就开始开始查杀病毒了。
④这时,程序切换到, 查毒结果, 界面,如图所示。如
果发现病毒,程序将弹出, 发现病毒, 窗口询问对此
要进行的下一步操作。选择相应的操作后,即可继续
进行查毒。
⑤如果没有发现病毒,程序将会提示用户, 病毒检测完
毕, 单击, 确认, 键,返回, 控制中心, 界面
2010-5-15
29
( 3)病毒防火墙
金山毒霸提供了一个重要的功能,就是病
毒防火墙,这对于经常上网的用户十分有用。
启动该程序后,会驻留于内存中,自动运行
于后台,并会在任意应用程序对文件进行操
作、接收电子邮件、从网络下载文件、打开
光盘时进行病毒监控,彻底的防止病毒入侵。
如果检查到病毒,将根据对其属性的设置做
出相应的反应。
2010-5-15
30
2,在线杀毒
目前,很多网站都提供这种在线杀
毒,如网易( www.163.com,如图所示)
2010-5-15
31
9.3.2 构建个人防火墙
个人用户只能使用应用级防火墙 。 这种防火墙一
般都是使用包过滤和协议过滤等技术实现的, 能有效
地防止用户数据直接暴露在 Internet中, 并记录主机
和 Internet数据交换的情况, 从而保证了用户的安全 。
下面以, 天网防火墙, 为例来介绍如何构建个人防火
墙 。
2010-5-15
32
1,天网防火墙的设置
(1)单击主界面上的, 系统设置, 按钮,出
现系统设置对话框
(2)若选择, 开机后自动启动防火墙,,那
么每次开机后,防火墙会自动启动。
(3), 防火墙自定义规则, 中的, 重置, 按
钮主要用于把程序本身所提供的默认规则覆
盖掉当前的规则。如果用户把安全规则调乱
了,可以用这个功能恢复系统默认规则。
(4)单击, 浏览, 按钮,选择报警时的声音
文件,在用户设置的规则中有报警设置时,
将会以这个声音文件报警。单击, 重置, 按
钮,可以将报警声音文件恢复成系统默认文
件。
2010-5-15
33
2,安全规则设置
(1)启动天网防火墙
(2)单击主界面上的, 自定义 IP规则, 图形
按钮
(3)用户可以单击, 自定义 IP规则, 后面的
按钮来完成增加、修改、删除、保存/应用、
向上、向下等操作。按钮图标的具体说明如
图所示。
2010-5-15
34
天网防火墙可以为用户添加新的规则
( 1)从列表框中选择要修改的规则,然后,单击工具条上
的, 修改, 按钮,出现, 规则修改, 对话框。
( 2)首先输入规则的, 名称, 和, 说明,,以便于查找和
阅读。
( 3)通过, 数据包方向, 列表框,选择该规则来决定对进
入计算机的数据包还是输出计算机的数据包有效,用户
可以选择, 接收,,, 发送, 和, 接收或发送, 3种规
则。
( 4)通过, 对方的 IP地址, 框,用户可以确定选择数据包
从哪里来或是到哪里去,有四种设置。
任何地址 局域网网络地址
指定地址 指定的网络地址
2010-5-15
35
( 5)设置该规则所对应的协议,有 IP、
TCP,UDP,ICMP和 IGMP这 5个面板。
( 6)设置对数据包采取的行动。
通行:指让该数据包畅通无阻的进入
或输出 。
拦截:指让该数据包无法进入或输
出 。
继续下一规则:指不对该数据包作任
何处理, 由该规则的下一条规则来确定
对该包的处理 。
( 7)当设置完毕后,单击, 确定, 按钮,
返回到, 自定义 IP规则, 的界面。
2010-5-15
36
天网防火墙中的各种规则是按照从上
而下的顺序依次起作用的, 用户可以自
行调整规则的次序, 使重要的规则先起
作用 。
( 1) 由于规则判断是由上而下的, 用户
可以通过单击, 规则上下移动, 按钮调
整规则的顺序 ( 注意:只有相同协议的
规则才可以调整相互顺序 ) 。
( 2)当调整好顺序后,可按保存按钮
保存用户的修改。当规则增加或修改后,
为了让这些规则生效,还要单击, 保存 /
应用, 按钮。
2010-5-15
37
3,其它设置
( 1) 日志
在天网防火墙的主界界面单击, 日志, 按钮,如
图所示。用户可单击, 保存, 按钮来保存日志信息,
也可按, 清空, 按钮清空日志。
( 2)接通 /断开网络连接
按下, 接通 /断开网
络, 按钮,那么用户的计
算机就完全与网络断开
了,就好像拔下了网线
一样。没有任何人可以
访问用户的计算机,并
且用户也不可以访问网
络。
2010-5-15
38
( 3)应用程序网络状态
按下, 应用程序网络状态, 按钮,打开
应用程序网络状态的窗口,如图所示,以显
示当前用户的计算机上应用程序所使用的协
议及所占用端口的情况
2010-5-15
39
本章小结
本章首先讲解了计算机网络安全的一
些基础知识,包括网络安全含义、网络安
全特征、网络安全的关键技术以及采取保
护网络安全的措施等方面;第二,本章还
介绍了计算机网络安全的一种有效措施
―― 防火墙技术,注重介绍了防火墙的体
系结构以及防火墙在网络安全中所采用的
方法。最后,从实用的角度出发,介绍了
一个 Internet网络用户如何在上网的同时保
护好自己的主机,免受破坏。通过这一章
的学习,使读者学会使自己的计算机更加
安全的方法。
2010-5-15
40
习 题
1.什么是网络安全? 网络安全的含义是什么?
2.威胁网络安全的因素有哪些? 保护网络安
全的措施有哪些?
3.什么是防火墙? 防火墙几种类型是什么?
4.什么是包过滤技术? 其特点是什么?
5.防火墙的体系结构有哪几种方式?
6.利用天网防火墙构建一个防火墙 。
