第 10章 计算机网络安全
杜煜
2010年 5月 计算机网络基础 杜煜 2
本章主要内容
? 计算机网络安全的概念;
? 计算机网络对安全性的要求;
? 访问控制技术和设备安全;
? 防火墙技术;
? 网络安全攻击及解决方法;
? 计算机网络安全的基本解决方案。
2010年 5月 计算机网络基础 杜煜 3
计算机网络安全概述
? 背景介绍
? 对计算机网络安全性问题的研究总是围绕着信息
系统进行,其主要目标就是要保护计算资源,免
受毁坏、替换、盗窃和丢失,而计算资源包括了
计算机及网络设备、存储介质、软硬件、信息数
据等。
2010年 5月 计算机网络基础 杜煜 4
计算机网络安全的解决策略
? 访问控制
? 选择性访问控制
? 病毒和计算机破坏程序
? 加密
? 系统计划和管理
? 物理安全
? 通信安全
2010年 5月 计算机网络基础 杜煜 5
计算机网络安全包括的内容
? 保护系统和网络的资源免遭自然或人为的破坏;
? 明确网络系统的脆弱性和最容易受到影响或破坏
的地方;
? 对计算机系统和网络的各种威胁有充分的估计;
? 要开发并实施有效的安全策略,尽可能减少可能
面临的各种风险;
? 准备适当的应急计划,使网络系统在遭到破坏或
攻击后能够尽快恢复正常工作;
? 定期检查各种安全管理措施的实施情况与有效性。
2010年 5月 计算机网络基础 杜煜 6
计算机网络安全的要求 —— 安全性
? 内部安全
? 对用户进行识别和认证,防止非授权用户访问系统;
? 确保系统的可靠性,以避免软件的缺陷( Bug)成为系
统的入侵点;
? 对用户实施访问控制,拒绝其访问超出访问权限的资源;
? 加密传输和存储的数据,防止重要信息被非法用户理解
或修改;
? 对用户的行为进行实时监控和审计,检查其是否对系统
有攻击行为,并对入侵的用户进行跟踪。
? 外部安全
? 加强系统的物理安全,防止其他用户直接访问系统;
? 保证人事安全,加强安全教育,防止用户(特别是内部
用户)泄密。
2010年 5月 计算机网络基础 杜煜 7
计算机网络安全的要求 —— 完整性
? 解决问题:如何保护计算机系统内软件和数据不
被非法删改。
? 软件完整性
? 数据完整性
2010年 5月 计算机网络基础 杜煜 8
计算机网络安全的要求 —— 保密性
? 解决问题:如何防止用户非法获取关键的敏感
信息,避免机密信息的泄露。
? 加密是保护数据的一种重要方法,也是保护
存储在系统中的数据的一种有效手段,人们
通常采用加密来保证数据的保密性。
2010年 5月 计算机网络基础 杜煜 9
计算机网络安全的要求 —— 可用性
? 可用性是指无论何时,只要用户需要,系统和
网络资源必须是可用的,尤其是当计算机及网
络系统遭到非法攻击时,它必须仍然能够为用
户提供正常的系统功能或服务。
? 为了保证系统和网络的可用性,必须解决网络
和系统中存在的各种破坏可用性的问题。
2010年 5月 计算机网络基础 杜煜 10
计算机网络的保护策略
? 创建安全的网络环境
? 数据加密
? 调制解调器的安全
? 灾难和意外计划
? 系统计划和管理
? 使用防火墙技术
2010年 5月 计算机网络基础 杜煜 11
网络安全的脆弱点
? 网络安全脆弱点的几个方面
? 通信设备
? 网络传输介质
? 网络连接
? 网络操作系统
? 病毒攻击
? 物理安全
2010年 5月 计算机网络基础 杜煜 12
常用的安全工具
? 防火墙
? 防火墙是在内部网与外部网之间实施安全防范的系统,
用于确定哪些内部资源允许外部访问,以及允许哪些
内部网用户访问哪些外部资源及服务;
? 防火墙的基本类型有:
? 包过滤型
? 代理服务器型
? 堡垒主机
2010年 5月 计算机网络基础 杜煜 13
常用的安全工具
? 鉴别
? 报文鉴别
? 身份认证
? 数字签名
2010年 5月 计算机网络基础 杜煜 14
常用的安全工具
? 其他工具
? 访问控制
? 加 /解密技术
? 审计和入侵检测
? 安全扫描
2010年 5月 计算机网络基础 杜煜 15
访问控制技术
? 作用:对访问系统及其数据的人进行识别,并检验其身
份 —— 用户是谁?该用户的身份是否真实?
? 基于口令的访问控制技术
? 选用口令应遵循的原则
? 增强口令安全性措施
? 其他方法
? 选择性访问控制技术
2010年 5月 计算机网络基础 杜煜 16
设备安全
? 调制解调器安全
? 通信介质的安全
? 计算机与网络设备的物理安全
2010年 5月 计算机网络基础 杜煜 17
防火墙技术
? 使用防火墙可用于“安全隔离”,其实质就是限制什么数据可以“通
过”防火墙进入到另一个网络
? 防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络
进入到内部网络或者从内部到外部,其中包括的信息有电子邮件
消息、文件传输、登录到系统以及类似的操作等。
企 业 内 部 网
I n t r a n e t
I n t e r n e t
攻 击 者
防 火 墙
2010年 5月 计算机网络基础 杜煜 18
防火墙的优缺点
? 防火墙的优点
? 允许网络管理员在网络中定义一个控制点,将内部网络与外部网
络隔开;
? 审查和记录 Internet使用情况的最佳点;
? 设置网络地址翻译器( NAT)的最佳位置;
? 作为向客户或其他外部伙伴发送信息的中心联系点;
? 防火墙的局限性
? 不能防范不经过防火墙产生的攻击;
? 不能防范由于内部用户不注意所造成的威胁;
? 不能防止受到病毒感染的软件或文件在网络上传输;
? 很难防止数据驱动式攻击;
2010年 5月 计算机网络基础 杜煜 19
服 务 器 工 作 站
M o d e m
防 火 墙
In te rn e t
攻 击
服 务 器
服 务 器工 作 站 工 作 站
内 部 路 由 器
服 务 器
外 部 主 机
2010年 5月 计算机网络基础 杜煜 20
防火墙设计
? 防火墙的基本准则
?,拒绝一切未被允许的东西”
?,允许一切未被特别拒绝的东西”
? 机构的安全策略
? 必须以安全分析、风险评估和商业需要分析为基础;
? 防火墙的费用
? 取决于它的复杂程度以及要保护的系统规模;
2010年 5月 计算机网络基础 杜煜 21
防火墙的种类
? 包过滤路由器
? 可以决定对它所收到的每个数据包的取舍。
? 逐一审查每份数据包以及它是否与某个包过滤规则
相匹配。
? 过滤规则以 IP数据包中的信息为基础:
? IP源地址,IP目的地址、封装协议( TCP,UDP、
ICMP等),TCP/UDP源端口,TCP/UDP目的
端口,ICMP报文类型、包输入接口和包输出接
口等。
? 如果找到一个匹配,且规则允许该数据包通过,则
该数据包根据路由表中的信息向前转发。
? 如果找到一个匹配,且规则拒绝此数据包,则该数
据包将被舍弃
2010年 5月 计算机网络基础 杜煜 22
Internet
包 过 滤 路 由 器
(屏 蔽 路 由 器 )
分 析 入 出 的 数 据 包,根 据 过
滤 规 则 决 定 是 否 转 发 数 据 包
内 部 网
2010年 5月 计算机网络基础 杜煜 23
防火墙的种类
? 代理服务器
? 代理服务器上安装有特殊用途的特别应用程序,被称
为代理服务或代理服务器程序。
? 使用代理服务后,各种服务不再直接通过防火墙转发,
对应用数据的转发取决于代理服务器的配置:
? 只支持一个应用程序的特定功能,同时拒绝所有其
他功能;
? 支持所有的功能,比如同时支持 WWW,FTP、
Telnet,SMTP和 DNS等。
2010年 5月 计算机网络基础 杜煜 24
防 火 墙
代 理 服 务 程 序
代 理 服 务 器
Internet
外 部 主 机 外 部 主 机
代 理 客 户 机
(内 部 主 机 )
内 部 网
代 理 客 户 机
(内 部 主 机 )
2010年 5月 计算机网络基础 杜煜 25
防火墙的种类
? 包过滤路由器允许信息包在外部系统与内部系统之间的直
接流动。代理服务器允许信息在系统之间流动,但不允许
直接交换信息包。
? 堡垒主机是 Internet上的主机能够连接到的、唯一的内部
网络上的系统,它对外而言,屏蔽了内部网络的主机系统,
所以任何外部的系统试图访问内部的系统或服务时,都必
须连接到堡垒主机上。
? 堡垒主机的特点:
? 堡垒主机的硬件平台上运行的是一个比较“安全”的
操作系统,以防止操作系统受损,同时也确保了防火
墙的完整性。
? 只有必要的服务才安装在堡垒主机内,如 Telnet、
DNS,FTP,SMTP和用户认证等。
2010年 5月 计算机网络基础 杜煜 26
Internet
内 部 网
防 火 墙
包 过 滤
路 由 器
堡 垒 主 机
2010年 5月 计算机网络基础 杜煜 27
常见的网络攻击
? 特洛伊木马;
? 拒绝服务( DoS) ;
? 邮件炸弹;
? SYN淹没攻击;
? 过载攻击;
? 入侵;
? 信息窃取 ;
? 病毒;
2010年 5月 计算机网络基础 杜煜 28
网络安全的防卫模式
? 无安全防卫;
? 模糊安全防卫;
? 主机安全防卫;
? 网络安全防卫 ;
2010年 5月 计算机网络基础 杜煜 29
常用的安全措施原则
? 建立最小特权;
? 多种安全机制;
? 控制点原则;
? 解决系统的弱点;
? 失败时的安全策略;
? 全体人员的共同参与;
杜煜
2010年 5月 计算机网络基础 杜煜 2
本章主要内容
? 计算机网络安全的概念;
? 计算机网络对安全性的要求;
? 访问控制技术和设备安全;
? 防火墙技术;
? 网络安全攻击及解决方法;
? 计算机网络安全的基本解决方案。
2010年 5月 计算机网络基础 杜煜 3
计算机网络安全概述
? 背景介绍
? 对计算机网络安全性问题的研究总是围绕着信息
系统进行,其主要目标就是要保护计算资源,免
受毁坏、替换、盗窃和丢失,而计算资源包括了
计算机及网络设备、存储介质、软硬件、信息数
据等。
2010年 5月 计算机网络基础 杜煜 4
计算机网络安全的解决策略
? 访问控制
? 选择性访问控制
? 病毒和计算机破坏程序
? 加密
? 系统计划和管理
? 物理安全
? 通信安全
2010年 5月 计算机网络基础 杜煜 5
计算机网络安全包括的内容
? 保护系统和网络的资源免遭自然或人为的破坏;
? 明确网络系统的脆弱性和最容易受到影响或破坏
的地方;
? 对计算机系统和网络的各种威胁有充分的估计;
? 要开发并实施有效的安全策略,尽可能减少可能
面临的各种风险;
? 准备适当的应急计划,使网络系统在遭到破坏或
攻击后能够尽快恢复正常工作;
? 定期检查各种安全管理措施的实施情况与有效性。
2010年 5月 计算机网络基础 杜煜 6
计算机网络安全的要求 —— 安全性
? 内部安全
? 对用户进行识别和认证,防止非授权用户访问系统;
? 确保系统的可靠性,以避免软件的缺陷( Bug)成为系
统的入侵点;
? 对用户实施访问控制,拒绝其访问超出访问权限的资源;
? 加密传输和存储的数据,防止重要信息被非法用户理解
或修改;
? 对用户的行为进行实时监控和审计,检查其是否对系统
有攻击行为,并对入侵的用户进行跟踪。
? 外部安全
? 加强系统的物理安全,防止其他用户直接访问系统;
? 保证人事安全,加强安全教育,防止用户(特别是内部
用户)泄密。
2010年 5月 计算机网络基础 杜煜 7
计算机网络安全的要求 —— 完整性
? 解决问题:如何保护计算机系统内软件和数据不
被非法删改。
? 软件完整性
? 数据完整性
2010年 5月 计算机网络基础 杜煜 8
计算机网络安全的要求 —— 保密性
? 解决问题:如何防止用户非法获取关键的敏感
信息,避免机密信息的泄露。
? 加密是保护数据的一种重要方法,也是保护
存储在系统中的数据的一种有效手段,人们
通常采用加密来保证数据的保密性。
2010年 5月 计算机网络基础 杜煜 9
计算机网络安全的要求 —— 可用性
? 可用性是指无论何时,只要用户需要,系统和
网络资源必须是可用的,尤其是当计算机及网
络系统遭到非法攻击时,它必须仍然能够为用
户提供正常的系统功能或服务。
? 为了保证系统和网络的可用性,必须解决网络
和系统中存在的各种破坏可用性的问题。
2010年 5月 计算机网络基础 杜煜 10
计算机网络的保护策略
? 创建安全的网络环境
? 数据加密
? 调制解调器的安全
? 灾难和意外计划
? 系统计划和管理
? 使用防火墙技术
2010年 5月 计算机网络基础 杜煜 11
网络安全的脆弱点
? 网络安全脆弱点的几个方面
? 通信设备
? 网络传输介质
? 网络连接
? 网络操作系统
? 病毒攻击
? 物理安全
2010年 5月 计算机网络基础 杜煜 12
常用的安全工具
? 防火墙
? 防火墙是在内部网与外部网之间实施安全防范的系统,
用于确定哪些内部资源允许外部访问,以及允许哪些
内部网用户访问哪些外部资源及服务;
? 防火墙的基本类型有:
? 包过滤型
? 代理服务器型
? 堡垒主机
2010年 5月 计算机网络基础 杜煜 13
常用的安全工具
? 鉴别
? 报文鉴别
? 身份认证
? 数字签名
2010年 5月 计算机网络基础 杜煜 14
常用的安全工具
? 其他工具
? 访问控制
? 加 /解密技术
? 审计和入侵检测
? 安全扫描
2010年 5月 计算机网络基础 杜煜 15
访问控制技术
? 作用:对访问系统及其数据的人进行识别,并检验其身
份 —— 用户是谁?该用户的身份是否真实?
? 基于口令的访问控制技术
? 选用口令应遵循的原则
? 增强口令安全性措施
? 其他方法
? 选择性访问控制技术
2010年 5月 计算机网络基础 杜煜 16
设备安全
? 调制解调器安全
? 通信介质的安全
? 计算机与网络设备的物理安全
2010年 5月 计算机网络基础 杜煜 17
防火墙技术
? 使用防火墙可用于“安全隔离”,其实质就是限制什么数据可以“通
过”防火墙进入到另一个网络
? 防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络
进入到内部网络或者从内部到外部,其中包括的信息有电子邮件
消息、文件传输、登录到系统以及类似的操作等。
企 业 内 部 网
I n t r a n e t
I n t e r n e t
攻 击 者
防 火 墙
2010年 5月 计算机网络基础 杜煜 18
防火墙的优缺点
? 防火墙的优点
? 允许网络管理员在网络中定义一个控制点,将内部网络与外部网
络隔开;
? 审查和记录 Internet使用情况的最佳点;
? 设置网络地址翻译器( NAT)的最佳位置;
? 作为向客户或其他外部伙伴发送信息的中心联系点;
? 防火墙的局限性
? 不能防范不经过防火墙产生的攻击;
? 不能防范由于内部用户不注意所造成的威胁;
? 不能防止受到病毒感染的软件或文件在网络上传输;
? 很难防止数据驱动式攻击;
2010年 5月 计算机网络基础 杜煜 19
服 务 器 工 作 站
M o d e m
防 火 墙
In te rn e t
攻 击
服 务 器
服 务 器工 作 站 工 作 站
内 部 路 由 器
服 务 器
外 部 主 机
2010年 5月 计算机网络基础 杜煜 20
防火墙设计
? 防火墙的基本准则
?,拒绝一切未被允许的东西”
?,允许一切未被特别拒绝的东西”
? 机构的安全策略
? 必须以安全分析、风险评估和商业需要分析为基础;
? 防火墙的费用
? 取决于它的复杂程度以及要保护的系统规模;
2010年 5月 计算机网络基础 杜煜 21
防火墙的种类
? 包过滤路由器
? 可以决定对它所收到的每个数据包的取舍。
? 逐一审查每份数据包以及它是否与某个包过滤规则
相匹配。
? 过滤规则以 IP数据包中的信息为基础:
? IP源地址,IP目的地址、封装协议( TCP,UDP、
ICMP等),TCP/UDP源端口,TCP/UDP目的
端口,ICMP报文类型、包输入接口和包输出接
口等。
? 如果找到一个匹配,且规则允许该数据包通过,则
该数据包根据路由表中的信息向前转发。
? 如果找到一个匹配,且规则拒绝此数据包,则该数
据包将被舍弃
2010年 5月 计算机网络基础 杜煜 22
Internet
包 过 滤 路 由 器
(屏 蔽 路 由 器 )
分 析 入 出 的 数 据 包,根 据 过
滤 规 则 决 定 是 否 转 发 数 据 包
内 部 网
2010年 5月 计算机网络基础 杜煜 23
防火墙的种类
? 代理服务器
? 代理服务器上安装有特殊用途的特别应用程序,被称
为代理服务或代理服务器程序。
? 使用代理服务后,各种服务不再直接通过防火墙转发,
对应用数据的转发取决于代理服务器的配置:
? 只支持一个应用程序的特定功能,同时拒绝所有其
他功能;
? 支持所有的功能,比如同时支持 WWW,FTP、
Telnet,SMTP和 DNS等。
2010年 5月 计算机网络基础 杜煜 24
防 火 墙
代 理 服 务 程 序
代 理 服 务 器
Internet
外 部 主 机 外 部 主 机
代 理 客 户 机
(内 部 主 机 )
内 部 网
代 理 客 户 机
(内 部 主 机 )
2010年 5月 计算机网络基础 杜煜 25
防火墙的种类
? 包过滤路由器允许信息包在外部系统与内部系统之间的直
接流动。代理服务器允许信息在系统之间流动,但不允许
直接交换信息包。
? 堡垒主机是 Internet上的主机能够连接到的、唯一的内部
网络上的系统,它对外而言,屏蔽了内部网络的主机系统,
所以任何外部的系统试图访问内部的系统或服务时,都必
须连接到堡垒主机上。
? 堡垒主机的特点:
? 堡垒主机的硬件平台上运行的是一个比较“安全”的
操作系统,以防止操作系统受损,同时也确保了防火
墙的完整性。
? 只有必要的服务才安装在堡垒主机内,如 Telnet、
DNS,FTP,SMTP和用户认证等。
2010年 5月 计算机网络基础 杜煜 26
Internet
内 部 网
防 火 墙
包 过 滤
路 由 器
堡 垒 主 机
2010年 5月 计算机网络基础 杜煜 27
常见的网络攻击
? 特洛伊木马;
? 拒绝服务( DoS) ;
? 邮件炸弹;
? SYN淹没攻击;
? 过载攻击;
? 入侵;
? 信息窃取 ;
? 病毒;
2010年 5月 计算机网络基础 杜煜 28
网络安全的防卫模式
? 无安全防卫;
? 模糊安全防卫;
? 主机安全防卫;
? 网络安全防卫 ;
2010年 5月 计算机网络基础 杜煜 29
常用的安全措施原则
? 建立最小特权;
? 多种安全机制;
? 控制点原则;
? 解决系统的弱点;
? 失败时的安全策略;
? 全体人员的共同参与;
