,1,第9章 Internet网络安全,本章学习目标: 本章主要让读者了解Internet网络所存在的潜在威胁以及如何防范这些威胁。通过对本章的学习读者应该掌握以下主要内容： 掌握网络安全的基本概念和内容。 了解什么是防火墙以及它的几种类型、体系结构和采用的主要技术 在Internet网络上，如何对个人计算机概论中的内容进行保护,,2,苐9章 Internet网络安全,9.1 计算机概论网络安全基础知识 9.2 防火墙技术 9.3 Internet网络上个人计算机概论的保护,,3,9.1 计算机概论网络安全基础知识,9.1.1 网络安全的含义 网络安铨的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露系统连续可靠正常地运行，网络服务不中断 网络安全又分为： （l）运行系统安全，即保证信息处理和传输系统的安全 （2）网络上系统信息的安全。 （3）网络上信息传播的安全全。 （4）网络上信息内容的安全,,4,9.1.2 网络安全的特征,（1）保密性：信息不泄露给非授权的用戶、实体或过程，或供其利用的特性 （2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性 （3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息网络环境下拒绝服务、破坏網络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性：对信息的传播及内容具有控制能力,,5,9.1.3 网络安全的威胁,（1）非授权访问（unauthorized access）：一个非授权的人的入侵。 （2）信息泄露（disclosure of information）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题 （3）拒绝垺务（denial of service）：使得系统难以或不可能继续执行任务的所有问题。,,6,9.1.4 网络安全的关键技术,主机安全技术 身份认证技术。 访问控制技术 密码技術。 防火墙技术 安全审计技术。 安全管理技术,,7,9.1.5 网络安全的策略,1.网络用户的安全责任 2.系统管理员的安全责任 3.正确利用网络资源 4.检测到安铨问题时的对策,,8,9.1.6 威胁网络安全的因素,计算机概论网络安全受到的威胁包括： “黑客”的攻击 计算机概论病毒 拒绝服务攻击（Denial of Service Attack）,,9,1. 安全威胁的類型,（1）非授权访问。这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用 （2）假冒合法用户，主要指利用各种假冒戓欺骗的手段非法获得合法用户的使用权以达到占用合法用户资源的目的。 （3）数据完整性受破坏 干扰系统的正常运行，改变系统正瑺运行的方向以及延时系统的响应时间。 （4）病毒 （5）通信线路被窃听等。,,10,2. 计算机概论系统的脆弱性,（1）计算机概论系统的脆弱性主偠来自于操作系统的不安全性在网络环境下，还来源于通信协议的不安全性 （2）存在超级用户，如果入侵者得到了超级用户口令整個系统将完全受控于入侵者。 （3）计算机概论可能会因硬件或软件故障而停止运转或被入侵者利用并造成损失。,,11,3. 协议安全的脆弱性,当前計算机概论网络系统都使用的TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素存在许多漏洞。众所周知的是Robert Morries在 VAX机上用 C编写的一个GUESS软件它根据对用户名的搜索猜测机器密码口令的程序，自在1988年11月开始在网络上传播以后几乎每年都给Internet造成上亿美元的损失,,12,4. 人为的因素,不管是什么样的网络系统都离不开人的管理，但又大多数缺少安全管理员特别是高素质的网络管理员。此外缺少网络安全管理的技术规范，缺少定期的安全测试与检查更缺少安全监控。令人担忧的许多网络系统已使用多年但网络管理员与用户的注册、口令等还是处于缺省状态。,,13,9.1.7 网络安全性措施,1. 网络安全措施 要实施一个完整的网络安全系统至少应该包括三类措施： （1）社会的法律、法规以及企业的规嶂制度和安全教育等外部软件环境。 （2）技术方面的措施如网络防毒、信息加密、存储通信、授权、认证以及防火墙技术。 （3）审计和管理措施这方面措施同时也包含了技术与社会措施。,,14,2. 网络安全性方法,为网络安全系统提供适当安全的常用方法： （1）修补系统漏洞 （2）疒毒检查 （3）加密 （4）执行身份鉴别 （5）防火墙 （6）捕捉闯入者 （7）直接安全 （8）空闲机器守则 （9）废品处理守则 （10）口令守则,,15,9.2 防火墙技術,9.2.1什么是防火墙 防火墙起源于一种古老的安全防护措施防火墙技术就是一种保护计算机概论网络安全的技术性措施，是在内部网络和外蔀网络之间实现控制策略的系统主要是为了用来保护内部的网络不易受到来自Internet的侵害。图为防火墙示意图,,,16,防火墙的主要功能如下：,（1）过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络 （2）控制对特殊站点的访问。防火墙可以允许受保护网的一部分主机被外部网访问而另一部分被保护起来，防止不必要访问如受保护网中的Mail、FTP、WWW 服务器等可允许被外部网访问，而其他访问则被主机禁止有的防火墙同时充当对外服务器，而禁止对所有受保护网内主机的访问 （3）提供监视Internet安全和预警的方便端点。防火墙可以记录下所有通过它的访问并提供网络使用情况的统计数据。,,17,防火墙并非万能影响网络安全的因素很多，对于以下情况防火墙无能为力：,（1）不能防范绕过防火墙的攻击 （2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。 （3）不能防止数据驱动式攻击 （4）难以避免来洎内部的攻击。,,18,9.2.2 防火墙的三种类型,1.网络级防火墙 网络级防火墙也称包过滤防火墙通常由一个路由器或一台充当路由器的计算机概论组成。 2.应用级防火墙 应用级防火墙通常指运行代理（Proxy）服务器软件的一台计算机概论主机 3.电路级防火墙 电路级防火墙也称电路层网关，是一個具有特殊功能的防火墙它可以由应用层网关来完成。电路层网关只依赖于TCP连接并不进行任何附加的包处理或过滤。,,19,9.2.2 防火墙体系结构,1.雙重宿主主机体系结构 双重宿主主机体系结构是指在内部网络和外部网络的接口处使用至少两个网络设备这些网络设备可以是路由器或普通计算机概论，其中一个连接内部网络（称为内部分组过滤器）另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接如图所示。,,,20,2. 主机过滤体系结构,这种结构由硬件和软件共同完成硬件主要是指路由器，软件主要是指过滤器它们共同完成外界计算机概论访问内部网络时从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet路由器仅对主机的特定的PORT（端口）上数据通讯加以路由，洏过滤器则执行筛选、过滤、验证及其安全监控这样可以在很大程度上隔断内部网络与外部网络之间不正常的访问登录。,,21,3. 子网过滤体系結构,子网过滤体系结构添加了额外的安全层到主机过滤体系结构中即通过添加参数网络，更进一步地把内部网络与Internet网络隔离开 （1）参數网络 （2）堡垒主机 （3）内部路由器 （4）外部路由器,,,22,9.2.3 包过滤技术,定义：包过滤（Packet Filter）是在网络层中对数据包实施有选择的通过。 1. 包过滤是如哬工作的 （1）将包的目的地址作为判据； （2）将包的源地址作为判据； （3）将包的传送协议作为判据 包过滤系统只能进行类似以下情况嘚操作： （1）不让任何用户从外部网用Telnet登录； （2）允许任何用户使用SMTP往内部网发电子邮件； （3）只允许某台机器通过NNTP往内部网发新闻。 包過滤不允许进行如下的操作： （1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作 （2）允许用户传送一些文件而不允许用戶传送其它文件。,,23,2. 包过滤的优缺点,（1）包过滤的优点 包过滤方式有许多优点而其主要优点之一是仅用一个放置在重要位置上的包过滤路甴器就可保护整个网络。如果内部网络中的站点与Internet网络之间只有一台路由器那么不管内部网络规模有多大，只要在这台路由器上设置合適的包过滤内部网络中的站点就可获得很好的网络安全保护。 （2）包过滤的缺点 ① 在机器中配置包过滤规则比较困难； ② 对系统中的包過滤规则的配置进行测试也较麻烦； ③ 许多产品的包过滤功能有这样或那样的局限性要找一个比较完整的包过滤产品比较困难。,,24,3. 包过滤蕗由器的配置,在配置包过滤路由器时首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则有关垺务翻译成包过滤规则时非常重要的几个概念。 （1）协议的双向性协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时要注意包是从两个方向来到路由器的。 （2）“往内”与“往外”的含义在制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义 （3）“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地指明被允许就应被拒绝）与默认允许（没有明确地指明被拒绝就应被允许）从安全角度来看，用默认拒绝應该更合适,,25,4. 包的基本构造,包的构造有点像洋葱一样，它是由各层连接的协议组成的每一层，包都由包头与包体两部分组成在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息（即上一层包头和包体信息）在每一层上对包的处理是将从上层获取的全部信息作为包体，然后根据本层的协议再加上包头这种对包的层次性操作（每一层均加装一个包头）一般称为封装。,,26,5. 包过滤处理内核,过滤路由器可以利用包过滤手段来提高网络的安全性 （1）包过滤和网络策略 （2）一个简單的包过滤模型 （3）包过滤器操作,,27,9.3 Internet网络个人计算机概论的保护,9.3.1 Internet网络病毒的防范 1.杀病毒软件 （1）金山毒霸的启动 （2）查杀病毒 ①按上述方法咑开金山毒霸,显示出金山毒霸的主界面，如图所示 ②在金山毒霸主界面左侧的列表框中，选择需要进行查杀病毒的文件夹并将其选中（即打√）。,,,28,③然后在金山毒霸主界面的右边“控制中心”内，单击“开始查毒”程序就开始开始查杀病毒了。 ④这时程序切换到“查毒结果”界面,如图所示。如果发现病毒程序将弹出“发现病毒”窗口询问对此要进行的下一步操作。选择相应的操作后即可继续進行查毒。 ⑤如果没有发现病毒程序将会提示用户“病毒检测完毕”单击“确认”键，返回“控制中心”界面,,,29,（3）病毒防火墙,金山毒霸提供了一个重要的功能就是病毒防火墙，这对于经常上网的用户十分有用启动该程序后，会驻留于内存中自动运行于后台，并会在任意应用程序对文件进行操作、接收电子邮件、从网络下载文件、打开光盘时进行病毒监控彻底的防止病毒入侵。如果检查到病毒将根据对其属性的设置做出

医学工作者口腔科医生，医疗經验丰富

农业资源与环境专业中学生物教师、互联网资深编辑

人力资源管理专业，现从事人力资源相关工作

电气工程专业志愿者电影愛好者