第9章--网络安全课件

第九章第九章 计算机网络安全计算机网络安全本章主要内容本章主要内容n9.1 9.1 网络安全问题概述网络安全问题概述n9.2 9.2 防火墙防火墙n9.3 VPN9.3 VPNn9.4 9.4 计算机病毒计算机病毒14 七月 2024韩山师范学院 陶瓷学院29.1.1 9.1.1 什么是网络安全什么是网络安全n什么是网络安全什么是网络安全n网络安全是指网络系统的硬件，软件以及系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠和正常的运行，网络服务不中断；n计算机网络安全的工作计算机网络安全的工作n通过采用各种技术和管理措施采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性；14 七月 2024韩山师范学院 陶瓷学院39.1.2 9.1.2 网络所面临的安全威胁网络所面临的安全威胁n网络安全漏洞实际上是给不法分子以可乘之机的网络安全漏洞实际上是给不法分子以可乘之机的“通道通道”,”,大致可分为以下大致可分为以下3 3个方面：个方面：14 七月 2024韩山师范学院 陶瓷学院4网络的网络的漏洞漏洞 服务器的服务器的漏洞漏洞操作系统的操作系统的漏洞漏洞包括网络传输时对协议的信任以及网络传包括网络传输时对协议的信任以及网络传输漏洞，比如输漏洞，比如IPIP欺骗和信息腐蚀就是利用欺骗和信息腐蚀就是利用网络传输时对网络传输时对IPIP和和DNSDNS的信任。的信任。利用服务进程的利用服务进程的bugbug和配置错误和配置错误,任何向外任何向外提供服务的主机都有可能被攻击。这些漏提供服务的主机都有可能被攻击。这些漏洞常被用来获取对系统的访问权。洞常被用来获取对系统的访问权。WindowsWindows和和UNIXUNIX操作系统都存在许多安全操作系统都存在许多安全漏洞漏洞,如如InternetInternet蠕虫事件就是由蠕虫事件就是由UNIXUNIX的的安全漏洞引发的。安全漏洞引发的。9.1.2 9.1.2 网络所面临的安全威胁网络所面临的安全威胁n一般认为，一般认为，黑客攻击黑客攻击、计算机病毒计算机病毒和和拒绝服务攻击拒绝服务攻击等等3 3个方面是计算机网络系统受到的个方面是计算机网络系统受到的主要威胁主要威胁。14 七月 2024韩山师范学院 陶瓷学院6黑客攻击黑客攻击计算机病毒计算机病毒拒绝服务攻击拒绝服务攻击黑客使用专用工具和采取各种入侵手段非黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络法进入网络、攻击网络,并非法使用网络并非法使用网络资源。资源。计算机病毒侵入网络，对网络资源进行破计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个坏，使网络不能正常工作，甚至造成整个网络的瘫痪。网络的瘫痪。攻击者在短时间内发送大量的访问请求，攻击者在短时间内发送大量的访问请求，而导致目标服务器资源枯竭，不能提供正而导致目标服务器资源枯竭，不能提供正常的服务。常的服务。9.1.3 9.1.3 网络安全的内容网络安全的内容n根据计算机网络所面临的威胁，计算机网络根据计算机网络所面临的威胁，计算机网络的安全工作主要集中在以下方面：的安全工作主要集中在以下方面：n保密保密n指确保信息系统的信息只限于授权用户使用的过程；n一般通过信息加密、身份认证、访问控制、安全通信信息加密、身份认证、访问控制、安全通信协议协议等技术实现，是防止信息非法泄露的最基本手段；n鉴别鉴别n指数字信息的接受者对发送人的身份和信息的确认；n口令认证和数字签名口令认证和数字签名是最常用的鉴别技术；14 七月 2024韩山师范学院 陶瓷学院79.1.3 9.1.3 网络安全的内容网络安全的内容n根据计算机网络所面临的威胁，计算机网络根据计算机网络所面临的威胁，计算机网络的安全工作主要集中在以下方面：的安全工作主要集中在以下方面：n访问控制访问控制n保证网络资源不被非法访问，是维护网络系统安排、保护网络资源的重要手段；n如防火墙防火墙就是一种重要的访问控制措施；n病毒防范病毒防范n一般利用杀毒软件和建立相应的管理制度来防范病毒；14 七月 2024韩山师范学院 陶瓷学院89.1.4 9.1.4 网络安全的层次模型网络安全的层次模型n网络安全的层次模型网络安全的层次模型n物理层：物理层：通信线路上的防窃听技术防窃听技术，使得偷听不可能实现或不容易被检测出来；n数据链路层：数据链路层：对点对点链路的加密技术点对点链路的加密技术，来保证数据传输的安全性；n网络层：网络层：防火墙技术防火墙技术，实现对内外网络边界信息流动的控制；n传输层：传输层：在端到端传输使用加密技术加密技术；n应用层：应用层：针对用户身份的认证用户身份的认证并建立安全的通信通道；14 七月 2024韩山师范学院 陶瓷学院99.2 9.2 防火墙防火墙n什么是防火墙？什么是防火墙？n为防止病毒和黑客，可在该网络和Internet之间插入一个中介系统，竖起一道用来阻断来自外部通过网络对本网络的威胁和入侵的安全屏障，其作用与古代防火砖墙有类似之处，人们把这个屏障就叫做“防火墙”，其逻辑结构如图：14 七月 2024韩山师范学院 陶瓷学院10防火墙的逻辑结构示意图外部网络内部网络9.2 9.2 防火墙防火墙n防火墙的基本特性：防火墙的基本特性：n所有内部和外部网络之间传输的数据必须通过防所有内部和外部网络之间传输的数据必须通过防火墙；火墙；n只有被授权的合法数据即防火墙系统中安全策略只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙；允许的数据可以通过防火墙；n防火墙本身不受各种攻击的影响；防火墙本身不受各种攻击的影响；14 七月 2024韩山师范学院 陶瓷学院119.2.1 9.2.1 防火墙的功能防火墙的功能 n通常防火墙具有以下功能：通常防火墙具有以下功能：n过滤进出的数据；过滤进出的数据；n管理进出的访问行为；管理进出的访问行为；n封堵某些禁止的业务；封堵某些禁止的业务；n记录通过防火墙的信息内容和活动；记录通过防火墙的信息内容和活动；n对网络攻击进行检测和报警。对网络攻击进行检测和报警。14 七月 2024韩山师范学院 陶瓷学院129.2 9.2 防火墙防火墙n防火墙的基本功能防火墙的基本功能n1、作为网络安全的屏障、作为网络安全的屏障n防火墙作为阻塞点、控制点，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险；n2、可以强化网络安全策略、可以强化网络安全策略n通过以防火墙为中心的安全方案配置，能将所有安全软件（口令、加密、身份认证、审计等）配置在防火墙上。14 七月 2024韩山师范学院 陶瓷学院139.2 9.2 防火墙防火墙n防火墙的基本功能防火墙的基本功能n3、对网络存取和访问进行监控审计、对网络存取和访问进行监控审计n所有的外部访问都经过防火墙时，防火墙就能记录下这些访问，为网络使用情况提供统计数据。当发生可疑信息时防火墙能发出报警，并提供网络是否受到监测和攻击的详细信息；n4、可以防止内部信息的外泄、可以防止内部信息的外泄n利用防火墙可以实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。n5、对网络攻击进行检测和报警、对网络攻击进行检测和报警14 七月 2024韩山师范学院 陶瓷学院149.2.2 9.2.2 防火墙的类型防火墙的类型 n1 1、网络级防火墙、网络级防火墙n又称为包过滤型防火墙，是基于数据包过滤的防火墙，主要用来防止整个网络出现外来非法的入侵。14 七月 2024韩山师范学院 陶瓷学院15 包过滤防火墙的工作原理示意图包过滤防火墙的工作原理示意图内部网络内部网络物理层分组过滤规则分组过滤规则数据链跑层Internet外部网络外部网络网络层物理层数据链跑层网络层包过滤路由器包过滤路由器防火墙防火墙9.2.2 9.2.2 防火墙的类型防火墙的类型 n1 1、网络级防火墙、网络级防火墙n网络级防火墙检查每一条规则直至发现包中的信网络级防火墙检查每一条规则直至发现包中的信息与某规则相符；息与某规则相符；n以下是某个网络级防火墙的访问控制规则：以下是某个网络级防火墙的访问控制规则：n允许网络123.1.0.0访问端口）访问主机210.52.0.1n允许IP地址为202.103.1.18和202.103.1.14的用户Telnet（23端口）到主机210.52.0.2上；n允许任何的Email（25端口）进入主机210.52.0.3；n允许任何WWW数据（80端口）通过；n不允许其他数据包进入；14 七月 2024韩山师范学院 陶瓷学院169.2.2 9.2.2 防火墙的类型防火墙的类型 n1 1、网络级防火墙、网络级防火墙n其优点是防火墙简洁、速度快、费用低、易于维其优点是防火墙简洁、速度快、费用低、易于维护，并且对用户来说透明，常作为内部网的第一护，并且对用户来说透明，常作为内部网的第一道防线；道防线；n其缺点也比较明显，对网络的保护性有限，表现其缺点也比较明显，对网络的保护性有限，表现在以下在以下3点：点：n没有用户的使用记录，所以不能从访问记录中发现黑客的攻击记录；n定义包过滤器比较复杂，对网管员的要求很高；n只检查IP地址和端口号，对网络更高协议层的信息无理解能力；14 七月 2024韩山师范学院 陶瓷学院179.2.2 9.2.2 防火墙的类型防火墙的类型 n2 2、应用级防火墙、应用级防火墙n又称为应用级网关，它的另外一个名字就是代理服务器；又称为应用级网关，它的另外一个名字就是代理服务器；n代理服务器隔离在风险网络与内部网络之间，内外不能直代理服务器隔离在风险网络与内部网络之间，内外不能直接交换数据，接交换数据，数据交换由代理服务器数据交换由代理服务器“代理代理”完成完成；14 七月 2024韩山师范学院 陶瓷学院18 应用级代理工作原理示意图应用级代理工作原理示意图内部网络内部网络真正服务器真正服务器代理服务器代理服务器实际的连接实际的连接实际的连接实际的连接外部网络外部网络客户客户虚拟的连接虚拟的连接Internet防火墙防火墙9.2.2 9.2.2 防火墙的类型防火墙的类型 n2 2、应用级防火墙（、应用级防火墙（Application GatewayApplication Gateway）n它被网络安全专家和媒体公认为是最安全的防火它被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是墙。它的核心技术就是代理服务器技术代理服务器技术，在外部，在外部网络向内部网络申请服务时发挥了中间转接的作网络向内部网络申请服务时发挥了中间转接的作用；用；n它的防范效果比单一的网络级防火墙更可靠，还它的防范效果比单一的网络级防火墙更可靠，还具备一定的入侵报警作用；具备一定的入侵报警作用；n但它缺点是对代理服务器配置比较繁琐，速度相但它缺点是对代理服务器配置比较繁琐，速度相对比较慢；对比较慢；14 七月 2024韩山师范学院 陶瓷学院199.3 9.3 虚拟专用网虚拟专用网VPNVPN技术技术 n什么是虚拟专用网？什么是虚拟专用网？n防火墙用来将局域网与Internet分隔开来，阻止来自外部网络的损坏；n随着企业网应用的不断扩大，企业网的范围也不断扩大，从一个本地网络发展到一个跨地区跨城市甚至跨国家的网络，为保证区域间流通的企业信息安全,通过租用昂贵的跨地区数字专线方式建立物理上的专用网非常困难。14 七月 2024韩山师范学院 陶瓷学院209.3 9.3 虚拟专用网虚拟专用网VPNVPN技术技术 n什么是虚拟专用网？什么是虚拟专用网？n随着计算机网络应用技术的发展，现在可通过Internet提供的虚拟专用网(Virtual Private Network，VPN)技术；nVPN技术使家庭办公、移动用户或其它用户主机可以很方便地访问企业服务器。用户就像通过专线连接一样，而感觉不到公网的存在；14 七月 2024韩山师范学院 陶瓷学院219.3 9.3 虚拟专用网虚拟专用网VPNVPN技术技术 n什么是虚拟专用网？什么是虚拟专用网？14 七月 2024韩山师范学院 陶瓷学院22虚拟专用网示意图虚拟专用网示意图VPNVPN服务器服务器明文明文公用网络公用网络密文密文VPNVPN隧道隧道数据分组数据分组 VPNVPN连接连接明文明文VPNVPN服务器服务器9.3 9.3 虚拟专用网虚拟专用网VPNVPN技术技术 n虚拟专用网虚拟专用网nVPN是通过一个公用网络建立的一个临时、安全的连接方式,是一条穿越混乱的公用网络的安全、稳定的隧道，其目标是在不安全的公用网络上建立一个安全的专用通信网络；nVPN的最大优点的最大优点是无需租用电信部门的专用线路，而由本地ISP所提供的VPN服务所替代。因此，人们越来越关注基于Internet的VPN技术及其应用。14 七月 2024韩山师范学院 陶瓷学院239.3 9.3 虚拟专用网虚拟专用网VPNVPN技术技术 nVPNVPN的特点的特点n 安全性高：安全性高：VPN可以帮助远程用户、公司分支机构、商业伙伴同公司内部网之间建立可信的安全连接，并保证数据的安全传输。n 降低成本：降低成本：VPN是建立在现有网络硬件设施基础上，因此可以保护用户现有的网络设施投资；大幅度地减少用户在WAN和远程连接上的费用；降低企业内部网络的建设成本。n 优化管理：优化管理：采用VPN方案可以简化网络设计和管理，加速连接新的用户和网站。同时，能够极大地提高用户网络运营和管理的灵活性。14 七月 2024韩山师范学院 陶瓷学院249.4 9.4 计算机病毒计算机病毒 n病毒简介病毒简介n计算机病毒是由计算机黑客编写的有害程序，具有自我传播和繁殖的能力，破坏计算机的正常工作；nInternet的迅速发展和广泛应用给病毒提供了新的传播途径，网络将正逐渐成为病毒的第一传播途径网络将正逐渐成为病毒的第一传播途径；nInternet带来了两种不同的安全威胁：带来了两种不同的安全威胁：一种威胁来自文件下载，这些被浏览的或是通过FTP下载的文件中可能存在病毒；另一种威胁来自电子邮件；n网络使用的简易性和开放性使得这种威胁越来越严重。正因为如此，网络病毒的防治技术显得越来越重要。因此，网络病毒的传播、再生、发作将造成比单机病毒更大危害网络病毒的传播、再生、发作将造成比单机病毒更大危害。14 七月 2024韩山师范学院 陶瓷学院259.4 9.4 计算机病毒计算机病毒 n病毒的产生过程病毒的产生过程n设计n传播n潜伏n触发和破坏14 七月 2024韩山师范学院 陶瓷学院269.4 9.4 计算机病毒计算机病毒 n在网络环境中的病毒具有以下在网络环境中的病毒具有以下6 6个方面的特点：个方面的特点：14 七月 2024韩山师范学院 陶瓷学院273.隐蔽性隐蔽性网络病毒网络病毒的特点的特点1.感染方式多感染方式多2.破坏性强破坏性强4.潜在性潜在性5.感染速度快感染速度快6.清除难度大清除难度大9.4 9.4 计算机病毒计算机病毒 n病毒的表现现象病毒的表现现象 n运行正常的计算机突然经常性无缘无故地死机n操作系统无法正常启动n运行速度明显变慢n以前能正常运行的软件经常发生内存不足的错误n磁盘空间迅速减少n共享目录无法使用n收到陌生人发来的电子邮件n自动链接到一些陌生的网站14 七月 2024韩山师范学院 陶瓷学院289.4 9.4 计算机病毒计算机病毒 n计算机病毒的技术防范计算机病毒的技术防范 n新购置的计算机硬件和软件系统都要经过测试n计算机系统尽量使用硬盘启动n对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭环境中不会自然产生计算机病毒n重要数据文件定期备份n不要随便直接运行或直接打开电子邮件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。n安装正版防杀毒软件，并经常进行升级n安装病毒防火墙，从网络出入口保护整个网络不受计算机病毒的侵害14 七月 2024韩山师范学院 陶瓷学院299.4 9.4 计算机病毒计算机病毒 n网络病毒的类型网络病毒的类型n1、蠕虫、蠕虫n是一种通过间接方式复制自身的非感染型病毒，它的传播速度相当惊人，给人们带来难以弥补的损失；n与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计算机；如自动将本地的电子邮件地址簿所有联系人发送自己的副本；n蠕虫的传播不必通过“宿主”程序或文件，可直接潜入系统并允许其他人远程控制本地计算机；14 七月 2024韩山师范学院 陶瓷学院309.4 9.4 计算机病毒计算机病毒 n网络病毒的类型网络病毒的类型n2、特洛伊木马、特洛伊木马n特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的程序；n特洛伊木马常常以电子邮件附件的形式出现特洛伊木马常常以电子邮件附件的形式出现，附件往往是一个很小的文本文件或者可执行文件，而且带有一些很具诱惑的标题；一旦用户禁不起诱惑打开了以为来自合法来源的程序，特洛伊木马便种入了机器，并很快发作。14 七月 2024韩山师范学院 陶瓷学院319.4 9.4 计算机病毒计算机病毒 n网络病毒防范网络病毒防范n蠕虫和木马的传播蠕虫和木马的传播n许多蠕虫和木马是无法传播的，除非打开或运行受感染的程序。主要通过电子邮件附件（随电子邮件一起发送的文件）传播，也可能通过从 Internet 下载的程序进行传播，或带病毒的光盘、磁盘、U盘进行传播；n蠕虫和木马的防范蠕虫和木马的防范n安装杀毒软件或防火墙，不轻易从不可靠来源下载软安装杀毒软件或防火墙，不轻易从不可靠来源下载软件，定时进行操作系统更新和应用程序修补；件，定时进行操作系统更新和应用程序修补；14 七月 2024韩山师范学院 陶瓷学院32p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe写在最后谢谢你的到来学习并没有结束，希望大家继续努力Learning Is Not Over.I Hope You Will Continue To Work Hard演讲人：XXXXXX 时 间：XX年XX月XX日