第 6 章网络安全技术

第6章网络安全技术

主要内容 • 网络安全概述 • 信息传递的安全技术 • 网络服务器的访问控制 • 防火墙 • 网络代理服务器 • 系统内部安全技术 • DDoS攻击和防范华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.1 网络安全概述 • 网络的安全性要求 • 网络安全威胁分析 • 提高网络安全性的策略 • 网络安全标准华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.1.1 网络的安全性要求 • 可用性（Availability） • 保密性（Confidentiality） • 完整性（Integrity） • 不可抵赖性（Undeniability） • 可控性（Controllability）华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.1.2 网络安全威胁分析 • 非授权访问 • 信息泄露或丢失 • 破坏数据完整性 • 利用网络传播病毒 • 拒绝服务华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.1.3 提高网络安全性的策略 • 网络安全性策略是保证提供一定级别的安全保护所必须遵守的规则 • 法律 • 技术 • 管理华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.1.4 网络安全标准 • 美国TCSEC（Trusted Computer System Evaluation Criteria，俗称橘皮书） • 欧洲ITSEC • 联合公共准则（CC） • ISO安全体系结构标准ISO 7498-2-1989 • 中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.2 信息传递的安全技术 • 数据加密 • 身份认证 • 数字签名华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

密钥明文明文加密密钥加密加密密文密文解密密钥解密解密明文明文 6.2.1 数据加密 • 两种密码体制双密钥密码体制（非对称加密解密系统）单密钥密码体制（对称加密解密系统）华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.2.1 数据加密 • DES（数据加密标准） • RSA（公钥密码体制） • MD5算法 • PGP安全加密系统 • 混合密码系统：IDEA、RSA、MD5、压缩华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.2.2 身份认证 • 基于口令的认证 • 质询握手认证 • Kerberos认证 • SET安全电子商务系统华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.2.3 数字签名 • 数字签名必须满足以下条件 • 接收方能够确认或证实发送方的签名，但不能伪造 • 发送方发出经签名的消息后，不能否认所签发的消息 • 接收方对已收到的签名消息不能予以否认 • 第三方可以验证并确认收发双方之间的消息传送，但不能伪造这一过程华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.2.3 数字签名 • 基于RSA算法的数字签名用发送方的私钥加密用接收方的公钥加密用接收方的私钥解密用发送方的公钥验证 M,S M M’,S’ M,S M 发送方接收方华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.3 网络服务器的访问控制 • 访问控制和帐户管理 • 用户权限控制 • 访问控制表华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.3.1 访问控制和帐户管理 • 基本的访问控制方法 • 用户名的识别与验证 • 用户口令的识别与验证 • 用户帐号的默认限制检查 • 访问的时间、使用的机器等 • 其它用户名及口令的验证方式 • 指纹、虹膜、人脸 • 便携式验证器（如：IC卡） • …… 华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.3.2 用户权限控制 • 用户分类 • 特殊用户 • 一般用户 • 审计用户 • 基于角色的访问控制（Role Based Access Control） • 每个用户根据职位对应一个或多个角色 • 系统根据角色进行访问权限的控制 • 用户调离某个职位，将脱离对应的角色，就不再具有相应的访问权限华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.3.2 访问控制表 • 文件和目录的访问控制表华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.4 防火墙 • 防火墙的基本概念 • 防火墙的构成 • 数据包过滤技术 • FireWall-1防火墙华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.4.1 防火墙的基本概念 • 防火墙（FireWall）是在外部和内部两个网络之间执行安全控制策略的系统 • 防火墙综合采用了网络每个层次上的适当技术，通过对网络作连接和服务类型上的隔离，在被保护的内部网络周围建立起一个安全隔离带 • 防火墙本身不是单独的一个计算机程序或设备，而是能提高安全策略及其实现方式的完整的系统华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.4.1 防火墙的基本概念 • 防火墙系统的两大部件 • 阈：限制在两个网络之间信息自由流动 • 门：接收和处理来自外部网络的信息华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.4.1 防火墙的基本概念 • 防火墙采用的技术 • 网络层 • 包过滤 • 授权服务器 • 应用层 • 代理服务器华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.4.2 防火墙的构成 • 简单的双宿主主机结构 • 带有屏蔽路由器的单网段防火墙结构 • 单DMZ防火墙结构 • 双DMZ防火墙结构华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.5 网络代理服务器 • 代理服务技术 • Socks方法 • 代理服务器与数据包过滤技术的比较 • 代理服务器的使用华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.6 系统内部安全技术 • 漏洞扫描 • 入侵检测（IDS） • 安全审计 • 病毒防范 • 邮件服务器上安装病毒扫描程序 • 在内部网络中，建立病毒更新服务器华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.7 DDoS攻击和防范 • DDoS攻击 • DDoS攻击的预防 • DDoS攻击的检测 • DDoS攻击的防御华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.7.1 DDoS攻击 • 分布式拒绝服务（Distributed Denial of Service，DDoS）攻击是近年来对因特网有巨大影响的恶意攻击方式，是当前网络安全最严重的威胁之一 • DDoS攻击是在拒绝服务攻击（Denial of Service，DoS）基础上发展起来的 • 从网络攻击的各种方法和所产生的破坏情况来看，DoS是一种相对简单但又很有效的进攻方式 • DoS的攻击方式有很多种，主要通过对主机特定漏洞的利用展开攻击，导致网络协议栈失效、系统资源耗尽、主机死机而无法提供正常的网络服务华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.7.1 DDoS攻击 • DoS攻击只在一台机器上展开攻击，DDoS攻击则利用一批受控制的机器向一个网站发起攻击 • 这批受控制的机器已被攻击者入侵，安装了攻击程序，可被攻击者间接利用，又被称为“僵尸主机” • DDoS攻击一旦被实施，众多的“僵尸主机”在攻击者的控制下同时向受攻击主机发送网络报文，这些报文犹如洪水般涌向受攻击主机，从而把合法用户的网络报文淹没，导致合法用户无法得到服务器的服务 • DDoS又被称之为“洪水式攻击” 华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

6.7.4 DDoS攻击的防御 • 在检测出存在攻击的情况下，用于响应DDoS攻击的主要技术 • 源追踪技术 • 过滤技术 • 日志记录技术 • 增强防御DDoS 攻击能力的措施 • 采用高性能网络设备，保证网络设备不成为网络的瓶颈 • 尽量避免使用NAT技术 • 保证有充足的网络带宽 • 升级服务器硬件 • 把网站做成静态页面华东师范大学计算机科学技术系《计算机网络工程》第6章网络安全技术（2009－2010学年第二学期）

第 6 章 网络安全技术