互联网安全技术互联网安全技术.doc

教学目标与要求： 掌握防火墙的体系结构与配置方法 掌握VPN中使用的关键技术 理解互联网安全的基本概念 理解放火墙、VPN、入侵检测的基本概念 理解VPN的实现策略和方法 了解放火墙的安全配置与访问控制技术的实现策略，以及放火墙的安全使用层面 了解放火墙的安全局限 学会VPN的配置方法 了解入侵检测系统的分类和相关技术。 教学重点难点： ( 防火墙的体系结构与配置方法 VPN关键技术 学习指导： 本章介绍防火墙技术，包括不同类型防火墙的功能、防火墙的体系结构，以及如何配置网络的防火墙；IPSEC协议在网络层上对数据包进行高强度的安全处理，提供数据源验证，无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务；虚拟专用网VPN利用INTERNET为媒介实现与专用网络相类似的安全性能；实现WEB安全的SSL协议，通过服务器和客户机之间的相互认证，使客户机／服务器应用程序之间的通信不被攻击者窃听；PGP和S／SIME协议提供的服务用来确保电子邮件的安全；计算机病毒有多种类型，其防治技术也是多种多样的，目前常用的防毒杀毒工具有金山毒霸、瑞星杀毒软件等；网络的攻击手段有漏洞扫描、拒绝服务攻击等，针对不同的攻击主要有两种检测攻击的方法：异常检测方法和滥用检测方法，它们分别用来发现新的攻击手段和识别已存在的攻击手段，有时也将两种检测方法混合使用，以达到更好的检测攻击的效果。 教学方法与思路： 本次课以案例讲授为主，结合电子商务系统的运作平台引入本节内容：1、介绍确保INTERNET安全的技术、设施、策略和系统等安全手段；2、确保INTERNET安全的手段包括防火墙技术、IPSEC协议和虚拟专用网、安全套接字层SSL协议、安全邮件协议、计算机病毒检测与防治以及网络入侵检测系统等，它们针对INTERNET的不同应用提供相应的安全策略，从不同的方面确保INTERNET的安全。 教学步骤： 教学内容 课堂组织 第六章 互联网安全技术 案例：互联网安全状况令人担忧 2001年2月25日美国国防部副部长哈姆雷向新闻界公布了轰动整个美国的黑客袭击事件：在过去的两周内，国防部五角大楼的军事情报网络接连遭受到黑客入侵，11个非机密军事网点（4个海军网点、7个空军网点）先后被光顾。 根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.7亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部；只有17%的公司愿意报告黑客入侵，其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失$402000美元。 公安部官员估计，目前已发现的黑客攻击案约占总数的15%，多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道，中国95%的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。在中国，针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元，针对其他行业的黑客犯罪案件也时有发生。 黑客的威胁见诸报道的已经屡见不鲜，像贵州省城热线、成都艺术节主页RSA安全公司等都报道有黑客入侵，他们在主页上发布反动口号，或将主页修改成黄色画面。内部工作人员能较多地接触内部信息，工作中的任何不小心都可能给信息安全带来危险。 这类事件涉及的覆盖面越来越大、程度越来越深，以致于现在很多企业都不敢真正利用互联网进行电子商务建设。 6.1防火墙技术 防火墙（FireWall）是由软件和硬件（如计算机、路由器）组合而成的一个或一组系统，它处于企业或网络群体计算机与外界通道之间，用来加强Internet与Intranet之间的安全防范。防火墙控制网络内外的信息交流，提供接入控制和审查跟踪，在外部网和内部网之间的界面构筑一个安全屏障。 6.1.1防火墙的功能 （１）包过滤技术 包过滤技术在网络层对数据包进行选择，如图6.１所示。 图6.１ 包过滤防火墙 选择的依据是系统内设置的访问控制表AccessControlTable）中描述的过滤逻辑。动态地检查TCP/IP数据流中每个数据包的报文类型、源IP地址、目的IP地址、所有TCP端口号、TCP链路状态等因素，或它们的组合，然后依据一组预定义的规则删除不合乎逻辑的数据包。 采用数据包过滤技术的防火墙通常安装在网络的路由器上。几乎所有的商用路由器都提供此项功能。这种基于路由器的防火墙比较简单易行，价格较低，对用户透明，对网络性能的影响很小。包过滤技术的缺点是没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。另外，它对IP欺骗式攻击无法防范，即无法防范黑客修改数据包头中的Internet协议地址，把IP地址改成可被接受的地址，以此骗取对企业内部网络的访问权限。 （２）网络地址转