第11章-网络安全技术预案.ppt

“十一五”国家重点图书 计算机科学与技术学科前沿丛书计算机科学与技术学科研究生系列教材（中文版）  计算机网络 高级教程 吴功宜 编著 第11章网络安全与网络管理技术的研究 网络安全 的基本概念 网络安全的重要性 网络安全问题已经成为信息化社会的一个焦点问题； 每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。 网络安全领域中的一些观念问题 网络安全与现实社会安全关系 网络安全与网络新技术的关系 网络安全与密码学的关系 网络虚拟社会与现实社会的关系 网络安全技术 研究内容分类 网络攻击分类 网络攻击手段的分类 DoS攻击的分类 DDoS攻击过程 防火墙技术 防火墙技术 防火墙的基本概念 防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件； 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。 防火墙的基本概念 防火墙 — 为内部网络建立安全边界 （security perimeter） 构成防火墙系统的两个基本部件： — 包过滤路由器（packet filtering router） — 应用级网关（application gateway） 组合方式有多种，防火墙系统的结构也有多种形式 包过滤路由器 包过滤路由器的结构 路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发； 包过滤规则一般是基于部分或全部报头的内容； 对于TCP报头信息可以是： ? 源IP地址 ? 目的IP地址 ? 协议类型 ? IP选项内容 ? 源TCP端口号 ? 目的TCP端口号 ? TCP ACK标识 包过滤的工作流程 包过滤路由器作为防火墙的结构 应用级网关的概念 多归属主机（multihomed host） 典型的多归属主机结构 应用级网关 应用代理（application proxy） 防火墙的系统结构 堡垒主机的概念 一个双归属主机作为应用级网关可以起到防火墙作用； 处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。 典型防火墙系统系统结构分析 采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构 包过滤路由器的转发过程 S-B1配置的防火墙系统中数据传输过程 S-B2-B2防火墙 系统结构 S-B2-B2配置的防火墙系统结构层次结构 S-B1-S-B1 防火墙系统 结构 S-B1-S-B1配置的防火墙系统层次结构 网络防攻击 与入侵检测技术 网络防攻击与入侵检测技术 网络攻击方法分析 目前黑客攻击大致可以分为8种基本的类型： 系统类入侵攻击 缓冲区溢出攻击 欺骗类攻击 拒绝服务攻击 对防火墙的攻击 利用病毒攻击 木马程序攻击 后门攻击 入侵检测的基本概念 入侵检测系统IDS — 识别对计算机和网络资源恶意使用行为的系统 监测和发现可能存在的攻击行为： — 来自系统外部的入侵行为 — 来自内部用户的非授权行为 — 相应的防护手段 网络防攻击技术 服务攻击（application dependent attack） 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务（denial-of-server）”，使网络工作不正常; 非服务攻击（application independent attack） 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。 拒绝服务攻击的目的: 消耗带宽 消耗系统资源 使系统与应用崩溃 网络防攻击主要问题需要研究的几个问题 网络可能遭到哪些人的攻击？ 攻击类型与手段可能有哪些？ 如何及时检测并报告网络被攻击？ 如何采取相应的网络安全策略与网络安全防护体系？ 网络安全漏洞与对策的研究 网络信息系统的运行涉及： 计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议 网络安全漏洞也会表现在以上几个方面。 网络中的信息安全问题 信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用 信息传输安全 如