ch7网络工程师课件.ppt

华东师范大学计算机科学技术系《计算机网络工程》第7章 网络安全技术（2007－2008学年第一学期） 第7章 网络安全技术 主要内容 网络安全概述 信息传递的安全技术 网络服务器的访问控制 防火墙 网络代理服务器 系统内部安全技术 7.1 网络安全概述 网络的安全性要求 网络安全威胁分析 提高网络安全性的策略 网络安全标准 7.1.1 网络的安全性要求 可用性（Availability） 必威体育官网网址性（Confidentiality） 完整性（Integrity） 不可抵赖性（Undeniability） 可控性（Controllability） 7.1.2 网络安全威胁分析 非授权访问 信息泄露或丢失 破坏数据完整性 利用网络传播病毒 7.1.3 提高网络安全性的策略 网络安全性策略是保证提供一定级别的安全保护所必须遵守的规则 法律 技术 管理 7.1.4 网络安全标准 美国TCSEC（Trusted Computer System Evaluation Criteria，俗称橘皮书） 欧洲ITSEC 联合公共准则（CC） ISO安全体系结构标准ISO 7498-2-1989 中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》 7.2 信息传递的安全技术 数据加密 身份认证 数字签名 7.2.1 数据加密 两种密码体制 7.2.1 数据加密 DES（数据加密标准） RSA（公钥密码体制） MD5算法 PGP安全加密系统 混合密码系统：IDEA、RSA、MD5、压缩 7.2.2 身份认证 基于口令的认证 质询握手认证 Kerberos认证 SET安全电子商务系统 7.2.3 数字签名 数字签名必须满足以下条件 接收方能够确认或证实发送方的签名，但不能伪造 发送方发出经签名的消息后，不能否认所签发的消息 接收方对已收到的签名消息不能予以否认 第三方可以验证并确认收发双方之间的消息传送，但不能伪造这一过程 7.2.3 数字签名 基于RSA算法的数字签名 7.3 网络服务器的访问控制 访问控制和帐户管理 用户权限控制 访问控制表 7.3.1 访问控制和帐户管理 基本的访问控制方法 用户名的识别与验证 用户口令的识别与验证 用户帐号的默认限制检查 访问的时间、使用的机器等 其它用户名及口令的验证方式 指纹、虹膜、人脸 便携式验证器（如：IC卡） …… 7.3.2 用户权限控制 用户分类 特殊用户 一般用户 审计用户 基于角色的访问控制（Role Based Access Control） 每个用户根据职位对应一个或多个角色 系统根据角色进行访问权限的控制 用户调离某个职位，将脱离对应的角色，就不再具有相应的访问权限 7.3.2 访问控制表 文件和目录的访问控制表 7.4 防火墙 防火墙的基本概念 防火墙的构成 数据包过滤技术 FireWall-1防火墙 7.4.1 防火墙的基本概念 防火墙（FireWall）是在外部和内部两个网络之间执行安全控制策略的系统 防火墙综合采用了网络每个层次上的适当技术，通过对网络作连接和服务类型上的隔离，在被保护的内部网络周围建立起一个安全隔离带 防火墙本身不是单独的一个计算机程序或设备，而是能提高安全策略及其实现方式的完整的系统 7.4.1 防火墙的基本概念 防火墙系统的两大部件 阈：限制在两个网络之间信息自由流动 门：接收和处理来自外部网络的信息 7.4.1 防火墙的基本概念 防火墙采用的技术 网络层 包过滤 授权服务器 应用层 代理服务器 7.4.2 防火墙的构成 简单的双宿主主机结构 带有屏蔽路由器的单网段防火墙结构 单DMZ防火墙结构 双DMZ防火墙结构 7.5 网络代理服务器 代理服务技术 Socks方法 代理服务器与数据包过滤技术的比较 代理服务器的使用 7.6 系统内部安全技术 漏洞扫描 入侵检测（IDS） 安全审计 病毒防范 邮件服务器上安装病毒扫描程序 在内部网络中，建立病毒更新服务器 浙江师范大学数理信息学院——《计算机网络工程》第七章 * 加密 解密 明文 密文 明文 密钥 加密 解密 明文 密文 明文 加密 密钥 解密 密钥 单密钥密码体制 （对称加密解密系统） 双密钥密码体制 （非对称加密解密系统） M 用发送方的私钥加密 用接收方的公钥加密 用接收方的私钥解密 用发送方的公钥验证 M 发送方 接收方 M,S M’,S’ M,S