计算机网络应用课件ch9-计算机网络安全.pptVIP

防火墙的类型 * （2）代理防火墙(Proxy) 作用于网络应用层，建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 代理技术要对每一种应用服务设计出相应的控制规则，实现和配置都比较复杂；同时要在应用层检查数据包的内容，因此效率较低。 9.4.3 防火墙的体系结构 * （1）双宿主机结构 双宿主主机结构是用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，两个网络之间的通信通过应用层代理服务实现。内外网络之间的IP数据流被双宿主机完全切断。用堡垒机取代路由器执行安全控制功能。 防火墙的体系结构 * （2）屏蔽主机结构 堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级更高，主要用于企业小型或中型网络。 防火墙的体系结构 * （3）屏蔽子网结构 在内部网络和外部网络之间建立一个被隔离的子网(DMZ，非军事区)，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。 9.5 信息加密技术 信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。 9.5.1 加密系统的组成 9.5.2 加密方式的分类 9.5.3 加密系统的安全规则 9.5.4 信息加密技术的应用 * 9.5.1 加密系统的组成 * 信源 加密 解密 信宿 密文 明文 窃听 干扰 明文 密钥K1 密钥K2 9.5.2 加密方式的分类(按密钥方式) * 对称密钥加密：收发双方使用相同密钥。加密算法和解密算法在对称式加密中是相同的。经典的对称加密算法有: DES (Data Encryption Standard)和IDEA(International Data Encryption Algorithm)。 来学嘉，1954年6月生，瑞士籍华人。IDEA密码 的发明者之一。 1978-1982，西安电子科技大学本科； 1982-1984，西安电子科技大学通信工程学院信息安全研究所硕士研究生； 1985，到瑞士ETH Zurich, Signal and Information Processing Laboratory 1988-1992，在该实验室攻读博士研究生并取得博士学位，现在是Entrust公司资深研究员。 加密方式的分类(按密钥方式) * 非对称密钥加密：也称公用密钥加密，加密和解密使用不同密钥。 “公钥”是指可以对外公布的，“私钥”则不对外公布，只有持有人知道。加密算法和解密算法在非对称式加密中是不相同的。经典的非对称加密算法有RSA (Rivest, Shamir, Adleman)。 9.5.3 加密系统的安全规则 * 机密性(confidentiality)：加密系统在信息的传送中提供一个或一系列密钥来把信息通过密码运算译成密文，使信息不会被非预期的人员所读取，只有发送者和接收者应该知晓此信息的内容。 完整性(integrity)：数据在传送过程中不应被破坏，收到的信宿数据与信源数据是一致的。应该选取健壮的密码和加密密钥，以确保入侵者无法攻破密钥或找出一个相同的加密算法，阻止入侵者会改变数据后对其重新加密。 加密系统的安全规则 * 认证性(authentication) ：加密系统应该使接收信息用户可以验证是谁发送的信息，确定信息是否被第三者篡改。只要密钥还未泄露或与别人共享，发送者就不能否认他发送的数据。 非否定(non-repudiation)：加密系统除了应该验证是谁发送的信息外，还要进一步验证收到的信息是否来自可信的源端。现代健壮的验证方法用加密算法来比较一些已知的信息段，如PIN(个人识别号)判断源端是否可信。 9.5.4 信息加密技术的应用 * 数字签名(Digital Signature) 用以保证信息传输的完整性(未被更改)、发送者的身份认证、防止电子交易中的抵赖发生。 数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”；数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。 数字签名技术是不对称加密算法的典型应用。 信息加密技术的应用 * 虚拟专