网络信息安全概述.ppt

网络信息平安概述;网络平安隐患与对策;网络平安策略

;;;病毒与防范;10.3数据加密算法;数据加密的一般原理;〔1〕对称密钥加密;〔2〕公开密钥加密;密文的传输;DES;IDEA;RSA;10.4常用网络平安;;利用公共密钥算法进行数字签名;3、数字证书;4、防火墙; 防火墙在因特网与内部网中的位置

从逻辑上讲，防火墙是别离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。;;2．防火墙的根本功能

〔1〕防火墙能够强化平安策略

〔2〕防火墙能有效地记录因特网上的活动

〔3〕防火墙限制暴露用户点

〔4〕防火墙是一个平安策略的检查站

3．防火墙的缺乏之处

〔1〕不能防范恶意的知情者

〔2〕防火墙不能防范不通过它的连接

〔3〕防火墙不能防范全部的威胁

〔4〕防火墙不能防范病毒; 防火墙通常是一个具备包过滤功能的简单路由器，支持因特网平安。

每个包有两个局部：数据局部和包头。包头中含有源地址和目标地址等信息。

包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。

每个数据包都包含有特定信息的一组报头，其主要信息是：

〔1〕IP协议类型〔TCP、UDP，ICMP等〕；

〔2〕IP源地址；

〔3〕IP目标地址；

〔4〕IP选择域的内容；

〔5〕TCP或UDP源端口号；

〔6〕TCP或UDP目标端口号；

〔7〕ICMP消息类型。;1〕包过滤是如何工作的

包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：

〔1〕将包的目的地址作为判据；

〔2〕将包的源地址作为判据；

〔3〕将包的传送协议作为判据。

包过滤系统只能让我们进行类似以下情况的操作：

〔1〕不让任何用户从外部网用Telnet登录；

〔2〕允许任何用户使用SMTP往内部网发电子邮件；

〔3〕只允许某台机器通过NNTP往内部网发新闻。; 1．包过滤的优点

包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置适宜的包过滤，我们的站点就可获得很好的网络平安保护。

2．包过滤的缺点

〔1〕在机器中配置包过滤规那么比较困难；

〔2〕对系统中的包过滤规那么的配置进行测试也较麻烦；

〔3〕许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。; 2〕包过滤路由器的配置

在配置包过滤路由器时，首先要确定哪些效劳允许通过而哪些效劳应被拒绝，并将这些规定翻译成有关的包过滤规那么。

下面给出将有关效劳翻译成包过滤规那么时非常重要的几个概念。

〔1〕协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规那么时，要注意包是从两个方向来到路由器的。

〔2〕“往内〞与“往外〞的含义。在制定包过滤规那么时，必须准确理解“往内〞与“往外〞的包和“往内〞与“往外〞的效劳这几个词的语义。; 〔3〕“默认允许〞与“默认拒绝〞。网络的平安策略中的有两种方法：默认拒绝〔没有明确地被允许就应被拒绝〕与默认允许〔没有明确地被拒绝就应被允许〕。从平安角度来看，用默认拒绝应该更适宜。

3〕包的根本构造

包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两局部组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后依本层的协议再加上包头。这种对包的层次性操作〔每一层均加装一个包头〕一般称为封装。;数据包的封装 ;4〕依据地址进行过滤

在包过滤系统中，最简单的方法是依据地址进行过滤。用地址进行过滤可以不管使用什么协议，仅根据源地址/目的地址对流动的包进行过滤。我们可用这种方法只让某些被指定的外部主机与某些被指定的内部主机进行交互。还可以防止黑客用伪包装成来自某台主机，而其实并非来自于那台主机的包对网络进行的侵扰。;5〕依据效劳进行过滤

1．往外的Telnet效劳

在往外的Telnet效劳中，一个本地用户与一个远程效劳器交互。我们必须对往外与往内的包都加以处理。

2．往内的Telnet效劳

3．依据源端口来过滤

依据源端口来过滤必须有个前提，提供端口号的机器必须是真实的。如假设入侵者已经通过root完全控制了这台机器，那他就可随意在这台机器上，也就等于在我们包过滤规那么的端口上运行任意的客户程序或效劳器程序。有时我们就根本不能相信由对方机器