第十一章 Internet的安全性.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

NAT与ICMP交互.
第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
计算机文化基础教学课件 计算机网络基础.
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第5章 网络安全设计 主讲:易建勋.
网络设计与管理实践 首都师范大学信息工程学院.
第九章 防火墙与入侵检测 2.
引言 路由器的主要工作就是为经过路由器的每个 IP数据报/分组 寻找一条最佳传输路径(寻径),并将该数据有效地传送到目的站点(转发)。
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例.
第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠.
项目四 组建跨地区网络 授课教师:肖颖.
CH 6 五大網路管理功能.
第五章 防火墙技术.
Oracle数据库 Oracle 子程序.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
计算机应用专业系列教材 计算机网络.
信息安全与管理 第九章 防火墙.
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
第9章 電子商務安全防範.
格物资讯开放ICON库 V1R1.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
WebST 应用安全平台.
潘爱民,北京大学计算机研究所 网络与信息安全 网络安全 (一) 潘爱民,北京大学计算机研究所
华南师范大学 防火墙 华南师范大学
计算机网络原理 徐明伟
網路服務 家庭和小型企業網路 – 第六章.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
第五讲 计算机网络应用 谢华成 副教授.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
大学计算机基础 典型案例之一 构建FPT服务器.
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
实用组网技术 第一章 网络基础知识.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
格物资讯开放ICON库 V0R2.
第 1 章 信息安全概述.
华南师范大学 防火墙 华南师范大学
项目十四 防火墙分类与基本配置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
C语言程序设计 主讲教师:陆幼利.
防火墙.
傳輸控制協議 /互聯網協議 TCP/IP.
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
计算机网络安全技术.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
大学计算机基础 5-2 计算机网络模型与协议.
IT 安全 第 9节 通信和网络控制.
数据报分片.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
第1章 网络安全概述 13:43:19. 第1章 网络安全概述 13:43:19 第一章 网络安全概述 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。本章主要介绍网络安全的概念、威胁网络安全的因素、网络安全防护体系及网络安全的评估标准等方面的内容。
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
格物资讯ICON发布 V0R3.
C++语言程序设计 C++语言程序设计 第一章 C++语言概述 第十一组 C++语言程序设计.
VoIP组工作汇报 黄权 李光华.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
入侵检测技术 大连理工大学软件学院 毕玲.
Presentation transcript:

第十一章 Internet的安全性

Internet安全问题现状 网络安全的主要内容: 在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客的攻击 网络安全的主要内容: 在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客的攻击 网络层的安全防护主要目的是: 保证网络的可用性和合法使用,保护网络中的网络设备,主机操作系统以及网络服务的正常运行,根据IP地址控制用户的网络访问

Internet攻击类型 网络威胁可以分成以下不同类型:黑客入侵、内部攻击、不良信息传播、秘密信息泄漏、修改网络配置而造成网络瘫痪等 。 安全威胁主要来自下面几个方面: (1)对用户身份的仿冒 (2)对网络上信息的窃取 (3)对网络上信息的篡改 (4)对发出的信息予以否认 (5)对信息进行重发

ISO 7498-2模型提供的五种安全服务: · 认证(Authentication) · 访问控制(Access Control) · 数据保密(Data Confidentiality) · 数据完整性(Data Integrity) · 抗否认(Non-repudiation)

目前所建立的主要的安全机制包括: 1.身份鉴别机制 2.访问控制机制 3.数据加密机制 4.数据完整性机制 5.数字签名机制 6.防重发机制 7.审计机制

11.2 Interne安全技术--防火墙 防火墙位于内部网络和Internet之间

在网络中,“防火墙”是指在两个网络之间实现控制策略的系统(软件、硬件,或者是两者并用),用来保护内部的网络不易受到来自Internet的侵害。是一种安全策略的体现。

防火墙技术的主要内容 防火墙技术大体上分为网络层或应用层两类 。 防火墙产品大体上可以分成两类: 一类是基于包过滤(Packet filter)的包过滤型防火墙。另一类是基于代理服务(Proxy service)的代理服务型防火墙。

包过滤技术(Packet Filter) 包过滤(Packet Filtering): 基于协议特定的标准,路由器在其端口能够区分包和限制包的能力。 包过滤器主要基于以下选项进行包过滤:  源端口号  目的端口号  TCP标志

过滤路由器为内部网络提供安全边界

包过滤模型 包过滤服务器模型

包过滤设备的方式工作: 包过滤标准必须为包过滤设备端口存储起来,这些包过滤标准叫包过滤规则。 当包到达端口时,对包报头进行语法分析。 包过滤器规则以特殊的方式存储 如果一条规则阻止包传输或接受,此包便不被允许。 如果一条规则允许包传输或接受,此包可以被继续处理。 如果包不满足任何一条规则,该包被阻塞。

包过滤技术的优缺点 优点 :对小型的、不太复杂的站点包过滤较容易实现。 包过滤技术的优缺点 优点 :对小型的、不太复杂的站点包过滤较容易实现。 缺点:他们很少有或没有日志记录能力,所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。这种防火墙的最大缺陷是依赖一个单一的部件来保护系统。

代理服务器(Proxy Server) 代理服务器的位置

应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 代理服务器 包过滤器 防火墙 代理服务器、包过滤器与OSI模型的关系

在TCP/IP中,多宿主主机(Multi-Homed Host)这个词用来描述具有多个网卡的主机 设置代理服务器时要注意到: 打开所有输出TCP连接。 允许SMTP和DNS进入邮件主机。 允许FTP进入高于1024的端口。 双宿主主机 在TCP/IP中,多宿主主机(Multi-Homed Host)这个词用来描述具有多个网卡的主机

双宿主主机示意图

双宿主主机可以用于把一个内部网络从一个不可信的外部网络中分离出来。因为双宿主主机不能转发任何TCP/IP流量,所以它可以彻底堵塞内部和外部不可信网络间的任何IP流量。 双宿主主机是防火墙使用的最基本配置,双宿主防火墙主机的重要性是路由被禁止;网络段之间唯一的路径是通过应用层的功能。

带有应用程序进程的双宿主主机

堡垒主机(Bastion Host)是对网络安全至关重要的防火墙主机。堡垒主机是一个组织的网络安全的中心主机。 堡垒主机通常和包过滤器放在一起使用,构成二级安全体系 .

双网络接口和过滤路由器作为第一线防卫的堡垒主机

应用层网关 可以管理存储转发的流量以及某些交互流量 记录和控制所有进出流量的能力是应用层网关的主要优点之一 应用层网关的缺点是,用户的程序经常为每个应用程序而编写。

应用层网关

作为客户机和服务器的代理

防火墙的体系结构 几种常见的防火墙体系结构 : 单宿主堡垒主机防火墙

包过滤路由器、单宿主堡垒主机的防火墙

单路由器、双宿主堡垒主机防火墙(有DMZ)

单路由器、双堡垒主机防火墙(两个DMZ)

11.3 加强Internet安全性意识及防护 网络攻击经常能够得逞的主要原因有以下原因: 一方面是由于现有的网络系统具有内在的安全脆弱性;另一个方面却是由于管理者思想麻痹,没有采取正确的安全策略和安全机制

网络安全防护的一般措施 信息质量主要指: (1)可靠性 (2)完整性 (3)可用性 (4)可维护性

网络安全策略 1.加强网络设计 2.管理网络旁路 3.严格控制服务 4.系统日志收集管理 5.口令集中管理 6.双机或者多机系统 7.访问控制

有安全隐患的网络