最好的計算機網(wǎng)絡(luò)安全教案

《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》第十章計算機網(wǎng)絡(luò)安全2006-101《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜本章主要內(nèi)容計算機網(wǎng)絡(luò)安全的概念；計算機網(wǎng)絡(luò)對安全性的要求；訪問控制技術(shù)和設(shè)備安全；防火墻技術(shù)；網(wǎng)絡(luò)安全攻擊及解決方法；計算機網(wǎng)絡(luò)安全的基本解決方案。2006-102《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)安全概述背景介紹對計算機網(wǎng)絡(luò)安全性問題的研究總是圍繞著信息系統(tǒng)進行，其主要目標就是要保護計算資源，免受毀壞、替換、盜竊和丟失，而計算資源包括了計算機及網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)、軟硬件、信息數(shù)據(jù)等。2006-103《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)安全的解決策略訪問控制選擇性訪問控制病毒和計算機破壞程序加密系統(tǒng)計劃和管理物理安全通信安全2006-104《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)安全包括的內(nèi)容保護系統(tǒng)和網(wǎng)絡(luò)的資源免遭自然或人為的破壞；明確網(wǎng)絡(luò)系統(tǒng)的脆弱性和最容易受到影響或破壞的地方；對計算機系統(tǒng)和網(wǎng)絡(luò)的各種威脅有充分的估計；要開發(fā)并實施有效的安全策略，盡可能減少可能面臨的各種風(fēng)險；準備適當(dāng)?shù)膽?yīng)急計劃，使網(wǎng)絡(luò)系統(tǒng)在遭到破壞或攻擊后能夠盡快恢復(fù)正常工作；定期檢查各種安全管理措施的實施情況與有效性。2006-105《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)安全的要求——安全性內(nèi)部安全對用戶進行識別和認證，防止非授權(quán)用戶訪問系統(tǒng)；確保系統(tǒng)的可靠性，以避免軟件的缺陷（Bug）成為系統(tǒng)的入侵點；對用戶實施訪問控制，拒絕其訪問超出訪問權(quán)限的資源；加密傳輸和存儲的數(shù)據(jù)，防止重要信息被非法用戶理解或修改；對用戶的行為進行實時監(jiān)控和審計，檢查其是否對系統(tǒng)有攻擊行為，并對入侵的用戶進行跟蹤。外部安全加強系統(tǒng)的物理安全，防止其他用戶直接訪問系統(tǒng)；保證人事安全，加強安全教育，防止用戶（特別是內(nèi)部用戶）泄密。2006-106《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)安全的要求——完整性解決問題：如何保護計算機系統(tǒng)內(nèi)軟件和數(shù)據(jù)不被非法刪改。軟件完整性數(shù)據(jù)完整性2006-107《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)安全的要求——保密性解決問題：如何防止用戶非法獲取關(guān)鍵的敏感信息，避免機密信息的泄露。加密是保護數(shù)據(jù)的一種重要方法，也是保護存儲在系統(tǒng)中的數(shù)據(jù)的一種有效手段，人們通常采用加密來保證數(shù)據(jù)的保密性。2006-108《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)安全的要求——可用性可用性是指無論何時，只要用戶需要，系統(tǒng)和網(wǎng)絡(luò)資源必須是可用的，尤其是當(dāng)計算機及網(wǎng)絡(luò)系統(tǒng)遭到非法攻擊時，它必須仍然能夠為用戶提供正常的系統(tǒng)功能或服務(wù)。為了保證系統(tǒng)和網(wǎng)絡(luò)的可用性，必須解決網(wǎng)絡(luò)和系統(tǒng)中存在的各種破壞可用性的問題。2006-109《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜計算機網(wǎng)絡(luò)的保護策略創(chuàng)建安全的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)加密調(diào)制解調(diào)器的安全災(zāi)難和意外計劃系統(tǒng)計劃和管理使用防火墻技術(shù)2006-1010《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜網(wǎng)絡(luò)安全的脆弱點網(wǎng)絡(luò)安全脆弱點的幾個方面通信設(shè)備網(wǎng)絡(luò)傳輸介質(zhì)網(wǎng)絡(luò)連接網(wǎng)絡(luò)操作系統(tǒng)病毒攻擊物理安全2006-1011《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜常用的安全工具防火墻防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng)，用于確定哪些內(nèi)部資源允許外部訪問，以及允許哪些內(nèi)部網(wǎng)用戶訪問哪些外部資源及服務(wù)；防火墻的基本類型有：包過濾型代理服務(wù)器型堡壘主機2006-1012《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜常用的安全工具鑒別報文鑒別身份認證數(shù)字簽名2006-1013《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜常用的安全工具其他工具訪問控制加/解密技術(shù)審計和入侵檢測安全掃描2006-1014《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜訪問控制技術(shù)作用：對訪問系統(tǒng)及其數(shù)據(jù)的人進行識別，并檢驗其身份——用戶是誰？該用戶的身份是否真實？基于口令的訪問控制技術(shù)選用口令應(yīng)遵循的原則增強口令安全性措施其他方法選擇性訪問控制技術(shù)2006-1015《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜設(shè)備安全調(diào)制解調(diào)器安全通信介質(zhì)的安全計算機與網(wǎng)絡(luò)設(shè)備的物理安全2006-1016《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜防火墻技術(shù)使用防火墻可用于“安全隔離”，其實質(zhì)就是限制什么數(shù)據(jù)可以“通過”防火墻進入到另一個網(wǎng)絡(luò)防火墻使用硬件平臺和軟件平臺來決定什么請求可以從外部網(wǎng)絡(luò)進入到內(nèi)部網(wǎng)絡(luò)或者從內(nèi)部到外部，其中包括的信息有電子郵件消息、文件傳輸、登錄到系統(tǒng)以及類似的操作等。2006-1017《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜防火墻的優(yōu)缺點防火墻的優(yōu)點允許網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中定義一個控制點，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔開；審查和記錄Internet使用情況的最佳點；設(shè)置網(wǎng)絡(luò)地址翻譯器（NAT）的最佳位置；作為向客戶或其他外部伙伴發(fā)送信息的中心聯(lián)系點；防火墻的局限性不能防范不經(jīng)過防火墻產(chǎn)生的攻擊；不能防范由于內(nèi)部用戶不注意所造成的威脅；不能防止受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸；很難防止數(shù)據(jù)驅(qū)動式攻擊；2006-1018《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜2006-1019《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜防火墻設(shè)計防火墻的基本準則“拒絕一切未被允許的東西”“允許一切未被特別拒絕的東西”機構(gòu)的安全策略必須以安全分析、風(fēng)險評估和商業(yè)需要分析為基礎(chǔ)；防火墻的費用取決于它的復(fù)雜程度以及要保護的系統(tǒng)規(guī)模；2006-1020《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜防火墻的種類包過濾路由器可以決定對它所收到的每個數(shù)據(jù)包的取舍。逐一審查每份數(shù)據(jù)包以及它是否與某個包過濾規(guī)則相匹配。過濾規(guī)則以IP數(shù)據(jù)包中的信息為基礎(chǔ)：IP源地址、IP目的地址、封裝協(xié)議（TCP、UDP、ICMP等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP報文類型、包輸入接口和包輸出接口等。如果找到一個匹配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。如果找到一個匹配，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄2006-1021《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜2006-1022《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜防火墻的種類代理服務(wù)器代理服務(wù)器上安裝有特殊用途的特別應(yīng)用程序，被稱為代理服務(wù)或代理服務(wù)器程序。使用代理服務(wù)后，各種服務(wù)不再直接通過防火墻轉(zhuǎn)發(fā)，對應(yīng)用數(shù)據(jù)的轉(zhuǎn)發(fā)取決于代理服務(wù)器的配置：只支持一個應(yīng)用程序的特定功能，同時拒絕所有其他功能；支持所有的功能，比如同時支持WWW、FTP、Telnet、SMTP和DNS等。2006-1023《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜2006-1024《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜防火墻的種類包過濾路由器允許信息包在外部系統(tǒng)與內(nèi)部系統(tǒng)之間的直接流動。代理服務(wù)器允許信息在系統(tǒng)之間流動，但不允許直接交換信息包。堡壘主機是Internet上的主機能夠連接到的、唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)，它對外而言，屏蔽了內(nèi)部網(wǎng)絡(luò)的主機系統(tǒng)，所以任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)時，都必須連接到堡壘主機上。堡壘主機的特點：堡壘主機的硬件平臺上運行的是一個比較“安全”的操作系統(tǒng)，以防止操作系統(tǒng)受損，同時也確保了防火墻的完整性。只有必要的服務(wù)才安裝在堡壘主機內(nèi)，如Telnet、DNS、FTP、SMTP和用戶認證等。2006-1025《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜2006-1026《計算機網(wǎng)絡(luò)基礎(chǔ)（第二版）》杜煜常見的網(wǎng)絡(luò)攻擊特洛伊木馬；拒絕服務(wù)（DoS）；郵件炸彈；

SYN淹沒攻擊；過載攻擊；入侵；信息竊??；病毒；2006-1027《計算機網(wǎng)絡(luò)