第8章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 課件

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第八章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第八章網(wǎng)絡(luò)安全第2

頁本章主要內(nèi)容網(wǎng)絡(luò)系統(tǒng)管理的概念和基本功能；網(wǎng)絡(luò)安全的基本概念，影響網(wǎng)絡(luò)安全的因素和網(wǎng)絡(luò)安全對(duì)策，數(shù)據(jù)加密的基本概念、常用的加密算法和鑒別技術(shù)的應(yīng)用，網(wǎng)絡(luò)防火墻的概念、技術(shù)分類和應(yīng)用。第2頁本章主要內(nèi)容網(wǎng)絡(luò)系統(tǒng)管理的概念和基本功能；網(wǎng)絡(luò)安2第3

頁本章要求了解簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的組成及應(yīng)用了解影響網(wǎng)絡(luò)安全的因素和網(wǎng)絡(luò)安全對(duì)策了解數(shù)據(jù)加密的基本概念、常用的加密方法和鑒別技術(shù)的應(yīng)用了解網(wǎng)絡(luò)防火墻的概念、技術(shù)和應(yīng)用掌握網(wǎng)絡(luò)管理的基本功能、網(wǎng)絡(luò)安全的基本概念和內(nèi)涵第3頁本章要求了解簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的組成及應(yīng)用3第4

頁8.1網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理的概念網(wǎng)絡(luò)管理主要是要保障網(wǎng)絡(luò)系統(tǒng)能夠持續(xù)、穩(wěn)定、高效和可靠的運(yùn)行，對(duì)組成網(wǎng)絡(luò)的各種網(wǎng)絡(luò)的軟硬件設(shè)施和人員進(jìn)行綜合的管理。網(wǎng)絡(luò)管理的內(nèi)容：

(1)數(shù)據(jù)通信網(wǎng)中的流量控制(2)路由選擇策略管理（適應(yīng)不斷變化的網(wǎng)絡(luò)）(3)網(wǎng)絡(luò)安全保護(hù)(4)網(wǎng)絡(luò)的故障診斷與修復(fù)第4頁8.1網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理的概念4第5

頁網(wǎng)絡(luò)管理系統(tǒng)組成一個(gè)網(wǎng)管系統(tǒng)從邏輯上包括管理進(jìn)程、管理代理、管理信息庫和管理協(xié)議四部分。管理對(duì)象：是指網(wǎng)絡(luò)中設(shè)備對(duì)應(yīng)的具體可以操作的數(shù)據(jù)等。管理進(jìn)程：用于對(duì)網(wǎng)絡(luò)設(shè)備和設(shè)施進(jìn)行全面管理和控制的軟件。管理信息庫：用于記錄網(wǎng)絡(luò)中被管理對(duì)象的相關(guān)信息。管理協(xié)議：負(fù)責(zé)在管理系統(tǒng)和管理對(duì)象之間傳輸操作命令和解釋管理操作命令。第5頁網(wǎng)絡(luò)管理系統(tǒng)組成一個(gè)網(wǎng)管系統(tǒng)從邏輯上包括管理進(jìn)程5第6

頁網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理的能功分為配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理五個(gè)功能集合。配置管理就是用來定義、記錄、控制和檢測(cè)網(wǎng)絡(luò)中的被管理對(duì)象的集合。網(wǎng)絡(luò)故障管理是指對(duì)網(wǎng)絡(luò)系統(tǒng)故障的預(yù)防、檢測(cè)(診斷)、恢復(fù)或排除等操作進(jìn)行管理。第6頁網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理的能功分為配置管理、性能管理6第7

頁網(wǎng)絡(luò)管理功能性能管理主要是通過收集、分析和測(cè)試網(wǎng)絡(luò)性能參數(shù)，評(píng)價(jià)網(wǎng)絡(luò)運(yùn)行過程中的主要性能指標(biāo)，為管理機(jī)構(gòu)提供決策依據(jù)。網(wǎng)絡(luò)安全管理是用來保護(hù)網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的安全。網(wǎng)絡(luò)計(jì)費(fèi)管理就是控制和管理用戶使用的網(wǎng)絡(luò)資源，核算用戶費(fèi)用等。第7頁網(wǎng)絡(luò)管理功能性能管理主要是通過收集、分析和測(cè)試網(wǎng)7第8

頁8.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指采取各種技術(shù)和管理措施防止網(wǎng)絡(luò)中各種資源不被有意或無意地破壞和侵害等。網(wǎng)絡(luò)系統(tǒng)安全主要涉及系統(tǒng)的可靠性、軟件和數(shù)據(jù)的完整性、可用性和保密性幾方面的問題。第8頁8.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述8第9

頁網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)的可靠性：保證網(wǎng)絡(luò)系統(tǒng)不因各種因素的影響而中斷正常工作；數(shù)據(jù)的完整性：保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)和傳輸?shù)能浖?程序)與數(shù)據(jù)不被非法操作，如刪除、添加、更改等；數(shù)據(jù)的可用性：保證數(shù)據(jù)完整的同時(shí)還能被正常利用和操作；數(shù)據(jù)的保密性：數(shù)據(jù)的保密性主要是利用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密處理，保證在系統(tǒng)中存儲(chǔ)和網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被無關(guān)人員識(shí)別。第9頁網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)的可靠性：保證網(wǎng)絡(luò)系統(tǒng)不因各種因9第10

頁網(wǎng)絡(luò)面臨的不安全因素網(wǎng)絡(luò)系統(tǒng)的脆弱性操作系統(tǒng)的脆弱電磁泄漏數(shù)據(jù)的可訪問性通信協(xié)議和通信系統(tǒng)的脆弱數(shù)據(jù)庫系統(tǒng)的脆弱網(wǎng)絡(luò)存儲(chǔ)介質(zhì)的脆弱第10頁網(wǎng)絡(luò)面臨的不安全因素網(wǎng)絡(luò)系統(tǒng)的脆弱性10第11

頁網(wǎng)絡(luò)面臨的不安全因素網(wǎng)絡(luò)系統(tǒng)的威脅無意威脅是在無預(yù)謀的情況下破壞了系統(tǒng)的安全性、可靠性或資源的完整性等故意威脅實(shí)際上就是“人為攻擊”。如從事工業(yè)、商業(yè)或軍事情報(bào)的搜集工作的間諜，對(duì)相應(yīng)領(lǐng)域的網(wǎng)絡(luò)信息是最感興趣的，他們對(duì)網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成了主要威脅。第11頁網(wǎng)絡(luò)面臨的不安全因素網(wǎng)絡(luò)系統(tǒng)的威脅11第12

頁被動(dòng)攻擊和主動(dòng)攻擊對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊，可從隨便瀏覽信息到使用特殊技術(shù)對(duì)系統(tǒng)進(jìn)行攻擊以得到有針對(duì)性的信息。這些攻擊又可分為被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)攻擊（竊聽）是指攻擊者只通過觀察網(wǎng)絡(luò)線路上的信息，而不干擾信息的正常流動(dòng)，如被動(dòng)地搭線竊聽或非授權(quán)地閱讀信息；主動(dòng)攻擊（篡改）是指攻擊者對(duì)傳輸中的信息或存儲(chǔ)的信息進(jìn)行各種非法處理，如有選擇地更改、插入、延遲、刪除或復(fù)制信息。關(guān)鍵是看對(duì)信息有無篡改第12頁被動(dòng)攻擊和主動(dòng)攻擊對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊，可從隨便瀏12第13

頁被動(dòng)攻擊和主動(dòng)攻擊（圖示）發(fā)送方接收方攻擊者(a)被動(dòng)攻擊發(fā)送方接收方攻擊者(b)主動(dòng)攻擊第13頁被動(dòng)攻擊和主動(dòng)攻擊（圖示）發(fā)送方接收方攻擊者(13第14

頁對(duì)系統(tǒng)的故意威脅中斷（主動(dòng)攻擊）：指系統(tǒng)資源遭到破壞或變得無法使用，是對(duì)系統(tǒng)可靠性的攻擊；竊?。ū粍?dòng)攻擊）：指未被授權(quán)的實(shí)體得到了資源的訪問權(quán)，是對(duì)數(shù)據(jù)保密性的攻擊；修改（主動(dòng)攻擊）:指未被授權(quán)的實(shí)體不僅得到了資源的訪問權(quán)，而且還篡改了資源，是對(duì)數(shù)據(jù)完整性的攻擊；捏造（主動(dòng)攻擊）:指未被授權(quán)的實(shí)體向系統(tǒng)中插入偽造的對(duì)象，是對(duì)數(shù)據(jù)真實(shí)性的攻擊。以上四種情況除竊取屬被動(dòng)攻擊外，其余都是主動(dòng)攻擊類型。第14頁對(duì)系統(tǒng)的故意威脅中斷（主動(dòng)攻擊）：指系統(tǒng)資源遭14第15

頁計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一種能破壞計(jì)算機(jī)系統(tǒng)資源的特殊計(jì)算機(jī)程序。它可在系統(tǒng)中生存、繁殖和傳播。計(jì)算機(jī)病毒具有隱蔽性、傳播性、潛伏性、觸發(fā)性和破壞性。它一旦發(fā)作，輕者會(huì)影響系統(tǒng)的工作效率，占用系統(tǒng)資源，重者會(huì)毀壞系統(tǒng)的重要信息，甚至使整個(gè)網(wǎng)絡(luò)系統(tǒng)陷于癱瘓。第15頁計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一種能破壞計(jì)算機(jī)系統(tǒng)資源15第16

頁一些經(jīng)典的計(jì)算機(jī)病毒黑色星期五（4.25）小球病毒（我國(guó).1988年）CIH（1998年,第一個(gè)破壞硬件的病毒）尼姆達(dá)病毒（2001年）求職信病毒（2001年10月）沖擊波病毒（2003）振蕩波病毒（2004）熊貓燒香（2006）第16頁一些經(jīng)典的計(jì)算機(jī)病毒黑色星期五16第17

頁網(wǎng)絡(luò)安全策略和措施安全策略模型一個(gè)常用的網(wǎng)絡(luò)安全策略模型是PDRR模型，。PDRR是四個(gè)英文單詞的字頭：Protection(防護(hù))Detection(檢測(cè))Response(響應(yīng))Recovery(恢復(fù))。

第17頁網(wǎng)絡(luò)安全策略和措施安全策略模型17第18

頁防護(hù)安全策略的第一關(guān)就是防護(hù)。防護(hù)就是根據(jù)系統(tǒng)已知的可能安全問題采取一些預(yù)防措施，如打補(bǔ)丁、訪問控制、數(shù)據(jù)加密等，不讓攻擊者順利入侵。防護(hù)是PDRR模型中最重要的部分。防護(hù)可以預(yù)防大多數(shù)的入侵事件。防護(hù)可分為三類：系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)和信息安全防護(hù)。第18頁防護(hù)安全策略的第一關(guān)就是防護(hù)。防護(hù)就是根據(jù)系統(tǒng)18第19

頁檢測(cè)安全策略的第二關(guān)是檢測(cè)。攻擊者如果穿過防護(hù)系統(tǒng)，檢測(cè)系統(tǒng)就會(huì)檢測(cè)出來。防護(hù)系統(tǒng)可以阻止大多數(shù)的入侵事件，但不能阻止所有的入侵事件。特別是那些利用新的系統(tǒng)缺陷、新攻擊手段的入侵。如果入侵事件發(fā)生，就啟動(dòng)檢測(cè)系統(tǒng)進(jìn)行檢測(cè)。該系統(tǒng)叫IDS(入侵檢測(cè)系統(tǒng))。第19頁檢測(cè)安全策略的第二關(guān)是檢測(cè)。攻擊者如果穿過防護(hù)19第20

頁響應(yīng)一旦檢測(cè)出入侵，響應(yīng)系統(tǒng)則開始響應(yīng)，進(jìn)行事件處理。響應(yīng)工作由特殊部門(計(jì)算機(jī)緊急響應(yīng)小組)負(fù)責(zé)。恢復(fù)系統(tǒng)恢復(fù)是指事件發(fā)生后，把系統(tǒng)恢復(fù)到原來狀態(tài)或比原來更安全的狀態(tài)?；謴?fù)也分為系統(tǒng)恢復(fù)和信息恢復(fù)兩方面內(nèi)容。系統(tǒng)恢復(fù)是指修補(bǔ)缺陷和消除后門。信息恢復(fù)是指恢復(fù)丟失的數(shù)據(jù)。第20頁響應(yīng)20第21

頁網(wǎng)絡(luò)安全策略安全立法安全管理網(wǎng)絡(luò)實(shí)體安全系統(tǒng)訪問控制數(shù)據(jù)加密保護(hù)第21頁網(wǎng)絡(luò)安全策略安全立法21第22

頁網(wǎng)絡(luò)安全機(jī)制和安全服務(wù)文件中規(guī)定網(wǎng)絡(luò)安全機(jī)制有八項(xiàng)：加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、信息量填充機(jī)制、路由控制機(jī)制公證機(jī)制。第22頁網(wǎng)絡(luò)安全機(jī)制和安全服務(wù)文件中規(guī)定網(wǎng)絡(luò)安全機(jī)制有22第23

頁網(wǎng)絡(luò)安全機(jī)制和安全服務(wù)文件中規(guī)定的網(wǎng)絡(luò)安全服務(wù)有六項(xiàng)：對(duì)等實(shí)體鑒別服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源鑒別服務(wù)非否認(rèn)服務(wù)。第23頁網(wǎng)絡(luò)安全機(jī)制和安全服務(wù)文件中規(guī)定的網(wǎng)絡(luò)安全服務(wù)23第24

頁8.2.2數(shù)據(jù)加密技術(shù)密碼學(xué)的基本概念密碼學(xué)從其發(fā)展來看，可分為兩大階段：傳統(tǒng)密碼學(xué)和計(jì)算機(jī)密碼學(xué)。第一階段：傳統(tǒng)密碼學(xué)。主要是靠人工進(jìn)行信息加密、傳輸和破譯第二階段：計(jì)算機(jī)密碼學(xué)。1.傳統(tǒng)方式計(jì)算機(jī)密碼學(xué)2.現(xiàn)代方式計(jì)算機(jī)密碼學(xué)對(duì)稱密鑰密碼體制公開密鑰密碼體制第24頁8.2.2數(shù)據(jù)加密技術(shù)密碼學(xué)的基本概念24第25

頁密碼學(xué)的分類密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)兩部分，這兩部分相互對(duì)立，但也相互促進(jìn)，相輔相成。密碼編碼學(xué)研究的是通過編碼技術(shù)來改變被保護(hù)信息的形式，使得編碼后的信息除指定接收者之外的其他人都不可理解密碼分析學(xué)研究的是如何攻破一個(gè)密碼系統(tǒng)，恢復(fù)被隱藏起來的信息的本來面目第25頁密碼學(xué)的分類密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)兩25第26

頁概念加密：把信息從一個(gè)可理解的明文形式變換成一個(gè)錯(cuò)亂的、不可理解的密文形式的過程解密：將密文還原為明文的過程明文(PlainText)：原來的信息(報(bào)文)、消息，就是網(wǎng)絡(luò)中所說的報(bào)文(Message)密文(CipherText)：經(jīng)過加密后得到的信息密鑰(Key)：加密時(shí)所使用的參數(shù)第26頁概念加密：把信息從一個(gè)可理解的明文形式變換成26第27

頁簡(jiǎn)單的密碼系統(tǒng)示意圖明文P解密密鑰Kd解密(D)加密密鑰Ke加密(E)明文P密文C攻擊者第27頁簡(jiǎn)單的密碼系統(tǒng)示意圖明文P解密密鑰Kd解密(27第28

頁加密實(shí)際上是要完成某種函數(shù)運(yùn)算C=?(P,K)，對(duì)于一個(gè)確定的加密密鑰Ke，加密過程可看作是只有一個(gè)自變量的函數(shù)，記作Ek，加密變換為：

C=Ek(P)

(加密變換作用于明文P后得到密文C)同樣，解密也完成某種函數(shù)的運(yùn)算P=g(C,K)對(duì)于確定的解密密鑰Kd，解密過程為：

P=Dk(C)(解密變換作用于密文C后得到明文P)第28頁加密實(shí)際上是要完成某種函數(shù)運(yùn)算C=?(P,K28第29

頁傳統(tǒng)密鑰密碼體制和公開密鑰密碼體制如果加密密鑰和解密密鑰相同或相近，由其中一個(gè)很容易地得出另一個(gè)，這樣的系統(tǒng)稱為對(duì)稱密鑰系統(tǒng)，加密和解密密鑰都是保密的；如果加密密鑰與解密密鑰不同，且由其中一個(gè)不容易得到另一個(gè)，則這種密碼系統(tǒng)是非對(duì)稱密鑰系統(tǒng)，往往其中一個(gè)密鑰是公開的，另一個(gè)是保密的。第29頁傳統(tǒng)密鑰密碼體制和公開密鑰密碼體制如果加密密鑰29第30

頁通信加密方式鏈路加密鏈路加密(LinkEncryption)是傳輸數(shù)據(jù)僅在相鄰節(jié)點(diǎn)的數(shù)據(jù)鏈路層上進(jìn)行加密。端--端加密端--端加密(End-to-EndEncryption)是傳輸數(shù)據(jù)在應(yīng)用層上完成加密的。與鏈路加密相比，端—端加密具有成本低、保密性強(qiáng)、靈活性好等優(yōu)點(diǎn)，應(yīng)用場(chǎng)合較多。第30頁通信加密方式鏈路加密30第31

頁鑒別技術(shù)鑒別(Authentication也叫驗(yàn)證)是防止主動(dòng)攻擊的重要技術(shù)。鑒別的目的就是驗(yàn)證一個(gè)用戶身份的合法性和用戶間傳輸信息的完整性與真實(shí)性。鑒別包括報(bào)文鑒別和身份驗(yàn)證。報(bào)文鑒別是為了確保數(shù)據(jù)的完整性和真實(shí)性，對(duì)報(bào)文的來源、時(shí)間性及目的地進(jìn)行驗(yàn)證。身份驗(yàn)證是驗(yàn)證進(jìn)入網(wǎng)絡(luò)系統(tǒng)者是否是合法用戶，以防非法用戶訪問系統(tǒng)。第31頁鑒別技術(shù)鑒別(Authentication也31第32

頁數(shù)字簽名數(shù)字簽名(DigitalSignature)可解決手寫簽名中的簽字人否認(rèn)簽字或其他人偽造簽字等問題。因此，被廣泛用于銀行的信用卡系統(tǒng)、電子商務(wù)系統(tǒng)、電子郵件以及其他需要驗(yàn)證、核對(duì)信息真?zhèn)蔚南到y(tǒng)中。數(shù)字簽名的功能：收方能夠確認(rèn)發(fā)方的簽名，但不能偽造；發(fā)方發(fā)出簽過名的信息后，不能再否認(rèn)；收方對(duì)收到的簽名信息也不能否認(rèn)；一旦收發(fā)方出現(xiàn)爭(zhēng)執(zhí)，仲裁者可有充足的證據(jù)進(jìn)行評(píng)判。第32頁數(shù)字簽名數(shù)字簽名(DigitalSignat32第33

頁一個(gè)典型的由公開密鑰密碼體制實(shí)現(xiàn)的、帶有加密功能的數(shù)字簽名過程如下圖KBd加密(E)KBe解密(D)C信道簽名驗(yàn)證KAdKAeABMSSM第33頁一個(gè)典型的由公開密鑰密碼體制實(shí)現(xiàn)的、帶有加密功33第34

頁8.2.3防火墻防火墻(Firewall)是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組安全系統(tǒng)。它是一種計(jì)算機(jī)硬件和軟件系統(tǒng)的集合，是實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的有效工具之一，被廣泛地應(yīng)用到Internet與Intranet之間。第34頁8.2.3防火墻防火墻(Firewall)是34第35

頁防火墻的位置內(nèi)部網(wǎng)外部網(wǎng)LAN1服務(wù)器Web服務(wù)器千兆網(wǎng)交換機(jī)網(wǎng)管工作站Internet數(shù)據(jù)庫服務(wù)器郵件服務(wù)器集線器防火墻LAN2第35頁防火墻的位置內(nèi)部網(wǎng)外部網(wǎng)LAN1服務(wù)器Web35第36

頁防火墻具有的功能強(qiáng)化網(wǎng)絡(luò)安全策略，集中化的網(wǎng)絡(luò)安全管理；記錄和統(tǒng)計(jì)網(wǎng)絡(luò)訪問活動(dòng)；限制暴露用戶點(diǎn)，控制對(duì)特殊站點(diǎn)的訪問；網(wǎng)絡(luò)安全策略檢查。第36頁防火墻具有的功能強(qiáng)化網(wǎng)絡(luò)安全策略，集中化的網(wǎng)絡(luò)36第37

頁防火墻技術(shù)及分類防火墻技術(shù)大體上分為兩類：網(wǎng)絡(luò)層防火墻技術(shù)（包過濾防火墻）和應(yīng)用層防火墻技術(shù)（代理服務(wù)器濾防火墻）。包過濾是在網(wǎng)絡(luò)的出口(如路由器上)對(duì)通過的數(shù)據(jù)包進(jìn)行檢測(cè)，只有滿足條件的數(shù)據(jù)包才允許通過，否則被拋棄。這樣可以有效地防止惡意用戶利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)進(jìn)行攻擊。代理服務(wù)位于內(nèi)部用戶和外部服務(wù)之間。代理程序在幕后處理所有用戶和Internet服務(wù)之間的通信以代替相互間的直接交談。第37頁防火墻技術(shù)及分類防火墻技術(shù)大體上分為兩類：網(wǎng)37第38

頁防火墻應(yīng)用系統(tǒng)一般，構(gòu)成防火墻的體系結(jié)構(gòu)有三種：雙穴主機(jī)結(jié)構(gòu)、主機(jī)過濾結(jié)構(gòu)和子網(wǎng)過濾結(jié)構(gòu)。按照這三種體系結(jié)構(gòu)構(gòu)建的防火墻應(yīng)用系統(tǒng)是雙穴主機(jī)防火墻、主機(jī)過濾防火墻和子網(wǎng)過濾防火墻。第38頁防火墻應(yīng)用系統(tǒng)一般，構(gòu)成防火墻的體系結(jié)構(gòu)有三種38第39

頁雙穴主機(jī)防火墻雙穴(接口)主機(jī)分別與受保護(hù)的內(nèi)部子網(wǎng)及Internet網(wǎng)絡(luò)連接，起著監(jiān)視和隔離應(yīng)用層信息流的作用，徹底隔離了所有的內(nèi)部主機(jī)與外部主機(jī)的可能連接。雙穴主機(jī)可與內(nèi)部網(wǎng)系統(tǒng)通信，也可與外部網(wǎng)系統(tǒng)通信。借助于雙穴主機(jī)，防火墻內(nèi)外兩網(wǎng)的計(jì)算機(jī)便可(間接)通信了。即內(nèi)外網(wǎng)的主機(jī)不能直接交換信息，信息交換要由該雙穴主機(jī)“代理”并“服務(wù)”，因此該主機(jī)也相當(dāng)于代理服務(wù)器。第39頁雙穴主機(jī)防火墻雙穴(接口)主機(jī)分別與受保護(hù)的內(nèi)39第40

頁雙穴主機(jī)結(jié)構(gòu)防火墻（圖示）客戶機(jī)客戶機(jī)服務(wù)器內(nèi)部網(wǎng)絡(luò)

客戶機(jī)Internet雙穴主機(jī)防火墻第40頁雙穴主機(jī)結(jié)構(gòu)防火墻（圖示）客戶機(jī)客戶機(jī)服務(wù)器內(nèi)40第41

頁主機(jī)過濾防火墻主機(jī)過濾結(jié)構(gòu)中提供安全保障的主機(jī)在內(nèi)部網(wǎng)中，加上一臺(tái)單獨(dú)的過濾路由器，一起構(gòu)成該結(jié)構(gòu)的防火墻。堡壘主機(jī)是Internet主機(jī)連接內(nèi)部網(wǎng)系統(tǒng)的橋梁。任何外部系統(tǒng)試圖訪問內(nèi)部網(wǎng)系統(tǒng)或服務(wù)，都必須連接到該主機(jī)上。因此該主機(jī)需要高級(jí)別安全。第41頁主機(jī)過濾防火墻主機(jī)過濾結(jié)構(gòu)中提供安全保障的主41第42

頁主機(jī)過濾防火墻（圖示）堡壘主機(jī)內(nèi)部網(wǎng)絡(luò)Internet路由器防火墻客戶機(jī)客戶機(jī)服務(wù)器第42頁主機(jī)過濾防火墻（圖示）堡壘主機(jī)內(nèi)部網(wǎng)絡(luò)42第43

頁子網(wǎng)過濾防火墻子網(wǎng)過濾結(jié)構(gòu)是在主機(jī)過濾體系結(jié)構(gòu)中又增加了一個(gè)額外的安全層次而構(gòu)成。增加的安全層次包括一臺(tái)堡壘主機(jī)和一臺(tái)路由器。兩路由起之間是一個(gè)被稱為周邊網(wǎng)絡(luò)或參數(shù)網(wǎng)絡(luò)的安全子網(wǎng)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。堡壘主機(jī)通過內(nèi)部、外部?jī)蓚€(gè)路由器與內(nèi)部、外部網(wǎng)絡(luò)隔開，這樣可減少堡壘主機(jī)被侵襲的影響。被保護(hù)的內(nèi)部子網(wǎng)主機(jī)置于內(nèi)部包過濾路由器內(nèi)，堡壘主機(jī)被置于內(nèi)部和外部包過濾路由器之間。第43頁子網(wǎng)過濾防火墻子網(wǎng)過濾結(jié)構(gòu)是在主機(jī)過濾體系結(jié)構(gòu)43第44

頁在內(nèi)、外部?jī)蓚€(gè)路由器上都設(shè)置了包過濾規(guī)則，兩者的包過濾規(guī)則基本上相同。內(nèi)部路由器完成防火墻的大部分包過濾工作，它的主要功能就是保護(hù)內(nèi)部網(wǎng)免受來自外部網(wǎng)與周邊網(wǎng)絡(luò)的侵?jǐn)_。外部路由器既可保護(hù)參數(shù)網(wǎng)絡(luò)又保護(hù)內(nèi)部網(wǎng)。實(shí)際上，在外部路由器上僅做一小部分包過濾。第44頁在內(nèi)、外部?jī)蓚€(gè)路由器上都設(shè)置了包過濾規(guī)則，兩者448.2.5黑客攻擊及防范黑客：黑客最早源自英文hacker，早期在美國(guó)的電腦界是帶有褒義的。但在媒體報(bào)導(dǎo)中，黑客一詞往往指那些“軟件駭客”(softwarecracker)。黑客一詞，原指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。但今天黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙。對(duì)這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。第45

頁8.2.5黑客攻擊及防范黑客：黑客最早源自英文hacker45黑客攻擊的動(dòng)機(jī)貪心－偷竊或者敲詐惡作劇–無聊的計(jì)算機(jī)程序員名聲–顯露出計(jì)算機(jī)經(jīng)驗(yàn)與才智，以便證明他們的能力和獲得名氣報(bào)復(fù)/宿怨–解雇、受批評(píng)或者被降級(jí)的雇員，或者其他任何認(rèn)為其被不公平地對(duì)待的人無知/好奇–失誤和破壞了信息還不知道破壞了什么黑客道德-這是許多構(gòu)成黑客人物的動(dòng)機(jī)仇恨-國(guó)家和民族原因間諜－政治和軍事目的諜報(bào)工作商業(yè)－商業(yè)競(jìng)爭(zhēng)，商業(yè)間諜第46

頁黑客攻擊的動(dòng)機(jī)貪心－偷竊或者敲詐第46頁46黑客入侵攻擊的一般過程

1.

確定攻擊的目標(biāo)。2.

收集被攻擊對(duì)象的有關(guān)信息。3.

利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。4.

建立模擬環(huán)境，進(jìn)行模擬攻擊。5.

實(shí)施攻擊。6.清除痕跡。第47

頁黑客入侵攻擊的一般過程1.

確定攻擊的目標(biāo)。47DDoSDoS（拒絕服務(wù)式攻擊）的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法用戶的指令。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高,它的效果是明顯的。DDoS（分布式的拒絕服務(wù)）攻擊手段就應(yīng)運(yùn)而生了。理解了DoS攻擊的話，它的原理就很簡(jiǎn)單。如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺(tái)攻擊機(jī)來攻擊不再能起作用的話，攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢？用100臺(tái)呢？DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。第48

頁DDoSDoS（拒絕服務(wù)式攻擊）的攻擊方式有很多種，最基本的48木馬（Trojanhorse）木馬是一種基于遠(yuǎn)程控制的黑客工具隱蔽性潛伏性危害性非授權(quán)性第49

頁木馬（Trojanhorse）木馬是一種基于遠(yuǎn)程控制的黑客49木馬與病毒、遠(yuǎn)程控制的區(qū)別病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個(gè)人隱私等行為。木馬和一般的遠(yuǎn)程控制軟件的區(qū)別在于其隱蔽、非授權(quán)性。第50

頁木馬與病毒、遠(yuǎn)程控制的區(qū)別病毒程序是以自發(fā)性的敗壞為目的第50木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口控制木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序（里應(yīng)外合）操作系51