網(wǎng)絡(luò)安全(PPT36頁(yè))2025/12/21網(wǎng)絡(luò)安全(PPT36頁(yè))網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)安全是信息安全學(xué)科的重要組成部分，涉及計(jì)算機(jī)科學(xué)、網(wǎng)路技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多個(gè)學(xué)科的綜合科學(xué)。網(wǎng)絡(luò)的安全是指通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。比如：從用戶（個(gè)人、企業(yè)等）的角度來(lái)說(shuō)，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)。而從企業(yè)的角度來(lái)說(shuō)，最重要的就是內(nèi)部信息上的安全加密以及保護(hù)。網(wǎng)絡(luò)安全(PPT36頁(yè))網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)可為計(jì)算機(jī)信息的獲取、傳輸、處理、利用與共享提供一個(gè)高效、快捷、安全的通信環(huán)境與傳輸通道。網(wǎng)絡(luò)安全從根本上解決的網(wǎng)絡(luò)中存在的安全隱患問(wèn)題，從而確保信息在網(wǎng)絡(luò)環(huán)境中的存儲(chǔ)、處理與傳輸安全的目的。因此，網(wǎng)絡(luò)安全技術(shù)主要考慮對(duì)其構(gòu)成威脅的主要因素，歸納為8個(gè)因素。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)防攻擊技術(shù)網(wǎng)絡(luò)防攻擊技術(shù)：如網(wǎng)絡(luò)被攻擊，出現(xiàn)網(wǎng)絡(luò)癱瘓，則無(wú)法正常工作，要采取攻擊防范措施。就要先了解主要的攻擊類型。網(wǎng)絡(luò)攻擊的基本類型：劃分為服務(wù)攻擊與非服務(wù)攻擊，從黑客攻擊的手段上可以劃分為8種：系統(tǒng)入侵類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)類攻擊、防火墻攻擊、病毒類攻擊、木馬程序攻擊、后門攻擊。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)防攻擊技術(shù)服務(wù)攻擊的特點(diǎn)：服務(wù)攻擊（applicationdependentattack）是指對(duì)為網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成網(wǎng)絡(luò)的“拒絕服務(wù)”，使網(wǎng)絡(luò)工作不正常。拒絕服務(wù)攻擊（denial-of-service-attack）產(chǎn)生的效果表現(xiàn)在消耗帶寬、消耗計(jì)算資源、使系統(tǒng)和應(yīng)用崩潰等3個(gè)方面，它阻止某種服務(wù)的合法使用者訪問(wèn)他有權(quán)訪問(wèn)的服務(wù)。特定的網(wǎng)絡(luò)服務(wù)包括E-mail、TELNET、FTP、WWW服務(wù)等。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)防攻擊技術(shù)非服務(wù)攻擊的特點(diǎn)：非服務(wù)攻擊（applicationindependentattack）不針對(duì)某項(xiàng)具體應(yīng)用服務(wù)，而是針對(duì)網(wǎng)絡(luò)層等低層協(xié)議進(jìn)行的。攻擊者可能使用各種工具方法對(duì)網(wǎng)絡(luò)通信設(shè)備（路由器、交換機(jī)）發(fā)起攻擊，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓。與服務(wù)攻擊相比，非服務(wù)攻擊與特定服務(wù)無(wú)關(guān)。它往往利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)協(xié)議時(shí)的漏洞來(lái)達(dá)到攻擊的目的，更為隱蔽且常常被人所忽略，因而是一種更為危險(xiǎn)的攻擊手段。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)防攻擊技術(shù)黑客攻擊的主要手段：1.緩沖區(qū)溢出攻擊：向一個(gè)有限空間的緩沖區(qū)拷貝了過(guò)長(zhǎng)的字符，結(jié)果會(huì)出現(xiàn)了兩種情況：一是過(guò)長(zhǎng)的字符覆蓋了相鄰的存儲(chǔ)單元，這樣會(huì)引起程序運(yùn)行的失敗，嚴(yán)重的話，可以導(dǎo)致當(dāng)機(jī)、系統(tǒng)重新啟動(dòng)等后果；二是利用這樣的漏洞可以執(zhí)行任意的指令，甚至獲得系統(tǒng)的操作權(quán)。第一個(gè)緩沖區(qū)溢出攻擊--Morris蠕蟲。2.欺騙類攻擊：利用TCP/IP協(xié)議本身的一些缺陷，黑客可對(duì)其進(jìn)行網(wǎng)絡(luò)欺騙的主要方式有：IP欺騙、ARP欺騙、DNS欺騙、WEB欺騙、電子郵件欺騙、（通過(guò)指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信、或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作、地址欺騙（包括偽造源地址和偽造中間站點(diǎn)）等。/art/200809/88605.htm網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)防攻擊技術(shù)黑客攻擊的主要手段：3.拒絕服務(wù)攻擊：即攻擊者想辦法讓目標(biāo)主機(jī)停止提供服務(wù)或資源訪問(wèn)，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問(wèn)。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。4.后門類攻擊：通常黑客在得到一個(gè)主機(jī)的控制權(quán)后，總是考慮如何使下次闖進(jìn)來(lái)能夠輕易些，而不需要每次都重復(fù)利用復(fù)雜的漏洞，因?yàn)橛锌赡鼙幌到y(tǒng)管理員發(fā)現(xiàn)漏洞并及時(shí)補(bǔ)上。這時(shí)就需要安裝backdoor（后門）了，這樣只要管理員沒(méi)有發(fā)現(xiàn)被入侵或沒(méi)有發(fā)現(xiàn)這個(gè)后門，下次就可以非常輕松的通過(guò)后門進(jìn)入了。/9281334/viewspace-956028//437/8893437.shtml網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)防攻擊技術(shù)網(wǎng)絡(luò)防攻擊研究主要解決以下問(wèn)題：1.網(wǎng)絡(luò)可能遭到那些人的攻擊2.攻擊類型與手段有哪些3.如何及時(shí)檢測(cè)并報(bào)告網(wǎng)絡(luò)被攻擊4.如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護(hù)體系網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)安全漏洞與對(duì)策研究網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行一定涉及到計(jì)算機(jī)硬件與操作系統(tǒng)、網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用軟件，以及各種通信協(xié)議。他們都會(huì)存在一些問(wèn)題，不可能是百分之百無(wú)缺陷或者無(wú)漏洞的。網(wǎng)絡(luò)服務(wù)是通過(guò)各種協(xié)議來(lái)完成的，因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面。值得注意的是網(wǎng)絡(luò)協(xié)議的安全性是很難得到絕對(duì)保證的。目前，保證協(xié)議安全性主要有兩種方法：1.用形式化方法來(lái)證明一個(gè)協(xié)議是安全的，主要是采用漏洞分析確保其安全性。因此具有很大的局限性2.用設(shè)計(jì)者的經(jīng)驗(yàn)來(lái)分析協(xié)議安全性，經(jīng)驗(yàn)有限、認(rèn)識(shí)不足等。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)安全漏洞與對(duì)策研究網(wǎng)絡(luò)安全漏洞的存在是不可避免的。網(wǎng)絡(luò)軟件的漏洞和“后門”是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。要求網(wǎng)絡(luò)管理人員與網(wǎng)絡(luò)安全研究人員主動(dòng)地了解本地系統(tǒng)的計(jì)算機(jī)硬件與操作系統(tǒng)、網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)等網(wǎng)絡(luò)通信協(xié)議可能存在的安全隱患。利用各種工具測(cè)試主動(dòng)監(jiān)測(cè)可能存在的漏洞。及時(shí)防范，提出補(bǔ)救措施。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)中的信息安全問(wèn)題黑客攻擊手段和方法多種多樣，一般可以分為主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊：是以各種方式有選擇地破壞信息的有效性和完整性。被動(dòng)攻擊：是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行信息的截獲、盜取和破譯。網(wǎng)絡(luò)中的信息安全主要分為：信息存儲(chǔ)安全和信息傳輸安全。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)中的信息安全問(wèn)題信息存儲(chǔ)安全：是指如何保證靜態(tài)存在聯(lián)網(wǎng)計(jì)算機(jī)中的信息不被未授權(quán)的網(wǎng)絡(luò)用戶非法使用。網(wǎng)絡(luò)中的非法用戶可以通過(guò)猜測(cè)用戶口令或盜取口令，或者設(shè)法繞過(guò)網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)來(lái)冒充合法用戶，非法查看、下載、使用、修改、刪除未被授權(quán)訪問(wèn)的信息，使用未必授權(quán)的網(wǎng)絡(luò)服務(wù)。用戶保護(hù)手段一般是用戶訪問(wèn)權(quán)限設(shè)置、用戶口令加密、用戶身份認(rèn)證、數(shù)據(jù)加密等。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)中的信息安全問(wèn)題信息傳輸安全：是指如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與不被攻擊。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)中的信息安全問(wèn)題截獲信息：信息重信息源節(jié)點(diǎn)發(fā)送出來(lái)，中途被攻擊者非法截獲，信息目的節(jié)點(diǎn)沒(méi)有接收到應(yīng)該接受的信息，因而造成了信息在傳輸途中丟失。竊聽信息：信息從信息源節(jié)點(diǎn)傳輸?shù)叫畔⒛康墓?jié)點(diǎn)，但中途被攻擊者非法竊聽，盡管信息目的節(jié)點(diǎn)接收到了信息，信息并沒(méi)有丟失，但如果被竊聽到的是軍事信息等重要、重大信息均由可能造成嚴(yán)重?fù)p失。篡改信息：信息從信息源節(jié)點(diǎn)傳輸?shù)叫畔⒛康墓?jié)點(diǎn)的中途被攻擊者非法截獲，攻擊者將截獲的信息進(jìn)行修改或者插入欺騙的信息，然后將篡改后的信息發(fā)送給信息目的節(jié)點(diǎn)。目的節(jié)點(diǎn)接收到信息但是被篡改的。偽造信息：該種情況是信息源并沒(méi)有信息要傳輸給信息目的節(jié)點(diǎn)，攻擊者冒充信息源節(jié)點(diǎn)用戶，將偽造信息發(fā)送給信息目的節(jié)點(diǎn)，如果目的節(jié)點(diǎn)無(wú)法發(fā)現(xiàn)信息是偽造的，也會(huì)造成問(wèn)題。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)中的信息安全問(wèn)題保障網(wǎng)絡(luò)中信息的安全主要技術(shù)是數(shù)據(jù)加密和數(shù)據(jù)解密。數(shù)據(jù)加密：在密碼學(xué)中將源信息稱為明文，為了保護(hù)明文，使用某種算法對(duì)其進(jìn)行變換，使之成為無(wú)法識(shí)別的密文，將明文變?yōu)槊芪牡倪^(guò)程即為數(shù)據(jù)加密。數(shù)據(jù)解密：將密文經(jīng)過(guò)逆變換轉(zhuǎn)換為明文的過(guò)程為數(shù)據(jù)解密。網(wǎng)絡(luò)安全(PPT36頁(yè))//encrypt網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---防抵賴問(wèn)題防抵賴是指如何防止信息源用戶對(duì)其發(fā)送的信息事后不承認(rèn)，或者用戶接受到信息之后不認(rèn)賬。一般通過(guò)身份認(rèn)證、數(shù)字簽名、數(shù)字信封、第三方確認(rèn)等方法，來(lái)確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥?wèn)題，防止抵賴現(xiàn)象出現(xiàn)。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)內(nèi)部安全防范網(wǎng)絡(luò)內(nèi)部安全防范是指如何防止內(nèi)部具有合法身份的用戶有意或者無(wú)意地做出對(duì)網(wǎng)絡(luò)與信息安全有害的行為。對(duì)網(wǎng)絡(luò)安全有害的行為主要有：泄露網(wǎng)絡(luò)用戶或者管理員口令、違反網(wǎng)絡(luò)安全規(guī)定、繞過(guò)防火墻私自和外部網(wǎng)絡(luò)連接，造成系統(tǒng)癱瘓、越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序和數(shù)據(jù)、越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成網(wǎng)絡(luò)工作不正常等等。解決該類問(wèn)題主要通過(guò)網(wǎng)絡(luò)管理軟件隨時(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)與用戶工作狀態(tài)，對(duì)重要資源如硬盤、數(shù)據(jù)庫(kù)等使用狀態(tài)進(jìn)行記錄與審計(jì)；另一方面制定和不斷完善網(wǎng)絡(luò)使用管理制度，加強(qiáng)要用戶培訓(xùn)和管理，提高網(wǎng)絡(luò)安全意識(shí)。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)防病毒全球出現(xiàn)的數(shù)萬(wàn)種病毒基本可劃分6種，引導(dǎo)性病毒、可執(zhí)行文件病毒、宏病毒、混合病毒、特洛伊木馬病毒與Internet語(yǔ)言病毒。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---垃圾、灰色郵件與軟件垃圾郵件與灰色軟件目前已達(dá)到失控地步。灰色軟件包括間諜程序、廣告程序、后門程序、下載程序、植入程序等。間諜軟件的制造者經(jīng)常是為某個(gè)利益集團(tuán)服務(wù)，用來(lái)悄悄地安裝在用戶計(jì)算機(jī)中，竊取用戶機(jī)密文件和個(gè)人隱私。網(wǎng)絡(luò)安全(PPT36頁(yè))主要威脅因素---網(wǎng)絡(luò)數(shù)據(jù)備份恢復(fù)與災(zāi)難恢復(fù)在實(shí)際運(yùn)行中，雖然可以從預(yù)防、檢查、反應(yīng)等方面著手來(lái)減少網(wǎng)絡(luò)信息系統(tǒng)的不安全因素，但是要安全保證系統(tǒng)不出現(xiàn)安全事件，這是任何人都不可能做到的。網(wǎng)絡(luò)信息系統(tǒng)的硬件與軟件都是可以用錢買到的，而數(shù)據(jù)是多年積累的成果，并具有重要價(jià)值，數(shù)據(jù)一旦丟失，且不能恢復(fù)，則可能帶來(lái)不可挽回的損失。一個(gè)實(shí)用的網(wǎng)絡(luò)信息系統(tǒng)設(shè)計(jì)中必須有網(wǎng)絡(luò)數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)和災(zāi)難恢復(fù)策略與實(shí)現(xiàn)方法。網(wǎng)絡(luò)安全(PPT36頁(yè))數(shù)據(jù)加密數(shù)據(jù)加密又稱為密碼學(xué)，數(shù)據(jù)加密目前仍是計(jì)算機(jī)系統(tǒng)對(duì)信息進(jìn)行保護(hù)的一項(xiàng)最實(shí)用和最可靠的辦法，也是網(wǎng)絡(luò)安全技術(shù)中的核心技術(shù)。數(shù)據(jù)加密的概念：加密的目的是防止機(jī)密信息的泄露，同時(shí)還可以證實(shí)信息源的真實(shí)性、驗(yàn)證所接收到的信息的完整性。加密系統(tǒng)是指對(duì)信息進(jìn)行編碼和解碼所使用的過(guò)程、算法和方法的統(tǒng)稱。明文：加密前的原始數(shù)據(jù)或消息密文：加密后的數(shù)據(jù)密鑰：在加密中使用的并且只有接受雙方才知道的信息加密：使用密鑰將明文轉(zhuǎn)換為密文的過(guò)程解密：將密文轉(zhuǎn)換為明文的過(guò)程網(wǎng)絡(luò)安全(PPT36頁(yè))數(shù)據(jù)加密網(wǎng)絡(luò)安全(PPT36頁(yè))數(shù)字簽名數(shù)據(jù)加密的主要目的是防止第三方獲得真實(shí)的數(shù)據(jù)。但是，并沒(méi)有解決通信雙方有可能由于某些原因而引起糾紛：1、否認(rèn)，發(fā)送方有時(shí)候不承認(rèn)已發(fā)送過(guò)的文件2、偽造，接受者偽造一份來(lái)自發(fā)送者的文件3、篡改，接受者私自修改接收的文件4、冒充，網(wǎng)絡(luò)中某一個(gè)用戶冒充發(fā)送者或者接受者數(shù)字簽名：在以計(jì)算機(jī)文件為基礎(chǔ)的事物處理中采用電子形式的簽名，即為數(shù)字簽名?？捎糜诒鎰e數(shù)據(jù)簽署人的身份，并表明簽署人對(duì)信息中包含信息的認(rèn)可。數(shù)字簽名是一種信息認(rèn)證技術(shù)，利用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)轉(zhuǎn)換技術(shù)，根據(jù)某種協(xié)議產(chǎn)生一個(gè)反映被簽署文件的特征和簽署人的特征，已保證文件的真實(shí)性和有效性，同時(shí)也可用來(lái)核實(shí)接受者是否有偽造、篡改行為。因此，數(shù)字簽名既可以用于對(duì)用戶身份確認(rèn)和鑒別，還可以對(duì)信息的真實(shí)性、可靠性進(jìn)行確認(rèn)，以防止冒充、抵賴、偽造和篡改等問(wèn)題。網(wǎng)絡(luò)安全(PPT36頁(yè))防火墻技術(shù)信息加密技術(shù)能夠保證數(shù)據(jù)在傳輸過(guò)程中的安全性，但無(wú)法保護(hù)公司或者企業(yè)內(nèi)部網(wǎng)絡(luò)不受外來(lái)的入侵。為了防止內(nèi)部網(wǎng)絡(luò)受到外部入侵，可在互聯(lián)網(wǎng)被保護(hù)的人口放置一個(gè)設(shè)備，即防火墻。防火墻將一個(gè)互聯(lián)網(wǎng)分成兩個(gè)部分：防火墻內(nèi)部和外部。防火墻通常處于企業(yè)內(nèi)部局域網(wǎng)與Internet之間，形成企業(yè)內(nèi)部網(wǎng)與Internet之間的一道屏障，限制Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)以及管理內(nèi)部用戶訪問(wèn)外界的權(quán)限。防火墻可以對(duì)進(jìn)出的說(shuō)有數(shù)據(jù)進(jìn)行分析，并對(duì)用戶進(jìn)行認(rèn)證，從而保護(hù)企業(yè)網(wǎng)不受來(lái)自外部的非法用戶的入侵，防止有害信息進(jìn)入受保護(hù)網(wǎng)，也可以控制企業(yè)內(nèi)部網(wǎng)與Internet之間的數(shù)據(jù)流量，為網(wǎng)絡(luò)提高安全保證。網(wǎng)絡(luò)安全(PPT36頁(yè))防火墻的原則防火墻是一類防范措施的總稱。這類防范措施簡(jiǎn)單的可以只用路由器來(lái)實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。它可以在IP層設(shè)置屏蔽，也可以用應(yīng)用層軟件來(lái)阻止外來(lái)攻擊。原則：1、過(guò)濾不安全服務(wù)，即一切未被許可的就是禁止的?；谠撛瓌t，防火墻應(yīng)封鎖所有信息流，然后會(huì)對(duì)希望提供安全服務(wù)逐項(xiàng)開放，對(duì)不安全的服務(wù)或可能有安全隱患的服務(wù)一律禁用。其弊端是安全性高于用戶使用的方便性，用戶所能使用的服務(wù)范圍受到限制。2、過(guò)濾非法用戶和訪問(wèn)特殊站點(diǎn)，一切未被禁止的就是允許的?；谠撛瓌t，防火墻應(yīng)先允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。弊端是在日益增多的網(wǎng)絡(luò)服務(wù)面前，網(wǎng)絡(luò)管理人員疲于奔命，很難提供可靠的安全保護(hù)。網(wǎng)絡(luò)安全(PPT36頁(yè))防火墻的功能防火墻的主要功能：1、作為網(wǎng)絡(luò)的安全屏障。只有經(jīng)過(guò)授權(quán)通信才能通過(guò)防火墻，防火墻作為控制點(diǎn)、阻塞點(diǎn)，能極大提高內(nèi)部網(wǎng)絡(luò)的安全性。2、強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全控制（如口令、加密、身份認(rèn)證）配置在防火墻上。這種集中式的安全管理和網(wǎng)絡(luò)安全問(wèn)題比分散到各個(gè)主機(jī)上更經(jīng)濟(jì)。3、有效記錄Internet上的活動(dòng)。作為內(nèi)外網(wǎng)訪問(wèn)的必經(jīng)點(diǎn)，所有的信息都必須經(jīng)過(guò)防火墻，所以適合收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用、誤用的信息，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控，監(jiān)視網(wǎng)絡(luò)的安全性并產(chǎn)生報(bào)警。4、防止攻擊性故障蔓延和內(nèi)部信息的泄露。利用防火墻技術(shù)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中重點(diǎn)網(wǎng)段的隔離，從而縮小了局部網(wǎng)絡(luò)的安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。網(wǎng)絡(luò)安全(PPT36頁(yè))防火墻的局限性1、防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。如內(nèi)部用戶直接與外部網(wǎng)絡(luò)連接，繞過(guò)防火墻系統(tǒng)所設(shè)置的安全措施，就可能造成一個(gè)潛在的后門攻擊渠道。2、防火墻不能防范人為因素的攻擊。不能防范內(nèi)部人員的破壞或用戶誤操作造成的威脅，以及口令泄密而受到的攻擊。3、防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。有些隱藏的數(shù)據(jù)被傳輸?shù)街鳈C(jī)后，可能會(huì)發(fā)起數(shù)據(jù)攻擊。4、防火墻不能防止感染病毒的軟件或文件的傳輸。由于操作系統(tǒng)、病毒、二進(jìn)制數(shù)文件類型的種類太多，且更新快，所以防火墻無(wú)法逐個(gè)掃描來(lái)查找病毒。網(wǎng)絡(luò)安全(PPT36頁(yè))防火墻的類型防火墻總體可劃分兩大類：基于包過(guò)濾，基于代理服務(wù)。最大的區(qū)別就是基于包過(guò)濾的防火墻可以直接轉(zhuǎn)發(fā)報(bào)文，對(duì)用戶完全透明，因而速度較快；而基于代理的防火墻需要通過(guò)代理服務(wù)器建立連接，因而有更強(qiáng)的身份驗(yàn)證和日志功能。包過(guò)濾防火墻：是實(shí)現(xiàn)防火墻功能的有效而基本的方法。包過(guò)濾技術(shù)是基于路由器技術(shù)設(shè)計(jì)的，包過(guò)濾防火墻又稱為包過(guò)濾路由器防火墻，過(guò)濾器的主要功能是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，以IP數(shù)據(jù)包信息為基礎(chǔ)，根據(jù)IP源地址、IP目的地址、封裝協(xié)議端口號(hào)，確定它是否允許該數(shù)據(jù)包通過(guò)。該配置包過(guò)濾規(guī)則比較復(fù)雜，不具備自身認(rèn)證功能，安全性較差，并利用TCP和UDP端口號(hào)來(lái)限制某些類型的服務(wù)，在不同操作系統(tǒng)的環(huán)境下的兼容性較差。不能滿足各種安全要求。網(wǎng)絡(luò)安全(PPT36頁(yè))防火墻的類型代理服務(wù)防火墻也稱為應(yīng)用網(wǎng)關(guān)，它是運(yùn)行在代理服務(wù)器上的一些特定的應(yīng)用程序或服務(wù)程序。通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序來(lái)監(jiān)視和控制應(yīng)用層通信流。它位于Internet與Internet之間，代理服務(wù)器把內(nèi)部網(wǎng)絡(luò)安全屏蔽起來(lái)，當(dāng)代理服務(wù)器代表用于與Internet建立連接時(shí)，可用自己的IP地址代替內(nèi)部網(wǎng)絡(luò)的IP地址，所有內(nèi)部網(wǎng)絡(luò)中的站點(diǎn)對(duì)外是不可見的。網(wǎng)絡(luò)安全(PPT36頁(yè))網(wǎng)絡(luò)入侵檢測(cè)---黑客攻擊的基本類型黑客攻擊的實(shí)質(zhì)就是利用被攻擊方信息系統(tǒng)自身存在的安全漏洞，通過(guò)使用網(wǎng)絡(luò)命令和專用軟件進(jìn)入對(duì)方網(wǎng)絡(luò)系統(tǒng)的攻擊。攻擊手段主要有：1、網(wǎng)絡(luò)監(jiān)聽：嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口，截獲目的計(jì)算機(jī)數(shù)據(jù)報(bào)文的一種技術(shù)。常見的網(wǎng)絡(luò)監(jiān)聽工具有NetRay，Sniffit，Sniffer，Snoop、Gobbler等。2、拒絕服務(wù)攻擊，其目的就是拒絕服務(wù)訪問(wèn)，破壞系統(tǒng)的正常運(yùn)行，最終使網(wǎng)絡(luò)連接堵塞、或者服務(wù)器因疲于處理攻擊者發(fā)送的數(shù)據(jù)包而使服務(wù)器崩潰、系統(tǒng)資源耗盡。常見的DoS攻擊有同步洪流、死亡之Ping、Finger炸彈。3、源IP地址欺騙，如果數(shù)據(jù)包能夠使其自身沿著路由達(dá)到目的地，而且應(yīng)答包也可以回到源IP地址，那么源IP地址一定是有效的。則給使用源IP地址欺騙提供可能，，冒充內(nèi)網(wǎng)Ip地址，欺騙路由器進(jìn)而進(jìn)入內(nèi)網(wǎng)，進(jìn)行攻擊。網(wǎng)絡(luò)安全(PPT36頁(yè))網(wǎng)絡(luò)入侵檢測(cè)---黑客攻擊的基本類型4、源路由欺騙攻擊，信息包從起點(diǎn)到終點(diǎn)經(jīng)過(guò)