1、每日一句,每一個(gè)成功者都有一個(gè)開(kāi)始。勇于開(kāi)始，才能找到成功的路。,教學(xué)目標(biāo),1、了解網(wǎng)絡(luò)安全問(wèn)題 2、對(duì)其網(wǎng)絡(luò)的安全措施,第二十一課 計(jì)算機(jī)網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全問(wèn)題 計(jì)算機(jī)網(wǎng)絡(luò)安全：實(shí)體的安全、運(yùn)行環(huán)境的安全、信息的安全,1.網(wǎng)絡(luò)安全面臨的主要威脅 身份竊取 非授權(quán)訪問(wèn) 冒充合法用戶 數(shù)據(jù)竊取 破壞數(shù)據(jù)的完整性 拒絕服務(wù) 否認(rèn) 數(shù)據(jù)流分析 干擾系統(tǒng)正常運(yùn)行 病毒與惡意攻擊,2.導(dǎo)致網(wǎng)絡(luò)不安全的因素 環(huán)境 資源共享 數(shù)據(jù)通信 計(jì)算機(jī)病毒 TCP/IP協(xié)議的安全缺陷,網(wǎng)絡(luò)安全措施 1.安全策略 2.網(wǎng)絡(luò)安全保障體系 加強(qiáng)計(jì)算機(jī)安全立法 制定合理的網(wǎng)絡(luò)管理措施 采用安全保密技術(shù)，保證系統(tǒng)安全,3.局域

2、網(wǎng)的安全技術(shù) 實(shí)行實(shí)體訪問(wèn)控制 保護(hù)網(wǎng)絡(luò)介質(zhì) 數(shù)據(jù)訪問(wèn)控制 數(shù)據(jù)存儲(chǔ)保護(hù) 計(jì)算機(jī)病毒防護(hù) 4.廣域網(wǎng)的安全技術(shù) 數(shù)據(jù)通信加密 通信鏈路安全保護(hù) 采用局域網(wǎng)絡(luò)安全的各項(xiàng)措施,數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)：為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破譯所采用的主要技術(shù)手段之一，也是網(wǎng)絡(luò)安全的重要技術(shù)。 數(shù)據(jù)加密技術(shù)分為：數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性鑒別、密鑰管理技術(shù)。,密碼學(xué)概述 加密：把明文變換成密文的過(guò)程。 解密：把密文還原成明文的過(guò)程。 認(rèn)證：識(shí)別個(gè)人、網(wǎng)絡(luò)上的機(jī)器或機(jī)構(gòu)。 數(shù)字簽名：將發(fā)送文件與特定的密鑰捆在一起。 簽名識(shí)別：數(shù)字簽名的反過(guò)程，它證明簽名有效。,接收端,密鑰K

3、d,密文C=E（K，P）,偷聽(tīng)者,明文P,明文P,防火墻的概念 防火墻：用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和Internet之間的訪問(wèn)控制，而設(shè)置的一種由計(jì)算機(jī)硬件和軟件組成的系統(tǒng)。 防火墻的優(yōu)點(diǎn)：保護(hù)那些易受攻擊的服務(wù)、控制對(duì)特殊站點(diǎn)的訪問(wèn)、集中化的安全管理、對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)。,防火墻的體系結(jié)構(gòu) 1.一切未被允許的都是禁止的 2.一切未被禁止的都是允許的 防火墻的類型 1.防火墻分類 數(shù)據(jù)包過(guò)濾器 電路層網(wǎng)關(guān) 應(yīng)用層網(wǎng)關(guān) 2.數(shù)據(jù)包過(guò)濾防火墻 系統(tǒng)結(jié)構(gòu),工作原理：數(shù)據(jù)包過(guò)濾器在收到報(bào)文后，先掃描報(bào)文頭，檢查報(bào)文頭中的報(bào)文類型（TCP，UDP等）、源IP地址、目的IP地址和目的TCP/UDP端口等域

4、，然后將規(guī)則庫(kù)中的規(guī)則應(yīng)用到該數(shù)據(jù)包頭上，以決定是將此數(shù)據(jù)包轉(zhuǎn)發(fā)出去還是丟棄。 3.應(yīng)用層網(wǎng)關(guān) （1）堡壘主機(jī) 系統(tǒng)結(jié)構(gòu) 工作原理：堡壘主機(jī)的硬件是一臺(tái)普通的主機(jī)，軟件上配置了代理服務(wù)程序，從而具備強(qiáng)大而完備的安全功能，它是內(nèi)部網(wǎng)絡(luò)與Internet之間的通信橋梁，它中繼所有的網(wǎng)絡(luò)通信，并具有授權(quán)認(rèn)證、訪問(wèn)控制、日志記錄、審計(jì)報(bào)告和監(jiān)控等功能。,（2）代理服務(wù) （3）雙宿主機(jī)網(wǎng)關(guān) 系統(tǒng)結(jié)構(gòu),代理服務(wù)器工作原理,工作原理：雙宿主機(jī)網(wǎng)關(guān)（Dual Home Gateway）是在堡壘主機(jī)中插裝兩塊網(wǎng)絡(luò)接口卡，并在其上運(yùn)行代理服務(wù)器軟件，受保護(hù)網(wǎng)與Internet之間不能直接進(jìn)行通信，必須經(jīng)過(guò)堡壘主機(jī)。 3.屏蔽主機(jī)網(wǎng)關(guān) 系統(tǒng)結(jié)構(gòu) 工作原理：屏蔽主機(jī)網(wǎng)關(guān)防火墻配置時(shí)需要一個(gè)帶數(shù)據(jù)包過(guò)濾功能的路由器和一臺(tái)堡壘主機(jī)。常將堡壘主機(jī)設(shè)置在被保護(hù)網(wǎng)絡(luò)中，路由器設(shè)置在堡壘主機(jī)和Internet網(wǎng)絡(luò)之間，這樣堡壘主機(jī)是被保護(hù)網(wǎng)絡(luò)中唯一可到達(dá)Internet網(wǎng)絡(luò)的系統(tǒng)。,4.屏蔽子網(wǎng)網(wǎng)關(guān) 系統(tǒng)結(jié)構(gòu) 工作原理：屏蔽子網(wǎng)防火墻采用兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)。在受保護(hù)網(wǎng)與Internet之間有一個(gè)小型的獨(dú)立網(wǎng)絡(luò)，對(duì)這個(gè)屏蔽子網(wǎng)的訪問(wèn)受到路由器過(guò)濾規(guī)則的保護(hù)。 5.電路層網(wǎng)關(guān),系統(tǒng)結(jié)構(gòu) 工作原理：電路層網(wǎng)關(guān)是一個(gè)特殊的功能，可以由應(yīng)用層網(wǎng)關(guān)來(lái)完成。電路層網(wǎng)關(guān)只依