《计算机网络安全基础(第4版)》教案

1、计算机网络安全基础教案袁津生计算机网络安全基础教案周次第1,2次课日期章名称第1章网络基础知识与因特网授课方式理论课（V）实验课（）实习（)教学时数4教学1.掌握网络参考模型目的2.让学生对网络安全的发展、构成、分类、网络体系结构等后一个及要初步的了解。求教学内容提要时间分配1.1网络参考模型301.1.1分层通信301.1.2信息格式1.2网络互连设备201.2.1中继器和集线器1.2.2网桥1.2.3路由器201.2.4网关301.3局域网技术1.3.1以太网和IEEE80令牌划、网和IEEE802.58701.3.3光纤分布式数据接口（FDDI）1.4广域网技术1.1.1

2、 广域网基本技术1.1.2 广域网协议1.5 TCP/IP基础1.5.1 TCP/IP与OSI参考模型1.5.2 网络层1.5.3 传输层1.5.4 应用层1.6 因特网提供的主要服务1.6.1 远程终端访问服务1.6.2 文件传输服务1.6.3 电子邮件服务1.6.4 WWW服务1.6.5 DNS月艮务1.6.6 网络管理服务第1页分层实现网络的功能：网络协议、网络体系结构、实通信和虚通信。网络互连设备是实现网络互连的关键，它们有4种主要的类型：中继器、网桥、路由器以及网关，这些设备在实现局域网（LAN）与LAN的连接中相对于OSI参考模型的不同层。中继器在OSI参考模型的第一层建立LAN对

3、LAN的连接，网桥在第二层，路由器在第三层，网关则在第四至第七层。每种网络互连设备提供的功能与OSI参考模型规定的相应层的功教 学 重 点 与 难 点能一致，但它们都可以使用所有低层提供的功能。因特网协议（IP）和传输控制协议（TCP）是因特网协议簇中最为有名的两个协议，其应用非常广泛，它能够用于任何相互连接的计算机网络系统之间的通信，对局域网（LAN）和广域网（WAN）都有非常好的效果。在因特网中，每一台主机都有一个惟一的地址，地址由网络号和主机号两部分组成。地址是惟一的，以使每一个IP地址表示因特网中的惟一一台主机。所有的IP地址都是32位。广域网技术及对应的协议、IP地址及子网掩码。因特

4、网提供的主要服务：远程终端访问服务、文件传输服务、电子邮件服务、WWW服务、DNS服务、网络管理服务讨论、练习、作业网上查找资料和学习启关课程的内容。教学手段采用电子教案，以多媒体教学为主，同时辅以版书的进一步讲解。参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第3,4次课日期章名称第2章网络安全概述授课方式理论课（V）实验课（）实习（）教学时数42.1教 学 目 的 及 要 求1. 掌握网络安全基础知识2. 了解威胁网络安全的因素3. 了解网络安全分类及网络安全解决方案教学内容提要时间分配网络安全基础知识401.1.

5、1 网络安全的含义4030901.1.2 网络安全的特征1.1.3 网络安全的威胁1.1.4 网络安全的关键技术1.1.5 网络安全策略2.2 威胁网络安全的因素2.2.1 威胁网络安全的主要因素2.2.2 各种外部威胁2.2.3 防范措施2.3 网络安全分类2.4 网络安全解决方案2.4.1 网络信息安全模型2.4.2 安全策略设计依据2.4.3 网络安全解决方案2.4.4 网络安全性措施2.4.5 因特网安全管理2.4.6 网络安全的评估1 .网络安全基础知识计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实

6、性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括物理安全、安全控制和安全服务。网络安全应具有保密性、完整性、可用性和可控性4个方面的特征。教学重点与难点计算机网络安全技术主要有主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。2 .威胁网络安全的因素计算机网络安全受到的威胁主要有“黑客”的攻击、计算机病毒和拒绝服务攻击。3 .网络安全分类根据中国国家计算机安全规范，计算机的安全大致可分为以下三类：(1)实体安全，包括机房、线路和主机等；(2)网络与信息安全，包括网络的畅通、准确以及网上信息的安全；(3)应用安全，包括程序开发运行、I/O和数

7、据库等的安全。计算机网络安全基础教案袁津生讨论、练习、作业练习和作业：1 .网络安全的含义是什么？2 .网络安全有哪些特征？3 .什么是网络安全的最大威胁？4 .网络安全主要有哪些关键技术？5 .如何实施网络安全的安全策略？6 .如何理解协议安全的脆弱性？7 .数据库管理系统后哪些不安全因素？8 .解释网络信息安全模型。9 .对因特网进行安全管理需要哪些措施？10 .简述信息包筛选的工作原理。教学手段1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论45参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）计算机网络安全基础教案周次第5次课日

8、期章名称第3章计算机系统安全与访问控制授课方式理论课（V）实验课（）实习（)教学时数21.了解计算机安全的主要目标教学2.掌握安全级别目的3.了解系统访问控制及要4.了解选择性访问控制求5.了解强制性访问控制教学内容提要时间分配3.1什么是计算机安全20203.2安全级别303.3系统访问控制3.3.1系统登录303.3.2身份认证3.3.3系统口令3.3.4口令的维护3.4选择性访问控制第1页计算机网络安全基础教案袁津生教学重点与难点讨论、练习、作业1 .计算机安全的主要目标计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。计算机系统安全技术包括：实体硬件安全技术、软件系统安全

9、技术、数据信息安全技术、网络站点安全技术、运行服务（质量）安全技术、病毒防治技术、防火墙技术和计算机应用系统的安全评价。OSI安全体系结构的5种安全服务项目包括：鉴别、访问控制、数据保密、数据完整性和抗否认。2 .安全级别根据美国国防部开发的计算机安全标准，将安全级别由最低到最高划分为D级、C级、B级和A级，D级为最低级别，A级为最高级别。3 .系统访问控制系统访问控制是对进入系统的控制。其主要作用是对需要访问系统及其数据的人进行识别，并检验其合法身份。4 .选择性访问控制选择性访问控制是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可以直接

10、或间接地把这种控制权传递给别的主体。练习和作业：1 .计算机系统安全的主要目标是什么？2 .简述计算机系统安全技术的主要内容。3 .计算机系统安全技术标准有哪些？4 .访问控制的含义是什么？5 .如何从Unix操作系统登录？6 .如何从Windows操作系统登录？7 .怎样保护系统的口令？8 .什么是口令的生命周期？9 .如何保护口令的安全？10 .建立口令应遵循哪些规则？教学手段1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第6,7次课日期章名称第4章

11、数据安全技术授课方式理论课（V）实验课（）实习（）教学时数4教学目的及要求1 .掌握数据完整性的概念2 ,了解容错与网络冗余3 .学会使用网络备份系统4,掌握数据库的安全教学内容提要时间分配4.1 数据完整性简介4.1.1 数据完整性4.1.2 提图数据完整性的办法4.2 容错与网络冗余4.2.1 容错技术的产生及发展4.2.2 容错系统的分类4.2.3 容错系统的实现方法4.2.4 网络冗余4.3 网络备份系统4.3.1 备份与恢复4.3.2 网络备份系统的组成4.3.3 备份的设备与介质4.3.4 磁带轮换4.3.5 备份系统的设计4.4 数据库安全概述4.4.1 简介4.4.2 数据库的

12、特性303030402020301.1.3 数据库安全系统特性1.1.4 数据库管理系统4.5 数据库安全的威胁4.6 数据库的数据保护4.7 数据库备份与恢复4.7.1 数据库备份的评估4.7.2 数据库备份的性能4.7.3 系统和网络完整性4.7.4 制定备份的策略4.7.5 数据库的恢复第1页教学重点与难点1 .数据完整性简介影响数据完整性的因素主要有如下5种：硬件故障、网络故障、逻辑问题、意外的灾难性事件、人为的因素。2 .容错与网络冗余将容错系统分成5种不同的类型：高可用度系统、长寿命系统、延迟维修系统、高性能计算系统、关键任务计算系统。实现容错系统的方法如下：空闲备件、负裁平衡、镜

13、像、复现。3 .网络备份系统备份包括全盘备份、增量备份、差别备份、按需备份和排除。4 .数据库安全概述数据库具有多用户、高可靠性、可频繁更新和文件大等特性。在安全方面数据库具有数据独立性、数据安全性、数据的完整性、并发控制和故障恢复等特点。5 .数据库安全的威胁对数据库构成的威胁主要有篡改、损坏和窃取3种情况。6 .数据库的数据保护数据库保护主要是指数据库的安全性、完整性、并发控制和数据库恢复。在数据库的安全性方面要采取用户标识和鉴定、存取控制、数据分级以及数据加密等手段。7 .数据库备份与恢复常用的数据库备份方法有冷备份、热备份和逻辑备份3种。练习和作业:1 .简述数据完整性的概念及影响数据

14、完整性的主要因素。讨 论、练 习、作 业2 .什么是容错与网络冗余技术，实现容错系统的主要方法有哪些?3 .实现存储系统冗余的方法有哪些？4 .简述“镜像”的概念。5 .网络系统备份的主要目的是什么？6 .网络备份系统的主要部件有哪些？7 .试分析数据库安全的重要性，说明数据库安全所面临的威胁。8 .数据库的安全策略有哪些？简述其要点9 .简述常用数据库的备份方法。教学手段1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第8,9次课日期章名称第5章恶意代码

15、及网络防病毒技术授课方式理论课（V）实验课（）实习（）教学时数4教学目的及要求1 .掌握计算机抗i毒的基本概念2 .了解宏病毒及网络病毒3 ,了解特洛伊木马的原理4 .了解蠕虫病毒的原理5 ,了解其他恶意代码的原理6 .学会杭附的预防、检测和清除教学内容提要时间分配5.1计算机病毒305.1.1计算机病毒的分类5.1.2计算机病毒的传播305.1.3计算机病毒的工作方式5.1.4计算机病毒的特点及破坏行为305.2宏病毒及网络病毒305.2.1宏病再5.2.2网络病毒5.3特洛伊木马305.3.1木马的启动方式5.3.2木马的工作原理505.3.3木马的检测5.4蠕虫病毒5.4.1蠕虫病毒的特

16、点5.4.2蠕虫病毒的原理5.4.3蠕虫病毒的防治5.5其他恶意代码5.5.1移动恶意代码5.5.2 陷门5.5.3 逻辑炸弹5.5.4 僵尸状附5.5.5 复合型病母5.6病毒的预防、检测和消除5.6.1 病毒的预防5.6.2 病毒的检测5.6.3 计算机病毒的免疫5.6.4 计算机感染病毒后的恢复5.6.5 计算机病毒的清除第1页教学重点与难点1 .计算机病毒计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播或感染到其他系统。计算机病毒口分为文件病毒、引导扇区病毒、多裂变病母、秘密病母、异形病母和玄病母等几类。2 .计算机病毒的传播病毒进入系统以后，通常用两种方式传播：

17、通过磁盘的关键区域进行传播，在可执行的文件中传播。3 .计算机病毒的特点及破坏行为计算机，内毒具有的特点是：刻意编写人为破坏；有自我复制能力；夺取系统控制权；隐蔽性；潜伏性；/、可预见性。4 .宏病毒及网络病毒“宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。网络病毒是由因特网衍生出的尸代病毒，即Java及ActiveX病毒。它不需要停留在硬盘中且可以与传统病毒混杂在不被人们察觉。它们可以跨操作平台，一旦遭受感染，便毁坏所有操作系统。5.杭附的预防、检查和清除病毒检测的原理主要是基于邛|4种方法：比较被检测对象与原始备份的比较法，利用病毒特征代码用的搜索法，病毒体内特定位置

18、的特征字识别法以及运用反汇编技术分析被检测对象，确认是否为病毒的分析法。扫描病毒程序就:是寻找扫描出，也被称为病毒特征。这些病毒特征口用于，上*识别某种类型的病毒，扫描程序能在程序中寻找这种病毒特征。完整性检查程序是另一类反病毒程序，它是通过识别文件和系统的改变来发现病毒，或病毒的影响。讨论、练习、作业练习和作业：1 .什么是计算机病母？2 .计算机杭贷的基本特征是什么？3 .简述计算机病毒攻击的对象及所造成的危害。4 .计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防后哪几方面？6 .简述检测计算机抗附的常用方法。7 .简述宏杭附的特征及其清除方法。8 .简述计算机杭附的防

19、治措施。9 .什么是网络病毒，防治网络病毒的要点是什么？教学手段1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第10次课日期章名称第6章数据加密与认证技术授课方式理论课（V）实验课（）实习（）教学时数2教学目的及要求1 .了解密码学的发展历史2 .掌握数据加密的基本原理3 .掌握对称和非对称密码的原理教学内容提要时间分配6.1数据加密概述406.1.1密码学的发展6.1.2数据加密606.1.3基本概念6.2传统密码技术6.2.1数据表示方法6.2.2替

20、代密码6.2.3换位密码6.2.4简单异或6.2.5一次密码第1页1 .数据加督'概述加密算法通常是公开的，现在只有少数几种加密算法，如DES和IDEA等。一般把受保护的原始信息称为明文，编码后的信息称为密文。有两类基本的加密算法保密密钥和公用/私有密钥。教学重点与难点摘要是一种防止信息被改动的方法，其中用到的函数叫摘要函数。基于密钥的算法通常有两类：对称算法和公用密钥算法。对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推导出来，反过来也成立；公用密钥算法用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来。2 .传统密码技术传统加密方法的主要应用对象是

21、对文字信息进行加密解密。在经典密码学中，常用的有替代密码和换位密码。有以下4种类型的替代密码:(1)简单替代密码；(2)多名码替代密码；(3)多字母替代密码；(4)多表替代密码。练习和作业：讨 论、 练 习、作 业1 .什么是数据加密？简述加密和解密的过程。2 .在凯撒密码中令密钥k=8,制造一张明文字母与密文字母对照表3 .用维吉尼亚法力口密下段文字：COMPUTERANDPASSWORDSYSTEM,密钥为KEYWORD。1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网

22、络安全基础教案周次第11次课日期章名称第6章数据加密与认证技术授课方式理论课（V）实验课（）实习（）教学时数2教学目的及要求1 .掌握数据加密标准DES的工作原理2 .掌握公钥密码体制RSA的工作原理3 .学会使用数字信封技术教学内容提要时间分配6.3 对称密钥密码技术6.3.1 Feistel密码结构6.3.2 数据加密标准6.3.3 国际数据加密算法6.3.4 Blowfish算法6.3.5 GOST算法6.3.6 PKZIP算法6.3.7 RC5算法6.4 公钥密码体制6.4.1 公钥加密原理6.4.2 Diffie-Hellman密钥交换算法6.4.3 RSA密码系统6.4.4 数字信

23、封技术5050第1页数据加密标准DES(DataEncryptionStandard)是一个分组加密算法，它以64位为分组对数据加密。64位一组的明文从算法的一端输入，64位的密文从另一端输出。DES使得用相同的函数来加密或解密每个分组成为可能，二者的惟一不同之处是密钥的次序相反。IDEA与DES一样，也是一种使用一个密钥对64位数据块进行加密的常教 学 重 点 与 难 点规共享密钥加密算法。同样的密钥用于将64位的密文数据块恢复成原始的64位明文数据块。IDEA使用128位(16字节)密钥进行操作。RSA要求每一个用户拥有自己的一种密钥：(1)公开的加密密钥，用以加密明文；(2)保密的解密密

24、钥，用于解密密文。这是一对非对称密钥，又称为公用密钥体制。RSA数字签名是一种强有力的认证鉴别方式，可保证接收方能够判定发送方的真实身份。练习和作业:1.DES算法主要有哪几部分?2 .在DES算法中，密钥Ki的生成主要分哪几步?3 .简述加密函数f的计算过程。4 .简述DES算法中的依次迭代过程。5 .简述DES算法和RSA算法保密的关键所在。教学手段1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第12次课日期章名称第6章数据加密与认证技术授课方式理论

25、课（V）实验课（）实习（）教学时数2教学目的及要求1 .学会使用数字签名技术2 .学会使用信息验证技术3 .能设计并用程序编写数字签名和信息验证技术教学内容提要时间分配6.5数字签名技术506.5.1基本概念6.5.2安全Hash函数6.5.3直接方式的数字签名技术406.5.4数字签名算法6.5.5其他数字签名技术6.6验证技术106.6.1信息的验证6.6.2认证授权6.6.3CA证书6.6.4PKI系统6.6.5Kerberos系统6.7加密软件PGP第1页教学重点与难点一个数字签名方案一般由两吾B分组成：签名算法和验证算法。其中，签名算法或签名密钥是秘密的，只有签名人知道，而验证算法是

26、公开的。信息的签名就是用专用密钥对信息进行加密，而签名的验证就是用相对应的公用密钥对信息进行解密。PGP(PrettyGoodPrivacy)是一个基于RSA密钥加密体系的供大众使用的加密软件。它不但可以对用户的邮件保密，以防止非授权者阅读，还能对邮件加上数字签名让收信人确信邮件未被第三者篡改，让人们可以安全地通信。在计算机网络系统中，数据加密方式有链路加密、节点加密和端一端加密3种方式。练习和作业：1 .说明公开密钥体制实现数字签名的过程。2 .RSA算法的密钥是如何选择的？3 .编写一段程序，对选定的文字进行加密和解密(密钥为另一段文字)。讨 论、练 习、作 业4 .编写一篇经过加密的文章

27、，通过一定的算法获得文章的内容(要求原文的内容有意义并能看懂)。5 .已知线性替代密码的变换函数为：f(a)=akmod26设已知明码字母J(9)对应于密文字母P(15),即9kmod26=15,试计算密钥k以破译此密码。6 .已知RSA密码体制的公开密码为n=55,e=7,试加密明文m=10,通过求解p、q和d破译这种密码体制。设截获到密码文C=35,求出它对应的明码文。7 .考虑一个常用质数q=11,本原根a=2的Difie-Hellman方案。(1)如果A的公钥为YA=9,则A的私钥XA为多少？（2）如果B的公钥为YB=3,则共享A的密钥K为多少？教学手段1讲授为主，讨论为辅2多媒体教学

28、，使用投影仪3进行几分钟的课堂讨论参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第13次课日期章名称第7章网络安全技术授课方式理论课（V）实验课（）实习（）教学时数2计算机网络安全基础教案袁津生教学目的及要求1 .了解网络安全协议的主要内容2 .掌握IPSec安全传输技术3 .掌握SSL安全传输技术4 .了解网络加密技术教学内容提要时间分配7.1 网络安全协议及传输技术7.1.1 安全协议及传输技术概述7.1.2 网络层安全协议IPSec7.1.3 IPSec安全传输技术7.1.4 传输层安全协议7.1.5 SSL安全

29、传输技术7.2 网络加密技术7.2.1 链路加密7.2.2 节点加密7.2.3 端一端加密5050第1页计算机网络安全基础教案袁津生1 .网络安全协议(1)应用层安全协议在应用层的安全协议主要包括：安全Shell(SSH)协议、SET(SecureElectronicTransaction)协议、S-HTTP协议、PGP协议和S/MIME协议(2)传输层安全协议传输层的安全协议有：安全套接层(SecureSocketLayer,SSL)协议和私密通信技术(PrivateCommunicationTechnology,PCT)协议。(3)网络层安全协议网络层的安全协议主要有IPSec协议。该协议

30、定义了：IP验证头教学重点与难点(AuthenticationHeader,AH)协议、IP封装安全载荷(EncryptionServicePayload,ESP)协议和Internet密钥交换(InternetKeyExchange,IKE)协议。2 .网络安全传输技术网络安全传输技术，就是利用安全通道技术，通过将待传输的原始信息进行加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。网络安全传输通道应该提供以下功能和特性：机密性、完整性、对数据源的身份验证、反重发攻击。3 .网络加密技术数据加密方式有链路加密、节点加密和端一端加密等3种方式。链路加密通常用

31、硬件在网络层以下的物理层和数据链路层中实现，它用于保护通信节点间传输的数据；节点加密是在协议运输层上进行加密，是对源点和目标节点之间传输的数据进行加密保护；端一端加密是面向网络高层主体进行的加密，即在协议表示层上对传输的数据进行加密，而不对下层协议信息加密。讨 论、练 习、作 业练习和作业：1 .IPSec能对应用层提供保护吗？AH或ESP中增加新的算法,2 .按照IPSec协议体系框架，如果需要在需要对协议做些什么修改工作？1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论参 考 资 料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第 4版）计算机

32、网络安全基础教案周次第14次课日期章名称第7章网络安全技术授课方式理论课（V）实验课（）实习（）教学时数2教学目的及要求1 .掌握防火墙的设计原则；2 .掌握防火墙的特征、防火墙的四种机制；3 .掌握防火墙的三种基本类型和防火墙的配置；4 .研究攻击的本质；5 .掌握应对攻击的防护策略；6 .了解入侵技术。教学内容提要时间分配计算机网络安全基础教案袁津生7.3 防火墙技术7.3.1 因特网防火墙7.3.2 包过滤路由器7.3.3 堡垒主机7.3.4 代理服务7.3.5 防火墙体系结构7.4 网络攻击类型及对策7.4.1 网络攻击的类型7.4.2 物理层的攻击及对策7.4.3 数据链路层的攻击及

33、对策7.4.4 网络层的攻击及对策7.4.5 传输层的攻击及对策7.4.6 应用层的攻击及对策7.4.7 黑客攻击的三个阶段7.4.8 对付黑客入侵6040第1页计算机网络安全基础教案袁津生1.防火墙技术防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务往来的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。由软件和硬件组成的防火墙应该具有以下功能：(1)所有进出网络的信息流都应该通过防火墙；(2)所有穿过防火墙的信息流都必须有安全策略和计划的确认和授权；(3)理论上说，防火墙是穿不透的。教

34、学重点与难点防火墙需要防范以下3种攻击。间谍：试图偷走敏感信息的黑客、入侵者和闯入者。盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统：通过路由器或主机/服务器蓄意破坏文件系统或阻止授权用户访问内部网络(外部网络)和服务器。防火墙常常就是一个具备包过滤功能的简单路由器。包是网络上信息流动的单位，在网上传输的文件一般在发出端被划分成一串包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站

35、的信息。包过滤器又称为筛选路由器。设计和建立堡垒主机的基本原则有两条：最简化原则和预防原则。堡垒主机目前一般有以下3种类型：(1)无路由双宿主主机；(2)牺牲主机；(3)内部堡垒主机。代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙的体系结构一般有以下几种：(1)双重宿主主机体系结构；(2)主机过滤体系结构；(3)子网过滤体系结构。2.网络攻击的类型任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。法律上对网络攻击的定义有两种观点：第一种是指攻击仅仅发生在入侵行为完全完成，并且入侵者已在目标网络内；另一种观点是指可能使一个网络受到破坏的所有行为，即从一个入侵者开始

36、在目标机上工作的那个时刻起，攻击就开始进行了。黑客进行的网络攻击通常可分为4大类型：拒绝服务型攻击、利用型攻击、信息收集型攻击和虚假信息型攻击。物理层最重要的攻击主要有直接攻击和间接攻击，直接攻击是直接对硬件进行攻击，间接攻击是对物理介质的攻击。数据链路层的最基本的功能是向该层用户提供透明的和可靠的数据传送基本服务。透明性是指该层上传输的数据的内容、格式及编码没有限制，也没有必要解释信息结构的意义；可靠的传输使用户免去对丢失信息、干扰信息及顺序不正确等的担心。由于数据链路层的安全协议比较少，因此容易受到各种攻击，常见的攻击有：MAC地址欺骗、内容寻址存储器（CAM）表格淹没攻击、VLAN中继攻

37、击、操纵生成树协议、地址解析协议（ARP）攻击等。网络层主要用于寻址和路由，它并不提供任何错误纠正和流控制的方法。网络层常见的攻击主要有：IP地址欺骗攻击和ICMP攻击。网络层的安全需要保证网络只给授权的客户提供授权的服务，保证网络路由正确，避免被拦截或监听。传输层处于通信子网和资源子网之间起着承上启下的作用。传输层控制主机间传输的数据流。传输层存在两个协议：传输控制协议（TCP）和用户数据报协议（UDP）。端口扫描是传输层最常见的攻击方法。应用层是网络的最高层，所有的应用策划能够续非常多，因此遭受网络攻击的模式也非常多，综合起来主要有：带宽攻击、缺陷攻击和控制目标机。黑客指利用通信软件，通过

38、网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者或入侵行为。黑客攻击的三个阶段是：信息收集、系统安全弱点的探测以及网络攻击。黑客进行的网络攻击通常可分为4大类型：拒绝服务型攻击、利用型攻击、信息收集型攻击和虚假信息型攻击。对付黑客的袭击的应急操作如下：估计形势、切断连接、分析问题、采取行动。讨论、练习、作业练习和作业：1 .简述防火墙的工作原理。2 .防火墙的体系结构后哪些？3 .在主机过滤体系结构防火墙中，内部网的主机想要请求外网的服务，有几种方式可以实现？4 .安装一个简单的防火墙和一个代理服务的软件。教学手段1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课

39、堂讨论参考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第15次课日期章名称第7章网络安全技术授课方式理论课（V）实验课（）实习（）教学时数2教学目的及要求1 .掌握入侵检测的基本原理和基本方法；2 .掌握虚拟专用网技术及对应的协仪。教学内容提要时间分配7.5 入侵检测技术7.5.1 入侵检测技术概述7.5.2 常用入侵检测技术7.6 虚拟专用网技术7.6.1 虚拟专用网的定义7.6.2 虚拟专用网的类型7.6.3 虚拟专用网的工作原理7.6.4 虚拟专用网的关键技术和协议4060第1页1 .入侵检测技术入侵检测就是通过从

40、计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。按照检测类型从技术上划分，入侵检测有异常检测模型和误用检测模型。按照监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统以及混合型入侵检测系统。教 学 重 点 与 难 点按照工作方式分为离线检测系统与在线检测系统。入侵检测的过程分为三部分：信息收集、信息分析和结果处理。4部分入侵检测系统的结构由事件提取、入侵分析、入侵响应和远程管理组成。常用的入侵检测方法有：特征检测、统计检测和专家系统。2 .虚拟专用网技术虚拟专用网分为三种类型：远程访

41、问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)。虚拟专用网中采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。讨论、练习、作业练习和作业：1 .简述黑客是如何攻击一个网站的。2 .简述入侵检测系统的工作原理，比较基于主机和基于网络应用的入侵检测系统的优缺点。3 .构建一个VPN系统需要解决哪些关键技术？这些关键技术各起什么作用？4 .用IPSec机制实现VPN时，如果企业内部网使用了私用IP地址怎么办?IPSec该米用何种模式？教学手段1讲授为主，讨论为辅2多媒体教学，使用投影仪3进行几分钟的课堂讨论参

42、考资料1参考课堂笔记，及提供的本次课程的多媒体课件。2教材：计算机网络安全基础（第4版）第2页计算机网络安全基础教案周次第16次课日期京IJ名称第8章网络站点的安全授课方式理论课（V）实验课（）实习（）教学时数2教学目的及要求1. 了解Web站点安全、口令安全技术；2. 掌握网络监听、网络扫描的工作原理；3. 了解E-mail工作原理及安全漏洞；4. 了解IP电子欺骗。教学内容提要时间分配8.1 因特网的安全8.2 Web站点安全8.3 口令安全8.4 无线网络安全8.5 网络监听8.5.1 监听的原理8.5.2 监听的工具8.5.3 监听的实现8.5.4 监听的检测与防范8.6 扫描器8.6

43、.1 什么是扫描器8.6.2 端口扫描8.6.3 扫描工具8.7 E-mail的安全8.7.1 E-mail工作原理及安全漏洞1010101010101020101.1.2 匿名转发1.1.3 E-mail欺骗1.1.4 E-mail轰炸和炸弹1.1.5 保护E-mail8.8 IP电子欺骗8.8.1 IP电子欺骗的实现原理8.8.2 IP电子欺骗的方式和特征8.8.3 IP欺骗的对象及实施8.8.4 IP欺骗攻击的防备8.9 DNS的安全性第1页教学重点与难点1 .因特网的安全因特网服务的安全隐患主要包括在：电子邮件、文件传输协议（FTP）、远程登录（Telnet）、用户新闻（UsenetN

44、ews）和万维网（WWW）等服务中。因特网许多事故的起源是因为使用了薄弱的、静态的口令。因特网上的口令可以通过许多方法破译。其中最常用的两种方法是把加密的口令解密和通过监视信道劭取口令。导致这些问题的原因主要有：认证环节薄弱性、系统易被监视性、易被欺骗性、有缺陷的局域网服务、复杂的设备控制以及主机的安全性无法估计。2 .Web站点安全为了保护站点的安全，应做到：安全策略制定原则、配置Web服务器的安全特性、排除站点中的安全漏洞以及监视控制Web站点出入情况。3 .口令安全通过口令进行攻击是多数黑客常用的方法。作为系统管理员，应该定期检查系统是否存在无口令的用户，其次应定期运行口令破译程序以检查

45、系统中是否存在弱口令，这些措施可以显著地减少系统面临的通过口令入侵的威胁。4 .无线网络安全无线局域网WLAN是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网LAN的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。常见的无线网络安全技术有以下几种：服务集标识符（SSID）技术，物理地址（MAC）过滤技术，连线对等保密（WEP）技术，虚拟专用网络（VPN）技术，端口访问控制技术（802.1x）,无线网络的常见攻击：针对WEP弱点的攻击，搜索攻击，窃听、截取和监听，欺骗和非授权访问，网络接管与篡改，拒绝

46、服务攻击，恶意软件，偷窃用户设备。无线网络安全设置：使用无线加密协议，主动更新驱动，在合理位置放置天线，禁用动态主机配置协议，禁用或修改SNMP设置，IP过滤和MAC地址列表，改变服务集标识符并且禁止SSID广播。5 .网络监听网络监听工具是提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态，数据流动情况以及网络上传输的信息。6 .扫描器扫描器是自动检测远程或本地主机安全性弱点的程序。通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配、提供的服务和软件版本。7 .E-mail的安全E-mail十分脆弱，从浏览器向因特网上的另一人发送E-mail时，不仅信件像明信片一样是

47、公开的，而且也无法知道在到达其最终目的之前，信件经过了多少机器。E-mail服务器向全球开放，他们很容易受到黑客的袭击。信息中可能携带损害服务器的指令。8 .IP电子欺骗所谓IP电子欺骗，就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。IP欺骗技术有如下3个特征。(1)只有少数平台能够被这种技术攻击，也就是说很多平台都不具有这方面的缺陷。(2)这种技术出现的可能性比较小，因为这种技术不好理解，也不好操作，只有一些真正的网络高手才能做到这点。(3)很容易防备这种攻击方法，如可以使用防火墙等。9 .DNS欺骗黑客伪装DNS服务器提前向客户端发送响应数据报，那么客户端的DNS缓存里域名所对应的IP就是他们自定义的IP了，同时客户端也就被带到了黑客希望的网站。如果遇到了DNS欺骗，先禁用本地连接，然后启用本地连接就可以清除DNS欺骗了。讨论、练习、作业练习和作业：1 .总结因特网上不安全的因素。2 .简述无线局域网的安全漏洞及应对措施。3 .从网上查找监控工具、Web统计工具，简要记录其功能。4 .从网上下载一款流行的网络监听工具，并简单介绍一下使用方法。5 .利用端口扫描程序，查看网络上的一台主机，这台主机运行的是什么操作系统，该主机提供了