计算基础网络教程 10

10．1项目描述目录

10．3项目实践

10．2项目知识准备10.2.1网络安全及其策略1．网络安全的定义国际标准化组织（ISO）引用ISO72982文献中对安全的定义：安全就是最大程度地减少数据和资源被攻击的可能性。

《计算机信息系统安全保护条例》第三条规范了包括计算机网络系统在内的计算机信息系统安全的概念：“计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行”。从本质上讲，网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或恶意的攻击而遭到破坏、更改、泄露，系统连续口f靠正常地运行，网络服务不间断。10.2.1网络安全及其策略2．网络安全面临的主要威胁10.2.1网络安全及其策略3．网络安全的基本要素（1）保密性（2）完整性（3）可用性（4）可控性（5）不可否认性10.2.1网络安全及其策略4．网络安全策略（1）物理安全策略（2）访问控制策略10.2.2防病毒技术1．计算机病毒的定义和特征计算机病毒是指编制的或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能自我复制的一组计算机指令或程序代码。计算机病毒是人为编制的一组程序或指令集合。这段程序代码一旦进入计算机并得以执行，就会对计算机的某些资源进行破坏，再搜寻其他符合传染条件的程序或存储介质，达到自我繁殖的目的。10.2.2防病毒技术特征：（1）传染性（2）破坏性（3）潜伏性及可触发性（4）非授权性（5）隐蔽性（6）寄生性（7）不可预见性10.2.2防病毒技术2．传播途径（1）通过硬盘传播（2）通过移动存储设备传播（3）通过网络传播10.2.2防病毒技术3．计算机病毒的防范10.2.3加密与认证技术1．密码技术（1）对称密钥算法（传统加密方法）代换密码法转换密码法变位加密法一次性密码簿加密法DES加密算法IDEA加密算法RSA公开密钥算法Hash-MD5加密算法量子加密系统10.2.3加密与认证技术2．认证技术消息认证身份认证数字签名10.2.4网络攻击与入侵检测技术1．网络攻击的定义和步骤所有试图破坏网络系统安全性的行为都叫网络攻击。网络攻击的步骤一般包括：（1）隐藏IP（2）踩点扫描（3）获得特权（4）种植后门（5）隐身退出10.2.4网络攻击与入侵检测技术2．常见的攻击手段特洛伊木马攻击密码攻击拒绝服务攻击缓冲区溢出攻击10.2.4网络攻击与入侵检测技术3．入侵检测技术(1)入侵检测技术的概念入侵检测系统是指对入侵行为进行自动检测、监控和分析的软件和硬件的组合系统。入侵检测技术是指对入侵检测系统进行分析,以发现网络或系统中违反安全策略的行为和遭到袭击的迹象的技术。(2)入侵检测系统的功能●对网络流量的跟踪与分析。●对已知攻击特征的识别。●对异常行为的分析、统计与响应。●特征库的在线升级。●数据文件的完整性检验。●自定义特征的响应。●系统漏洞的预报警。(3)常见的入侵检测方法常见的入侵检测方法包括特征检测和异常检测。特征检测对已知的攻击或入侵方式做出确定性的描述,形成相应的事件描述。而异常检测假定入侵者活动异常于正常主体的活动。10.2.5防火墙技术与访问控制列表ACL1．防火墙的定义在网络中，防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，能根据安全计划和安全策略中的定义控制（允许、拒绝、监测）出入网络的信息流，保证了内部网络的安全。典型的防火墙体系结构如图10-4所示。10.2.5防火墙技术与访问控制列表ACL2．防火墙的作用防止内部信息外泄防火墙是网络安全的屏障防火墙口f以强化网络安全策略对网络存取和访问进行监控审计10.2.5防火墙技术与访问控制列表ACL3．防火墙的不足10.2.5防火墙技术与访问控制列表ACL4．防火墙的种类10.2.5防火墙技术与访问控制列表ACL5．包过滤包（Packet）是TCP/IP协议通信传输中信息流动的数据单位一般也称“数据报”。在网上传输的信息一般在发出端被划分成一串数据报，经过网上的中间站点，最终传到目的地，然后这些数据报中的数据又重新组成原来的信息。每个数据报有两个部分：数据部分和报头。报头中含有源地址和目标地址等信息。包过滤（PacketFiltering）就是在网络层中对数据报实施有选择的通过。10.2.5防火墙技术与访问控制列表ACL6．访问控制列表ACL访问控制列表ACL是人为定义的一组或几组规则,是安全策略的具体承载形式。其目的是通过网络设备对数据流分类,以便执行用户规定的动作。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是对某种访问进行控制。基于路由器的访问控制列表ACL是应用在路由器接口的指令列表。该列表用来告诉路由器哪些数据报可以接收,哪些数据报应被拒绝。至于数据报是被接收还是被拒绝,是由数据报报头中的源地址、目的地址、端口号等状态来决定的。路由器中的访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。局域网的出口路由器上的访问控制列表成为保护内网安全的有效手段,而局域网内连接不同子网的路由器通过配置其相应接口的访问控制列表,则可满足不同子网对安全的不同要求。任务10-1杀毒软件的设置与使用任务10-1杀毒软件的设置与使用任务10-2使用加密软件实现文件内容的加密任务10-2使用加密软件实现文件内容的加密任务10-2使用加密软件实现文件内容的加密任务10-3使用访问控制列表ACL进行网络安全管理任务10-3使用访问控制列表ACL进行网络安全管理任务10-3使用访问控制列表ACL进行网络安全管理任务10-3使用访问控制列表ACL进行网络安全管理任务10-3使用访问控