《計算機網(wǎng)絡基礎（第二版）》第十章計算機網(wǎng)絡安全2006-101《計算機網(wǎng)絡基礎（第二版）》杜煜本章主要內容計算機網(wǎng)絡安全的概念；計算機網(wǎng)絡對安全性的要求；訪問控制技術和設備安全；防火墻技術；網(wǎng)絡安全攻擊及解決方法；計算機網(wǎng)絡安全的基本解決方案。2006-102《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡安全概述背景介紹對計算機網(wǎng)絡安全性問題的研究總是圍繞著信息系統(tǒng)進行，其主要目標就是要保護計算資源，免受毀壞、替換、盜竊和丟失，而計算資源包括了計算機及網(wǎng)絡設備、存儲介質、軟硬件、信息數(shù)據(jù)等。2006-103《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡安全的解決策略訪問控制選擇性訪問控制病毒和計算機破壞程序加密系統(tǒng)計劃和管理物理安全通信安全2006-104《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡安全包括的內容保護系統(tǒng)和網(wǎng)絡的資源免遭自然或人為的破壞；明確網(wǎng)絡系統(tǒng)的脆弱性和最容易受到影響或破壞的地方；對計算機系統(tǒng)和網(wǎng)絡的各種威脅有充分的估計；要開發(fā)并實施有效的安全策略，盡可能減少可能面臨的各種風險；準備適當?shù)膽庇媱潱咕W(wǎng)絡系統(tǒng)在遭到破壞或攻擊后能夠盡快恢復正常工作；定期檢查各種安全管理措施的實施情況與有效性。2006-105《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡安全的要求——安全性內部安全對用戶進行識別和認證，防止非授權用戶訪問系統(tǒng)；確保系統(tǒng)的可靠性，以避免軟件的缺陷（Bug）成為系統(tǒng)的入侵點；對用戶實施訪問控制，拒絕其訪問超出訪問權限的資源；加密傳輸和存儲的數(shù)據(jù)，防止重要信息被非法用戶理解或修改；對用戶的行為進行實時監(jiān)控和審計，檢查其是否對系統(tǒng)有攻擊行為，并對入侵的用戶進行跟蹤。外部安全加強系統(tǒng)的物理安全，防止其他用戶直接訪問系統(tǒng)；保證人事安全，加強安全教育，防止用戶（特別是內部用戶）泄密。2006-106《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡安全的要求——完整性解決問題：如何保護計算機系統(tǒng)內軟件和數(shù)據(jù)不被非法刪改。軟件完整性數(shù)據(jù)完整性2006-107《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡安全的要求——保密性解決問題：如何防止用戶非法獲取關鍵的敏感信息，避免機密信息的泄露。加密是保護數(shù)據(jù)的一種重要方法，也是保護存儲在系統(tǒng)中的數(shù)據(jù)的一種有效手段，人們通常采用加密來保證數(shù)據(jù)的保密性。2006-108《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡安全的要求——可用性可用性是指無論何時，只要用戶需要，系統(tǒng)和網(wǎng)絡資源必須是可用的，尤其是當計算機及網(wǎng)絡系統(tǒng)遭到非法攻擊時，它必須仍然能夠為用戶提供正常的系統(tǒng)功能或服務。為了保證系統(tǒng)和網(wǎng)絡的可用性，必須解決網(wǎng)絡和系統(tǒng)中存在的各種破壞可用性的問題。2006-109《計算機網(wǎng)絡基礎（第二版）》杜煜計算機網(wǎng)絡的保護策略創(chuàng)建安全的網(wǎng)絡環(huán)境數(shù)據(jù)加密調制解調器的安全災難和意外計劃系統(tǒng)計劃和管理使用防火墻技術2006-1010《計算機網(wǎng)絡基礎（第二版）》杜煜網(wǎng)絡安全的脆弱點網(wǎng)絡安全脆弱點的幾個方面通信設備網(wǎng)絡傳輸介質網(wǎng)絡連接網(wǎng)絡操作系統(tǒng)病毒攻擊物理安全2006-1011《計算機網(wǎng)絡基礎（第二版）》杜煜常用的安全工具防火墻防火墻是在內部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng)，用于確定哪些內部資源允許外部訪問，以及允許哪些內部網(wǎng)用戶訪問哪些外部資源及服務；防火墻的基本類型有：包過濾型代理服務器型堡壘主機2006-1012《計算機網(wǎng)絡基礎（第二版）》杜煜常用的安全工具鑒別報文鑒別身份認證數(shù)字簽名2006-1013《計算機網(wǎng)絡基礎（第二版）》杜煜常用的安全工具其他工具訪問控制加/解密技術審計和入侵檢測安全掃描2006-1014《計算機網(wǎng)絡基礎（第二版）》杜煜訪問控制技術作用：對訪問系統(tǒng)及其數(shù)據(jù)的人進行識別，并檢驗其身份——用戶是誰？該用戶的身份是否真實？基于口令的訪問控制技術選用口令應遵循的原則增強口令安全性措施其他方法選擇性訪問控制技術2006-1015《計算機網(wǎng)絡基礎（第二版）》杜煜設備安全調制解調器安全通信介質的安全計算機與網(wǎng)絡設備的物理安全2006-1016《計算機網(wǎng)絡基礎（第二版）》杜煜防火墻技術使用防火墻可用于“安全隔離”，其實質就是限制什么數(shù)據(jù)可以“通過”防火墻進入到另一個網(wǎng)絡防火墻使用硬件平臺和軟件平臺來決定什么請求可以從外部網(wǎng)絡進入到內部網(wǎng)絡或者從內部到外部，其中包括的信息有電子郵件消息、文件傳輸、登錄到系統(tǒng)以及類似的操作等。2006-1017《計算機網(wǎng)絡基礎（第二版）》杜煜防火墻的優(yōu)缺點防火墻的優(yōu)點允許網(wǎng)絡管理員在網(wǎng)絡中定義一個控制點，將內部網(wǎng)絡與外部網(wǎng)絡隔開；審查和記錄Internet使用情況的最佳點；設置網(wǎng)絡地址翻譯器（NAT）的最佳位置；作為向客戶或其他外部伙伴發(fā)送信息的中心聯(lián)系點；防火墻的局限性不能防范不經(jīng)過防火墻產(chǎn)生的攻擊；不能防范由于內部用戶不注意所造成的威脅；不能防止受到病毒感染的軟件或文件在網(wǎng)絡上傳輸；很難防止數(shù)據(jù)驅動式攻擊；2006-1018《計算機網(wǎng)絡基礎（第二版）》杜煜2006-1019《計算機網(wǎng)絡基礎（第二版）》杜煜防火墻設計防火墻的基本準則“拒絕一切未被允許的東西”“允許一切未被特別拒絕的東西”機構的安全策略必須以安全分析、風險評估和商業(yè)需要分析為基礎；防火墻的費用取決于它的復雜程度以及要保護的系統(tǒng)規(guī)模；2006-1020《計算機網(wǎng)絡基礎（第二版）》杜煜防火墻的種類包過濾路由器可以決定對它所收到的每個數(shù)據(jù)包的取舍。逐一審查每份數(shù)據(jù)包以及它是否與某個包過濾規(guī)則相匹配。過濾規(guī)則以IP數(shù)據(jù)包中的信息為基礎：IP源地址、IP目的地址、封裝協(xié)議（TCP、UDP、ICMP等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP報文類型、包輸入接口和包輸出接口等。如果找到一個匹配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉發(fā)。如果找到一個匹配，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄2006-1021《計算機網(wǎng)絡基礎（第二版）》杜煜2006-1022《計算機網(wǎng)絡基礎（第二版）》杜煜防火墻的種類代理服務器代理服務器上安裝有特殊用途的特別應用程序，被稱為代理服務或代理服務器程序。使用代理服務后，各種服務不再直接通過防火墻轉發(fā)，對應用數(shù)據(jù)的轉發(fā)取決于代理服務器的配置：只支持一個應用程序的特定功能，同時拒絕所有其他功能；支持所有的功能，比如同時支持WWW、FTP、Telnet、SMTP和DNS等。2006-1023《計算機網(wǎng)絡基礎（第二版）》杜煜2006-1024《計算機網(wǎng)絡基礎（第二版）》杜煜防火墻的種類包過濾路由器允許信息包在外部系統(tǒng)與內部系統(tǒng)之間的直接流動。代理服務器允許信息在系統(tǒng)之間流動，但不允許直接交換信息包。堡壘主機是Internet上的主機能夠連接到的、唯一的內部網(wǎng)絡上的系統(tǒng)，它對外而言，屏蔽了內部網(wǎng)絡的主機系統(tǒng)，所以任何外部的系統(tǒng)試圖訪問內部的系統(tǒng)或服務時，都必須連接到堡壘主機上。堡壘主機的特點：堡壘主機的硬件平臺上運行的是一個比較“安全”的操作系統(tǒng)，以防止操作系統(tǒng)受損，同時也確保了防火墻的完整性。只有必要的服務才安裝在堡壘主機內，如Telnet、DNS、FTP、SMTP和用戶認證等。2006-1025《計算機網(wǎng)絡基礎（第二版）》杜煜2006-1026《計算機網(wǎng)絡基礎（第二版）》杜煜常見的網(wǎng)絡攻擊特洛伊木馬；拒絕服務（DoS）；郵件炸彈；

SYN淹沒攻擊；過載攻擊；入侵；信息竊取；病毒；2006-1027《計算機網(wǎng)絡