1、 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月网络安全规划2013.6 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月主要内容u什么是网络安全u网络防火墙技术u网络防病毒技术u网络加密技术u入侵检测系统u企业防黑五大策略 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月私密性:当信息被信息来源人士和收受人获知时 ,就丧失了私密性。完整性:当信息被非预期方式更动时,就丧失了完整性。身份鉴别:确保使用者能够提出与宣称身份相符的证明。10.1 什么是网络安全信息系统的安全原则
2、: 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月授 权: 系统必须能够判定用户是否具备足够的权限,进行特定的活动,如开启档案、执行程序等等。因为系统授权给特定用户后,用户才具备权限运行于系统之上,因此用户事先必须经由 系统 “身份鉴别 ”,才能取得对应的权限。不可否认: 用户在系统进行某项运作后,若事后能提出证明,而无法加以否认,便具备不可否认性。因为在系统运作时必须拥有权限,不可否认性通常架构在 “授权 ”机制之上。 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月10.2 网络防火墙技术10.2.1 防火墙
3、的基本原理1.防火墙技术u 包过滤包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、 TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。优 点: 对用户透明,传输性能高。 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月u状态检测它是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。 计算机网络技术基础 课件四川托普
4、信息技术职业学院 计算机科学与技术系 2005年 11月优 点: 由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月2. 防火墙的工作原理(1)包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如 IP地址。工作原理: 系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。 主要问题:防火墙不理解通信的内容,容易被黑客所攻破。 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月包过滤防火墙工作原理图 计算机网络技术基础 课件四川托普信息技术职业学院 计算机科学与技术系 2005年 11月( 2)应用网关防火墙 应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
