文档介绍:计算机网络信息平安知识
网络监控中心
目录
计算机网络平安技术概述
计算机网络信息平安概述
计算机网络信息平安防范技巧
一. 网络平安的含义
网络平安是指网络系统的硬件、软件及其术
计算机网络平安技术概述
身份认证技术的开展
身份认证可以通过3种根本途径之一或它们的组合实现:
所知〔knowledge〕: 个人所掌握的密码、口令;
所有〔possesses〕: 个人身份证、护照、信用卡、钥匙;
个人特征〔characteristics〕:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA,以及个人动作方面的特征;
新的、广义的生物统计学是利用个人所特有的生理特征来设计的;
目前人们研究的个人特征主要包括:容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律,以及在外界刺激下的反响等。
计算机网络平安技术概述
2 防火墙技术 � 防火墙的根本概念
防火墙是在网络之间执行平安控制策略的系统,它包括硬件和软件;
设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。
计算机网络平安技术概述
防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络平安构成威胁,为内部网络建立平安边界〔security perimeter〕;
构成防火墙系统的两个根本部件是包过滤路由器〔packet filtering router〕和应用级网关〔application gateway〕;
最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;
由于组合方式有多种,因此防火墙系统的结构也有多种形式。
计算机网络平安技术概述
包过滤路由器
包过滤路由器的结构
计算机网络平安技术概述
路由器按照系统内部设置的分组过滤规那么〔即访问控制表〕,检查每个分组的源IP地址、目的IP地址,决定该分组是否应该转发;
包过滤规那么一般是基于局部或全部报头的内容。例如,对于TCP报头信息可以是:
• 源IP地址;
• 目的IP地址;
• 协议类型;
• IP选项内容;
• 源TCP端口号;
• 目的TCP端口号;
• TCP ACK标识。
计算机网络平安技术概述
包过滤的工作流程
计算机网络平安技术概述
包过滤路由器作为防火墙的结构
计算机网络平安技术概述
应用级网关的概念
多归属主机〔multihomed host〕
典型的多归属主机结构
计算机网络平安技术概述
应用级网关
计算机网络平安技术概述
应用代理〔application proxy〕
计算机网络平安技术概述
防火墙的系统结构
堡垒主机的概念
一个双归属主机作为应用级网关可以起到防火墙作用;
处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。
计算机网络平安技术概述
典型防火墙系统系统结构分析
采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构
计算机网络平安技术概述
包过滤路由器的转发过程
计算机网络平安技术概述
S-B1配置的防火墙系统中数据传输过程
计算机网络平安技术概述
采用多级结构的防火墙系统〔 S-B1-S-B1配置〕结构示意图
计算机网络平安技术概述
3 网络防攻击与入侵检测技术 � 网络攻击方法分析
目前黑客攻击大致可以分为8种根本的类型:
入侵系统类攻击;
缓冲区溢出攻击;
欺骗类攻击;
拒绝效劳攻击;
对防火墙的攻击;
利用病毒攻击;
木马程序攻击;
后门攻击。
计算机网络平安技术概述
入侵检测的根本概念
入侵检测系统〔intrusion detection system,IDS〕是对计算机和网络资源的恶意使用行为进行识别的系统;
它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并且采取相应的防护手段。
计算机网络平安技术概述
入侵检测系统IDS的根本功能:
监控、分析用户和系统的行为;
检查系统的配置和漏洞;
评估重要的系统和数据文件的完整性;
对异常行为的统计分析,识别攻击类型,并向网络管理人员报警;
对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
计算机网络平安技术概述
入侵检测