《計算機網絡基礎（第二版）》第十章計算機網絡安全2006-101《計算機網絡基礎（第二版）》杜煜本章主要內容計算機網絡安全的概念；計算機網絡對安全性的要求；訪問控制技術和設備安全；防火墻技術；網絡安全攻擊及解決方法；計算機網絡安全的基本解決方案。2006-102《計算機網絡基礎（第二版）》杜煜計算機網絡安全概述背景介紹對計算機網絡安全性問題的研究總是圍繞著信息系統進行，其主要目標就是要保護計算資源，免受毀壞、替換、盜竊和丟失，而計算資源包括了計算機及網絡設備、存儲介質、軟硬件、信息數據等。2006-103《計算機網絡基礎（第二版）》杜煜計算機網絡安全的解決策略訪問控制選擇性訪問控制病毒和計算機破壞程序加密系統計劃和管理物理安全通信安全2006-104《計算機網絡基礎（第二版）》杜煜計算機網絡安全包括的內容保護系統和網絡的資源免遭自然或人為的破壞；明確網絡系統的脆弱性和最容易受到影響或破壞的地方；對計算機系統和網絡的各種威脅有充分的估計；要開發并實施有效的安全策略，盡可能減少可能面臨的各種風險；準備適當的應急計劃，使網絡系統在遭到破壞或攻擊后能夠盡快恢復正常工作；定期檢查各種安全管理措施的實施情況與有效性。2006-105《計算機網絡基礎（第二版）》杜煜計算機網絡安全的要求——安全性內部安全對用戶進行識別和認證，防止非授權用戶訪問系統；確保系統的可靠性，以避免軟件的缺陷（Bug）成為系統的入侵點；對用戶實施訪問控制，拒絕其訪問超出訪問權限的資源；加密傳輸和存儲的數據，防止重要信息被非法用戶理解或修改；對用戶的行為進行實時監控和審計，檢查其是否對系統有攻擊行為，并對入侵的用戶進行跟蹤。外部安全加強系統的物理安全，防止其他用戶直接訪問系統；保證人事安全，加強安全教育，防止用戶（特別是內部用戶）泄密。2006-106《計算機網絡基礎（第二版）》杜煜計算機網絡安全的要求——完整性解決問題：如何保護計算機系統內軟件和數據不被非法刪改。軟件完整性數據完整性2006-107《計算機網絡基礎（第二版）》杜煜計算機網絡安全的要求——保密性解決問題：如何防止用戶非法獲取關鍵的敏感信息，避免機密信息的泄露。加密是保護數據的一種重要方法，也是保護存儲在系統中的數據的一種有效手段，人們通常采用加密來保證數據的保密性。2006-108《計算機網絡基礎（第二版）》杜煜計算機網絡安全的要求——可用性可用性是指無論何時，只要用戶需要，系統和網絡資源必須是可用的，尤其是當計算機及網絡系統遭到非法攻擊時，它必須仍然能夠為用戶提供正常的系統功能或服務。為了保證系統和網絡的可用性，必須解決網絡和系統中存在的各種破壞可用性的問題。2006-109《計算機網絡基礎（第二版）》杜煜計算機網絡的保護策略創建安全的網絡環境數據加密調制解調器的安全災難和意外計劃系統計劃和管理使用防火墻技術2006-1010《計算機網絡基礎（第二版）》杜煜網絡安全的脆弱點網絡安全脆弱點的幾個方面通信設備網絡傳輸介質網絡連接網絡操作系統病毒攻擊物理安全2006-1011《計算機網絡基礎（第二版）》杜煜常用的安全工具防火墻防火墻是在內部網與外部網之間實施安全防范的系統，用于確定哪些內部資源允許外部訪問，以及允許哪些內部網用戶訪問哪些外部資源及服務；防火墻的基本類型有：包過濾型代理服務器型堡壘主機2006-1012《計算機網絡基礎（第二版）》杜煜常用的安全工具鑒別報文鑒別身份認證數字簽名2006-1013《計算機網絡基礎（第二版）》杜煜常用的安全工具其他工具訪問控制加/解密技術審計和入侵檢測安全掃描2006-1014《計算機網絡基礎（第二版）》杜煜訪問控制技術作用：對訪問系統及其數據的人進行識別，并檢驗其身份——用戶是誰？該用戶的身份是否真實？基于口令的訪問控制技術選用口令應遵循的原則增強口令安全性措施其他方法選擇性訪問控制技術2006-1015《計算機網絡基礎（第二版）》杜煜設備安全調制解調器安全通信介質的安全計算機與網絡設備的物理安全2006-1016《計算機網絡基礎（第二版）》杜煜防火墻技術使用防火墻可用于“安全隔離”，其實質就是限制什么數據可以“通過”防火墻進入到另一個網絡防火墻使用硬件平臺和軟件平臺來決定什么請求可以從外部網絡進入到內部網絡或者從內部到外部，其中包括的信息有電子郵件消息、文件傳輸、登錄到系統以及類似的操作等。2006-1017《計算機網絡基礎（第二版）》杜煜防火墻的優缺點防火墻的優點允許網絡管理員在網絡中定義一個控制點，將內部網絡與外部網絡隔開；審查和記錄Internet使用情況的最佳點；設置網絡地址翻譯器（NAT）的最佳位置；作為向客戶或其他外部伙伴發送信息的中心聯系點；防火墻的局限性不能防范不經過防火墻產生的攻擊；不能防范由于內部用戶不注意所造成的威脅；不能防止受到病毒感染的軟件或文件在網絡上傳輸；很難防止數據驅動式攻擊；2006-1018《計算機網絡基礎（第二版）》杜煜2006-1019《計算機網絡基礎（第二版）》杜煜防火墻設計防火墻的基本準則“拒絕一切未被允許的東西”“允許一切未被特別拒絕的東西”機構的安全策略必須以安全分析、風險評估和商業需要分析為基礎；防火墻的費用取決于它的復雜程度以及要保護的系統規模；2006-1020《計算機網絡基礎（第二版）》杜煜防火墻的種類包過濾路由器可以決定對它所收到的每個數據包的取舍。逐一審查每份數據包以及它是否與某個包過濾規則相匹配。過濾規則以IP數據包中的信息為基礎：IP源地址、IP目的地址、封裝協議（TCP、UDP、ICMP等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP報文類型、包輸入接口和包輸出接口等。如果找到一個匹配，且規則允許該數據包通過，則該數據包根據路由表中的信息向前轉發。如果找到一個匹配，且規則拒絕此數據包，則該數據包將被舍棄2006-1021《計算機網絡基礎（第二版）》杜煜2006-1022《計算機網絡基礎（第二版）》杜煜防火墻的種類代理服務器代理服務器上安裝有特殊用途的特別應用程序，被稱為代理服務或代理服務器程序。使用代理服務后，各種服務不再直接通過防火墻轉發，對應用數據的轉發取決于代理服務器的配置：只支持一個應用程序的特定功能，同時拒絕所有其他功能；支持所有的功能，比如同時支持WWW、FTP、Telnet、SMTP和DNS等。2006-1023《計算機網絡基礎（第二版）》杜煜2006-1024《計算機網絡基礎（第二版）》杜煜防火墻的種類包過濾路由器允許信息包在外部系統與內部系統之間的直接流動。代理服務器允許信息在系統之間流動，但不允許直接交換信息包。堡壘主機是Internet上的主機能夠連接到的、唯一的內部網絡上的系統，它對外而言，屏蔽了內部網絡的主機系統，所以任何外部的系統試圖訪問內部的系統或服務時，都必須連接到堡壘主機上。堡壘主機的特點：堡壘主機的硬件平臺上運行的是一個比較“安全”的操作系統，以防止操作系統受損，同時也確保了防火墻的完整性。只有必要的服務才安裝在堡壘主機內，如Telnet、DNS、FTP、SMTP和用戶認證等。2006-1025《計算機網絡基礎（第二版）》杜煜2006-1026《計算機網絡基礎（第二版）》杜煜常見的網絡攻擊特洛伊木馬；拒絕服務（DoS）；郵件炸彈；

SYN淹沒攻擊；過載攻擊；入侵；信息竊取；病毒；2006-1027《計算機網絡