《網(wǎng)絡(luò)安全防護(hù)技術(shù)》教學(xué)課件

1、一 防火墻技術(shù),從計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的角度看，防火墻是一個(gè)連接兩個(gè)或更多物理網(wǎng)絡(luò)，并把分組從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)的意義上的路由器，它將網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。,1. 防火墻的定義,在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一道屏障，通過相應(yīng)的訪問控制策略（允許、拒絕、監(jiān)測(cè)、記錄）控制進(jìn)出網(wǎng)絡(luò)的訪問行為。,2. 防火墻的目的,通常意義下的防火墻具有以下三個(gè)方面的特征： 所有的網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻：不同安全級(jí)別的網(wǎng)絡(luò)或安全域之間的唯一通道。 火墻是安全策略的檢查站：只有被防火墻策略明確授權(quán)的通信才可以通過。,3. 防火墻的特征,防火墻具有非常強(qiáng)的抗攻擊能力。,防火墻系統(tǒng)自身具有高安全性和高可靠性

2、。這是防火墻能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。 一般采用Linux、UNIX或FreeBSD系統(tǒng)作為支撐其工作的操作系統(tǒng)。,4 防火墻的功能,限定內(nèi)部用戶訪問特殊站點(diǎn)； 防止未授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)；,1. 過濾和管理,允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)的服務(wù)和資源； 不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源；,2. 保護(hù)和隔離,5 工作方式,防火墻的工作方式主要分為包過濾型、應(yīng)用代理型和狀態(tài)檢測(cè)型。,包過濾（Packet filtering）防火墻是最簡單的防火墻，通常只包括對(duì)源和目的的IP地址及端口的檢查。,1. 包過濾型,包過濾防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址、

3、目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。,包過濾防火墻的原理,包過濾型防火墻,包過濾防火墻邏輯簡單、價(jià)格便宜、網(wǎng)絡(luò)性能和透明性好。 它的不足之處也顯而易見，包過濾防火墻配置困難，且無法滿足各種安全要求，缺少審計(jì)和報(bào)警機(jī)制。,包過濾防火墻的優(yōu)缺點(diǎn),應(yīng)用代理型防火墻（Application Proxy）工作在OSI的最高層，即應(yīng)用層。 其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。,2. 應(yīng)用代理型,數(shù)據(jù)備份概述 隨著信息化建設(shè)的進(jìn)展，各種應(yīng)用系統(tǒng)的運(yùn)行，

4、必然會(huì)產(chǎn)生大量的數(shù)據(jù)，而這些數(shù)據(jù)作為企業(yè)和組織最重要的資源，越來越受到大家的重視。同樣，由于數(shù)據(jù)量的增大和新業(yè)務(wù)的涌現(xiàn)，如何確保數(shù)據(jù)的一致性、安全性和可靠性；如何解決數(shù)據(jù)集中管理后的安全問題，建立一個(gè)強(qiáng)大的、高性能的、可靠的數(shù)據(jù)備份平臺(tái)是當(dāng)務(wù)之急。數(shù)據(jù)遭到破壞，有人為的因素，也有各種不可預(yù)測(cè)的因素。,二 數(shù)據(jù)備份與恢復(fù),數(shù)據(jù)備份概述 數(shù)據(jù)備份就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)需要時(shí)重新恢復(fù)和利用。其作用主要體現(xiàn)在如下兩個(gè)方面： 1在數(shù)據(jù)遭到意外事件破壞時(shí)，通過數(shù)據(jù)恢復(fù)還原數(shù)據(jù)。 2數(shù)據(jù)備份是歷史數(shù)據(jù)保存歸檔的最佳方式。,備份的最基本問題是：為保證能恢復(fù)全部系統(tǒng)，需要備份多少以及何時(shí)進(jìn)行備

5、份。目前常用的備份方法備份策略有： （1）全盤備份 ；（2）增量備份 ； （3）差異備份 ；（4）按需備份,數(shù)據(jù)備份必須要考慮到數(shù)據(jù)恢復(fù)的問題，包括采用雙機(jī)熱備、磁盤鏡像或容錯(cuò)、備份磁帶異地存放、關(guān)鍵部件冗余等多種災(zāi)難預(yù)防措施。這些措施能夠在系統(tǒng)發(fā)生故障后進(jìn)行系統(tǒng)恢復(fù)。但是這些措施一般只能處理計(jì)算機(jī)單點(diǎn)故障，對(duì)區(qū)域性、毀滅性災(zāi)難則束手無策，也不具備災(zāi)難恢復(fù)能力。 對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行全面的備份，并不只是簡單地進(jìn)行文件拷貝。一個(gè)完整的系統(tǒng)備份方案，應(yīng)由備份硬件、備份軟件、日常備份制度和災(zāi)難恢復(fù)措施四個(gè)部份組成。選擇了備份硬件和軟件后，還需要根據(jù)本單位的具體情況制定日常備份制度和災(zāi)難恢復(fù)措施，并由系統(tǒng)

6、管理人員切實(shí)執(zhí)行備份制度。,系統(tǒng)還原卡 系統(tǒng)還原卡可以在硬盤非物理損壞的情況下，讓硬盤系統(tǒng)數(shù)據(jù)恢復(fù)到預(yù)先設(shè)置的狀態(tài)。 可以利用系統(tǒng)還原卡，在受到病毒、誤刪除、故意破壞硬盤的數(shù)據(jù)時(shí)，都可以輕易地還原系統(tǒng)。,10.5 數(shù)據(jù)恢復(fù) 數(shù)據(jù)恢復(fù)就是把遭到破壞、刪除和修改的數(shù)據(jù)還原為可使用數(shù)據(jù)的過程。 10.5.1 數(shù)據(jù)恢復(fù)概述 可以將數(shù)據(jù)恢復(fù)分為兩種情況： （1）因?yàn)橛?jì)算機(jī)病毒破壞、人為破壞和人為誤操作造成當(dāng)前的系統(tǒng)數(shù)據(jù)或用戶數(shù)據(jù)丟失或損壞，但存儲(chǔ)數(shù)據(jù)的物理介質(zhì)沒有遭到破壞，原始的備份數(shù)據(jù)也保存良好，這種情況下只要使用備份軟件或應(yīng)用程序的還原功能，就基本上可以恢復(fù)所損壞的數(shù)據(jù)；,（2）當(dāng)前數(shù)據(jù)和原始的備份

7、數(shù)據(jù)都遭到破壞，甚至存儲(chǔ)數(shù)據(jù)的物理介質(zhì)也出現(xiàn)邏輯或物理上的故障，這種情況將會(huì)引起災(zāi)難性后果。 數(shù)據(jù)恢復(fù)比較困難的是后一種情況，如硬盤故障。為了提高數(shù)據(jù)的修復(fù)率，在發(fā)現(xiàn)硬盤數(shù)據(jù)丟失或遭到破壞時(shí)，最重要的就是注意“保護(hù)好現(xiàn)場(chǎng)”，要立即禁止對(duì)硬盤再進(jìn)行新的寫操作。,進(jìn)行數(shù)據(jù)恢復(fù)之前，首要的一點(diǎn)就是認(rèn)真、細(xì)致地制訂恢復(fù)計(jì)劃，對(duì)每一步操作都有一個(gè)明確的目的。 在進(jìn)行每一步操作之前就考慮好做完該步之后能達(dá)到什么目的，可能造成什么后果，能不能回退至上一狀態(tài)。特別是對(duì)于一些破壞性操作，一定要考慮周到。 只要條件允許，就一定要在操作之前對(duì)要恢復(fù)的數(shù)據(jù)進(jìn)行鏡像備份，以防止數(shù)據(jù)恢復(fù)失敗和誤操作。 要注意的是，應(yīng)該先

8、搶救那些最有把握能恢復(fù)的數(shù)據(jù)，恢復(fù)一點(diǎn)，就備份一點(diǎn)。,硬盤數(shù)據(jù)恢復(fù) 對(duì)硬盤來說，如果整個(gè)系統(tǒng)癱瘓、系統(tǒng)無法啟動(dòng)，恢復(fù)數(shù)據(jù)可以先從硬盤的5個(gè)區(qū)域入手，首先恢復(fù)MBR（主引導(dǎo)記錄區(qū)），然后恢復(fù)DBR（ 操作系統(tǒng)引導(dǎo)記錄區(qū)），F(xiàn)AT（文件分配表），F(xiàn)DT（文件目錄表），最后恢復(fù)數(shù)據(jù)文件。必要時(shí)，系統(tǒng)需要檢測(cè)磁道，修復(fù)0磁道和其他壞磁道。,對(duì)信息進(jìn)行加密可以防止攻擊者竊取網(wǎng)絡(luò)機(jī)密信息，可以使系統(tǒng)信息不被無關(guān)者識(shí)別，也可以檢測(cè)出非法用戶對(duì)數(shù)據(jù)的插入、刪除、修改及濫用有效數(shù)據(jù)的各種行為。 基于數(shù)據(jù)加密的數(shù)字簽名和鑒別技術(shù)除具有保密功能外，還可以進(jìn)行用戶的身份驗(yàn)證和數(shù)據(jù)源及其內(nèi)容的鑒別。,數(shù)據(jù)加密概述,加密

9、在網(wǎng)絡(luò)上的作用就是防止有價(jià)值的信息在網(wǎng)上被竊取并識(shí)別； 基于加密技術(shù)的鑒別的作用是用來確定用戶身份的真實(shí)性和數(shù)據(jù)的真實(shí)性。,加密 ：把信息從一個(gè)可理解的明文形式變換成一個(gè)錯(cuò)亂的、不可理解的密文形式的過程 明文(Plain Text)：原來的信息(報(bào)文)、消息，就是網(wǎng)絡(luò)中所說的報(bào)文(Message) 密文(Cipher Text)：經(jīng)過加密后得到的信息 解密：將密文還原為明文的過程,密鑰(Key)：加密和解密時(shí)所使用的一種專門信息(工具) 密碼算法(Algorithm)：加密和解密變換的規(guī)則(數(shù)學(xué)函數(shù))，有加密算法和解密算法 加密系統(tǒng)：加密和解密的信息處理系統(tǒng) 加密過程是通過某種算法并使用密鑰來完成的信息變換,簡單的密碼系統(tǒng)示意圖,網(wǎng)絡(luò)保密通信,通信安全 要保證系統(tǒng)的通信安全，就要充分認(rèn)識(shí)到網(wǎng)絡(luò)系統(tǒng)的脆弱性，特別是網(wǎng)絡(luò)通信系統(tǒng)和通信協(xié)議的弱點(diǎn)，估計(jì)到系統(tǒng)可能遭受的各種威脅，采取相應(yīng)的