网络信息安全概述10.2.1网络安全隐患与对策网络安全策略10.2.2病毒与防范10.3数据加密算法10.3.1数据加密的一般原理（1）对称密钥加密（2）公开密钥加密密文的传输DESIDEARSA10.4常用网络安全利用公共密钥算法进行数字签名3、数字证书4、防火墙 防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。2．防火墙的基本功能 （1）防火墙能够强化安全策略 （2）防火墙能有效地记录因特网上的活动 （3）防火墙限制暴露用户点 （4）防火墙是一个安全策略的检查站 3．防火墙的不足之处 （1）不能防范恶意的知情者 （2）防火墙不能防范不通过它的连接 （3）防火墙不能防备全部的威胁 （4）防火墙不能防范病毒 防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。 每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。 每个数据包都包含有特定信息的一组报头，其主要信息是： （1）IP协议类型（TCP、UDP，ICMP等）； （2）IP源地址； （3）IP目标地址； （4）IP选择域的内容； （5）TCP或UDP源端口号； （6）TCP或UDP目标端口号； （7）ICMP消息类型。1）包过滤是如何工作的 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据： （1）将包的目的地址作为判据； （2）将包的源地址作为判据； （3）将包的传送协议作为判据。 包过滤系统只能让我们进行类似以下情况的操作： （1）不让任何用户从外部网用Telnet登录； （2）允许任何用户使用SMTP往内部网发电子邮件； （3）只允许某台机器通过NNTP往内部网发新闻。 1．包过滤的优点 包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。 2．包过滤的缺点 （1）在机器中配置包过滤规则比较困难； （2）对系统中的包过滤规则的配置进行测试也较麻烦； （3）许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。 2）包过滤路由器的配置 在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。 下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。 （1）协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到路由器的。 （2）“往内”与“往外”的含义。在制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。 （3）“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地被允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）。从安全角度来看，用默认拒绝应该更合适。 3）包的基本构造 包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后依本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。数据包的封装 4）依据地址进行过滤 在包过滤系统中，最简单的方法是依据地址进行过滤。用地址进行过滤可以不管使用什么协议，仅根据源地址/目的地址对流动的包进行过滤。我们可用这种方法只让某些被指定的外部主机与某些被指定的内部主机进行交互。还可以防止黑客用伪包装成来自某台主机，而其实并非来自于那台主机的包对网络进行的侵扰。5）依据服务进行过滤 1．往外的Telnet服务 在往外的Telnet服务中，一个本地用户与一个远程服务器交互。我们必须对往外与往内的包都加以处理。 2．往内的Telnet服务 3．依据源端口来过滤 依据源端口来过滤必须有个前提，提供端口号的机器必须是真实的。如若入侵者已经通过root完全控制了这台机器，那他就可随意在这台机器上，也就等于在我们包过滤规则的端口上运行任意的客户程序或服务器程序。有时我们就根本不能相信由对方机器提供的机器源地址，因为有可能那台机器就是入侵者伪装的。防火墙类型1、