《计算机网络安全基础(第4版)》教案.doc

1、高级数据库技术课程报告计算机网络安全基础教案周 次第 1，2 次课日 期章节名称第1章 网络基础知识与因特网授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数4教学目的及要求1掌握网络参考模型2让学生对网络安全的发展、构成、分类、网络体系结构等有一个初步的了解。教 学 内 容 提 要时间分配1.1 网络参考模型1.1.1 分层通信1.1.2 信息格式1.2 网络互连设备1.2.1 中继器和集线器1.2.2 网桥1.2.3 路由器1.2.4 网关1.3 局域网技术1.3.1 以太网和IEEE 802.31.3.2 令牌环网和IEEE 802.581.3.3 光纤分布式数据接口（FDDI）1.

2、4 广域网技术1.4.1 广域网基本技术1.4.2 广域网协议1.5 TCP/IP基础1.5.1 TCP/IP与OSI参考模型1.5.2 网络层1.5.3 传输层1.5.4 应用层l.6 因特网提供的主要服务1.6.1 远程终端访问服务1.6.2 文件传输服务1.6.3 电子邮件服务1.6.4 WWW服务1.6.5 DNS服务1.6.6 网络管理服务303020203070 第 1 页教学重点与难点1重点分层实现网络的功能：网络协议、网络体系结构、实通信和虚通信。网络互连设备是实现网络互连的关键，它们有4种主要的类型：中继器、网桥、路由器以及网关，这些设备在实现局域网（LAN）与LAN的连接中

3、相对于OSI参考模型的不同层。中继器在OSI参考模型的第一层建立LAN对LAN的连接，网桥在第二层，路由器在第三层，网关则在第四至第七层。每种网络互连设备提供的功能与OSI参考模型规定的相应层的功能一致，但它们都可以使用所有低层提供的功能。因特网协议（IP）和传输控制协议（TCP）是因特网协议簇中最为有名的两个协议，其应用非常广泛，它能够用于任何相互连接的计算机网络系统之间的通信，对局域网（LAN）和广域网（WAN）都有非常好的效果。在因特网中，每一台主机都有一个惟一的地址，地址由网络号和主机号两部分组成。地址是惟一的，以使每一个IP地址表示因特网中的惟一一台主机。所有的IP地址都是32位。广

4、域网技术及对应的协议、IP地址及子网掩码。因特网提供的主要服务：远程终端访问服务、文件传输服务、电子邮件服务、WWW服务、DNS服务、网络管理服务讨论、练习、作业网上查找资料和学习有关课程的内容。教学手段采用电子教案，以多媒体教学为主，同时辅以版书的进一步讲解。参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基础教案周 次第 3，4 次课日 期章节名称第2章 网络安全概述授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数4教学目的及要求1掌握网络安全基础知识2了解威胁网络安全的因素3了解网络安全分类及网络安全解决方案教

5、 学 内 容 提 要时间分配2.1 网络安全基础知识2.1.1 网络安全的含义2.1.2 网络安全的特征2.1.3 网络安全的威胁2.1.4 网络安全的关键技术2.1.5 网络安全策略2.2 威胁网络安全的因素2.2.1 威胁网络安全的主要因素2.2.2 各种外部威胁2.2.3 防范措施2.3 网络安全分类2.4 网络安全解决方案2.4.1 网络信息安全模型2.4.2 安全策略设计依据2.4.3 网络安全解决方案2.4.4 网络安全性措施2.4.5 因特网安全管理2.4.6 网络安全的评估40403090 第 1 页教学重点与难点1网络安全基础知识计算机网络安全的含义是通过各种计算机、网络、密

6、码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括物理安全、安全控制和安全服务。网络安全应具有保密性、完整性、可用性和可控性4个方面的特征。计算机网络安全技术主要有主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。2威胁网络安全的因素计算机网络安全受到的威胁主要有“黑客”的攻击、计算机病毒和拒绝服务攻击。3网络安全分类根据中国国家计算机安全规范，计算机的安全大致可分为以下三类：（1）实体安全，包括机房、线路和主机等；（2）网络与信息安全，包括网络的畅通、准确

7、以及网上信息的安全；（3）应用安全，包括程序开发运行、I/O和数据库等的安全。讨论、练习、作业练习和作业：1网络安全的含义是什么？2网络安全有哪些特征？3什么是网络安全的最大威胁？4网络安全主要有哪些关键技术？5如何实施网络安全的安全策略？6如何理解协议安全的脆弱性？7数据库管理系统有哪些不安全因素？8解释网络信息安全模型。9对因特网进行安全管理需要哪些措施？ 10简述信息包筛选的工作原理。教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论4 5 参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安

8、全基础教案周 次第 5 次课日 期章节名称第3章 计算机系统安全与访问控制授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数2教学目的及要求1了解计算机安全的主要目标2掌握安全级别3了解系统访问控制4了解选择性访问控制5了解强制性访问控制教 学 内 容 提 要时间分配3.1 什么是计算机安全3.2 安全级别3.3 系统访问控制3.3.1 系统登录3.3.2 身份认证3.3.3 系统口令3.3.4 口令的维护3.4 选择性访问控制20203030 第 1 页教学重点与难点1计算机安全的主要目标计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。计算机系统安全技术包括：实体硬件安全

9、技术、软件系统安全技术、数据信息安全技术、网络站点安全技术、运行服务（质量）安全技术、病毒防治技术、防火墙技术和计算机应用系统的安全评价。OSI安全体系结构的5种安全服务项目包括：鉴别、访问控制、数据保密、数据完整性和抗否认。2安全级别根据美国国防部开发的计算机安全标准，将安全级别由最低到最高划分为D级、C级、B级和A级，D级为最低级别，A级为最高级别。3系统访问控制系统访问控制是对进入系统的控制。其主要作用是对需要访问系统及其数据的人进行识别，并检验其合法身份。4选择性访问控制选择性访问控制是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可

10、以直接或间接地把这种控制权传递给别的主体。讨论、练习、作业练习和作业：1计算机系统安全的主要目标是什么？2简述计算机系统安全技术的主要内容。3计算机系统安全技术标准有哪些？4访问控制的含义是什么？5如何从Unix操作系统登录？6如何从Windows操作系统登录？7怎样保护系统的口令？8什么是口令的生命周期？9如何保护口令的安全？10建立口令应遵循哪些规则？教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基础教案周 次第 6，7 次课日 期章节名

11、称第4章 数据安全技术授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数4教学目的及要求1掌握数据完整性的概念 2了解容错与网络冗余3学会使用网络备份系统4掌握数据库的安全教 学 内 容 提 要时间分配4.1 数据完整性简介4.1.1 数据完整性4.1.2 提高数据完整性的办法4.2 容错与网络冗余4.2.1 容错技术的产生及发展4.2.2 容错系统的分类4.2.3 容错系统的实现方法4.2.4 网络冗余4.3 网络备份系统4.3.1 备份与恢复4.3.2 网络备份系统的组成4.3.3 备份的设备与介质4.3.4 磁带轮换4.3.5 备份系统的设计4.4 数据库安全概述4.4.1 简介4.

12、4.2 数据库的特性4.4.3 数据库安全系统特性4.4.4 数据库管理系统4.5 数据库安全的威胁4.6 数据库的数据保护4.7 数据库备份与恢复4.7.1 数据库备份的评估4.7.2 数据库备份的性能4.7.3 系统和网络完整性4.7.4 制定备份的策略4.7.5 数据库的恢复30303040202030 第 1 页教学重点与难点1数据完整性简介影响数据完整性的因素主要有如下5种：硬件故障、网络故障、逻辑问题、意外的灾难性事件、人为的因素。2容错与网络冗余将容错系统分成5种不同的类型：高可用度系统、长寿命系统、延迟维修系统、高性能计算系统、关键任务计算系统。实现容错系统的方法如下：空闲备件

13、、负载平衡、镜像、复现。3网络备份系统备份包括全盘备份、增量备份、差别备份、按需备份和排除。4数据库安全概述数据库具有多用户、高可靠性、可频繁更新和文件大等特性。在安全方面数据库具有数据独立性、数据安全性、数据的完整性、并发控制和故障恢复等特点。5数据库安全的威胁对数据库构成的威胁主要有篡改、损坏和窃取3种情况。6数据库的数据保护数据库保护主要是指数据库的安全性、完整性、并发控制和数据库恢复。在数据库的安全性方面要采取用户标识和鉴定、存取控制、数据分级以及数据加密等手段。7数据库备份与恢复常用的数据库备份方法有冷备份、热备份和逻辑备份3种。讨论、练习、作业练习和作业：1简述数据完整性的概念及影

14、响数据完整性的主要因素。2什么是容错与网络冗余技术，实现容错系统的主要方法有哪些？3实现存储系统冗余的方法有哪些？4简述“镜像”的概念。5网络系统备份的主要目的是什么？6网络备份系统的主要部件有哪些？7试分析数据库安全的重要性，说明数据库安全所面临的威胁。8数据库的安全策略有哪些？简述其要点。9简述常用数据库的备份方法。教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基础教案周 次第 8，9 次课日 期章节名称第5章 恶意代码及网络防病毒技术授

15、课方式理论课（ ） 实验课（ ） 实习（ ）教学时数4教学目的及要求1掌握计算机病毒的基本概念 2了解宏病毒及网络病毒3了解特洛伊木马的原理4了解蠕虫病毒的原理5了解其他恶意代码的原理6学会病毒的预防、检测和清除教 学 内 容 提 要时间分配5.1 计算机病毒5.1.1 计算机病毒的分类5.1.2 计算机病毒的传播5.1.3 计算机病毒的工作方式5.1.4 计算机病毒的特点及破坏行为5.2 宏病毒及网络病毒5.2.1 宏病毒5.2.2 网络病毒5.3 特洛伊木马5.3.1 木马的启动方式5.3.2 木马的工作原理5.3.3 木马的检测5.4 蠕虫病毒5.4.1 蠕虫病毒的特点5.4.2 蠕虫病

16、毒的原理5.4.3 蠕虫病毒的防治5.5 其他恶意代码5.5.1 移动恶意代码5.5.2 陷门5.5.3 逻辑炸弹5.5.4 僵尸病毒5.5.5 复合型病毒5.6 病毒的预防、检测和清除5.6.1 病毒的预防5.6.2 病毒的检测5.6.3 计算机病毒的免疫5.6.4 计算机感染病毒后的恢复5.6.5 计算机病毒的清除303030303050 第 1 页教学重点与难点1计算机病毒计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播或感染到其他系统。计算机病毒可分为文件病毒、引导扇区病毒、多裂变病毒、秘密病毒、异形病毒和宏病毒等几类。2计算机病毒的传播病毒进入系统以后，通常用两

17、种方式传播：通过磁盘的关键区域进行传播，在可执行的文件中传播。3计算机病毒的特点及破坏行为计算机病毒具有的特点是：刻意编写人为破坏；有自我复制能力；夺取系统控制权；隐蔽性；潜伏性；不可预见性。4宏病毒及网络病毒“宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。网络病毒是由因特网衍生出的新一代病毒，即Java及ActiveX病毒。它不需要停留在硬盘中且可以与传统病毒混杂在一起，不被人们察觉。它们可以跨操作平台，一旦遭受感染，便毁坏所有操作系统。5病毒的预防、检查和清除病毒检测的原理主要是基于下列4种方法：比较被检测对象与原始备份的比较法，利用病毒特征代码串的搜索法，病毒体内特

18、定位置的特征字识别法以及运用反汇编技术分析被检测对象，确认是否为病毒的分析法。扫描病毒程序就是寻找扫描串，也被称为病毒特征。这些病毒特征可用于惟一地识别某种类型的病毒，扫描程序能在程序中寻找这种病毒特征。完整性检查程序是另一类反病毒程序，它是通过识别文件和系统的改变来发现病毒，或病毒的影响。讨论、练习、作业练习和作业：1什么是计算机病毒？2计算机病毒的基本特征是什么？3简述计算机病毒攻击的对象及所造成的危害。4计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？6简述检测计算机病毒的常用方法。7简述宏病毒的特征及其清除方法。8简述计算机病毒的防治措施。9什么是网络病毒

19、，防治网络病毒的要点是什么？教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基础教案周 次第 10 次课日 期章节名称第6章 数据加密与认证技术授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数2教学目的及要求1了解密码学的发展历史2掌握数据加密的基本原理3掌握对称和非对称密码的原理教 学 内 容 提 要时间分配6.1 数据加密概述6.1.1 密码学的发展6.1.2 数据加密6.1.3 基本概念6.2 传统密码技术6.2.1 数据表示方法6

20、.2.2 替代密码6.2.3 换位密码6.2.4 简单异或6.2.5 一次密码4060 第 1 页教学重点与难点1数据加密概述加密算法通常是公开的，现在只有少数几种加密算法，如 DES和 IDEA等。一般把受保护的原始信息称为明文，编码后的信息称为密文。有两类基本的加密算法保密密钥和公用/私有密钥。摘要是一种防止信息被改动的方法，其中用到的函数叫摘要函数。基于密钥的算法通常有两类：对称算法和公用密钥算法。对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推导出来，反过来也成立；公用密钥算法用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来。2传统密码技术传统加密方

21、法的主要应用对象是对文字信息进行加密解密。在经典密码学中，常用的有替代密码和换位密码。有以下4种类型的替代密码：（1）简单替代密码；（2）多名码替代密码；（3）多字母替代密码；（4）多表替代密码。讨论、练习、作业练习和作业：1什么是数据加密？简述加密和解密的过程。2在凯撒密码中令密钥k=8，制造一张明文字母与密文字母对照表。3用维吉尼亚法加密下段文字：COMPUTER AND PASSWORD SYSTEM，密钥为 KEYWORD。教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础

22、（第4版） 第 2 页计算机网络安全基础教案周 次第 11 次课日 期章节名称第6章 数据加密与认证技术授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数2教学目的及要求1 掌握数据加密标准DES的工作原理2 掌握公钥密码体制RSA的工作原理3 学会使用数字信封技术教 学 内 容 提 要时间分配6.3 对称密钥密码技术6.3.1 Feistel密码结构6.3.2 数据加密标准6.3.3 国际数据加密算法6.3.4 Blowfish算法6.3.5 GOST算法6.3.6 PKZIP算法6.3.7 RC5算法6.4 公钥密码体制6.4.1公钥加密原理6.4.2 Diffie-Hellman密钥

23、交换算法6.4.3 RSA密码系统6.4.4 数字信封技术5050 第 1 页教学重点与难点数据加密标准 DES（Data Encryption Standard）是一个分组加密算法，它以64位为分组对数据加密。64位一组的明文从算法的一端输入，64位的密文从另一端输出。DES使得用相同的函数来加密或解密每个分组成为可能，二者的惟一不同之处是密钥的次序相反。IDEA与DES一样，也是一种使用一个密钥对64位数据块进行加密的常规共享密钥加密算法。同样的密钥用于将64位的密文数据块恢复成原始的64位明文数据块。IDEA使用128位（16字节）密钥进行操作。RSA要求每一个用户拥有自己的一种密钥：（

24、1）公开的加密密钥，用以加密明文；（2）保密的解密密钥，用于解密密文。这是一对非对称密钥，又称为公用密钥体制。RSA数字签名是一种强有力的认证鉴别方式，可保证接收方能够判定发送方的真实身份。讨论、练习、作业练习和作业：1DES算法主要有哪几部分？2在DES算法中，密钥Ki的生成主要分哪几步？3简述加密函数f的计算过程。4简述DES算法中的依次迭代过程。5简述DES算法和RSA算法保密的关键所在。教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基

25、础教案周 次第 12 次课日 期章节名称第6章 数据加密与认证技术授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数2教学目的及要求1 学会使用数字签名技术2 学会使用信息验证技术3 能设计并用程序编写数字签名和信息验证技术教 学 内 容 提 要时间分配6.5 数字签名技术6.5.1 基本概念6.5.2 安全Hash函数6.5.3 直接方式的数字签名技术6.5.4 数字签名算法6.5.5 其他数字签名技术6.6 验证技术6.6.1 信息的验证6.6.2 认证授权6.6.3 CA证书6.6.4 PKI系统6.6.5 Kerberos系统6.7 加密软件PGP504010 第 1 页教学重点与

26、难点一个数字签名方案一般由两部分组成：签名算法和验证算法。其中，签名算法或签名密钥是秘密的，只有签名人知道，而验证算法是公开的。信息的签名就是用专用密钥对信息进行加密，而签名的验证就是用相对应的公用密钥对信息进行解密。PGP（Pretty Good Privacy）是一个基于RSA密钥加密体系的供大众使用的加密软件。它不但可以对用户的邮件保密，以防止非授权者阅读，还能对邮件加上数字签名让收信人确信邮件未被第三者篡改，让人们可以安全地通信。在计算机网络系统中，数据加密方式有链路加密、节点加密和端端加密3种方式。讨论、练习、作业练习和作业：1说明公开密钥体制实现数字签名的过程。2RSA算法的密钥是

27、如何选择的？3编写一段程序，对选定的文字进行加密和解密（密钥为另一段文字）。4编写一篇经过加密的文章，通过一定的算法获得文章的内容（要求原文的内容有意义并能看懂）。5已知线性替代密码的变换函数为：f（a）=ak mod 26设已知明码字母J（9）对应于密文字母 P（15），即9k mod 26=15，试计算密钥k以破译此密码。6已知RSA密码体制的公开密码为n=55，e=7，试加密明文m=10，通过求解p、q和d破译这种密码体制。设截获到密码文C=35，求出它对应的明码文。7考虑一个常用质数q=11，本原根a=2的Diffie-Hellman方案。（1）如果A的公钥为YA=9，则A的私钥XA为

28、多少？（2）如果B的公钥为YB=3，则共享A的密钥K为多少？教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基础教案周 次第13 次课日 期章节名称第7章 网络安全技术授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数2教学目的及要求1 了解网络安全协议的主要内容2 掌握IPSec安全传输技术3 掌握SSL安全传输技术4 了解网络加密技术教 学 内 容 提 要时间分配7.1 网络安全协议及传输技术7.1.1 安全协议及传输技术概述7.1.2

29、 网络层安全协议IPSec7.1.3 IPSec安全传输技术7.1.4 传输层安全协议7.1.5 SSL安全传输技术7.2 网络加密技术7.2.1 链路加密7.2.2 节点加密7.2.3 端端加密5050 第 1 页教学重点与难点1网络安全协议（1）应用层安全协议在应用层的安全协议主要包括：安全Shell（SSH）协议、SET（Secure Electronic Transaction）协议、S-HTTP协议、PGP协议和S/MIME协议（2）传输层安全协议传输层的安全协议有：安全套接层（Secure Socket Layer，SSL）协议和私密通信技术（Private Communicati

30、on Technology，PCT）协议。（3）网络层安全协议网络层的安全协议主要有IPSec协议。该协议定义了： IP验证头（Authentication Header，AH）协议、IP封装安全载荷（Encryption Service Payload，ESP）协议和 Internet密钥交换（Internet Key Exchange，IKE）协议。2网络安全传输技术网络安全传输技术，就是利用安全通道技术，通过将待传输的原始信息进行加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。网络安全传输通道应该提供以下功能和特性： 机密性、完整性、对数据源的身份验

31、证、反重发攻击。3网络加密技术数据加密方式有链路加密、节点加密和端端加密等3种方式。链路加密通常用硬件在网络层以下的物理层和数据链路层中实现，它用于保护通信节点间传输的数据；节点加密是在协议运输层上进行加密，是对源点和目标节点之间传输的数据进行加密保护；端端加密是面向网络高层主体进行的加密，即在协议表示层上对传输的数据进行加密，而不对下层协议信息加密。讨论、练习、作业练习和作业：1IPSec能对应用层提供保护吗？2按照IPSec协议体系框架，如果需要在AH或ESP中增加新的算法，需要对协议做些什么修改工作？教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论 参考资

32、料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基础教案周 次第14次课日 期章节名称第7章 网络安全技术授课方式理论课（ ） 实验课（ ） 实习（ ）教学时数2教学目的及要求1掌握防火墙的设计原则；2掌握防火墙的特征、防火墙的四种机制；3掌握防火墙的三种基本类型和防火墙的配置；4研究攻击的本质；5掌握应对攻击的防护策略；6了解入侵技术。教 学 内 容 提 要时间分配7.3 防火墙技术7.3.1 因特网防火墙7.3.2 包过滤路由器7.3.3 堡垒主机7.3.4 代理服务7.3.5 防火墙体系结构7.4 网络攻击类型及对策7.4

33、.1 网络攻击的类型7.4.2 物理层的攻击及对策7.4.3 数据链路层的攻击及对策7.4.3 网络层的攻击及对策7.4.4 传输层的攻击及对策7.4.5 应用层的攻击及对策7.4.6 黑客攻击的三个阶段7.4.7 对付黑客入侵6040 第 1 页教学重点与难点1防火墙技术防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务往来的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。由软件和硬件组成的防火墙应该具有以下功能：（1）所有进出网络的信息流都应该通过防火墙；（2）所有穿过防火墙的信息流都

34、必须有安全策略和计划的确认和授权；（3）理论上说，防火墙是穿不透的。防火墙需要防范以下3种攻击。间谍：试图偷走敏感信息的黑客、入侵者和闯入者。盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统：通过路由器或主机/服务器蓄意破坏文件系统或阻止授权用户访问内部网络（外部网络）和服务器。防火墙常常就是一个具备包过滤功能的简单路由器。包是网络上信息流动的单位，在网上传输的文件一般在发出端被划分成一串包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦

35、截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。包过滤器又称为筛选路由器。设计和建立堡垒主机的基本原则有两条：最简化原则和预防原则。堡垒主机目前一般有以下3种类型：（1）无路由双宿主主机；（2）牺牲主机；（3）内部堡垒主机。代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙的体系结构一般有以下几种：（1）双重宿主主机体系结构；（2）主机过滤体系结构；（3）子网过滤体系结构。2网络攻击的类型任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。法律上对网络攻击的定义有两种观点：第一种是指攻击仅仅发生在入侵行为完全完成，并且入侵者已在目标网络内；另一种观点是

36、指可能使一个网络受到破坏的所有行为，即从一个入侵者开始在目标机上工作的那个时刻起，攻击就开始进行了。黑客进行的网络攻击通常可分为4大类型：拒绝服务型攻击、利用型攻击、信息收集型攻击和虚假信息型攻击。物理层最重要的攻击主要有直接攻击和间接攻击，直接攻击是直接对硬件进行攻击，间接攻击是对物理介质的攻击。数据链路层的最基本的功能是向该层用户提供透明的和可靠的数据传送基本服务。透明性是指该层上传输的数据的内容、格式及编码没有限制，也没有必要解释信息结构的意义；可靠的传输使用户免去对丢失信息、干扰信息及顺序不正确等的担心。由于数据链路层的安全协议比较少，因此容易受到各种攻击，常见的攻击有：MAC地址欺骗

37、、内容寻址存储器（CAM）表格淹没攻击、VLAN中继攻击、操纵生成树协议、地址解析协议（ARP）攻击等。网络层主要用于寻址和路由，它并不提供任何错误纠正和流控制的方法。网络层常见的攻击主要有：IP地址欺骗攻击和ICMP攻击。网络层的安全需要保证网络只给授权的客户提供授权的服务，保证网络路由正确，避免被拦截或监听。传输层处于通信子网和资源子网之间起着承上启下的作用。传输层控制主机间传输的数据流。传输层存在两个协议：传输控制协议（TCP）和用户数据报协议（UDP）。端口扫描是传输层最常见的攻击方法。应用层是网络的最高层，所有的应用策划能够续非常多，因此遭受网络攻击的模式也非常多，综合起来主要有：带

38、宽攻击、缺陷攻击和控制目标机。黑客指利用通信软件，通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者或入侵行为。黑客攻击的三个阶段是：信息收集、系统安全弱点的探测以及网络攻击。黑客进行的网络攻击通常可分为4大类型：拒绝服务型攻击、利用型攻击、信息收集型攻击和虚假信息型攻击。对付黑客的袭击的应急操作如下：估计形势、切断连接、分析问题、采取行动。讨论、练习、作业练习和作业：1简述防火墙的工作原理。2防火墙的体系结构有哪些？3在主机过滤体系结构防火墙中，内部网的主机想要请求外网的服务，有几种方式可以实现？4安装一个简单的防火墙和一个代理服务的软件。教学手段1 讲授为主，讨论为辅2 多媒体教学，使用投影仪3 进行几分钟的课堂讨论参考资料1 参考课堂笔记，及提供的本次课程的多媒体课件。2 教材：计算机网络安全基础（第4版） 第 2 页计算机网络安全基础教案周 次第 15 次课日 期章节名称第7章 网络安全技术授课方式理论课（ ） 实验课