计算机网络与通信_8.ppt

safety technology of network safety technology of network revised 7/2005revised 7/2005 chapter 8 safety technology of networkchapter 8 safety technology of network 该章主要介绍网络安全技术。包括网络安全基本内该章主要介绍网络安全技术。包括网络安全基本内 容、网络的安全威胁、网络攻击和防御方法、常用的加容、网络的安全威胁、网络攻击和防御方法、常用的加 密技术、防火墙技术、网络欺骗技术。目的是希望同学密技术、防火墙技术、网络欺骗技术。目的是希望同学 能够了解网络安全的基本知识，掌握网络维护的基本内能够了解网络安全的基本知识，掌握网络维护的基本内 容和方法。容和方法。 重点难点：重点难点： 网络安全涉及的内容；网络安全的威胁；网络攻击网络安全涉及的内容；网络安全的威胁；网络攻击 的常用方法；网络防御的方法；常用的加密技术；常用的常用方法；网络防御的方法；常用的加密技术；常用 的防火墙技术；常用的网络欺骗技术。的防火墙技术；常用的网络欺骗技术。 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.1 view of network safety8.1 view of network safety 8.1.1 8.1.1 关于网络安全关于网络安全 网络安全是指网络系统的硬件、软件及其系统中的数网络安全是指网络系统的硬件、软件及其系统中的数 据受到保护，不受偶然的或者恶意的原因而遭到破坏、更据受到保护，不受偶然的或者恶意的原因而遭到破坏、更 改、泄漏，系统连续可靠正常地运行，网络服务不中断。改、泄漏，系统连续可靠正常地运行，网络服务不中断。 网络安全从本质上来讲就是网络上的信息安全网络安全从本质上来讲就是网络上的信息安全 。 8.1.2 8.1.2 网络安全涉及的内容网络安全涉及的内容 1 1 运行系统安全运行系统安全 2 2 信息系统的安全信息系统的安全 3 3 信息传播的安全信息传播的安全 4 4 信息内容的安全信息内容的安全 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.1.3 8.1.3 信息系统对安全的基本需求信息系统对安全的基本需求 1 保密性 2 完整性 3 可用性 4 可控性 5 可核查性 8.1.4 8.1.4 网络的安全威胁网络的安全威胁 见下图见下图 safety technology of network safety technology of network revised 7/2005revised 7/2005 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.2 network attacking methods8.2 network attacking methods 8.2.1 8.2.1 密码破解密码破解 密码是对抗攻击的第一道防线。破解密码的方法: 第一种方法是猜测法。另一种方法是设法偷走密码 文件，然后通过密码破解工具来破解这些加密的密码。 8.2.2 8.2.2 网络监听网络监听 网络监听工具原本是提供给管理员的一类管理工具 ，使用这种工具可以监视网络的状态、数据流动情况以 及网络上传输的信息。网络攻击者用这种方法能够很容 易地获取想要的密码和其它信息。 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.2.3 8.2.3 拒绝服务攻击拒绝服务攻击 拒绝服务是指网络攻击者采用具有破坏性的方法阻 塞目标网络的资源，从而使系统没有剩余的资源给其他 用户使用，导致目标机性能降低或失去服务，甚至使网 络暂时或永久性瘫痪。 1 syn flood 攻击 2 电子邮件炸弹 3 分布式拒绝服务攻击 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.2.4 8.2.4 程序攻击程序攻击 程序攻击指利用危险程序对系统进行攻击，从而达 到控制或破坏系统的目的。危险程序主要包括病毒、特 洛伊木马、后门等。 1 病毒 2 特洛伊木马 ： back orifice ， yai ， netspy ， netbus ，冰河等 3 后门 ：后门是指攻击者为了不引起管理员的注 意发展起来的能躲过日志，使自己重返被攻击系统的技 术。 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.2.5 8.2.5 信息欺骗攻击信息欺骗攻击 欺骗是主动攻击的重要手段，主要目的是掩盖攻击 者的真实身份，使攻击者看起来像正常用户或者嫁祸于 其他用户。 1 网际层欺骗 ：（1） 源 ip 地址欺骗 （2） rip 欺骗 （3） icmp 欺骗 2 tcp 层欺骗 3 应用层欺骗 （1）dns 欺骗 （2） web 欺骗 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.3 defense methods of network8.3 defense methods of network 8.3.1 8.3.1 加密技术加密技术 加密措施是保护信息的最后防线，被公认为是保护加密措施是保护信息的最后防线，被公认为是保护 信息传输惟一实用的方法。信息传输惟一实用的方法。对信息进行加密保护是在密对信息进行加密保护是在密 钥的控制下，通过密码算法将敏感的机密明文数据变换钥的控制下，通过密码算法将敏感的机密明文数据变换 成不可懂的密文数据，称加密成不可懂的密文数据，称加密 (encryption) (encryption) 。 1 1 信息加密方式信息加密方式 信息加密分为信息的传输加密和信息的存储加密两种信息加密分为信息的传输加密和信息的存储加密两种 方式。方式。 safety technology of network safety technology of network revised 7/2005revised 7/2005 （1） 信息的传输加密 信息的传输加密是面向线路的加密措施，有链路加 密、节点加密和端端加密三种。 （2） 信息的存储加密 信息的存储加密是面向存储介质的技术，有数据库 加密和文件加密。 2 信息加密技术 （1） 对称密钥加密机制 私有密钥 desdes加密过程动画演示加密过程动画演示 safety technology of network safety technology of network revised 7/2005revised 7/2005 基本过程：用基本过程：用 56 56 位密钥对位密钥对 64 64 位的数据块进行位的数据块进行 16 16 轮加轮加 密，每轮产生一个密，每轮产生一个 48 48 位的位的“ “每轮每轮” ”密钥值，并参与下一轮的密钥值，并参与下一轮的 加密过程。加密过程。 特点：简单，但用户必须也只能让接收人知道自己使用特点：简单，但用户必须也只能让接收人知道自己使用 的密钥，双方必须共同保守密钥，任何一方失误均会导致密的密钥，双方必须共同保守密钥，任何一方失误均会导致密 钥的泄露。钥的泄露。 （2 2） 非对称密钥加密机制非对称密钥加密机制公开公开 / / 私有密钥私有密钥 非对称密钥加密机制使用相互关联的一对密钥。一个是非对称密钥加密机制使用相互关联的一对密钥。一个是 公开密钥，任何人都可知道；一个是私有密钥，发送方用公公开密钥，任何人都可知道；一个是私有密钥，发送方用公 开密钥加密数据后发送，接收方用私有密钥进行解密。反之开密钥加密数据后发送，接收方用私有密钥进行解密。反之 依然。依然。 典型的算法是典型的算法是 rsa rsa 公钥体制公钥体制。 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.3.2 8.3.2 网络欺骗技术网络欺骗技术 网络欺骗技术是根据网络系统中存在的安全弱点， 采取适当技术，伪造虚假或设置不重要的信息资源，使 攻击者相信网络系统中上述信息资源具有较高价值，并 具有可攻击、窃取的安全防范漏洞，然后将攻击者引向 这些资源。 常用技术有：诱饵技术和空间欺骗技术。 safety technology of network safety technology of network revised 7/2005revised 7/2005 8.3.3 8.3.3 防火墙技术防火墙技术 所谓防火墙（所谓防火墙（ firewall firewall ）是一个或一组系统，用在）是一个或一组系统，用在 两个或多个网络间提供加强访问控制。一般分为两类：两个或多个网络间提供加强访问控制。一般分为两类： 一类是基于包过滤型（一类是基于包过滤型（ packet-filter packet-filter ）的，另一类是）的，另一类是 基于代理服务型（基于代理服务型（ proxy-service proxy-service ）的。）的。 1 1 包过滤防火墙包过滤防火墙 （1 1） 包过滤防火墙的基本原理包过滤防火墙的基本原理 包过滤防火墙动画演示包过滤防火墙动画演示 safety technology of network safety technology of network revised 7/2005revised 7/2005 （2） 包过滤器的检查规则 包过滤规则必须存储在包过滤设备端口上 当包到达端口的时候，包报头被进行语法分析。大多数 包过滤器只检查 ip ， tcp 或 udp 报头中的字段 包过滤规则以特殊的方式存储。应用于包的规则的顺序 与包过滤规则存储的顺序相同 如果一条规则阻止包传输或接收，则此包便不被允许 如果一条规则允许包传输或接收，该包可以被继续处理 如果一个包不被满足任何一条规则，该包被阻塞 safety technology of network safety technology of network revised 7/2005revised 7/2005 （3） 包过滤器检查的内容 包过滤器检查的一般是下列几项： ip 源地址。 ip 目标地址。 协议的类型（ tcp 包、 udp 包、 icmp 包）。 tcp 或 udp 的源端口。 tcp 或 udp 的目标端口。 icmp 消息类型。 tcp 报头中的 ack 位。 safety technology of network safety technology of network revised 7/2005revised 7/2005 （4 4） 包过滤器实现过程包过滤器实现过程 safety technology of network safety technology of network revised 7/2005revised 7/2005 2 2 代理服务防火墙代理服务防火墙 代理服务防火墙使用了与包过滤器不同的方法。代代理服务防火墙使用了与包过滤器不同的方法。代 理服务器使用一个客户程序与特定的中间节点（防火墙理服务器使用一个客户程序与特定的中间节点（防火墙 ）连接，然后中间节点与期望的服务器进行实际连接。）连接，然后中间节点与期望的服务器进行实际连接。 与包过滤器所不同的是，内部与外部网络之间不存在直与包过滤器所不同的是，内部与外部网络之间不存在直 接连接。因此，即使防火墙发生了问题，外部网络也无接连接。因此，即使防火墙发生了问题，外部网络也无 法获得与被保护的网络的连接。双宿主主机防火墙、被法获得与被保护的网络的连接。双宿主主机防火墙、被 屏蔽主机、堡垒主机、被屏蔽子网等均属于代理型防火屏蔽主机、堡垒主机、被屏蔽子网等均属于代理型防火 墙。墙。 safety technology of network safety technology of network revised 7/2005revised 7/2005 （1 1） 双宿主主机型防火墙双宿主主机型防火墙 双宿主主机型防火墙由具有两个网络接口的双宿主双宿主主机型防火墙由具有两个网络接口的双宿主 主机构成。每一个接口都连接在物理和逻辑上分离的不主机构成。每一个接口都连接在物理和逻辑上分离的不 同的网段，代理服务器软件在双宿主主机上运行。这种同的网段，代理服务器软件在双宿主主机上运行。这种 防火墙的结构如图防火墙的结构如图 所示所示 。 safety technology of network safety technology of network revised 7/2005revised 7/2005 （2 2） 被屏蔽主机型防火墙被屏蔽主机型防火墙 被屏蔽主机型防火墙由一台仅与内部网络相连的主被屏蔽主机型防火墙由一台仅与内部网络相连的主 机和一台单独的过滤路由器构成。其中与内部网络相连机和一台单独的过滤路由器构成。其中与内部网络相连 的主机用于提供安全控制功能，通常称其为堡垒主机。的主机用于提供安全控制功能，通常称其为堡垒主机。 而过滤路由器负责将所有到达路由器的数据包都发送到而过滤路由器负责将所有到达路由器的数据包都发送到 被屏蔽主机被屏蔽主机 。 被屏蔽