第2章 网络安全技术基础.ppt

贾铁军沈学东苏庆刚等编著机械工业出版社 本章要点 网络协议安全 网络安全层次体系 安全服务与安全机制 虚拟专用网VPN技术 无线局域网安全 常用的网络命令 教学目标 了解网络协议安全 理解网络安全层次体系 理解安全服务与安全机制 掌握虚拟专用网VPN技术 掌握无线局域网安全 掌握常用的网络命令 2 1网络协议安全概述2 1 1网络协议安全分析1 物理层安全物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用 2 网络层安全网络层的安全威胁主要有两类 IP欺骗和ICMP 因特网控制信息协议 攻击 3 传输层安全传输层主要包括传输控制协议TCP和用户数据报协议UDP TCP是一个面向连接的协议 用于多数的互联网服务 保证数据的可靠性 4 应用层及网络应用安全应用层安全问题可以分解成网络层 操作系统 数据库的安全问题 需要重点解决的特殊应用系统的安全问题主要包括 Telnet FTP SMTP DNS NFS 实现主机间文件系统的共享 BOOTP 用于无盘主机的启动 RPC 实现远程主机的程序运行 SNMP 简单网络管理的协议 等 都存在一定的安全隐患和威胁 2 1 2典型的网络安全协议1 IPSec安全协议因特网安全协议IPSec InternetProtocolSecurity 是一组安全IP协议集 是在IP包级为IP业务提供保护的安全协议标准 其基本目的就是把密码学的安全机制引入IP协议 通过使用现代密码学方法支持保密和认证服务 使用户能有选择地使用 并得到所期望的安全服务 2 SSL协议SSL协议由SSL记录协议和SSL握手协议两层组成 其主要优点是 SSL协议独立于应用层 是在传输层和应用层之间实现加密传输的应用最广泛的协议 2 2网络安全体系结构2 2 1开放式系统互连参考模型OSI RM开放系统互连参考模型7层协议的主要功能如表所示 2 2 1开放式系统互连参考模型 2 2 2Internet网络体系层次结构Internet现在使用的协议是TCP IP协议 TCP IP协议是一个四层结构的协议族 这四层协议分别是 物理网络接口层协议 网际层协议 传输层协议和应用层协议 TCP IP组的4层协议与OSI参考模型7层协议和常用协议的对应关系如下图所示 2 2 3网络安全层次特征体系为了更好地理解网络安全层次特征体系 也可以将计算机网络安全看成一个由多个安全单元组成的集合 2 3安全服务与安全机制2 3 1安全服务的基本类型1 对象认证安全服务2 访问控制安全服务3 数据保密性安全服务4 数据完整性安全服务5 防抵赖安全服务 2 3 2支持安全服务的基本机制网络信息安全机制 Securitymechanisms 定义了实现网络信息安全服务的技术措施 包括所使用的可能方法 主要就是利用密码算法对重要而敏感的数据进行处理 安全机制是安全服务乃至整个网络信息安全系统的核心和关键 安全机制可以分为两类 一类是与安全服务有关 它们被用来实现安全服务 另一类与管理功能有关 它们被用于加强对安全系统的管理 为了实施安全服务功能 ISO对信息系统安全体系结构制定的开放系统互联 OSI 基本参考模型ISO7498提出了8类安全机制 作为网络信息安全的基本机制 1 加密机制2 数字签名机制3 访问控制机制4 数据完整性机制5 鉴别交换机制6 通信业务填充机制7 路由控制机制8 公证机制 2 3 3安全服务和安全机制的关系 1 安全服务和安全机制的对应关系可以体现在很多方面 具体关系如表所示 2 3 3安全服务和安全机制的关系 2 安全服务和安全机制的对应关系可以体现在很多方面 具体关系如表所示 续前 2 4虚拟专用网VPN技术虚拟专用网 VirtualPrivateNetwork 简称VPN 是利用公共数据网或专用局域网构建的 以特殊设计的硬件和软件 直接通过共享的IP网络所建立的隧道完成的虚拟专用网络 通过VPN可以实现远程网络之间安全 点对点的连接 2 4 1VPN的组成及特点1 VPN的组成及类型VPN可以理解成虚拟的企业内部专用网络 VPN的核心就是在利用公共网络建立虚拟专用网 一个VPN连接由客户机 隧道和服务器3部分组成 一般按照VPN的服务类型分为3种类型 1 远程访问虚拟网AccessVPN 2 企业内部虚拟网IntranetVPN 3 企业扩展虚拟网ExtranetVPN 2 VPN的结构及特点 1 VPN可以通过特殊的加密通信协议为连接在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路 如同架设了一条专线一样 但是它并不需要真正的去铺设光缆之类的物理线路 在实际应用中 用户需要一个高效 成功的VPN具有4个特点 1 安全保障 2 服务质量 QoS 保证 3 可扩充性和灵活性 4 可管理性 2 VPN的结构及特点 2 VPN的结构如下图所示 2 4 2VPN主要安全技术 1 由于VPN传输的是安全程度要求较高的专用信息 所以VPN用户对数据的安全性都很重视 目前 VPN主要采用隧道技术 加解密技术 密钥管理技术 用户身份认证技术 安全工具与客户端管理5项技术来保证安全 2 4 2VPN主要安全技术 2 当一个客户端使用一个VPN隧道时 数据通信保持加密状态直到它到达VPN网关 此网关位于无线访问点之后 如图所示 2 4 3IPSec概述1 IPSec协议簇IPSec定义了一种标准的 健壮的和包容广泛的机制 利用IPSec可以为IP以及上层协议 如TCP或者UDP 提供安全保证 IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力 高质量和基于密码的安全功能 在IP层实现多种安全服务 包括访问控制 数据完整性 机密性等 2 IPSec的实现方式和实施 1 IPSec的实现方式有两种 传输模式和隧道模式 都可用于保护通信 1 传输模式用于两台主机之间 保护传输层协议头 实现端到端的安全性 如图所示 2 IPSec的实现方式和实施 2 2 隧道模式用于主机与路由器或两部路由器之间 保护整个IP数据包 如图所示 IPSec可在终端主机 网关 路由器或者两者中同时进行实施和配置 2 5无线局域网安全2 5 1无线网络安全概述1 无线网络的安全问题无线网络的数据传输是利用微波进行辐射传播 因此 只要在AccessPoint AP 覆盖的范围内 所有的无线终端都可以接收到无线信号 AP无法将无线信号定向到一个特定的接收设备 因此 无线的安全保密问题就显得尤为突出 2 无线安全基本技术 1 访问控制 2 数据加密 3 新一代无线安全技术 IEEE802 11i 4 TKIP 5 AES 6 端口访问控制技术 IEEE802 1x 和可扩展认证协议 EAP 7 WPA WiFiProtectedAccess 规范 3 无线网络安全隐患无线网络选择了通过特定的无线电波来传送 在这个发射频率的有效范围内 任何具有合适接收设备的人都可以捕获该频率的信号 进而进入目标网络 因此 更具有安全隐患和威胁 2 5 2无线安全机制与策略1 无线安全机制 1 隐藏SSID 2 MAC地址过滤 3 WEP加密 4 AP隔离 5 802 1x协议 6 WPA 7 WPA2 8 802 11i 2 无线网络的安全策略 1 制订全面的安全策略 2 加密网络数据 3 利用VPN技术 4 限制文件访问 5 使用端点扫描技术 6 在WLAN中使用WPA或802 1x技术 7 加强测试 8 使用双因素验证 9 审查及监控结果 10 加强安全持之以恒 2 5 3无线网络安全技术应用不同安全级别和典型场合的应用技术如表所示 2 6常用的网络命令2 6 1ping命令ping命令功能是通过发送ICMP包来检验与另一台TCP IP主机的IP级连接情况 网管员常用这个命令检测网络的连通性和可到达性 同时 应答消息的接收情况将和往返过程的次数一起显示出来 如果只使用不带参数的ping命令 窗口将会显示命令及其各种参数使用的帮助信息 使用ping命令的语法格式是 ping对方计算机名或者IP地址 2 6 2ipconfig命令ipconfig命令功能是显示所有TCP IP网络配置信息 刷新动态主机配置协议DHCP DynamicHostConfigurationProtocol 和域名系统DNS设置 使用不带参数的ipconfig可以显示所有适配器的IP地址 子网掩码和默认网关 利用 ipconfig all命令 可以查看所有完整的TCP IP配置信息 对于具有自动获取IP地址的网卡 则可以利用 ipconfig renew命令 更新DHCP的配置 2 6 3netstat命令netstat命令的功能是显示活动的连接 计算机监听的端口 以太网统计信息 IP路由表 IPv4统计信息 IP ICMP TCP和UDP协议 使用 netstat an 命令可以查看目前活动的连接和开放的端口 是网络管理员查看网络是否被入侵的最简单方法 2 6 4net命令net命令的功能是查看计算机上的用户列表 添加和删除用户 与对方计算机建立连接 启动或者停止某网络服务等 利用netuser查看计算机上的用户列表 以 netuser用户名密码 给某用户修改密码 2 6 5at命令At命令功能是在与对方建立信任连接以后 创建一个计划任务 并设置执行时间 本章小结本章作为 网络安全基础 概述了网络协议安全分析和网络安全层次结构 分析了开放式系统互连参考模型 Inte