网络安全(第四章)PPT课件.ppt

第四章计算机网络通信协议与安全 1 主要内容 TCP IP协议简介 1 什么使网络通信不安全 2 网络协议存在的安全问题 3 IPv6及安全问题 4 5 WWW的安全 2 主要内容 WWW的欺骗攻击和防御 6 Modem的安全 7 实验 8 3 第四章计算机网络通信协议与安全 网络就是计算机 计算机就是网络 计算机网络系统由网络体系结构 支持数据链路层和物理层等网络协议构成了网络硬件的支撑环境 在此基础上还必须有高层传输协议来提供更高级 更完善的服务 才能构成完整的网络支持环境 为网络应用提供充分的支持 计算机网络的基础是网络通信协议 保证通信协议的安全对计算机网络的安全有重要的意义 4 4 第四章计算机网络通信协议与安全 TCP IP协议简介 4 1 4 5 TCP IP协议简介 TCP IP协议是美国国防部为其ARPANET广域网开发的网络体系结构和协议标准 以此为基础组建的Internet是目前国际规模最大的计算机网络 TCP IP协议族包括TCP IP UDP ICMP Telnet FTP SMTP ARP等协议 4 1 6 TCP IP协议简介 4 1 1TCP IP协议以及工作原理TCP IP协议中的协议保证Internet上各种类型的计算机之间的数据传输 提供了几乎现在上网所用到的所有服务 这些服务包括电子邮件 文件传输 BBS 新闻组的发布以及访问WWW等 4 1 7 TCP IP协议简介 1 TCP IP协议的四层模型从协议分层模型方而来看 TCP IP由四个层次组成 网络接口层 网间网层 Internet层 传输层和应用层 图4 1P62 各层的功能 4 1 8 TCP IP协议简介 2 TCP IP协议的工作原理TCP IP通过协协栈工作 这个栈是所有用来在两台计算机间完成一个传输的所有协议的几个集合 栈的每一层都能从相邻的层中接收或发送数据 每一层都与许多协议相联系 4 1 9 TCP IP协议简介 3 IP地址Internet上的计算机和网络设备很多 它们之间在进行信息交换时必须先给每台计算机或网络设备取一个名字 称为Internet地址 即IP地址 它是用来表明网络上的每一台计算机或网络设备自己身份的地址 并且是唯一的 4 1 10 TCP IP协议简介 4 1 2 以太网1 以太网的基本工作原理以太网上的所有设备都连接在以太总线上 它们共享同一个通信通道 以太网采用的是广播方式的通信 即所有的设备都能接收每一个数据信息包 CSMA CD 4 1 11 TCP IP协议简介 2 以太网的帧地址即MAC地址 4 1 12 什么使网络通信不安全 只要用户的计算机网络连接与Internet上 它就存在着危险 安全问题主要来自两个方面 1 Internet使用的TCP IP协议本身就存在着巨大的安全缺陷 包括建立在其上的很多服务 2 人为的因素和自然因素 4 2 13 什么使网络通信不安全 4 2 1 网络本身存在的安全缺陷Internet的基石是TCP IP协议 该协议在实现上力求简单高效 而没有考虑安全因素 因为考虑安全因素 无疑会增大程序代码量 从而降低TCP IP的运行效率 所以说TCP IP本身在设计上就是不安全的 主要存在以下的安全缺陷 4 2 14 什么使网络通信不安全 1 很容易被窃听2 脆弱的TCP IP服务3 TCP IP协议缺乏安全策略4 配置的复杂性 4 2 15 什么使网络通信不安全 4 2 2 网络容易被窃听和欺骗图4 4P66以太网卡混合工作方式和普通工作方式图4 5P66Internet上数据的传输过程图4 6P67数据在传输过程中被窃听或劫持图4 7P68DNS欺骗图4 8 IP地址欺骗 4 2 16 什么使网络通信不安全 4 2 3 TCP IP服务的脆弱性1 WWW服务图4 9CGI程序的工作过程P702 电子邮件服务3 FTP服务和TFTP服务4 Finger服务5 其它安全性极差的服务 4 2 17 什么使网络通信不安全 4 2 4 缺乏安全策略制定一个完善和成功的网络安全策略并不是一件容易的事情 也并不是人们所通常认为的制定网络安全策略是系统管理员自己的事情 事实上使用者的通力合作 尤其需要管理部门的大力支持和配合 一般来说 单位管理部门制定网络的总体安全策略 系统管理员提供技术咨询和支持 4 2 18 什么使网络通信不安全 4 2 4 缺乏安全策略除了人为的因素外 另一个因素也妨碍着安全策略的执行 那就是系统和防火墙本身配置的复杂性 总之 一个好的安全策略的实施效果取决于职员的安全意识和网络管理者尤其是网络这全管理员的计算机知识水平和技术能力 4 2 19 什么使网络通信不安全 4 2 5 Internet上的威胁Internet上存在人为的威胁和自然的破坏 在这两个因素中 人为的破坏是更重要的 自然的破坏可以通过数据备份和冗余设置等来预防 人为的破坏则是防不胜防的 4 2 20 网络协议存在的安全问题 网络层的协议是一些传输透明化的协议 除了使用一些监视系统进程的工具外 用户是看不见这些协议的 网络层协议包括地址解析协议 ARP ICMP协议 IP协议 TCP协议等 4 3 21 网络协议存在的安全问题 4 3 1 地址解析协议ARPARP目的是将IP地址映射成物理地址P73举例利用ARP欺骗 一个入侵者可以做到 1 利用基于IP协议的安全性不足 冒用一个合法的IP地址来进入主机 2 跳过基于IP协议的许多程序的安全检查 甚至还可以栽赃嫁祸别人 4 3 22 网络协议存在的安全问题 可以采用以下一些措施来防止ARP欺骗 1 不要把网络安全信任关系单独建立在IP基础或MAC基础上 理想的关系应该建立在IP和MAC的基础上 2 调协静态的MAC IP对应表 不要让主机刷新设定好的转换表 3 除非很有必要 否则停止使用ARP 将ARP作为永久条目保存在对应表中 4 使用ARP服务器 通过该服务器查找自己的ARP转换表来响应其它计算机的ARP广播 确保这台服务器不被入侵 4 3 23 网络协议存在的安全问题 可以采用以下一些措施来防止ARP欺骗 5 使用 proxy 代理IP的传输 6 使用硬件屏蔽主机 设置好用户的路由 确保IP地址能到达合法的路径 静态配置路由ARP条目 7 系统管理员定期用响应的IP数据包中获得一个ARP请求 然后检查ARP的真实性 8 系统管理员定期轮询 检查主机上的ARP缓存 9 使用防炎墙连续监控网络 4 3 24 网络协议存在的安全问题 4 3 2 Internet控制消息协议ICMPICMP是用来在两台计算机之间传输信息时处理错误和控制消息的 它允许主机共享消息 在这一方面 ICMP是用来诊断网络问题的重要工具 PING命令在进行ARP入侵的时候 配事ICMP欺骗入侵者可以得到更多的信息 4 3 25 网络协议存在的安全问题 4 3 3 IP协议和路由1 IP协议IP协议定义了一种高效 不可靠和无连接的传输方式 P74 P75IP协议定义了通过TCP IP网络传输的数据格式 定义了数据进行传递的路由功能 IP数据包由一个头和数据部分组成 数据包的头部分包含诸如目的地址 源地址和数据的类型等信息 4 3 26 网络协议存在的安全问题 4 3 3 IP协议和路由2 IP路由在一个网络上 连接着两种基本的设备 主机和路由器 路由器通常连接几个物理网络 对于一台主机来讲 要将一个数据包发送到别的网络 就需要知道这个数据包应该走什么路径才能达到目的地 对一台路由器来讲 必须清楚将收到的数据包发往哪个物理网络 因此 无论主机还是路由器 在发送数据包时都要做路由选择 数据发送有直接发送和间接发送两种方式 P75 4 3 27 网络协议存在的安全问题 4 3 4 TCP协议TCP协议在IP协议之上 为其上的应用层提供了一种可靠的传输服务 这种服务的特点是可靠 全双工 流式和无结构传输 P75 4 3 28 网络协议存在的安全问题 4 3 4 TCP协议TCP协议在IP协议之上 为其上的应用层提供了一种可靠的传输服务 这种服务的特点是可靠 全双工 流式和无结构传输 P75 P76 4 3 29 网络协议存在的安全问题 4 3 5 Telnet协议Tnlnet协议的目的是提供一个相当通用的 双向的 面向8位字节的通信机制 它的最初目的是允许在终端和面向终端的进程之间进行的交互 P76 4 3 30 网络协议存在的安全问题 4 3 6 文件传输协议1 FTPFTP是从一个系统向另一个系统传递文件的标准方法 它的目标是 1 促进文件和程序的共享 2 鼓励间接和含蓄地使用远程计算机 3 使用户不必面对主机间使用的不同的文件存储系统 4 有效和可靠的传输文件 2 匿名FTP服务 P77 4 3 31 网络协议存在的安全问题 4 3 7 简单电子邮件传输协议SMTPSMTP的目的是使得电子邮件传输可靠和高效 P77 4 3 32 网络协议存在的安全问题 4 3 8 超文本传输协议HTTPHTTP是一个应用层协议 它很小也很有效 符合发布 合成和超媒体文本系统的需要 它是一个通用的 面向对象的协议 通过扩展请求命令 可以用来实现许多任务 HTTP的一个特点是数据表现的类型允系统相对独立于数据的传输 1 WEB的访问控制2 HTTP的安全问题3 S HTTP4 安全套接层 SSL 5 缓存 P78 P80 4 3 33 网络协议存在的安全问题 4 3 9 网络新闻传输协议 NNTP NNTP是一个广泛使用的协议 它提供通常作为Usenet新闻组的新闻服务 P80 4 3 34 IPv6及安全问题 4 4 1 IPv6安全概述 P80 4 4 2 IPsec与IPv6的安全性 P80 P81 4 4 3