计算机网络技术--第八章网络安全技术

1、1 12 28.1 网络安全概述网络安全概述 8.1.1 网络安全的基本概念网络安全的基本概念 8.1.2 网络安全的层次结构网络安全的层次结构 8.1.3 网络安全模型网络安全模型 8.1.4 常见的网络安全技术常见的网络安全技术8.2 网络病毒防范技术网络病毒防范技术 8.2.1 病毒的概念及分类病毒的概念及分类 8.2.2 病毒的传播方式病毒的传播方式 8.2.3 病毒的结构及工作原理病毒的结构及工作原理 8.2.4 杀毒技术杀毒技术3 38.3 数据加密技术数据加密技术 8.3.1 传统加密技术传统加密技术 8.3.2 数据加密标准数据加密标准DES 8.3.3 公钥密码系统公钥密码系

2、统 8.4 防火墙技术防火墙技术 8.4.1 防火墙的概念及原理防火墙的概念及原理 8.4.2 防火墙技术防火墙技术 8.4.3 防火墙的体系结构防火墙的体系结构 8.4.4 防火墙的前沿技术防火墙的前沿技术8.5 案例分析案例分析8.6 本章小结本章小结4 4 了解网络安全的；了解网络安全的； 了解防火墙的前沿技术；了解防火墙的前沿技术； 理解计算机网络病毒的概念及分类、病毒理解计算机网络病毒的概念及分类、病毒的传播方式及工作原理；的传播方式及工作原理； 理解数据加密标准的原理；理解数据加密标准的原理； 掌握防火墙的概念、原理。掌握防火墙的概念、原理。5 56 6 网络安全的定义网络安全的定

3、义 网络安全是指网络系统的硬件、软件及其网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。统连续可靠正常地运行，网络服务不中断。 网络安全本质上来讲就是信息安全。网络安全本质上来讲就是信息安全。 7 7 安全措施的目标主要有以下几类安全措施的目标主要有以下几类 访问控制访问控制(Access Control) 确保会话对方确保会话对方(人或计算机人或计算机)有权做他所声称的事情。有权做他所声称的事情。 认证认证(Authenti

4、cation) 确保会话对方的资源确保会话对方的资源(人或计算机人或计算机)同他声称的一致。同他声称的一致。 完整性完整性(Integrity) 确保接收到的信息同发送的一致。确保接收到的信息同发送的一致。 审计审计(Accountability) 确保任何发生的交易在事后可以被证实，即不可抵赖确保任何发生的交易在事后可以被证实，即不可抵赖性。性。 保密保密(Privacy) 确保敏感信息不被窃听。确保敏感信息不被窃听。8 8 安全的目标安全的目标 对于非授权者，进不去、看不懂、添不乱、对于非授权者，进不去、看不懂、添不乱、搞不坏；搞不坏； 对于授权者，不可越权、不可否认；对于授权者，不可越权

5、、不可否认； 对于管理者，可监督、可审计、可控制。对于管理者，可监督、可审计、可控制。9 9 网络安全的特点网络安全的特点 保密性保密性 是指对信息或资源的隐藏。是指对信息或资源的隐藏。 完整性完整性 指的是数据或资源的可信度，通常使用防止非法的或指的是数据或资源的可信度，通常使用防止非法的或者未经授权的数据改变来表达完整性。者未经授权的数据改变来表达完整性。 可用性可用性 指的是对信息或资源的期望使用能力。指的是对信息或资源的期望使用能力。 可控性可控性 指对信息及信息系统实施安全监控管理。指对信息及信息系统实施安全监控管理。 信息的不可否认性信息的不可否认性 保证信息行为人不能否认自己的行

6、为。保证信息行为人不能否认自己的行为。10101、物理安全、物理安全 物理安全指的是物理介质层次上对存储和物理安全指的是物理介质层次上对存储和传输的网络信息的安全保护。传输的网络信息的安全保护。 影响物理安全的因素影响物理安全的因素自然灾害、物理损坏和设备故障；自然灾害、物理损坏和设备故障；电磁辐射等；电磁辐射等；操作失误等。操作失误等。11112、安全控制、安全控制 对存储和传输的网络信息的操作和进程进行对存储和传输的网络信息的操作和进程进行控制和管理。控制和管理。 操作系统的安全控制。操作系统的安全控制。 网络接口的安全控制。网络接口的安全控制。 网络互联设备的安全控制。网络互联设备的安全

7、控制。12123、安全服务、安全服务 在应用程序层对网络信息的保密性、完整性在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，以满足用和信源的真实性进行保护和鉴别，以满足用户的安全需求。户的安全需求。 安全机制；安全机制； 安全连接；安全连接； 安全协议；安全协议； 安全策略。安全策略。1313 信息系统的四方模型信息系统的四方模型 1414 网络安全模型网络安全模型 1515 防火墙防火墙 加密加密 身份认证身份认证 数字签名数字签名 内容检查内容检查1616 计算机病毒的定义计算机病毒的定义 “病毒病毒”指编制或者在计算机程序中插入的破坏指编制或者在计算机程序中插入的破坏

8、计算机功能或者破坏数据，影响计算机使用并且计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码能够自我复制的一组计算机指令或者程序代码 。 计算机病毒的特点计算机病毒的特点 计算机病毒是人为的特制程序，具有自我复制能力、计算机病毒是人为的特制程序，具有自我复制能力、很强的感染性、一定的潜伏性、特定的触发性和很大很强的感染性、一定的潜伏性、特定的触发性和很大的破坏性。的破坏性。1717 计算机病毒的分类计算机病毒的分类 按病毒存在的媒体分按病毒存在的媒体分网络病毒；网络病毒；文件病毒；文件病毒；引导型病毒。引导型病毒。 按病毒传染的方法分按病毒传染的方法分驻留型病毒

9、；驻留型病毒；非驻留型非驻留型病毒。病毒。1818 网络传播网络传播 因特网、局域网因特网、局域网 计算机硬件设备传播计算机硬件设备传播 固定存储介质、移动存储介质固定存储介质、移动存储介质1919 病毒的结构病毒的结构 搜索子程序搜索子程序 自我复制子程序自我复制子程序 病毒的工作机理病毒的工作机理 触发触发-传染传染-破坏破坏2020 杀毒方法杀毒方法 专杀工具；专杀工具； 防毒。防毒。 常用的反病毒软件常用的反病毒软件 瑞星杀毒软件；瑞星杀毒软件； 江民杀毒软件；江民杀毒软件； 卡巴斯基；卡巴斯基； 金山毒霸；金山毒霸； 360安全卫士。安全卫士。2121 加密的基本概念加密的基本概念

10、密码技术包含两个方面：加密和解密；密码技术包含两个方面：加密和解密； 加密加密就是研究、编写密码系统，把数据和就是研究、编写密码系统，把数据和信息转换为不可识别的密文的过程；信息转换为不可识别的密文的过程； 解密解密就是研究密码系统的加密途径，恢复就是研究密码系统的加密途径，恢复数据和信息本来面目的过程；数据和信息本来面目的过程； 加密和解密过程共同组成了加密系统。加密和解密过程共同组成了加密系统。2222 加密的基本概念加密的基本概念 在加密系统中，要加密的信息称为在加密系统中，要加密的信息称为明文明文(Plaintext)； 明文经过变换加密后的形式称为明文经过变换加密后的形式称为密文密文

11、(Cliphertext)； 由明文变为密文的过程称为由明文变为密文的过程称为加密加密(Enciphering)，通常由加，通常由加密算法来实现；密算法来实现； 由密文还原成明文的过程称为由密文还原成明文的过程称为解密解密(Deciphering)，通常由，通常由解密算法来实现；解密算法来实现； 为了有效地控制加密和解密算法的实现，在其处理过程中为了有效地控制加密和解密算法的实现，在其处理过程中要有通信双方掌握的专门信息参与，这种信息被称为要有通信双方掌握的专门信息参与，这种信息被称为密钥密钥(Key)。2323 对称密钥加密算法和非对称加密算法对称密钥加密算法和非对称加密算法 对称加密算法对

12、称加密算法是指加密和解密过程都使用同一个密钥；是指加密和解密过程都使用同一个密钥；它的特点是运算速度非常快，适合用于对数据它的特点是运算速度非常快，适合用于对数据本身的加密解密操作；本身的加密解密操作；常见的对称算法如各种传统的加密算法、常见的对称算法如各种传统的加密算法、DES算法等。算法等。2424 对称密钥加密算法和非对称加密算法对称密钥加密算法和非对称加密算法 非对称加密算法非对称加密算法使用使用2个密钥，一个称为公钥，一个称为私钥。个密钥，一个称为公钥，一个称为私钥。公钥用于加密，私钥用于解密；公钥用于加密，私钥用于解密；非对称算法比较复杂，运算速度慢；非对称算法比较复杂，运算速度慢

13、；使用非对称算法对数据进行签名；使用非对称算法对数据进行签名；如如RSA算法、算法、PGP算法等，通常用于数据加密；算法等，通常用于数据加密；此方法已广泛用于此方法已广泛用于Internet的数据加密传送和的数据加密传送和数字签名。数字签名。2525 加密的方式加密的方式 链路加密链路加密 把网络层以下的加密叫链路加密；把网络层以下的加密叫链路加密； 主要用于保护通信结点间传输的数据，加解密由置于主要用于保护通信结点间传输的数据，加解密由置于线路上的密码设备实现。线路上的密码设备实现。 结点加密结点加密 在传输层上进行加密；在传输层上进行加密； 主要是对源结点和目标结点之间传输数据进行加密保主

14、要是对源结点和目标结点之间传输数据进行加密保护。护。 端对端加密端对端加密 网络层以上的加密称为端对端加密；网络层以上的加密称为端对端加密； 它是面向网络层主体，对应用层的数据信息进行加密，它是面向网络层主体，对应用层的数据信息进行加密，易于用软件实现。易于用软件实现。 2626 替换密码替换密码 单表替代单表替代 多表替代多表替代 变位密码变位密码 列变位密码列变位密码 矩阵变位密码矩阵变位密码 一次性加密一次性加密2727 分组密码简介分组密码简介 对称密码有两种类型：分组密码对称密码有两种类型：分组密码(Block Cipher)和流密码和流密码(Stream Cipher); 分组密码

15、一次处理一块输入，每个输入块分组密码一次处理一块输入，每个输入块生成一个输出块生成一个输出块; 流密码对输入元素进行连续处理，同时产流密码对输入元素进行连续处理，同时产生连续单个输出元素生连续单个输出元素; 数据加密标准属于分组密码。数据加密标准属于分组密码。 2828 DES的历史的历史 数据加密标准数据加密标准(Data Encryption Standard，DES) 。1973年，年，美国国家标准局美国国家标准局(NBS) 征集联邦数据加密标准的方案。征集联邦数据加密标准的方案。1975年年3月月17日，日，NBS公布了公布了IBM公司提供的密码算法，公司提供的密码算法，以标准建议的形

16、式在全国范围内征求意见。经过两年多的以标准建议的形式在全国范围内征求意见。经过两年多的公开讨论之后，公开讨论之后，1977年年7月月15日，日，NBS宣布接受这个建议，宣布接受这个建议，作为联邦信息处理标准作为联邦信息处理标准46号，数据加密标准号，数据加密标准DES正式颁布，正式颁布，供商业界和非国防性政府部门使用。供商业界和非国防性政府部门使用。2929 DES算法流程算法流程3030 公钥密码系统使用公钥密码系统使用不同的加密密钥与解密密钥不同的加密密钥与解密密钥，是，是一种一种“由已知加密密钥推导出解密密钥在计算上是由已知加密密钥推导出解密密钥在计算上是不可行的不可行的”密码体制。密码

17、体制。 最著名的公钥密码体制是最著名的公钥密码体制是RSA 体制，它基于数论中体制，它基于数论中大数分解问题的体制，由美国三位科学家大数分解问题的体制，由美国三位科学家 Rivest, Shamir 和和 Adleman 于于 1976 年提出并在年提出并在 1978 年正年正式发表的。式发表的。3131 公钥密码体制公钥密码体制3232 公钥密码体制公钥密码体制3333 RSA算法算法3434 RSA算法实例算法实例p=17,q=11,n=187 (n)=160(p-1)(q-1)gcd(160,e)=1 : e=7de=1 mod 160 : d=233535防火墙在网络中位置防火墙在网络

18、中位置3636 防火墙防火墙=过滤器过滤器+安全策略（网关）安全策略（网关） 防火墙提供的四种服务：防火墙提供的四种服务： 服务控制：确定可以访问的网络服务类型。服务控制：确定可以访问的网络服务类型。 方向控制：特定服务的方向流控制。方向控制：特定服务的方向流控制。 用户控制：内部用户、外部用户所需的某种形式用户控制：内部用户、外部用户所需的某种形式的认证机制。的认证机制。 行为控制：控制如何使用某种特定的服务。控制行为控制：控制如何使用某种特定的服务。控制3737 包过滤型防火墙包过滤型防火墙 “包过滤包过滤”通过将每一输入输出包中发现的信息同访问控通过将每一输入输出包中发现的信息同访问控制

19、规则相比较来决定阻塞或放行包制规则相比较来决定阻塞或放行包; 通过检查数据流中每一个数据包的源地址、目的地址、所通过检查数据流中每一个数据包的源地址、目的地址、所有端口、协议状态等因素，或它们的组合来确定是否允许有端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失败，将在防火墙处该数据包通过。如果包在这一测试中失败，将在防火墙处被丢弃。被丢弃。3838 应用代理级防火墙应用代理级防火墙 应用代理级防火墙通过在协议栈的最高层应用代理级防火墙通过在协议栈的最高层(应用层应用层)检查每一个包从而提供足够的应用级连接信息。检查每一个包从而提供足够的应用级连接信息。393

20、9 电路级网关型防火墙电路级网关型防火墙 不允许进行端点到端点的不允许进行端点到端点的TCP连接，而是建立两个连接，而是建立两个TCP连连接，一个在网关和内部主机上的接，一个在网关和内部主机上的TCP用户程序之间，另一用户程序之间，另一个在网关和外部主机上的个在网关和外部主机上的TCP用户程序之间；用户程序之间； 一旦建立两个连接，网关通常就只是把一旦建立两个连接，网关通常就只是把TCP数据包从一个数据包从一个连接转送到另一个连接中去，而不检查其中的内容。连接转送到另一个连接中去，而不检查其中的内容。4040 双重宿主主机体系结构双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的计算机构筑双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的，该计算机至少有两个网络接口。这样的主机可以充当的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络与这些接口相连的网络之间的路由器，它能够从一个网络接口到另一个网络接口转发接口到另一个网络接口转发IP数据包；数据包； 实现双重宿主主机的防火