Presentation is loading. Please wait.

Presentation is loading. Please wait.

主讲:吴锐 安徽工业经济职业技术学院 QQ:

Similar presentations


Presentation on theme: "主讲:吴锐 安徽工业经济职业技术学院 QQ:"— Presentation transcript:

1 主讲:吴锐 安徽工业经济职业技术学院 Email:mr.ruiwu@gmail.com QQ:4925255
计算机网络安全技术 主讲:吴锐 安徽工业经济职业技术学院 QQ:

2 课程考核方案 考核方式:过程性测试+期末开卷考试 过程性测试占70% 过程性测试含考勤、作业 期末考试30% 期末试卷题型及比例:
 考核方式:过程性测试+期末开卷考试 过程性测试占70% 过程性测试含考勤、作业 期末考试30% 期末试卷题型及比例: 综合题:50% 简答题:30%选择题: 20% 注意: 每旷课一次扣平时成绩10分,三次旷课者平时成绩作0分处理。

3 教学内容 问题 原由 教学 重点 掌握:网络安全与管理的概念;网络安全与管理技术应用。 能力
计算机网络的广泛应用,促进了社会的进步和繁荣,并为人类社会创造了巨大财富。但由于计算机及其网络自身的脆弱性以及人为的攻击破坏, 也给社会带来了损失。因此,网络安全已成为重要研究课题。 重点讨论网络安全技术措施:计算机密码技术、防火墙技术、虚拟专用网技术、网络病毒防治技术,以及网络管理技术。 教学 重点 能力 要求 掌握:网络安全与管理的概念;网络安全与管理技术应用。 熟悉:计算机密码技术、防火墙技术、虚拟专用网技术、网络病毒防治技术。

4 知识结构 网络安全与管理 网络安全的基本概念 网络安全技术 数据加密概念 网络安全的评价标准 传统加密方法 数据加密与数字认证 现代加密方法
防火墙的基本概念 破密方法 防火墙的基本功能 数字认证 防火墙的基本类型 网络安全与管理 防火墙技术 防火墙的基本结构 VPN的基本概念 防火墙的安全标准与产品 虚拟专用网 VPN的实现技术 VPN的安全协议 网络管理的基本概念 VPN的基本类型 网络管理的逻辑结构 网络病毒的特点 ISO网络管理功能域 网络病毒防治技术 网络病毒的类型 简单网络管理协议 网络病毒的防治 常用网络管理系统 网络管理技术 网络性能管理与优化

5 嵌字诗(隐藏信息) 春晓一唱 春林古木生新绿 晓镜红妆扮紫姑 元宵三唱 春潮元日方知信 喜鹊宵时已入巢

6 数字密码 584, ,12234,1798,76868, ,829475 我发誓(584),我要抱你一起去吹吹风( ),与你爱相随(12234),一起走吧(1798),去溜溜达达(76868),不变心与你卿卿我我( ),不爱就是气我(829475)。

7 数字密码 584———我发誓。 5682177778———我若发了要一起去吹吹风。 12234———要爱你三世。 1798———一起走吧。
76868———去溜达溜达。 ———我不介意你久久吻我。 829475———被爱就是幸福!  

8 奇特的情书 我向你倾吐过的我对你的爱 消失了。同时,我对你的厌烦 在日益加深。每当我看见你, 我甚至讨厌起你的相貌。 我唯一想要做的就是
另想办法,我决不希望 同你结婚。

9 计算机网络安全技术 相关法律法规

10 网络犯罪的概念 违反法律规定,利用计算机网络信息技术进行以网络内容为对象,并妨害网络正常运行秩序,严重危害社会,依法应负刑事责任的行为 。
网络犯罪与计算机犯罪区别 网络犯罪是针对和利用网络进行的犯罪,网络犯罪的本质特征是危害网络及其信息的安全与秩序。 所谓计算机犯罪,就是在信息活动领域中,利用计算机信息系统或计算机信息知识作为手段,或者针对计算机信息系统,对国家、团体或个人造成危害,依据法律规定,应当予以刑罚处罚的行为。

11 网络犯罪的特点 第一,犯罪科技含量高。 第二,隐蔽性强,侦察取证难度大。 第三,犯罪成本低且具有跨国性。 第四,危害广泛和后果严重。
第五,犯罪形式多样。 第六,虚拟的现实性。 第五,犯罪形式多样。

12 犯罪形式 (1)是通过信息交换和软件的传递过程,将破坏性病毒附带在信息中传播、在部分免费辅助软件中附带逻辑炸弹定时引爆、或者在软件程序中设置后门程序的犯罪。 (2)是通过非法手段,针对网络漏洞对网络进行技术入侵,侵入网络后,主要以偷窥、窃取、更改或者删除计算机信息为目的的犯罪。 (3)是利用公用信息网络侵吞公共财务,以网络为传播媒体在网上传播反动言论或实施诈骗和教唆犯罪。 (4)是利用现代网络这一载体,实施侮辱、诽谤、恐吓与敲诈勒索犯罪。 (5)是利用现代网络实施色情影视资料、淫秽物品的传播犯罪。

13 网络犯罪的原因(主观) 第一,贪图钱财、谋取私利。 第二,发泄不满、进行报复。 第三,智力挑战网络、游戏人生。 第四,政治目的

14 网络犯罪的原因(客观) 第一,由于市场经济的发展产生的贫富差距越来越大,而计算机时代计算机信息系统储存、处理、和传输的数据中有大量是具有价值的信息,这些信息能够带来利益 第二,网络犯罪成本低效益高是犯罪诱发点。 第三,网络技术的发展和安全技术防范不同步,使犯罪分子有机可乘。 第四,法律约束刚性不强。 第五,网络道德约束的绵软和网络道德教育的缺失 第六,社会亚文化对网络犯罪起推波助澜的作用。

15 预防网络犯罪的对策 打击和预防网络犯罪活动,必须坚持“预防为主,打防结合”的方针,本着防范与惩处相结合的原则,应着重强化以下几个方面:
 打击和预防网络犯罪活动,必须坚持“预防为主,打防结合”的方针,本着防范与惩处相结合的原则,应着重强化以下几个方面: (一)加强技术管理与网络安全管理的工作 (二)完善立法 (三)净化网络环境,加强网络道德建设 (四)强化国际合作,加大打击力度

16 计算机信息网络国际联网安全保护管理办法 (19971230)
 第五条  任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息: (一)煽动抗拒、破坏宪法和法律、行政法规实施的; (二)煽动颠覆国家政权,推翻社会主义制度的; (三)煽动分裂国家、破坏国家统一的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的; (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; (七)公然侮辱他人或者捏造事实诽谤他人的; (八)损害国家机关信誉的; (九)其他违反宪法和法律、行政法规的。

17 计算机网络安全技术 安全现状及关键技术简介

18 网络安全事件的有关报道  据联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。
 据美国金融时报报道,世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件,三分之一的防火墙被突破。  美国联邦调查局计算机犯罪组负责人吉姆 • 塞特尔称:给我精选10名 “黑客” ,组成个小组,90天内,我将使美国趴下。  超过50%的攻击来自内部,其次是黑客.

19 被黑的WEB页面 CIA DOJ HOMEPAGE HOMEPAGE HOMEPAGE USAF Mr.ruiwu@gmail.com
11/29/96

20

21 美国白宫历史协会

22 美国驻华大使馆网站被攻击

23 案例一:某电子商务网站被攻击 现象 主服务器遭到黑客攻击后瘫痪 在启用备份服务器后,数据大部分被删除
有CheckPoint 防火墙,但防火墙行同虚设 主机上没有作过多配置,存在大量的服务 安装了pcAnywhere远程控制软件

24 案例一的教训 在遭到黑客攻击后应采取的措施 关键数据的备份 主机日志检查与备份 主机的服务端口的关闭 主机可疑进程的检查 主机帐号的修改
防火墙的策略修改 启用防火墙日志详细记录 避免使用的危险进程 利用Disk Recovery技术对硬盘数据进行恢复

25 案例二:中国电信信息港被攻击 遭到黑客DDOS攻击 服务器被瘫痪,无法提供正常的服务 来源地址有3000多个,多数来自与国内
有一部分攻击主机是电信内部的IP地址

26 案例二的教训 加强对骨干网设备的监控 减少骨干网上主机存在的漏洞 在受到攻击时,迅速确定来源地址,在路由器和防火墙上作一些屏蔽
实现IDS和防火墙的联动

27 战争领域应用 信息战就是通过破坏或操纵计算机网络上的信息流的办法,对敌人的电话网、油气管道、电力网、交通管制系统、国家资金转移系统、各种银行转账系统和卫生保建系统等实施破坏,以达到战略目的。 27

28 战争领域应用 1、低进入成本。一个形象的描述就是:一个绝顶聪明的14岁的孩子,外加一台电脑、一个调制解调器、一条电话线就可以发动战略信息战进攻。 一个案例:1997年,一个16岁的英国孩子和另外一个不知名的助手,打进了美国空军最高指挥和控制研究开发机构罗姆实验室的计算机,并以此为跳板,侵入了多台国防承包商的计算机,乃至韩国原子能研究所的计算机。 28

29 信息战的经典案例观念操纵   所谓观念操纵,说白了就是宣传工作。利用信息技术可以伪造文字、声音、图像等所有的东西。 一个案例:在海湾战争期间,美国陆军第4心理作战部队的专家们就曾考虑过用一种叫做CommandoSolo的专用电子心理战飞机控制住伊拉克的电视台,在上面播放萨达姆·侯赛因喝威士忌、吃火腿(这两件事都是伊斯兰教所不允许的)的伪造录像片。

30 信息战的经典案例 俄罗斯:“电子战”车臣显神威
1996年4月21日晚,车臣“总统”杜达耶夫在车臣西南部的格希丘村村外的田野里用卫星移动电话打电话给“自由”广播电台。该电话向通信卫星发出的无线电波被俄方的雷达截收后,俄方利用先进的计算机技术将其锁定,准确地确定出通话者的方位,携带空对地精确制导炸弹的俄军战机直扑目标。几分钟后,两枚俄制炸弹在距格希丘村1500米的地方爆炸。杜氏的卫星移动电话泄了密,导致了他的死亡。 30

31 封闭式系统的入侵方式—银行为例 正在安装假读卡机于读卡机上
31

32 假读卡机掩盖真读卡机上 32

33 提款机旁安装假宣传单盒 33

34 假宣传单盒看象附属提款机 34

35 假宣传单盒的内部结构 35

36 黑客入侵步骤 1、信息的收集 入侵者攻击的第一步就是尽一切可能对攻击目标进行信息收集以获取充足的资料。采取的 方法包括:使用whois工具获取网络注册信息;使用nslookup或dig工具搜索DNS表以确定机器名称;确定了攻击目标的基本属性(站点地址、主机名称),入侵者将对它们进行深入剖析。使用ping工具探寻“活”着的机器;对目标机器执行TCP扫描以发现是否有可用服务。 36

37 黑客入侵步骤 2、实施攻击 列举两种攻击方法:(1)通过发送大量数据以确定是否存在缓冲区溢出漏洞。所谓缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串,超过的部分通常就是入侵者想要执行的攻击代码,而程序编写者又没有进行输入长度的检查,最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。(2) 尝试使用简单口令破解登录障碍。 37 37

38 黑客入侵步骤 以下是一个缓冲区溢出的程序: Void fun(char *str) //注意:C语言不检查数组边界
{ char buf[16]; strcpy(buf,str); } Void main() { int i; char buffer[128]; for( i=0;i<127;i++) buffer[i] = ‘A’; buffer[127]=0; fun(buffer); //将128字节的字符拷贝到16字节的缓冲区中 printf(“this is a test\n”); 程序运行结果并未显示: this is a test。当程序执行fun函数后,由于缓冲 区溢出,程序并未返回printf语句,而是转向了一个无法预料的地址。如 果在程序的返回地址处执行一段危险指令,则后果不堪设想。 黑客入侵步骤 38

39 黑客入侵步骤 3、安装后门,清除日志 对于入侵者而言,一旦成功地入侵了网络中的一台机器,入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门,这就需要对日志文件或其他系统文件进行改造,或者安装上木马程序、或者替换系统文件为后门程序。 39

40 SQL Injection攻击的原理 漏洞分析 ─ Script描述語言 ASP程序语言为一种Script描述语言。
在程序执行以前,所有原先是变数的地方,都会被替换成当时输入的值。 40

41 因此若输入的帐号为「a’ or ‘’=‘’」,输入的密码为「a’ or ‘’=‘’」,則原先的SQL指令就被改成了
select * from Accounts where Id=‘输入的帐号’ and Password=‘输入的密码’ 因此若输入的帐号为「a’ or ‘’=‘’」,输入的密码为「a’ or ‘’=‘’」,則原先的SQL指令就被改成了 select * from Accounts where Id=‘a’ or ‘’=‘’ and Password=‘a’ or ‘’=‘’ 41

42 SQL Injection攻击的原理 服务器端的程序
select * from Accounts where Id=‘Id’ and Password=‘Password’ 恶意使用者输入范例一 Login:' or ''=‘ Password:' or ''=‘ 原SQL指令变成 select * from Accounts where Id ='' or ''='' and Password='' or ''='' 42

43 43

44 44

45 45

46 Internet的攻击类型 1.拒绝服务攻击 (1)PING风暴(PING Flooding)PING命令是用来在网络中确认特定主机是否可达,但它也被用作攻击主机的手段。 2)同步包风暴(SYN Flooding),同步风暴是应用最为广泛的一种DOS攻击方式 。 (3)电子邮件炸弹( Bomb)。电子邮件炸弹的目的是通过不断地向目标 地址发送垃圾邮件,占满收信者的邮箱,使其无法正常使用。 (4)Land 攻击, Land攻击的原理是:向目标主机的某个开放端口发送一个TCP包,并伪造TCP/IP地址,使得源IP地址等于目标IP地址,源端口等于目标端口,这样,就可以造成包括WINDOWS2000在内的很多操作平台上的主机死机。

47 Internet的攻击类型 2.后门 “后门”一般隐藏在操作系统或软件中,不为使用者知晓为漏洞,而它可使某些人绕过系统的安全机制获取访问权限。黑客可利用一些 “扫描机(scanners)”的小程序,专门寻找上网用户的系统漏洞,例如 NetBIOS 及 Windows “文件及打印共享”功能所打开的系统后门。一旦扫描程序在网上发现了系统存在着漏洞,那些恶意攻击者就会设法通过找到的“后门”进入你的计算机,并获取你的信息。所有的这些非法入侵行为,你可能毫无查觉。

48 Internet的攻击类型 3.远程缓冲溢出攻击
缓冲区溢出漏洞是一种利用了C程序中数组边界条件、函数指针等设计不当而造成地址空间错误来实现的。大多数Windows、Linux、Unix、数据库系统的开发都依赖于C语言,而C的缺点是缺乏类型安全,所以缓冲区溢出成为操作系统、数据库等大型应用程序最普遍的漏洞。

49 Internet的攻击类型 4.网络攻击 网络攻击的主要手段表现为端口扫描,端口扫描的目的是找出目标系统中所提供的服务,它逐个尝试与TCP/UDP端口建立连接,然后根据端口与服务的对应关系,综合服务器端的反应来判断目标系统运行了哪些服务。利用端口扫描,黑客可以判断目标主机的操作系统类型及端口的开放情况,然后实施攻击。

50 Internet的攻击类型 5.特洛伊木马攻击
“特洛伊木马程序”是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个在Windows启动时悄悄运行的程序,采用服务器/客户机的运行方式,从而达到在你上网时控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的文件、注册表等。 特洛伊木马不仅可收集信息,它还可能破坏系统,特洛伊木马不能自身复制,因此,它不属于计算机病毒。

51 Internet的攻击类型 6.网络病毒 Internet的开放性,为病毒的滋生、变种和传播提供了一个无限广阔的空间。病毒是将自身依附于其他软件的一段程序,目的是破坏计算机系统的数据或硬件,有许多专业的反病毒软件公司开发出了很多优秀杀毒软件,反病毒的关键是找出病毒的特征码,并且定期更新病毒数据库。网络病毒传播的主要途径是电子邮件的附件,此外,下载文件、浏览网页等也都有可能让病毒有入侵的机会。

52 网络安全的目标 网际网络 冒名传送 篡改 否认传送 窃听 使用者乙 使用者甲 (机密性) (完整性) (身份认证) (不可否认性) 52

53 网络攻击类型 正常 干扰 窃取 篡改 冒充 53

54 访问攻击 访问攻击是攻击者企图获得非授权信息,这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下,如图所示。这类攻击是针对信息机密性的攻击。

55 访问攻击可能发生的地方

56 常见的访问攻击 常见的访问攻击有3种: (1) 窥探
窥探(snooping)是查信息文件,发现某些对攻击者感兴趣的信息。攻击者试图打开计算机系统的文件,直到找到所需信息。 (2) 窃听 窃听(eavesdropping)是偷听他人的对话,为了得到非授权的信息访问,攻击者必须将自己放在一个信息通过的地方,一般采用电子的窃听方式,如图2.5所示。

57 常见的访问攻击 窃听

58 常见的访问攻击 (3) 截获 截获(interception)不同于窃听,它是一种主动攻击方式。攻击者截获信息是通过将自己插入信息通过的通路,且在信息到达目的地前能事先捕获这些信息。攻击者检查截获的信息,并决定是否将信息送往目的站,如图所示。

59 常见的访问攻击 截获

60 常见的访问攻击 对传输中的信息可通过窃听获得。
在局域网中,攻击者在联到网上的计算机系统中安装一个信息包探测程序(sniffer),来捕获在网上的所有通信。通常配置成能捕获ID和口令。 窃听也可能发生在广域网(如租用线和电话线)中,然而这类窃听需要更多的技术和设备。 通常在设施的接线架上采用T形分接头来窃听信息。它不仅用于电缆线,也可用于光纤传输线,但需要专门的设备。

61 保障网络安全的关键技术 身份认证技术 访问控制技术 密码技术 防火墙技术 入侵检测技术 安全审计技术 61

62 防火墙技术(Firewall) 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网 ( 如Internet) 分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不能通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。 62

63 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙逻辑位置示意图 63

64 防火墙 防火墙(FireWall)是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。它实际上是一种隔离技术。它能允许你“同意”的数据进入你的网络,同时将你“不同意”的数据拒之门外,最大限度地阻止网络中的黑客访问你的网络。 INTERNET实用技术

65 防火墙功能 (1)过滤一些不安全的服务和非法用户,防止未授权的用户访问安全网络
(2)控制对特殊站点或端口的访问,防火墙可以根据安全策略允许受保护网络的一部分主机被外部网络访问,而另一部分主机则被很好地保护起来。 (3)作为网络安全的集中监测点,防火墙可以记录所有通过它的访问,并提供统计数据、预警和审计功能。

66 防火墙的局限性 (1)不能防范恶意的知情者从内部攻击 (2)不能防范不通过防火墙的联接 (3)防火墙不能防范病毒

67 入侵检测技术(IDS) 入侵检测的概念(Intrusion Detection System)
通过从计算机网络或计算机系统中的若干关键点收集信息并进行分析,以发现网络或系统中是否有违反安全策略的行为和遭受袭击的迹象。入侵检测是对防火墙的合理补充,被认为是防火墙之后的第二道安全闸门。 67

68 入侵检测系统原理图 待检测的数据包 入侵检测: 继续监听,检测 知识库 入侵否? 下一个数据包 响应 68

69 数据加密与数字认证 Internet 加密数据流 供应商 采购单位 SSL安全论证网关 Web服务器 数据加密和数字认证是网络信息安全的核心技术。其中,数据加密是保护数据免遭攻击的一种主要方法;数字认证是解决网络通信过程中双方身份的认可,以防止各种敌手对信息进行篡改的一种重要技术。 数据加密和数字认证的联合使用,是确保信息安全的有效措施。

70 1、密码学与密码技术 计算机密码学是研究计算机信息加密、解密及其变换的新兴科学,密码技术是密码学的具体实现, 它包括4个方面:保密(机密)、消息验证、消息完整和不可否认性。 1 保密(privacy):在通信中消息发送方与接收方都希望保密,只有消息的发送者和接收者才能理解消息的内容。 2 验证(authentication):安全通信仅仅靠消息的机密性是不够的,必须加以验证,即接收者需要确定消息发送者的身份。 3 完整(integrity):保密与认证只是安全通信中的两个基本要素,还必须保持消息的完整, 即消息在传送过程中不发生改变。 4 不可否认(nonrepudiation):安全通信的一个基本要素就是不可否认性,防止发送者抵赖(否定)。

71 2、加密和解密 密码技术包括数据加密和解密两部分。 加密是把需要加密的报文按照以密码钥匙(简称密钥)为参数的函数进行转换,产生密码文件;
解密是按照密钥参数进行解密,还原成原文件。 数据加密和解密过程是在信源发出与进入通信之间进行加密,经过信道传输,到信宿接收时进行解密,以实现数据通信保密。 数据加密和解密过程如图所示。 密钥 明文 密文传输 明文 报 文 加 密 解 密 原报文 信源 加密单元 解密单元 信宿 加密解密模型

72 数据加密技术——密码学的发展(cryptography)
• 传统密码学 ~1976/77 -1949年Shannon的“保密通信的信息理论” • 现代密码学 /77 ~ today - 1976: Diffie & Hellman “公钥密码学的新方向”,掀起公钥密码研究的序幕。 -1977: 美国国家标准局公布了美国的数据加密标准 DES (Data Encryption Standard) 当加密密钥与解密密钥相同时,这样的加密体制称为私钥(单钥或对称)加密体制。 当加密密钥与解密密钥不同时,这样的加密体制称为公钥(双钥或非对称)加密体制。 72

73 3、密钥体系 加密和解密是通过密钥来实现的。
如果把密钥作为加密体系标准,则可将密码系统分为单钥密码(又称对称密码或私钥密码)体系和双钥密码(又称非对称密码或公钥密码)体系。 在单钥密码体制下,加密密钥和解密密钥是一样的。在这种情况下,由于加密和解密使用同一密钥(密钥经密钥信道传给对方),所以密码体制的安全完全取决于密钥的安全。 双钥密码体制是1976年W.Diffie和M.E.Heilinan 提出的一种新型密码体制。1977年Rivest,Shamir和Adleman提出RSA密码体制。在双钥密码体制下,加密密钥与解密密钥是不同的,它不需要安全信道来传送密钥,可以公开加密密钥,仅需保密解密密钥。

74 74

75 对称密码加密模型 Bob Alice D E Original Plain Text Cipher Text Network
or Storage Plain Text Cipher Text D Original Bob Secret Key Alice

76 非对称密码加密模型 Alice Bob Network D E Plain Text Cipher Text Bob: Secret Key
76

77 传统加密方法 1、代换密码法 ⑴ 单字母加密方法:是用一个字母代替另一个字母,它把A变成E,B变成F,C变为G,D变为H。
⑵ 多字母加密方法:密钥是简短且便于记忆的词组。 2、转换密码法 保持明文的次序,而把明文字符隐藏起来。转换密码法不是隐藏它们,而是靠重新安排字母的次序。 3、变位加密法 把明文中的字母重新排列,字母本身不变,但位置变了。常见的有简单变位法、列变位法和矩阵变位法。 4、一次性密码簿加密法 就是用一页上的代码来加密一些词,再用另一页上的代码加密另一些词,直到全部的明文都被加密。

78 现代加密方法 1、DES加密算法 DES加密算法是一种通用的现代加密方法,该标准是在56位密钥控制下,将每64位为一个单元的明文变成64位的密码。采用多层次复杂数据函数替换算法,使密码被破译的可能性几乎没有。 2、IDEA加密算法 相对于DES的56位密钥,它使用128位的密钥,每次加密一个64位的块。这个算法被加强以防止一种特殊类型的攻击,称为微分密码密钥。 IDEA的特点是用了混乱和扩散等操作,主要有三种运算:异或、模加、模乘,并且容易用软件和硬件来实现。IDEA算法被认为是现今最好的、最安全的分组密码算法,该算法可用于加密和解密。

79 现代加密方法 邮件内容C 3、RSA公开密钥算法 H=MDS(C) RSA是屹今为止最著名、最完善、使用最广泛的一种公匙密码体制。
收到E1+E2 3、RSA公开密钥算法 RSA是屹今为止最著名、最完善、使用最广泛的一种公匙密码体制。 RSA算法的要点在于它可以产生一对密钥,一个人可以用密钥对中的一个加密消息,另一个人则可以用密钥对中的另一个解密消息。 任何人都无法通过公匙确定私匙,只有密钥对中的另一把可以解密消息。 H=MDS(C) K=DERSA(E2)KRS S=ENRSA(H)KS M=DEIDEA(E1)K 将M分离成C和S M=C+S H1=MD5(C) 随机加密密钥 取得收信人的 分开密钥KP E1=ENIDEA(M) 取得收信人的 分开密钥KRP S1=DERSA(H1)KP S1=S? No E2=ENRSA(K)KRP Yes 将E1+E2寄出 接收此邮件 拒绝此邮件 发送邮件 接收邮件

80 现代加密方法 4、Hash-MD5加密算法 5、量子加密系统
Hash函数又名信息摘要(Message Digest)函数,是基于因子分解或离散对数问题的函数,可将任意长度的信息浓缩为较短的固定长度的数据。这组数据能够反映源信息的特征,因此又可称为信息指纹(Message Fingerprint)。Hash函数具有很好的密码学性质,且满足Hash函数的单向、无碰撞基本要求。 5、量子加密系统 量子加密系统是加密技术的新突破。量子加密法的先进之处在于这种方法依赖的是量子力学定律。传输的光量子只允许有一个接收者,如果有人窃听,窃听动作将会对通信系统造成干扰。通信系统一旦发现有人窃听,随即结束通信,生成新的密钥。

81 破密方法 1.密钥穷尽搜索 就是尝试所有可能的密钥组合,虽然这种密钥尝试通常是失败的,但最终总会有一个密钥让破译者得到原文。 2. 密码分析
密码分析是在不知密钥的情况下利用数学方法破译密文或找到秘密密钥。常见的密码分析有如下两种: ⑴ 已知明文的破译方法:是当密码分析员掌握了一段明文和对应的密文,目的是发现加密的密钥。在实际应用中,获得某些密文所对应的明文是可能的。 ⑵ 选定明文的破译方法:密码分析员设法让对手加密一段分析员选定的明文,并获得加密后的结果,以获得确定加密的密钥。

82 破密方法 3、防止密码破译的措施 为了防止密码破译,可以采取一些相应的技术措施。目前通常采用的技术措施以下3种。
⑴ 好的加密算法:一个好的加密算法往往只有用穷举法才能得到密钥,所以只要密钥足够长就会比较安全。20世纪70~80年代密钥长通常为48~64位,90年代,由于发达国家不准许出口64位加密产品,所以国内大力研制128位产品。 ⑵ 保护关键密钥(KCK:KEY CNCRYPTION KEY)。 ⑶ 动态会话密钥:每次会话的密钥不同。 动态或定期变换会话密钥是有好处的,因为这些密钥是用来加密会话密钥的,一旦泄漏,被他人窃取重要信息,将引起灾难性的后果。

83 数字认证技术 数字认证是一种安全防护技术,它既可用于对用户身份进行确认和鉴别,也可对信息的真实可靠性进行确认和鉴别,以防止冒充、抵赖、伪造、篡改等问题。数字认证技术包括数字签名、数字时间戳、数字证书和认证中心等。 1、数字签名 “数字签名”是数字认证技术中其中最常用的认证技术。在日常工作和生活中,人们对书信或文件的验收是根据亲笔签名或盖章来证实接收者的真实身份。在书面文件上签名有两个作用:一是因为自己的签名难以否认,从而确定了文件已签署这一事实;二是因为签名不易伪冒,从而确定了文件是真实的这一事实。但是,在计算机网络中传送的报文又如何签名盖章呢,这就是数字签名所要解决的问题。

84 数字认证 在网络传输中如果发送方和接收方的加密、解密处理两者的信息一致,则说明发送的信息原文在传送过程中没有被破坏或篡改, 从而得到准确的原文。传送过程如下图所示。 Key 数字签名 初始文件 签名文件 加密的签名文件 数字摘要 正确初始文件 HASH 编码 一致 数字签名的验证及文件的窜送过程

85 数字签名技术 随着信息时代的来临,人们希望通过数字通信网络迅速传递贸易合同,数字签名应运而生了。 数字签名必须保证以下三点:
a、接收者能够核实发送者对报文的签名; b、发送者事后不能抵赖对报文的签名; c、接收者不能伪造对报文的签名。 85

86 数字签名的原理 ? Bob Cathy Public Key Directory Bob: Plain Text
Network Plain Text Bob Secret Key + Cathy Signature Accept if equal E ? Public Key 86

87 数字签名的原理 数字签名验证过程 A 方——数字签名发送方 B 方——数字签名验证方 信 息 信息 数字签名 传送 A方私钥 A方公钥
信 息 数字签名 传送 A 方——数字签名发送方 B 方——数字签名验证方 数字签名验证过程 A方私钥 A方公钥 相等? 确认 87

88 数字认证 2、数字时间戳(DTS) 在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,数字时间戳就是为电子文件发表的时间提供安全保护和证明的。DTS是网上安全服务项目,由专门的机构提供。数字时间戳是一个加密后形成的凭证文档,它包括三个部分: ◆需要加时间戳的文件的摘要 ◆DTS机构收到文件的日期和时间 ◆DTA机构的数字签名 数字时间戳的产生过程:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将这个摘要发送到DTS机构,DTS机构在加入了收到文件摘要的日期和时间信息后,再对这个文件加密(数字签名),然后发送给用户。

89 数字认证 3、数字证书 数字认证从某个功能上来说很像是密码,是用来证实你的身份或对网络资源访问的权限等可出示的一个凭证。数字证书包括: 1 客户证书:以证明他(她)在网上的有效身份。该证书一般是由金融机构进行数字签名发放的,不能被其它第三方所更改。 2 商家证书:是由收单银行批准、由金融机构颁发、对商家是否具有信用卡支付交易资格的一个证明。 3 网关证书:通常由收单银行或其它负责进行认证和收款的机构持有。客户对帐号等信息加密的密码由网关证书提供。 4 CA系统证书:是各级各类发放数字证书的机构所持有的数字证书,即用来证明他们有权发放数字证书的证书。

90 数字认证 4、认证中心(CA) 认证中心是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。它的主要任务是受理数字凭证的申请,签发数字证书及对数字证书进行管理。 CA认证体系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次构成,上一级CA负责下一级CA数字证书的申请签发及管理工作。 根CA 品牌CA 地方CA 持卡证件 支持网关PCA 商家MCA 持卡人CCA 商家证件 支付网关证件 CA认证体系的层次结构

91 身份认证技术 1、基于生理特征的身份认证 指纹、脸型、声音等进行身份认证
要求使用诸如指纹阅读器,脸型扫描器,语音阅读器等价格昂贵的硬件设备。 由于验证身份的双方一般都是通过网络而非直接交互,所以该类方法并不适合于在诸如Internet或无线应用等分布式的网络环境。 91

92 身份认证技术 2、基于约定的口令进行身份认证 用户ID,口令 服务器中 用户 口令对照表 该方案有两个弱点: 容易受到重传攻击;
传统方式是将用户口令放在服务器的文件中,那么一旦该 文件暴露,则整个系统将处于不安全的状态。 92

93 身份认证技术 3、动态口令(一次口令)身份认证 1991年贝尔通信研究中心研制出基于一次口令思想的身份
认证系统S/KEY,该系统使用MD4作为其单向hash函数 目前存在很多动态口令方案,但未存在非常完善的方案 基于智能卡的动态口令方案 93

94 计算机网络安全技术 黑客与病毒

95

96 黑客概述 黑客(Hacker)源于英语动词Hack,意为“劈、砍”,引申为“辟出、开辟”,进一步的意思是“干了一件非常漂亮的工作”。
在20世纪早期的麻省理工学院校园口语中,黑客则有“恶作剧”之意,尤其是指手法巧妙、技术高明的恶作剧。 有一部分人认为,黑客是“热爱并精通计算机技术的网络狂热者”,并赋予他们“网上骑士”桂冠; 相反,另一部分人则认为黑客是“企图非法获取计算机系统访问权的人”,甚至将其描述为“网络恐怖主义分子”; 大多数人则认为,黑客是“试图通过网络非法获取他人计算机系统访问权并滥用计算机技术的人”。

97 黑客定义 根据我国现行法律的有关规定,对黑客可以给出两个定义:
广义的黑客是指利用计算机技术,非法侵入或擅自操作他人(包括国家机关、社会组织及个人)计算机信息系统,对电子信息交流安全具有不同程度的威胁性和危害性的人; 狭义的黑客,是指利用计算机技术,非法侵入并擅自操作他人计算机信息系统,对系统功能、数据或者程序进行干扰、破坏,或者非法侵入计算机信息系统并擅自利用系统资源,实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的人。

98

99

100 侠客、骇客和入侵者 “黑客”是一个精通计算机技术的特殊群体。可分为3类: “侠客(Hackers)”,他们多是好奇者和爱出风头者;
“骇客(Crackers)”,他们是一些不负责的恶作剧者; “入侵者(Intruder),他们是有目的的破坏者。

101

102

103

104 黑客的分类 安全攻防技术 黑客简史 白帽子创新者 黑帽子破坏者 渴求自由 灰帽子破解者 设计新系统 打破常规 精研技术 勇于创新 没有最好,
安全攻防技术 黑客简史 白帽子创新者 设计新系统 打破常规 精研技术 勇于创新 没有最好, 只有更好 MS Bill Gates GNU -R.Stallman Linux -Linus 黑帽子破坏者 随意使用资源 恶意破坏 散播蠕虫病毒 商业间谍 人不为己, 天诛地灭 入侵者-K.米特尼克 CIH 陈英豪 攻击Yahoo者 -匿名 渴求自由 灰帽子破解者 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 计算机 为人民服务 漏洞发现 - 袁哥等 软件破解 - 0 Day 工具提供 - Numega

105

106 入侵技术的发展 工具 高 入侵者水平 攻击者 攻击手法 1980 1985 1990 1995 2000 2002
半开放隐蔽扫描 包欺骗 拒绝服务 DDOS 攻击 入侵者水平 嗅探 www 攻击 擦除痕迹 自动探测扫描 GUI远程控制 后门 破坏审计系统 检测网络管理 会话劫持 控制台入侵 Here’s a graphical way of looking at the exponential growth of threats over a ten year period. 10 years ago the threats were simple file-based viruses Then we saw growing complexity, with mass mailers that spread in hours. In early 2000 we saw the first major DOS attacks And now we’re seeing a new kind of blended threat. The blended threat combines an arsenal of tricks to do damage. They require a very comprehensive portfolio of security solutions. More on this later. In short, we are way, way past the days when AV was enough to secure a system. 利用已知的漏洞 密码破解 攻击者 攻击手法 可自动复制的代码 密码猜测 1980 1985 1990 1995 2000 2002

107 黑客入侵的行为模型

108 计算机网络安全技术 安全基础

109 网络安全技术 随着计算机网络技术的发展,网络的安全性和可靠性成为各层用户所共同关心的问题。人们都希望自己的网络能够更加可靠地运行,不受外来入侵者的干扰和破坏,所以解决好网络的安全性和可靠性,是保证网络正常运行的前提和保障。 Internet 安全 垃圾邮 内容 审计 件网关 过滤 Info Gate 防火墙 IIS服务Web服务DMZ区 教工区 应用服务器群 学生区 数据库服务器群

110 1、网络安全要求 网络安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不会中断。 保密性 完整性 可用性 身份认证 授权和访 问控制 不可抵赖性

111 2、网络安全威胁 一般认为,黑客攻击、计算机病毒和拒绝服务攻击等3个方面是计算机网络系统受到的主要威胁。
黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络,并非法使用网络资源。 黑客攻击 计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。 计算机病毒 攻击者在短时间内发送大量的访问请求,而导致目标服务器资源枯竭,不能提供正常的服务。 拒绝服务攻击

112 3、网路安全漏洞 网络安全漏洞实际上是给不法分子以可乘之机的“通道”,大致可分为以下3个方面。
包括网络传输时对协议的信任以及网络传输漏洞,比如IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS的信任。 网络的漏洞 利用服务进程的bug和配置错误,任何向外提供服务的主机都有可能被攻击。这些漏洞常被用来获取对系统的访问权。 服务器的漏洞 Windows和UNIX操作系统都存在许多安全漏洞,如Internet蠕虫事件就是由UNIX的安全漏洞引发的。 操作系统的漏洞

113 4、网络安全攻击 要保证运行在网络环境中的信息安全,首先要解决的问题是如何防止网络被攻击。根据Steve Kent提出的方法,网络安全攻击可分为被动攻击和主动攻击两大类,如图所示。 被动攻击 主动攻击 截获(秘密) 拒绝 篡改 伪造 重放 (可用性) (完整性) (真实性) (时效性) 分析信息内容 通信量分析 图:网络安全攻击分类 被动攻击不修改信息内容,所以非常难以检测,因此防护方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生一个虚假的数据流。

114 5、网络安全破坏 网络安全破坏的技术手段是多种多样的,了解最通常的破坏手段,有利于加强技术防患。 1 2 3 4
中断(Interruption):中断是对可利用性的威胁。例如破坏信息存储硬件、切断通信线路、侵犯文件管理系统等。 2 窃取(Interception):入侵者窃取信息资源是对保密性的威胁。入侵者窃取线路上传送的数据,或非法拷贝文件和程序等。 3 篡改(Modification):篡改是对数据完整性的威胁。例如改变文件中的数据,改变程序功能,修改网上传送的报文等。 4 假冒(Fabrication):入侵者在系统中加入伪造的内容,如像网络用户发送虚假的消息、在文件中插入伪造的记录等。

115 网络安全的评价标准 计算机系统的安全等级由低到高顺序:D;C1 C2;B1 B2 B3;A。如图所示。 可信计算机系统评测准则 A类 B类
TCSEC安全体系 D类 D1:最小保护

116 1、国际评价标准 20世纪90年代开始,一些国家和国际组织相继提出了新的安全评测准则。1991年,殴共体发布了“信息技术安全评测准则”;1993年,加拿大发布了“加拿大可信计算机产品评测准则”;1993年6月,上述国家共同起草了一份通用准则,并将CC推广为国际标准。国际安全评测标准的发展如图所示。 1993年加拿大可信计算机产品评测准则 1983年美国国防部可信计算机评测准则 1991年欧洲信息技术安全评测准则 1996年国际通用准则(CC) 1999年CC成为国际标准 1991年美国联邦政府评测标准 国际安全评测标准的发展与联系

117 2、我国评价标准分如下五个级别 1级 用户自主保护级:它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。 2级 系统审计保护级:除具备第一级外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。 3级 安全标记保护级:除具备上一级外,要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。 4级 结构化保护级:在继承前面功能基础上,将安全保护机制划分为关键部分和非关键部分,从而加强系统的抗渗透能力。 5级 访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。

118 网络安全措施 在网络设计和运行中应考虑一些必要的安全措施,以便使网络得以正常运行。网络的安全措施主要从物理安全、访问控制、传输安全和网络安全管理等4个方面进行考虑。 1、物理安全措施 物理安全性包括机房的安全、所有网络的网络设备(包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等)的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外,还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。 2、访问控制措施 访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。其包括以下8个方面:

119 网络安全措施 1 2 3 4 5 入网访问控制:控制哪些用户能够登录并获取网络资源,控制准许用户入网的时间和入网的范围。
网络的权限控制:是针对网络非法操作所提出的一种安全保护措施,用户和用户组被授予一定的权限。 3 目录级安全控制:系统管理权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和存取控制权限8种。 4 属性安全控制:网络管理员给文件、目录等指定访问属性,将给定的属性与网络服务器的文件、目录和网络设备联系起来。 5 网络服务器安全控制:包括设置口令锁定服务器控制台,设定登录时间限制、非法访问者检测和关闭的时间间隔等。

120 网络安全措施 6 7 8 3、网络通信安全措施 ⑴ 建立物理安全的传输媒介
网络检测和锁定控制:网络管理员对网络实施监控,服务器应记录用户对网络资源的访问,对于非法访问应报警。 7 网络端口和节点的安全控制:网络服务器端口使用自动回呼设 备、静默调制解调器加以保护,并以加密形式识别节点的身份。 8 防火墙控制:防火墙成为是互连网络上的首要安全技术,是设置在网络与外部之间的一道屏障。 3、网络通信安全措施 ⑴ 建立物理安全的传输媒介 ⑵ 对传输数据进行加密:保密数据在进行数据通信时应加密,包括链路加密和端到端加密。

121 网络安全管理措施 除了技术措施外,加强网络的安全管理,制定相关配套
的规章制度、确定安全管理等级、明确安全管理范围、采取系统维护方法和应急措施等,对网络安全、可靠地运行,将起到很重要的作用。实际上,网络安全策略是一个综合, 要从可用性、实用性、完整性、可靠性和保密性等方面综合考虑,才能得到有效的安全策略。 检查和 互协 安全设计 安全策略 设备配置 安全需求 安全结构 渗透测试 安全漏洞 分析 安全评估 安全评估 安全评估

122 防火墙技术 1、什么是防火墙 为了防止病毒和黑客,可在该网络和Internet之间插入一个中介系统,竖起一道用来阻断来自外部通过网络对本网络的威胁和入侵的安全屏障,其作用与古代防火砖墙有类似之处,人们把这个屏障就叫做“防火墙”,其逻辑结构如下图所示。 外部网络 内部网络 防火墙的逻辑结构示意图

123 防火墙的基本概念 2、防火墙的基本特性 ① 所有内部和外部网络之间传输的数据必须通过防火墙。
② 只有被授权的合法数据即防火墙系统中安全策略允许 的数据可以通过防火墙。 ③ 防火墙本身不受各种攻击的影响。 3、防火墙的基本准则 ⑴ 过滤不安全服务:防火墙应封锁所有的信息流,然后对希望提供的安全服务逐项开放,把不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。 ⑵ 过滤非法用户和访问特殊站点: 防火墙允许所有用户 和站点对内部网络进行访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。

124 防火墙的基本功能 1、作为网络安全的屏障 防火墙作为阻塞点、控制点,能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
2、可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(口令、加密、身份认证、审计等)配置在防火墙上。 3、对网络存取和访问进行监控审计 所有的外部访问都经过防火墙时,防火墙就能记录下这些访问,为网络使用情况提供统计数据。当发生可疑信息时防火墙能发出报警,并提供网络是否受到监测和攻击的详细信息。 4、可以防止内部信息的外泄 利用防火墙可以实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

125 防火墙的基本类型 1、网络级防火墙(Network Gateway) 网络级防火墙主要用来防止整个网络出现外来非法的入侵。 包过滤路由器
分组过滤规则 网络层 网络层 数据链跑层 数据链跑层 内部网络 物理层 物理层 Internet 外部网络 包过滤路由器的工作原理示意图

126 防火墙的基本类型 2、应用级防火墙(Application Gateway)
这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。在外部网络向内部网络申请服务时发挥了中间转接的作用。代理防火墙的最大缺点是速度相对比较慢。应用级代理工作原理下图所示。 内部网络 防火墙 外部网络 客户 Internet 实际的连接 代理服务器 实际的连接 真正服务器 虚拟的连接 应用级代理工作原理示意图

127 防火墙的基本类型 3、电路级防火墙(Gateway)
电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙。电路级网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。与应用级防火墙相似,电路级防火墙也是代理服务器,只是它不需要用户配备专门的代理客户应用程序。另外,电路级防火墙在客户与服务器间创建了一条电路,双方应用程序都不知道有关代理服务的信息。 4、状态监测防火墙(Statefu inspection Gateway) 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表就可以通过。

128 防火墙的基本结构 1、双宿主机网关(Dual Homed Gateway)
双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙,其中一个是网卡,与内网相连;另一个可以是网卡、调制解调器或ISDN卡。双宿主机网关的弱点是一旦入侵者攻入堡垒主机并使其具有路由功能,则外网用户均可自由访问内网。双宿主机网关工作原理图如图7-13所示。 双宿堡垒主机 内网 Internet 双宿堡垒主机

129 防火墙的基本结构 2、屏蔽主机网关(Screened Host Gateway)
⑴ 单宿堡垒主机:是屏蔽主机网关的一种简单形式,单宿堡垒主机只有一个网卡,并与内部网络连接。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为可以从Internet上访问的唯一主机。而Intranet内部的客户机,可以受控地通过屏蔽主机和路由器访问Internet,其工作原理图如下图所示。 内网 双宿堡垒主机 Internet 屏蔽主机网关单宿堡垒主机

130 防火墙的基本结构 ⑵ 双宿堡垒主机:是屏蔽主机网关的另一种形式, 与单宿堡垒主机相比,双宿堡垒主机有两块网卡,一块连接内部网络,一块连接路由器。双宿堡垒主机在应用层提供代理服务比单宿堡垒主机更加安全。屏蔽主机网关双宿堡垒主机工作原理图如下图所示。 双宿堡垒主机 内网 Internet 屏蔽主机网关双宿堡垒主机

131 防火墙的基本结构 3、屏蔽子网(Screened Subnet Gateway)
屏蔽子网是在内部网络与外部网络之间建立一个起隔离作用的子网。内部网络和外部网络均可访问屏蔽子网,它们不能直接通信,但可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络之间的互访提供代理服务。屏蔽子网工作原理图如图 7-16 所示。 内网 屏蔽子网 Internet 屏蔽子网防火墙

132 防火墙的安全标准与产品 1、防火墙的安全标准 ⑴ Secure/WAN(S/WAN)标准
⑵ FWPD(Fire Wall Product Developer)联盟制订的 防火墙测试标准 2、常见的防火墙产品

133 VPN的基本概念 1、什么是虚拟专用网 防火墙用来将局域网与Internet分隔开来,阻止来自外部网络的损坏。随着企业网应用的不断扩大,企业网的范围也不断扩大,从一个本地网络发展到一个跨地区跨城市甚至跨国家的网络,为保证区域间流通的企业信息安全,通过租用昂贵的跨地区数字专线方式建立物理上的专用网非常困难。 随着计算机网络应用技术的发展,现在可通过Internet提供的虚拟专用网(Virtual Private Network,VPN)技术,使家庭办公、移动用户或其它用户主机可以很方便地访问企业服务器。用户就像通过专线连接一样,而感觉不到公网的存在,这种网络被称为VPN的基本结构如图7-17所示。

134 VPN的基本概念 VPN服务器 明文 共用网络 密文 VPN隧道 数据分组 VPN连接 图 虚拟专用网示意图 VPN是通过一个公用网络建立的一个临时、安全的连接方式,是一条穿越混乱的公用网络的安全、稳定的隧道,其目标是在不安全的公用网络上建立一个安全的专用通信网络。 VPN的最大优点是无需租用电信部门的专用线路,而由本地ISP所提供的VPN服务所替代。因此,人们越来越关注基于Internet的VPN技术及其应用。

135 VPN的基本概念 2、虚拟专用网的安全性 VPN实际上是一种服务,是企业内部网的扩展。VPN中传输的是企事业或公司的内部信息,因此数据的安全性非常重要。VPN保证数据的安全性主要包括以下3个方面。 ⑴ 数据保密性(Confidentiality):通过数据加密来确保数据通过公网传输时外人无法看到或截获,即使被他人看到也不会泄露。 ⑵ 身份验证(Authentication):对通信实体的身份认证和信息的完整性检查,能够对于不同的用户必须授予不同的访问权限,确保数据是从正确的发送方传输来的。 ⑶ 数据完整性(Integrity):确保数据在传输过程中没有被非法改动,保持数据信息原样地到达目的地。

136 VPN的基本概念 3、VPN的特点 VPN最终用户提供类似于专用网络性能的网络服务技术,并具有以下特点。
⑵ 降低成本:VPN是建立在现有网络硬件设施基础上,因此可以保护用户现有的网络设施投资;大幅度地减少用户在WAN和远程连接上的费用;降低企业内部网络的建设成本。 ⑶ 优化管理:采用VPN方案可以简化网络设计和管理,加速连接新的用户和网站。同时,能够极大地提高用户网络运营和管理的灵活性。

137 VPN的实现技术 1、隧道技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,是VPN的核心。隧道技术是在公用网建立一条专用数据“通道”,以实现点对点的连接,让来自不同数据源的网络业务经由不同的“通道”在相同的网络体系结构上传输,并且允许网络协议穿越不兼容的体系结构。隧道的组成如图所示。 隧道的组成 ISP接入 集线器 Mobile PC 隧道终结器 交换机 ISP VPN Gateway 互联网

138 VPN的实现技术 2、加解密技术(Encryption & Decryption)
对通过公用互联网络传递的数据必须经过加密,确保网络其它未授权的用户无法读取该信息。 3、密钥管理技术(Key Management) 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行常用密钥管理技术可分为SKIP与ISAKMP/Oakley两种。 4、身份认证技术(Authentication) 公用网络上有众多的使用者与设备,如何正确地辨认合法的使用者与设备,使属于本单位的人员与设备能互通,构成一个VPN并让未授权者无法进人系统,这就是使用者与设备身份认证技术要解决的问题。

139 VPN的实现技术 5、VPN的应用平台 VPN设备选择的标准主要取决于应用程序运行的安全级别和性能要求,而在技术方法上VPN是通过平台来实现的。目前VPN的应用平台可分为3种类型。 ⑴ 基于软件的VPN:当数据连接速度较低,对性能和安全性要求不高时,利用一些软件提供的功能便可实现简单的VPN功能。 ⑵ 基于专用硬件平台的VPN:当企业和用户对数据安全与通信性能要求很高时,可采用专用硬件平台实现VPN功能。 ⑶ 辅助硬件平台的VPN:以现有网络设备为基础,在添加适当的VPN软件的情况下实现VPN功能。网络安全性和通信性能介于上述两者之间。

140 VPN的安全协议 网络隧道协议有两种:一种是二层隧道协议,用于传输二层网络协议数据,以构建远程访问虚拟专用网;另一种是三层隧道协议,用于传输三层网络协议,以构建企业内部虚拟专用网和扩展的企业内部VPN。 1、二层隧道协议(PPTP/P2TP) ⑴ PPTP:是点对点隧道协议,它是由 Microsoft公司提出的、被嵌入到Windows中的、用于路由和远程服务的数据链路层协议。PPTP用IP包来封装PPP数据帧,用简单的包过滤和域控制来实现访问控制。 ⑵ L2TP:是第二层隧道转发协议,它是由PPTP和L2F组合而成,可用于基于Internet的远程拨号访问。还可以为使用PPP的客户端建立拨号方式的VPN连接。L2TP可用于传输多种协议,如NetBIOS等。

141 VPN的安全协议 2、三层隧道协议(IPSec)
IPSec是一组开放性协议的总称,它包括认证头(AH)、Internet安全协会与密钥管理协议(ISAKMP)和安全封装载荷(ESP)三个子协议。IPSec具有以下三个特性。 ⑴ 保密性:IPSec在数据传输之前先进行加密,以确保的私有性。 ⑵ 可靠性:数据到达目标方之后进行验证,保证数据在传输过程中没有被修改或替换。 ⑶ 真实性:对主机和端点进行身份鉴别。 IPSec有两种工作模式,即运输模式和隧道模式。在隧道模式下,IPSec把IP分组封装在一个安全的数据报中,确保从一个防火墙到另一个防火墙的通信安全性。

142 VPN的基本类型 根据业务类型和和组网方式的不同,VPN业务大致可分为3类,如图7-19所示。 图 7-19 VPN的三种服务类型 合作伙伴
Extranet VPN 总公司 公用网络 Internet VPN 合作伙伴 子公司 Access VPN 图 7-19 VPN的三种服务类型

143 VPN的基本类型 1、内部网VPN(Intranet VPN)
内部网是指企业的总部与分支机构间通过公网构筑的虚拟网,它通过公用网络将一个组织的各分支机构的LAN连接而成的网络,即Intranet,它是公司内部网络的扩展。 内部网VPN用于公司远程分支机构的LAN之间或公司远程分支机构的LAN与公司总部LAN之间进行互联,以便公司内部的资源共享、文件传递等,可节省DDN等专线所带来的高额费用。内部网VPN的配置如图7-20所示。 内部网络 Internet 外部网络 VPN Server Router Router VPN Server 图 内部网VPN的配置

144 VPN的基本类型 2、远程访问VPN(Access VPN) 远程访问也称为拨号VPN,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网,用于在远程用户或移动雇员和公司内部网之间进行互联。 远程访问VPN的优点是可以实现“透明访问策略”,即远程用户可以与主机如同在同一个LAN中一样自由地访问LAN上的资源。 远程网VPN的配置如图7-21所示。 内部网络 Internet Desktop PC VPN Server Firewall Mobile PC 图 远程网VPN的配置

145 VPN的基本类型 3、外联网VPN(Extranet VPN)
外联网是指企业间发生收购、兼并或企业间的战略联盟,使不同企业网通过公网来构筑的虚拟网,用于在供应商、商业合作伙伴的LAN和公司的LAN之间进行互联。外联网VPN通过一个共享基础设施将客户、供应商、合作伙伴等连接到企业内部网,既可以向外提供有效的信息服务,又可以保证自身的内部网络的安全。外连网VPN的配置如图7-22所示。 内部网络 Internet 内部网络 WWW Server VPN Server Firewall Firewall VPN Server 图 外联网VPN的配置

146 网络病毒防治技术 计算机病毒是由计算机黑客编写的有害程序,具有自我传播和繁殖的能力,破坏计算机的正常工作。
Internet/Intranet的迅速发展和广泛应用给病毒提供了新的传播途径,网络将正逐渐成为病毒的第一传播途径。 Internet/Intranet带来了两种不同的安全威胁:一种威胁来自文件下载,这些被浏览的或是通过FTP下载的文件中可能存在病毒;另一种威胁来自电子邮件。 网络使用的简易性和开放性使得这种威胁越来越严重。正因为如此,网络病毒的防治技术显得越来越重要。因此,网络病毒的传播、再生、发作将造成比单机病毒更大危害。

147 网络病毒的特点 计算机网络的主要特点是资源共享。那么,一旦共享资源染上病毒,网络各结点间信息的频繁传输将把病毒感染到共享的所有机器上,从而形成多种共享资源的交叉感染。在网络环境中的病毒具有以下6个方面的特点: 网络病毒 的特点 1. 感染方式多 4. 破坏性强 2. 感染速度快 5. 激发形式多样 3. 清除难度大 6. 潜在性

148 网络病毒的类型 1、GPI(Get Password I)病毒
2、电子邮件病毒 由于电子邮件的广泛使用, 已成为病毒传播的主要途径之一。 3、网页病毒 网页病毒主要指Java及ActiveX病毒,它们大部分都保存在网页中,所以网页也会感染病毒。 4、网络蠕虫程序 是一种通过间接方式复制自身的非感染型病毒,它的传播速度相当惊人,给人们带来难以弥补的损失。

149 网络病毒的防治 1、病毒的预防 引起网络病毒感染的主要原因在于网络用户本身。因此,防范网络病毒应从两方面着手。第一,对内部网与外界进行的数据交换进行有效的控制和管理, 同时坚决抵制盗版软件;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。 2、病毒清除 可靠、有效地清除病毒,并保证数据的完整性是一件非常必要和复杂的工作。优秀的防毒软件应该不仅能够正确识别已有的病毒变种,同时也应该能够识别被病毒感染的文件。 然而,防毒软件并不是万能的,对付计算机病毒的最好方法是要积极地做好预防工作, 而不能寄托于病毒工具软件。

150 网络管理技术 7.6.1 网络管理的基本概念 1、网络管理的定义 网络管理是一项复杂的系统工程, 它涉及到以下3个方面。
7.6.1 网络管理的基本概念 1、网络管理的定义 网络管理是一项复杂的系统工程, 它涉及到以下3个方面。 ⑴ 网络服务提供:是指向用户提供新的服务类型、增加网络设备、提高网络性能等。 ⑵ 网络维护:是指网络性能监控、故障报警、故障诊断、故障隔离与恢复等。 ⑶ 网络处理:是指网络线路、设备利用率、数据的采集、分析,以及提高网络利用率的各种控制。 2、网络管理标准化 在ISO的OSI-RM的基础上,由AT&T、英国电信等100多著名大公司组成的OSI/NMF(网络管理论坛)定义了OSI网络管理框架下的5个管理功能区域,并形成了多项协议。

151 网络管理的逻辑结构 1、网络管理系统的逻辑模型 ⑴ 被管对象:经过抽象的网络元素,对应于网络中具体可以操作的数据。
⑵ 管理进程:负责对网络设备进行全面管理与控制的软件。 ⑶ 管理信息库:可看作为管理进程的一部分,用于记录网络中被管理对象的状态参数值。 ⑷ 管理协议:负责在管理系统与被管对象之间传递命令和负责解释管理操作命令。 管理信息库 进程管理 管理系统 管理协议 操作 通知 被管系统 代 理 执行管 理操作 通知 被管对象 图 7-24 网络管理系统逻辑模型

152 网络管理的逻辑结构 2、Internet网络管理逻辑模型
由于TCP/IP的广泛使用,Internet网络管理模型也受到了广泛的重视,几乎成了事实上的国际标准。Internet的网络管理模型如图7-25所示。 网络管理进程(网控中心) 管理代理 被管对象 外部代理 图 Internet网络管理逻辑模型 这种管理机构能为管理进程提供透明的管理环境, 一个外部代理能够管理多个网络资源。

153 ISO网路管理功能域 为了实现对网络中的所有对象进行管理,OSI定义了网络管理统一的国际性标准(5个基本功能域),基本模块的相互关系如图7-26所示。 系统管理功能: 对象管理 状态管理 关系属性 日志控制 负荷监测 告警报告 事件报告 测试管理/测试报告 记账表 安全审查追踪等 配置 管理 性能 管理 计费 管理 安全 管理 故障 管理 图 OSI网络管理功能模块之间的关系

154 ISO网路管理功能域 1、配置管理(Configuration Management,CM)
配置信息具有自动获取功能:一个大型网络需要管理的设备很多,因此,网络管理系统应该具有配置信息自动获取的功能。 2 具有自动配置功能:通过网络管理协议标准设置配置信息、自动登录到设备进行配置的信息、修改管理性能配置信息。 3 配置一次性检查:在网络配置中,对网络正常运行影响最大的主要是路由器端口配置和路由器信息配置和检查。 4 用户操作记录功能:在配置管理中对用户操作进行记录并保存,以便管理人员随时查看用户在特定时间进行特定配置操作。

155 ISO网路管理功能域 2、性能管理(Performance Management,PM)
性能管理的功能是负责监视整个网络的性能,性能管理的目标是收集和统计数据。性能管理主要包括以下内容: 1 信息收集:要实现性能管理,首先必须要从被管对象中收集与性能有关的那些数据,然后进行信息统计、分析和监测。 2 信息统计:统计被管对象与性能有关的历史数据的产生、记录和维护。 3 信息分析:分析被管的性能数据和网络线路质量,以判断是否处于正常水平,为网络进一步规划与调整提供依据。 4 信息监测:监测网络对象的性能,为每个重要的变量决定一个合适的性能阀值,超过该限值时将报警发送到网络管理系统。

156 ISO网路管理功能域 3、故障管理(Fault Management,FM)
故障管理是在系统出现异常情况下的管理操作,找出故障的位置并进行恢复。故障管理包括以下4个步骤。 1 检测故障:通过检测来判断故障类型或被动接收网络上的各种事件信息,对其中的关键部分保持跟踪, 并生成网络故障记录。 2 隔离故障:通过诊断、测试,识别故障根源,对根源故障进行隔离。 3 修复故障:对不严重的简单故障由网络设备进行检测、诊断和恢复;对于严重的故障,报警提醒管理者进行维修和更换。 4 记录故障监测结果:记录排除故障的步骤和与故障相关的值班员日志,构造排错行记录,以反映故障整个过程的各个方面。

157 ISO网路管理功能域 4、安全管理(Security Management,SM)
安全管理模块的功能分为网络管理本身的安全和被管网络对象的安全。安全管理的功能主要包括以下4个方面: 1 授权管理:分配权限给所请求的实体。 2 访问控制管理:访问控制管理:分配口令、进入或修改访问控制表和能力表。 3 安全管理:安全检查跟踪和事件处理。 4 密钥管理:进行密钥分配。

158 ISO网路管理功能域 5、计费管理(Accounting Management,AM)
计费管理模块的功能是在有偿使用的网络上统计有哪些用户,使用何种信道,传输多少数据,访问什么资源信息,即统计不同线路和各类资源的利用情况。 计费管理的目标是提高网络资源的利用率,以便使一个或一组用户可以按规则利用网络资源。由于网络资源可以根据其能力的大小而合理地分配,这样的规则使网络故障降低到最小限度,也可以使所有用户对网络的访问更加公平。为了实现合理计费,计费管理必须和性能管理相结合。 计费管理包括:计费数据采集、数据管理与数据维护、政策比较与决策支持、数据分析与费用计算等。

159 简单网络管理协议 为了更好地进行网络管理,许多国际标准化组织都提出了自己的网络管理标准和网络管理方案,网络管理协议主要有CMIP、SNMP和CMOT三种。目前使用最广泛的网络管理协议是简单网络管理协议(SNMP)。 1、SNMP的结构 为了提高网络管理系统的效率,SNMP在传输层采用了用户数据报协议(UDP),针对Internet飞速发展和协议的不断扩充和完善,SNMP尽可能地降低管理代理的软件成本和资源要求,提供较强的远程管理,以适应对Internet资源的管理。并且,SNMP结构具有可扩充性,以适应网络系统的发展。SNMP的结构如图7-27所示。

160 简单网络管理协议 ⑴ 管理进程(manager):协助网络管理员对整个网络或网络中的设备进行日常管理的一组软件,一般运行在网络管理站(网络管理中心)的主机上。 ⑵ 管理代理(agent):是一种在被管理的网络设备中运行的软件,负责执行管理进程的管理操作。 ⑶ 管理信息库:是一个概念上的数据库,由管理对象组成,每个管理代理属于本地的管理对象,各管理代理控制的管理对象共同组成全网管理信息库。 管理进程 主机 网关 终端服务器 管理代理 管理代理 管理代理 MIB MIB MIB 图 SNMP的功能结构

161 简单网络管理协议 2、SNMP的工作方式 管理进程(Manager)和管理代理(Agent)之间主要以请求/应答方式工作。Manager向Agent发出请求命令,获取或设置网络元素(被管设备)参数;Agent向 Manager 返回“应答”响应,报告“请求”的执行结果。Internet网络管理的工作方式如图7-28所示。 请求 请求 Agent Manager Agent 应答 应答 本地 MIB 中心MIB 本地 MIB 图 7-28 SNMP工作方式示意图

162 简单网络管理协议 3、SNMP的报文格式 SNMP使用UDP作为第四层(传输层)协议,进行无连接操作。管理进程和代理进程之间的每个消息都是一个单独的数据报。SNMP消息报文包含两个部分:SNMP报头和协议数据单元PDU。 ⑴ 版本识别符(Version Identifier):用来确保SNMP代理使用相同的协议,每个SNMP代理都直接抛弃与自己协议版本不同的数据报。 ⑵ 团体名(Community Name):用于SNMP代理对SNMP管理站进行认证。 ⑶ 协议数据单元(PDN):指明SNMP的消息类型及其相关参数。

163 常用网络管理系统 1、HP OpenView HP Open View是第一个综合的、实用的网络管理系统。
2、IBM NetView/6000 IBM从HP处取得了Open View 3.1源代码的使用许可,在此基础上开发了NetView。 3、Cisco Works Cisco Works是一个基于SNMP的网络管理应用系统,它建立在工业标准平台上,能集成到几种流行的网络管理平台中。 4、Sun Net Manager Sun Net Manager(SNM)是第一个重要的、基于Unix的网络管理系统。 5、Cabletron Spectrun Cabletron Spectrun是一个可扩展的、智能网络管理系统,它使用了客户机/服务器体系结构和面向对象的方法。

164 网络的性能管理与优化 1、性能调整的基本方法 通常包括Web服务器性能在内的网络性能,在一段时间后会随着流量及站点内容的改变而有所变化。
⑴ 性能监测必须充分:为了掌握服务器运行的真正状况,监视时间必须足够长,以利于监测所有性能。 ⑵ 调整必须从服务器入手:一旦了解服务器的性能之后,就可以逐项修正,改善性能。 2、监视性能的常用工具 根据欲获取的信息来选择合适的监视工具是系统管理工作中极为重要的一环。 3、网络管理的发展趋势 随着网络越来越复杂,要求网络管理的性能越来越高,今后的网络管理将朝着层次化、集成化和Web化的方向发展。

165

166

167

168


Download ppt "主讲:吴锐 安徽工业经济职业技术学院 QQ:"

Similar presentations


Ads by Google