網(wǎng)絡(luò)安全課件2

1、計算機(jī)實(shí)用網(wǎng)絡(luò)第 8 章網(wǎng)絡(luò)安全 第1頁，共61頁。第8章 網(wǎng)絡(luò)安全8.1 網(wǎng)絡(luò)安全概述 8.1.1 網(wǎng)絡(luò)安全的含義 8.1.2 網(wǎng)絡(luò)面臨的威脅 8.1.3 網(wǎng)絡(luò)安全技術(shù)8.2 數(shù)據(jù)加密與認(rèn)證 8.2.1 密碼學(xué)概述 8.2.2 數(shù)據(jù)鏈路層加密第2頁，共61頁。第8章 網(wǎng)絡(luò)安全(續(xù)) 8.2.3 網(wǎng)絡(luò)層和傳輸層加密 8.2.4 應(yīng)用層加密8.3 防火墻技術(shù) 8.3.1 概述 8.3.2 防火墻的體系結(jié)構(gòu) 8.3.3 防火墻的技術(shù)類型8.4 入侵檢測技術(shù)第3頁，共61頁。第8章 網(wǎng)絡(luò)安全(續(xù)) 8.4.1 概述 8.4.2 常見的入侵方法和手段 8.4.3 常用的入侵檢測技術(shù)8.5 IP安全協(xié)議

2、集IPSec 8.5.1 概述 8.5.2 安全關(guān)聯(lián)（SA） 8.5.3 封裝安全載荷（ESP） 8.5.4 驗(yàn)證頭（AH）第4頁，共61頁。本章最重要的內(nèi)容(1) 密碼理論與技術(shù) (2) 安全訪問控制技術(shù) (3) 信息對抗理論與技術(shù) 第5頁，共61頁。8.1 網(wǎng)絡(luò)安全概述8.1.1 網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的部件、程序、數(shù)據(jù)的安全性，它通過網(wǎng)絡(luò)信息的存儲、傳輸和使用過程體現(xiàn)。網(wǎng)絡(luò)安全包括物理安全和邏輯安全。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。 第6頁，共61頁。網(wǎng)絡(luò)安全的含義保密性 完整性 可用性 可控性 可靠性 第7頁，共61頁。8.1.2 網(wǎng)絡(luò)面臨的威脅 通常入侵者可

3、以分為兩類：內(nèi)部的入侵者和外部的入侵者。這兩種入侵者進(jìn)入系統(tǒng)的主要途徑有三種 ：（1）物理侵入（2）系統(tǒng)侵入（3）遠(yuǎn)程侵入第8頁，共61頁。TCP/IP協(xié)議族的安全缺陷 物理層 雙絞線和銅纜不可避免的會產(chǎn)生電磁輻射和電磁泄漏，如果有足夠的設(shè)備和耐心，完全可以接收到通信鏈路中傳輸?shù)男盘柌⒓右赃€原，竊取重要信息，甚至插入，刪除信息。無線信道的安全性更加脆弱，幾乎不可避免的會遭受被動攻擊。采用光纖方式傳輸不會產(chǎn)生輻射，可以提高安全性能，但是非授權(quán)用戶仍然可以通過截斷、搭線的方式進(jìn)行竊聽和修改。 第9頁，共61頁。TCP/IP協(xié)議族的安全缺陷（2）數(shù)據(jù)鏈路層 數(shù)據(jù)監(jiān)聽是數(shù)據(jù)鏈路層最常見的攻擊手段。目前

4、的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，各主機(jī)處于同一信任域，傳輸信息可以相互監(jiān)聽。網(wǎng)絡(luò)層 包括：IP欺騙漏洞、源路由攻擊漏洞、利用ICMP的Redirect報文破壞路由機(jī)制等。第10頁，共61頁。TCP/IP協(xié)議族的安全缺陷（3）傳輸層 TCP協(xié)議三次握手協(xié)議漏洞 、TCP/UDP源端口可偽造漏洞 應(yīng)用層 應(yīng)用層的很多協(xié)議缺少嚴(yán)格的加密認(rèn)證機(jī)制，Telnet、FTP、SMTP等協(xié)議缺乏強(qiáng)有力的認(rèn)證，口令傳輸也缺乏加密措施等。第11頁，共61頁。8.1.3 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全的內(nèi)容包括了系統(tǒng)安全和信息安全兩個部分。網(wǎng)絡(luò)安全通常依賴于三種技術(shù)：（1）密碼技術(shù)，實(shí)現(xiàn)對信息的加密、身份鑒別等

5、（2）安全訪問控制技術(shù)，包含存取控制、認(rèn)證、授權(quán)等技術(shù)（3）信息對抗理論與技術(shù)，包括信息偽裝、分析、監(jiān)控，檢測，反擊，響應(yīng)等 第12頁，共61頁。8.2 數(shù)據(jù)加密與認(rèn)證對網(wǎng)絡(luò)通信鏈路上的數(shù)據(jù)進(jìn)行加密，以及對網(wǎng)絡(luò)通信雙方身份的鑒別和認(rèn)證，是網(wǎng)絡(luò)安全所需要考慮的兩個重要問題。 第13頁，共61頁。8.2.1 密碼學(xué)概述現(xiàn)代密碼系統(tǒng)由一個將明文(P)和密鑰(K)映射到密文(C)的操作構(gòu)成：C KP其中明文P是加密前的報文，密鑰K是獨(dú)立于明文的值，是加密算法的一個參數(shù)，密文C就是明文P在參數(shù)為K的加密算法下的輸出。通常，存在一個逆操作，將密文和密鑰K- 1映射到原始明文：P K- 1C 第14頁，共6

6、1頁。私鑰密碼學(xué)與DES加密算法 傳統(tǒng)的密碼系統(tǒng)，有時也稱為私鑰(private key)或?qū)ΨQ密碼系統(tǒng)，加密和解密采用同一個密鑰，即：K=K-1 DES是IBM應(yīng)美國國家標(biāo)準(zhǔn)局（NBS）制定一個密碼標(biāo)準(zhǔn)的要求而開發(fā)的。它最初被非機(jī)密聯(lián)邦政府部門所采用，于1978年1月15日生效。其后每隔五年，就對它進(jìn)行一次復(fù)審。1993年，確認(rèn)了DES可作為財經(jīng)和鑒別之用 第15頁，共61頁。DES DES采用分組密碼機(jī)制，它對固定長度的分組進(jìn)行操作，即將64位的明文分組映射為64位的密文分組，反之亦然。DES的密鑰長度為64位，其中包括8位很少使用的奇偶校驗(yàn)位。DES加密是通過一系列復(fù)雜的排列和替換而實(shí)現(xiàn)

7、的，然后將操作的結(jié)果與輸入相異或。該過程重復(fù)16次，每次都使用密鑰位的不同位序。 第16頁，共61頁。DES（2）一般在實(shí)際加密過程中，把一次DES過程用作最基本的操作，然后采用一些操作模式來實(shí)現(xiàn)對報文的加密 ：（1）電子碼本模式（2） 密碼分組鏈模式第17頁，共61頁。公開密鑰密碼學(xué)與RSA加密算法 在傳統(tǒng)密碼系統(tǒng)中，通信雙方在開始通信之前必須共享同一秘密密鑰。 公開密鑰(public key，簡稱公鑰)或非對稱密碼系統(tǒng)提供了一個不同的解決方案。在這種系統(tǒng)中，KK1。而且，給定加密密鑰K，不可能求出解密密鑰K1。第18頁，共61頁。RSA 最經(jīng)典的公鑰密碼系統(tǒng)是RSA 。取名RSA是由于它的

8、發(fā)明者是Ronald Rivest、Adi Shamir和Leonard Adleman。 第19頁，共61頁。RSA（2）選擇兩個大素數(shù)p和q，每個數(shù)都應(yīng)至少幾百位長。令n=pq。選擇一個與(p 1 ) (q1 )互素的隨機(jī)整數(shù)d以及e，使得：e d 1 ( mod ( p1) ( q1 ) )即，用(p1 ) (q1 )去整除e d，余數(shù)為1?，F(xiàn)在用這一對(e，n)表示公鑰，另一對(d，n)表示私鑰。通過求冪并對n求模，加密明文P: 第20頁，共61頁。RSA（2）（續(xù)）C Pe(mod n)解密使用同樣的操作，d作為指數(shù)：P Cd(mod n) (Pe)d(mod n) Pe d (mo

9、d n) P(mod n)至今，還沒有不通過n的分解而直接從e恢復(fù)d的方法。而分解n被認(rèn)為是一個數(shù)學(xué)難題。第21頁，共61頁。數(shù)字簽名 通常，報文的源信息至少與它的內(nèi)容一樣重要。數(shù)字簽名(digital signature)可用來確認(rèn)一個報文的源。與公鑰密碼系統(tǒng)類似，數(shù)字簽名使用公鑰和私鑰對。報文的發(fā)送者用私鑰進(jìn)行簽名，該簽名能由公鑰驗(yàn)證。數(shù)字簽名系統(tǒng)可以不提供機(jī)密性。事實(shí)上，許多系統(tǒng)均不提供機(jī)密性。然而，RSA密碼系統(tǒng)卻可以。第22頁，共61頁。安全散列函數(shù) 對整個報文實(shí)施加密通常是不切實(shí)際的。對于大的數(shù)據(jù)分組的使用，像RSA這樣的函數(shù)可能也太昂貴了。在這種情況下，可以采用安全散列函數(shù)。著名

10、的散列函數(shù)有MD2、MD5等 第23頁，共61頁。時間戳 利用安全散列函數(shù)可以實(shí)現(xiàn)數(shù)字時間戳(digital timestamp)服務(wù)。加蓋時間戳的報文被鏈接在一起。前一個時間戳的散列值被用于構(gòu)建后一個時間戳的散列。為了確保時間戳的安全，用戶不必公開文檔內(nèi)容，而只需公布該文檔的一個散列值就足夠了。這樣既保證了文檔的機(jī)密性，又能證明在一個指定時間此文檔是存在的。第24頁，共61頁。8.2.2 數(shù)據(jù)鏈路層加密顧名思義，這種形式的加密是為了保護(hù)一個單獨(dú)的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是它非常強(qiáng)有力，因?yàn)?對一定類型的硬件)整個數(shù)據(jù)包是加密的，包括源地址和目的地址。 鏈路加密有一個嚴(yán)重的弱點(diǎn)：它一次只

11、能保護(hù)一個鏈路。報文在通過其他鏈路的時候，仍然會暴露。即使它們也被加密器保護(hù)起來，報文在交換節(jié)點(diǎn)仍容易受到傷害。 第25頁，共61頁。8.2.3 網(wǎng)絡(luò)層和傳輸層加密網(wǎng)絡(luò)層安全協(xié)議(NLSP )和傳輸層安全協(xié)議(TLSP) 傳輸層第26頁，共61頁。8.2.3 網(wǎng)絡(luò)層和傳輸層加密（2）網(wǎng)絡(luò)層第27頁，共61頁。8.2.4 應(yīng)用層加密在應(yīng)用層實(shí)施加密是最具強(qiáng)制性的選擇。它也是最具靈活性的，因?yàn)楸Ｗo(hù)的范圍和力度可以裁剪到滿足某一應(yīng)用的特定需要。第28頁，共61頁。8.3 防火墻技術(shù) 8.3.1 概述 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪

12、問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。 第29頁，共61頁。防火墻基本功能過濾進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包； 管理進(jìn)出內(nèi)部網(wǎng)絡(luò)的訪問行為； 阻擋被禁止的訪問； 記錄通過防火墻的信息內(nèi)容和活動； 對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。 第30頁，共61頁。832防火墻的體系結(jié)構(gòu)分組過濾防火墻雙宿網(wǎng)關(guān)防火墻 屏蔽主機(jī)防火墻 屏蔽子網(wǎng)防火墻 第31頁，共61頁。8.3.3 防火墻的技術(shù)類型分組過濾型 分組過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。 分組過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用，實(shí)現(xiàn)成本較低。在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 第32頁，共61

13、頁。8.3.3 防火墻的技術(shù)類型（2）網(wǎng)絡(luò)地址轉(zhuǎn)化（NAT）型：是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。 代理型 ：代理型防火墻也可以被稱為代理服務(wù)器。它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。 監(jiān)測型 ：監(jiān)測型防火墻是新一代的產(chǎn)品。 第33頁，共61頁。8.4 入侵檢測技術(shù)8.4.1 概述 入侵指的是試圖破壞計算機(jī)保密性，完整性，可用性或可控性的一系列活動。入侵活動包括非授權(quán)用戶試圖存取數(shù)據(jù)，處理數(shù)據(jù)，或者妨礙計算機(jī)的正常運(yùn)行。入侵檢測是指對入侵行為的發(fā)覺。 第34頁，共61頁。入侵檢測的技術(shù)分類異常檢測型：指能夠根據(jù)異常行為和使用計算機(jī)資源情況檢測出來的入

14、侵。異常檢測試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的、潛在的入侵性行為。誤用檢測型 ：指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來檢測入侵。 第35頁，共61頁。入侵檢測的技術(shù)分類（2） 同步技術(shù)上分：實(shí)時入侵檢測 事后入侵檢測 第36頁，共61頁。入侵檢測的技術(shù)分類（3） 從系統(tǒng)結(jié)構(gòu)上分 基于主機(jī)型 基于網(wǎng)絡(luò)型 基于主體型 第37頁，共61頁。8.4.2 常見的入侵方法和手段 入侵者之所以能夠?qū)ο到y(tǒng)和網(wǎng)絡(luò)進(jìn)行攻擊，是因?yàn)槲覀兊南到y(tǒng)（軟件、硬件、協(xié)議、應(yīng)用等）在設(shè)計或?qū)崿F(xiàn)上不夠完善，存在缺陷、錯誤和疏漏，以至被攻擊者所利用。漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議等在設(shè)計上、實(shí)現(xiàn)上出現(xiàn)

15、的可以被攻擊者利用的錯誤、缺陷和疏漏。 第38頁，共61頁。緩沖區(qū)溢出攻擊 由于計算機(jī)程序的編寫者寫了一些編碼，但是這些編碼沒有對目的區(qū)域或緩沖區(qū)做適當(dāng)?shù)臋z查，結(jié)果可能造成緩沖區(qū)溢出的產(chǎn)生。 主要是通過利用程序設(shè)計上的疏漏，如不執(zhí)行數(shù)組邊界檢查和類型安全檢查，以不安全的方式訪問或復(fù)制緩沖區(qū)等，故意輸入錯誤地數(shù)據(jù)，錯誤地使用程序，使得系統(tǒng)為程序變量、數(shù)組、指針等分配的緩沖區(qū)出現(xiàn)溢出錯誤，從而使得系統(tǒng)崩潰或使自己獲得超級用戶的權(quán)限。 第39頁，共61頁。拒絕服務(wù)攻擊 拒絕服務(wù)攻擊也稱為DOS攻擊（Deny Of Service），是入侵者使用很多的一種攻擊。它通過搶占目標(biāo)主機(jī)系統(tǒng)資源，使得系統(tǒng)過載

16、或崩潰，從而達(dá)到阻止合法用戶使用系統(tǒng)的目的。 典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過載。 第40頁，共61頁。WEB攻擊 這類攻擊是利用CGI、WEB服務(wù)器、WEB瀏覽器中存在的安全漏洞，達(dá)到損害系統(tǒng)安全，使得系統(tǒng)崩潰的目的。比如Microsoft IIS CGI文件名錯誤解碼攻擊，這是微軟IIS 4.0/5.0在處理CGI程序文件名時存在一個安全漏洞。由于錯誤地對文件名進(jìn)行了兩次解碼，攻擊者可能利用這個漏洞執(zhí)行任意系統(tǒng)命令。第41頁，共61頁。木馬攻擊 特洛伊木馬是一個程序，它駐留在目標(biāo)計算機(jī)里，可以隨計算機(jī)自動啟動并在某一端口進(jìn)行偵聽，在對接收的數(shù)據(jù)識別后，對目標(biāo)計算機(jī)執(zhí)行特定

17、的操作。木馬，其實(shí)質(zhì)只是一個通過端口進(jìn)行通信的網(wǎng)絡(luò)客戶/服務(wù)程序。第42頁，共61頁。計算機(jī)病毒攻擊 病毒是一種軟件，它可以感染您的系統(tǒng)并將自己隱藏在現(xiàn)有的程序、系統(tǒng)或文檔中。一旦執(zhí)行了受感染的項目，病毒代碼就被激活，并將自己發(fā)送給系統(tǒng)中的其它程序。受感染的項目又將病毒復(fù)制給其它項目。這類攻擊主要是使用可以瘋狂的自我復(fù)制的病毒（如蠕蟲病毒），使系統(tǒng)和網(wǎng)絡(luò)資源很快耗盡，從而達(dá)到使系統(tǒng)崩潰和網(wǎng)絡(luò)癱瘓的目的。 第43頁，共61頁。對郵件系統(tǒng)攻擊 一些攻擊方法是專門針對郵件系統(tǒng)的。這種方式一般是采用電子郵件炸彈(E-mail Bomb)，是黑客常用的一種攻擊手段。指的是用偽造的IP地址和電子郵件地址向

18、同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的惡意郵件，也可稱之為大容量的垃圾郵件。第44頁，共61頁。對數(shù)據(jù)庫系統(tǒng)的攻擊 對數(shù)據(jù)庫系統(tǒng)的攻擊，根據(jù)數(shù)據(jù)庫系統(tǒng)的不同而不同，尤其對微軟的SQL SERVER數(shù)據(jù)庫和甲骨文的Oracle數(shù)據(jù)庫的攻擊最為常見。其他數(shù)據(jù)庫系統(tǒng)，也因各自在系統(tǒng)設(shè)計上的疏漏而受到攻擊。第45頁，共61頁。8.4.3 常用的入侵檢測技術(shù)入侵檢測技術(shù)是一種主動保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、入侵識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 第46頁，共61頁。統(tǒng)計方法 異常

19、檢測就是假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。 統(tǒng)計方法就是用于異常檢測。這是一種基于用戶行為概率統(tǒng)計模型的入侵檢測技術(shù)，這種入侵檢測方法是基于對用戶正常的行為進(jìn)行建模的基礎(chǔ)上進(jìn)行的。 第47頁，共61頁。神經(jīng)網(wǎng)絡(luò) 神經(jīng)網(wǎng)絡(luò)技術(shù)也用于異常檢測。該技術(shù)對于用戶行為具有學(xué)習(xí)和自適應(yīng)性，能夠根據(jù)實(shí)際檢測到的信息有效地加以處理并做出判斷，這樣就有效地避免了統(tǒng)計方法檢測的缺點(diǎn)。第48頁，共61頁。模式匹配 模式匹配技術(shù)假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法

20、發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式，把真正的入侵與正常行為區(qū)分開來。模式發(fā)現(xiàn)的優(yōu)點(diǎn)是誤報少，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。 第49頁，共61頁。協(xié)議分析 協(xié)議分析是利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。其目的是對協(xié)議進(jìn)行解析，幫助管理員發(fā)現(xiàn)可能的危險事件。如FTP口令解析，Emall主題解析等。第50頁，共61頁。狀態(tài)檢測 每個網(wǎng)絡(luò)連接包括以下信息：源地址、目的地址、源端口和目的端口，叫作套接字(socket pairs)；對協(xié)議類型、連接狀態(tài)(TCP協(xié)議)和超時時間等，這些信息叫作狀態(tài)(stateful)。網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測每個連接的狀態(tài)，它在自己的內(nèi)存中維護(hù)一個跟蹤連接狀態(tài)的表，以此為輔助，提高入侵檢測系統(tǒng)的安全性。第51頁，共61頁。代理和移動代理技術(shù) 所謂代理是指在特定環(huán)境中能夠連續(xù)并自主地工作的軟件實(shí)體，它隨外界條件的改變而靈活、智能地適應(yīng)環(huán)境。實(shí)際上，代理就是在主機(jī)上能獨(dú)立完成一定檢測功能的軟件單元。 第52頁，共61頁。攻擊樹 使用攻擊