《網(wǎng)絡(luò)安全防護(hù)技術(shù)》教學(xué)1課件

6.2網(wǎng)絡(luò)安全防護(hù)技術(shù)網(wǎng)絡(luò)信息安全概述網(wǎng)絡(luò)面臨的安全威脅計(jì)算機(jī)網(wǎng)絡(luò)通信面臨的四種威脅：（1）截獲（Interception）攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。（2）中斷（Interruption）攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。網(wǎng)絡(luò)信息安全概述（3）篡改（Modification）攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。（4）偽造（Fabrication）攻擊者偽造信息在網(wǎng)絡(luò)上傳送。網(wǎng)絡(luò)面臨的安全威脅網(wǎng)絡(luò)信息安全概述安全威脅可以分為兩大類：主動(dòng)攻擊：更改信息和拒絕用戶使用資源的攻擊。（如2,3,4）被動(dòng)攻擊：截獲信息的攻擊（如1）。防火墻技術(shù)概述

防火墻是一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，是由軟件和硬件構(gòu)成，用來在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用。一般都將防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。

防火墻技術(shù)防火墻的實(shí)現(xiàn)

防火墻系統(tǒng)往往由包過濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組合而成，由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。防火墻技術(shù)1.包過濾路由器（1）包過濾基本概念包過濾路由器示意圖包過濾流程圖防火墻技術(shù)（3）包過濾方法的優(yōu)缺點(diǎn)分析優(yōu)點(diǎn)：1）結(jié)構(gòu)簡(jiǎn)單，便于管理，造價(jià)低。2）由于操作在網(wǎng)絡(luò)層和傳輸層進(jìn)行，所以對(duì)應(yīng)用層透明。缺點(diǎn)：1）在路由器中配置包過濾規(guī)則比較困難。2）只能控制到主機(jī)一級(jí)，不涉及包的內(nèi)容與用戶一級(jí)，有局限性。防火墻技術(shù)2.應(yīng)用級(jí)網(wǎng)關(guān)（1）多歸屬主機(jī)多歸屬主機(jī)又稱為多宿主主機(jī)，它是具有多個(gè)網(wǎng)絡(luò)接口卡的主機(jī)，其結(jié)構(gòu)如圖所示。如果將多歸屬主機(jī)用在應(yīng)用層的用戶身份認(rèn)證與服務(wù)請(qǐng)求合法性檢查上，那么這一類可以起到防火墻作用的多歸屬主機(jī)就叫做應(yīng)用級(jí)網(wǎng)關(guān)，或應(yīng)用網(wǎng)關(guān)。多歸屬主機(jī)結(jié)構(gòu)示意圖防火墻技術(shù)（2）應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)原理示意圖

如果多歸屬主機(jī)連接了兩個(gè)網(wǎng)絡(luò)，那么它可以叫做雙歸屬主機(jī)（dual-homedhost）。雙歸屬主機(jī)可以用在網(wǎng)絡(luò)安全與網(wǎng)絡(luò)服務(wù)的代理上。防火墻技術(shù)（3）應(yīng)用代理

應(yīng)用代理的基本工作原理認(rèn)證技術(shù)數(shù)據(jù)加密可以防止信息在傳輸過程中被截獲，但是如何確定發(fā)送人的身份問題，就需要使用數(shù)字簽名技術(shù)來解決。1、數(shù)字簽名的基本概念數(shù)字簽名將信息發(fā)送人的身份與信息傳送結(jié)合起來，可以保證信息在傳輸過程中的完整性，并提供信息發(fā)送者的身份認(rèn)證，以防止信息發(fā)送者抵賴行為的發(fā)生。認(rèn)證技術(shù)（4）接收方使用與發(fā)送方相同的單向散列函數(shù)，對(duì)收到的信息進(jìn)行運(yùn)算，重新生成信息摘要；（5）接收方使用發(fā)送方的公鑰對(duì)接收的信息摘要解密；（6）將解密的信息摘要與重新生成的信息摘要進(jìn)行比較，以判斷信息在發(fā)送過程中是否被篡改過。認(rèn)證技術(shù)數(shù)字簽名的工作原理示意圖加密技術(shù)

密碼技術(shù)是保證網(wǎng)絡(luò)與信息安全的核心技術(shù)之一。密碼學(xué)包括密碼編碼學(xué)與密碼分析學(xué)。密碼體制的設(shè)計(jì)是密碼學(xué)研究的主要內(nèi)容。人們利用加密算法和一個(gè)秘密的值（稱為密鑰）來對(duì)信息編碼進(jìn)行隱蔽，而密碼分析學(xué)試圖破譯算法和密鑰。兩者相互對(duì)立，又互相促進(jìn)地向前發(fā)展。加密技術(shù)密碼學(xué)的基本概念1、加密算法與解密算法加密的基本思想是偽裝明文以隱蔽其真實(shí)內(nèi)容，即將明文偽裝成密文，如圖所示。偽裝明文的操作稱為加密，加密時(shí)所使用的信息變換規(guī)則稱為加密算法。由密文恢復(fù)出原明文的過程稱為解密。解密時(shí)所采用的信息變換規(guī)則稱作解密算法。加密和解密過程示意圖加密技術(shù)2、密鑰的作用加密算法和解密算法的操作通常都是在一組密鑰控制下進(jìn)行的。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對(duì)稱密碼體制。如果加密密鑰和解密密鑰不相同，則稱為非對(duì)稱密碼體制。密碼算法實(shí)際上很難做到絕對(duì)保密，因此現(xiàn)代密碼學(xué)的一個(gè)基本原則是：一切秘密寓于密鑰之中。在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開的，真正需要保密的是密鑰。加密技術(shù)3、什么是密文密文是明文和加密密鑰相結(jié)合，然后經(jīng)過加密算法運(yùn)算的結(jié)果。實(shí)際上，密文是含有一個(gè)參數(shù)k的數(shù)學(xué)變換，即C＝Ek（m）。其中，m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，參數(shù)k稱為密鑰。密文C是明文m使用密鑰k，經(jīng)過加密算法計(jì)算后的結(jié)果。加密技術(shù)對(duì)稱加密技術(shù)1、對(duì)稱加密的基本概念對(duì)稱加密技術(shù)對(duì)信息的加密與解密都使用相同的密鑰，因此又被稱為密鑰密碼技術(shù)。但密鑰的管理和傳送是必須注意解決的問題。對(duì)稱加密的原理示意圖加密技術(shù)2、典型的對(duì)稱加密算法數(shù)據(jù)加密標(biāo)準(zhǔn)（dataencryptionstandard，DES）是最典型的對(duì)稱加密算法，它是由IBM公司提出，經(jīng)過國(guó)際標(biāo)準(zhǔn)化組織認(rèn)定的數(shù)據(jù)加密的國(guó)際標(biāo)準(zhǔn)。DES算法是目前廣泛采用的對(duì)稱加密方式之一，主要用于銀行業(yè)中的電子資金轉(zhuǎn)賬領(lǐng)域。DES算法采用了64位密鑰長(zhǎng)度，其