計(jì)算機(jī)網(wǎng)絡(luò)安全課程

計(jì)算機(jī)網(wǎng)絡(luò)(第3版)吳功宜編著·普通高等教育精品教材

·普通高等教育“十一五”國家級規(guī)劃教材

第9章網(wǎng)絡(luò)安全本章學(xué)習(xí)要求：了解：網(wǎng)絡(luò)安全的重要性與研究的主要內(nèi)容。了解：當(dāng)前網(wǎng)絡(luò)安全形勢的變化。理解：密碼體制基本概念及其在網(wǎng)絡(luò)安全中的應(yīng)用。掌握：網(wǎng)絡(luò)安全協(xié)議的概念及應(yīng)用。掌握：防火墻的概念及應(yīng)用。掌握：入侵檢測的基本概念與方法。掌握：網(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)基本概念與方法。理解：惡意代碼與網(wǎng)絡(luò)病毒防治的基本概念與方法。3本章知識點(diǎn)結(jié)構(gòu)49.1網(wǎng)絡(luò)安全的基本概念9.1.1網(wǎng)絡(luò)安全重要性與特點(diǎn)網(wǎng)絡(luò)安全是網(wǎng)絡(luò)技術(shù)研究中一個永恒的主題網(wǎng)絡(luò)安全是一個系統(tǒng)的社會工程趨利性是當(dāng)前網(wǎng)絡(luò)攻擊的主要動機(jī)網(wǎng)絡(luò)安全關(guān)乎國家安全與社會穩(wěn)定59.1.2網(wǎng)絡(luò)安全服務(wù)功能與法律法規(guī)網(wǎng)絡(luò)安全服務(wù)的基本功能:可用性機(jī)密性完整性不可否認(rèn)性可控性69.1.3網(wǎng)絡(luò)安全威脅的發(fā)展趨勢

惡意代碼保持快速增長的勢頭對移動終端設(shè)備攻擊的威脅快速上升針對應(yīng)用軟件漏洞的攻擊更為突出針對搜索引擎的攻擊呈快速上升趨勢假冒軟件的攻擊將轉(zhuǎn)變攻擊方式利用社交網(wǎng)絡(luò)、高仿網(wǎng)站與釣魚欺詐發(fā)起攻擊僵尸網(wǎng)絡(luò)將會出現(xiàn)新的變種垃圾郵件正在變換新的活動方式79.1.4網(wǎng)絡(luò)安全研究的主要問題信息被攻擊的4種基本類型8可能存在的網(wǎng)絡(luò)攻擊與威脅99.1.5網(wǎng)絡(luò)攻擊的主要類型漏洞攻擊欺騙攻擊

DoS與DDoS對防火墻的攻擊惡意軟件與病毒攻擊10DDoS攻擊過程示示意圖119.2加密與認(rèn)證證技術(shù)9.2.1密碼算法與與密碼體制制的基本概概念加密與解密密過程示意意圖12易位密碼方方法原理示示意圖13密鑰長度與與密鑰個數(shù)數(shù)14密鑰長度（bit）組合個數(shù)40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×10389.2.2對稱密碼體系系對稱加密的工工作原理159.2.3非對稱密碼體體系非對稱加密的的工作原理169.2.4公鑰基礎(chǔ)設(shè)施施PKIPKI工作原理示意意圖179.2.5數(shù)字簽名技術(shù)術(shù)數(shù)字簽名的工工作原理示意意圖189.2.6身份認(rèn)證技術(shù)術(shù)的發(fā)展所知：個人所掌握的的密碼、口令令所有：個人的身份證證、護(hù)照、信信用卡、鑰匙匙個人特征：人的指紋、聲聲音、筆跡、、手型、臉型、血型、視視網(wǎng)膜、虹膜膜、DNA，以及個人動作作方面的特征征根據(jù)安全要求求和用戶可接接受的程度，，以及成本等等因素，可以以選擇適當(dāng)?shù)牡慕M合，來設(shè)設(shè)計(jì)一個自動動身份認(rèn)證系系統(tǒng)。199.3網(wǎng)絡(luò)安全協(xié)議議9.3.1網(wǎng)絡(luò)安全協(xié)議議的基本概念念網(wǎng)絡(luò)安全協(xié)議議設(shè)計(jì)的要求求是實(shí)現(xiàn)協(xié)議議執(zhí)行過程中中的認(rèn)證性、、機(jī)密性、完完整性與不可可否認(rèn)性。網(wǎng)絡(luò)安全協(xié)議議的研究與標(biāo)標(biāo)準(zhǔn)的制定涉涉及網(wǎng)絡(luò)層、、傳輸層與應(yīng)應(yīng)用層。209.3.2網(wǎng)絡(luò)層安全與與IPSec協(xié)議、IPSecVPNIPSec安全體系結(jié)構(gòu)構(gòu)IPSec的安全服務(wù)是是在IP層提供的。IPSec安全體系主要要是由：認(rèn)證證頭協(xié)議、封封裝安全載荷荷協(xié)議與Internet密鑰交換協(xié)議議等組成。認(rèn)證頭協(xié)議用用于增強(qiáng)IP協(xié)議的安全性性，提供對IP分組源認(rèn)證、、IP分組數(shù)據(jù)傳輸輸完整性與防防重放攻擊的的安全服務(wù)。。封裝安全載荷荷協(xié)議提供對對IP分組源認(rèn)證、、IP分組數(shù)據(jù)完整整性、秘密性性與防重放攻攻擊的安全服服務(wù)。Internet密鑰交換協(xié)議議用于協(xié)商AH協(xié)議與ESP協(xié)議所使用的的密碼算法與與密鑰管理體體制。IPSec對于IPv4是可選的，而而是IPv6基本的組成部部分。21AH協(xié)議基本工作作原理傳輸模式的AH協(xié)議原理示意意圖22隧道模式ESP工作原理示意意圖239.3.4傳輸層安全與與SSL、TLP協(xié)議SSL協(xié)議在層次結(jié)結(jié)構(gòu)中的位置置249.3.4應(yīng)用層安全與與PGP、SET協(xié)議數(shù)字信封工作作原理示意圖圖25SET結(jié)構(gòu)示意圖269.4防火墻技術(shù)9.4.1防火墻的基本本概念防火墻的位置置與作用279.4.2包過濾路由器器包過濾路由器器的結(jié)構(gòu)28包過濾的工作作流程29包過濾路由器器作為防火墻墻的結(jié)構(gòu)30包過濾規(guī)則表表319.4.3應(yīng)用級網(wǎng)關(guān)的的概念典型的多歸屬屬主機(jī)結(jié)構(gòu)示示意圖32應(yīng)用級網(wǎng)關(guān)原原理示意圖33應(yīng)用代理工作作原理示意圖圖349.4.4防火墻的系統(tǒng)統(tǒng)結(jié)構(gòu)應(yīng)用級網(wǎng)關(guān)結(jié)結(jié)構(gòu)示意圖35采用S-B1配置的防火墻墻系統(tǒng)結(jié)構(gòu)36包過濾路由器器的轉(zhuǎn)發(fā)過程程37S-B1配置的防火墻墻系統(tǒng)層次結(jié)結(jié)構(gòu)示意圖38S-B1-S-B1配置的防火墻墻系統(tǒng)結(jié)構(gòu)示示意圖399.4.5防火墻報文過過濾規(guī)則制定定方法用防火墻保護(hù)護(hù)的內(nèi)部網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)示意圖圖40ICMP報文過濾規(guī)則則41對Web訪問的報文過過濾規(guī)則42對FTP訪問報文的過過濾規(guī)則43E-Mail服務(wù)的報文過過濾規(guī)則449.5入侵檢測技術(shù)術(shù)9.5.1入侵檢測的基基本概念入侵檢測系統(tǒng)統(tǒng)（IDS）是對計(jì)算機(jī)機(jī)和網(wǎng)絡(luò)資源源的惡意使用用行為進(jìn)行識識別的系統(tǒng)。。它的目的是監(jiān)監(jiān)測和發(fā)現(xiàn)可可能存在的攻攻擊行為，包包括來自系統(tǒng)統(tǒng)外部的入侵侵行為和來自自內(nèi)部用戶的的非授權(quán)行為為，并采取相相應(yīng)的防護(hù)手手段。45入侵檢測系統(tǒng)統(tǒng)的基本功能能主要有：監(jiān)控、分析用用戶和系統(tǒng)的的行為檢查系統(tǒng)的配配置和漏洞評估重要的系系統(tǒng)和數(shù)據(jù)文文件的完整性性對異常行為的的統(tǒng)計(jì)分析，，識別攻擊類類型，并向網(wǎng)網(wǎng)絡(luò)管理人員員報警對操作系統(tǒng)進(jìn)進(jìn)行審計(jì)、跟跟蹤管理，識識別違反授權(quán)權(quán)的用戶活動動46入侵檢測系統(tǒng)統(tǒng)IDS的通用框架結(jié)結(jié)構(gòu)479.5.2入侵檢測的基基本方法基于主機(jī)的入入侵檢測系統(tǒng)統(tǒng)的基本結(jié)構(gòu)構(gòu)48基于網(wǎng)絡(luò)的入入侵檢測系統(tǒng)統(tǒng)的基本結(jié)構(gòu)構(gòu)499.5.3蜜罐技術(shù)的基基本概念蜜罐（honeypot）是一個包含含漏洞的誘騙騙系統(tǒng)，通過過模擬一個主主機(jī)、服務(wù)器器或其他網(wǎng)絡(luò)絡(luò)設(shè)備，給攻攻擊者提供一一個容易攻擊擊的目標(biāo)，用用來被攻擊和和攻陷。設(shè)計(jì)蜜罐系統(tǒng)統(tǒng)希望達(dá)到以以下三個主要目的：：—轉(zhuǎn)移網(wǎng)絡(luò)攻擊擊者對有價值值的資源的注注意力，保護(hù)護(hù)網(wǎng)絡(luò)中有價值的資源源。—通過對攻擊者者的攻擊目標(biāo)標(biāo)、企圖、行行為與破壞方方式等數(shù)據(jù)的收集集、分析，了了解網(wǎng)絡(luò)安全全狀態(tài)，研究究相應(yīng)的對策?！獙θ肭终叩男行袨楹筒僮鬟^過程進(jìn)行記錄錄，為起訴入入侵者搜集有用的的證據(jù)。509.6網(wǎng)絡(luò)業(yè)務(wù)持續(xù)續(xù)性規(guī)劃技術(shù)術(shù)9.6.1網(wǎng)絡(luò)文件備份份與恢復(fù)的重重要性網(wǎng)絡(luò)文件備份份恢復(fù)屬于日日常網(wǎng)絡(luò)與信信息系統(tǒng)維護(hù)護(hù)的范疇，而而業(yè)務(wù)持續(xù)性性規(guī)劃涉及對對突發(fā)事件對對網(wǎng)絡(luò)與信息息系統(tǒng)影響的的預(yù)防技術(shù)。。由于自然災(zāi)害害與人為的破破壞，造成網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施施的破壞，將將導(dǎo)致信息系系統(tǒng)業(yè)務(wù)流程程的非計(jì)劃性性中斷。網(wǎng)絡(luò)業(yè)務(wù)持續(xù)續(xù)性規(guī)劃技術(shù)術(shù)針對可能出出現(xiàn)的突發(fā)事事件，提前做做好預(yù)防突發(fā)發(fā)事件出現(xiàn)造造成重大后果果的預(yù)案，控控制突發(fā)事件件對網(wǎng)絡(luò)信息息系統(tǒng)關(guān)鍵業(yè)業(yè)務(wù)流程所造造成的影響。。519.6.2業(yè)務(wù)持續(xù)性規(guī)規(guī)劃技術(shù)研究究業(yè)務(wù)持續(xù)性規(guī)規(guī)劃技術(shù)包括括的基本內(nèi)容容：規(guī)劃的方法學(xué)學(xué)問題風(fēng)險分析方法法數(shù)據(jù)恢復(fù)規(guī)劃劃529.7惡意代碼與網(wǎng)網(wǎng)絡(luò)防病毒技技術(shù)9.7.1惡意代碼的定定義與演變過過程惡意傳播代碼碼（MMC）也稱作“惡惡意代碼”或或“惡意程序序”。惡意代碼是指指：能夠從一一臺計(jì)算機(jī)傳傳播到另一臺臺計(jì)算機(jī)，從從一個網(wǎng)絡(luò)傳傳播到一個網(wǎng)網(wǎng)絡(luò)的程序，，目的是在用用戶和網(wǎng)絡(luò)管管理員不知情情的情況下對對系統(tǒng)進(jìn)行故故意地修改。。惡意代碼具有有如下三個共共同的特征：：惡意的目的的、本身是程程序、通過執(zhí)執(zhí)行發(fā)生作用用。53惡意代碼發(fā)展展階段劃分：第一代：DOS病毒（1986年～1995年）第二代：宏病病毒（1995年～2000年）第三代：網(wǎng)絡(luò)絡(luò)蠕蟲病毒（（1999年～2004年）第四代：趨利利性惡意代碼碼（2005年～至今）549.7.2病毒的基本概概念病毒（viruses）程序名稱來來源類似于生生物學(xué)的病毒毒。病毒是指指一段程序代代碼，通過對對其他程序進(jìn)進(jìn)行修改，感感染這些程序序，使之成為為含有該病毒毒程序的一個個拷貝。一般病毒具有有兩種基本的的功能：—感染其他程序序—破壞程序或系系統(tǒng)的正常運(yùn)運(yùn)行，或植入入攻擊559.7.3蠕蟲的基本概概念蠕蟲是一種依依靠自復(fù)制能能力進(jìn)行傳播播的程序。蠕蟲可以利用用電子郵件、、聊天室等應(yīng)應(yīng)用程序進(jìn)行行傳播。蠕蟲蟲可可以以將將自自己己附附在在一一封封要要發(fā)發(fā)送送出出的的郵郵件件上上，，或或者者在在兩兩個個互互相相信信任任的的系系統(tǒng)統(tǒng)之之間間，，通通過過一一條條簡簡單單的的FTP命令令來來傳傳播播。。蠕蟲蟲一一般般不不寄寄生生在在其其他他文文件件或或引引導(dǎo)導(dǎo)區(qū)區(qū)中中。。569.7.4特洛洛伊伊木木馬馬的的基基本本概概念念特洛洛伊伊木木馬馬程程序序簡簡稱稱為為““木木馬馬程程序序””。。木馬馬程程序序是是專專為為欺欺騙騙用用戶戶，，讓讓用用戶戶以以為為它它是是友友好好程程序序而而設(shè)設(shè)計(jì)計(jì)的的。。木馬馬程程序序不不改改變變或或感感染染其其他他的的文文件件，，它它只只是是偽偽裝裝成成一一種種正正常常程程序序，，隨隨著著其其他他的的一一些些應(yīng)應(yīng)用用程程序序，，裝裝到到用用戶戶計(jì)計(jì)算算機(jī)機(jī)中中，，但但是是程程序序是是個個什什么么的的用用戶戶并并不不知知道道。。木馬馬程程序序不不具具備備自自我我復(fù)復(fù)制制與與傳傳播播能能力力，，而而是是以以偽偽裝裝的的欺欺騙騙手手段段誘誘使使用用戶戶去去激激活活木木馬馬程程序序。。木木馬程程序序可可以以遠(yuǎn)遠(yuǎn)程程操操控控遠(yuǎn)遠(yuǎn)程程計(jì)計(jì)算算機(jī)機(jī)，，下下載載、、安安裝裝其其他他惡惡意意代代碼碼，，竊竊取取用用戶戶信信息息，，刪刪除除數(shù)數(shù)據(jù)據(jù)和和破破壞壞系系統(tǒng)統(tǒng)。。很多多木木馬馬程程序序就就是是后后面面程程序序。。579.7.5垃圾圾郵郵件件的的基基本本概概念念垃圾圾郵郵件件的的定定義義：收件件人人事事先先沒沒有有提提出出要要求求或或者者不不同同意意接接收收的的廣廣告告、、電電子子刊刊物物、、各各種種形形式式的的宣宣傳傳品品等等宣宣傳傳性性的的電電子子郵郵件件。。收件件人人無無法法拒拒收收的的電電子子郵郵件件。。隱藏藏發(fā)發(fā)件件人人身身份份、、地地址址、、標(biāo)標(biāo)題題等等信信息息的的電電子子郵郵件件。。含有有虛虛假假的的信信息息源源、、發(fā)發(fā)件件人人、、路路由由等等信信息息的的電電子子郵郵件件。。58垃圾郵件件的危害害：垃圾郵件件的倉儲儲、傳輸輸占有了了大量的的網(wǎng)絡(luò)存存儲資源源與傳輸輸帶寬，，影響了了正常的的電子郵郵件服務(wù)務(wù)。垃圾郵件件的清理理需要耗耗費(fèi)用戶戶大量的的時間、、精力與與費(fèi)用，，大大地地降低了了電子郵郵件使用用效率與與信任度度。垃圾郵件件經(jīng)常包包含了大大量詐騙騙、色情情，甚至至是反動動的內(nèi)容容，對社社會形成成了危害害。垃圾郵件件常包含含了病毒毒、網(wǎng)絡(luò)絡(luò)釣魚鏈鏈接或掛掛馬網(wǎng)站站鏈接，，成為病病毒傳播播的重要要載體，，威脅互互聯(lián)網(wǎng)的的安全。。垃圾郵件件常常被被攻擊者者利用，，造成某某些電子子郵件服服務(wù)器的的癱瘓與與資源耗耗盡，嚴(yán)嚴(yán)重地影影響系統(tǒng)統(tǒng)的正常常運(yùn)行。。垃圾郵件件的泛濫濫嚴(yán)重地地影響著著ISP的服務(wù)質(zhì)質(zhì)量與形形象，甚甚至使它它們的IP地址因大大量轉(zhuǎn)發(fā)發(fā)垃圾郵件件而被封封殺。599、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。20:49:5420:49:5420:4912/29/20228:49:54PM11、以我獨(dú)沈沈久，愧君君相見頻。。。12月-2220:49:5420:49Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。20:49:5420:49:5420:49Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2220:49:5420:49:54December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。29十十二二月20228:49:54下下午20:49:5412月月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月228:49下下午午12月月-2220:49December29,202216、行動出成果果，工作出財(cái)財(cái)富。。2022/12/2920:49:5420:49:5429December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時時，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。8:49:54下下午8:49下下午午20:49:5412月月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Thursday,December29,202210、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒沒有。。20:49:5420:49:5420:4912/29/20228:49:54PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。12月月-2220:49:5420:49Dec-2229-Dec-2212、世間間成事事，不不求其其絕對對圓滿滿，留留一份份不足足，可可得無無限完完美。。。20:49:5420:49:5420:49Thursday,December29,202213、不知香香積寺，，數(shù)里入入云峰。。。12月-2212月-2220:49:5420:49:54December29,202214、意志堅(jiān)強(qiáng)強(qiáng)的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。29十二二月20228:49:54下下午20:49:5412月-2215、楚塞三湘接接，荊門九派派通。。。十二月228:49下下午12月-2220:49December29,202216、少年十五五二十時，，步行奪得得胡馬騎。。。2022/12/2920:49:5420:49:5429December202217、空山山新雨雨后，，天氣氣晚來來秋。。。8:49:54下下午8:49下下午午20:49:5412月月-229、楊柳散和和風(fēng)，青山山澹吾慮。。。12月-2212月-22Thursday,December29,202210、閱讀一切好好書如同和過過去最杰出的的