計算機網(wǎng)絡(luò)與通信8課件

Chapter8SafetyTechnologyofNetwork

該章主要介紹網(wǎng)絡(luò)安全技術(shù)。包括網(wǎng)絡(luò)安全基本內(nèi)容、網(wǎng)絡(luò)的安全威脅、網(wǎng)絡(luò)攻擊和防御方法、常用的加密技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)欺騙技術(shù)。目的是希望同學(xué)能夠了解網(wǎng)絡(luò)安全的基本知識，掌握網(wǎng)絡(luò)維護的基本內(nèi)容和方法。重點難點：網(wǎng)絡(luò)安全涉及的內(nèi)容；網(wǎng)絡(luò)安全的威脅；網(wǎng)絡(luò)攻擊的常用方法；網(wǎng)絡(luò)防御的方法；常用的加密技術(shù)；常用的防火墻技術(shù)；常用的網(wǎng)絡(luò)欺騙技術(shù)。8.1ViewofNetworksafety

8.1.1關(guān)于網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。8.1.2網(wǎng)絡(luò)安全涉及的內(nèi)容1．運行系統(tǒng)安全2．信息系統(tǒng)的安全3．信息傳播的安全

4．信息內(nèi)容的安全8.1.3信息系統(tǒng)對安全的基本需求1．保密性

2．完整性

3．可用性4．可控性

5．可核查性8.1.4網(wǎng)絡(luò)的安全威脅

見下圖8.2NetworkAttackingMethods

8.2.1密碼破解密碼是對抗攻擊的第一道防線。破解密碼的方法:第一種方法是猜測法。另一種方法是設(shè)法偷走密碼文件，然后通過密碼破解工具來破解這些加密的密碼。

8.2.2網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽工具原本是提供給管理員的一類管理工具，使用這種工具可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ＞W(wǎng)絡(luò)攻擊者用這種方法能夠很容易地獲取想要的密碼和其它信息。8.2.3拒絕服務(wù)攻擊

拒絕服務(wù)是指網(wǎng)絡(luò)攻擊者采用具有破壞性的方法阻塞目標(biāo)網(wǎng)絡(luò)的資源，從而使系統(tǒng)沒有剩余的資源給其他用戶使用，導(dǎo)致目標(biāo)機性能降低或失去服務(wù)，甚至使網(wǎng)絡(luò)暫時或永久性癱瘓。

1．SYNFlood攻擊

2．電子郵件炸彈

3．分布式拒絕服務(wù)攻擊8.2.4程序攻擊

程序攻擊指利用危險程序?qū)ο到y(tǒng)進行攻擊，從而達到控制或破壞系統(tǒng)的目的。危險程序主要包括病毒、特洛伊木馬、后門等。

1．病毒2．特洛伊木馬：BackOrifice，YAI，Netspy，NetBus，冰河等

3．后門：后門是指攻擊者為了不引起管理員的注意發(fā)展起來的能躲過日志，使自己重返被攻擊系統(tǒng)的技術(shù)。8.3DefenseMethodsofNetwork8.3.1加密技術(shù)加密措施是保護信息的最后防線，被公認(rèn)為是保護信息傳輸惟一實用的方法。對信息進行加密保護是在密鑰的控制下，通過密碼算法將敏感的機密明文數(shù)據(jù)變換成不可懂的密文數(shù)據(jù)，稱加密(Encryption)。

1．信息加密方式

信息加密分為信息的傳輸加密和信息的存儲加密兩種方式。（1）信息的傳輸加密

信息的傳輸加密是面向線路的加密措施，有鏈路加密、節(jié)點加密和端－端加密三種。（2）信息的存儲加密

信息的存儲加密是面向存儲介質(zhì)的技術(shù)，有數(shù)據(jù)庫加密和文件加密。

2．信息加密技術(shù)

（1）對稱密鑰加密機制——私有密鑰

DES加密過程動畫演示

基本過程：用56位密鑰對64位的數(shù)據(jù)塊進行16輪加密，每輪產(chǎn)生一個48位的“每輪”密鑰值，并參與下一輪的加密過程。特點：簡單，但用戶必須也只能讓接收人知道自己使用的密鑰，雙方必須共同保守密鑰，任何一方失誤均會導(dǎo)致密鑰的泄露。（2）非對稱密鑰加密機制——公開/私有密鑰非對稱密鑰加密機制使用相互關(guān)聯(lián)的一對密鑰。一個是公開密鑰，任何人都可知道；一個是私有密鑰，發(fā)送方用公開密鑰加密數(shù)據(jù)后發(fā)送，接收方用私有密鑰進行解密。反之依然。

典型的算法是RSA公鑰體制。8.3.3防火墻技術(shù)所謂防火墻（Firewall）是一個或一組系統(tǒng)，用在兩個或多個網(wǎng)絡(luò)間提供加強訪問控制。一般分為兩類：一類是基于包過濾型（Packet-Filter）的，另一類是基于代理服務(wù)型（Proxy-Service）的。

1．包過濾防火墻

（1）包過濾防火墻的基本原理包過濾防火墻動畫演示（2）包過濾器的檢查規(guī)則

?

包過濾規(guī)則必須存儲在包過濾設(shè)備端口上

?

當(dāng)包到達端口的時候，包報頭被進行語法分析。大多數(shù)包過濾器只檢查IP，TCP或UDP報頭中的字段

?

包過濾規(guī)則以特殊的方式存儲。應(yīng)用于包的規(guī)則的順序與包過濾規(guī)則存儲的順序相同

?

如果一條規(guī)則阻止包傳輸或接收，則此包便不被允許

?

如果一條規(guī)則允許包傳輸或接收，該包可以被繼續(xù)處理

?

如果一個包不被滿足任何一條規(guī)則，該包被阻塞（3）包過濾器檢查的內(nèi)容

包過濾器檢查的一般是下列幾項：

?

IP源地址。

?

IP目標(biāo)地址。

?

協(xié)議的類型（TCP包、UDP包、ICMP包）。

?

TCP或UDP的源端口。

?

TCP或UDP的目標(biāo)端口。

?

ICMP消息類型。

?

TCP報頭中的ACK位。

2．代理服務(wù)防火墻

代理服務(wù)防火墻使用了與包過濾器不同的方法。代理服務(wù)器使用一個客戶程序與特定的中間節(jié)點（防火墻）連接，然后中間節(jié)點與期望的服務(wù)器進行實際連接。與包過濾器所不同的是，內(nèi)部與外部網(wǎng)絡(luò)之間不存在直接連接。因此，即使防火墻發(fā)生了問題，外部網(wǎng)絡(luò)也無法獲得與被保護的網(wǎng)絡(luò)的連接。雙宿主主機防火墻、被屏蔽主機、堡壘主機、被屏蔽子網(wǎng)等均屬于代理型防火墻。（1）雙宿主主機型防火墻

雙宿主主機型防火墻由具有兩個網(wǎng)絡(luò)接口的雙宿主主機構(gòu)成。每一個接口都連接在物理和邏輯上分離的不同的網(wǎng)段，代理服務(wù)器軟件在雙宿主主機上運行。這種防火墻的結(jié)構(gòu)如圖所示。（2）被屏蔽主機型防火墻

被屏蔽主機型防火墻由一臺僅與內(nèi)部網(wǎng)絡(luò)相連的主機和一臺單獨的過濾路由器構(gòu)成。其中與內(nèi)部網(wǎng)絡(luò)相連的主機用于提供安全控制功能，通常稱其為堡壘主機。而過濾路由器負(fù)責(zé)將所有到達路由器的數(shù)據(jù)包都發(fā)送到被屏蔽主機。被屏蔽主機型防火墻結(jié)構(gòu)演示習(xí)題

1網(wǎng)絡(luò)安全的含義是什么？

2