課件第章網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程網(wǎng)絡(luò)安全及常見隱患N

網(wǎng)絡(luò)基礎(chǔ)目錄Contents了解網(wǎng)絡(luò)安全的概念熟悉網(wǎng)絡(luò)安全隱患的表現(xiàn)了解網(wǎng)絡(luò)攻擊的兩種方式學(xué)習(xí)目標(biāo)1什么是網(wǎng)絡(luò)安全2網(wǎng)絡(luò)安全隱患的表現(xiàn)3網(wǎng)絡(luò)攻擊方式什么是網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指通過采取各種技術(shù)與管理措施，使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)資源受到保護(hù)，不因一些不利因素影響而使這些資源遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠、正常的運(yùn)行。網(wǎng)絡(luò)安全可控性完整性可審查性機(jī)密性可用性網(wǎng)絡(luò)安全五個(gè)基本要素:網(wǎng)絡(luò)安全隱患網(wǎng)絡(luò)安全的隱患是指計(jì)算機(jī)或其他通信設(shè)備利用網(wǎng)絡(luò)進(jìn)行交互時(shí)可能會(huì)受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。計(jì)算機(jī)病毒利用協(xié)議及系統(tǒng)漏洞的攻擊行為網(wǎng)絡(luò)系統(tǒng)的脆弱性網(wǎng)絡(luò)安全隱患表現(xiàn)為:操作系統(tǒng)脆弱性數(shù)據(jù)庫(kù)系統(tǒng)的脆弱性網(wǎng)絡(luò)安全隱患網(wǎng)絡(luò)安全的隱患是指計(jì)算機(jī)或其他通信設(shè)備利用網(wǎng)絡(luò)進(jìn)行交互時(shí)可能會(huì)受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。計(jì)算機(jī)病毒利用協(xié)議及系統(tǒng)漏洞的攻擊行為網(wǎng)絡(luò)系統(tǒng)的脆弱性網(wǎng)絡(luò)安全隱患表現(xiàn)為:數(shù)據(jù)鏈路層：Mac欺騙、Mac泛洪、ARP欺騙、STP重定向網(wǎng)絡(luò)層：IP欺騙、報(bào)文分片、ICMP攻擊及路由攻擊傳輸層：SYNFlood攻擊應(yīng)用層：緩沖區(qū)溢出、漏洞、病毒及木馬網(wǎng)絡(luò)攻擊方式Internet用戶A用戶B被動(dòng)攻擊竊聽被動(dòng)攻擊方式網(wǎng)絡(luò)攻擊方式主動(dòng)攻擊方式Internet拒絕服務(wù)攻擊服務(wù)器主機(jī)主動(dòng)攻擊篡改計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程常見網(wǎng)絡(luò)攻擊方式防范N

網(wǎng)絡(luò)基礎(chǔ)目錄Contents了解常見網(wǎng)絡(luò)攻擊方式了解常見網(wǎng)絡(luò)攻擊防范方式學(xué)習(xí)目標(biāo)1常見網(wǎng)絡(luò)攻擊方式2網(wǎng)絡(luò)攻擊方式的防范常見網(wǎng)絡(luò)攻擊方式網(wǎng)絡(luò)攻擊方式數(shù)據(jù)嗅探非法使用信息篡改拒絕服務(wù)BUG和惡意代碼社會(huì)工程數(shù)據(jù)嗅探數(shù)據(jù)嗅探：攻擊者并不直接入侵目標(biāo)系統(tǒng)，而是通過竊聽網(wǎng)絡(luò)來獲取重要數(shù)據(jù)或信息。嗅探技術(shù)是黑客和網(wǎng)絡(luò)管理員最常用的工具和技術(shù)。嗅探方式主要操作方式常用軟件抓取報(bào)文（抓包）通過網(wǎng)絡(luò)監(jiān)聽非法獲取用戶信息，如明文傳輸?shù)挠脩裘?、密碼。抓包實(shí)際上是在以太網(wǎng)卡處于混雜狀態(tài)下通過專門的軟件實(shí)現(xiàn)對(duì)數(shù)據(jù)包的獲取過程，通常需要與端口鏡像、HUB、分光器、TAP（TestAccessPoint）等緊密配合。WireShark、OmniPeek掃描通過發(fā)送報(bào)文探測(cè)網(wǎng)絡(luò)中各種主機(jī)和服務(wù)的狀態(tài)，準(zhǔn)確的了解網(wǎng)絡(luò)中的資產(chǎn)和系統(tǒng)漏洞。一般分為端口掃描和漏洞掃描。NMAP（遠(yuǎn)程掃描工具）、Nessus（漏洞掃描工具）操作系統(tǒng)標(biāo)識(shí)通過BannerGrabbing獲取操作系統(tǒng)的各種信息，根據(jù)這些系統(tǒng)對(duì)包的回應(yīng)的差別，推斷出操作系統(tǒng)的種類。NMAP（遠(yuǎn)程掃描工具）電磁捕捉電磁捕捉通過捕捉屏幕、網(wǎng)線發(fā)出的電磁波，還原信息的嗅探手段，常用于攻擊軍事機(jī)構(gòu)?！獢?shù)據(jù)嗅探防范方式數(shù)據(jù)嗅探防范方式Internet服務(wù)器主機(jī)驗(yàn)證、反嗅探工具加密數(shù)據(jù)嗅探防范方式主要有：驗(yàn)證、改變網(wǎng)絡(luò)結(jié)構(gòu)、反嗅探工具、加密非法使用非法使用：指資源被未授權(quán)的用戶（非法用戶）或以未授權(quán)方式（非法權(quán)限）使用。

非法使用典型方式有電子欺騙、暴力攻擊、權(quán)限提升、系統(tǒng)重啟攻擊等

方式。Internet服務(wù)器Tom我是Jack只允許Jack登陸電子欺騙Internet服務(wù)器攻擊者接入從盤訪問系統(tǒng)重啟攻擊非法使用的防范方式過濾：使用訪問控制技術(shù)可以對(duì)非法IP進(jìn)行嚴(yán)格的控制。驗(yàn)證：采用非IP地址的方式強(qiáng)驗(yàn)證是防止基于非IP欺騙的最有效的技術(shù)，結(jié)合應(yīng)用權(quán)限控制，還可以為溯源提供依據(jù)。加密：對(duì)于針對(duì)密碼的攻擊方式，只要加密算法足夠“強(qiáng)壯”同時(shí)采用強(qiáng)密碼，任何攻擊都是沒有實(shí)效的。關(guān)閉服務(wù)和端口：服務(wù)和端口在為用戶提供支持平臺(tái)和接口時(shí)，也成為攻擊者的目標(biāo)，因此關(guān)閉不需要的服務(wù)和端口是非常有必要的。信息篡改信息篡改：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重

要信息，

其目的是取得有益于攻擊者的響應(yīng)。

如報(bào)文重放、會(huì)話劫持、篡改審計(jì)數(shù)據(jù)、主頁(yè)篡改等方式。Internet服務(wù)器攻擊者接入訪問用戶數(shù)據(jù)庫(kù)篡改用戶顯示錯(cuò)誤頁(yè)面主頁(yè)篡改這類攻擊防范的主要方式是數(shù)據(jù)加密。拒絕服務(wù)拒絕服務(wù)DoS（DenialofService）：是網(wǎng)絡(luò)上一種簡(jiǎn)單但十分有效的破壞性攻擊手段，通過發(fā)送大量攻擊報(bào)文導(dǎo)致網(wǎng)絡(luò)資源和帶寬被消耗，從而達(dá)到阻止合法用戶對(duì)資源的訪問?？蛻舳薟eb服務(wù)器InternetTCP連接第一次握手：客戶端發(fā)起連接請(qǐng)求第二次握手：服務(wù)端給予確認(rèn)，即請(qǐng)求被接受客戶端未返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端未確認(rèn)如果有大量未確認(rèn)的連接，會(huì)造成服務(wù)器不能正常提供服務(wù)SYNFlood攻擊原理拒絕服務(wù)的防范方式屏蔽IP：在服務(wù)器或路由器上用ACL屏蔽攻擊者IP后就可以有效的防范DoS的攻擊。協(xié)議防范：根據(jù)DoS攻擊每個(gè)協(xié)議的弱點(diǎn)進(jìn)行對(duì)應(yīng)的修復(fù)方法。

偵測(cè)：對(duì)DoS攻擊的偵測(cè)和區(qū)分是處理DoS攻擊的重要依據(jù)。當(dāng)發(fā)現(xiàn)有特大型的TCP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時(shí)都要注意。BUG和惡意代碼

BUG：是一個(gè)程序（代碼）的漏洞，它會(huì)產(chǎn)生一個(gè)隱藏的通道。很多情況下一個(gè)運(yùn)行在服務(wù)器的操作系統(tǒng)或程序都會(huì)出現(xiàn)這些問題，攻擊者經(jīng)常研究并充分利用它們。兩種常見的BUG：后門（Backdoor）、緩沖區(qū)溢出（BufferOverflow）。惡意代碼（Maliciouscode）：是攻擊設(shè)備、用戶、系統(tǒng)、網(wǎng)絡(luò)的軟件統(tǒng)稱。常見惡意代碼包括病毒、蠕蟲、木馬等。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程訪問控制N

網(wǎng)絡(luò)基礎(chǔ)目錄Contents了解什么是訪問控制及其作用熟悉訪問控制策略的幾種方式學(xué)習(xí)目標(biāo)1訪問控制作用2訪問控制策略的幾種方式訪問控制作用訪問控制：是策略和機(jī)制的集合，它允許對(duì)限定資源的授權(quán)訪問。它也可保護(hù)資源，防止那些無(wú)權(quán)訪問資源的用戶的惡意訪問或偶然訪問。訪問控制策略方式訪問控制策略：主要是根據(jù)用戶的身份及訪問權(quán)限決定其訪問操作，只要用戶身份被確認(rèn)后，即可根據(jù)訪問控制表上賦予該用戶的權(quán)限，進(jìn)行限制性地訪問。能力關(guān)系表訪問控制表訪問控制矩陣訪問控制策略的三種方式訪問控制矩陣（1）訪問控制矩陣（AccessContro1Matrix）訪問控制矩陣就是確保系統(tǒng)的操作是按照訪問控制矩陣授權(quán)的訪問來執(zhí)行，它是通過引用監(jiān)控器，來協(xié)調(diào)客體對(duì)主體的每次訪問，這種方法清晰的實(shí)現(xiàn)認(rèn)證與訪問控制的相互分離。

文件A文件B文件C用戶甲Own/R/WR/WR用戶乙ROwn/R/WR/W用戶丙R/WROwn/R/W訪問控制表（2）訪問控制表（ACL，AccessControlList）訪問控制表是以資源為中心建立訪問權(quán)限表。在訪問控制表中記錄了某文件被授權(quán)訪問的用戶名及訪問權(quán)的隸屬關(guān)系。通過查詢?cè)L問控制表，能夠很清晰準(zhǔn)確地查找出對(duì)于特定內(nèi)容的授權(quán)訪問，用戶可以訪問哪些內(nèi)容并有什么訪問權(quán)限。用戶甲OwnR/W

用戶乙R

用戶丙R/W

能力關(guān)系表（3）能力關(guān)系表（CapabilitiesLists）能力關(guān)系表與ACL相反，是以用戶為中心建立訪問權(quán)限表，表中規(guī)定了該用戶可訪問的文件名及訪問權(quán)限，利用能力關(guān)系表可以很方便查詢一個(gè)用戶的所有授權(quán)訪問。文件AOwnR/W

文件BR

文件CR/W

用戶甲的能力關(guān)系表計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程入侵檢測(cè)防御技術(shù)N

網(wǎng)絡(luò)基礎(chǔ)目錄Contents了解什么入侵檢測(cè)防御技術(shù)熟悉入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)及其區(qū)別學(xué)習(xí)目標(biāo)1入侵檢測(cè)防御技術(shù)2入侵檢測(cè)系統(tǒng)3入侵防御系統(tǒng)入侵檢測(cè)防御技術(shù)入侵檢測(cè)防御技術(shù)：指識(shí)別針對(duì)計(jì)算機(jī)或者網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的一種網(wǎng)絡(luò)技術(shù)。入侵檢測(cè)防御技術(shù)可以通過入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)實(shí)現(xiàn)。入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IDS，IntrusionDetectionSystem）就是對(duì)入侵行為的發(fā)覺，擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。Internet外部入侵IDS日志服務(wù)器防火墻內(nèi)部網(wǎng)絡(luò)LAN1LAN2……入侵防御系統(tǒng)入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）檢測(cè)是指針對(duì)檢測(cè)到的網(wǎng)絡(luò)中的攻擊進(jìn)行主動(dòng)防御，在IPS設(shè)備上對(duì)攻擊流進(jìn)行處理。Internet外部入侵IPS防火墻LAN1LAN2……IPS和IDS區(qū)別：兩者的部署方式不同，IDS為旁掛方式，對(duì)網(wǎng)絡(luò)影響比較小，而IPS采用直路的方式，加入了單點(diǎn)故障，同時(shí)IPS設(shè)備的性能對(duì)網(wǎng)絡(luò)也有比較大的影響。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程內(nèi)網(wǎng)安全解決方案N

網(wǎng)絡(luò)基礎(chǔ)目錄Contents理解內(nèi)網(wǎng)安全解決方案的三個(gè)方面：邊界安全、業(yè)務(wù)安全和終端安全學(xué)習(xí)目標(biāo)1邊界安全2業(yè)務(wù)安全3終端安全內(nèi)網(wǎng)安全解決方案內(nèi)網(wǎng)安全解決主要包含三個(gè)方面：邊界安全、業(yè)務(wù)安全、終端安全I(xiàn)nternetIDS深度檢測(cè)防火墻服務(wù)器外部用戶外網(wǎng)內(nèi)網(wǎng)VPN交換機(jī)交換機(jī)核心交換機(jī)策略控制VLAN10VLAN20終端安全邊界安全邊界安全邊界防御可以抵御大部分外網(wǎng)攻擊，而合理的網(wǎng)絡(luò)架構(gòu)是構(gòu)建邊界防御的前提條件。另外需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，要明確企業(yè)自己的內(nèi)網(wǎng)可能面臨哪些風(fēng)險(xiǎn)，現(xiàn)有條件下對(duì)這些風(fēng)險(xiǎn)的承受程度如何。（1）在網(wǎng)絡(luò)出口部署防火墻，入侵檢測(cè)設(shè)備，降低外網(wǎng)對(duì)內(nèi)網(wǎng)的安全威脅；（2）部署VPN，確保移動(dòng)用戶身份的合法性；（3）在內(nèi)部網(wǎng)絡(luò)中，將不同業(yè)務(wù)類型的用戶組劃分在不同的Vlan，在Vlan間訪問進(jìn)行訪問策略限制。業(yè)務(wù)安全與終端安全業(yè)務(wù)安全：

在企業(yè)網(wǎng)絡(luò)中存在的計(jì)費(fèi)系統(tǒng)，VOIP，帶寬管理等類型的業(yè)務(wù)，如何保證不被非法使用保證企業(yè)的收益是至關(guān)重要的；在P2P，游戲，IM（InstanceMessage）等業(yè)務(wù)流行的網(wǎng)絡(luò)環(huán)境中，如何保證帶寬合理應(yīng)用、員工高效率的工作，也是企業(yè)領(lǐng)導(dǎo)關(guān)心的問題。針對(duì)業(yè)務(wù)安全的典型技術(shù)就是深度檢測(cè)技術(shù)。終端安全：

從某種意義上來說，網(wǎng)絡(luò)上所有不安全的因素都來自人員。據(jù)ISCA（InternationalSymposiumonComputerArchitecture）統(tǒng)計(jì)，全球每年僅僅由于信息安全問題導(dǎo)致的損失高達(dá)數(shù)百億美元，其中來至于內(nèi)部的威脅高達(dá)60％，來自內(nèi)部的威脅已經(jīng)成為企業(yè)首要的安全問題。終端安全包含終端設(shè)備的安全和終端用戶行為安全。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程加密技術(shù)概述N

網(wǎng)絡(luò)基礎(chǔ)目錄Contents熟悉加解密相關(guān)的概念了解加解密過程熟悉對(duì)稱加密和非對(duì)稱加密技術(shù)學(xué)習(xí)目標(biāo)1加解密過程2對(duì)稱加密3非對(duì)稱加密4密鑰交換技術(shù)加解密過程

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）

abcde原始數(shù)據(jù)（明文）密鑰加密算法解密算法密鑰同一秘鑰加密是指利用某個(gè)數(shù)值（密鑰）對(duì)明文的數(shù)據(jù)通過一定的算法變換成加密（密文）的數(shù)據(jù)過程。明文：這是原始消息或數(shù)據(jù)加密算法：加密算法對(duì)明文進(jìn)行各種替換和轉(zhuǎn)換。密鑰：是算法的輸入。算法進(jìn)行的具體替換和轉(zhuǎn)換取決于這個(gè)密鑰。密文：這是產(chǎn)生的已被打亂的消息輸出解密算法：它使用密文和同一密鑰產(chǎn)生原始明文。非對(duì)稱加密非對(duì)稱加密：在加密和解密的過程中分別使用不同的密鑰叫做非對(duì)稱加密方式

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）

abcde原始數(shù)據(jù)（明文）用戶A使用B的公鑰加密加密解密用戶A用戶B用戶B使用自己的私鑰解密公鑰可以通過Web公開或通過郵件發(fā)送若使用私鑰進(jìn)行加密，則需要使用公鑰解密。密鑰交換技術(shù)密鑰交換技術(shù)：是一種混合加密方式，發(fā)送方和接收方使用對(duì)稱加密方式，為保證密鑰傳輸?shù)陌踩?，?duì)密鑰使用非對(duì)稱加密方式進(jìn)行傳輸。

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）用對(duì)稱密鑰加密1.加密2.用接收方公鑰將密鑰加密

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）4.解密3.用自己的私鑰解開密鑰用對(duì)稱密鑰解密發(fā)送方接收方計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程數(shù)字簽名N

網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)詐騙網(wǎng)絡(luò)釣魚我們收到的文檔可信嗎？數(shù)字簽名保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生

abcde原始數(shù)據(jù)（明文）發(fā)送方

Tr091.使用算法生成校驗(yàn)和及相關(guān)變量2.用發(fā)送方私鑰加密生成簽名

PGG&*#

abcde若兩者相等，證明是發(fā)送方發(fā)送的數(shù)據(jù)接收方

Tr094.用發(fā)送方公鑰解密簽名數(shù)字簽名原始數(shù)據(jù)

PGG&*#

abcde數(shù)字簽名原始數(shù)據(jù)3.發(fā)送

Tr095.用與發(fā)送方相同算法生成校驗(yàn)和及相關(guān)變量=計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程數(shù)字證書N

網(wǎng)絡(luò)基礎(chǔ)如何保證網(wǎng)絡(luò)交易的安全性？數(shù)字證書數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。

Internet防火墻證書服務(wù)器用戶路由器CA認(rèn)證機(jī)構(gòu)數(shù)字證書版本：V3頒發(fā)者：AAA…頒發(fā)給：AAA…有效日期：2014.12.1-…主題：……公鑰：……常用數(shù)字證書存儲(chǔ)介質(zhì)USBkey計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)精品在線開放課程防火墻基本功能N

網(wǎng)絡(luò)基礎(chǔ)如何保證內(nèi)部網(wǎng)絡(luò)不收外來攻擊？防火墻防火墻基本功能Internet防火墻路由器內(nèi)部網(wǎng)絡(luò)內(nèi)部用戶1.內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻防火墻基本功能2.只有符合安全策略的數(shù)據(jù)流才能通過防火墻Internet防火墻路由器Web服務(wù)器FTP服務(wù)器交換機(jī)規(guī)則1.可以訪問Web服務(wù)2.拒絕訪問FTP