課件第章網(wǎng)絡安全

計算機網(wǎng)絡基礎精品在線開放課程網(wǎng)絡安全及常見隱患N

網(wǎng)絡基礎目錄Contents了解網(wǎng)絡安全的概念熟悉網(wǎng)絡安全隱患的表現(xiàn)了解網(wǎng)絡攻擊的兩種方式學習目標1什么是網(wǎng)絡安全2網(wǎng)絡安全隱患的表現(xiàn)3網(wǎng)絡攻擊方式什么是網(wǎng)絡安全網(wǎng)絡安全是指通過采取各種技術(shù)與管理措施，使網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)資源受到保護，不因一些不利因素影響而使這些資源遭到破壞、更改、泄露，保證網(wǎng)絡系統(tǒng)連續(xù)、可靠、正常的運行。網(wǎng)絡安全可控性完整性可審查性機密性可用性網(wǎng)絡安全五個基本要素:網(wǎng)絡安全隱患網(wǎng)絡安全的隱患是指計算機或其他通信設備利用網(wǎng)絡進行交互時可能會受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。計算機病毒利用協(xié)議及系統(tǒng)漏洞的攻擊行為網(wǎng)絡系統(tǒng)的脆弱性網(wǎng)絡安全隱患表現(xiàn)為:操作系統(tǒng)脆弱性數(shù)據(jù)庫系統(tǒng)的脆弱性網(wǎng)絡安全隱患網(wǎng)絡安全的隱患是指計算機或其他通信設備利用網(wǎng)絡進行交互時可能會受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。計算機病毒利用協(xié)議及系統(tǒng)漏洞的攻擊行為網(wǎng)絡系統(tǒng)的脆弱性網(wǎng)絡安全隱患表現(xiàn)為:數(shù)據(jù)鏈路層：Mac欺騙、Mac泛洪、ARP欺騙、STP重定向網(wǎng)絡層：IP欺騙、報文分片、ICMP攻擊及路由攻擊傳輸層：SYNFlood攻擊應用層：緩沖區(qū)溢出、漏洞、病毒及木馬網(wǎng)絡攻擊方式Internet用戶A用戶B被動攻擊竊聽被動攻擊方式網(wǎng)絡攻擊方式主動攻擊方式Internet拒絕服務攻擊服務器主機主動攻擊篡改計算機網(wǎng)絡基礎精品在線開放課程常見網(wǎng)絡攻擊方式防范N

網(wǎng)絡基礎目錄Contents了解常見網(wǎng)絡攻擊方式了解常見網(wǎng)絡攻擊防范方式學習目標1常見網(wǎng)絡攻擊方式2網(wǎng)絡攻擊方式的防范常見網(wǎng)絡攻擊方式網(wǎng)絡攻擊方式數(shù)據(jù)嗅探非法使用信息篡改拒絕服務BUG和惡意代碼社會工程數(shù)據(jù)嗅探數(shù)據(jù)嗅探：攻擊者并不直接入侵目標系統(tǒng)，而是通過竊聽網(wǎng)絡來獲取重要數(shù)據(jù)或信息。嗅探技術(shù)是黑客和網(wǎng)絡管理員最常用的工具和技術(shù)。嗅探方式主要操作方式常用軟件抓取報文（抓包）通過網(wǎng)絡監(jiān)聽非法獲取用戶信息，如明文傳輸?shù)挠脩裘⒚艽a。抓包實際上是在以太網(wǎng)卡處于混雜狀態(tài)下通過專門的軟件實現(xiàn)對數(shù)據(jù)包的獲取過程，通常需要與端口鏡像、HUB、分光器、TAP（TestAccessPoint）等緊密配合。WireShark、OmniPeek掃描通過發(fā)送報文探測網(wǎng)絡中各種主機和服務的狀態(tài)，準確的了解網(wǎng)絡中的資產(chǎn)和系統(tǒng)漏洞。一般分為端口掃描和漏洞掃描。NMAP（遠程掃描工具）、Nessus（漏洞掃描工具）操作系統(tǒng)標識通過BannerGrabbing獲取操作系統(tǒng)的各種信息，根據(jù)這些系統(tǒng)對包的回應的差別，推斷出操作系統(tǒng)的種類。NMAP（遠程掃描工具）電磁捕捉電磁捕捉通過捕捉屏幕、網(wǎng)線發(fā)出的電磁波，還原信息的嗅探手段，常用于攻擊軍事機構(gòu)?！獢?shù)據(jù)嗅探防范方式數(shù)據(jù)嗅探防范方式Internet服務器主機驗證、反嗅探工具加密數(shù)據(jù)嗅探防范方式主要有：驗證、改變網(wǎng)絡結(jié)構(gòu)、反嗅探工具、加密非法使用非法使用：指資源被未授權(quán)的用戶（非法用戶）或以未授權(quán)方式（非法權(quán)限）使用。

非法使用典型方式有電子欺騙、暴力攻擊、權(quán)限提升、系統(tǒng)重啟攻擊等

方式。Internet服務器Tom我是Jack只允許Jack登陸電子欺騙Internet服務器攻擊者接入從盤訪問系統(tǒng)重啟攻擊非法使用的防范方式過濾：使用訪問控制技術(shù)可以對非法IP進行嚴格的控制。驗證：采用非IP地址的方式強驗證是防止基于非IP欺騙的最有效的技術(shù)，結(jié)合應用權(quán)限控制，還可以為溯源提供依據(jù)。加密：對于針對密碼的攻擊方式，只要加密算法足夠“強壯”同時采用強密碼，任何攻擊都是沒有實效的。關(guān)閉服務和端口：服務和端口在為用戶提供支持平臺和接口時，也成為攻擊者的目標，因此關(guān)閉不需要的服務和端口是非常有必要的。信息篡改信息篡改：以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重

要信息，

其目的是取得有益于攻擊者的響應。

如報文重放、會話劫持、篡改審計數(shù)據(jù)、主頁篡改等方式。Internet服務器攻擊者接入訪問用戶數(shù)據(jù)庫篡改用戶顯示錯誤頁面主頁篡改這類攻擊防范的主要方式是數(shù)據(jù)加密。拒絕服務拒絕服務DoS（DenialofService）：是網(wǎng)絡上一種簡單但十分有效的破壞性攻擊手段，通過發(fā)送大量攻擊報文導致網(wǎng)絡資源和帶寬被消耗，從而達到阻止合法用戶對資源的訪問。客戶端Web服務器InternetTCP連接第一次握手：客戶端發(fā)起連接請求第二次握手：服務端給予確認，即請求被接受客戶端未返回一個確認報文ACK給服務器端未確認如果有大量未確認的連接，會造成服務器不能正常提供服務SYNFlood攻擊原理拒絕服務的防范方式屏蔽IP：在服務器或路由器上用ACL屏蔽攻擊者IP后就可以有效的防范DoS的攻擊。協(xié)議防范：根據(jù)DoS攻擊每個協(xié)議的弱點進行對應的修復方法。

偵測：對DoS攻擊的偵測和區(qū)分是處理DoS攻擊的重要依據(jù)。當發(fā)現(xiàn)有特大型的TCP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時都要注意。BUG和惡意代碼

BUG：是一個程序（代碼）的漏洞，它會產(chǎn)生一個隱藏的通道。很多情況下一個運行在服務器的操作系統(tǒng)或程序都會出現(xiàn)這些問題，攻擊者經(jīng)常研究并充分利用它們。兩種常見的BUG：后門（Backdoor）、緩沖區(qū)溢出（BufferOverflow）。惡意代碼（Maliciouscode）：是攻擊設備、用戶、系統(tǒng)、網(wǎng)絡的軟件統(tǒng)稱。常見惡意代碼包括病毒、蠕蟲、木馬等。計算機網(wǎng)絡基礎精品在線開放課程訪問控制N

網(wǎng)絡基礎目錄Contents了解什么是訪問控制及其作用熟悉訪問控制策略的幾種方式學習目標1訪問控制作用2訪問控制策略的幾種方式訪問控制作用訪問控制：是策略和機制的集合，它允許對限定資源的授權(quán)訪問。它也可保護資源，防止那些無權(quán)訪問資源的用戶的惡意訪問或偶然訪問。訪問控制策略方式訪問控制策略：主要是根據(jù)用戶的身份及訪問權(quán)限決定其訪問操作，只要用戶身份被確認后，即可根據(jù)訪問控制表上賦予該用戶的權(quán)限，進行限制性地訪問。能力關(guān)系表訪問控制表訪問控制矩陣訪問控制策略的三種方式訪問控制矩陣（1）訪問控制矩陣（AccessContro1Matrix）訪問控制矩陣就是確保系統(tǒng)的操作是按照訪問控制矩陣授權(quán)的訪問來執(zhí)行，它是通過引用監(jiān)控器，來協(xié)調(diào)客體對主體的每次訪問，這種方法清晰的實現(xiàn)認證與訪問控制的相互分離。

文件A文件B文件C用戶甲Own/R/WR/WR用戶乙ROwn/R/WR/W用戶丙R/WROwn/R/W訪問控制表（2）訪問控制表（ACL，AccessControlList）訪問控制表是以資源為中心建立訪問權(quán)限表。在訪問控制表中記錄了某文件被授權(quán)訪問的用戶名及訪問權(quán)的隸屬關(guān)系。通過查詢訪問控制表，能夠很清晰準確地查找出對于特定內(nèi)容的授權(quán)訪問，用戶可以訪問哪些內(nèi)容并有什么訪問權(quán)限。用戶甲OwnR/W

用戶乙R

用戶丙R/W

能力關(guān)系表（3）能力關(guān)系表（CapabilitiesLists）能力關(guān)系表與ACL相反，是以用戶為中心建立訪問權(quán)限表，表中規(guī)定了該用戶可訪問的文件名及訪問權(quán)限，利用能力關(guān)系表可以很方便查詢一個用戶的所有授權(quán)訪問。文件AOwnR/W

文件BR

文件CR/W

用戶甲的能力關(guān)系表計算機網(wǎng)絡基礎精品在線開放課程入侵檢測防御技術(shù)N

網(wǎng)絡基礎目錄Contents了解什么入侵檢測防御技術(shù)熟悉入侵檢測系統(tǒng)、入侵防御系統(tǒng)及其區(qū)別學習目標1入侵檢測防御技術(shù)2入侵檢測系統(tǒng)3入侵防御系統(tǒng)入侵檢測防御技術(shù)入侵檢測防御技術(shù)：指識別針對計算機或者網(wǎng)絡資源的惡意企圖和行為，并對此做出反應的一種網(wǎng)絡技術(shù)。入侵檢測防御技術(shù)可以通過入侵檢測系統(tǒng)和入侵防御系統(tǒng)實現(xiàn)。入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）就是對入侵行為的發(fā)覺，擔負著保護整個網(wǎng)段的任務。Internet外部入侵IDS日志服務器防火墻內(nèi)部網(wǎng)絡LAN1LAN2……入侵防御系統(tǒng)入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）檢測是指針對檢測到的網(wǎng)絡中的攻擊進行主動防御，在IPS設備上對攻擊流進行處理。Internet外部入侵IPS防火墻LAN1LAN2……IPS和IDS區(qū)別：兩者的部署方式不同，IDS為旁掛方式，對網(wǎng)絡影響比較小，而IPS采用直路的方式，加入了單點故障，同時IPS設備的性能對網(wǎng)絡也有比較大的影響。計算機網(wǎng)絡基礎精品在線開放課程內(nèi)網(wǎng)安全解決方案N

網(wǎng)絡基礎目錄Contents理解內(nèi)網(wǎng)安全解決方案的三個方面：邊界安全、業(yè)務安全和終端安全學習目標1邊界安全2業(yè)務安全3終端安全內(nèi)網(wǎng)安全解決方案內(nèi)網(wǎng)安全解決主要包含三個方面：邊界安全、業(yè)務安全、終端安全InternetIDS深度檢測防火墻服務器外部用戶外網(wǎng)內(nèi)網(wǎng)VPN交換機交換機核心交換機策略控制VLAN10VLAN20終端安全邊界安全邊界安全邊界防御可以抵御大部分外網(wǎng)攻擊，而合理的網(wǎng)絡架構(gòu)是構(gòu)建邊界防御的前提條件。另外需要進行風險評估，要明確企業(yè)自己的內(nèi)網(wǎng)可能面臨哪些風險，現(xiàn)有條件下對這些風險的承受程度如何。（1）在網(wǎng)絡出口部署防火墻，入侵檢測設備，降低外網(wǎng)對內(nèi)網(wǎng)的安全威脅；（2）部署VPN，確保移動用戶身份的合法性；（3）在內(nèi)部網(wǎng)絡中，將不同業(yè)務類型的用戶組劃分在不同的Vlan，在Vlan間訪問進行訪問策略限制。業(yè)務安全與終端安全業(yè)務安全：

在企業(yè)網(wǎng)絡中存在的計費系統(tǒng)，VOIP，帶寬管理等類型的業(yè)務，如何保證不被非法使用保證企業(yè)的收益是至關(guān)重要的；在P2P，游戲，IM（InstanceMessage）等業(yè)務流行的網(wǎng)絡環(huán)境中，如何保證帶寬合理應用、員工高效率的工作，也是企業(yè)領(lǐng)導關(guān)心的問題。針對業(yè)務安全的典型技術(shù)就是深度檢測技術(shù)。終端安全：

從某種意義上來說，網(wǎng)絡上所有不安全的因素都來自人員。據(jù)ISCA（InternationalSymposiumonComputerArchitecture）統(tǒng)計，全球每年僅僅由于信息安全問題導致的損失高達數(shù)百億美元，其中來至于內(nèi)部的威脅高達60％，來自內(nèi)部的威脅已經(jīng)成為企業(yè)首要的安全問題。終端安全包含終端設備的安全和終端用戶行為安全。計算機網(wǎng)絡基礎精品在線開放課程加密技術(shù)概述N

網(wǎng)絡基礎目錄Contents熟悉加解密相關(guān)的概念了解加解密過程熟悉對稱加密和非對稱加密技術(shù)學習目標1加解密過程2對稱加密3非對稱加密4密鑰交換技術(shù)加解密過程

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）

abcde原始數(shù)據(jù)（明文）密鑰加密算法解密算法密鑰同一秘鑰加密是指利用某個數(shù)值（密鑰）對明文的數(shù)據(jù)通過一定的算法變換成加密（密文）的數(shù)據(jù)過程。明文：這是原始消息或數(shù)據(jù)加密算法：加密算法對明文進行各種替換和轉(zhuǎn)換。密鑰：是算法的輸入。算法進行的具體替換和轉(zhuǎn)換取決于這個密鑰。密文：這是產(chǎn)生的已被打亂的消息輸出解密算法：它使用密文和同一密鑰產(chǎn)生原始明文。非對稱加密非對稱加密：在加密和解密的過程中分別使用不同的密鑰叫做非對稱加密方式

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）

abcde原始數(shù)據(jù)（明文）用戶A使用B的公鑰加密加密解密用戶A用戶B用戶B使用自己的私鑰解密公鑰可以通過Web公開或通過郵件發(fā)送若使用私鑰進行加密，則需要使用公鑰解密。密鑰交換技術(shù)密鑰交換技術(shù)：是一種混合加密方式，發(fā)送方和接收方使用對稱加密方式，為保證密鑰傳輸?shù)陌踩?，對密鑰使用非對稱加密方式進行傳輸。

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）用對稱密鑰加密1.加密2.用接收方公鑰將密鑰加密

abcde原始數(shù)據(jù)（明文）

CDEFG加密數(shù)據(jù)（密文）4.解密3.用自己的私鑰解開密鑰用對稱密鑰解密發(fā)送方接收方計算機網(wǎng)絡基礎精品在線開放課程數(shù)字簽名N

網(wǎng)絡基礎網(wǎng)絡詐騙網(wǎng)絡釣魚我們收到的文檔可信嗎？數(shù)字簽名保證信息傳輸?shù)耐暾浴l(fā)送者的身份認證、防止交易中的抵賴發(fā)生

abcde原始數(shù)據(jù)（明文）發(fā)送方

Tr091.使用算法生成校驗和及相關(guān)變量2.用發(fā)送方私鑰加密生成簽名

PGG&*#

abcde若兩者相等，證明是發(fā)送方發(fā)送的數(shù)據(jù)接收方

Tr094.用發(fā)送方公鑰解密簽名數(shù)字簽名原始數(shù)據(jù)

PGG&*#

abcde數(shù)字簽名原始數(shù)據(jù)3.發(fā)送

Tr095.用與發(fā)送方相同算法生成校驗和及相關(guān)變量=計算機網(wǎng)絡基礎精品在線開放課程數(shù)字證書N

網(wǎng)絡基礎如何保證網(wǎng)絡交易的安全性？數(shù)字證書數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。

Internet防火墻證書服務器用戶路由器CA認證機構(gòu)數(shù)字證書版本：V3頒發(fā)者：AAA…頒發(fā)給：AAA…有效日期：2014.12.1-…主題：……公鑰：……常用數(shù)字證書存儲介質(zhì)USBkey計算機網(wǎng)絡基礎精品在線開放課程防火墻基本功能N

網(wǎng)絡基礎如何保證內(nèi)部網(wǎng)絡不收外來攻擊？防火墻防火墻基本功能Internet防火墻路由器內(nèi)部網(wǎng)絡內(nèi)部用戶1.內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻防火墻基本功能2.只有符合安全策略的數(shù)據(jù)流才能通過防火墻Internet防火墻路由器Web服務器FTP服務器交換機規(guī)則1.可以訪問Web服務2.拒絕訪問FTP