《網(wǎng)絡(luò)安全防護技術(shù)》教學課件1

6.2網(wǎng)絡(luò)安全防護技術(shù)網(wǎng)絡(luò)信息安全概述網(wǎng)絡(luò)面臨的安全威脅計算機網(wǎng)絡(luò)通信面臨的四種威脅：（1）截獲（Interception）攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。（2）中斷（Interruption）攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。網(wǎng)絡(luò)信息安全概述（3）篡改（Modification）攻擊者故意篡改網(wǎng)絡(luò)上傳送的報文。（4）偽造（Fabrication）攻擊者偽造信息在網(wǎng)絡(luò)上傳送。網(wǎng)絡(luò)面臨的安全威脅網(wǎng)絡(luò)信息安全概述安全威脅可以分為兩大類：主動攻擊：更改信息和拒絕用戶使用資源的攻擊。（如2,3,4）被動攻擊：截獲信息的攻擊（如1）。防火墻技術(shù)概述

防火墻是一種網(wǎng)絡(luò)安全防護系統(tǒng)，是由軟件和硬件構(gòu)成，用來在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)。設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用。一般都將防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。

防火墻技術(shù)防火墻的主要功能包括：

1）檢查所有從外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包；

2）檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包；

3）執(zhí)行安全策略，限制所有不符合安全策略要求的分組通過；

4）具有防攻擊能力，保證自身的安全性。防火墻技術(shù)防火墻的實現(xiàn)

防火墻系統(tǒng)往往由包過濾路由器和應用級網(wǎng)關(guān)組合而成，由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。防火墻技術(shù)1.包過濾路由器（1）包過濾基本概念包過濾路由器示意圖包過濾流程圖防火墻技術(shù)（2）包過濾路由器配置的基本方法過濾規(guī)則號方向動作源主機地址源端口號目的主機地址目的端口號協(xié)議描述1進入阻塞OTHERHOST****阻塞來自O(shè)THERHOST的數(shù)據(jù)包2輸出阻塞**OTHERHOST**阻塞傳到OTHERHOST的數(shù)據(jù)包3進入允許*＞1023192.3.8.125TCP允許外部用戶傳送到內(nèi)部網(wǎng)絡(luò)電子郵件服務器的數(shù)據(jù)包4輸出允許192.3.8.125*＞1023TCP允許內(nèi)部郵件服務器傳送到外部網(wǎng)絡(luò)的電子郵件數(shù)據(jù)包包過濾規(guī)則表防火墻技術(shù)（3）包過濾方法的優(yōu)缺點分析優(yōu)點：1）結(jié)構(gòu)簡單，便于管理，造價低。2）由于操作在網(wǎng)絡(luò)層和傳輸層進行，所以對應用層透明。缺點：1）在路由器中配置包過濾規(guī)則比較困難。2）只能控制到主機一級，不涉及包的內(nèi)容與用戶一級，有局限性。防火墻技術(shù)2.應用級網(wǎng)關(guān)（1）多歸屬主機多歸屬主機又稱為多宿主主機，它是具有多個網(wǎng)絡(luò)接口卡的主機，其結(jié)構(gòu)如圖所示。如果將多歸屬主機用在應用層的用戶身份認證與服務請求合法性檢查上，那么這一類可以起到防火墻作用的多歸屬主機就叫做應用級網(wǎng)關(guān)，或應用網(wǎng)關(guān)。多歸屬主機結(jié)構(gòu)示意圖防火墻技術(shù)（2）應用級網(wǎng)關(guān)應用級網(wǎng)關(guān)原理示意圖

如果多歸屬主機連接了兩個網(wǎng)絡(luò)，那么它可以叫做雙歸屬主機（dual-homedhost）。雙歸屬主機可以用在網(wǎng)絡(luò)安全與網(wǎng)絡(luò)服務的代理上。防火墻技術(shù)（3）應用代理

應用代理是應用級網(wǎng)關(guān)的另一種形式，但它們的工作方式不同。應用級網(wǎng)關(guān)是以存儲轉(zhuǎn)發(fā)方式，檢查和確定網(wǎng)絡(luò)服務請求的用戶身份是否合法，決定是轉(zhuǎn)發(fā)還是丟棄該服務請求。因此從某種意義上說，應用級網(wǎng)關(guān)在應用層“轉(zhuǎn)發(fā)”合法的應用請求。應用代理與應用級網(wǎng)關(guān)不同之處在于：應用代理完全接管了用戶與服務器的訪問，隔離了用戶主機與被訪問服務器之間的數(shù)據(jù)包的交換通道。防火墻技術(shù)（3）應用代理

應用代理的基本工作原理認證技術(shù)數(shù)據(jù)加密可以防止信息在傳輸過程中被截獲，但是如何確定發(fā)送人的身份問題，就需要使用數(shù)字簽名技術(shù)來解決。1、數(shù)字簽名的基本概念數(shù)字簽名將信息發(fā)送人的身份與信息傳送結(jié)合起來，可以保證信息在傳輸過程中的完整性，并提供信息發(fā)送者的身份認證，以防止信息發(fā)送者抵賴行為的發(fā)生。認證技術(shù)2、數(shù)字簽名的工作原理數(shù)字簽名的具體工作過程為：（1）發(fā)送方使用單向散列函數(shù)對要發(fā)送的信息進行運算，生成信息摘要；（2）發(fā)送方使用自己的私鑰，利用非對稱加密算法，對生成的信息摘要進行數(shù)字簽名；（3）發(fā)送方通過網(wǎng)絡(luò)將信息本身和已進行數(shù)字簽名的信息摘要發(fā)送給接收方；認證技術(shù)（4）接收方使用與發(fā)送方相同的單向散列函數(shù)，對收到的信息進行運算，重新生成信息摘要；（5）接收方使用發(fā)送方的公鑰對接收的信息摘要解密；（6）將解密的信息摘要與重新生成的信息摘要進行比較，以判斷信息在發(fā)送過程中是否被篡改過。認證技術(shù)數(shù)字簽名的工作原理示意圖加密技術(shù)

密碼技術(shù)是保證網(wǎng)絡(luò)與信息安全的核心技術(shù)之一。密碼學包括密碼編碼學與密碼分析學。密碼體制的設(shè)計是密碼學研究的主要內(nèi)容。人們利用加密算法和一個秘密的值（稱為密鑰）來對信息編碼進行隱蔽，而密碼分析學試圖破譯算法和密鑰。兩者相互對立，又互相促進地向前發(fā)展。加密技術(shù)密碼學的基本概念1、加密算法與解密算法加密的基本思想是偽裝明文以隱蔽其真實內(nèi)容，即將明文偽裝成密文，如圖所示。偽裝明文的操作稱為加密，加密時所使用的信息變換規(guī)則稱為加密算法。由密文恢復出原明文的過程稱為解密。解密時所采用的信息變換規(guī)則稱作解密算法。加密和解密過程示意圖加密技術(shù)2、密鑰的作用加密算法和解密算法的操作通常都是在一組密鑰控制下進行的。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對稱密碼體制。如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制。密碼算法實際上很難做到絕對保密，因此現(xiàn)代密碼學的一個基本原則是：一切秘密寓于密鑰之中。在設(shè)計加密系統(tǒng)時，加密算法是可以公開的，真正需要保密的是密鑰。加密技術(shù)3、什么是密文密文是明文和加密密鑰相結(jié)合，然后經(jīng)過加密算法運算的結(jié)果。實際上，密文是含有一個參數(shù)k的數(shù)學變換，即C＝Ek（m）。其中，m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，參數(shù)k稱為密鑰。密文C是明文m使用密鑰k，經(jīng)過加密算法計算后的結(jié)果。加密技術(shù)密碼長度密鑰組合個數(shù)40240＝109951162777656256＝7.205759403793×101664264＝1.844674407371×10191122112＝5.192296858535×10331282128＝3.402823669209×1038密鑰長度密鑰組合個數(shù)的關(guān)系4、密鑰長度對于同一種加密算法，密鑰的位數(shù)越長，破譯的困難也就越大，安全性也就越好。但是密鑰越長，進行加密和解密過程所需要的計算時間也將越大。我們的目標是要使破譯密鑰所需要的“花費”比

該密鑰所保護的信息價值

還要大。加密技術(shù)對稱加密技術(shù)1、對稱加密的基本概念對稱加密技術(shù)對信息的加密與解密都使用相同的密鑰，因此又被稱為密鑰密碼技術(shù)。但密鑰的管理和傳送是必須注意解決的問題。對稱加密的原理示意圖加密技術(shù)2、典型的對稱加密算法數(shù)據(jù)加密標準（dataencryptionstandard，DES）是最典型的對稱加密算法，它是由IBM公司提出，經(jīng)過國際標準化組織認定的數(shù)據(jù)加密的國際標準。DES算法是目前廣泛采用的對稱加密方式之一，主要用于銀行業(yè)中的電子資金轉(zhuǎn)賬領(lǐng)域。DES算法采用了64位密鑰長度，其中8位用于奇偶校驗，用戶可以使用其余的56位。加密技術(shù)非對稱加密技術(shù)1、非對稱加密的基本