網(wǎng)絡(luò)安全技術(shù)基礎(chǔ).ppt

1、第2章 網(wǎng)絡(luò)安全技術(shù)基礎(chǔ),主編賈鐵軍 副主編陳國(guó)秦 蘇慶剛 沈?qū)W東 編著 王堅(jiān) 王小剛 宋少婷,上海教育高地建設(shè)項(xiàng)目 高等院校規(guī)劃教材,網(wǎng)絡(luò)安全技術(shù)及應(yīng)用,（第2版）,上海市精品課程 網(wǎng)絡(luò)安全技術(shù),目 錄,目 錄,教學(xué)目標(biāo) 了解網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)及新一代網(wǎng)絡(luò)Ipv6的安全性 掌握虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)特點(diǎn)及應(yīng)用 掌握無(wú)線局域網(wǎng)安全技術(shù)及安全設(shè)置實(shí)驗(yàn) 掌握常用的網(wǎng)絡(luò)安全管理工具及應(yīng)用,重點(diǎn),重點(diǎn),美國(guó)新增40支網(wǎng)絡(luò)部隊(duì)。據(jù)環(huán)球時(shí)報(bào)綜合報(bào)道， 美國(guó)網(wǎng)絡(luò)戰(zhàn)司令部司令亞歷山大2013年3月12日在國(guó)會(huì)宣布，將新增40支網(wǎng)絡(luò)部隊(duì)。此前，美國(guó)官方和軍方論及該國(guó)網(wǎng)絡(luò)政策時(shí)，基本都是宣稱(chēng)要保護(hù)美國(guó)免遭外國(guó)黑

2、客攻擊，而不是主動(dòng)攻擊。美國(guó)這種變化讓人想起它備受爭(zhēng)議的“先發(fā)制人”，增加了國(guó)際社會(huì)的不安全感。美國(guó)國(guó)家情報(bào)總監(jiān)克拉珀在國(guó)會(huì)宣稱(chēng)，網(wǎng)絡(luò)威脅已取代恐怖主義成美國(guó)最大威脅。中國(guó)現(xiàn)代國(guó)際關(guān)系研究院學(xué)者李偉14日對(duì)環(huán)球時(shí)報(bào)說(shuō)，“美國(guó)精心一步步設(shè)局，公開(kāi)尋求互聯(lián)網(wǎng)霸權(quán)，這可能引發(fā)互聯(lián)網(wǎng)軍備競(jìng)賽”。,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2.1.1 網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn),案例2-1,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2.1.1 網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn),網(wǎng)絡(luò)體系層次結(jié)構(gòu)參考模型有OSI模型和TCP/IP模型兩種。OSI模型是國(guó)際標(biāo)準(zhǔn)化組織ISO的開(kāi)放系統(tǒng)互連參考模型，共有七層，設(shè)計(jì)初衷是期望為網(wǎng)絡(luò)體系與協(xié)議發(fā)展提供一種國(guó)際標(biāo)準(zhǔn)，后來(lái)

3、由于其過(guò)于龐雜，使TCP/IP協(xié)議成為了事實(shí)上的“網(wǎng)絡(luò)標(biāo)準(zhǔn)”，作為Internet的基礎(chǔ)協(xié)議。,TCP/IP模型由4部分組成。這4層體系大致對(duì)應(yīng)OSI參考模型的7層體系。TCP/IP協(xié)議棧更注重互連設(shè)備間的數(shù)據(jù)傳送，而非嚴(yán)格的功能層次劃分。 計(jì)算機(jī)網(wǎng)絡(luò)依靠其協(xié)議實(shí)現(xiàn)互連結(jié)點(diǎn)之間的通信與數(shù)據(jù)交換,在設(shè)計(jì)之初只注重異構(gòu)網(wǎng)的互聯(lián)，忽略了安全性問(wèn)題，而且,是一個(gè)開(kāi)放體系,有計(jì)算機(jī)網(wǎng)絡(luò)及其部件所能夠完成的基本功能,這種開(kāi)放性及缺陷將網(wǎng)絡(luò)系統(tǒng)處于安全風(fēng)險(xiǎn)和隱患的環(huán)境. 計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議安全風(fēng)險(xiǎn)可歸結(jié)為3方面： （1）協(xié)議自身的設(shè)計(jì)缺陷和實(shí)現(xiàn)中存在的一些安全漏洞； （2）根本無(wú)有效認(rèn)證機(jī)制；（3）缺乏保密機(jī)制

4、。,圖2-1 TCP/IP網(wǎng)絡(luò)安全技術(shù)層次體系,網(wǎng)絡(luò)安全由多個(gè)安全層構(gòu)成，每一個(gè)安全層都是一個(gè)包含多個(gè)特征的實(shí)體。在TCP/IP不同層次可增加不同的安全策略。如圖2-1所示。,2.1.2 TCP/IP層次安全性,2.1 網(wǎng)絡(luò)協(xié)議安全概述,1. 網(wǎng)絡(luò)接口(物理)層的安全性設(shè)施,線路 2. 網(wǎng)絡(luò)層的安全性保證數(shù)據(jù)傳輸 3. 傳輸層的安全性傳輸控制,數(shù)據(jù)交換認(rèn)證,保密/完整性 4. 應(yīng)用層的安全性 應(yīng)用層中利用TCP/IP協(xié)議運(yùn)行和管理的程序繁多。網(wǎng)絡(luò)安全問(wèn)題主要出現(xiàn)在需要重點(diǎn)解決的常用應(yīng)用系統(tǒng)，包括HTTP、FTP、SMTP、DNS、Telnet等。,TCP/IP網(wǎng)絡(luò)安全技術(shù)層次體系,2.1 網(wǎng)絡(luò)

5、協(xié)議安全概述,2.1.3 IPv6的安全性概述 1. IPv6的優(yōu)勢(shì)及特點(diǎn) (1) 擴(kuò)展地址空間及應(yīng)用.IPv4和IPv6的報(bào)頭如圖2-2和圖2-3所示,圖2-2 IPV4的IP報(bào)頭,圖2-3 IPV6基本報(bào)頭,(2) 提高網(wǎng)絡(luò)整體性能。 (3) 加強(qiáng)網(wǎng)絡(luò)安全性能。 (4) 提供更好服務(wù)質(zhì)量。 (5) 實(shí)現(xiàn)更好地組播功能。 (6) 支持即插即用和移動(dòng)性。 (7) 提供必選的資源預(yù)留協(xié)議RSVP功能。,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2. IPv4與IPv6安全問(wèn)題比較 (1) 原理和特征基本未發(fā)生變化的安全問(wèn)題劃分為三類(lèi):網(wǎng)絡(luò)層以上的安全問(wèn)題;與網(wǎng)絡(luò)層數(shù)據(jù)保密性和完整性相關(guān)的安全問(wèn)題和與網(wǎng)絡(luò)層可用性

6、相關(guān)的安全問(wèn)題.如竊聽(tīng)攻擊、應(yīng)用層攻擊、中間人攻擊、洪泛攻擊等. (2) 網(wǎng)絡(luò)層以上（應(yīng)用）的安全問(wèn)題。 (3) 與網(wǎng)絡(luò)層數(shù)據(jù)保密性和完整性相關(guān)安全問(wèn)題. (4) 與網(wǎng)絡(luò)層可用性相關(guān)安全問(wèn)題：主要是指洪泛攻擊，如TCP SYN flooding攻擊。 (5) 原理和特征發(fā)生明顯變化的安全問(wèn)題，主要包括以下4個(gè)方面。 偵測(cè)， 非授權(quán)訪問(wèn) 篡改分組頭部和分段信息; 偽造源地址。,對(duì)局域網(wǎng)內(nèi)的主機(jī)不停的發(fā)送數(shù)據(jù)包進(jìn)行拒絕服務(wù)攻擊,2.1 網(wǎng)絡(luò)協(xié)議安全概述,3IPv6的安全機(jī)制 （1）協(xié)議安全-認(rèn)證頭AH、封裝安全有效載荷ESP擴(kuò)展頭 （2）網(wǎng)絡(luò)安全： 實(shí)現(xiàn)端到端安全, 提供內(nèi)網(wǎng)安全， 由安全隧道構(gòu)建

7、安全VPN, 以隧道嵌套實(shí)現(xiàn)網(wǎng)絡(luò)安全。 （3）其他安全保障-配置、認(rèn)證、控制、端口限制 4. 移動(dòng)IPv6的安全性 （1）移動(dòng)IPv6的特性-無(wú)狀態(tài)地址自動(dòng)配置、鄰居發(fā)現(xiàn) （2）移動(dòng)IPv6面臨的安全威脅-竊聽(tīng),篡改,Dos 5移動(dòng)IPv6的安全機(jī)制 移動(dòng)IPv6協(xié)議針對(duì)上述安全威脅，在注冊(cè)消息中通過(guò)添加序列號(hào)以防范重放攻擊，并在協(xié)議報(bào)文中引入時(shí)間隨機(jī)數(shù)。,討論思考： （1）從互聯(lián)網(wǎng)發(fā)展角度看，網(wǎng)絡(luò)安全問(wèn)題的主要原因是什么？ （2）IPv6在安全性方面具有哪些優(yōu)勢(shì)？,2.1 網(wǎng)絡(luò)協(xié)議安全概述,2.2 虛擬專(zhuān)用網(wǎng)VPN技術(shù),2.2.1 VPN的概念和結(jié)構(gòu),虛擬專(zhuān)用網(wǎng)（Virtual Privat

8、e Network，VPN）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過(guò)隧道技術(shù)，為用戶(hù)提供的與專(zhuān)用網(wǎng)絡(luò)具有相同通信功能 的安全數(shù)據(jù)通道。 VPN可通過(guò)特殊加密通信協(xié)議 為Internet上異地企業(yè)內(nèi)網(wǎng)之間建立 一條專(zhuān)用通信線路,而無(wú)需鋪設(shè)光纜 等物理線路.系統(tǒng)結(jié)構(gòu)如圖 2-4所示.,(1) 安全性高。 (2) 費(fèi)用低廉。 (3) 管理便利。 (4) 靈活性強(qiáng)。 (5) 服務(wù)質(zhì)量佳。,2.2.2 VPN的技術(shù)特點(diǎn),虛擬通道,2.2 虛擬專(zhuān)用網(wǎng)VPN技術(shù),VPN是在Internet等公共網(wǎng)絡(luò)基礎(chǔ)上，綜合利用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)實(shí)現(xiàn)的。 1. 隧道技術(shù) 隧道技術(shù)是V

9、PN的核心技術(shù)，為一種隱式傳輸數(shù)據(jù)的方法。主要利用已有的Internet等公共網(wǎng)絡(luò)數(shù)據(jù)通信方式，在隧道（虛擬通道）一端將數(shù)據(jù)進(jìn)行封裝，然后通過(guò)已建立的隧道進(jìn)行傳輸。 在隧道另一端，進(jìn)行解封裝并將還原的原始數(shù)據(jù)交給端設(shè)備。在VPN連接中，可根據(jù)需要?jiǎng)?chuàng)建不同類(lèi)型的VPN隧道，包括自愿隧道和強(qiáng)制隧道兩種。,用戶(hù)或客戶(hù)端通過(guò)發(fā)送VPN 請(qǐng)求配置和創(chuàng)建,2.2.3 VPN的實(shí)現(xiàn)技術(shù),2.2 虛擬專(zhuān)用網(wǎng)VPN技術(shù),2. 常用加解密技術(shù) 為了重要數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸?shù)陌踩琕PN采用了加密機(jī)制。 常用的信息加密體系主要包括非對(duì)稱(chēng)加密體系和對(duì)稱(chēng)加密體系兩類(lèi)。實(shí)際上一般是將二者混合使用，利用非對(duì)稱(chēng)加密技術(shù)進(jìn)行密鑰

10、協(xié)商和交換，利用對(duì)稱(chēng)加密技術(shù)進(jìn)行數(shù)據(jù)加密。 1) 對(duì)稱(chēng)密鑰加密; 2) 非對(duì)稱(chēng)密鑰加密 3. 密鑰管理技術(shù) 密鑰的管理分發(fā)極為重要。密鑰的分發(fā)采用手工配置和采用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)兩種方式。 4. 身份認(rèn)證技術(shù) 在VPN實(shí)際應(yīng)用中，身份認(rèn)證技術(shù)包括信息認(rèn)證、用戶(hù)身份認(rèn)證。信息認(rèn)證用于保證信息的完整性和通信雙方的不可抵賴(lài)性，用戶(hù)身份認(rèn)證用于鑒別用戶(hù)身份真實(shí)性。,2.2 虛擬專(zhuān)用網(wǎng)VPN技術(shù),2.2.4 VPN技術(shù)的實(shí)際應(yīng)用,1. 遠(yuǎn)程訪問(wèn)虛擬網(wǎng) 通過(guò)一個(gè)與專(zhuān)用網(wǎng)相同策略的共享基礎(chǔ)設(shè)施,可提供對(duì)企業(yè)內(nèi)網(wǎng)或外網(wǎng)的遠(yuǎn)程訪問(wèn)服務(wù),使用戶(hù)隨時(shí)以所需方式訪問(wèn)企業(yè)資源.如模擬、撥號(hào)、ISDN、數(shù)字用戶(hù)線路（x

11、DSL）、移動(dòng)IP和電纜技術(shù)等,可安全連接移動(dòng)用戶(hù)、遠(yuǎn)程工作者或分支機(jī)構(gòu). 2. 企業(yè)內(nèi)部虛擬網(wǎng) 可在Internet上構(gòu)建全球的Intranet VPN,企業(yè)內(nèi)部資源只需連入本地ISP的接入服務(wù)提供點(diǎn)POP(Point Of Presence)即可相互通信，而實(shí)現(xiàn)傳統(tǒng)WAN組建技術(shù)均需要有專(zhuān)線.利用該VPN線路不僅可保證網(wǎng)絡(luò)的互聯(lián)性,而且,可利用隧道、加密等VPN特性保證在整個(gè)VPN上信息安全傳輸.,2.2 虛擬專(zhuān)用網(wǎng)VPN技術(shù),2.2.4 VPN技術(shù)的應(yīng)用,3企業(yè)擴(kuò)展虛擬網(wǎng) 主要用于企業(yè)之間的互連及安全訪問(wèn)服務(wù)。可通過(guò)專(zhuān)用連接的共享基礎(chǔ)設(shè)施，將客戶(hù)、供應(yīng)商、合作伙伴或相關(guān)群體連接到企業(yè)內(nèi)部

12、網(wǎng)。企業(yè)擁有與專(zhuān)用網(wǎng)絡(luò)相同的安全、服務(wù)質(zhì)量等政策。,討論思考： （1）VPN的本質(zhì)是什么？為何VPN需要加密技術(shù)輔助？ （2）VPN幾種應(yīng)用的區(qū)別是什么？,2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,2.3.1 無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患,2013年日本7個(gè)月內(nèi)近4100家網(wǎng)站遭黑客攻擊，破歷史紀(jì)錄。日本網(wǎng)絡(luò)安全保障機(jī)構(gòu)資料顯示自2013年的前7個(gè)月中，遭黑客攻擊的日本政府和其他機(jī)構(gòu)的網(wǎng)站總數(shù)達(dá)到近4100個(gè)，創(chuàng)下了空前的紀(jì)錄。有關(guān)安全機(jī)構(gòu)警告網(wǎng)民警惕各種網(wǎng)絡(luò)漏洞、無(wú)線網(wǎng)絡(luò)隱患、電腦病毒等問(wèn)題，稱(chēng)一些攻擊能盜竊個(gè)人資料和用于銀行操作及網(wǎng)上購(gòu)物的密碼，如不更新電腦軟件，電腦受攻擊的可能性就更大。,案例2-2,2.

13、3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,隨著無(wú)線網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，其安全性越來(lái)越引起人們的關(guān)注。主要包括訪問(wèn)控制和數(shù)據(jù)加密兩個(gè)方面，訪問(wèn)控制保證機(jī)密數(shù)據(jù)只能由授權(quán)用戶(hù)訪問(wèn)，而數(shù)據(jù)加密則要求發(fā)送的數(shù)據(jù)只能被授權(quán)用戶(hù)所接受和使用。 無(wú)線網(wǎng)絡(luò)在數(shù)據(jù)傳輸時(shí)以微波進(jìn)行輻射傳播，只要在無(wú)線接入點(diǎn)AP（Access Point）覆蓋范圍內(nèi)，所有無(wú)線終端都可能接收到無(wú)線信號(hào)。AP無(wú)法將無(wú)線信號(hào)定向到一個(gè)特定的接受設(shè)備，時(shí)常有無(wú)線網(wǎng)絡(luò)用戶(hù)被他人免費(fèi)蹭網(wǎng)接入、盜號(hào)或泄密等，因此，無(wú)線網(wǎng)絡(luò)的安全威脅、風(fēng)險(xiǎn)和隱患更加突出。 無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及隱患，如圖2-5所示。,2.3.1 無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患,2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述

14、,圖2-5無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及隱患示意圖,2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,無(wú)線接入點(diǎn)AP用于實(shí)現(xiàn)無(wú)線客戶(hù)端之間的信號(hào)互聯(lián)和中繼，其安全措施包括： 1) 修改admin密碼 2) WEP加密傳輸.數(shù)據(jù)加密是實(shí)現(xiàn)網(wǎng)絡(luò)安全一項(xiàng)重要技術(shù),可通過(guò) 協(xié)議WEP進(jìn)行。主要用途： (1)防止數(shù)據(jù)被途中惡意篡改或偽造。 (2)用WEP加密算法對(duì)數(shù)據(jù)加密。 (3)防止未授權(quán)用戶(hù)對(duì)網(wǎng)絡(luò)訪問(wèn)。 3) 禁用DHCP服務(wù) 4) 修改SNMP字符串 5) 禁止遠(yuǎn)程管理 6) 修改SSID標(biāo)識(shí) 7) 禁止SSID廣播 8) 過(guò)濾MAC地址(定義網(wǎng)絡(luò)設(shè)備的位置 ) 9) 合理放置無(wú)線AP 10) WPA用戶(hù)認(rèn)證（有WPA 和 WP

15、A2兩個(gè)標(biāo)準(zhǔn),是一種保護(hù)無(wú)線網(wǎng) (Wi-Fi)安全的系統(tǒng) ）,2.3.2 無(wú)線網(wǎng)絡(luò)AP及路由安全,1. 無(wú)線接入點(diǎn)安全,有線等效保密協(xié)議對(duì)兩臺(tái)設(shè)備間無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密方式,用以防止非法用戶(hù)竊聽(tīng)/侵入,初始化字符串（服務(wù)集標(biāo)識(shí)）SSID技術(shù)可將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng),各子網(wǎng)都需獨(dú)立身份驗(yàn)證,只有通過(guò)驗(yàn)證的用戶(hù)才可進(jìn)入相應(yīng)子網(wǎng),防止未授權(quán)用戶(hù)進(jìn)入本網(wǎng),動(dòng)態(tài)主機(jī)設(shè)置協(xié)議/簡(jiǎn)單網(wǎng)管協(xié)議,Wi-Fi網(wǎng)絡(luò)安全存取,2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,2無(wú)線路由器安全 除了可采用無(wú)線AP的安全策略外,還應(yīng)采用如下安全策略. (1) 利用網(wǎng)絡(luò)防火墻功能，加強(qiáng)防護(hù)能力。 (2) IP地址過(guò)濾

16、，進(jìn)一步提高無(wú)線網(wǎng)絡(luò)的安全性。,2.3.3 IEEE802.1x身份認(rèn)證,IEEE 802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，以網(wǎng)絡(luò)設(shè)備的物理接入級(jí)（交換機(jī)設(shè)備的端口.連接在該類(lèi)端口）對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制。 IEEE 802.1x認(rèn)證過(guò)程為： （1）無(wú)線客戶(hù)端向AP發(fā)送請(qǐng)求，嘗試與AP進(jìn)行通信。 （2）AP將加密數(shù)據(jù)發(fā)送給驗(yàn)證服務(wù)器進(jìn)行用戶(hù)身份認(rèn)證。 （3）驗(yàn)證服務(wù)器確認(rèn)用戶(hù)身份后，AP允許該用戶(hù)接入。 （4）建立網(wǎng)絡(luò)連接后授權(quán)用戶(hù)通過(guò)AP訪問(wèn)網(wǎng)絡(luò)資源。,2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,用IEEE 802.1x和EAP作為身份認(rèn)證的無(wú)線網(wǎng)絡(luò)， 可分為如圖2-6所示的3個(gè)主要部分。 （1）

17、請(qǐng)求者。運(yùn)行在無(wú)線工作站上的軟件客戶(hù)端。 （2）認(rèn)證者。無(wú)線訪問(wèn)點(diǎn)。 （3）認(rèn)證服務(wù)器。作為一個(gè)認(rèn)證數(shù)據(jù)庫(kù),通常是一個(gè)RADIUS服務(wù)器的形式，如微軟公司的IAS等。,2.3.3 IEEE802.1x身份認(rèn)證,圖2-6 使用802.1x及EAP身份認(rèn)證的無(wú)線網(wǎng)絡(luò),遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證系統(tǒng)是應(yīng)用最廣泛的AAA協(xié)議(認(rèn)證、授權(quán)、審計(jì)（記帳）),互聯(lián)網(wǎng)認(rèn)證服務(wù),2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,2.3.4 無(wú)線網(wǎng)絡(luò)安全技術(shù)應(yīng)用,無(wú)線網(wǎng)絡(luò)在不同的應(yīng)用環(huán)境對(duì)其安全性的需求不同,以(美)AboveCable公司的無(wú)線網(wǎng)絡(luò)安全技術(shù)作為實(shí)例。為了更好地發(fā)揮無(wú)線網(wǎng)絡(luò)“有線速度無(wú)線自由”的特性，該公司根據(jù)長(zhǎng)期積累的經(jīng)驗(yàn)，

18、針對(duì)各行業(yè)對(duì)無(wú)線網(wǎng)絡(luò)的需求，制定了一系列的安全方案，最大程度上方便用戶(hù)構(gòu)建安全的無(wú)線網(wǎng)絡(luò)，節(jié)省不必要的經(jīng)費(fèi)。 1. 小型企業(yè)及家庭用戶(hù) 2. 倉(cāng)庫(kù)物流、醫(yī)院、學(xué)校和餐飲娛樂(lè)行業(yè) 3. 公共場(chǎng)所及網(wǎng)絡(luò)運(yùn)營(yíng)商、大中型企業(yè)和金融機(jī)構(gòu),2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,1. 藍(lán)牙安全網(wǎng)絡(luò)的組成 一個(gè)基于藍(lán)牙技術(shù)的移動(dòng)網(wǎng)絡(luò)終端可以由藍(lán)牙芯片及所嵌入的硬件設(shè)備、藍(lán)牙的核心協(xié)議棧、藍(lán)牙支持協(xié)議棧和應(yīng)用層協(xié)議4部分組成。對(duì)于基于藍(lán)牙技術(shù)的安全移動(dòng)網(wǎng)絡(luò)終端由5部分組成，除了上述4個(gè)部分之外還包括安全管理系統(tǒng)。 2. 藍(lán)牙安全模式及機(jī)制 根據(jù)藍(lán)牙設(shè)備不同安全需求,國(guó)際標(biāo)準(zhǔn)規(guī)定種安全模式: （1）一般的藍(lán)牙設(shè)備不具有接

19、受信息安全管理功能。 （2）藍(lán)牙設(shè)備采用信息安全管理并執(zhí)行安全保護(hù)和處理 （3）藍(lán)牙設(shè)備采用信息安全管理和安全保護(hù)及處理機(jī)制,*2.3.5 藍(lán)牙無(wú)線網(wǎng)絡(luò)安全,2.3 無(wú)線網(wǎng)絡(luò)安全技術(shù)概述,3. 藍(lán)牙無(wú)線網(wǎng)絡(luò)安全舉措 1) DH方案（動(dòng)態(tài)對(duì)等群密鑰管理 ） 2) RSA（加密）方案 在鑒別和認(rèn)證的過(guò)程中，藍(lán)牙設(shè)備可以實(shí)現(xiàn)設(shè)備鑒別，也可以實(shí)現(xiàn)用戶(hù)身份鑒別，此外，還有以下優(yōu)點(diǎn)： （1）不僅可對(duì)設(shè)備認(rèn)證，還可對(duì)用戶(hù)的身份認(rèn)證，防止冒用和偽造設(shè)備。 （2）加密安全可靠、方法靈活。 （3）數(shù)據(jù)的完整性。,討論思考： (1) 無(wú)線網(wǎng)絡(luò)安全管理的基本方法是什么？ (2) 無(wú)線網(wǎng)絡(luò)在不同環(huán)境下的使用對(duì)安全性的要

20、求有何不同？,2.4 常用網(wǎng)絡(luò)安全管理命令,2.4.1 網(wǎng)絡(luò)連通性及端口掃描命令,常用的網(wǎng)絡(luò)管理命令有5個(gè):判斷主機(jī)是否連通的ping命令,查看IP地址配置情況的ipconfig命令，查看網(wǎng)絡(luò)連接狀態(tài)的netstat命令，進(jìn)行網(wǎng)絡(luò)操作的net命令和行定時(shí)器操作的at命令。此外，在具體網(wǎng)絡(luò)安全管理中，還使用以下工具。,1. ping命令 ping命令的主要功能是通過(guò)發(fā)送Internet控制報(bào)文協(xié)議ICMP包，檢驗(yàn)與另一臺(tái)TCP/IP主機(jī)的IP級(jí)連通情況。網(wǎng)絡(luò)管理員常用這個(gè)命令檢測(cè)網(wǎng)絡(luò)的連通性和可到達(dá)性。同時(shí)，可將應(yīng)答消息的接收情況將和往返過(guò)程的次數(shù)一起進(jìn)行顯示。,如果只使用不帶參數(shù)的ping命令

21、，窗口將會(huì)顯示命令及其各種參數(shù)使用的幫助信息，如圖2-7所示。使用ping命令的語(yǔ)法格式是：ping 對(duì)方計(jì)算機(jī)名或者IP地址。如果連通的話(huà)，返回的連通信息如圖2-8所示。,2.4 網(wǎng)絡(luò)安全常用命令,圖2-7 使用ping命令的幫助信息 圖2-8 利用ping命令檢測(cè)網(wǎng)絡(luò)的連通性,案例2-5,2.4.1 網(wǎng)絡(luò)連通性及端口掃描命令,2. Quickping和其他命令 Quickping命令可以快速探測(cè)網(wǎng)絡(luò)中運(yùn)行的所有主機(jī)情況。也可以使用跟蹤網(wǎng)絡(luò)路由程序Tracert命令、TraceRoute程序和Whois程序進(jìn)行端口掃描檢測(cè)與探測(cè)，還可以利用網(wǎng)絡(luò)掃描工具軟件進(jìn)行端口掃描檢測(cè)，常用的網(wǎng)絡(luò)掃描工具

22、包括：SATAN、NSS、Strobe、Superscan和SNMP等。,2.4 網(wǎng)絡(luò)安全常用命令,2.4.1 網(wǎng)絡(luò)連通性及端口掃描命令,使用不帶參數(shù)的ipconfig可顯示所有適配器的IP地址,子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān).在DOS命令行下輸入ipconfig命令,如圖2-9所示.利用“ipconfig /all”可查看所有完整的TCP/IP配置信息。對(duì)于具有自動(dòng)獲取IP地址的網(wǎng)卡.則可利用“ipconfig /renew命令”更新DHCP的配置。,2.4 網(wǎng)絡(luò)安全常用命令,2.4.2網(wǎng)絡(luò)配置信息顯示及設(shè)置命令 ipconfig命令的主要功能是顯示所有TCP/IP網(wǎng)絡(luò)配置信息、刷新動(dòng)態(tài)主機(jī)配置協(xié)議DH

23、CP（Dynamic Host Configuration Protocol）和域名系統(tǒng)DNS設(shè)置。,案例2-6,圖2-9 用ipconfig命令查看本機(jī)IP地址,netstat命令的主要功能是顯示活動(dòng)的連接、計(jì)算機(jī)監(jiān)聽(tīng)的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP 路由表、IPv4統(tǒng)計(jì)信息（IP、ICMP、TCP和UDP協(xié)議）。使用“netstat -an”命令可以查看目前活動(dòng)的連接和開(kāi)放的端口，是網(wǎng)絡(luò)管理員查看網(wǎng)絡(luò)是否被入侵的最簡(jiǎn)單方法。使用的方法如圖2-10所示。 。,2.4 網(wǎng)絡(luò)安全常用命令,2.4.3連接監(jiān)聽(tīng)端口顯示命令,圖2-10用“netstat -an”命令查看連接和開(kāi)放的端口,2.4.4 查詢(xún)

24、刪改用戶(hù)信息命令 net命令的主要功能是查看計(jì)算機(jī)上的用戶(hù)列表、添加和刪除用戶(hù)、與對(duì)方計(jì)算機(jī)建立連接、啟動(dòng)或者停止某網(wǎng)絡(luò)服務(wù)等.,利用 net user 查看計(jì)算機(jī)上的用戶(hù)列表, 以“ net user用戶(hù)名密碼”給某用戶(hù)修改密碼，如把管理員的密碼修改成 123456 ，如圖2-11所示。 還可以用“ net user用戶(hù)名密碼”為用戶(hù)修改密碼 ，如將管理員密碼改為“123456”，如圖2-12所示。,2.4 網(wǎng)絡(luò)安全常用命令,案例2-7,圖2-11用net user查看計(jì)算機(jī)上的用戶(hù)列表 圖2-12用net user修改用戶(hù)密碼,2.4.4 查詢(xún)刪改用戶(hù)信息命令,建立用戶(hù)并添加到管理員組.

25、利用net 命令可以新建一個(gè)用戶(hù)名為jack的用戶(hù)，然后，將此用戶(hù)添加到密碼為“123456”的管理員組。如圖2-13所示。 案例名稱(chēng)：添加用戶(hù)到管理員組 文件名稱(chēng)：2-4-1.bat net user jack 123456 /add net localgroup administrators jack /add net user,2.4 網(wǎng)絡(luò)安全常用命令,案例2-8,圖2-13 添加用戶(hù)到管理員組,與對(duì)方計(jì)算機(jī)建立信任連接。 擁有某主機(jī)的用戶(hù)名和密碼，就可以利用 IPC$（Internet Protocol Control）與該主機(jī)建立信任連接，之后便可以在命令行下完全控制對(duì)方計(jì)算機(jī)。 得

26、到IP為09計(jì)算機(jī)的管理員密碼為123456可以利用命令 net use 09ipc$ 123456 /user: administrator，如圖2-14所示。建立連接以后，便可以通過(guò)網(wǎng)絡(luò)操作對(duì)方的計(jì)算機(jī)，如查看對(duì)方計(jì)算機(jī)上的文件，如圖2-15所示。,2.4 網(wǎng)絡(luò)安全常用命令,圖2-14 與對(duì)方計(jì)算機(jī)建立信任連接 圖2-15 查看對(duì)方計(jì)算機(jī)的文件,案例2-9,案例名稱(chēng)：創(chuàng)建定時(shí)器 在得知對(duì)方系統(tǒng)管理員的密碼為123456，并與對(duì)方建立信任連接以后，在對(duì)方主機(jī)建立一個(gè)任務(wù)。執(zhí)行結(jié)果如圖2-16所示。 文件名稱(chēng)：2-4-2.bat net use *

27、/del net use 09ipc$ 123456 /user:administrator net time 09 at 8:40 notepad.exe,2.4 網(wǎng)絡(luò)安全常用命令,2.4.5 創(chuàng)建任務(wù)命令 主要利用at命令在與對(duì)方建立信任連接后,創(chuàng)建一個(gè)計(jì)劃任務(wù), 并設(shè)置執(zhí)行時(shí)間。,案例2-10,討論思考： （1）網(wǎng)絡(luò)安全管理常用的命令有哪幾個(gè)？ （2）網(wǎng)絡(luò)安全管理常用的命令格式怎樣？,2.4 網(wǎng)絡(luò)安全常用命令,2.4.5 創(chuàng)建任務(wù)命令,圖2-16 創(chuàng)建定時(shí)器,2.5.2 實(shí)驗(yàn)要求,2.5 無(wú)線網(wǎng)絡(luò)安全設(shè)置實(shí)驗(yàn),1. 實(shí)驗(yàn)設(shè)備 本實(shí)驗(yàn)需要使用至少

28、兩臺(tái)安裝有Windows操作系統(tǒng)的計(jì)算機(jī)，并安裝有無(wú)線網(wǎng)卡。 2. 預(yù)習(xí)及注意事項(xiàng) (1) 預(yù)習(xí)準(zhǔn)備 由于本實(shí)驗(yàn)內(nèi)容是對(duì)Windows XP操作系統(tǒng)進(jìn)行無(wú)線網(wǎng)絡(luò)安全配置，需要提前熟悉Windows XP操作系統(tǒng)的相關(guān)操作。 (2) 注意理解實(shí)驗(yàn)原理和各步驟的含義 對(duì)于操作的每一步要著重理解其原理，對(duì)于無(wú)線網(wǎng)絡(luò)安全機(jī)制要充分理解其作用和含義。 (3) 實(shí)驗(yàn)學(xué)時(shí)：2學(xué)時(shí)（90-100分鐘）,無(wú)線網(wǎng)絡(luò)技術(shù)的應(yīng)用非常廣泛，在上述無(wú)線網(wǎng)絡(luò)安全基本技術(shù)及應(yīng)用的基礎(chǔ)上，還要掌握小型無(wú)線網(wǎng)絡(luò)的構(gòu)建及其安全設(shè)置方法，進(jìn)一步了解無(wú)線網(wǎng)絡(luò)的安全機(jī)制，理解以WEP算法為基礎(chǔ)的身份驗(yàn)證服務(wù)和加密服務(wù)。,2.5.1 實(shí)驗(yàn)

29、目的,2.5.3 實(shí)驗(yàn)內(nèi)容及步驟 1. SSID和WEP設(shè)置, 在安裝了無(wú)線網(wǎng)卡的計(jì)算機(jī)上,從“控制面板”打開(kāi)“網(wǎng)絡(luò)連接”窗口,如圖2-17所示. 右擊“無(wú)線網(wǎng)絡(luò)連接”圖標(biāo)，在彈出的快捷菜單中選擇“屬性”選項(xiàng)，打開(kāi)“無(wú)線網(wǎng)絡(luò) 屬性”對(duì)話(huà)框，選中“無(wú)線網(wǎng)絡(luò)配置”選項(xiàng)卡中的“用Windows配置我的無(wú)線網(wǎng)絡(luò)設(shè)置”復(fù)選框，如圖2-18所示。,圖2-17 “網(wǎng)絡(luò)連接”窗口 圖2-18 “無(wú)線網(wǎng)絡(luò)連接屬性”對(duì)話(huà)框,2.5 無(wú)線網(wǎng)絡(luò)安全設(shè)置實(shí)驗(yàn),2.5.3 實(shí)驗(yàn)內(nèi)容及步驟, 單擊“首選網(wǎng)絡(luò)“選項(xiàng)組中的“添加”按鈕，顯示“無(wú)線網(wǎng)絡(luò)屬性”對(duì)話(huà)框，如圖2-19所示。該對(duì)話(huà)框用來(lái)設(shè)置網(wǎng)絡(luò)。 單擊“確定”按鈕，返回“無(wú)線網(wǎng)絡(luò)配置”選項(xiàng)卡，所添加的網(wǎng)絡(luò)顯示在“首選網(wǎng)絡(luò)”選項(xiàng)組中。 單擊“高級(jí)”按鈕，打開(kāi)“高級(jí)”對(duì)話(huà)框，如圖2-20所示。選中“僅計(jì)算機(jī)到計(jì)算機(jī)（特定）”單選按鈕。 單擊“關(guān)閉”按鈕返回再單擊“確定”,圖2-19 “無(wú)線網(wǎng)絡(luò)屬性”對(duì)話(huà)框 圖2-20 “高級(jí)”對(duì)話(huà)框,2.5 無(wú)線網(wǎng)絡(luò)安全設(shè)置實(shí)驗(yàn),2. 運(yùn)行無(wú)線網(wǎng)絡(luò)安全向?qū)?Windows提供了“無(wú)線網(wǎng)絡(luò)安全向?qū)А痹O(shè)置無(wú)線網(wǎng)絡(luò),可將其他計(jì)算機(jī)加入該網(wǎng)絡(luò). 在“無(wú)線網(wǎng)絡(luò)連接”窗口中單擊“為家庭或小型辦公室設(shè)置無(wú)線網(wǎng)絡(luò)”，顯示“無(wú)線網(wǎng)絡(luò)安裝向?qū)А睂?duì)話(huà)框，如圖2-21所示。 單擊“下一步”按鈕，顯示“為您的無(wú)線網(wǎng)絡(luò)創(chuàng)建名稱(chēng)”對(duì)