《吴功宜网络4版全教学全套课件第8章:网络安全》由会员分享,可在线阅读,更多相关《吴功宜网络4版全教学全套课件第8章:网络安全(63页珍藏版)》请在金锄头文库上搜索。
1、计算机网络 (第4版) 吴功宜 吴英 编著,普通高等教育精品教材 普通高等教育“十二五”国家级规划教材,第8章 网络安全,计算机网络(第4版)第8章 网络安全,本章学习要求: 了解:网络空间安全的基本概念 了解:网络安全研究的主要内容 了解:网络安全协议研究的主要内容 理解:网络攻击与防御的基本内容 理解:入侵检测的基本概念与方法 掌握:防火墙的概念及应用,计算机网络(第4版)第8章 网络安全,3,本章知识点结构,计算机网络(第4版)第8章 网络安全,4,8.1 网络空间安全与网络安全的基本概念 8.1.1 网络空间安全概念的提出,“网络空间(Cyberspace)”被看作是与国家“领土、领海
2、、领空、太空”等四大常规空间同等重要的“第五空间” 我国网络空间安全政策是建立在“没有网络安全就没有国家安全”的理念之上的 网络空间安全涵盖的主要内容,计算机网络(第4版)第8章 网络安全,5,8.1.2 网络空间安全理论体系,网络空间安全研究的基本内容,6,计算机网络(第4版)第8章 网络安全,8.1.3 OSI安全体系结构,OSI安全体系结构提出了网络安全体系结构的三个概念:安全攻击、安全服务、安全机制 安全 攻击,7,计算机网络(第4版)第8章 网络安全,2. 网络安全服务 认证:提供对通信实体和数据来源认证与身份鉴别 访问控制:通过对用户身份认证和用户权限的确认,防治未授权用户非法使用
3、系统资源 数据机密性:防止数据在传输过程中被泄漏或被窃听 数据完整性:确保接收的数据与发送数据的一致性,防止数据被修改、插入、删除或重放 防抵赖:确保数据有特定的用户发出,证明由特定的一方接收,防止发送方在发送数据后否认,或接收方在收到数据后否认现象的发生,8,计算机网络(第4版)第8章 网络安全,3. 网络安全机制 加密(Encryption) 访问控制(Access Control) 数据完整性(Data Integrity) 认证(Authentication) 流量填充(Traffic Padding) 路由控制(Routing Control) 公正(Notarization),9,
4、计算机网络(第4版)第8章 网络安全,4. 网络安全模型与网络安全访问模型 (1)网络安全模型,10,计算机网络(第4版)第8章 网络安全,实现网络安全模型需要完成四项基本任务: 设计用于对数据加密与解密的算法 对传输的数据进行加密 对接收的加密数据进行解密 制定加密、解密的密钥分发与管理协议,(2)网络访问安全模型,11,计算机网络(第4版)第8章 网络安全,5. 用户对网络安全的需求,可用性:在可能发生的突发事件(停电、自然灾害、事故或攻击等)情况下,计算机网络仍然可以处于正常运转状态,用户可以使用各种网络服务 机密性:保证网络中的数据不被非法截获或被非授权用户访问,保护敏感数据和涉及个人
5、隐私信息的安全 完整性:保证在网络中传输、存储的完整,数据没有被修改、插入或删除 不可否认性:确认通信双方的身份真实性,防止对已发送或已接收的数据否认现象的出现 可控性:能够控制与限定网络用户对主机系统、网络服务与网络信息资源的访问和使用,防止非授权用户读取、写入、删除数据,12,计算机网络(第4版)第8章 网络安全,8.1.4 网络安全研究的主要内容,可能存在的网络攻击,13,计算机网络(第4版)第8章 网络安全,物联网面临着更加严峻 的网络安全威胁,网络安全技术研究的内容主要包括: IPv4/IPv6安全 VPN 网络安全协议 无线通信安全 网络通信安全 网络攻击与防护 网络漏洞检测与防护
6、 入侵检测与防御 防火墙技术,14,计算机网络(第4版)第8章 网络安全,8.2 加密与认证技术 8.2.1 密码算法与密码体制的基本概念 1加密算法与解密算法,15,计算机网络(第4版)第8章 网络安全,2密钥的作用,加密算法和解密算法的操作通常都是在一组密钥控制下进行的 密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥 传统密码体制所用的加密密钥和解密密钥相同,也称为“对称密码体制” 如果加密密钥和解密密钥不相同,则称为非对称密码体制 从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系 在设计加密系统时,加密算法是可以公开
7、的,真正需要保密的是密钥 现代密码学的基本原则是“一切秘密寓于密钥之中”,16,计算机网络(第4版)第8章 网络安全,置位密码(凯撒密码) 易位密码法,17,计算机网络(第4版)第8章 网络安全,3什么是密码 加密技术可以分为密钥和加密算法两部分 密码是明文经过加密算法运算后的结果 密码是含有一个参数k的数学变换,即 C = Ek(m) 其中,m是未加密的信息(明文),C是加密后的信息(密文),E是加密算法,参数k称为“密钥” 密文C是明文m使用密钥k,经过加密算法计算后的结果,18,计算机网络(第4版)第8章 网络安全,4密钥长度 对于同一种加密算法,密钥的位数越长,破译的困难也就越大,安全
8、性也就越好,19,计算机网络(第4版)第8章 网络安全,8.2.2 对称密码体系,对称加密的工作原理,计算机网络(第4版)第8章 网络安全,20,8.2.3 非对称密码体系,非对称加密的工作原理,计算机网络(第4版)第8章 网络安全,21,8.2.4 公钥基础设施PKI,PKI工作原理示意图,计算机网络(第4版)第8章 网络安全,22,8.2.5 数字签名技术,数字签名的工作原理示意图,计算机网络(第4版)第8章 网络安全,23,8.2.6 身份认证技术的发展,所知:个人所掌握的密码、口令 所有:个人的身份证、护照、信用卡、钥匙 个人特征:人的指纹、声音、笔迹、手型、脸 型、血型、视网膜、虹膜
9、、DNA, 以及个人动作方面的特征 根据安全要求和用户可接受的程度,以及成本等因素,可以选择适当的组合,来设计一个自动身份认证系统。,计算机网络(第4版)第8章 网络安全,24,8.3 网络安全协议,8.3.1 网络安全协议的基本概念 网络安全协议设计的要求是实现协议执行过程中的认证性、机密性、完整性与不可否认性。 网络安全协议的研究与标准的制定涉及网络层、传输层与应用层。,计算机网络(第4版)第8章 网络安全,25,8.3.2 网络层安全与IPSec协议、IPSec VPN,1. IPSec安全体系结构 IPSec的安全服务是在IP层提供的。 IPSec安全体系主要是由:认证头协议、封装安全
10、载荷协议与Internet密钥交换协议等组成。 认证头协议用于增强IP协议的安全性,提供对IP分组源认证、IP分组数据传输完整性与防重放攻击的安全服务。 封装安全载荷协议提供对IP分组源认证、IP分组数据完整性、秘密性与防重放攻击的安全服务。 Internet密钥交换协议用于协商AH协议与ESP协议所使用的密码算法与密钥管理体制。 IPSec对于IPv4是可选的,而是IPv6基本的组成部分。,计算机网络(第4版)第8章 网络安全,26,AH协议基本工作原理 传输模式的AH协议原理示意图,计算机网络(第4版)第8章 网络安全,27,隧道模式ESP工作原理示意图,计算机网络(第4版)第8章 网络安
11、全,28,8.3.4 传输层安全与SSL、TLP协议,SSL协议在层次结构中的位置,计算机网络(第4版)第8章 网络安全,29,8.3.4 应用层安全与PGP、SET协议,数字信封工作原理示意图,计算机网络(第4版)第8章 网络安全,30,SET结构示意图,计算机网络(第4版)第8章 网络安全,31,8.4 网络攻击与防御 8.4.1 网络攻击的基本概念,1.网络攻击的分类 漏洞攻击 欺骗攻击 DoS与DDoS 对防火墙的攻击 恶意软件与病毒攻击,计算机网络(第4版)第8章 网络安全,32,8.4.2 DoS攻击与DDoS攻击 1. DoS攻击的基本概念,33,计算机网络(第4版)第8章 网络
12、安全,DDoS攻击的特征为: 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用数据包,并且数据包的源地址是伪造的 大量无用数据包造成网络拥塞,使被攻击的主机无法正常地与外界通信 被攻击主机无法正常回复合法用户的服务请求 严重时会造成主机系统瘫痪,34,计算机网络(第4版)第8章 网络安全,8.5 入侵检测技术,8.5.1 入侵检测的基本概念 入侵检测系统(IDS)是对计算机和网络资源的恶意使用行为进行识别的系统。 它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并采取相应的防护手段。,计算机网络(第4版)第8章 网络安全,35,入侵检测系
13、统的基本功能主要有: 监控、分析用户和系统的行为 检查系统的配置和漏洞 评估重要的系统和数据文件的完整性 对异常行为的统计分析,识别攻击类型,并向网络管理人员报警 对操作系统进行审计、跟踪管理,识别违反授权的用户活动,计算机网络(第4版)第8章 网络安全,36,入侵检测系统IDS的通用框架结构,计算机网络(第4版)第8章 网络安全,37,8.5.2 入侵检测的基本方法,基于主机的入侵检测系统的基本结构,计算机网络(第4版)第8章 网络安全,38,基于网络的入侵检测系统的基本结构,计算机网络(第4版)第8章 网络安全,39,8.5.3 蜜罐技术的基本概念,蜜罐(honeypot)是一个包含漏洞的
14、诱骗系统,通过模拟一个主机、服务器或其他网络设备,给攻击者提供一个容易攻击的目标,用来被攻击和攻陷。 设计蜜罐系统希望达到以下三个主要目的: 转移网络攻击者对有价值的资源的注意力,保护网 络中有价值的资源。 通过对攻击者的攻击目标、企图、行为与破坏方式 等数据的收集、分析,了解网络安全状态,研究相 应的对策。 对入侵者的行为和操作过程进行记录,为起诉入侵 者搜集有用的证据。,计算机网络(第4版)第8章 网络安全,40,8.6 防火墙技术,8.6.1 防火墙的基本概念 防火墙的位置与作用,计算机网络(第4版)第8章 网络安全,41,8.6.2 包过滤路由器,包过滤路由器的结构,计算机网络(第4版
15、)第8章 网络安全,42,包过滤的工作流程,计算机网络(第4版)第8章 网络安全,43,包过滤路由器作为防火墙的结构,计算机网络(第4版)第8章 网络安全,44,包过滤规则表,计算机网络(第4版)第8章 网络安全,45,8.6.3 应用级网关的概念,典型的多归属主机结构示意图,计算机网络(第4版)第8章 网络安全,46,应用级网关原理示意图,计算机网络(第4版)第8章 网络安全,47,应用代理工作原理示意图,计算机网络(第4版)第8章 网络安全,48,8.6.4 防火墙的系统结构,应用级网关结构示意图,计算机网络(第4版)第8章 网络安全,49,采用S-B1配置的防火墙系统结构,计算机网络(第
16、4版)第8章 网络安全,50,包过滤路由器的转发过程,计算机网络(第4版)第8章 网络安全,51,S-B1配置的防火墙系统层次结构示意图,计算机网络(第4版)第8章 网络安全,52,S-B1-S-B1配置的防火墙系统结构示意图,计算机网络(第4版)第8章 网络安全,53,8.6.5 防火墙报文过滤规则制定方法,用防火墙保护的内部网络结构示意图,计算机网络(第4版)第8章 网络安全,54,ICMP报文过滤规则,计算机网络(第4版)第8章 网络安全,55,对Web访问的报文过滤规则,计算机网络(第4版)第8章 网络安全,56,对FTP访问报文的过滤规则,计算机网络(第4版)第8章 网络安全,57,E-Mail服务的报文过滤规则,计算机网络(第4版)第8章 网络
