《第7章网络安全教学文稿》由会员分享,可在线阅读,更多相关《第7章网络安全教学文稿(199页珍藏版)》请在金锄头文库上搜索。
1、第7章 网络安全,本章要点,网络安全与独立系统安全有何相似与不同 网络应用程序所面临的威胁:拒绝服务、网站被“黑”、恶意移动代码和协议攻击 防止网路攻击的控制措施:物理安全、策略与规程以及大量的控制技术 防火墙的原理、功能和限制 入侵检测系统的种类、功能与局限 安全电子邮件:PGP和S/MIME,我们每天都在跟网络打交道。网络攻击确实是一个至关重要的问题。本章将描述是什么使得网络安全与前面讲过的应用程序和操作安全既有区别又有相似之处。由于网络的增长和变化速度比计算机科学其他方面的发展速度更快,因此,不可能介绍所有最流行的攻击与防御技术。但新的形式和变化都是建立在一些基础知识之上的。这些知识包括
2、:网络基本概念、网络威胁和网络控制等。,7.1 网络的概念,由于网络存在单一故障点(single point of failure),所以是脆弱的。但是网络具有恢复(resilience)或容错能力(fault tolerance),所以又是健壮的。一般认为,网络的中间部分很健壮,但其周边却是脆弱的。 在一般用户的眼里,一个网络看起来就像一个设计成两端由中间的一条单线连接起来的东西。这里,我们在描述计算机网络时,着重介绍安全的概念,同时也以简化的方式描述网络本身,而避免让网络的复杂性分散注意力。注意,我们描述的网络是对更复杂的实际网络的抽象。,7.1.1 网络(续),但实际网络的状况显然要比这
3、复杂得多。 (1) 执行用户到计算机通信的简单网络设备通常是一台微型计算机或者工作站,因此,客户端具有相当大的存储容量和计算能力。 (2) 一个网络可以配置为单个客户与服务器相连,但在通常情况下,是多客户与多个服务器交互的。 (3) 网络服务通常是由很多台计算机一起提供的。单个用户会话在客户与服务器之间来回传送消息的过程中,需要经过一些中间计算机。但这些计算机中的部分如果正在实现其他重要的交互服务,则消息可能被暂停传输。 (4) 在终端用户接受服务的过程中,通常不会意识到发生了很多会话和计算工作。,7.1.1 网络(续),通常,网络中的一个单一的计算系统称为一个节点(node),其任务处理设备
4、(计算机)称为主机(host)。两台主机之间的连接称为链路(link),网络计算由许多用户、通信介质、可见主机和通常对终端用户不可见的系统组成。系统是一个处理器的集合,通常都具有比工作站(workstation)更强的处理能力和更大的存储空间。,图 7.2 更复杂但更典型的网络示意图,7.1.1 网络(续),使用环境 网络具有以下几个典型的特征: (1) 匿名性:网络隐藏了通信者绝大多数的特征,如相貌、声音以及环境,而在通常情况下,我们是以这些特征相互认识的。 (2) 自动性:通信自动完成。 (3) 远程性。 (4) 透明性:用户甚至不清楚当前通信的主机与上一次通信的主机是否相同。 (5) 路
5、由的多样性:为了维护和提高网络的可靠和性能,通信路由通常动态分配。,7.1.1 网络(续),外形和尺寸 网络按照节点和连接的形式进行组织的方式,称为网络的拓扑结构(topology)。其与安全相关的特性有: (1) 边界:边界将一个网络的元素与不属于该网络的元素区分开来。 (2) 拥有关系:要想知道网络中每台主机的拥有者是很困难的。 (3) 控制:如果说拥有关系是不确定的,那么控制也就是不确定的了。,7.1.1 网络(续),通信模式 数据的通信要么采用数字(digital)格式(传输的数据以离散的二进制数值表示),要么采用模拟(analog)格式(传输的数据以连接范围的一系列点来表示,使用的介
6、质采用声音或者电压)。转换工作由调制解调器来完成,可以实现数字和模拟信号之间的双向转换。,7.1.2 传输介质,通信可以使用几种传输介质: (1) 电缆:可以是双绞线(twisted pair)或者无屏蔽双绞线(unshielded twisted pair, UTP)也可以是同轴电缆(coaxial (coax) cable)。 (2) 光纤:采用极细的玻璃作为传输介质。传输的是光束而不是电能。光纤介质所产生的串扰非常低、价格和重量相对铜线而言都低得多。铜线逐渐被光纤所取代。 (3) 无线:采用无线电信号传送通信信号。很多符合802.11协议的设备都适用于建立办公室或者家庭无线网络。,7.1
7、.2 传输介质(续),(4) 微波:微波信道的容量与双绞线相当。微波信号必须在小于相距49公里的地方进行中继。 (5) 红外:红外线通信传输距离不超过11.5公里。由于传输直线的要求和距离的限制,红外线一般只在像办公室那样有保护措施的范围内使用。 (6) 卫星:卫星通信链路的质量通常比在地球上铺设的电缆更好。卫星通常在一个很广的范围内传播通信信号。从使用性考虑总是希望信号覆盖很宽的范围,但是覆盖范围越窄,被窃听的危险就越低。,7.1.3 协议,通信可以与实际的通信介质相互分开。协议(protocol)的定义使得这一独立性的实现成为可能,允许用户以一个较高的、抽象的通信层次看待网络。在通信的两端
8、,通信完成的细节过程通过硬件和软件技术被隐藏了。这些硬件和软件依据协议栈(protocol stack)行事。协议栈中的每一层都像是定义了一种语言,使用该语言就可实现在该层中相关信息之间的相互交流。 目前,网络中用得最多的是两种协议栈:开放系统互连协议(OSI)体系和传输控制与互连协议(TCP/IP)体系。,7.1.3 协议(续),ISO OSI参考模型 OSI参考模型包含7层。我们可以把这些层看成是在一条装配线,每一层将自己提供的服务添加到整个通信过程中。,表 7.1 OSI协议中的层,7.1.3 协议(续),图 7.3 ISO OSI网络模型,发送和接收方的平行层也称为“对等层”(peer
9、s),7.1.3 协议(续),寻址 在网络层(3),一种称为路由器(router)的设备会将消息准确地从源地址发送到目的地址。网络层所建立的目的地址、源地址和其中的数据一起,合称为一个包(packet)。,图 7.4 网络层传输,7.1.3 协议(续),每一台计算机都通过一块网络接口卡(Network Interface Card,NIC)连接到一个网络,在网络接口卡上有一个唯一的物理地址,称为MAC地址(MAC为Media Access Control的缩写)。在数据链路层,另外加上了两个头部,其中一个是计算机上的NIC地址(源MAC地址),另一个是路由器上的NIC地址(目的MAC地址) 。
10、包含目的MAC地址、源MAC地址和数据的数据链路层结构称为一个帧(frame)。,图 7.5 数据链路层传输,7.1.3 协议(续),图 7.6 传输的消息准备过程,分层,7.1.3 协议(续),表示层(6)将原始消息分割成许多小块。在会话层(5)添加了一个会话头部,以指明发送者、接收者和一些与顺序相关的信息。传输层(4) 添加了一些在发送者和接收者之间进行逻辑连接的信息。网络层(3)增加了一些路由信息,并把从传输层(4)传来的一个信息单元进一步分割为多个数据包。数据链路层(2)添加了一个头部和尾部,以保证这些消息块的正确顺序,并检测和校正传输错误。消息和控制的每一比特都在物理层(1)通过物理
11、介质进行传播。,7.1.3 协议(续),TCP/IP 一般认为OSI模型过于复杂,其中包含了太多的层次 。因此,TCP/IP成为了目前应用最广泛的协议栈。TCP/IP是为实际因特网设计的,并且是根据协议而不是根据层定义的。但是,仍然可以把它看成4层结构:应用层、主机到主机(端到端)的传输层、网络层和物理层。其主要由处于底层的IP传输协议、基于其上用于实现面向连接的通信会话的TCP协议以及第三方协议用户数据报协议(User Datagram Protocol, UDP)组成。,7.1.3 协议(续),传输层从应用层接收长度可变的消息,将它们分割成一定大小的单元,按包(packet)发送出去。网络
12、层以数据报(datagram)方式传输这些包,根据数据的目的地(随数据一起提供的地址)将它们发送至不同的物理连接。物理层实现实际比特流的数据通信。,表 7.2 因特网通信中的层,7.1.3 协议(续),TCP协议将无序的包按照正确顺序进行排列,请求重传丢失的包,重新获取一个毁坏包的新副本。对速率或效率要求非常高时,允许数据流中存在少量不准确的数据。 TCP数据包是一个数据结构,其中包含一个序列号、一些标记、源端口(port)和目的端口号。每一种服务都使用一个众所周知的端口,比如80端口用于HTTP(网页),23端口用于Telnet(远程终端连接),25端口用于SMTP(电子邮件),161端口用
13、于SNMP(网络管理)。简而言之,每种服务都有一个守护进程,以监视指定的端口号,并且当有任何数据传到该端口时为其提供服务。 UDP协议不提供TCP协议中的错误检测和误码校正功能,不过它是一种更小、更快的传输协议。,7.1.3 协议(续),表7.3 因特网提供的服务,7.1.3 协议(续),寻址方式 地址是网络中一个节点的唯一标识符。广域网必须遵从已经建立的规则,而局域网中寻址方式的限制相对较小。在基于TCP/IP协议的广域网上的主机都有一个32位的地址,称为IP地址(IP address)。IP地址四个8比特一组,通常用十进制表示。网络地址也采用我们熟悉的域名(domain name)进行区分
14、,比如ATT.COM或者CAM.AC.UK,由寻址表完成从这些字符串到数字格式的转换。IP地址按照从右到左的顺序进行解析。最右边的部分,如.COM、.EDU、.ORG或者.GOV以及由两个字符代表的某个国家,如.UK、.FR、.JP或者.DE,称为顶级域名(top-level domain),由一些称为因特网注册部门的小型组织机构进行管理。负责进行注册的组织机构需要发布主机地址,这些地址是包含在其管理的顶级域名下的二级域名表中。,7.1.3 协议(续),当第一次试图将一个完整的域名解析为它所对应的IP地址时,系统将完成一次从顶级主机开始查找的过程(在随后的解析工作中,系统自身维护一个记录域名的
15、缓存,本地进行域名解析)。最后域名被转换成为一个32位,四个8比特一组的地址,并被包含在所有以该地址为目的地的IP包中。,7.1.3 协议(续),路由概念 主机需要知道如何根据IP地址发送一个包。每台主机都清楚与自己直接相连的其他主机,并且与相邻的主机交换连接信息。主机将它能到达的主机(地址)及代价(跳步数)的描述信息广播给它的邻居。每台主机将流量传递给能提供最小代价路径的某个邻居。,7.1.4 网络类型,网络是一个通信主机的集合。 局域网 局域网(Local Area Network, LAN)的覆盖范围较小,一般局限于一栋建筑内。LAN的主要优点在于它的所有用户可以很方便地共享数据、程序,
16、以及共享对设备的访问,比如打印机。 大多数LAN都具有以下特征: (1) 规模小:用户通常不超过100个。 (2) 局部控制:都由一个组织统一管理。 (3) 物理保护:外部恶意访问者很难访问内部设备。 (4) 有限范围:仅覆盖一个很小的范围。,7.1.4 网络类型(续),广域网 广域网(Wide Area Network, WAN)和局域网在规模、距离和控制或拥有关系等方面都有较大的区别,但WAN仍然有一些统一的原则。其他相似网络类型还包括校园网(CAN)和城域网(MAN)。以下是WAN的典型特征: (1) 单一控制:通常,一个广域网应该由一个组织机构负责和控制。 (2) 覆盖范围大:一个WAN通常比一个LAN的服务范围要大,一般从几公里到整个地球的范围。 (3) 物理上暴露(常常如此,但不全是):大多数广域网使用公共通信介质,因此,相对来说要暴露一些。,7.1.4 网络类型(续),互联网(网际网) 由众多网络构成,最典型的互联网是因特网。因特网由因特网协会进行松散的控制。因特网协会指定了一些公平活动的基本规则,以保证所有用户都能接受公平的服务,
