《计算机网络与通信8》由会员分享,可在线阅读,更多相关《计算机网络与通信8(21页珍藏版)》请在金锄头文库上搜索。
1、Chapter 8 Safety Technology of Network,该章主要介绍网络安全技术。包括网络安全基本内容、网络的安全威胁、网络攻击和防御方法、常用的加密技术、防火墙技术、网络欺骗技术。目的是希望同学能够了解网络安全的基本知识,掌握网络维护的基本内容和方法。 重点难点:网络安全涉及的内容;网络安全的威胁;网络攻击的常用方法;网络防御的方法;常用的加密技术;常用的防火墙技术;常用的网络欺骗技术。,8.1 View of Network safety,8.1.1 关于网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏
2、,系统连续可靠正常地运行,网络服务不中断。网络安全从本质上来讲就是网络上的信息安全 。 8.1.2 网络安全涉及的内容1 运行系统安全 2 信息系统的安全 3 信息传播的安全 4 信息内容的安全,8.1.3 信息系统对安全的基本需求1 保密性 2 完整性 3 可用性 4 可控性 5 可核查性 8.1.4 网络的安全威胁见下图,8.2 Network Attacking Methods,8.2.1 密码破解密码是对抗攻击的第一道防线。破解密码的方法: 第一种方法是猜测法。另一种方法是设法偷走密码文件,然后通过密码破解工具来破解这些加密的密码。8.2.2 网络监听网络监听工具原本是提供给管理员的一
3、类管理工具,使用这种工具可以监视网络的状态、数据流动情况以及网络上传输的信息。网络攻击者用这种方法能够很容易地获取想要的密码和其它信息。,8.2.3 拒绝服务攻击 拒绝服务是指网络攻击者采用具有破坏性的方法阻塞目标网络的资源,从而使系统没有剩余的资源给其他用户使用,导致目标机性能降低或失去服务,甚至使网络暂时或永久性瘫痪。 1 SYN Flood 攻击 2 电子邮件炸弹 3 分布式拒绝服务攻击,8.2.4 程序攻击 程序攻击指利用危险程序对系统进行攻击,从而达到控制或破坏系统的目的。危险程序主要包括病毒、特洛伊木马、后门等。1 病毒 2 特洛伊木马 : Back Orifice , YAI ,
4、 Netspy , NetBus ,冰河等 3 后门 :后门是指攻击者为了不引起管理员的注意发展起来的能躲过日志,使自己重返被攻击系统的技术。,8.2.5 信息欺骗攻击欺骗是主动攻击的重要手段,主要目的是掩盖攻击者的真实身份,使攻击者看起来像正常用户或者嫁祸于其他用户。 1 网际层欺骗 :(1) 源 IP 地址欺骗 (2) RIP 欺骗 (3) ICMP 欺骗 2 TCP 层欺骗3 应用层欺骗 (1)DNS 欺骗 (2) Web 欺骗,8.3 Defense Methods of Network,8.3.1 加密技术加密措施是保护信息的最后防线,被公认为是保护信息传输惟一实用的方法。对信息进行
5、加密保护是在密钥的控制下,通过密码算法将敏感的机密明文数据变换成不可懂的密文数据,称加密 (Encryption) 。1 信息加密方式 信息加密分为信息的传输加密和信息的存储加密两种方式。,(1) 信息的传输加密 信息的传输加密是面向线路的加密措施,有链路加密、节点加密和端端加密三种。(2) 信息的存储加密 信息的存储加密是面向存储介质的技术,有数据库加密和文件加密。 2 信息加密技术 (1) 对称密钥加密机制 私有密钥 DES加密过程动画演示,基本过程:用 56 位密钥对 64 位的数据块进行 16 轮加密,每轮产生一个 48 位的“每轮”密钥值,并参与下一轮的加密过程。特点:简单,但用户必
6、须也只能让接收人知道自己使用的密钥,双方必须共同保守密钥,任何一方失误均会导致密钥的泄露。(2) 非对称密钥加密机制公开 / 私有密钥 非对称密钥加密机制使用相互关联的一对密钥。一个是公开密钥,任何人都可知道;一个是私有密钥,发送方用公开密钥加密数据后发送,接收方用私有密钥进行解密。反之依然。 典型的算法是 RSA 公钥体制。,8.3.2 网络欺骗技术网络欺骗技术是根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使攻击者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将攻击者引向这些资源。 常用技术有:诱饵技术和空间欺骗技术。,8.3.
7、3 防火墙技术所谓防火墙( Firewall )是一个或一组系统,用在两个或多个网络间提供加强访问控制。一般分为两类:一类是基于包过滤型( Packet-Filter )的,另一类是基于代理服务型( Proxy-Service )的。 1 包过滤防火墙 (1) 包过滤防火墙的基本原理 包过滤防火墙动画演示,(2) 包过滤器的检查规则 包过滤规则必须存储在包过滤设备端口上 当包到达端口的时候,包报头被进行语法分析。大多数包过滤器只检查 IP , TCP 或 UDP 报头中的字段 包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤规则存储的顺序相同 如果一条规则阻止包传输或接收,则此包便不被
8、允许 如果一条规则允许包传输或接收,该包可以被继续处理 如果一个包不被满足任何一条规则,该包被阻塞,(3) 包过滤器检查的内容 包过滤器检查的一般是下列几项: IP 源地址。 IP 目标地址。 协议的类型( TCP 包、 UDP 包、 ICMP 包)。 TCP 或 UDP 的源端口。 TCP 或 UDP 的目标端口。 ICMP 消息类型。 TCP 报头中的 ACK 位。,(4) 包过滤器实现过程,2 代理服务防火墙 代理服务防火墙使用了与包过滤器不同的方法。代理服务器使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与期望的服务器进行实际连接。与包过滤器所不同的是,内部与外部网络之间
9、不存在直接连接。因此,即使防火墙发生了问题,外部网络也无法获得与被保护的网络的连接。双宿主主机防火墙、被屏蔽主机、堡垒主机、被屏蔽子网等均属于代理型防火墙。,(1) 双宿主主机型防火墙 双宿主主机型防火墙由具有两个网络接口的双宿主主机构成。每一个接口都连接在物理和逻辑上分离的不同的网段,代理服务器软件在双宿主主机上运行。这种防火墙的结构如图 所示 。,(2) 被屏蔽主机型防火墙 被屏蔽主机型防火墙由一台仅与内部网络相连的主机和一台单独的过滤路由器构成。其中与内部网络相连的主机用于提供安全控制功能,通常称其为堡垒主机。而过滤路由器负责将所有到达路由器的数据包都发送到被屏蔽主机 。被屏蔽主机型防火墙结构演示,4.1.2 局域网组成一个局域网的基本组成主要有:网络服务器、网络工作站、网络适配器和传输介质。DES加密过程动画演示包过滤防火墙动画演示被屏蔽主机型防火墙结构演示,习 题1 网络安全的含义是什么? 2 网络安全涉及哪些内容? 3 网络安全威胁来自哪些方面? 4 如何理解拒绝服务攻击中的“拒绝”? 5 解释攻击方法中提到的“后门”的含义。 6 请解释攻击方法“缓冲区溢出”的实现原理。 7 包过滤防火墙与代理服务防火墙有何区别?它们各自存在哪些弊病?,
