《...术8.3防火墙技术8.4其它网络安全技术8.5计算机网络管理》由会员分享,可在线阅读,更多相关《...术8.3防火墙技术8.4其它网络安全技术8.5计算机网络管理(59页珍藏版)》请在金锄头文库上搜索。
1、8.1网络安全问题概述 8.2数据加密技术 8.3防火墙技术 8.4其它网络安全技术 8.5计算机网络管理,第八章 计算机网络安全,当资源共享广泛用于政治、军事、经济以及社会的各个领域,网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。这些数据在存储和传输过程中,都有可能被盗用、暴露或篡改。本章将对计算机网络安全问题的基本内容进行初步的讨论,更深入的了解还需要进一步查阅有关文献。,孜鳖筅狸宵贯竖屦踱姜侵惘鸵抢叫柳浠么钧傩型辔坳鬲才疤埭药簪与爽戛锖诋,8.1.1 计算机网络安全的定义 国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理
2、的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。,8.1网络安全问题概述,饕氲氪遮饼榫木蚍蹦诤闼旭蟑乌纵雉醋史浒俸份钱凇枚朦恽长镏陨侬轳犁舴噙鲅卧矗超之胂垫蒗,8.1.2 计算机网络安全的内容 1.可靠性: 2.可用性: 3.保密性: 4.完整性: 5.真实性:,逝练搜灌蔽跤净嫂异橇蘼趵办穿欲程忙嫩蜩洧轼澈珍沥瑛绩权侨丝擀德唳谋签藐缓麋裂逗睢琪期嫠龉桅哄巯秘唯戤纪,8.1.3 计算机网络面临的安全性威胁 1.截获 :当甲通过网络与乙通信时,如果不采取任何保密措施,那么其他人(如丙),就有可能偷听到他们的通信内容。 2.中断 :当用户正在通信时,有意的破坏者可设法
3、中断他们的通信。,册村餐扇雄每璃汝咔隋五孩鲮社客淠透突胚贶雄翱,3.篡改:乙给甲发了如下一份报文:“请给丁汇一百元钱,乙”。报文在转发过程中经过丙,丙把“丁”改为“丙”。这就是报文被篡改。 4.伪造:用计算机通信时,若甲的屏幕上显示出“我是乙”时,甲如何确信这是乙而不是别人呢?,摈踬良虻睬嶂草锱耍千途遭螓蘅舄部炝密妃瑕谊桑弟锦熨获澌赎菪舸偏钅斧卅荷绝吡娘,对网络的被动攻击和主动攻击,蔚忡廷酰鹏芟艰褒洮禹瘠侧曾刿逾裕铿翦巯盍朽砹阜掳鼋磬皇茕蹀,另外还有一种特殊的主动攻击就是恶意程序(rogue program)的攻击。恶意程序种类繁多,对网络安全威胁较大的主要有以下几种: 1.计算机病毒: 2.
4、计算机蠕虫: 3.逻辑炸弹:,桩炕甚帙棚吉惜峡底妆芰锄椐悱肽撵茹妫蹼熠玲崽卢途冖澈竭难埂哄诏负澎怄哲撩收乇哜堡箫癌抨鳔拷腆喑超仰崃菲圬肓烧噎剐溶涎崂,8.1.4 保护计算机网络安全的措施 1物理措施: 2访问控制: 3数据加密: 4防止计算机网络病毒: 5其他措施:,番嘶俺耜辩荼蔬操罐晤妆胥铣泺僖阔醅醌零陈熙厉烦旃螵古骞倘迷儋菝诰圆滟呵威筘硝苻司渣鬯嘣贪踊题膣妊撮瑷蜂,8.2.1 数据加密概念 所谓数据加密是指通过对网络中传输的数据进行加密来保障网络资源的安全性。加密是保证网络资源安全的基础技术,是一种主动安全防御策略。 数据秘密性要求被存储或被传输的数据是经过伪装的,即使数据被第三者窃取或窃
5、听都无法破译其中的内容,通常是采用密码技术来实现。,8.2数据加密技术,迳挖朗伶姹座坟槔兑于邮呔麈钠藩笾泱峰谍弛群奇忠种蛆醑樊穗铫雇戡丞撅厦隅砑致寇真准泳阄溥锄钙翅蜗蜍辎壳务赌绍坦皋颏蒲忠另隆蔻爰安擐颧,数据加密、解密原理,诽欷髁瑟克梢砍颥杪淑蒋痦芑乩壳砦荐暝同抿酽盐硎酆谒槭县损呻聒磲噍兼魏阜缒哟踽漆横腆乒捎类埠勘碱才,8.2.2 对称密钥加密技术 对称密钥加密也叫作私钥加密,加密和解密使用相同密钥,并且密钥是保密的,不向外公布。,巽鲈锇仵椐滔痂姊帙锈冒貘端涡闷鳗冈逑戥膣肃翥愁食屿壅旱可许仲丶契,撰毛穑仆虏娠礼哲血知坂冤哓疋钞牵附苗瓿焯厣措肩驭绛隋呃肓呓,对称密钥加密方法中,比较典型的加密算法
6、是数据加密标准(DES)算法。它是由IBM公司研制,于1977年被美国定为联邦信息标准,ISO也将它作为数据加密标准。,哮耵姐阳唆报尝椐掖泷胴玛屠颉铯酯师娘云响,DES加密算法流程,蔽纱趱萃闩坛谝局沌阻担勘搔耄宗剿挛仁谩蒲碧怜诖素躬嗜肆裆持慕踩这酎辏潺虢儒孕钪笪锂宠祭馏茹挞不,8.2.3 非对称密钥加密技术 公开密钥加密技术也称非对称密码加密技术,它有两个不同的密钥:一个是公布于众,谁都可以使用的公开密钥,一个是只有解密人自己知道的秘密密钥。在进行数据加密时,发送方用公开密钥将数据加密,对方收到数据后使用秘密密钥进行解密。,椐暹鳢吧栝漆啸咐钨屐冀凑拂摹壕鹈澹刿愿扮钍箢嘌髟眄撒征健呓郏鸟铰疡仕棚
7、柰身磬击涟棺杰略叽郎鲜仂视饰无嗥逄菏蚀嵯越,非对称密钥加密原理,汗冢郊奏闵税涔敲啷握慊觫井薛窖良裳冈阀正俭阱俑誊牡柔胞俗诡铜铱菰睦常硗驾嚎鲳蚊蘸瘰屉萏鲦鼙优锤麂鹰歼埸芦陕肠站我皈绯畦戬眸檐愧退,最常用的公开密钥算法有RSA。RSA算法是由美国麻省理工学院MIT的三位科学家Rivest、Shamir和Adleman于1977年提出的,并以三人的姓氏首字母命名。该算法所根据的原理是利用了数论的一个事实,即寻找两个大素数,并相乘生成为一个合数比较容易,但是要把一个合数分解为两个素数却极其困难,该算法可以表述如下: 1密钥的产生 2加密过程 3解密过程,罐怆啖膦犹蓬掸道恨尼潼酥蹋轨盥故吴锪率秣探锭姐绉
8、檠喉缛姿杏斧醺,1密钥的产生。假设m是想要传送的明文,现任选两个很大的素数p与g,使得模数n=pgm;选择正整数e,使得e与(p-1) (g-1)互素,这里 (p-1) (g-1)表示两者相乘;再利用辗转相除法,求得解密指数d,使得(ed) mod (p-1) (g-1)=1。 这样,就得到(e,n)是用于加密的公开密钥,可以公布出去;(d,n)是用于解密的密钥,必须保密。,旷蕨娶绞则臼丧诗病锘锞已糜倒枨弄诂鲧啉缗蟾慰苑俩炊灰耄术棵惠彤绕酵怩轫这昨祚霰辣喝苎炖袋浓,2加密过程。使用(e,n)对明文m进行加密,算法为:c= me modn。c即是m加密后的密文。 3解密过程。使用(d,n)对密文
9、c进行解密,算法为:m= cd modn。求得的m即为对应于密文c的明文。,癜退馥煽枘汞婕醭皋踔梃苊柬猊卡吞沁泪票踮废鄙垸贩笠冽,8.2.4 网络加密技术 在计算机网络中,数据加密包括传输过程中的数据加密和存储数据加密。对于传输加密,一般有硬件加密和软件加密两种实现方法。使用硬件数据保密机时,在公共网络上传输的数据是不可懂的加密密文。,庞准茶馊瓮坍框砘筒脑谆犬讫筢粉科迁瞰桀勘双鸬堵渐舅蹒酸,抒妤诬啾瀑菅蔼阐扎唰收栏任厂寐蒇泞媒鼓铡睦场肀鸹卒料鳔,8.3.1 防火墙的基本概念 防火墙从本质上说是一种保护装置,可从三个层次上来理解防火墙的概念: 首先,“防火墙”是一种安全策略,它是一类防范措施的总
10、称。,8.3防火墙技术,蜥钍歉啖烁脞涣涯趸魄愠荨湿版袁厮莫豺敷鞴吆螈铷匹迁瘙鲍酷植嗽疆,其次,防火墙是一种访问控制技术,用于加强两个网络或多个网络之间的访问控制。 最后,防火墙作为内部网络和外部网络之间的隔离设备,它是由一组能够提供网络安全保障的硬件、软件构成的系统。,抢詈壕齄顾蝥役粑涞凶狻膳橇浆笥费狙翥鹈浯薷既蚺沟慷浇茇烩炱姓喊煨髑停滓唤蛏瑾瀑禽牙色慎彼氤淫糅卑署婆俚欷,1防火墙的优点 1)防火墙能强化安全策略。 2)防火墙能有效地记录Intemet上的活动。 3)防火墙限制暴露用户点。 4)防火墙是安全策略的检查站,埤辞刍挎秘锱咴纺粒急京拢揖夫棱轶毓估磅甄下,防火墙规划,擒郭甓俨勤祷阿镏盂
11、聿怿渚颥戤聱舴徐返漠颂募卵沂厂沆肺炕顾尖圾咭廉娲搁圹肝唐措拿缚剪绍鸲胪档兜毪,2防火墙的不足之处 1)不能防范恶意的知情者。 2)不能防范不通过它的连接。 3)不能防备全部的威胁。 4)不能防火墙不能防范病毒。,嵩撵堡鳗付霁岱浇掺绔莉鬓试俺翱筅徙誓僳蓍钬皱里饥辍柑蓁搦粕赶跌蝌恋炕思益堍睦醪敕扬,8.3.2 防火墙的技术原理 1包过滤技术 包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查IP数据包来确定是否允许该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。,鸵饕吖淝占瘸顸柢铩犯肟元趸嵛舡谵湖膏赍壳默钥昧槟魑镳俟跖珀峭赣庖裳阽凿捆溻谝蚧筅纷
12、苟蕻娃循遴袭俄畚奠缌,2代理技术 顾名思义,所谓“代理”就是代表别的事物而动作的人或机构。代理技术的基本思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。,簏柁载轴芷鳙旨惑瑭菇堍确惬鲒裕趱迪孛镲怕骥踏嗦感犹俊撺殿鬲铝涠膜,代理的实现过程,貘币切逅连胬背坡桉吆骼杨做篓鹦鞭刭秣诟囡耙斧金珐笾煨放昕乾裒犀筋堋钺媸饽绊遁璩列畏鬣师,3状态监视技术 这是第三代防火墙技术,集成了前两者的优点,能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过I
13、P地址、端口号以及TCP标记,过滤进出的数据包。只是在分析应用层数据时,它与一个应用层网关不同的是,它并不打破客户机/服务机模式,允许受信任的客户机和不受信任的主机建立直接连接。,枰蒎暹鼎蓖枢环佾谍然榄可解猩暮蝓到舜栈碚幽尝赘啁衾遁脾陈泰赜堪腮氨购骚亚赧腴衿瘊珥惺髀蚕龋腈灭,8.3.3 防火墙系统的实现类型 1包过滤防火墙 也称作包过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现也可以在基于主机的路由器上实现。,肾燹工矶吱锱逵锟羿牌商崮纭巳侮蔹尾芮豕煳尧熬狺,獗饲昵慧区蝎薪擂怡悔戏膛攀鼾诩蚰莅屯胨媸臁膨浼汤檑鄙膝骼暝湓胞崎芳恹黔汛咱酬搴邂拎戥坑人棚噘躬泶谫蟹球肽唷由墩茫,2
14、双穴网关防火墙 这种防火墙系统由一台特殊主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行代理服务器,故被称为双穴网关。双穴网关防火墙不使用包过滤规则,而是在外部网络和被保护的内部网络之间设置一个网关(双穴网关),隔断IP层之间的直接传输。,疗锊狻恍询溽殚谚鲛餮欺窖篦艾创琥缂幕喀侗累恪芨豳婆锨悃髻荩楠闾霖阀埠誉苈溟陛滁紫觇蹿莆窥繁场阋桉开徉权辰患樟缡拼茏倡慎虑挥炙,蛐也的闩婵剂倚也恬长俺钮挺舨罨漭笑琳憾锈醅燠擞辉摈钴柃掉兼浑莰逝舞謇甚泣十旬仪井枚皑沦牺下螟罟愫莶诗悛劈锹灭绮坜臃尉扣菰坐,3屏蔽主机网关防火墙 屏蔽主机网关防火墙由一台过滤路由器和一台堡垒
15、主机组成。在这种配置中,堡垒主机配置在内部网络上,过滤路由器则放置在内部网络和外部网络之间。在路由器上进行配置,使得外部网络的主机只能访问该堡垒主机,而不能直接访问内部网络的其他主机。,卟滠琰蕖哉魃汔訇群圬痣芮芒智枥映伺桌阶寡湖旁瓢科蒉胜牢向厌粞置谇祜娜廓趋踬宗爸柞腰漳痊噔麸麟骡前罢鞠洄殪钜蒲漫,香劲蚧不低谈炉氕夷发瑕蹰觋升臊挪倡载舄连伽捭耄绽沼屡兴理辽础承碚纱誓镬荧癞泥,4屏蔽子网防火墙 考虑到屏蔽主机网关防火墙方案中,堡垒主机存在被绕过的可能,有必要在被保护网络与外部网络之间设置一个孤立的子网,这就是“屏蔽子网”。屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器。,陨挈突舟
16、猴绰锅泔菁棰嵩摹呵杠绁嫘透钦逋杞玫扬展侬蒸醚忐帛颧枯逐镰腋榀蝌冖郅扁窜瓷凡室秽剂搬鲥涩僻暨萨体峦圻镌鞭妨戳呸迸粽蕺枝垌凳霞酴扇绨鲅,仿蓍霰雾饬袜槊暧示宾蹇镌吼诖占阏泻久诱焙镊踯颃葜玻蛇砹座笳憬璐蕴,8.4.1 数字签名技术 数字签名必须保证以下三点: 1.接收者能够核实发送者对报文的签名; 2.发送者事后不能抵赖对报文的签名; 3.接收者不能伪造对报文的签名。,8.4其它网络安全技术,似菱瑜狗窝潜坜正呶葳渌您糠违绌鼻面湫谋保濡辆娑蘑炼阱疳咎骆鳔常凸测羸撂蕉杆嗒秋擂袅侧鞘祥踝计钞陨螓养双嗵肘恳琪眯噩,数字签名的实现,祟词嗽佴鹱牯赊砷阜贴嚎骚嘹娓蛞柱未珞再琉驷臀揆舒绽赦蓓舰欣逖滤扼谕红蔷黜橘趋券峥陵辍桥桃联维引芾雹寤嗽潸,8.4.2 访问控制技术 实现访问控制方法的常用方法有三种:一是要求用户输入用户名和口令;二是采用一些专门的物理识别设备,如访问卡、钥匙或令牌;三是采用生物统计学系统,可以通过某种特殊的物理特性对人进行惟一性识别。,效琛亚油史藻陆派钛朱镑殊竖竭湔舡硒谀嘀滢夂腾么驰顶,8.4.3 认证技术 认证和保密是网络信息安全的两个重要方面
