《计算机网络教程 教学课件 ppt 作者 王硕 第8章》由会员分享,可在线阅读,更多相关《计算机网络教程 教学课件 ppt 作者 王硕 第8章(88页珍藏版)》请在金锄头文库上搜索。
1、,第8章 计算机网络安全与管理,8.1 计算机网络安全,在计算机网络系统中,许多用户共处在一个大环境中,系统资源是共享的,用户终端可以直接访问网络和分布在各用户处理机中的文件、数据和各种软件、硬件资源。,随着计算机和网络的普及,政府、军队的核心机密和重要数据,企业的商业机密,甚至是个人的隐私都存储在互联的计算机中,而因系统原因和不法之徒千方百计的“闯入”、破坏,使有关方面蒙受了巨大的损失。因此,网络安全问题已成为当今计算机领域中最重要的研究课题之一。,8.1.1 信息安全的基本要素 1机密性 2完整性 3可用性 4可控性 5可审查性,6有效性 7记录 8识别和鉴别 9脆弱性评价 10物理保护,
2、8.1.2 计算机系统的安全等级 1美国标准 橘皮书(The Orange Book)是美国国家安全局(NSA)的国家计算机安全中心(NCSC)于1983年8月颁发的官方标准,其正式名称是“受信任计算机系统评价基准(Trusted Computer System Evaluation Criteria)”,其封面为橘黄色,以此得名。,橘皮书将计算机系统的安全性能由高至低划分为A、B、C、D四大等级7个小等级,较高等级的安全范围涵盖较低等级的安全范围,而每个大等级又以安全性高低依次编号细分成数个小等级。,(1)D级,最低保护(Minimal Protection) (2)C级,自定式保护(Dis
3、cretionary Protection) C1级,自主安全保护级 C2级,受控存取保护级,(3)B级,强制式保护(Mandatory Protection) B1级,标记安全保护级 B2级,结构化保护级 B3级,安全域级,(4)A级,可验证之保护(Verified Protection),2欧洲标准 E0级: E1级: E2级: E3级: E4级: E5级: E6级:,8.1.3 网络安全的概念和模型 网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题,随着全球信息化步伐的加快变得越来越重要。网络安全技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技
4、术、应用数学、数论、信息论等多门学科的综合性学科。,1基本安全技术 数据加密: 防火墙: 数字签名: 身份认证: 内容检查:,2安全措施的目标 完整性: 访问控制: 认证: 审计: 保密:,8.1.4 安全威胁 1窃取信 2篡改信息 3假冒,4恶意的程序攻击 计算机蠕虫 陷门和特洛伊木马 逻辑炸弹,5流量分析 6资源的非授权使用 7拒绝服务 8网络管理 9重放,10Web服务所面临的安全威胁 CGI通用网关程序所带来的威胁; Java小程序所带来的威胁; ActiveX控件所带来的威胁。 11破坏数据的完整性,8.1.5 数据加密 在计算机网络中,信息加密技术是其他安全技术的基础,加密技术是指
5、通过使用代码或密码将某些重要信息和数据从一个可以理解的明文(Plain text)形式变换成一种复杂错乱的、不可理解的密文(Cipher text)形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。破译密码的技术称为密码分析。,我们把设计密码的技术(加密技术)和破译密码的技术(密码分析)总称为密码技术。,图8-1 一般的加密与解密模型,1对称密钥加密 对称密钥加密也叫秘密或专用密钥加密(Secret Key Encryption)。即发送和接收数据的双方必须使用相同的或对称的密钥对明文进行加密和解密运算,发送方用密钥加密明文,传送给接
6、收方,接收一方用同一密钥解密。,(1)代换密码法 在代换密码中,为了伪装掩饰每一个字母或一组字母,通常都是由一个字母或另一组字母代换。,把明文的每一个字母一一映射到其他字母上。例如 明文:abcdefghijklmnopqrstuvwxyz 密文:QWERTYUIOPASDFGHJKLZXCVBNM,(2)转换密码法 转换密码法是按照某一规则重新排列消息中的比特或字符的次序,而不是隐藏它们。,下面举一个进行列转换的例子。 密钥:C I P H E R 顺序:1 4 5 3 2 6 明文:a t t a c k图8-2 DES加密算法 b e g i n s a t f i v e 密文:aba
7、cnvaiitettgfkse,(3)数据加密标准(DES) 最著名的对称密钥加密标准是美国国家安全局的数据加密标准(Data Encryption Standard,DES)。它是IBM于1971年开始研制,1977年美国标准局正式颁布其为加密标准,这种方法使用简单,加密解密速度快,适合于大量信息的加密。,图8-2 DES加密算法,2非对称密钥加密 非对称密钥加密也叫公开密钥加密(Public Key Encryption)或双钥密码系统,最早是由Diffie和Hellman于1976年提出的。所谓公开密钥加密就是加密密钥和解密密钥不同,是一种由已知加密密钥(Ke)推导出解密密钥(Kd)在算
8、法上是不可行的密码体制。,它主要是指数据通信的双方都有一对唯一对应的密钥:公开密钥(PK: Public Key)和秘密密钥(SK: Secret Key)或私人密钥,公开密钥对外公开,秘密密钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密,加密算法E和解密算法D也都是公开的;虽然SK是由PK决定的,但却不能根据PK计算出SK。,公开密钥算法的特点如下。 用公开密钥PK对明文X加密后,在用秘密密钥SK解密,即可恢复出明文,可以表达为:DSK(EPK(X) X,此外,加密和解密的运算可以对调,即EPK(DSK(X) X; 公开密钥不能用来解密,即DPK(EPK(X)X; 在计算机
9、上可以容易地产生成对的PK和SK; 从已知的PK不可能推导出SK。,8.1.6 数字签名 数字签名(Digital Signature)是通过一个单向函数对要传送的报文进行处理得到的用于认证报文来源并核实报文是否发生变化的一个字母数字串。用这几个字符串来代替书写签名或印章,起到和书写签名或印章同样的法律效用。,数字签名必须保证以下要求: 发送者事后不能否认对报文的签名; 接收者能够核实发送者对报文的签名; 接收者不能够伪造发送者的报文的签名; 接收者不能够对发送者的报文进行部分篡改; 网络中的用户不能冒充另一用户作为发送者或接收者。,数字签名是公开密钥加密技术的一种应用,是指用发送方A的秘密密
10、钥SKA加密报文摘要M(得到DSKA(HASH(M),然后将其与原始的信息附加在一起,合称为数字签名。,其使用方式是:报文的发送方从报文文本中生成一个128位的单向散列值(或报文摘要),并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。,8.1.7 密钥分配协议 由于密码算法是公开的,网络的安全性就是基于密钥的安全保护上。因此在密
11、码学中出现了一个重要的分支密码管理或称为密钥管理。密钥管理是指处理密钥从产生到最终销毁的整个过程中的有关问题。,1KMI技术 KMI(密钥管理中心)经历了从静态分发到动态分发的发展历程,目前仍然是密钥管理的主要手段。,2PKI技术 PKI密钥管理解决了不依赖秘密信道的重大密钥管理课题。,3SDK技术 现在提出来的种子化公钥(Seeded Public-Key,SPK)或种子化双钥(Seeded Double Key,SDK)体制有三种。,8.2 防火墙技术,首先说明一下我们在本节中大量用到的一些名词和术语。 外部网络(也称为非受信网络):防火墙外的网络,一般为Internet。 内部网络(也称
12、为受信网络):防火墙内的网络,通常是一个局域网。,受信主机和非受信主机分别对应内部网络和外部网络的主机。 非军事化区(DMZ):为了配置管理方便,内部网络中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。,8.2.1 防火墙的基本概念 1防火墙的基本概念 防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。,从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应的
13、软件构成。,防火墙应该具有以下五大基本功能: 过滤进、出网络的信息; 管理进、出网络的访问行为; 封堵某些禁止行为; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警。,新一代的防火墙产品一般运用了以下技术。 (1)透明的访问方式 (2)灵活的代理系统 (3)多级过滤技术 (4)网络地址转换技术,(5)Internet网关技术 (6)安全服务器网络(SSN) (7)用户鉴别与加密 (8)用户定制服务 (9)审计和告警,2防火墙的分类 (1)包过滤型防火墙 它既可以由路由器实现,这时被称为包过滤路由器;也可以用独立的包过滤软件实现;包过滤防火墙在网络层对进出内部网络的所有信息进行分析,
14、一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并根据定义好的信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。,主要优点是:数据包对用户透明,成本低、速度快、效率高、实现方便。,主要缺点是:由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址;它不能提供日志,这样一来就无法发现黑客的攻击纪录;工作在网络层,不能检测那些对高层进行的攻击;如果为了提高安全性而使用非常复杂的过滤规则,则系统效率就会大大降低。,(2)状态检测防火墙 状态检测防火墙也叫自适应防火
15、墙,或动态包过滤防火墙,它具有很高的效率。这种防火墙是对传统包过滤防火墙的功能扩展,最早由CheckPoint提出,它能通过状态检测技术动态记录、维护各个连接的协议状态,并且在网络层和IP之间插入一个检测模块,对IP包的信息进行检测,以决定是否允许通过防火墙。,(3)应用级防火墙 应用级防火墙主要工作在应用层。应用级防火墙往往又称为应用网关防火墙,它此时也起到一个网关的作用。,常用的应用级防火墙已有了相应的代理服务软件,如HTTP、SMTP、FTP、Telnet等等,,8.2.2 防火墙的配置 1防火墙的设计 防火墙设计原则如下。,(1)由外网到内网或由内网到外网的信息流都必须经过防火墙。 (
16、2)有关限制外部网络的用户进入内部网络。 (3)只允许本地安全策略认可的信息流通过防火墙,实行默认拒绝原则。,(4)具有透明性,方便内部网络用户,保证正常的信息通过。 (5)具有抗穿透攻击能力,强化记录、审计和报警。,2防火墙的基本组成 (1)安全操作系统 (2)过滤器 (3)网关 (4)域名服务 (5)函件处理,3防火墙的配置 (1)双宿主机网关结构(Dual Homed Gateway Structure) (2)屏蔽主机网关结构(Screened Host Gateway Structure) (3)屏蔽子网结构(Screened Subnet Structure),图8-4 双宿主机网关结构,图8-5 屏蔽主机网关(单宿堡垒主机)
