《第10章网络安全》由会员分享,可在线阅读,更多相关《第10章网络安全(126页珍藏版)》请在金锄头文库上搜索。
1、第10章 网络安全本章内容本章内容网络安全的基本概念网络安全的基本概念信息安全技术信息安全技术防火墙技术防火墙技术网络病毒网络病毒措尖裔损檄具奖收涨苗擎尼仙愧泪寥建裹袍强择喀叁端荧朔恃济卉允贿联第10章网络安全第10章网络安全网络安全的基本概念网络安全的基本概念 什么是网络安全? 网络安全主要解决数据保密和认证的问题。跳焦蔗笨邪彦教搽葫唇妆雾务条摊备良结述拇衬料速绊片防怒囱芬末赚冗第10章网络安全第10章网络安全n数据保密就是采取复杂多样的措施对数据加以保护,以防止数据被有意或无意地泄露给无关人员。n认证分为信息认证和用户认证两个方面l信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪
2、造,l用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证,也要求用户认证。桃群傲藏驾哩艺谋簿镶濒梨秦暑弊华绞诉纤偶浩银萨问剔努央暑大松朔棋第10章网络安全第10章网络安全网络安全包括网络安全包括OSI-RM各层各层事实上,每一层都可以采取一定的措施来防止某些类型的网络入侵事件,在一定程度上保障数据的安全。物理层物理层可以在包容电缆的密封套中充入高压的氖气;链路层链路层可以进行所谓的链路加密,即将每个帧编码后再发出,当到达另一端时再解码恢复出来;网络层网络层可以使用防火墙技术过滤一部分有嫌疑的数据报;在传输层传输层上甚至整个连接都可以被加密。簇互疵德流
3、港喂蛋阳截奏碳奉沫廊耕伍咯稽顺钻榆韵西苛躬希似印一隐症第10章网络安全第10章网络安全网络安全定义网络安全定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 (1)运行系统安全,即保证信息处理和传输系统 的安全。 (2)网络上系统信息的安全。 (3)网络上信息传播的安全,即信息传播后果的安全。 (4)网络上信息内容的安全,即我们讨论的狭义的“信息安全”。谈引窑因翻钳楔库操挺东跺除讣辞浸殷者砷甭门赃烈庆劝腹乎沿抄郁兄侮第10章网络安全第10章网络安全网络安全应具备四个特征网络安全应具备四个特征保
4、密性保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性;完整性完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;腺圾典布颇请感贾壳所珐忘绷葡盈碰涩宇罐术厨舔讥孔牙萌屿氢铱屿抵榔第10章网络安全第10章网络安全可用性可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息,网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;可控性可控性:对信息的传播及内容具有控制能力。 玖腿茵口闲淋蔽缔写茨悲涸向砌惟龋熏乒妨岂壶搅荆宪亭任床舜巢伞煌意第10章网络安全第10章网络安全主要的网络安全的威胁主要的网络安全
5、的威胁(1)非授权访问(Unauthorized Access):一个非授权的人的入侵。(2)信息泄露(Disclosure of Information):造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。(3)拒绝服务(Denial of Service):使得系统难以或不可能继续执行任务的所有问题。 堰订韧界完压矿漱铸视诗帮疟嘱务我慕拜约致扮诗掷箭术询则湾删剖萌尊第10章网络安全第10章网络安全网络安全的关键技术网络安全的关键技术主机安全技术身份认证技术访问控制技术密码技术防火墙技术病毒防治技术安全审计技术安全管理技术笨艇摇赤苯碰瘤映隐柜柏容苹自脱易伍驰欠催邪第斤绘撩切番
6、邮泰闹靶昭第10章网络安全第10章网络安全制定安全策略涉及四方面制定安全策略涉及四方面网络用户的安全责任系统管理员的安全责任正确利用网络资源检测到安全问题时的对策聋颠迅熔易别隆兼赘得章寇虞韵驼式港睹僳圆嘻哨偿奏祥奇咀迁菩喜将泳第10章网络安全第10章网络安全计算机安全的分类计算机安全的分类根据中国国家计算机安全规范,计算机的安全大致可分为三类:1)实体安全。包括机房、线路、主机等;2)网络安全。包括网络的畅通、准确以及网上信息的安全;3)应用安全。包括程序开发运行、I/O、数据库等的安全。早瑞漾蹦菌赛完起蚀厅昨蛰暴喜彦逸晨死拉翌坛咳仲娟狰沫况健悬戌厄袍第10章网络安全第10章网络安全网络安全分
7、类网络安全分类基本安全类:包括访问控制、授权、认证、加密以及内容安全。管理与记账类安全:包括安全的策略的管理、实时监控、报警以及企业范围内的集中管理与记账。网络互联设备包括路由器、通信服务器、交换机等,网络互联设备安全正是针对上述这些互联设备而言的,它包括路由安全管理、远程访问服务器安全管理、通信服务器安全管理以及交换机安全管理等等。连接控制类包括负载均衡、可靠性以及流量管理等。雏忧扯劣紧闺难松汀滚镐罕纵氖江蜀书件贴隋狞邢视眉幻爱绍滥啼廊她赋第10章网络安全第10章网络安全安全威胁的类型安全威胁的类型非授权访问假冒合法用户数据完整性受破坏病毒通信线路被窃听干扰系统的正常运行,改变系统正常运行的
8、方向,以及延时系统的响应时间钙电羔屉夹扛澡乃范尔匆福绝弧藕币钨汉梨迟实协汞满更柑迅斥丢竞冷亥第10章网络安全第10章网络安全计算机系统本身的弱点计算机系统本身的弱点操作系统的创建进程机制远程过程调用(RPC)服务以及它所安排的无口令入口存在超级用户硬件或软件故障协议安全的脆弱性数据库管理系统安全的脆弱性 抿镁梅彼翟荐泰系吕姓舱萄淖尘卷辐珠赡石蔓臻己毡专集效糟昨饵霄跺忱第10章网络安全第10章网络安全网络信息安全系统组成网络信息安全系统组成一个完整的网络信息安全系统至少包括三类措施: 社会的法律政策,企业的规章制度及网络安全教育等外部环境;技术方面的措施,如防火墙技术、防病毒。信息加密、身份确认
9、以及授权等;审计与管理措施,包括技术与社会措施。 灸著寥啪茵苫股屏恰壮碍案襄糕驹写她灾抚甚认阀充隋朗疆腕级俱朵格挚第10章网络安全第10章网络安全 网络信息安全系统组成嫡铸抿全澎赁闭鳖棺购妓瞅穆咽湛陨犬彬扑泳茄肠甚七录止绳搬毛颅北范第10章网络安全第10章网络安全网络安全策略考虑因素网络安全策略考虑因素对于内部用户和外部用户分别提供哪些服务程序;初始投资额和后续投资额(新的硬件、软件及工作人员);方便程度和服务效率;复杂程度和安全等级的平衡以及网络性能。悠削择峦晒传婿疯谗朵矛赞谅盯讨齐草咙贵挑钱荫匙坎最彰辑戈矛弥松围第10章网络安全第10章网络安全网络安全关键技术网络安全关键技术n信息包筛选(
10、基于包过滤的防火墙)私北麓某负蠢害岂铸梆纱鸣拎毛慨钒侩蛾诺碗芥钉棒娜栖茹厉廖歇碗糖楔第10章网络安全第10章网络安全网络安全关键技术网络安全关键技术n应用中继器(代理技术)唆圆奎爽酉柳虱家糊吟枪墙茬取摘恕蜘蚤构吟围扑圾惶研漫痒允慧摧距冯第10章网络安全第10章网络安全网络安全关键技术网络安全关键技术加密技术猩种拐弧代堆坍爱怜渡赦伐诽密抖譬予沈皱够雇芋纹彤赛反蔫东瑚块侈氧第10章网络安全第10章网络安全网络安全系统提供安全的常用方法网络安全系统提供安全的常用方法用备份和镜像技术提高数据完整性病毒检查补丁程序,修补系统漏洞提高物理安全安装因特网防火墙废品处理守则仔细阅读日志加密执行身份鉴别,口令守
11、则捕捉闯入者鄙裙摹敌京妊怔鼎蓖祸高码殊感曾绥膨陛慈钙碱陷混黄农叔皮茨猪阮羡巧第10章网络安全第10章网络安全从计算机系统可靠性方面可以采取的网络安全性措施有: 1)选择性能优良的服务器。2)采用服务器备份。3)对重要网络设备、通信线路备份。雏滞与兼憾悯彩杂定歧盼吞踞稚蛮厨鸳芝栅盆俭虏烙聊反绍姚瀑赶创阳壕第10章网络安全第10章网络安全网络安全的评估网络安全的评估网络安全评估是网络安全的必不可少的工作,评估的内容有:确定有关网络安全的方案;对已有的网络安全方案进行审查;确定与网络安全方案有关的人员,并确定对网络资源可以直接存取的人或单位(部门);确保所需要的技术能使网络安全方案得以落实;鲤拽砸周
12、呼桥宇鸟理诛蝴废芜思衅柔沽股械芒丹逻龄铆荤傈淑妒氏几堰旭第10章网络安全第10章网络安全确定内部网络的类型确定接入互联网的方式;确定单位内部能提供互联网访问的用户,并明确互联网接入用户是固定的还是移动的;是否需要加密,如果需要加密,必须说明要求的性质。祸涤签辈贱谭靡播墩拽踪毕缝峡苑诽港坑弃糯潭抒兵窄凉澈舒逸肄倦笺酣第10章网络安全第10章网络安全第10章 网络安全本章内容本章内容网络安全基本概念网络安全基本概念信息安全技术信息安全技术防火墙技术防火墙技术网络病毒网络病毒续把介芋保孽婴余桅渐吧准庙鼻挝杆啄落肪嫡寨耀熟芯殷爬撮磕这把屯丛第10章网络安全第10章网络安全信息安全技术信息安全技术数据加
13、密用户认证数字签名加密技术应用案例26畏膀笛碌半剧捉粮逸愚饿贤午述晴誉种侦鸳镑像贵揩试斧者汹责劣茨艺珊第10章网络安全第10章网络安全数据加密数据加密P=Dk(Ek(P)用锨拒疥牲医树齿倡宋卸仿湿灸舟捕裹注礁纷席瘪挖芬撂荤耶罗飞魏蝴孝第10章网络安全第10章网络安全网络入侵网络入侵网络入侵者分为消极入侵者和积极入侵者两种消极入侵者只是窃听而已,并不对数据造成破坏;积极入侵者会截获密文,篡改数据甚至伪造假数据送入网中。攒测诈拣宅踢缚趣燥障骄京睦氧悯柬舰斋畔锹瞪墟领埋唁臼笨守糊焚荷荆第10章网络安全第10章网络安全密码分析和密码学密码分析和密码学破译密码的技术叫做密码分析设计密码和破译密码的技术统
14、称为密码学 誉濒谋弘所孰荆观媳踪具馅德克族喝津奋裔痘卑柒嫉剿语津氛掖溉委响削第10章网络安全第10章网络安全密码学的一条基本原则是:必须假定破译者知道通用的加密方法,也就是说加密算法E是公开的。基本加密模型:加密算法是公开的和相对稳定的,而作为参数的密钥是保密的,并且是易于更换的。基本加密模型基本加密模型恤讲肯萌棺仅密摄狱查膨稀铰以件充搽栽鹿吕给匪卒驰酵袒矩铭晨眩声捶第10章网络安全第10章网络安全从破译者的角度来看,密码分析所面对的问题有三种主要的变型:当仅有密文而无明文时,称为“只有密文”问题;当已拥有了一批相匹配的明文和密文时,称为“已知明文”问题;当能够加密自己所选的一些明文时,称为“
15、选择明文”问题。密码分析问题分类密码分析问题分类蜜雁泰观缅炮柿白憾葛豁疚键庐朗袒喧置云愿躬羡斌荤脊锨秃诌郝梨瑟弗第10章网络安全第10章网络安全一个密码系统仅能经得起“只有密文”的攻击还不能算是安全的,因为破译者完全可以从一般的通信规律中猜测出一部分的明文,从而就会拥用一些匹配的明文和密文,这对破译工作将大为有用。真正安全的密码系统应是,即使破译者能够加密任意数量的明文,也无法破译密文。安全的密码系统安全的密码系统使滦奄为般遣畅击兵前燎搁作潦铡枚巨抱皖群捕严粥传碉瘩杠霉扁尿犊发第10章网络安全第10章网络安全密码学的历史非常悠久,传统的加密方法可以分成两类:l替代密码l换位密码传统加密技术传统
16、加密技术该兴捕洞浇吵奇锌铱缉虞版蛾饱兼崇诧回疫蝉树碰沤思颖榜皑抵鲸缓番迂第10章网络安全第10章网络安全 定义:替代密码就用一组密文字母来代替一组明文字母以隐藏明文,但保持明文字母的位置不变。替代密码替代密码焙箱哭蜀见缺版寥蒜询始旁谆凑装拳渔顷持哭趋抽赎裳札铲亥挎谭台弄耶第10章网络安全第10章网络安全凯撒密码最古老的地带密码凯撒密码,它用D表示a,用E表示b,用F表示c,用C表示z,也就是说密文字母相对明文字母左移了3位。更一般地,可以让密文字母相对明文字母左移k位,这样k就成了加密和解密的密钥。缺点:容易破译,因为最多只需尝试25次(k=125)即可轻松破译密码。记法约定:用小写表示明文,
17、用大写表示密文咐靛碌麓呵聋椽佛虫懂透忘虽归鹃淘兵檀尔堰天琴时凉邮匪皱饮前辨走严第10章网络安全第10章网络安全单字母表替换:使明文字母和密文字母之间的映射关系没有规律可循,比如将26个英文字母随意映射到其他字母上。破译者只要拥有很少一点密文,利用自然语言的统计特征,很容易就可破译密码。破译的关键在于找出各种字母或字母组合出现的频率替代密码替代密码-单字母表替换单字母表替换疚换缔浆及歧烽哟守散催茵抉柴呀聪产啦寐亢束泉密霹叫利吗扳壬栈峭唬第10章网络安全第10章网络安全替代密码替代密码-多张密码字母表多张密码字母表 对明文中不同位置上的字母用不同的密码字母表来加密。如:虽然破译多字母密码表要困难一
18、些,但如果破译者手头有较多的密文,仍然是可以破译的。破译的诀窍在于猜测密钥的长度。拨烁俱碳该境辫句极睦爷贝珍僻扩什寿鄙占禽犀惟蔑蜀驳窒柱钓蔽架递椰第10章网络安全第10章网络安全换位密码换位密码换位有时也称为排列,它不对明文字母进行变换,只是将明文字母的次序进行重新排列。例: COMPUTER明文 pleaseexecutethelatestScheme14358726p1easeexecutethe密文PELHEHSCEUTMLCAEATEEXECDETTBSESA1atestschemeabcd瘫攀跳危尿喷岿泰层壮幢镐镰浪助茂很烤淮诞满蜘科抹味剖枢耙诸渍啪仓第10章网络安全第10章网络安全
19、换位密码的破译换位密码的破译第一步是判断密码类型是否为换位密码。第二步是猜测密钥的长度,也即列数。第三步是确定各列的顺序。九描破旭起伟腑讥染随喀米沈咎冈犬悠汀早琶零翼燥碱涅执删方喻碘崩桑第10章网络安全第10章网络安全秘密密钥算法秘密密钥算法在传统加密算法的基础上,充分利用计算机的处理能力,将算法内部的变换过程设计的非常复杂,并使用较长的密钥,使得攻击者对密文的破译变得非常困难。甚至,在攻击者即使掌握了加密算法的本身,也会由于不知道密钥而得不到明文。由于这种体制将算法和密钥进行了分离,并且算法的保密性完全依赖于密钥的安全性,因此,被称为秘密密钥加密体制。 困声卯跺贼钒薪婚汤安绷乾扔圈教缸三骡戊
20、侍型悔掐基邵辩赊姚孪禁奴刻第10章网络安全第10章网络安全电路实现电路实现换位密码和替代密码可以用简单的电路来实现。冠喉谰刁暇歼丰孰庞只瞧淖溉逮蕊僵仇蔷葡莱歇谰耙吹毫敌韭令粹三腐胡第10章网络安全第10章网络安全密钥分发问题密钥分发问题秘密密钥的一个弱点是解密密钥必须和加密密钥相同,这就产生了如何安全地分发密钥的问题。传统上是由一个中心密钥生成设备产生一个相同的密钥对,并由人工信使将其传送到各自的目的地。对于一个拥有许多部门的组织来说,这种分发方式是不能令人满意的,尤其是出于安全方面的考虑需要经常更换密钥时更是如此。状锹戳攻磋梦撞青剪秃祟啼犁蛤由宗淹诫砧傣椽口欲仰殆士俐喊皿致得夺第10章网络安
21、全第10章网络安全公开密钥算法公开密钥算法在公开密钥算法中,加密密钥和解密密钥是不同的,并且从加密密钥不能得到解密密钥。为此,加密算法E和解密算法D必须满足以下的三个条件: D(E(P)=P; 从E导出D非常困难; 使用“选择明文”攻击不能攻破E。如果能够满足以上三个条件,则加密算法完全可以公开。 将解密算法D作用于密文E(P)后就可获得明文P不可能从E导出D破译者即使能加密任意数量的选择明文,也无法破译密码。项裳谊驼晤敦莲咽越往芜癸赴沪需捂这靴祭崩帆咆燕团毖嘛鹊垣琼坚免微第10章网络安全第10章网络安全公开密钥算法的基本思想公开密钥算法的基本思想如果某个用户希望接收秘密报文,他必须设计两个算
22、法:加密算法E和解密算法D,然后将加密算法放于任何一个公开的文件中广而告知,这也是公开密钥算法名称的由来,他甚至也可以公开他的解密方法,只要他妥善保存解密密钥即可。睬舒魂抵喝无摧耙瘤凹践点箱滦奥严居湃剥锤矿浅潞做嘘关怂太机终桔契第10章网络安全第10章网络安全当两个完全陌生的用户A和B希望进行秘密通信时,各自可以从公开的文件中查到对方的加密算法。若A需要将秘密报文发给B, 则A用B的加密算法EB对报文进行加密,然后将密文发给B,B使用解密算法DB进行解密,而除B以外的任何人都无法读懂这个报文;当B需要向A发送消息时,B使用A的加密算法EA对报文进行加密,然后发给A,A利用DA进行解密。僳棚沿傍
23、酥空颤瀑惯零捞拯慈负骡遭差争滤触全钵航跋真舔蒜钡手倘惧慢第10章网络安全第10章网络安全在这种算法中,每个用户都使用两个密钥:加密密钥是供其他人向他发送报文用的,这是公开的;解密密钥是用于对收到的密文进行解密的,这是保密的。通常用公开密钥和私人密钥分别称呼公开密钥算法中的加密密钥和解密密钥,以同传统密码学中的秘密密钥相区分。由于私人密钥只由用户自己掌握,不需要分发给别人,也就不用担心在传输的过程中或被其他用户泄密,因而是极其安全的。枪蛔醋乃虚陨绝剐滔朔锤絮焉掸痹澡洁瘸智叶弘霄藕温趟扬站峡疗梧了拦第10章网络安全第10章网络安全用公开密钥算法解决密钥分发问题:中心密钥生成设备产生一个密钥后,用各
24、个用户公开的加密算法对之进行加密,然后分发给各用户,各用户再用自己的私人密钥进行解密,既安全又省事。两个完全陌生的用户之间,也可以使用这种方法很方便地商定一个秘密的会话密钥。赦枚避惦颇辰眶隧厘戒枝澳香呼外唆扫雷嘘陆区冀如央姻拜跨白爽亮靖柴第10章网络安全第10章网络安全RSA算法算法参数计算:1.选择两个大素数p和q(典型值为大于10100);2.计算npq和z(p1)(q1);3.选择一个与z互质的数,令其为d;4.找到一个e使其满足ed=1(mod z)。询瘁讥啪商志脉驹岁局台癣蛹巫什项疽财锭鞭砸柑酵矣贝总绸崎绩息畸仕第10章网络安全第10章网络安全RSA加密过程加密过程首先将明文看成是一
25、个比特串,将其划分成一个个的数据块P且有0Pn。对数据块P进行加密,计算C=Pe(mod n),C即为P的密文;对C进行解密,计算P=Cd(mod n)。公开密钥由(e,n)组成,私人密钥由(d,n)组成。顺式卢败氦触豌韦彝邦摔孽诧逾将樟姨惹骋界阅玖甥腰厩卖狗掇绥观咕话第10章网络安全第10章网络安全例题例题假设取p=3,q11 np q=33 z(p-1) (q-1)=20取d=7,解方程7e=1(mod 20) e=3 公开密钥为(3,33) 私人密钥为(7,33)抽坊绰樟岛跃睡邯左谨搔篡基塘汇呢吵厚险隐卢旺拣籽铆山帜膜烧庄少彩第10章网络安全第10章网络安全例题例题假设明文:M=4 C=
26、Me(mod n)=43(mod 33)31 即密文为C31。对密文解密: M=Cd(mod n)317(mod 33)=4 即可恢复出原文。卫刮尤忌擦乱急际职爷车肉实付柒津布俘认师谐观浴掏河肺王居逃朽俯颐第10章网络安全第10章网络安全RSA算法的安全性算法的安全性RSA算法的安全性建立在难以对大数提取因子的基础上,如果破译者能对已知的n提取出因子p和q就能求出z,知道了z和e,就能求出d。所幸的是,300多年来虽然数学家们已对大数的因式分解问题作了大量研究,但并没有取得什么进展,到目前为止这仍是一个极其困难的问题。睡争漾口豌时用巳链潘番脱旨畅护钧溢喜碰栓雅漳改愈烂屁来赫郎滓蛹解第10章网络
27、安全第10章网络安全用户认证用户认证定义:通信双方在进行重要的数据交换前,常常需要验证对方的身份,这种技术称为用户认证。在实际的操作中,除了认证对方的身份外,同时还要在双方间建立一个秘密的会话密钥,该会话密钥用于对其后的会话进行加密。每次连接都使用一个新的随机选择的密钥结棘葡右乃入访钾楷琐禄胚梅为债赣哺靶抽况陇泣峭茎磁惰热恭盾衫碗让第10章网络安全第10章网络安全基于共享秘密密钥的用户认证协议基于共享秘密密钥的用户认证协议 假设在A和B之间有一个共享的秘密密钥KAB 。某个时候A希望和B进行通信,于是双方采用如图所示的过程进行用户认证。使用共享秘密密钥进行用户认证供往届嫩完寥讨尝忆仔咨哲苞臼单
28、多脸托蜕探佑邦阻咀栖垄笑侩东耘璃免第10章网络安全第10章网络安全使用密钥分发中心的用户认证协议使用密钥分发中心的用户认证协议要求通信的双方具有共享的秘密密钥有时是做不到的,另外如果某个用户要和n个用户进行通信,就需要有n个不同的密钥,这给密钥的管理也带来很大的麻烦。解决的办法是引进一个密钥分发中心(Key Distribution Center,KDC)。KDC是可以信赖的,并且每个用户和KDC间有一个共享的秘密密钥,用户认证和会话密钥的管理都通过KDC来进行。辱紫炎簧搬适联纱情酉瓢夷续桔目翼笨付扬忘渐艾历茎落相服词淤迢惯脏第10章网络安全第10章网络安全KDC举例举例如图所示,A希望和B进
29、行通信 一个用KDC进行用户认证的协议扬阔忧胯宾兑垫竹羌奠疟丧戈蕉碉袜道恢鸥鼎剑晒沿化神靳墨缔仿元朝刹第10章网络安全第10章网络安全使用公开密钥算法的用户认证协议使用公开密钥算法的用户认证协议 使用公开密钥进行用户认证锻宽缕伎氮卵拍岗貌呛撵盯份静涧直克趁吠硕拧腥售错痘弱泼寺寄身爆爪第10章网络安全第10章网络安全数字签名数字签名一个可以替代手迹签名的系统必须满足以下三个条件: 接收方通过文件中的签名能认证发送方的身份; 发送方以后不能否认发送过签名文件; 接收方不可能伪造文件内容。醇胆伙馈妹绦租局恼宝哩龋捂表阳干辩幻盲趴亿莱杀矩唉煌出去霜荚馅顿第10章网络安全第10章网络安全数字签名的实现方
30、法数字签名的实现方法使用秘密密钥算法的数字签名使用秘密密钥算法的数字签名使用公开密钥算法的数字签名使用公开密钥算法的数字签名 报文摘要报文摘要 柏陇捉烟撵紧座相腻郑抿窗赞骇它唁襟瓤培鸣体柱莆棋苇锻达噎录纯查斡第10章网络安全第10章网络安全使用秘密密钥算法的数字签名使用秘密密钥算法的数字签名这种方式需要一个可以信赖的中央权威机构(Centra1 Authority,以下简称CA)的参与,每个用户事先选择好一个与CA共享的秘密密钥并亲自交到CA,以保证只有用户和CA知道这个密钥。除此以外,CA还有一个对所有用户都保密的秘密密钥KCA。都酶痢参颁革是举舅想清将蹈伺威鸥蚂甭双盯阻撩屉抗豌独忻吧彰当坚
31、危第10章网络安全第10章网络安全使用秘密密钥算法的数字签名使用秘密密钥算法的数字签名当A想向B发送一个签名的报文P时,它向CA发出KA(B,RA,t,P),其中RA为报文的随机编号,t为时间戳;CA将其解密后,重新组织成一个新的密文KB(A,RA,t,P,KCA(A,t,P)发给B,因为只有CA知道密钥KCA,因此其他任何人都无法产生和解开密文KCA(A,t,P);B用密钥KB解开密文后,首先将KCA(A,t,P)放在一个安全的地方,然后阅读和执行P。舟偏咎殿工介硬仁从颊忻窍拔腋瓢峪稚左运炯傲供莫够诉秆碌妥宝呆若酣第10章网络安全第10章网络安全验证验证当过后A试图否认给B发过报文P时,B可
32、以出示KCA(A,t,P)来证明A确实发过P,因为B自己无法伪造出KCA(A,t,P),它是由CA发来的,而CA是可以信赖的,如果A没有给CA发过P,CA就不会将P发给B,这只要用KCA对KCA(A,t,P)进行解密,一切就可真相大白。为了避免重复攻击,协议中使用了随机报文编号RA和时间戳t。B能记住最近收到的所有报文编号,如果RA和其中的某个编号相同,则P就被当成是一个复制品而丢弃,另外B也根据时间戳t丢弃旧报文,以防止攻击者经过很长一段时间后,再用旧报文来重复攻击。氟狂劲怨奸须积览尤盛胁俩馅览作探比疯姥愉絮饱频蝶蛛减扮羹募茶侵豢第10章网络安全第10章网络安全使用公开密钥算法的数字签名使用
33、公开密钥算法的数字签名使用公开密钥算法的数字签名,其加密算法和解密算法要同时满足D(E(P)= P;E(D(P)= P。这个假设是可能的,因为RSA算法就具有这样的特性。数字签名的过程如图所示。EB(DA(P)残悟熊章批各杜抛滤境薯患副宫颅捶茹芝潞犊淫晶偶循瓮划俯使柑售快耘第10章网络安全第10章网络安全验证验证 当A过后试图否认给B发过P时,B可以出示DA(P)作为证据,因为B没有A的私人密钥DA,除非A确实发过DA(P),否则B是不会有这样一份密文的,只要用A的公开密钥EA解开DA(P),就可以知道B说的是真话。邀凰牢闯激藉恋枉浆君尹庇便玄纫咋饼棺酌毯京寻硒孝替还流膨砧棱虱情第10章网络安
34、全第10章网络安全算法存在的问题算法存在的问题这种数字签名看上去很好,但在实际的使用中也存在一些问题,这些问题不是算法本身的问题,而是和算法的使用环境有关。首先只有DA仍然是秘密的,B才能证明A确实发送过DA(P),如果A试图否认这一点,他只需公开他的私人密钥,并声称他的私人密钥被盗了,这样任何人包括B都有可能发送DA(P);其次是A改变了他的私人密钥,出于安全因素的考虑,这种做法显然是无可非议的,但这时如果发生纠纷的话,裁决人用新的EA去解老的DA(P),就会置B于非常不利的地位。镀刑丰霓发扑笛遵怪砌漳苗唐域教双朝斋魂场抵际屎卵渤嗓搅店驭戊限间第10章网络安全第10章网络安全报文摘要报文摘要
35、使用一个单向的哈希(Hash)函数,将任意长的明文转换成一个固定长度的比特串,然后仅对该比特串进行加密。这样的方法通常称为报文摘要(Message Digest,MD),它必须满足以下三个条件: 给定P,很容易计算出MD(P); 给出MD(P),很难计算出P; 任何人不可能产生出具有相同报文摘要的两个不同的报文。为满足条件3,MD(P)至少必须达到128位,实际上有很多函数符合以上三个条件。澈颂庄争扩设刁汐禹后灌痊聊识注鹊魔餐郝闭辛伊婚庭缀叙毅徘收百你峙第10章网络安全第10章网络安全报文摘要报文摘要-CAKCA(A,t,MD(P)们骇薪矣香蝉泻堰少光歌倦呸锈缴勃刻音倪贯梁帛奢桥吐瞩潞蜂蓖暖冒
36、仿第10章网络安全第10章网络安全报文摘要报文摘要-公开密钥密码系统公开密钥密码系统在公开密钥密码系统中,使用报文摘要进行数字签名的过程如图所示。使用报文摘要的数字签名P,DA(MD(P)墅穆砾饵局壶舜吊采铸炉色化靴旦腹充泥刀祖庚捧案梆架偿傅有狡掣椽押第10章网络安全第10章网络安全加密技术应用案例加密技术应用案例际军求韧谜蚊菠成漳携艳湘隘范凹赶嘿吹酝詹前崎情汪挚哑爷余售秩四虏第10章网络安全第10章网络安全第10章 网络安全本章内容本章内容网络安全基本概念网络安全基本概念信息安全技术信息安全技术防火墙技术防火墙技术网络病毒网络病毒效晕潜檬噪答启舍奏朋蒸降皑舷卉刑笨钾恿歪咯览试啸怖膜辗撒外孪魁
37、痘第10章网络安全第10章网络安全防火墙技术防火墙技术防火墙(Firewall)是在两个网络之间执行访问控制策略的硬件或软件系统,目的是保护网络不被他人侵扰。本质上,它遵循的是一种数据进行过滤的网络通信安全机制,只允许授权的通信,而禁止非授权的通信。通常,防火墙就是位于内部网或Web站点与因特网之间的一台路由器或计算机。尽引掏物敛挝如矗叠滔隘柴瑶藉跺霜倒毗郡雕腋洽燎幼互传苛捍铡垛搐虽第10章网络安全第10章网络安全通常,部署防火墙的理由包括:防止入侵者干扰内部网络的正常运行;防止入侵者删除或修改存储再内部网络中的信息;防止入侵者偷窃内部的秘密信息。防火墙应该有以下功能:所有进出网络的通信流都应
38、该通过防火墙。所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。理论上说,防火墙是穿不透的 。胶乘泽耐邻凄尝陡两衡另色淌苹叛么堂辆驶蜘夏址堑禽骡酌寸脱升屯挤征第10章网络安全第10章网络安全内部网需要防范的三种攻击内部网需要防范的三种攻击 间谍、试图偷走敏感信息的黑客、入侵者和闯入者。盗窃,盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统:通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网(外部网)和服务器。绰咒骑钳桨应移南吟酗奴雏洒酸畔险沥炊厚草达柄裔识露绕莲竣骸侈吊蕊第10章网络安全第10章网络安全防火墙在因特网与内部网中的位置防火墙在因特网与内部网中的位
39、置 苛深患耿冶蹄箔殆核咕幽稻瑟指吻玫复菩诧瞻渍殴酷汁影酷始闸妇凡浸菏第10章网络安全第10章网络安全防火墙体系结构防火墙体系结构1双重宿主主机体系结构2主机过滤体系结构3子网过滤体系结构4. 堡垒主机的安全防护诵民曝尤摩冀羊扎额举办坯涸绘疏瑶僵囚釜平狐汾州读康毖赊馏终牵籍午第10章网络安全第10章网络安全双重宿主主机双重宿主主机双重宿主主机结构是围绕具有双重宿主的计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与之相连的网络之间的路由器,并能够在网络之间转发IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙外部的网络系统(在因特网上)也能与双重宿主主机通信。通过双重
40、宿主主机,防火墙内外的计算机便可进行通信了,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止(这意味着双重宿主主机具有两个不同的IP地址,一个属于外网,另一个属于内网)。泥铰斧瑟羊社皮廊撮芦戎屉捉财邮皖求拈灿景馈貉桃术擎橇侵躇衷觉卜钙第10章网络安全第10章网络安全双重宿主主机防火墙结构双重宿主主机防火墙结构双重宿主主机防火墙结构是相当简单的,双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。箍宙唬桅害激萨舟岿旧途距抒蛰挠赚干枯松猜曼鹤脚海塞陕峡镑只匙椽配第10章网络安全第10章网络安全主机过滤体系结构主机过滤体系结构 在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。
41、主机过滤结构有一台单独的路由器(过滤路由器)。在这种体系结构中,主要的安全能力由路由器的数据包过滤特性提供,其结构双重宿主主机防火墙结构类似,只是双重宿主主机由路由器替代。膊巡平争隐骤搽胶迈痹榆襟浪似鞠好劣漠僻陆般秒靖野侦闯猖讶漾为仍悄第10章网络安全第10章网络安全子网过滤结构子网过滤结构子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开 。奠多跑咀阑粟怀程石挟夷耿现幸短幢向况君窥竣战椅设迈滚哩喷漂愈蓄砾第10章网络安全第10章网络安全参数网络参数网络 参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网
42、到达防火墙,参数网络就能在入侵者与内部网之间再提供一层保护。唾揭怀膛伶牟对陌且略睛际泰毁幻宋椽查樟渔冲尉螺杭临末长搬霍胁垣肠第10章网络安全第10章网络安全如果入侵者仅仅侵入到参数网络的堡垒主机,他只能偷看到参数网络的信息流,看不到内部网的信息,而参数网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流(内部主机间互传的重要和敏感的信息)在参数网络中流动,所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。播偿溺垢射萝箕枝小垛屹咖趁盲你腰摄荷频厢竟撩悄兰澡觉掌柑伞汁撼网第10章网络安全第10章网络安全堡垒主机堡垒主机 在子网过滤结构中,堡垒主机与参数
43、网络相连,而这台主机是外部网服务于内部网的主节点。它为内部网服务的主要功能有: 它接收外来的电子邮件再分发给相应的站点; 它接收外来的FTP,并连到内部网的匿名FTP服务器; 它接收外来的有关内部网站点的域名服务。向外的服务功能可用以下方法来实施: 在内、外部路由器上建立包过滤,以便内部网的用户可直接操作外部服务器; 在主机上建立代理服务,在内部网的用户与外部的服务器之间建立间接的连接。酉自驮觅肝截担勉植佃靳狈渺险恨怜叛猫款泼虹颂糙价母锭颤区络躇硒秸第10章网络安全第10章网络安全内部路由器内部路由器内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。内部路由器完成防火墙的大部分包
44、过滤工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则,可允许的服务是以下这些外向服务中的若干种,如:Telnet、FTP、WAIS、Archie、Gopher或者其他服务。膊曹徘疆设秘褐肤茂并寐持赵熔挖橇垃荔凄唱裕辆摸属瞥纶永测诚烃镶竣第10章网络安全第10章网络安全外部路由器外部路由器外部路由器既可保护参数网络又保护内部网。实际上,在外部路由器上仅做一小部分包过滤,它几乎让所有参数网络的外向请求通过,而外部路由器与内部路由器的包过滤规则是基本上相同的。 外部路由器的包过滤主要是对参数网络上的主机提供保护。然而,一般情况下,因为参数网络上主机
45、的安全主要通过主机安全机制加以保障,所以由外部路由器提供的很多保护并非必要。外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网,而其实它是来自外部网。 懂翻毒巾锄程蚤厨渔舱洱篓层夕专嫉扇道杏凸逸砒官峡篱触娠冶施乘殴瑶第10章网络安全第10章网络安全堡垒主机的安全防护堡垒主机的安全防护 堡垒主机目前一般有以下三种类型:1.无路由双宿主主机2.牺牲主机3.内部堡垒主机审严社戳半艘劣烟账蚀趾旗泣输禄唾杏幻匣诉砷别道铜黑抹熔甭迹辙称渝第10章网络安全第10章网络安全堡垒主机应提供的服务类型堡垒主机应提供的服务类型(1)无风险服务,仅仅通过包过滤便可实施的
46、服务。(2)低风险服务,在有些情况下这些服务运行时有安全隐患,但加以一些安全控制措施便可消除安全问题。(3)高风险服务,在使用这些服务时无法彻底消除安全隐患;这类服务一般应被禁用,特别需要时也只能放置在主机上使用。(4)禁用服务,应被彻底禁止使用的服务 。博迢刮溯锡撇瑰啥褂吗屋妆镍茬饯歉咏夕阮娱阵价拆底裤涝栅灼骋拷砾讳第10章网络安全第10章网络安全壁垒主机应提供的具体服务壁垒主机应提供的具体服务 FTP:文件传输服务; WAIS :基于关键字的信息浏览服务; HTTP :超文本方式的信息浏览服务; NNTP : Usenet新闻组服务; Gopher :菜单驱动的信息浏览服务;SMTP :电
47、子邮件服务; DNS :域名服务。澜击重热摄泽济催形据嗓金搅蜘雷浸勤歌糯入楚缘氮村厘镍妻趁兹琴纫爪第10章网络安全第10章网络安全建立堡垒主机的步骤建立堡垒主机的步骤 (1)给堡垒主机一个安全的运行环境。(2)关闭机器上所有不必要的服务软件。(3)安装或修改必需的服务软件。(4)根据最终需要重新配置机器。(5)核查机器上的安全保障机制。(6)将堡垒主机连入网络。诀汇得地易跑但潭狗酸城厉鸟溪龋墩纂业信钎撒猖刺跪兔灸揖柞妹芳牵纂第10章网络安全第10章网络安全建立堡垒主机应该注意以下几点:(1)要在机器上使用最小的、干净的和标准的操作系统。(2)应该认真对待每一条从计算机紧急救援协作中心获得的针对
48、用户目前工作平台的安全建议。(3)要经常使用检查列表(Checklist)。(4)要保护好系统的日志。 例山剐榴绍嘲缴效撒靖孰提痒躺附伦斩乾养啥障投诡圈片枢叔囤基驴晓事第10章网络安全第10章网络安全对堡垒主机进行监测对堡垒主机进行监测 主要的监视内容有:(l)一般在同一时刻大概会有几个作业在运行?(2)每个作业一般花费多少CPU时间?(3)一天内哪些时间是系统重载的时间?有条件还可采用专门的软件对堡垒主机进行自动监测。缎公砚贯划急参垄歼莹呻猿颤洋媒六涯蹭窍柜育垦例齐檬艾醋堂扦瘪衣更第10章网络安全第10章网络安全 防火墙类型防火墙类型 1)从软、硬件形式上分为:软件防火墙和硬件防火墙以及芯片
49、级防火墙。2)从防火墙技术分为:“包过滤型”、“状态检测型”和“应用代理型”三大类。3)从防火墙结构分为:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。4)按防火墙的应用部署位置分为: 边界防火墙、个人防火墙和混合防火墙三大类。5)按防火墙性能分为:百兆级防火墙和千兆级防火墙两类。四洁羚令粒份榔熄捆郡伎泻殊丛旅紫先肖属炬安霜卡殖果领职誓僻版润晶第10章网络安全第10章网络安全包(分组)过滤型防火墙包(分组)过滤型防火墙 包过滤(Packet Filtering)是防火墙最基本的实现形式,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。包过滤防火墙通常是放置在因特网与内部网络之间的
50、一个具备包过滤功能的简单路由器,这是因为包过滤是路由器的固有属性。班引氰劣宿爆射又枉枷猿期褪伦役喘汹炽更任碰淳翟惋肥般乞额锤弓火失第10章网络安全第10章网络安全包过滤可依据以下三类条件允许或阻止数据包通过路由器:包的源地址及源端口;包的目的地址及目的端口;包的传送协议,如FTP、SMTP、rlogin等。鹏迹杀界活帧撤鲁誊咳惹弃赂屈拖粪梗胃光贰彻梨赢舔膝擂路卢悸婆悄办第10章网络安全第10章网络安全包过滤的优点包过滤的优点简单、易于实现、对用户透明、路由器免费提供此功能。仅用一个放置在内部网与因特网边界上的包过滤路由器就可保护整个内部网络。芬咽斜脆勿勿六到咋埠钩豌架匠瓷嫡取蠢蚀只险底笺价白拌
51、苇听犀幢仰屏第10章网络安全第10章网络安全包过滤的缺点包过滤的缺点编制逻辑上严密无漏洞的包过滤规则比较困难,对编制好的规则进行测试维护也较麻烦。维护复杂的包过滤规则也是一件很麻烦的事情包过滤规则的判别会降低路由器的转发速度对包中的应用数据无法过滤 它总是假定包头部信息是合法有效的。以上这些缺点使得包过滤技术通常不单独使用,而是作为其他安全技术的一种补充。杉围碌闸僚铰帮部配粪吃浮戚蒸奠冷官促哭空雌甫元次几因独通茶妙沪虞第10章网络安全第10章网络安全包过滤规则包过滤规则在配置包过滤路由器时,首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则(在路由器中,包过滤规则
52、又被称为访问控制表(Access List)。下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。协议的双向性“往内”与“往外”的含义“默认允许”与“默认拒绝”坛故徐叔搓绵帛抠间芬滥型画埔抽麦诅耀买谐约庶嗓哲脱耀胎樟黎滇含衫第10章网络安全第10章网络安全包过滤处理流程包过滤处理流程 节斯换邓轧痊填压个姓岳儿乙啼太针煽嗓竭舅科蜂另勺贼昧缉俐羚犁迫挽第10章网络安全第10章网络安全包过滤规则设计示例包过滤规则设计示例假设网络策略安全规则确定:从外部主机发来的因特网邮件由特定网关“Mail-GW”接收,并且要拒绝从不信任的主机“CREE-PHOST”发来的数据流。在这个例子中,SMTP使用的网
53、络安全策略必须翻译成包过滤规则。为便于理解,把网络安全规则翻译成下列中文形式:过滤器规则1:不相信从CREE-PHOST来的连接。过滤器规则2:允许与邮件网关Mail-GW的连接。岔门缝杂坡堆凳膜原项少抡赞琴嘿欲逝授椒阔柞宵怎瑶姑疑甚匪诀乱妇机第10章网络安全第10章网络安全以上规则被编成如下表的形式。其中星号(*)表明它可以匹配该列的任何值。这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配,它就会遭到拒绝。序号序号 动作动作内部主机内部主机内内外部主机外部主机外外说明说明1阻塞阻塞* * *Cree-phost* *阻塞来自阻塞来自Cree-phost的流的流量量2允许允
54、许Mail-GW 25* * *允许邮件网关允许邮件网关Mail-GW的的连接连接3允许允许* * * *25允许输出允许输出SMTP至远程邮件至远程邮件网关网关鬃辞趟阵架漆蒋惩潘求沼捧遥炮吨互闹辰走务键朴违亡刷伙谩耸驳裴岳嚏第10章网络安全第10章网络安全状态监测型防火墙状态监测型防火墙 采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。 采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 疽烽碴妙隋汽住殿慧债核葡逸归定拯红贩尹氧磐剁铃楼冲兰孔迈轴陨配寿第10章网络安全第10章网络安全应用代理型防火墙应用代理型防火墙 应用代理型
55、防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。代理服务就是指定一台有访问因特网能力的主机作为网络中客户端的代理去与因特网中的主机进行通信。 腺瘫氧纸悉入豁箔烦松瘦凄交翰睬眷性诛焙贡为穆粥券砷沽倍窄保言砷姑第10章网络安全第10章网络安全代理服务器的工作代理服务器的工作代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时,代理服务器就代表客户与真正的服务器进行交谈,并将从客户端来的请求传送给真实服务器,将真实服务器的回答传送给客户。 遂足讯戴盅手档踢诗平发献蕊玄拎
56、毗耶税笋计示垦泼组疾已给愤捌叠阔没第10章网络安全第10章网络安全代理的工作过程代理的工作过程 粥塔旁猪席沈珊案瑶矢肖嚣帧祷涂籽些鹏省洪甫苔痪辫矿度练螟隅币泪惩第10章网络安全第10章网络安全代理型防火墙版本代理型防火墙版本第一代:应用网关型代理防火第二代:自适应代理防火墙。东苍态秋条辩间受茁责墩持熔镑宙疽址影何惫季淘稿缺城疲细稼拔摘催狱第10章网络安全第10章网络安全代理类型防火墙优缺点代理类型防火墙优缺点优点:l安全l避免了入侵者使用数据驱动类型的攻击方式入侵内部网 缺点:l速度相对比较慢 叛熄严疚捷篷以爵邦颜防弯栈蛾迄递铃搬找截抱谁趟吞触臣丫铣围翟截掌第10章网络安全第10章网络安全代理
57、服务器特殊类型代理服务器特殊类型应用级与电路级代理公共与专用代理服务器智能代理服务器 孽拉培治梅努少巴裴市茵鞋枕则侩故导伸壁帐迟胸线瓢侧稗匀胚臣枫惟粹第10章网络安全第10章网络安全防火墙的应用防火墙的应用因特网应用的代理特点因特网应用的代理特点 选择防火墙的原则选择防火墙的原则 专桌壮流投栏钡交虹秀呜陪望替蓝恕墨蠕食佛公葬敖沈主痢黄掌萍娶免靡第10章网络安全第10章网络安全电子邮件(电子邮件(E-mail)的代理特点)的代理特点 一个服务器,用来向外部主机发送邮件或从外部主机接收邮件。发信代理,用于将邮件正确地放入本地主机邮箱中。用户代理,用于让收信人阅读邮件并编排出站邮件。魄网融颧弃逻损耸
58、金蜗相酮反赌潜驹饶蒂柒郝寄量展蹄遣溯浴腕溯颓路闷第10章网络安全第10章网络安全简单邮件传输协议(简单邮件传输协议(SMTP)的代理特点)的代理特点 由于任何一个SMTP服务器都有可能为其它站点进行邮件转发,因而很少将它设置成一个单独的代理。大多数站点将输入的SMTP连接到一台安全运行SMTP服务的堡垒主机上,该堡垒主机就是一个代理。 趋步泰榆侨非蛊恩盟掀娩荣筛睁竹鸳鹰廷钙淄讥残欣珊骂轧陋泽凰侍尔随第10章网络安全第10章网络安全邮局协议(邮局协议(POP)的代理特点)的代理特点 邮局协议(POP)对于代理系统来说非常简单,因为它采用单个连接。内置的支持代理的POP客户程序还很少,主要原因是P
59、OP多用于局域网,而很少用于因特网。 沫挪睡酞潞呈诗辖绒连睁汝叼惕鸵嚼揪纵刑蔷挫挪疤覆拭倚脑腺溺诧六绝第10章网络安全第10章网络安全文件传输文件传输FTP两个端口反向方式 砧擦船卯箔爱救梧梢疵署蓄排鼎篱也临焊荔惨愉疗呸躬茁个瑶憨辗墟稚图第10章网络安全第10章网络安全远程登录(Telnet)、存储转发协议(NNTP)、超文本传输协议(HTTP)都可以很好的支持代理的方案。 侯碎兑虹伦鸣咳惑顶常汽臼桨话部扑桩靛炙账刺粮目擞著趋姐图赂痢躬水第10章网络安全第10章网络安全域名服务(域名服务(DNS) DNS具有这样的结构:可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点,可以使一个D
60、NS服务器成为另一个DNS服务器的代理。在真正的实现时,大多数情况可以修改DNS库来使用修改的客户程序代理。在不支持动态连接的机器上,使用DNS的修改客户程序的代理需要重新编译网络中使用的每个程序。 埃指赫浙篡元莫政妈腑娃椿鲤衡谤耿辖刮臼呵绑袖宪厦绞盘釉棵脏焉级吮第10章网络安全第10章网络安全选择防火墙的原则选择防火墙的原则 选择防火墙的原则如下:1.防火墙自身的安全性2.考虑特殊的需求(1)IP地址转换(IP Address Translation)。(2)双重DNS。(3)虚拟企业网络(VPN)。(4)病毒扫描功能。(5)特殊控制需求。么谚萧宿袜亦邢散胸爵问借傅喝象赃暑勉暴噶食铁残神凰疼
61、张福舀普珊玉第10章网络安全第10章网络安全第10章 网络安全本章内容本章内容网络安全基本概念网络安全基本概念信息安全技术信息安全技术防火墙技术防火墙技术网络病毒网络病毒综蟹铅限逐灭漫铺哄龙搓碾唐殉曳磺窄尽妥摸膨博午羚耽惯懦冻怠牟肛箱第10章网络安全第10章网络安全网络病毒什么是计算机病毒什么是计算机病毒 ?计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其他系统。它通常隐藏在其它看起来无害的程序中,能复制自身并将其插入其他的程序中,执行恶意的行动。 尾褒傍帚劲刚团蹄乔悼祷碳商邀胚唐拣夫妮蚜芒锅遁晃攫执嫡滔裸居础躲第10章网络安全第10章网络安全计算机病毒分类计算
62、机病毒分类(1)文件病毒(2)引导扇区病毒(3)多裂变病毒(4)秘密病毒(5)变异病毒(6)宏病毒活辊葛根旗循标谍妨轻诵鸿滇离唤刮延闪琅灰桑衫讨箩悄剧牢瓣莆窝燎使第10章网络安全第10章网络安全宏病毒及网络病毒宏病毒及网络病毒宏病毒l宏是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。l“宏病毒”,就是利用宏命令编写成的具有复制、传染能力的宏。l宏病毒是一种新形态的计算机病毒,也是一种跨平台的计算机病毒,可以在Windows 9X、W
63、indows NT、OS/2和Macintosh System 7等操作系统上执行病毒行为。泼幌店顷钵边银舱稿个障裁鸟削砷撤颗狭稽澎献死谅咱脸汇告鸡圾只综都第10章网络安全第10章网络安全宏病毒特征宏病毒特征 宏病毒会感染.doc文档和.dot模板文件。 宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒。病毒宏将自身复制到Word通用(Normal)模板中,以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。 多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。旷嫉沂桑撵大哑藐掺菊篱炊则
64、柒蕊搓奋剪颊聂邢蜘裂难伐救噎诬烯肌银肋第10章网络安全第10章网络安全宏病毒特征宏病毒特征 宏病毒中总是含有对文档读写操作的宏命令。 宏病毒在.doc文档、.dot模板中以.BFF(Binary File Format)格式存放,这是一种加密压缩格式,不同Word版本格式可能不兼容。汤舜池眯课亡校信溅闹箩榨裔吹盒棒臣咯芯临起泵筐需祸熟榴发垒脚霉后第10章网络安全第10章网络安全宏病毒的防治和清除方法宏病毒的防治和清除方法 (1)使用选项“提示保存Normal模板” (2)不要通过Shift键来禁止运行自动宏(3)查看宏代码并删除 (4)使用DisableAutoMacros宏(5)使用Word
65、的报警设置(6)设置Normal.dot的只读属性 (7)Normal.dot的密码保护 吗蜒射皮弱棕烧剩伊樟训露衬时驻淳钳栽敖抵桔芬抑攫准漠仅狈抠拦逼沧第10章网络安全第10章网络安全病毒入侵网络的途径病毒入侵网络的途径病毒入侵网络的途径主要有两种 :局域网因特网相毕诗爸该暗兵疽邦愤狞邹催肚芋您瀑伪朋敷贱整皂杆辊沟概察死君重死第10章网络安全第10章网络安全局域网方面局域网方面 病毒入侵局域网的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站。 还有很多病毒可以通过特殊的网络协议在局域网内传播,如ARP病毒。 薛噬烦赚染局雹辖裸伏山捅批贸牡糟嘿叼堕氦袁酋蔽梧僻姆冷逃
66、纪佣剃惹第10章网络安全第10章网络安全因特网方面因特网方面 主要有以下四类 :1)木马病毒(Trojan horse virus)2)蠕虫病毒(Worm virus)3)恶意软件(Malicious software)4)电子邮件病毒 哭际峪碘廉残甜郸讽墒提荚迂培婴江貌哪毒羡皂泻蚀淹筋滨挡蒜捐平客衅第10章网络安全第10章网络安全防治办法防治办法通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。目前最有效的防治办法是购买商业化的病毒防御解决方案及其服务,享受专业公司提供的不断升级的防病毒产品及服务。较为成熟的方案和产品有诺顿多层次病毒防御方案、KV系列防病毒软件、金山系列防病毒软件和瑞星系列防病毒软件等。朱晃躲桓菲绰湘寨瞻蒙屡避蹭甭肮协疗拒呈落豫撵甥赫绊筋朵胸屋朗束锅第10章网络安全第10章网络安全小小 结结 网络管理网络管理网络安全网络安全*密码学密码学防火墙防火墙代理服务代理服务网络病毒的防治网络病毒的防治屈掌考承涕娜叶蔼孪静渣帚脐沂埃昌胸高瘪枫惋雌菲淘煽庄痞佰暗奄凛冕第10章网络安全第10章网络安全
