《计算机网络技术基础:网络安全》由会员分享,可在线阅读,更多相关《计算机网络技术基础:网络安全(36页珍藏版)》请在金锄头文库上搜索。
1、 网络安全网络安全 网络安全手段之网络安全手段之信息加密信息加密 网络安全手段之网络安全手段之防火墙防火墙 网络病毒网络病毒 网络管理网络管理 先天性安全漏洞先天性安全漏洞 Internet的前身是的前身是APPANET,而,而APPNET最初最初是为军事机构服务的,对网络安全的关注较少。是为军事机构服务的,对网络安全的关注较少。 在在进进行行通通信信时时,Internet用用户户的的数数据据被被拆拆成成一一个个个数据包,然后经过若干结点辗转传递到终点。个数据包,然后经过若干结点辗转传递到终点。在在Internet上上,数数据据传传递递是是靠靠TCP/IP实实现现的的。但但是是TCP/IP在在
2、传传递递数数据据包包时时,并并未未对对其其加加密密。换换言言之之,在在数数据据包包所所经经过过的的每每个个结结点点上上,都都可可直直接接获获取取这这些些数数据据包包,并并可可分分析析、存存储储之之。如如果果数数据据包包内内含含有有商商业业敏敏感数据或个人隐私信息,则任何人都可轻易解读。感数据或个人隐私信息,则任何人都可轻易解读。网络安全威胁国家基础设施网络安全威胁国家基础设施因特网因特网网络对国民经济的影响在加强网络对国民经济的影响在加强安全漏洞危害在增大安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加研究安全漏洞以防之研究安全漏洞以防之因特网因特网电力电力交通交通通讯通讯控制控制广
3、播广播工业工业金融金融医疗医疗研究攻防技术以阻之研究攻防技术以阻之苍蝇不叮无缝的苍蝇不叮无缝的蛋蛋计算机网络犯罪及特点计算机网络犯罪及特点 据伦敦英国银行协会统计,全球每年因计算机据伦敦英国银行协会统计,全球每年因计算机犯罪造成的损失大约为犯罪造成的损失大约为80亿美元。而计算机安全专亿美元。而计算机安全专家则指出,实际损失金额应在家则指出,实际损失金额应在100亿美元以上。亿美元以上。 网络犯罪的特点是,罪犯不必亲临现场、所遗留网络犯罪的特点是,罪犯不必亲临现场、所遗留的证据很少且有效性低。并且,与此类犯罪有关的法的证据很少且有效性低。并且,与此类犯罪有关的法律还有待于进一步完善。律还有待于
4、进一步完善。 遏制计算机犯罪的有效手段是从软、硬件建设做遏制计算机犯罪的有效手段是从软、硬件建设做起,力争防患于未然,例如,可购置防火墙起,力争防患于未然,例如,可购置防火墙(firewall),进行网络安全培训,增强防范意识等。),进行网络安全培训,增强防范意识等。计算机面临的安全威胁计算机面临的安全威胁 安全威胁可以划分为以下三种类型: 意外的安全威胁 管理的安全威胁 故意的安全威胁 安全威胁的表现形式可能有主动攻击(中断、安全威胁的表现形式可能有主动攻击(中断、篡改、伪造)、被动攻击(截获)、拒绝服务、篡改、伪造)、被动攻击(截获)、拒绝服务、设置后门、传播病毒等。设置后门、传播病毒等。
5、木马、暗门、病毒木马、暗门、病毒 计算机技术中的计算机技术中的木马木马,是一种与计算机病毒类似,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序。区别是,前者不进行自我复制,即不感染其他程序。 暗门(trapdoor)又称后门(backdoor),指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。 病毒病毒(Virus)是一种会)是一种会“传传染染”其他程序的程其他程序
6、的程序,序,“传传染染”是通是通过过修改其他程序来把自身或其修改其他程序来把自身或其变变种种复制复制进进去完成的。去完成的。 各种安全威胁都可能成为黑客对网络信息系各种安全威胁都可能成为黑客对网络信息系统攻击的手段。免受安全威胁的最有效的方法统攻击的手段。免受安全威胁的最有效的方法是是不要运行来历不明的程序不要运行来历不明的程序。 蠕虫蠕虫(Worm)是一种通)是一种通过过网网络络通信功能将通信功能将自身从一个自身从一个节节点点发发送到另一个送到另一个节节点并启点并启动动之的程序。之的程序。 逻辑逻辑炸炸弹弹(LogicBomb)是一种当运行)是一种当运行环环境境满满足某种特定条件足某种特定条
7、件时时执执行其他特殊功能的程序。行其他特殊功能的程序。 网网络络安全手段之一安全手段之一信息加密信息加密 加加密密指指改改变变数数据据的的表表现现形形式式。信信息息加加密密的的目目的的是是确确保保通通信信双双方方相相互互交交换换的的数数据据是是加加密密的的,即即使使这这些些数数据据在在传传送送过过程程中中被被第第三三方方截截获获,也也无无法法了了解解该该信息的真信息的真实实含含义义。 加加密密旨旨在在对对第第三三者者保保密密,如如果果信信息息由由源源点点直直达达目目的的地地,在在传传递递过过程程中中不不会会被被任任何何人人接接触触到到,则则无无需加密。需加密。 加密与解密加密与解密“Thisi
8、sabook”称为明文(称为明文(plaintext或或cleartext););“!#$%&*()-”称为密文(称为密文(ciphertext)。)。明文转换成密文的过程称为加密(明文转换成密文的过程称为加密(encryption),),相反的过程则称为解密(相反的过程则称为解密(decryption)。)。 加、解密示意图 算法类型算法类型 目前加密数据涉及到的算法有目前加密数据涉及到的算法有秘密钥匙秘密钥匙(secret keysecret key)和和公用钥匙公用钥匙(public keypublic key)加密加密算法。算法。 比较著名的有美国的比较著名的有美国的DES算法,算法,
9、RSA非对称非对称公开密钥算法以及瑞典开发的公开密钥算法以及瑞典开发的IDEA加密算法等。加密算法等。DES算法的原理是使用一套算法的原理是使用一套公开算法公开算法 及及 秘密秘密钥匙钥匙完成对明文的加密。完成对明文的加密。秘密钥匙加密秘密钥匙加密秘密钥匙加密法又称为对称式加密法或传统加密秘密钥匙加密法又称为对称式加密法或传统加密法。其特点是加密明文和解读密文时使用的是同一法。其特点是加密明文和解读密文时使用的是同一把钥匙。把钥匙。 缺点:缺点:由于至少有两个人持有钥匙,所以任何一方都由于至少有两个人持有钥匙,所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者。不能完全确定对方手中的
10、钥匙是否已经透露给第三者。 公用钥匙加密公用钥匙加密 公用钥匙加密法又称公用钥匙加密法又称非对称式加密非对称式加密,RSA非对称非对称公开密钥算法就是一种公用钥匙加密法。公开密钥算法就是一种公用钥匙加密法。 公公用用钥钥匙匙加加密密法法的的特特色色是是完完成成一一次次加加、解解密密操操作作时时,需需要要使使用用一一对对钥钥匙匙。通通常常,将将其其中中的的一一个个钥钥匙匙称称为为私私有有钥钥匙匙(private private keykey),由由个个人人妥妥善善收收藏藏;与与之之成成对对的的另另一一把把钥钥匙匙称称为为公公用用钥钥匙匙,公公用用钥钥匙匙可可以以像电话号码一样被公之于众。像电话号
11、码一样被公之于众。 X X需要传送数据给需要传送数据给A A,X X可将数据用可将数据用A A的公用钥匙的公用钥匙加密后再传给加密后再传给A A,A A收到后再用私有钥匙解密。收到后再用私有钥匙解密。缺点:缺点:利用公用钥匙加密虽然可避免钥匙共享而带来利用公用钥匙加密虽然可避免钥匙共享而带来的问题,但使用时要的计算量较大。的问题,但使用时要的计算量较大。 网络安全手段之二网络安全手段之二防火墙防火墙 防火墙是用来连接两个网络并控制两个网络之防火墙是用来连接两个网络并控制两个网络之间相互访问的系统,它包括用于网络连接的软件和硬间相互访问的系统,它包括用于网络连接的软件和硬件以及控制访问的方案。件
12、以及控制访问的方案。主要功能主要功能是对进出的所有数是对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,同时阻止内部人员向外传输敏感数据,进入受保护网,同时阻止内部人员向外传输敏感数据,为网络提供安全保障。为网络提供安全保障。 防火墙的基本准则:防火墙的基本准则: 过滤不安全服务。过滤不安全服务。 过滤非法用户,控制对特殊站点的访问。过滤非法用户,控制对特殊站点的访问。 防火墙是一类防范措施的总称。这类防范措施防火墙是一类防范措施的总称。这类防范措施简单的可以只用路由器实现,复杂的可以用服务器简单的可以只用路由器实现,复杂的
13、可以用服务器甚至一个子网来实现。它可以在甚至一个子网来实现。它可以在IPIP层设置屏障,也层设置屏障,也可以用应用层软件来阻止外来攻击。可以用应用层软件来阻止外来攻击。 防火墙按照功能及工作方式可分为两种:防火墙按照功能及工作方式可分为两种:包过滤防火墙包过滤防火墙 和和 应用网关应用网关。 防火墙的类型防火墙的类型 1.包过滤防火墙包过滤防火墙包过滤(包过滤(packetfilter)防火墙就是对收到的)防火墙就是对收到的所有所有IP数据包进行检查,根据事先制订好的一组数据包进行检查,根据事先制订好的一组过滤规则来判断收到的过滤规则来判断收到的IP数据包的源地址或目的数据包的源地址或目的地址
14、,以决定是否允许该地址,以决定是否允许该IP包通过。包通过。 包过滤防火墙包过滤防火墙 包过滤防火墙是一种基于网络层的安全技术,对包过滤防火墙是一种基于网络层的安全技术,对于应用层上的黑客行为无能为力。这一类的防火墙产于应用层上的黑客行为无能为力。这一类的防火墙产品主要有品主要有防火墙路由器防火墙路由器、在充当路由器的计算机上运、在充当路由器的计算机上运行的行的防火墙软件防火墙软件等。等。 包包过滤过滤路由器是由路由器和路由器是由路由器和过滤过滤器共同完成器共同完成对对外界外界计计算机算机访问访问内部网内部网络络的限制,也可以指定或限的限制,也可以指定或限制内部网制内部网络访问络访问Inter
15、net。路由器只路由器只对过滤对过滤器上的特定端口上的数据通信器上的特定端口上的数据通信加以路由,加以路由,过滤过滤器的主要功能就是在网器的主要功能就是在网络层络层中根据中根据IP源地址、源地址、IP目的地址、端口号,来确定它是否允目的地址、端口号,来确定它是否允许该许该数据包通数据包通过过。 包过滤路由器的优点就是它仅在网络层进行操作,这种包过滤路由器的优点就是它仅在网络层进行操作,这种操作对于应用层的用户来说是透明的,不要求用户与服务器操作对于应用层的用户来说是透明的,不要求用户与服务器在应用操作系统及程序方面做任何的修改。在应用操作系统及程序方面做任何的修改。包过滤路由器防火墙的缺点:包
16、过滤路由器防火墙的缺点:1、配置包过滤规则较复杂;、配置包过滤规则较复杂;2、只能控制到主机,不涉及数据包内容检查;、只能控制到主机,不涉及数据包内容检查;3、容易遭到破坏。、容易遭到破坏。防火墙的类型防火墙的类型2.应应用网关用网关应应用网关(用网关(applicationgateway),即代理),即代理服服务务器(器(proxy)。它是)。它是为为内部用内部用户户提供一种能提供一种能够够安全地安全地访问访问外部服外部服务务的机制。的机制。 内部网络的一台计算机要访问内部网络的一台计算机要访问Internet上某一上某一服务器的信息:服务器的信息:1)在浏览器中键入)在浏览器中键入URL地
17、址。地址。2)浏览器发出访问)浏览器发出访问WWW信息的要求,代理信息的要求,代理服务器收到请求。服务器收到请求。3)代理服务器检查网络管理员所制定的规则,)代理服务器检查网络管理员所制定的规则,以确认该计算机有权访问以确认该计算机有权访问WWW,而且要去的站,而且要去的站点是不被禁止的。代理服务器将点是不被禁止的。代理服务器将URL送到送到Internet上。上。4)当所需信息从)当所需信息从Internet上返回后先送到代上返回后先送到代理服务器,代理服务器收到页面后给它们加上地理服务器,代理服务器收到页面后给它们加上地址送到发出请求的计算机上去。址送到发出请求的计算机上去。代理服务器的主
18、要功能代理服务器的主要功能 (1)提供缓冲功能。对经常访问的地址创建)提供缓冲功能。对经常访问的地址创建缓冲,可提高热门信息的访问效率。缓冲,可提高热门信息的访问效率。(2)对用户进行分级管理。设置不同用户的)对用户进行分级管理。设置不同用户的不同级别的访问权限,增强网络的安全性。不同级别的访问权限,增强网络的安全性。(3)实施用户验证和记帐功能。非法用户无)实施用户验证和记帐功能。非法用户无权使用代理服务器,可以对用户的访问时间、访权使用代理服务器,可以对用户的访问时间、访问地点、信息流量进行跟踪和统计。问地点、信息流量进行跟踪和统计。(4)节省)节省IP资源。采用代理服务器访问资源。采用代
19、理服务器访问Internet时,只需要给代理服务器一个真实的时,只需要给代理服务器一个真实的IP地址,而内部的网络使用虚拟的网络地址。地址,而内部的网络使用虚拟的网络地址。典型的典型的Internet防火墙防火墙 通常情况下,包通常情况下,包过滤过滤防火防火墙墙与与应应用网关可以用网关可以一起配合使用,一起配合使用,这样这样既既为为内部的主机内部的主机访问访问外部信外部信息提供一个安全的数据通道,同息提供一个安全的数据通道,同时时又能有效地防又能有效地防止外部主机止外部主机对对内部网内部网络络的非法的非法访问访问。防火墙防火墙 防火墙从实现方式上可分为防火墙从实现方式上可分为硬件防火墙硬件防火
20、墙和和软件防火墙软件防火墙两种,从应用领域可分为两种,从应用领域可分为网络防网络防火墙火墙和和个人防火墙个人防火墙。前面介绍的多为硬件防火墙,用于保证网前面介绍的多为硬件防火墙,用于保证网络接口处的安全。个人用户安装在个人计算络接口处的安全。个人用户安装在个人计算机或服务器上的是机或服务器上的是个人防火墙软件个人防火墙软件,保证计,保证计算机或服务器的网络连接安全。算机或服务器的网络连接安全。 个人防火墙个人防火墙 常见的个人防火墙产品常见的个人防火墙产品包括金山网镖、包括金山网镖、江民黑客防火墙、瑞星个人防火墙、天网江民黑客防火墙、瑞星个人防火墙、天网防火墙、费尔防火墙、防火墙、费尔防火墙、
21、Norton Personal Firewall(诺顿)、(诺顿)、Zone Alarm Pro等。等。这些软件功能都大同小异,能基本满足用这些软件功能都大同小异,能基本满足用户对防范恶意攻击的需求,不过它们在功户对防范恶意攻击的需求,不过它们在功能、资源消耗、智能化、易用性上有所区能、资源消耗、智能化、易用性上有所区别。别。天网防火墙天网防火墙 天网个人版防火墙天网个人版防火墙安全级别分为高、安全级别分为高、中、低三级,默认的安全等级为中级。中、低三级,默认的安全等级为中级。天网防火墙天网防火墙天网防火墙的应用程序天网防火墙的应用程序访问网络规则是为了弥补访问网络规则是为了弥补传统基于传统基
22、于IP包过滤的防火包过滤的防火墙无法控制内部应用程序墙无法控制内部应用程序的缺陷而设计的。它是专的缺陷而设计的。它是专门用于对用户计算机内部门用于对用户计算机内部的应用程序访问网络做审的应用程序访问网络做审核,使得潜藏于计算机内核,使得潜藏于计算机内部的后门软件或者非法进部的后门软件或者非法进程无法对用户的计算机造程无法对用户的计算机造成危害。成危害。 天网防火墙天网防火墙天网个人版天网个人版防火墙把网络防火墙把网络访问情况和应访问情况和应用程序进程执用程序进程执行情况结合起行情况结合起来,监控来,监控“应应用程序访问网用程序访问网络状态络状态”。天网防火墙天网防火墙天网个人版防天网个人版防火
23、墙会把所有不火墙会把所有不符合规则的数据符合规则的数据包拦截并且记录包拦截并且记录下来,每条记录下来,每条记录从左到右分别是从左到右分别是发送发送/接收时间、接收时间、发送发送IP地址、本地址、本机通讯端口、标机通讯端口、标志位。志位。 防火墙并非万能,影响网络安全的因素很多,防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:对于以下情况它无能为力:(1 1)不能防范绕过防火墙的攻击。)不能防范绕过防火墙的攻击。 (2 2)一般的防火墙不能防止受到病毒感染的软)一般的防火墙不能防止受到病毒感染的软件或文件的传输。件或文件的传输。 (3 3)难以避免来自内部的攻击。)难以避免来自内
24、部的攻击。 网络病毒及防杀网络病毒及防杀 Internet/IntranetInternet/Intranet的迅速发展和广泛应用给的迅速发展和广泛应用给病毒增加了新的传播途径,网络将正逐渐成为病病毒增加了新的传播途径,网络将正逐渐成为病毒的第一传播途径。毒的第一传播途径。 Internet/IntranetInternet/Intranet带来了两种不同的安全威带来了两种不同的安全威胁:一种威胁来自胁:一种威胁来自文件下载文件下载,一些被浏览的或是,一些被浏览的或是通过通过FTPFTP下载的文件中可能存在病毒;另一种威胁下载的文件中可能存在病毒;另一种威胁来自来自电子邮件电子邮件。 常见的常
25、见的网络病毒网络病毒 电子邮件病毒。电子邮件病毒。有毒的通常不是邮件本身,而是有毒的通常不是邮件本身,而是其附件。其附件。 JavaJava程序病毒。程序病毒。JavaJava是目前网页上最流行的程序是目前网页上最流行的程序设计语言,由于可以跨平台执行,不论是设计语言,由于可以跨平台执行,不论是Windows Windows 9X/NT9X/NT还是还是UnixUnix工作站,都可被工作站,都可被JavaJava病毒感染。病毒感染。 ActiveXActiveX病毒。病毒。当使用者浏览含有病毒的网页时,当使用者浏览含有病毒的网页时,就可能通过就可能通过ActiveXActiveX控件将病毒下载
26、至本地计算机上。控件将病毒下载至本地计算机上。 网页病毒。网页病毒。JavaJava及及ActiveXActiveX病毒大部分都保存在病毒大部分都保存在网页中,网页也传染病毒。网页中,网页也传染病毒。 网络病毒的特点网络病毒的特点 传染方式多传染方式多 传染速度快传染速度快 清除难度大清除难度大 破坏性强破坏性强激发形式多样激发形式多样潜在性潜在性 在网络环境中,计算机病毒具有如下特点在网络环境中,计算机病毒具有如下特点: : 网络计算机病毒的防治网络计算机病毒的防治 加强网络管理人员的网络安全意识,对加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和内部网与外界进行
27、的数据交换进行有效的控制和管理,同时坚决抵制盗版软件;管理,同时坚决抵制盗版软件; 以网为本,多层防御,有选择地加载保以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。护计算机网络安全的网络防病毒产品。 引起网络病毒感染的主要原因在于网络用户引起网络病毒感染的主要原因在于网络用户自身。因此,防范网络病毒应从两方面着手:自身。因此,防范网络病毒应从两方面着手: 网络网络防病毒软件的应用防病毒软件的应用 网网络络防病毒防病毒软软件的基本功能是:件的基本功能是:对对文件服文件服务务器和工作站器和工作站进进行病毒行病毒扫扫描、描、检查检查、隔离、隔离、报报警。警。 网网络络防病毒防病
28、毒软软件一般允件一般允许许用用户设户设置三种置三种扫扫描描方式:方式:实时扫实时扫描、描、预预置置扫扫描和人工描和人工扫扫描。描。 一般主要一般主要针对针对网网络络工作站和服工作站和服务务器使用网器使用网络络防病毒防病毒软软件。件。为为了防止病毒从工作站入侵,可以采用无了防止病毒从工作站入侵,可以采用无盘盘工作站、工作站、使用使用带带防病毒芯片的网卡、使用防病毒芯片的网卡、使用单单机防病毒卡或网机防病毒卡或网络络防病防病毒毒软软件。件。 课堂练习课堂练习1、计算机网络系统中广泛使用的、计算机网络系统中广泛使用的DES算法属于算法属于_。 A 不对称加密不对称加密 B 公开密钥加密公开密钥加密 C 不可逆加密不可逆加密 D 对称加密对称加密2、包过滤规则是在、包过滤规则是在_实现的?实现的? A 物理层物理层 B 数据链路层数据链路层 C 网络层网络层 D 应用层应用层3、防火墙按照功能及工作方式可分为两种:防火墙按照功能及工作方式可分为两种:_和和 _。 小结小结 网络安全问题不容忽视。网络安全问题不容忽视。 信息加密信息加密常见的网络安全手段常见的网络安全手段 网络防火墙网络防火墙网络防病毒网络防病毒包过滤防火墙应用网关
