第22、23、24讲计算机网络安全技术基础课件.ppt

第9章 网络安全技术,9.1 计算机网络安全概述9.2 加密技术9.3 防火墙技术9.4 网络攻击和对策9.5 网络病毒的识别与防范,学习目标,描述网络安全的定义、内容、主要特征、安全威胁和常用的防范措施了解加密系统中的明文、密文和加密算法的关系描述对称加密算法和公钥加密算法的基本工作原理及应用了解数字签名和身份验证的基本概念和作用了解防火墙基本作用及功能掌握包过滤和应用层代理两种防火墙技术的应用了解常用的网络攻击方法和对策了解网络病毒的特征、分类和防范方法,重要术语,可用性和访问控制：Availability and Access Control 网络安全：Network Security保密性：Confidentiality 身份证明：Authentiction不可否认性：Nonrepudiation完整性：Integrity密文：Ciphertext明文：Plaintext或Cleartext加密：Encryption解密：Decryption密钥：Key私钥：Private Key公钥：Public Key,数字签名：Digital Signature数据加密标准：Data Encryption Standard报文摘要：Message Digest防火墙：Firewall包过滤：Packet Filtering应用网关：Application-level Gateway嗅探器：Sniffer端口扫描：Port ScanningIP欺骗：IP Spoofing入口过滤：Ingress Filtering拒绝服务攻击（DoS）：Denial-of-Service Attack病毒：Virus木马：Trojan Horse蠕虫：Worm,9.1 计算机网络安全概述,9.1.1 什么是网络安全9.1.2 网络系统安全的主要特性9.1.3 计算机网络系统面临的威胁9.1.4 引起网络系统不安全的因素9.1.5 网络安全规范和措施,9.1.1 什么是网络安全,从本质上说，网络安全就是要保证网络信息的安全，即要实现安全通信。1保密性（confidentiality）尽管传输的报文可能被窃听者截取，但只有发送方和预定的接收方能够理解传输报文的内容。这就要求对报文进行加密（encrypted），使得截获者不能解密（decrypted）截取到的报文。保密通信涉及到数据加密和解密的密码学技术。,2身份鉴别（authentication）发送方和接收方都应该能证实通信的另一方确实具有他们所声称的身份。这在人类面对面通信时，可以通过视觉轻松解决的问题，而在通信双方无法看到对方的情况下，身份鉴别就不是那么容易的事了。举个例子来说，如果你收到一份电子邮件，该邮件中包含的文本信息显示这份电子邮件来自你的一位朋友，你如何相信这封邮件确实是你的那个朋友所发送的呢？身份鉴别也可以用密码技术来解决。,9.1.1 什么是网络安全,9.1.1 什么是网络安全,3报文完整性和不可否认性（message integrity and nonrepudiation） 即使发送方和接收方可以互相鉴别对方的身份，他们还需要确保传输的报文内容在传输过程中未被改变（恶意篡改或意外改动），同时接收方要证实一个报文确实来自所宣称的发送方。报文完整性和证实一个报文确实来自所宣称的发送方也可以用密码技术来实现。,4可用性和访问控制（availability and access control）安全通信的一个关键前提是能进行通信。也就是说，任何非法的用户（或攻击者）不能阻止合法用户使用网络基础设施，保证任何攻击者无法阻止合法用户使用网络、主机、网站或其他基础设施。访问控制机制可区分网络的合法用户和非法用户，只允许拥有适当的访问权限的用户以定义明确的方式对资源进行访问。通过防火墙技术可以实现这一特性。,9.1.1 什么是网络安全,9.1.2 网络系统安全的主要特性,1可靠性可靠性是网络系统安全最基本的要求，可靠性主要是指网络系统硬件和软件无故障运行的性能。提高可靠性的具体措施包括：提高设备质量，配备必要的冗余和备份，采取纠错、自愈和容错等措施，强化灾害恢复机制，合理分配负荷等。,2可用性可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户使用。这里包含两个含义：一是当授权用户访问网络时不被拒绝；二是授权用户访问网络时要进行身份识别与确认，并且对用户的访问权限加以明确的限制。,9.1.2 网络系统安全的主要特性,9.1.2 网络系统安全的主要特性,3保密性保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容。常用的保密措施包括：防监听、防辐射、信息加密和物理保密（限制、隔离、隐蔽、控制）等。,4完整性完整性是指网络信息未经授权不能进行改变的特性。即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保持信息的原样。影响网络信息完整性的主要因素包括：设备故障、误码、人为攻击以及计算机病毒等。,9.1.2 网络系统安全的主要特性,5不可否认性不可否认性也被称为不可抵赖性，主要用于网络信息的交换过程，保证信息交换的参与者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。,9.1.2 网络系统安全的主要特性,9.1.3 计算机网络系统面临的威胁,1通信对面临的威胁在计算机网络上在计算机网络上进行通信时，面临的威胁主要包括：（1）截获，攻击者从网络上窃听信息。（2）中断，攻击者有意中断网络上的通信。（3）篡改，攻击者有意更改网络上的信息。（4）伪造，攻击者使用假的信息在网络上传输。,9.1.3 计算机网络系统面临的威胁,2计算机网络系统自身面临的威胁计算机网络系统自身面临的威胁包括：（1）物理设备的安全威胁。常见的威胁有偷窃、废物搜寻和间谍活动等。例如，因为计算机里存储的数据价值远远超过计算机本身，所以计算机偷窃行为造成的损失往往高于被偷设备价值的数倍。,（2）计算机系统的脆弱性。主要来自计算机操作系统和网络通信协议的不安全性。属于D级的操作系统（如Dos，Windows 9X等）没有安全防护措施，达到C2级的操作系统（如Windows 2000、UNIX、Linux）的安全性高，能用作服务器操作系统。但是，C2级系统也存在安全漏洞。例如，系统的管理员或超级用户账号，如果入侵者得到这些账号，整个系统将完全受控于入侵者，系统将面临巨大的危险。又如系统开发者有意设置的系统漏洞，目的是为了当用户失去对系统的访问权限时仍能进入系统，像VMS操作系统中隐藏的一个维护账号，恶意用户可用此账号进入系统。此外和操作系统绑定的TCP/IP（IPv4）通信协议也存在着很多安全漏洞。,9.1.3 计算机网络系统面临的威胁,9.1.4 引起网络系统不安全的因素,1来自外部的不安全因素即网络上存在的攻击。在网络上，存在着很多的敏感信息，有许多信息都是一些有关国家政府、军事、科学研究、经济以及金融方面的信息，有些别有用心的人企图通过网络攻击的手段截获信息。2来自网络系统本身网络中存在着硬件、软件、通信、操作系统或其他方面的缺陷与漏洞，给网络攻击者以可乘之机。这是黑客能够实施攻击的根本，也是一些网络爱好者利用网络存在的漏洞，编制攻击程序的练习场所。,3网络安全管理方面网络管理者缺乏警惕性、忽视网络安全，或对网络安全技术不了解，没有制定切实可行的网络安全策略和措施。例如，允许网络内部的用户越权访问那些不允许其使用的资源和服务器，从而造成系统或网络的错误操作或崩溃。据统计，网络安全管理上的疏忽造成了大量的网络安全问题。4网络安全协议在互联网上使用的协议是TCP/IP，其IPv4 在设计之初没有考虑网络安全问题，协议本身存在安全的机制，这是互联网存在安全威胁的主要原因。,9.1.4 引起网络系统不安全的因素,9.1.5 网络安全规范和措施,1在安全检测和评估方面安全检测和评估主要包括网络、保密性以及操作系统的检测与评估。由于操作系统是网络系统的核心软件，网络环境的计算机操作系统的安全检测和评估是非常重要的。目前主要可参照的标准是最初由美国计算机中心于1983 年发表的并经过多次修改的可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），标准把计算机操作系统分为4个等级（A、B、C、D）和7个级别，D级最低，A级最高。一般的操作系统的安全都处于D与A级之间，例如WindowsNT/2000/2003、Unix服务器操作系统均属于C2级。,9.1.5 网络安全规范和措施,2在安全体系结构方面（1）OSI安全服务主要包括对等实体鉴别服务、访问控制服务、数据保密服务、数据完整性服务、数据源鉴别服务和禁止否认服务等。（2）OSI加密机制主要包括加密机制、数字签名机制、访问控制机制、数据完整性机制、交换鉴别机制、业务流量填充机制、路由控制机制和公证机制等。加密机制是提供数据保密最常用的方法。（3）数字签名机制是防止网络通信中否认、伪造、冒充和篡改的常用方法之一。,（4）访问控制机制是检测按照事先规定的规则决定对系统的访问是否合法，数据完整性用于确定信息在传输过程中是否被修改过。（5）交换鉴别机制是以交换信息的方式来确认用户的身份。（6）业务流量填充机制是在业务信息的间隙填充伪随机序列，以对抗监听。（7）路由控制机制是使信息发送者选择特殊的、安全的路由，以保证传输的安全。（8）公正机制是设立一个各方都信任的公正机构提供公正服务以及仲裁服务等。,9.1.5 网络安全规范和措施,9.1.5 网络安全规范和措施,3安全管理安全管理可以分为技术管理和行政管理两方面。技术管理包括系统安全管理、安全服务管理、安全机制管理、安全事件处理、安全审计管理、安全恢复管理和密钥管理等。行政管理的重点是设立安全组织机构、安全人事管理和安全责任管理与监督机制等。,9.1.5 网络安全规范和措施,4常用的安全措施（1）用备份和镜像技术提高数据完整性。备份系统是最常用的提高数据完整性的措施，备份工作可以手工完成，也可以由系统自动完成。镜像是备份的一种方式，就是两个部件执行完全相同的功能，若其中一个出现故障，则另一个系统仍可以继续工作。可以配置操作系统自动完成系统备份工作。（2）定期检测病毒。对引入的软盘、优盘或下载的软件和文档加以安全控制，如使用前对软盘进行病毒检查，及时更新杀毒软件的版本和病毒库，注意病毒流行的动向，及时发现正在流行的病毒，并采取相应措施。,（3）安装补丁程序。及时安装各种补丁程序，不要给入侵者可乘之机。系统的安全漏洞传播很快，若不及时修正，后果难以预料。现在，一些大公司的网站上都有这种系统安全漏洞说明，并附有解决方法，用户可以经常访问这些站点以获取有用的信息。（4）提高物理安全。保证机房物理安全，有许多装置可以确保在机房中的计算机和网络设备安全，例如，用高强度电缆在计算机机箱旁穿过。（5）采用Internet防火墙。防火墙是一个非常有效的防御措施，并设置一个有经验的防火墙维护人员。（6）仔细阅读日志。日志是网络管理人员判断和解决问题的一个重要的依据，因此管理员必须养成仔细阅读日志的习惯。（7）加密文件。,9.1.5 网络安全规范和措施,9.2 加密技术,9.2.1 什么是加密9.2.2 加密算法9.2.3 常用的加密标准9.2.4 常用加密技术,9.2.1 什么是加密,加密技术是指对信息进行编码和解码的技术，编码是把原来可读信息（又称明文）转变成代码形式（又称密文），其逆过程就是解码（解密）。加密技术的要点是加密算法，加密算法可以分为对称加密、非对称加密和不可逆加密3类算法。任何一个加密系统至少包括下面4个组成部分。（1）明文即未加密的报文。它可能是位序列、文本文件、位图、数字化的语音序列或者是数字化的视频图像。 （2）密文即加密后的报文。（3）加密解密的算法。是用于加密解密的数学函数。（4）加密解密的密钥。是一串数字或字符，作为加解密算法的输入。,9.2.2 加密算法,1对称加密算法对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同的。,9.2.2 加密算法,2公钥加密算法 在公钥加密算法，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。,9.2.2 加密算法,3不可逆加密算法不可逆加密算法的特征是加密过程中不需要使用密钥。输入明文后，由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使用，如计算机系统中的口令加密，应用的就是不可逆加密算法。近年来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增大。在计算机网络中应用较多的不可逆加密算法有：RSA公司发明的消息摘要算法5（Message Digest 5，md5）算法和由美国国家标准局建议的不可逆加密标准安全杂凑信息标准（Secure Hash Standard，SHS）等。,9.2.3 常用的加密标准,1数据加密标准（Data Encryption Standard，DES）DES是美国国家标准局修订的一种对称密钥加密标准，用于商业和非机密政府事务中。DES用64位密钥加密64位明文块。实际上，64位密钥中的8位用作奇偶校验位（即一个8位字），所以DES密钥中只有56位是有效的。2国际数据加密算法（International Data Encryption Algorithm，IDEA）IDEA是在DES算法的基础上发展起来的，IDEA算法的密钥长度为128位。3RSA算法（RSA algorithm）RSA算法为公用网络上信息的加密和鉴别提供了一种基本的方法，但为了提高保密强度，RSA密钥至少为500位，一般推荐使用1024位，这就使加密的计算量很大。,9.2.4 常用加密技术,1数字签名（Digital Signature）技术数字签名的应用过程是：数据源发送方使用自己的私钥，对数据校验和、其他与数据内容有关的变量进行加密处理（直接加密原始数据速度较慢），完成对数据的合法“签名”。数据接收方则利用对方的公钥来解读收到的“数字签名”。并将解读结果用于对数据完整性的检验，以确认签名的合法性和不可否认性。2不可否认技术（non-repudiation）技术报文摘要是对一个任意长度的报文进行处理后，计算生成一个固定长度的数据“指纹”。称之为报文摘要H(M)。3PGP（Pretty Good Privacy）技术PGP技术是一个基于非对称加密算法RSA公钥体系的邮件加密技术，也是一种操作简单、使用方便、普及程度较高的加密软件。,9.3 防火墙技术,9.3.1 防火墙技术概述9.3.2 防火墙的类型9.3.3 防火墙的发展趋势,9.3.1 防火墙技术概述,防火墙（Firewall）是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合 。,9.3.2 防火墙的类型,1包过滤防火墙包过滤防火墙作用在网络层，它根据包的源地址、目的地址，端口号及协议类型等标志，确定是否允许数据包通过。只有满足过滤规则的数据包才被转发到相应的目的地出口端，其余数据包则被丢弃。 （1）定义包过滤规则，并由包过滤设备端口存储起来。（2）当包到达端口时，对包的报头进行解析，检查IP源和目的地址、TCP或UDP的源和目的端口以及协议类型。（3）应用网络管理员定义的包过滤规则。如果一条规则阻止包传输或接收，此包便不被允许通过。如果一条规则允许包传输或接收，该包可以继续处理。如果一个包不满足任何一条规则，该包被阻塞。,9.3.2 防火墙的类型,2应用程序网关应用程序网关是一个应用程序专用服务器（常被称为代理服务器），所有应用程序数据（进入或外出的）都必须通过应用程序网关。,9.3.3 防火墙的发展趋势,1具有用户身份验证的防火墙通常采用应用网关技术和包过滤技术的结合来完成。一些防火墙厂商把在其他系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。但它给网络通信带来的负面影响也很大，因为用户身份验证需要时间，特别是加密型的用户身份验证。,9.3.3 防火墙的发展趋势,2多级过滤技术所谓多级过滤技术是指防火墙采用多级过滤措施，并辅以鉴别手段。在包过滤一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或入的协议和有害数据包，如nuke包、圣诞树包等；在应用网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补各种单级过滤技术的不足。,9.3.3 防火墙的发展趋势,3防火墙具有病毒防护功能“病毒防火墙”目前主要在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。4基于网络处理器的防火墙基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。从而使防火墙同时满足灵活性和运行性能的要求。,9.4 网络攻击和对策,9.4.1 网络攻击的步骤9.4.2 扫描9.4.3 嗅探器9.4.4 IP地址类欺骗9.4.5 拒绝服务的攻击9.4.6 其他网络攻击,9.4.1 网络攻击的步骤,1收集目标的信息在对一个网络发起攻击之前，攻击者需要知道这个网络中计算机的IP地址、它们所使用的操作系统类型以及它们所提供的服务。有了这些信息，攻击者的攻击能够有更大的针对性，且暴露的可能性就越小。攻击者会利用公开的通信协议或网络工具，收集驻留在网络系统中的各个主机系统的相关信息。2寻求目标计算机的漏洞和选择合适的入侵方法在收集到攻击目标的一批网络信息之后，攻击者会探测网络上的每台主机，以寻求该系统的安全漏洞或安全弱点。通过发现目标计算机的漏洞直接进入系统或利用口令猜测进入系统。,9.4.1 网络攻击的步骤,3留下“后门”后门一般是一个特洛伊木马程序，它在系统运行的同时运行，而且能在系统以后重新启动时自动运行这个程序。4清除入侵记录清除入侵记录是把入侵系统时的各种登录信息都删除，以防被目标系统的管理员发现。,9.4.2 扫描,扫描（scanning）是网络攻击的第一步，通过扫描可以直接截获数据包进行信息分析、密码分析和流量分析等。通过扫描，查找目标系统的漏洞。例如开放的端口、注册用户和口令、系统漏洞等。（手工扫描/端口扫描）手工扫描：利用各种命令，如Ping、Tracert、Host等；例如运行ping程序，通过查看哪个地址对该ping报文进行响应，从而确定网络中计算机的IP地址。端口扫描软件是自动检测远程或本地主机安全性弱点的程序。通过使用扫描软件可以不留痕迹地发现远程服务器的各种TCP 端口的分配、提供的服务和软件版本，这就能间接或直观地了解到远程主机所存在的安全问题,9.4.2 扫描,端口扫描（port scanning）的基本过程是：顺序地与各台计算机的端口进行联系（通过TCP连接请求或者通过UDP数据报），并查看产生的响应。记录目标给予的响应，确定被扫描计算机所提供的服务（例如HTTP或FTP）信息。Nmap是一个广泛应用、开放源代码的端口扫描工具，它能检测目标服务器有哪些TCP/IP端口目前正处于打开状态。Nmap已经成为许多网络安全管理员选择的工具。,9.4.3 嗅探器,嗅探器（Sniffer）是一个运行在与网络相连的设备上的程序，被动接收所有流经这个设备的网络适配器（网卡）的数据帧。例如在以太网环境下，嗅探器能接收所有在这个LAN上来往于主机之间的帧。任何插着以太网卡的主机，只需把网卡设置成混杂模式（promiscuous mode），便能接收所有流经的以太网帧。嗅探器把这些帧传到应用程序，提取出应用程序级数据供给用户。,9.4.4 IP地址类欺骗,IP欺骗（IP spooling）适用于TCP/IP环境下的一种复杂的技术攻击。是网络攻击者经常采用的一种重要手段。对操作系统软件有完全控制权的用户可以容易地修改该计算机上运行的通信协议，把任意一个IP地址放入该主机发出的数据包的源地址字段中。使该数据包看起来仿佛来自于一个任意IP主机，隐藏攻击者的真实主机IP。而且单从一个伪造源IP地址的数据包中，很难找出该数据包的真实发送方。从技术方面来看，采用入口过滤可以防止IP欺骗。执行包过滤的防火墙检查进入的数据包的IP地址，以确定数据包的源地址是否在该端口所能到达的网络地址范围内。例如在公司防火墙处，公司内的所有主机都在给定的地址范围内。但在实际环境中，入口过滤未被广泛采用。,9.4.5 拒绝服务的攻击,可以将一大类安全攻击称为拒绝服务攻击（denial-of-service attack，DoS）。拒绝服务攻击使得合法用户不能正常使用一个网络、主机或网络基础设施的其他部分。Dos攻击通常使被攻击对象产生巨量负载，大量的系统资源被占据，没有剩余的资源给合法用户，合法工作无法执行。拒绝服务攻击降低资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间。有两种类型的拒绝服务攻击，第一种攻击试图去破坏或者毁坏资源，使得无人可以使用这个资源，例如删除操作系统中的某个服务，这样无法为合法的用户提供正常服务。第二种类型是过载一些系统服务，或者消耗一些资源，这样阻止其他合法用户使用这些服务。一个最简单的例子是，使大量主机响应一个包含伪造源IP地址（例如192.198.10.1）的ping请求报文，从而导致大量的ping应答报文发往192.168.10.1主机，而不是发往发出ping请求的真实主机。,9.4.6 其他网络攻击,1口令攻击2缓冲区溢出3电子邮件攻击4其他攻击,9.5 网络病毒的识别与防范,9.5.1 常见网络病毒种类9.5.2 网络病毒的特点9.5.3 常见的网络病毒防范技术,9.5.1 常见网络病毒种类,1蠕虫病毒蠕虫（worm）是一种与传统计算机病毒相仿的独立程序，它通常不依附于其他程序。蠕虫病毒和传统计算机病毒的最大区别在于：传统的计算机病毒必须激活和运行它才能发作和传播，而蠕虫病毒可以自动、独立、主动地发作和传播。它通过不停地获取网络中存在漏洞的计算机上的部分或全部控制权来进行传播。2木马病毒“特洛伊木马”（Trojan Horse）简称“木马”，是一种计算机程序，它驻留在目标计算机里。在目标计算机系统启动时自然启动，然后在某一端口进行监听。如果在该端口收到数据，木马程序对这些数据进行识别，根据识别出的命令，在目标计算机上执行一些操作。比如窃取口令，复制文件、删除文件或重新启动计算机。隐藏着的特洛伊木马可以控制用户计算机系统、危害系统安全，它可能造成用户资料泄露，破坏或使整个系统崩溃。,9.5.1 常见网络病毒种类,3恶意网页恶意网页是指网页中的“地雷”程序，它主要是利用软件或系统操作平台等存在的安全漏洞，通过执行嵌入在网页内的JavaApplet小应用程序、JavaScript脚本语言程序和ActiveX可自动执行的代码程序等，强行修改用户操作系统的注册表、更改系统实用配置程序，或非法控制系统资源、盗取用户文件，或恶意删除硬盘文件、格式化硬盘。例如这类病毒发作时，会禁止桌面操作、修改默认首页、使分区不可见等，甚至会格式化用户的硬盘。4恶意程序和玩笑程序这是一类自身没有传染和传播特性，靠一些好事用户来主动进行传播的。玩笑程序一般没有危害，但恶意程序往往会格式化硬盘或破坏系统。例如曾经十分流行的女鬼、别碰我的眼睛等。5邮件病毒邮件病毒是指利用E-mail系统的安全漏洞进行匿名转发、欺骗、轰炸等行为的一种计算机网络病毒，也是以上典型病毒套上邮件伪装后的一类病毒。常见的如求职信、中国黑客就是这种类型。,9.5.2 网络病毒的特点,1传染方式多2传播速度快3清除难度大4破坏性强5攻击目的明确,9.5.3 常见的网络病毒防范技术,1及时修补操作系统和应用程序的漏洞2安装防病毒软件3对下载的软件要作病毒检查处理4电子邮件病毒的防范,