第九章 網(wǎng)絡(luò)安全

1、第九章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 本章介紹網(wǎng)絡(luò)安全方面的基礎(chǔ)知識，了解網(wǎng)絡(luò)安全的基本內(nèi)容、安全威脅和安全策略，然后對防火墻技術(shù)、加密技術(shù)、數(shù)字簽名技術(shù)、 反病毒技術(shù)、入侵檢測技術(shù)等安全技術(shù)進(jìn)行概括性的介紹，了解網(wǎng)絡(luò)安全技術(shù)的發(fā)展和目前業(yè)界具有代表性的網(wǎng)絡(luò)安全產(chǎn)品。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全學(xué)習(xí)目標(biāo)：了解網(wǎng)絡(luò)安全的基本內(nèi)容了解安全威脅了解安全策略理解防火墻技術(shù)掌握加密技術(shù)和數(shù)字簽名技術(shù)了解反病毒技術(shù)及入侵檢測技術(shù)9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全的基本概念 網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。 9.

2、1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全的5個(gè)特點(diǎn)：1.保密性2.完整性3.可用性4.可控性5.可審查性9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述影響網(wǎng)絡(luò)安全的因素1硬件系統(tǒng)2軟件系統(tǒng)3網(wǎng)絡(luò)及其通信協(xié)議網(wǎng)絡(luò)安全性風(fēng)險(xiǎn)主要有4種基本的安全威脅：信息泄露、完整性破壞、拒絕服務(wù)、非授權(quán)訪問。9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)攻擊的類型（1）從安全屬性分類 網(wǎng)絡(luò)攻擊的類型可分為阻斷攻擊、截獲攻擊、篡改攻擊和偽造攻擊。網(wǎng)絡(luò)攻擊的類型9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)攻擊的類型 （2）從攻擊方式分類 按攻擊方式分類可分為主動攻擊和被動攻擊。9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述

3、 網(wǎng)絡(luò)攻擊的常見形式1.非授權(quán)訪問2.拒絕服務(wù)攻擊3.計(jì)算機(jī)病毒4.特洛伊木馬5.破環(huán)數(shù)據(jù)的完整性6.蠕蟲7.陷門8.IP欺騙9.信息泄露或丟失9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略包括對企業(yè)的各種網(wǎng)絡(luò)服務(wù)的安全層次和用戶的權(quán)限進(jìn)行分類，確定管理員的安全職責(zé)，如何實(shí)施安全故障管理、入侵及攻擊的防御和檢測、備份和災(zāi)難恢復(fù)等內(nèi)容。9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全策略系統(tǒng)安全策略主要涉及4個(gè)方面：物理安全策略訪問控制策略信息加密策略安全管理策略9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述（1）物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他硬

4、件媒體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；從而保障環(huán)境安全、設(shè)備安全和媒體安全。主要措施：對主機(jī)及重要信息的存儲收發(fā)部門進(jìn)行屏蔽處理對本地網(wǎng)傳輸線路上的輻射進(jìn)行抑制對終端設(shè)備的輻射進(jìn)行防范。9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全策略系統(tǒng)安全策略主要涉及4個(gè)方面：物理安全策略訪問控制策略信息加密策略安全管理策略9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述（2）訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。它是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。9.1 9.1 網(wǎng)絡(luò)安全概

5、述網(wǎng)絡(luò)安全概述（2）訪問控制策略幾種常用的安全控制的策略：入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問網(wǎng)絡(luò)的權(quán)限控制目錄級安全控制屬性安全控制網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述（3）防火墻控制策略 該策略是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，稱之為防火墻，也叫控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻止外部網(wǎng)絡(luò)的侵入。9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述（4）入侵防范策略目的是通過一個(gè)網(wǎng)絡(luò)的入侵檢測系統(tǒng)(IDS)，提供24小時(shí)的網(wǎng)絡(luò)監(jiān)控，通過分析網(wǎng)絡(luò)中的數(shù)據(jù)流搜索未經(jīng)授權(quán)的訪

6、問，向管理臺發(fā)送含有黑客攻擊的活動信息，阻斷非法訪問的會話。9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述（5）信息加密策略其目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密。9.1 9.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述（6）網(wǎng)絡(luò)安全管理策略加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行，也將起到十分有效的作用。安全管理策略是指在一個(gè)特定的環(huán)境里，為提供一定級別的安全保護(hù)所必須遵守的規(guī)則，如法律、法規(guī)和制度。9.2 9.2 密碼技術(shù)密碼技術(shù)對網(wǎng)絡(luò)傳輸?shù)膱?bào)文進(jìn)行數(shù)據(jù)加密是一種很有效的反竊聽手段，通常采用一定算法對原文進(jìn)行加密，然后將

7、密文進(jìn)行傳輸，到達(dá)目的節(jié)點(diǎn)后再進(jìn)行解密。 與數(shù)據(jù)加密相關(guān)的一些術(shù)語： 明文M、密文C、密鑰K、加密E、解密D9.2 9.2 密碼技術(shù)密碼技術(shù)一個(gè)好的密碼體制至少滿足兩個(gè)條件：（1）在已知明文M和加密密鑰K的情況下，計(jì)算密文C較容易；已知密文C和解密密鑰K，還原明文M較容易；（2）當(dāng)不知道解密密鑰時(shí)，不能由密文推出銘文。9.2 9.2 密碼技術(shù)密碼技術(shù) 數(shù)據(jù)加密/解密的一般模型9.2 9.2 密碼技術(shù)密碼技術(shù) 密碼技術(shù)的分類有很多標(biāo)準(zhǔn)，按執(zhí)行的操作方式可分為替換密碼技術(shù)和換位密碼技術(shù)；按收發(fā)雙方使用的密匙是否相同，可分為對稱密碼技術(shù)和非對稱密碼技術(shù)。9.2 9.2 密碼技術(shù)密碼技術(shù) 對稱密碼技術(shù)

8、 對稱加密是指加密和解密過程均采用同一把密鑰，這個(gè)密鑰是通信雙方在通信前協(xié)商好的，協(xié)商過程成為發(fā)送密鑰，發(fā)送方使用這把密鑰，采用合適的算法將要發(fā)送的明文轉(zhuǎn)換為密文，通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑邮辗嚼眉s定的密鑰和解密算法完成解密。 比較著名的對稱密鑰算法為美國的DES、AES以及歐洲的IDEA等算法。9.2 9.2 密碼技術(shù)密碼技術(shù) 對稱密碼技術(shù)對稱密鑰算法的模型9.2 9.2 密碼技術(shù)密碼技術(shù) 非對稱密碼技術(shù) 非對稱密碼算法又稱公開密鑰密碼算法，公開密鑰密碼體制最主要的特點(diǎn)是加密和解密使用不同的密鑰，不能從其中的一個(gè)推導(dǎo)出另一個(gè)。典型的公鑰加密算法是RSA，是至今最為廣泛使用的加密算法之一。9.

9、2 9.2 密碼技術(shù)密碼技術(shù) 非對稱密碼技術(shù)非對稱密鑰算法模型9.3 9.3 認(rèn)證認(rèn)證 PKI公開密鑰體系 PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）公開密鑰體系是一種基于加密技術(shù)的安全認(rèn)證機(jī)制。 PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰理論和技術(shù)建立的可提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI的內(nèi)容包括認(rèn)證機(jī)構(gòu)（Certificate Authority ，CA）、注冊機(jī)構(gòu)（Registration Authority ，RA）、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復(fù)、撤銷系統(tǒng)和PKI應(yīng)用接口。9.3 9.3 認(rèn)證認(rèn)證 數(shù)字簽名 數(shù)字簽名實(shí)際上是附加在

10、數(shù)據(jù)單元上的一些數(shù)據(jù)或是對數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換能使數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)的完整性，并保護(hù)數(shù)據(jù)，防止被人偽造。9.3 9.3 認(rèn)證認(rèn)證 數(shù)字簽名的實(shí)現(xiàn)方法1 使用對稱加密和仲裁者實(shí)現(xiàn)數(shù)字簽名2使用公開密鑰體制進(jìn)行數(shù)字簽名3使用報(bào)文摘要完成數(shù)字簽名。9.3 9.3 認(rèn)證認(rèn)證 數(shù)字簽名的實(shí)現(xiàn)原理圖9.3 9.3 認(rèn)證認(rèn)證具有保密性的數(shù)字簽名過程9.3 9.3 認(rèn)證認(rèn)證 CA認(rèn)證技術(shù)CA(Certificate Authority )即證書機(jī)構(gòu)，是保證公鑰的完整性的機(jī)構(gòu)。是網(wǎng)絡(luò)上電子交易安全的關(guān)鍵環(huán)節(jié)，認(rèn)證中心的功能有證書發(fā)放、證書更新、證書撤銷和證書驗(yàn)證。9.3

11、9.3 認(rèn)證認(rèn)證證書名稱證書名稱證書類型證書類型主要功能描述主要功能描述個(gè)人證書用于個(gè)人網(wǎng)上交易、網(wǎng)上支付、電子郵件等單位證書單位身份證書用于企事業(yè)單位網(wǎng)上交易、網(wǎng)上支付等單位證書E-mail證書用于企事業(yè)單位內(nèi)安全電子郵件通信單位證書部門證書用于企事業(yè)單位內(nèi)某個(gè)部門的身份認(rèn)證服務(wù)器證書用于服務(wù)器、安全站點(diǎn)認(rèn)證等代碼簽名證書個(gè)人證書用于個(gè)人軟件開發(fā)者對其軟件的簽名代碼簽名證書企業(yè)證書用于軟件開發(fā)企業(yè)對軟件的簽名證書的類型與作用證書的類型與作用9.3 9.3 證書證書 數(shù)據(jù)完整性驗(yàn)證用報(bào)文摘要鑒別9.4 9.4 網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制 訪問控制技術(shù)訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主

12、要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，他是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。9.4 9.4 網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制 訪問控制涉及的技術(shù) 1 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。 2 權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。 3目錄級控制是指用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。 4屬性安全控制是指當(dāng)使用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)管員應(yīng)給文件、目錄等指定訪問屬性。9.4 9.4 網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制 防火墻技術(shù)常見防火墻的類型包過濾防火墻代理防火墻9.4 9.4 網(wǎng)絡(luò)訪問控制

13、網(wǎng)絡(luò)訪問控制 包過濾防火墻路由器在其端口能夠區(qū)分包和限制包的能力叫作包過濾（packet filtering）。包過濾路由器可以通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。Cisco 路由器是通過訪問列表access-list 命令來完成包過濾規(guī)則的設(shè)置，故包過濾器又被稱為訪問控制列表（Access Control List，ACL）。9.4 9.4 網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制 代理防火墻代理(Proxy)防火墻也叫應(yīng)用層網(wǎng)關(guān)（Application Gateway）防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)，內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)

14、過這樣的防火墻處理后，就好像是數(shù)據(jù)包是從代理發(fā)出一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的作用。9.5 9.5 網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)安全檢測 入侵檢測是指對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和響應(yīng)的處理過程。網(wǎng)絡(luò)數(shù)據(jù)與計(jì)算機(jī)系統(tǒng)數(shù)據(jù)數(shù)據(jù)分析比較數(shù)據(jù)（違反安全策略或遭受攻擊）響應(yīng)處理+安全策略YN入侵檢測的一般過程9.5 9.5 網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)安全檢測 漏洞是指硬件/軟件或策略上存在的安全缺陷，從而使攻擊者能夠在位授權(quán)的情況下訪問控制系統(tǒng)。漏洞檢測技術(shù)被動式策略（基于主機(jī)的檢測，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進(jìn)行檢查）主動式策略（基于網(wǎng)略的檢測，通過執(zhí)行一些腳本文件對

15、系統(tǒng)進(jìn)行攻擊，并記錄他的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞）9.6.1 9.6.1 網(wǎng)際層安全協(xié)議網(wǎng)際層安全協(xié)議 IPSec協(xié)議族主要由三個(gè)協(xié)議構(gòu)成：頭認(rèn)證（AH）協(xié)議封裝安全負(fù)載（ESP）協(xié)議互聯(lián)網(wǎng)密鑰管理協(xié)議（IKMP）9.6.1 9.6.1 網(wǎng)際層安全協(xié)議網(wǎng)際層安全協(xié)議 1 頭認(rèn)證（AH）協(xié)議是在所有的數(shù)據(jù)包頭加入一個(gè)密碼，AH通過一個(gè)只有密鑰持有人知道的數(shù)字簽名密鑰，來完成對用戶的認(rèn)證。 2 封裝安全負(fù)載（ESP）協(xié)議通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密的方法來嚴(yán)格保證傳輸?shù)臋C(jī)密性，從而避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，只有受信任的用戶擁有密鑰才能打開內(nèi)容。 3 密鑰管理包括密鑰確

16、定和密鑰分發(fā)兩個(gè)方面。9.6.1 9.6.1 網(wǎng)際層安全協(xié)議網(wǎng)際層安全協(xié)議原原IPIP頭頭TCPTCP頭頭數(shù)據(jù)數(shù)據(jù)原原IPIP頭頭AHAH頭頭TCPTCP頭頭數(shù)據(jù)數(shù)據(jù)原原IPIP頭頭ESPESP頭頭TCPTCP頭頭數(shù)據(jù)數(shù)據(jù)ESPESP尾尾ESPESP驗(yàn)證驗(yàn)證原原IPIP頭頭AHAH頭頭ESPESP頭頭TCPTCP頭頭數(shù)據(jù)數(shù)據(jù)ESPESP尾尾ESPESP頭驗(yàn)證頭驗(yàn)證（a）原IPv4數(shù)據(jù)包（b）AH封裝（c）ESP封裝（d）AH+ESP封裝傳輸模式的IPv4數(shù)據(jù)包的IPSec封裝9.6.1 9.6.1 網(wǎng)際層安全協(xié)議網(wǎng)際層安全協(xié)議原原IPIP頭頭TCPTCP頭頭數(shù)據(jù)數(shù)據(jù)新新IPIP頭頭AHAH頭頭

17、原原IPIP頭頭TCPTCP頭頭新新IPIP頭頭ESPESP頭頭原原IPIP頭以及擴(kuò)頭以及擴(kuò)展展TCPTCP頭頭數(shù)據(jù)數(shù)據(jù)ESPESP尾尾（a）原IPv4數(shù)據(jù)包（b）AH封裝（c）ESP封裝隧道模式的IPv4數(shù)據(jù)包的IPSec封裝數(shù)據(jù)ESP驗(yàn)證9.6.2 9.6.2 傳輸層安全協(xié)議傳輸層安全協(xié)議 SSL（Secure Sockets Layer ，安全套接層）是Netscape設(shè)計(jì)的一種去年全傳輸協(xié)議。 SSL基于客戶服務(wù)器的工作模式，通過SSL（Transport Layer Security ， 安全傳輸層協(xié)議）報(bào)文交換實(shí)現(xiàn)通信。 （1）建立安全通信 （2）結(jié)束安全通信 （3）驗(yàn)證身份9.6

18、.2 9.6.2 傳輸層安全協(xié)議傳輸層安全協(xié)議 （1）建立安全通信建立安全通信的過程建立安全通信的過程9.6.2 9.6.2 傳輸層安全協(xié)議傳輸層安全協(xié)議 （2）結(jié)束安全通信結(jié)束安全通信的過程結(jié)束安全通信的過程9.6.3 9.6.3 應(yīng)用層安全協(xié)議應(yīng)用層安全協(xié)議 PGP安全電子郵件概述用于電子郵件的隱私協(xié)議（Pretty Good Privacy，PGP）為電子郵件提供認(rèn)證和保密協(xié)議。 PGP提供的安全訪問如下：1發(fā)送明文2加密3報(bào)文認(rèn)證4報(bào)文壓縮5代碼轉(zhuǎn)換6數(shù)據(jù)分段9.6.3 9.6.3 應(yīng)用層安全協(xié)議應(yīng)用層安全協(xié)議 PGP安全電子郵件的發(fā)送方處理過程PGP實(shí)現(xiàn)對電子郵件的認(rèn)證和加密9.6.3 9.6.3 應(yīng)用層安全協(xié)議應(yīng)用層安全協(xié)議 PGP使用的部分加密算法和代號算法算法代號代號說明說明公開密鑰算法1RSA（用于加密或簽名）2RSA（只用于加密）3RSA（只用于簽名）17DSS（用于簽名）Hash算法1MD52SHA-13RIPE-MD對稱密鑰算法0未加密1IDEA2三重 DES9AES9.6.3 9.6.3 應(yīng)用層安全協(xié)議應(yīng)用層安全協(xié)議 PGP安全電子郵件的接受方處理過程1，B從電子郵件服務(wù)器中收到A發(fā)的郵件后，利用自己的私有密鑰從尾部對數(shù)據(jù)解密，得到本郵件的一次性會話密鑰，從代號SA知道采用的對稱密鑰加密算法2