第八章计算机网络安全课件.ppt

1、8.1网络安全问题概述8.2数据加密技术8.3防火墙技术8.4其它网络安全技术8.5计算机网络管理 第八章 计算机网络安全 当资源共享广泛用于政治、军事、经济以及社会的各个领域，网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护。这些数据在存储和传输过程中，都有可能被盗用、暴露或篡改。本章将对计算机网络安全问题的基本内容进行初步的讨论，更深入的了解还需要进一步查阅有关文献。8.1.1 计算机网络安全的定义计算机网络安全的定义 国际标准化组织(ISO)对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭

2、到破坏、更改和泄露。8.1网络安全问题概述网络安全问题概述8.1.2 计算机网络安全的内容计算机网络安全的内容 1.可靠性：2.可用性：3.保密性：4.完整性：5.真实性：8.1.3 计算机网络面临的安全性威胁计算机网络面临的安全性威胁 1.截获：当甲通过网络与乙通信时，如果不采取任何保密措施，那么其他人(如丙)，就有可能偷听到他们的通信内容。2.中断：当用户正在通信时，有意的破坏者可设法中断他们的通信。3.篡改：乙给甲发了如下一份报文：“请给丁汇一百元钱，乙”。报文在转发过程中经过丙，丙把“丁”改为“丙”。这就是报文被篡改。4.伪造：用计算机通信时，若甲的屏幕上显示出“我是乙”时，甲如何确信

3、这是乙而不是别人呢?对网络的被动攻击和主动攻击源站源站目的站中断目的站伪造源站目的站截获被动攻击源站目的站篡改主动攻击 另外还有一种特殊的主动攻击就是恶意程序(rogue program)的攻击。恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：1.计算机病毒：2.计算机蠕虫：3.逻辑炸弹:8.1.4 保护计算机网络安全的措施保护计算机网络安全的措施 1物理措施：2访问控制：3数据加密：4防止计算机网络病毒：5其他措施：8.2.1 数据加密概念数据加密概念 所谓数据加密是指通过对网络中传输的数据进行加密来保障网络资源的安全性。加密是保证网络资源安全的基础技术，是一种主动安全防御策略。数据秘

4、密性要求被存储或被传输的数据是经过伪装的，即使数据被第三者窃取或窃听都无法破译其中的内容，通常是采用密码技术来实现。8.2数据加密技术数据加密技术数据加密、解密原理加密算法通信信道解密算法明文M明文M密文C密文C加密密钥Ke解密密钥Kd窃取者接收方发送方8.2.2 对称密钥加密技术对称密钥加密技术 对称密钥加密也叫作私钥加密，加密和解密使用相同密钥，并且密钥是保密的，不向外公布。对称密钥加密原理安全信道加密算法通信信道解密算法明文M明文M密文C密文C加密密钥Ke解密密钥Kd窃取者接收方发送方 对称密钥加密方法中，比较典型的加密算法是数据加密标准(DES)算法。它是由IBM公司研制，于1977年

5、被美国定为联邦信息标准，ISO也将它作为数据加密标准。加密步骤2逆e函数变换变换E 函数变换加密步骤1明文64bit密文64bit密钥54bitDES加密算法流程8.2.3 非对称密钥加密技术非对称密钥加密技术 公开密钥加密技术也称非对称密码加密技术，它有两个不同的密钥：一个是公布于众，谁都可以使用的公开密钥，一个是只有解密人自己知道的秘密密钥。在进行数据加密时，发送方用公开密钥将数据加密，对方收到数据后使用秘密密钥进行解密。非对称密钥加密原理密文C公开信道明文M加密密钥PKB发送方明文M解密密钥SKB接收方PKB/SKB分别为收方的公开/私用密钥加密算法解密算法 最常用的公开密钥算法有RSA

6、。RSA算法是由美国麻省理工学院MIT的三位科学家Rivest、Shamir和Adleman于1977年提出的，并以三人的姓氏首字母命名。该算法所根据的原理是利用了数论的一个事实，即寻找两个大素数，并相乘生成为一个合数比较容易，但是要把一个合数分解为两个素数却极其困难，该算法可以表述如下：1密钥的产生 2加密过程 3解密过程 1密钥的产生。假设m是想要传送的明文，现任选两个很大的素数p与g，使得模数n=pgm；选择正整数e，使得e与(p-1)(g-1)互素，这里(p-1)(g-1)表示两者相乘；再利用辗转相除法，求得解密指数d，使得(ed)mod(p-1)(g-1)=1。这样，就得到(e，n)

7、是用于加密的公开密钥，可以公布出去；(d，n)是用于解密的密钥，必须保密。2加密过程。使用(e,n)对明文m进行加密，算法为：c=me modn。c即是m加密后的密文。3解密过程。使用(d,n)对密文c进行解密，算法为：m=cd modn。求得的m即为对应于密文c的明文。8.2.4 网络加密技术网络加密技术 在计算机网络中，数据加密包括传输过程中的数据加密和存储数据加密。对于传输加密，一般有硬件加密和软件加密两种实现方法。使用硬件数据保密机时，在公共网络上传输的数据是不可懂的加密密文。数据加密机在网络中的位置外部网络密文信息Modem数据加密机8.3.1 防火墙的基本概念防火墙的基本概念 防火

8、墙从本质上说是一种保护装置，可从三个层次上来理解防火墙的概念：首先，“防火墙”是一种安全策略，它是一类防范措施的总称。8.3防火墙技术防火墙技术 其次，防火墙是一种访问控制技术，用于加强两个网络或多个网络之间的访问控制。最后，防火墙作为内部网络和外部网络之间的隔离设备，它是由一组能够提供网络安全保障的硬件、软件构成的系统。1防火墙的优点 1)防火墙能强化安全策略。2)防火墙能有效地记录Intemet上的活动。3)防火墙限制暴露用户点。4)防火墙是安全策略的检查站 网关过滤器过滤器外部内部防火墙规划2防火墙的不足之处 1)不能防范恶意的知情者。2)不能防范不通过它的连接。3)不能防备全部的威胁。

9、4)不能防火墙不能防范病毒。8.3.2 防火墙的技术原理防火墙的技术原理1包过滤技术 包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查IP数据包来确定是否允许该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。2代理技术 顾名思义，所谓“代理”就是代表别的事物而动作的人或机构。代理技术的基本思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。代理的实现过程代理服务器用户外部主机实际的连接感觉的

10、连接3状态监视技术 这是第三代防火墙技术，集成了前两者的优点，能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。只是在分析应用层数据时，它与一个应用层网关不同的是，它并不打破客户机/服务机模式，允许受信任的客户机和不受信任的主机建立直接连接。8.3.3 防火墙系统的实现类型防火墙系统的实现类型 1包过滤防火墙 也称作包过滤路由器，它是最基本、最简单的一种防火墙，可以在一般的路由器上实现也可以在基于主机的路由器上实现。包过滤防火墙Internet内部网络ServerPCPC包过滤路由器 2双穴网关防火墙 这种防火墙系统由一台特殊主机来实

11、现。这台主机拥有两个不同的网络接口，一端接外部网络，一端接需要保护的内部网络，并运行代理服务器，故被称为双穴网关。双穴网关防火墙不使用包过滤规则，而是在外部网络和被保护的内部网络之间设置一个网关(双穴网关)，隔断IP层之间的直接传输。网络 代理 网络接口 服务器 接口双穴网关防火墙Internet内部网络ServerPCPC双穴主机 3屏蔽主机网关防火墙 屏蔽主机网关防火墙由一台过滤路由器和一台堡垒主机组成。在这种配置中，堡垒主机配置在内部网络上，过滤路由器则放置在内部网络和外部网络之间。在路由器上进行配置，使得外部网络的主机只能访问该堡垒主机，而不能直接访问内部网络的其他主机。屏蔽主机网关防

12、火墙Internet内部网络ServerPCPC包过滤路由器堡垒主机 4屏蔽子网防火墙 考虑到屏蔽主机网关防火墙方案中，堡垒主机存在被绕过的可能，有必要在被保护网络与外部网络之间设置一个孤立的子网，这就是“屏蔽子网”。屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器。Internet内部网络ServerPCPC屏蔽子网防火墙堡垒主机过滤路由器过滤路由器信息服务器屏蔽子网8.4.1 数字签名技术数字签名技术 数字签名必须保证以下三点：1.接收者能够核实发送者对报文的签名；2.发送者事后不能抵赖对报文的签名；3.接收者不能伪造对报文的签名。8.4其它网络安全技术其它网络安全技术DE

13、SKAPKAXXDSKA(X)发送方A接收方B数字签名的实现8.4.2 访问控制技术访问控制技术 实现访问控制方法的常用方法有三种：一是要求用户输入用户名和口令；二是采用一些专门的物理识别设备，如访问卡、钥匙或令牌；三是采用生物统计学系统，可以通过某种特殊的物理特性对人进行惟一性识别。8.4.3 认证技术认证技术 认证和保密是网络信息安全的两个重要方面。加密保证了网络信息的机密性，认证则保护了信息的真实性和完整性。保密不能自然地提供认证性，而认证也无法自动提供保密性。采用认证技术目的有两个：一是识别信源的真实性，即验证发信人确实不是冒充的；二是检验发送信息的完整性，即验证信息在传送过程中是否被

14、篡改、重发或延迟。一个安全的认证系统应该能够满足这两个要求。8.4.4 入侵检测技术入侵检测技术 入侵检测技术是一种免受攻击的主动保护网络安全技术。由于常作为防火墙的合理补充，被称为第二道防火墙，它从网络中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象，从而使系统管理可以较有效地监视、审计、评估自己的系统。8.4.5 防病毒技术防病毒技术 网络防病毒技术包括预防病毒、检测病毒和消除病毒三种技术。1预防病毒技术：2检测病毒技术：3消除病毒技术：网络管理是当前计算机网络理论与技术发展的另外一个分支。特别是随着通信与网络技术的飞速发展和网络的社会化，对计算机

15、网络系统的运行质量提出了越来越高的要求，网络的高效率和可靠性成为人们关注的重点。8.5 计算机网络管理计算机网络管理8.5.1计算机网络管理概述计算机网络管理概述 所谓网络管理就是指采用某种技术和策略以能够保证整个网络能够正常运行、疏通业务量和提高网络接通率的一个系统。它不仅涉及到各个厂商的网络设备和计算机设备，而且涉及到多个国际标准、国内标准以及各个厂商的内部标准，是一个比较复杂的大系统。一般地说，具有优秀网络管理系统的网络，都能获得比较高的运行效率和很高的可靠性。一个网络管理系统从逻辑上可以分为三个部分：1.管理对象（Managed Object）2.管理进程（Managed Proces

16、s）3.管理协议（Management Protocol）8.5.2网络管理模型网络管理模型 在Internet的网络管理模型中，每个网络元素上都有一个负责执行管理任务的管理代理（Agent），整个网络有多个对网络实施集中式管理的管理进程。那么，网络管理标准就用来定义网络控制中心与各个管理代理之间的通信。管理进程（网管中心）管理代理管理对象管理代理管理对象外部代理管理对象外部代理管理对象Internet的网络管理模型8.5.3网络管理功能网络管理功能 1配置管理：2故障管理：3性能管理：4安全管理：5记帐管理：8.5.4 网络管理协议网络管理协议 SNMP是Internet组织用来管理因特网和

17、以太网的网管协议，它通过轮询、设置关键字和监视网络事件来管理整个网络。SNMP协议虽然出现时间不长，但其发展速度却非常之快，目前已经远远超出了Internet的使用范围，成为一个事实上的工业标准被广泛应用在国际的网络管理领域。SNMP是一系列协议组和规范，它提供了一种从网络上的设备中收集网络管理信息的方法，SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。它的网络管理模型主要由管理进程、管理代理和被管对象组成。管理代理MIB 管理代理MIB 管理代理MIB 管理进程SNMP网管系统模型主机 网关 终端服务器8.5.5 典型的网络管理系统典型的网络管理系统 下面我们将以IBM公司的N

18、etView为例，介绍典型的网络管理软件的功能与使用。1NetView的功能模块 1)网络通信控制设施NCCF 2)网络故障检测应用软件NPDA 3)网络逻辑数据管理软件NLDM 4)高效网络管理设施NMPF 5)VTAM节点控制应用软件VNCA会话历史库报文日志库事件与统计会话监视 （NLDM）硬件监测 （NPDA）命令处理 （NCCF）NetView OST会话与路由信息事件与统计信息命令与响应信息VTAM网管员NetView的主要功能模块SNA网络服务器2NetView的管理能力 网络资源的配置。网络资源的变更。网络性能管理。网络的可用性与业务记帐。网络故障处理。本章思考题 1.Cisco PIX防火墙使用了何种算法将进入的包和安全策略以及状态表进行比较？()A.自适应安全算法 B.路由表算法 C.状态算法 D.自适应同步算法 2.为什么在有了防火墙的情况下，还需要使用访问列表？（防火墙的性能在某种程度上是由平台和操作系统的速度决定的）3.如何能够有效的阻止入侵者摧毁我们的网络?（使安全具有分层的功能）4.如果路由器允许使用包过滤器，为什么还需要防火墙？5.访问控制列表ACL的用途和目的是什么？