计算机网络技术PPT教学课件-第9章 网络安全与网络管理技术.ppt

第九章 网络安全与网络管理技术,本章内容 网络安全的基本概念 信息安全技术 防火墙技术 网络病毒 网络管理技术,9.1 网络安全的基本概念,本质上讲 保护网络系统的硬件、软件、数据 防止系统和数据遭受破坏、更改、泄露 保证系统连续可靠正常地运行，网络服务不中断。 广义上讲 涉及到网络信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论。 主要解决数据保密和认证的问题,数据保密就是采取复杂多样的措施对数据加以保护，以防止数据被有意或无意地泄露给无关人员。 认证分为信息认证和用户认证两个方面 信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造， 用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证，也要求用户认证。,网络安全研究的主要问题,网络防攻击技术 网络安全漏洞与对策研究 网络中的信息安全问题（存储、传输） 防抵赖问题 网络内部安全防范 网络防病毒 无用信息邮件与灰色软件 网络数据备份恢复与灾难恢复,网络安全标准,可信计算机系统评估准则tc-sec-ncsc 分为4类7个等级 d（最低） c1 c2 b1 b2 b3 a1（最高）,9.2 加密与认证技术,信息加密原理 信息加密的目的是确保通信双方相互交换的数据是保密的，即使这些数据在半路上被第三方截获，也会出于不知道密码而无法了解该信息的真实含义。把未加密的原始信息称为明文，经过以密匙为参数的函数加以转换后，得到的结果叫密文。,数据加密,网络入侵,网络入侵者分为消极入侵者和积极入侵者两种 消极入侵者只是窃听而已，并不对数据造成破坏； 积极入侵者会截获密文，篡改数据甚至伪造假数据送入网中。,密码分析和密码学,破译密码的技术叫做密码分析 设计密码和破译密码的技术统称为密码学,基本加密模型,密码学的一条基本原则是：必须假定破译者知道通用的加密方法，也就是说加密算法e是公开的。 基本加密模型：加密算法是公开的和相对稳定的，而作为参数的密钥是保密的，并且是易于更换的。,传统加密技术,密码学的历史非常悠久，传统的加密方法可以分成两类： 替代密码 换位密码,替代密码,定义：替代密码就用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母的位置不变。,换位密码,换位有时也称为排列，它不对明文字母进行变换，只是将明文字母的次序进行重新排列。,对称密码体系,典型的对称加密算法是数据加密标准des,密钥分发问题,秘密密钥的一个弱点是解密密钥必须和加密密钥相同，这就产生了如何安全地分发密钥的问题。 传统上是由一个中心密钥生成设备产生一个相同的密钥对，并由人工信使将其传送到各自的目的地。 对于一个拥有许多部门的组织来说，这种分发方式是不能令人满意的，尤其是出于安全方面的考虑需要经常更换密钥时更是如此。,非对称加密是使用不同的加密密钥与解密密钥，也称公开密钥密码体制。是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。加密密钥(即公开密钥)是公开的，而解密密钥(即秘密密钥)是需要保密的，加密算法和解密算法也都是公开的。虽然秘密密钥是由公开密钥决定的，但却不能根据公开密钥计算出秘密密钥。,非对称加密（公钥加密）,在这种算法中，每个用户都使用两个密钥：加密密钥是供其他人向他发送报文用的，这是公开的；解密密钥是用于对收到的密文进行解密的，这是保密的。 通常用公开密钥和私人密钥分别称呼公开密钥算法中的加密密钥和解密密钥，以同传统密码学中的秘密密钥相区分。 由于私人密钥只由用户自己掌握，不需要分发给别人，也就不用担心在传输的过程中或被其他用户泄密，因而是极其安全的。 主要的公钥算法：rsa、dsa、pkcs、pgp,数字签名技术,数字签名的基本原理 数字前名将信息发送人的身份与信息传送结合起来，可以保证信息在传输过程中的完整性，并提供信息发送者的身份认证，以防止信息发送者抵赖行为的发生。数字签名必须保证： 接收方通过文件中的签名能认证发送方的身份； 发送方以后不能否认发送过签名文件； 接收方不可能伪造文件内容。,数字签名的工作原理,数字签名具体工作过程 发送方式用单向散列函数对要发送的信息进行运算，生成信息摘要； 发送方式用自己的私钥，利用非对称加密算法，对生成的信息摘要进行数字签名； 发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收方； 接收方使用与发送方相同的单向散列函数，对收到的信息进行运算，重新生成信息摘要； 接收方使用发送方的公钥对接收的信息摘要解密； 将解密的信息摘要与重新生成的信息摘要进行比较，以判断信息在发送过程中是否被篡改过。,加密技术应用案例,防火墙（firewall）是在两个网络之间执行访问控制策略的硬件或软件系统，目的是保护网络不被他人侵扰。 本质上，它遵循的是一种数据进行过滤的网络通信安全机制，只允许授权的通信，而禁止非授权的通信。 通常，防火墙就是位于内部网或web站点与因特网之间的一台路由器或计算机。,9.3 防火墙技术,通常，部署防火墙的理由包括： 防止入侵者干扰内部网络的正常运行； 防止入侵者删除或修改存储在内部网络中的信息； 防止入侵者偷窃内部的秘密信息。 防火墙应该有以下功能： 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说，防火墙是穿不透的 。,防火墙类型,1.从软、硬件形式上分为：软件防火墙和硬件防火墙以及芯片级防火墙。 2.从防火墙技术分为：“包过滤型”、“状态检测型”和“应用代理型”三大类。 3.从防火墙结构分为：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 4.按防火墙的应用部署位置分为： 边界防火墙、个人防火墙和混合防火墙三大类。 5.按防火墙性能分为：百兆级防火墙和千兆级防火墙两类。,防火墙在因特网与内部网中的位置,包过滤（packet filtering）是防火墙最基本的实现形式，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。 包过滤防火墙通常是放置在因特网与内部网络之间的一个具备包过滤功能的简单路由器，这是因为包过滤是路由器的固有属性。,包过滤防火墙（路由器）,包过滤可依据以下三类条件允许或阻止数据包通过路由器： 包的源地址及源端口； 包的目的地址及目的端口； ip选项内容，tcp ack标识,包过滤的优点,简单、易于实现、对用户透明、路由器免费提供此功能。 仅用一个放置在内部网与因特网边界上的包过滤路由器就可保护整个内部网络。,包过滤的缺点,编制逻辑上严密无漏洞的包过滤规则比较困难，对编制好的规则进行测试维护也较麻烦。 维护复杂的包过滤规则也是一件很麻烦的事情 包过滤规则的判别会降低路由器的转发速度 对包中的应用数据无法过滤 它总是假定包头部信息是合法有效的。 以上这些缺点使得包过滤技术通常不单独使用，而是作为其他安全技术的一种补充。,包过滤规则,在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则（在路由器中，包过滤规则又被称为访问控制表（access list）。,应用级网关,多归属主机 多归属主机具有两个或两个以上的网络接口，每个网络接口与一个网络连接。 应用级网关（应用网关） 将多归属主机用在应用层的用户身份认证与服务请求合法性检查上，起到防火墙作用。,应用代理 应用代理型防火墙是工作在应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 代理服务就是指定一台有访问因特网能力的主机作为网络中客户端的代理去与因特网中的主机进行通信。,代理服务器的工作,代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。,代理的工作过程,防火墙的系统结构,堡垒主机 把处于防火墙关键部位、运行应用级网关软件的计算机系统称为堡垒主机。,设置堡垒主机需要注意的问题,在堡垒主机的硬件平台上安装它的操作系统的一个安全版本，使它成为一个可信任的系统； 删除不必要的服务和应用软件，保留必需的服务，安装应用代理软件； 配置资源保护、用户身份鉴别与访问控制，设置审计与日志功能； 设计堡垒主机防攻略方法，以及被破坏后的应急方案。,一个包过滤路由器与一个堡垒主机组成的防火墙大系统,一个包过滤路由器与一个堡垒主机（双宿主）组成的防火墙系统,采用多极结构的防火墙系统,9.4 网络防攻略与入侵检测技术,网络攻击方法分析 入侵系统类攻击 信息收集型攻击 口令攻击 漏洞攻击 缓冲区溢出攻击 欺骗类攻击 拒绝服务攻击 对防火墙的攻击 利用病毒攻击 木马程序攻击 后门攻击,常见病毒类型： 1.系统病毒 2.蠕虫病毒 3.木马病毒、黑客病毒 4.脚本病毒 5.宏病毒 6.后门病毒 7.病毒种植程序病毒 8破坏性程序病毒 9玩笑病毒 10捆绑机病毒,9.6 网络防病毒技术,9.7.1 什么是网络管理 网络管理的五个功能域 1.故障管理（fault management）对网络中被管对象的检测、定位和排除。 2.配置管理（configuration management）用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象的状态变化。,9.7 网络管理技术,3.计费管理（accounting management）记录用户使用网络资源的情况并核收费用，统计网络利用率。 4.性能管理（performance management）保证网络能提供可靠、连续的通信能力。 5.安全管理（security management）保证网络不被非法占用。,9.7.2 网络管理体系结构 一个典型的网络管理体系结构由网络管理系统、被管网络设备、管理信息库和网络管理通信协议等四部分组成。,用管理进程和代理进程进行网络管理,管理进程 管理进程是一个或一组软件程序，一般运行在网络管理中心的主机上，由管理代理来执行各种管理操作。 管理进程负责完成各种网络管理功能，通过各个设备中的管理代理实现对网络内的各种设备、设施和资源的控制。 操作人员通过管理进程对全网进行管理。 管理进程通过图形用户接口，以容易操作的方式显示各种网络信息、网络中各管理代理的配置图等。,管理代理（代理进程） 管理代理是一种在管理的网络设备中运行的软件，它负责执行管理进程的管理操作。管理代理直接操作本地信息库，可以根据要求改变本地信息库，或者是将数据传送到管理进程。 每个管理代理拥有自己的本地管理信息库，该信息库不一定具有internet定义的管理信息库的全部内容，而只需包括与本设备有关的管理对象。 管理代理具有两个基本管理功能：读取管理信息库中各种变量值，修改管理信息库中各种变量值。,管理信息库 管理信息库是一个概念上的数据库，它是由管理对象组成的，每个管理代理管理信息库中属于本地的管理对象，各管理代理控制的管理对象共同构成全网的管理信息库。 网络管理的操作就是针对某个特定的被管对象进行的。目前，管理信息库主要有两个版本：mib和mib。 把mib中的变量称为对象，它们是按照抽象语法标记法1来定义有关的被管设备运行状态的变量及数据结构。,简单网络管理协议snmp是基于tcp/ip协议的一个应用层协议。它是无连接的协议，在传输层采用udp协议，目的是为了实现的简单和易于操作。 共同域用于实现snmp网管系统访问snmp管理代理时的身份验证，共同域名就是管理代理的口令。,9.7.3 简单网络管理协议snmp,构成 管理进程 管理代理 管理信息库,snmp使用轮询(至少是周期性地)以维持对网络资源的实时监视,同时也采用trap机制报告特殊事件,使得snmp成为一种有效的网络管理协议。,snmp的层次关系,常用网络操作命令,arp 该命令的功能是将网络地址解析为物理地址。 arp a或arp g：查看当前arp缓冲区中的内容。 arp a ip：如果有多个网卡，可以只显示与该接口相关的arp缓存项目。,ipconfig 显示系统的基本寻址信息，包括适配器名、mac地址、ip地址、子网掩码和默认网关 ipcongfig ipconfig/all,tracert(跟踪路由） 是路由跟踪实用程序，用于确定 ip 数据报访问目标所采取的路径。tracert 命令用 ip 生存时间 (ttl) 字段和 icmp 错误消息来确定从一个主机到网络上其他主机的路由。 确定数据报到达目的主机所经过的路径，先是数据包经过的中继节点清单和到达时间。一般用来监测故障位置，可以用tracert ip检查出在哪个环节上出了问题。,netstat 显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在进行。 netstat选项 -a：显示所有的连接和监听的端口。 -e：显示以太网统计数据，这个选项可以和-s选项一起使用 -n：以数字形式来显示地址和端口数。,-r：显示路由选择表的内容。 -s：显示不同协议的统计数据。默认时，显示tcp、udp和ip的统计数据。 -p proto：显示由proto制定的特定协议的统计数据。,常见的web服务器 apach http server 相关知识点 apache 是连续合作开发的结果。 1994年鲍伯麦科尔（bob mccool）在依利诺斯大学的美国超级计算应用中心（ncsa）工作时开发出了apache。 apache http server在www上的安装数量占主导地位，很大程度上是因为它是免费的。,