3第2章网络安全技术基础

1、本章要点,网络协议安全,网络安全层次体系,安全服务与安全机制,虚拟专用网,VPN,技术,无线局域网安全,常用的网络命令,教学目标,了解网络协议安全,理解网络安全层次体系,理解安全服务与安全机制,掌握虚拟专用网,VPN,技术,掌握无线局域网安全,掌握常用的网络命令,2.1,网络协议安全概述,2.1.1,网络协议安全分析,1,物理层安全,物理层安全威胁主要指网络周边环境和物理特性引,起的网络设备和线路的不可用而造成的网络系统的不可,用,2,网络层安全,网络层的安全威胁主要有两类,IP,欺骗和,ICMP,因特网控制信息协议,攻击,3,传输层安全,传输层主要包括传输控制协议,TCP,和用户数据报协,议

2、,UDP,TCP,是一个面向连接的协议，用于多数的互联,网服务，保证数据的可靠性,4,应用层及网络应用安全,应用层安全问题可以分解成网络层、操作系统,数据库的安全问题,需要重点解决的特殊应用系统的,安全问题主要包括,Telnet,FTP,SMTP,DNS,NFS,实现主机间文件系统的共享）,BOOTP,用,于无盘主机的启动）,RPC,实现远程主机的程序,运行）,SNMP,简单网络管理的协议）等，都存,在一定的安全隐患和威胁,2.1.2,典型的网络安全协议,1,IPSec,安全协议,因特网安全协议,IPSec(Internet Protocol,Security,是一组安全,IP,协议集，是在,

3、IP,包级为,IP,业务,提供保护的安全协议标准，其基本目的就是把密码学的,安全机制引入,IP,协议，通过使用现代密码学方法支持保,密和认证服务，使用户能有选择地使用，并得到所期望,的安全服务,2,SSL,协议,SSL,协议由,SSL,记录协议和,SSL,握手协议两层组,成，其主要优点是,SSL,协议独立于应用层，是在传输,层和应用层之间实现加密传输的应用最广泛的协议,2.2,网络安全体系结构,2.2.1,开放式系统互连参考模型,OSI/RM,开放系统互连参考模型,7,层协议的主要功能如表所示,层次,名称,主要功能,功能概述,应用样例,Telnet,HTTP,ASCII,JPEG,EBCDIC

4、,7,6,应用层,表示层,做什么,像什么,提供,OSI,用户服务，如文件传输,电子邮件、网络管理等,实现不同格式和编码之间的交换，传递,数据的语法及语义,5,会话层,如何检查,对方是谁,对方在何处,操作系统,应,在两个应用进程之间建立和管理不同形,用访问规划,式的通信对话。数据流方向控制模式,3,种,单工、半双工、双工,4,传输层,提供传送方式，进行多路利用，实现端点到端,点间的数据交换，为会话层实体提供透明的,可靠的数据传输服务,TCP,UDP,SPX,2.2.1,开放式系统互连参考模型,层次,3,名称,网络层,主要功能,数据走什,么路径可,以到达,功能概述,通过分组交换和路由选择为传输层实

5、,体提供端到端的交换网络数据，传送,功能使得传输层摆脱路由选择、交换,方式、拥挤控制等网络传输细节，实,现数据传输,应用样例,IP,IPX,2,数据链,路层,802.3/80,每一步应,进行二进制数据块传送，并进行差错,该怎样走,检测和数据流控制。它分为两个子层,2.2,HDLC,即介质访问控制协议,MAC,和逻辑链,路控制协议,LLC,对上一层的,每一步如何,利用物理传,输介质传送,1,物理层,通过机械和电气的互联方式把实体连,接起来，让数据流通过,EIS/TIA-232,V,35,10BASE5,10BASE2,和,10BASET,2.2.2,Internet,网络体系层次结构,Inter

6、net,现在使用的协议是,TCP/IP,协议,TCP/IP,协议是,一个四层结构的协议族，这四层协议分别是：物理网络接口层协,议、网际层协议、传输层协议和应用层协议,TCP/IP,组的,4,层协,议与,OSI,参考模型,7,层协议和常用协议的对应关系如下图所示,2.2.3,网络安全层次特征体系,为了更好地理解网络安全层次特征体系，也可以将计算机,网络安全看成一个由多个安全单元组成的集合,2.3,安全服务与安全机制,2.3.1,安全服务的基本类型,1,对象认证安全服务,2,访问控制安全服务,3,数据保密性安全服务,4,数据完整性安全服务,5,防抵赖安全服务,2.3.2,支持安全服务的基本机制,网

7、络信息安全机制,Security mechanisms,定,义了实现网络信息安全服务的技术措施，包括所使用的,可能方法，主要就是利用密码算法对重要而敏感的数据,进行处理,安全机制是安全服务乃至整个网络信息安全系统的,核心和关键,安全机制可以分为两类：一类是与安全服务有关,它们被用来实现安全服务,另一类与管理功能有关,它,们被用于加强对安全系统的管理,为了实施安全服务功能,ISO,对信息系统安全体,系结构制定的开放系统互联,OSI,基本参考模型,ISO,7498,提出了,8,类安全机制,作为网络信息安全的基,本机制,1,加密机制,3,访问控制机制,5,鉴别交换机制,7,路由控制机制,2,数字签名

8、机制,4,数据完整性机制,6,通信业务填充机制,8,公证机制,2.3.3,安全服务和安全机制的关系,1,安全服务和安全机制的对应关系可以体现在很多方,面，具体关系如表所示,机制,服务,对等实体,鉴别,访问控制,连接的保,密性,选择字段,保密性,数据,加密,数据,签名,访问,控制,数据完,整性,鉴别,交换,业务流,填充,路由,控制,公证,机制,2.3.3,安全服务和安全机制的关系,2,安全服务和安全机制的对应关系可以体现在很多方,面，具体关系如表所示（续前,机制,服务,业务流,安全,数据的完,整性,数据源点,鉴别,禁止否认,服务,数据,加密,数据,签名,访问,控制,数据完,整性,鉴别,交换,业务

9、流,填充,路由,控制,公证,机制,2.4,虚拟专用网,VPN,技术,虚拟专用网,Virtual Private Network,技术是指在公共网络中建立专用网络，数据通过安,全的“加密管道”在公共网络中传播,它是利用公共数据网或专用局域网构建的，以,特殊设计的硬件和软件，直接通过共享的,IP,网络所,建立的隧道完成的虚拟专用网络,通过,VPN,可以实现,远程网络之间安全、点对点,的连接,2.4.1,VPN,的组成及特点,1. VPN,的组成及类型,VPN,可以理解成虚拟的企业内部专用网络,VPN,的核心就是在利用公共网络建立虚拟专用网,一个,VPN,连接由,客户机、隧道和服务器,3,部分组,成

10、,一般按照,VPN,的服务类型分为,3,种类型,1,远程访问虚拟网,Access VPN,2,企业内部虚拟网,Intranet VPN,3,企业扩展虚拟网,Extranet VPN,2. VPN,的结构及特点,1,VPN,可以通过特殊的加密通信协议为连接在,Internet,上位于不同地方的两个或多个企业内部网之间建,立一条专有的通信线路，如同架设了一条专线一样，但是,它并不需要真正的去铺设光缆之类的物理线路,在实际应用中，用户需要一个高效、成功的,VPN,VPN,具有,4,个特点,1,安全保障,2,服务质量,QoS,保证,3,可扩充性和灵活性,4,可管理性,2. VPN,的结构及特点,2,V

11、PN,的结构如下图所示,2.4.2,VPN,主要安全技术,1,由于,VPN,传输的是安全程度要求较高的专用,信息，所以,VPN,用户对数据的安全性都很重视,目前,VPN,主要采用,隧道技术、加解密技术,密钥管理技术、用户身份认证技术、安全工具与客,户端管理,5,项技术,来保证安全,2.4.2,VPN,主要安全技术,2,当一个客户端使用一个,VPN,隧道时，数据通,信保持加密状态直到它到达,VPN,网关，此网关位于,无线访问点之后，如图所示,2.4.3,IPSec,概述,1. IPSec,协议簇,IPSec,定义了一种标准的、健壮的和包容广泛,的机制，利用,IPSec,可以为,IP,以及上层协议

12、（如,TCP,或者,UDP,提供安全保证,IPSec,的目标,是为,IPv4,和,IPv6,提供具有较强的,互操作能力、高质量和基于密码的安全功能，在,IP,层实现多种安全服务，包括访问控制、数据完整性,机密性等,2. IPSec,的实现方式和实施,1,IPSec,的实现方式有两种,传输模式和隧道模,式,都可用于保护通信,1,传输模式用于两台主机之间，保护传输层,协议头，实现端到端的安全性。如图所示,2. IPSec,的实现方式和实施,2,2,隧道模式用于主机与路由器或两部路由器,之间，保护整个,IP,数据包。如图所示,IPSec,可在,终端主机、网关,路由器或者两者中,同时进行实施和配置,2

13、.5,无线局域网安全,2.5.1,无线网络安全概述,1,无线网络的安全问题,无线网络的数据传输是利用微波进行辐射传播,因此，只要在,Access Point (AP,覆盖的范围内，所,有的无线终端都可以接收到无线信号,AP,无法将无,线信号定向到一个特定的接收设备，因此,无线的安,全保密问题就显得尤为突出,2,无线安全基本技术,1,访问控制,2,数据加密,3,新一代无线安全技术,IEEE802.11i,4) TKIP,5) AES,6,端口访问控制技术,IEEE802.1x,和可扩展,认证协议,EAP,7) WPA,WiFi Protected Access,规范,3,无线网络安全隐患,无线网

14、络选择了通过,特定的无线电波来传送,在这个发射频率的有效范围内,任何具有合适接收,设备的人都可以捕获该频率的信号,进而进入目标,网络，因此，更具有安全隐患和威胁,2.5.2,无线安全机制与策略,1,无线安全机制,1,隐藏,SSID (2) MAC,地址过滤,3) WEP,加密,5) 802.1x,协议,4) AP,隔离,6) WPA,7) WPA2 (8) 802.11i,2,无线网络的安全策略,1,制订全面的安全策略,2,加密网络数据,3,利用,VPN,技术,4,限制文件访问,5,使用端点扫描技术,6,在,WLAN,中使用,WPA,或,802.1x,技术,7,加强测试,8,使用双因素验证,9

15、,审查及监控结果,10,加强安全持之以恒,2.5.3,无线网络安全技术应用,不同安全级别和典型场合的应用技术如表所示,安全级别,初级,中级安全,典型场合,小型企业、家庭用户等,仓库物流、医院、学校、餐饮,娱乐,应用技术,64,128,位,WEP,加密,IEEE802.1x,认证机制,专业级,安全,各类公共场合以及网络运营商,用户隔离技术,大、中型企业、金融机构,IEEE802.1x,认证,VPN + Radius,的用户,认证以及计费,2.6,常用的网络命令,2.6.1,ping,命令,ping,命令功能是,通过发送,ICMP,包来检验与另,一台,TCP/IP,主机的,IP,级连接情况。网管员

16、常用这个,命令检测网络的连通性和可到达性。同时，应答消,息的接收情况将和往返过程的次数一起显示出来,如果只使用不带参数的,ping,命令,窗口将会显,示命令及其各种参数使用的帮助信息,使用,ping,命令的语法格式是,ping,对方计算,机名或者,IP,地址,2.6.2 ipconfig,命令,ipconfig,命令功能是,显示所有,TCP/IP,网络配,置信息、刷新动态主机配置协议,DHCP,Dynamic,Host Configuration Protocol,和域名系统,DNS,设置,使用不带参数的,ipconfig,可以显示所有适配器,的,IP,地址、子网掩码和默认网关,利用,ipco

17、nfig /all,命令”可以查看所有完整,的,TCP/IP,配置信息,对于具有自动获取,IP,地址的网,卡，则可以利用,ipconfig /renew,命令”更新,DHCP,的配置,2.6.3 netstat,命令,netstat,命令的功能,是显示活动的连接、计算,机监听的端口、以太网统计信息,IP,路由表,IPv4,统计信息,IP,ICMP,TCP,和,UDP,协议,使用,netstat,an,命令可以查看目前活动的,连接和开放的端口,是,网络管理员,查看网络是否被,入侵的最简单方法,2.6.4 net,命令,net,命令的功能是,查看计算机上的用户,列表、添加和删除用户、与对方计算机建立,连接、启动或者停止某网络服务等,利用,net user,查看,计算机上的用户,列表，以,net user,用户名密码”给某用户,修改密码,2.6.5 at,命令,At,命令功能是,在,与对方建立信任连接以后，创,建一个计划任务，并设置执行时间,本章小结,本章作为“网络