【大学课件】网络安全基础

1、http:/ 网络安全基础计算机技术正在日新月异地迅猛发展，功能强大的计算机和intranet/internet正在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势，信息资源的深入开发利用以及各行各业的信息化、网络化已经迅速展开；全社会广泛应用信息技术，计算机网络广泛应用为人们所关注。面对当前严重危害计算机网络的种种威胁，必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建立之初都忽略了安全问题，即使考虑了安全，也仅把安全机制建立在物理安全机制上。本章分析了计算机网络安全体系的含义以及其安全机制，并对当前网络安全应涉及的一些内容做了介绍。2.1 网络安全体系结

2、构计算机网络安全体系结构是网络安全最高层的抽象描述，在大规模的网络工程建设与管理和网络安全系统设计开发的过程中，需要从全局的体系结构和考虑安全问题的整体解决方案角度出发，才能保证网络安全功能的完备性与一致性，降低安全的风险、代价和管理的费用。因此，安全体系结构对于网络安全的理解、设计、实现与管理都具有重大意义。2.1.1 开放系统互连参考模型层次名称主要功能功能概述应用样例7应用层具体应用功能，解决做什么提供(osi)用户服务，如文件传输、电子邮件、网络管理等telnet、http6表示层表示、表达、解决像什么实现不同格式和编码之间的交换，传递数据的语法及语义ascii、jpeg、ebcdic

3、5会话层如何检查？对方是谁在两个应用进程之间建立和管理不同形式的通信对话。其数据流方向控制有三种，即单工、半双工、双工操作系统、应用访问规划4传输层对方在何处提供传递方式，进行多路利用，实现端点间的数据交换、为会话层实现提供透明的、可靠的数据传输服务tcp、udp、spx3网络层数据走什么路径到达通过分组交换和路由选择为传输层实体提供端到端的交换网络数据，传送功能使得传输层摆脱路由选择、交换方式、拥挤控制等网络传输细节，实现数据传输ip、ipx2数据链路层每一步应该怎样走进行二进制数据块传送，并进行差错检测和数据流控制。它分为两个子层，即介质访问控制协议(mac)和逻辑链路控制协议(llc)8

4、02.3/802.2、hdlc2.1.2 internet网络体系层次结构internet目前使用的协议是tcp/ip协议。tcp/ip协议是一个4层结构的集网络通信、应用、服务、管理等多种功能的协议族，这4层协议分别是物理网络接口层协议、网际层协议、传输层协议和应用层协议。tcp/ip族的4层协议与osi参考模型的7层协议和常用协议的对应关系如图2-1所示。2.1.3 网络安全层次特征体系1. 安全特性的安全问题2. osi参考模型的安全问题3. 系统单元的安全问题4. 物理环境的安全问题5. 网络系统本身的安全问题6. 应用系统的安全问题7. 网络管理的安全问题2.1.4 ipv6的安全性

5、ipv6是internet protocol version 6的缩写，也被称作下一代互联网协议，它是由ietf(互联网工程任务组)设计的用来代替现行的ipv4协议的一种新的ip协议。 1. ipv6概述2. ipv6安全性分析(1)防火墙的设计 (2)入侵检测系统(ids)的设计 2.2 网络协议安全分析计算机网络互连使得网络通信和信息共享变得更为便捷，同时也将开放的系统暴露在易受攻击的环境中。tcp/ip的安全脆弱性大致可归结为以下3点：(1)无验证通信双方真实性的能力，缺乏有效的认证机制。(2)无保护网上数据隐私性的能力，缺乏保密机制。(3)协议自身设计细节和实现中存在一些安全漏洞，容易

6、引发各种安全攻击。2.2.1 物理层安全物理层安全威胁主要指网络环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用，如设备被盗、意外故障、设备损毁与老化、信息探测与窃听等。由于以太网中采用广播方式，因此，在某个广播域中利用嗅探器可以在设定的端口侦听和分析信息包，致使本广播域的信息传递暴露无遗。所以需将两个网络从物理上隔断，同时保证在逻辑上两个网络能够连通。物理层安全措施相对较少。2.2.2 网络层安全网络层的安全威胁主要有两类：ip欺骗和icmp(因特网控制信息协议)攻击。ipsec(internet协议安全)是一个工业标准网络安全协议，为ip网络通信提供了透明的安全服务，保护

7、tcp/ip通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。ipsec在tcp/ip协议栈中所处的层次如图2-3所示。 http ftp smtp tcp tcp ip/ipsec tcp 2.2.2 网络层安全1. ipsec协议的安全特征1)不可否认性2)反重播性3)数据完整性4)数据可靠性(加密)5)认证数据源2. ipsec协议的优点2.2.3 传输层安全传输层安全措施主要取决于具体的协议。传输层主要包括传输控制协议(tcp)和用户数据报协议(udp)。tcp是一个面向连接的协议，保证数据的可靠性。tcp用于多数的互联网服务，如http、ftp和smtp。最常见的是netsc

8、ape通信公司设计的安全套接层协议(secure sockets layer，ssl)，ssl结构如图2-5所示。 http ftp smtp ssl 协商层 ssl 记录层 tcp ip 2.2.3 传输层安全1. ssh协议2. ssl协议3. 传输层安全协议 应用程序 tcp/ip tcp/ip 应用程序 ssl 握手协议 ssl 记录协议 ssl 握手协议 ssl 记录协议 2.2.4 应用层及网络应用安全1. 简单邮件传输协议(smtp)2. 文件传输协议(ftp)3. 超文本传输协议(http)4. 简单网络管理协议(snmp)5. 域名系统(dns)6. 安全http协议7. 安

9、全telnet协议8. 安全文件传输协议1)ftp模型2)ftp协议的安全扩展3) 协议的安全问题及防范措施|(1) 漏洞。漏洞。 |(2) 反弹攻击。反弹攻击。 2.2.5 安全协议的最新发展安全协议的研究主要包括两方面内容，即安全协议的安全性分析研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类：一类是攻击检验方法，另一类是形式化分析方法，其中安全协议的形式化分析方法是安全协议研究中最关键的研究问题之一。从大的方面讲，在协议形式化分析方面比较成功的研究思路可以分为3种：第一种思路是基于推理知识和信念的模态逻辑；第二种思路是基于状态搜索工具和定理证明技术；第三种思路是

10、基于新的协议模型发展证明的正确性理论。2.3 安全服务与安全机制为实现开放系统互连环境下的信息安全，iso/tc97技术委员会制定了iso 7482-2国际标准。它从体系结构的角度，描述了实现osi参考模型之间的安全通信所必须提供的安全服务和安全机制，建立了开放系统互联标准的安全体系结构框架，为网络安全的研究奠定了基础。2.3.1 安全服务 1. 对象认证 2. 访问控制 3. 数据保密性 1)信息保密 2)选择保密 3)业务流保密 4. 数据完整性 1) 连接的完整性(包括有恢复的和无恢复的) 2) 选择段有连接的完整性 3) 无连接的完整性 4) 选择段无连接完整性 5. 防抵赖 1) 发

11、送防抵赖 2) 递交防抵赖 3) 公证2.3.2 安全机制1. 加密机制2. 数字签名机制3. 访问控制机制4. 数据完整性机制5. 鉴别交换机制6. 通信业务填充机制7. 公证机制2.3.3 安全机制与安全服务之间的关系安全机制安全服务加密数字签名访问控制数据完整性验证交换信息流填充路由控制仲裁对等实体验证yyy数据源验证yy访问控制服务y连接的保密性yy无连接的保密性yy选择域的保密性y信息流的保密性yyy带恢复的连接完整性y不带恢复连接的完整性yy选择域的连接完整性yy无连接的完整性yyy选择域的无连接完整性yyy2.4 网络操作命令为了能够进行网络管理，需要使用到以下这些常用的网络命令

12、。2.4.1 ipconfig1. 使用ipconfig/all命令查看配置如图2-9所示的ipconfig/all命令输出，把该计算机配置成静态配置ip地址，并使用dns服务器解析名称。2. 使用ipconfig/renew命令刷新配置2.4.2 pingping命令有助于验证ip级的连通性。发现和解决问题时，可以使用ping命令向目标主机名或ip地址发送icmp回应请求。 ping命令的格式及其参数如图2-10所示。ping命令有两种常见的用法：一个是ping ip地址；另一种是ping主机域名。2.4.3 arp使用arp命令可以解决硬件地址的问题。地址解析协议(arp)允许主机查找同一

13、物理网络上主机的媒体访问控制地址(如果给出后者的ip地址)。 可以使用arp命令查看和修改本地计算机上的arp表项。arp命令对于查看arp缓存和解决地址解析问题非常有用，如图2-11所示。2.4.4 nbtstatnbtstat命令是解决netbios名称解析问题的有用工具，可以使用nbtstat命令删除或更正预加载的项目。nbtstat n：显示由服务器或重定向器之类的程序在系统上本地注册的名称。nbtstat c：显示netbios名称缓存，包含其他计算机的名称对地址的映射。nbtstat r：清除名称缓存，然后从lmhosts文件重新加载。nbtstat rr：释放在wins服务器上注

14、册的netbios名称，然后刷新它们的注册。nbtstat a name：对 name选项指定的计算机执行netbios适配器状态命令。适配器状态命令将返回计算机的本地netbios名称表，以及适配器的媒体访问控制地址。nbtstat s：列出当前的netbios会话及其状态(包括统计)。 2.4.5 netstat 可以使用netstat命令显示协议统计信息和当前的tcp/ip网络连接。 netstat a：显示所有连接和监听窗口。 netstat b：显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列

15、被显示。 netstat e：显示以太网统计信息。此选项可以与-s选项组合使用。 netstat -n：以数字形式显示地址和端口号。 netstat -o：显示与每个连接相关的所属进程id。 netstat -p proto：显示proto指定的协议的连接；proto可以是下列协议之一；tcp、udp、tcpv6或udpv6。如果与-s选项一起使用以显示按协议统计信息，proto可以使下列协议之一：ip、ipv6、icmp、icmpv6、tcp、tcpv6、udp或udpv6。 netstat r：显示路由表。 netstat -s：显示按协议统计信息。默认显示ip、ipv6、icmp、icm

16、pv6、tcp、tcpv6、udp和udpv6的统计信息。 netstat -p：用于指定默认情况的子集。 netstat -v：与-b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。2.4.6 tracerttracert(跟踪路由)是路由跟踪实用程序，用于确定ip数据访问目标所采取的路径。tracert命令用ip生存时间(ttl)字段和icmp错误消息来确定从一个主机到网络上其他主机的路由。通过向目标发送不同的ip生存时间(ttl)值的“internet控制消息协议(icmp)”回应数据包，tracert诊断程序确定到达目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的ttl值递减1。数据包上的ttl减为0时，路由器应该将“icmp已超时”的消息发回源系统。2.4.7 net1. net start命令2. net stop 命令3. net user命令4. net localgroup命令5. net share命令2.4.8 nslookupnslookup工具包含在windows nt和windows 2000中，并总是随同bind软件包一起提供。它可以提供许多选项，并提供一种方法从头到尾地跟踪dns查询，是用来进行手动dns查询最常用的工具。 nslookup可以用于