第9章-计算机网络的安全ppt课件(全)

1、第九章 计算机网络的安全 教学目标掌握网络安全的基本概念。掌握防火墙技术。9.1 计算机网络安全概述 9.1.1 网络安全的意义（1）网络信息安全的含义网络信息安全是计算机网络的机密性、完整性和可用性的集合。机密性指通过加密数据防止信息泄露；完整性指通过验证防止信息篡改；可用性指得到授权的实体在需要时可使用网络资源。网络信息安全是在分布网络环境中，对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改和拒绝服务。信息载体的安全包括处理载体、存储载体的安全。处理载体指处理器、操作系统等处理信息的硬件或软件载体。存储载体指

2、内存、硬盘、数据库等存储信息的硬件或软件载体。传输载体指通信线路、路由器、网络协议等传输信息的硬件或软件载体。9.1.1 网络安全的意义（2）网络层面的安全需求维护信息载体的安全运行是网络层面的安全目标。为了达到这一目标，就要抵抗对网络和系统的安全威胁。这些安全威胁包括物理侵犯(如机房侵入、设备偷窃、废物搜寻、电子干扰等) 、系统漏洞(如旁路控制、程序缺陷等) 、网络入侵(如窃听、截获、堵塞等) 、恶意软件(如病毒、蠕虫、特洛伊木马、信息炸弹等) 、存储损坏(如老化、破损等)等。（3）信息层面的安全需求维护信息自身的安全使用是信息层面的安全目标。为了达到这一目标,就要抵抗对信息的安全威胁。这些

3、安全威胁包括身份假冒、非法访问、信息泄露、数据受损、事后否认等。9.1.2 网络的安全威胁对计算机网络的安全威胁可以氛围两大类，即主动攻击和被动攻击。主动攻击分中断、篡改和假冒三种，被动攻击只有一种形式，即截取。中断（interruption） 当网络上的用户在通信时，破坏者可以中断他们之间的通信。9.1.2 网络的安全威胁篡改（modification） 当网络用户甲在向乙发送报文时，报文在转发的过程中被丙更改。9.1.2 网络的安全威胁假冒（fabrication） 网络用户丙非法获取用户乙的权限并以乙的名义与甲进行通信。9.1.2 网络的安全威胁截取（interception） 当网络用

4、户甲与乙进行网络通信时，如果不采取任何保密措施时，那么其他人就有可能偷看到他们之间的通信内容。9.2 访问控制列表 9.2.1 访问控制列表的定义ACL的定义是基于协议的。9.2.2 访问控制列表的工作原理访问控制列表最常见的用途是作为数据包的过滤器。如果没有过滤器，那么，所有的数据包都能传输到网络的任一处。虽然访问控制列表经常与数据包过滤器联系在一起，但它还有许多其他用途。9.2.2 访问控制列表的工作原理（1）路由器对访问控制列表的处理过程访问控制列表对路由器本身产生的数据包不起作用，如一些路由选择更新信息。ACL是一组判断语句的集合，具体对下列数据包进行检测并控制： 从入站接口进入路由器

5、的数据包。 从出站接口离开路由器的数据包。9.2.2 访问控制列表的工作原理（2）访问控制列表的入与出使用命令ip access-group，可把访问控制列表应用到某一接口上。其中，关键字in或out指明访问控制列表是对进来的(以接口为参考点)，还是对出去的数据包进行控制：Router(config-if)#ip access-group access-list-number in|out9.2.2 访问控制列表的工作原理外出标准访问控制列表的处理过程。9.2.2 访问控制列表的工作原理（3）访问控制列表的deny和permit下列语法结构给出了全局access-list命令的通用形式：Rou

6、ter(config)#access-list access-list-number permit/denytest conditions9.2.2 访问控制列表的工作原理（4）访问控制列表的通配符 使用通配符any 假设网络管理员要在访问控制列表测试中允许访问任何目的地址。为了指出是任何IP地址，网络管理员将要输入；然后还要指出访问控制列表将要忽略任何值，相应的反码位是全1，即55。不过，管理员可以使用缩写字any，把上述测试条件表达给IOS软件。这样，管理员就不需要输入 55，而只要使用通配符any即可。例如，对于下面的测试条件：可以用any改写成：Router(config)#acces

7、s-list 1 permit any9.2.2 访问控制列表的工作原理 使用通配符host 当网络管理员想要与整个IP主机地址的所有位相匹配时，IOS允许在访问控制列表的反码中使用缩写字host。假设网络管理员想要在访问控制列表的测试中拒绝特定的主机地址。为了表示这个主机IP地址，管理员将要输入9，然后指出这个访问控制列表将要测试这个地址的所有位，相应的反码位全为零：。管理员可以使用缩写字host，表达上面所说的这种测试条件。例如，下面的测试语句： Router(config)#access-list 1 permit 9 可以改写成：Router(config)#access-list 1

8、 permit host 9 9.2.3 访问控制列表的分类（1）标准访问控制列表 当管理员想要阻止来自某一特定网络的所有通信流量，或允许来自某一特定网络的所有通信流量时，可以使用标准访问列表实现这一目标。标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包，标准IP访问控制列表的访问控制列编号是l99。9.2.3 访问控制列表的分类对于单独的一个ACL，可以定义多个条件判断语句。每个条件判断语句都指向同一个固定的ACL，以便把这些语句限制在同一个ACL之内。9.2.3 访问控制列表的分类1）标准ACL的配置实例 第一个例子允许源网络地址是的通信流量通过；第二个例子拒绝源地址位为3的连信流

9、量，允许所有其他的流量。最后，第三个例子拒绝来自子网的所有通信流量，而允许所有其他的通信流量。9.2.3 访问控制列表的分类（2）扩展访问控制列表 扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。利用这些特性，可以基于网络的应用类型来限制数据流。9.2.3 访问控制列表的分类使用扩展ACL可以实现更加精确的流量控制。扩展ACL的测试条件即可检查数据包的源地址，也可以检查数据包的目的地址。9.2.3 访问控制列表的分类1）扩展访问控制列表的配置与应用在扩展ACL中，命令access-list的完全语法格式如下：Router(config)#access

10、-list access-list-number permit I denyprotocol source source-wildcard destination destination-wildcard operator operanestablishedlog下面是该命令有关参数的说明： access-list-number 访问控制列表编号。使用100199之间的数字来标识一个扩展访问控制列表。 Permit/deny 用来表示在满足测试条件的情况下，该入口是允许还是拒绝后面指定地址的通信流量。 protocol 用来指定协议类型，如IP、TCP、UDP、ICMP、GRE以及IGRP。

11、source、destination 源和目的，分别用来标识源地址和目的地址。 source-wildcard、destination-wildcard 反码，source-wildcard是源反码，与源地址相对应；destination-wildcard是目的反码，与目的地址对应。 operator operan lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个端口号。 established 如果数据包使用一个已建立连接(例如该数据包的ACK位设置了)，便可以允许TCP信息量通过。9.2.3 访问控制列表的分类2）扩展访问控制列表的应用下面介绍扩展ACL配置的实例。第一个例

12、子将拒绝FTP通信流量通过F0/0接口。第二个例子只拒绝Telnet通信流量经过F0/0，而允许其他所有流量经过F0/0。 拒绝所有从到的FTP通信流量通过F0/0。 绝来自指定子网的Telnet通信流量。9.2.3 访问控制列表的分类（3）命名访问控制列表1）访问控制列表的命名在标准ACL和扩展ACL中，可以使用一个字母数字组合的字符串(名字)代替前面所使用的数字(1199)来表示ACL的编号，称为命名ACL。命名ACL还可以用来从某一特定的ACL中删除个别的控制条目，这样可以让网络管理员方便地修改ACL，而不用必须完全删除一个ACL，然后再重新建立一个ACL来进行修改。可以在下列情况下使用

13、命名ACL： 需要通过一个字母数字串组成的名字来直观地表示特定的ACL。 对于某一给定的协议，在同一路由器上，有超过99个的标准ACL或者有超过100个的扩展ACL需要配置。9.2.3 访问控制列表的分类2）命名的访问控制列表的应用 下面的例子说明了如何建立一个命名扩展ACL，以便只拒绝通过F0/0端口从到的Telnet通信流量，而允许其他的通信流量。实现步骤如下：第一步：创建名为cisco的命名访问控制列表Router(config)#ip access-list extended cisco第二步：指定一个或多个permit及deny条件 Router(config-ext-nacl)#d

14、eny tcp 55 55 eq 23Router(config-ext-nacl)#permit ip any any第三步：应用到接口F0/0的出方向Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group cisco out3）查看ACL列表 命令show ip interface用来显示IP接口信息，并显示ACL是否正确设置。 命令show access-list 用来显示所有ACL的内容。如果输入一个ACL的名字和数字做完该命令的可选项，网络管理员可以查看特定的列表。 命令show runni

15、ng-config 也可以用来查看ACL的具体配置条目，以及如何应用到某个端口上。9.2.3 访问控制列表的分类（4）基于时间的访问控制列表基于时间的访问控制列表可以规定内网的访问时间。目前几乎所有的防火墙都提供了基于时间的控制对象，路由器的访问控制列表也提供了定时访问的功能，用于在指定的日期和时间范围内应用访问控制列表。它的语法规则如下：1）为时间段起名：Router(config)#time-range time-range-name 9.2.3 访问控制列表的分类2）配置时间对象 配置绝对时间：Router(config-time-range)#absolute start time d

16、ate end time date | end time date start time date：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日 月 年”。end time date：表示时间段的结束时间，格式与起始时间相同。示例：absolute start 08:00 1 Jan 2010 end 10:00 1 Feb 2010（即从2010年1月1日08:00点开始到2010年2月1日10:00点结束） 配置周期时间：Router(config-time-range)#periodic day-of-the-week hh:mm to da

17、y-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sunday。hh:mm：表示时间weekdays：表示周一到周五weekend：表示周六到周日 daily：表示一周中的每一天示例：periodic weekdays 09:00 to 18:00（即周一到周五每天的09:00到18:00）9.2.3 访问控制列表的分类3）配置实例假设规定上班

18、期间早八点到晚八点启用规则、周末全天启用规则，具体配置如下：Router(config)#time-range worktimeRouter(config-time-range)#periodic weekends 00：00 to 23：59Router(config-time-range)#periodic monday 08：00 to friday 20：009.3 防火墙 9.3.1 什么是防火墙防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络(通常是Iternet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护

19、的内部网络，通过边界控制强化内部网络的安全政策。 防火墙一般安放在被保护网的边界，这样必须做到以下几点，才能使防火墙起来安全防护的作用: 所有进出被保护网络的通信必须通过防火墙。所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。防火墙本身是不可被入侵的。9.3.2 防火墙的功能防火墙具有如下几个功能： 访问控制功能。这是防火墙最基本也是最重要的功能，通过禁止或允许特定用户访问特定的资源，保护网络的内部资源和数据。需要禁止非授权的访问，防火墙需要识别哪个用户可以访问何种资源。 内容控制功能。根据数据内容进行控制，比如防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的

20、图片信息，也可以限制外部访问，使它们只能够访问本地Web服务器中的一部分信息。 全面的日志功能。防火墙的日志功能很重要。防火墙需要完整的记录网络访问情况，包括内外网进出的访问，需要记录访问是什么时候进行了什么操作，以检查网络访问情况。 集中管理功能。防火墙是一个安全设备，针对不同的网络情况和安全的需要，需要制定不同的安全策略,然后在防火墙上实施，使用中还需要根据情况，改变安全策略，而且在一个安全体系中，防火墙可能不止一台，所以防火墙应该是易于集中管理的，这样管理员就可以很方便地实施安全策略。 自身的安全可用性。防火墙要保证自身的安全，不被非法侵入，保证正常地工作。9.3.3 边界保护机制对防火

21、墙而言，网络可以分可信网络和不可信网络，可信网络和不可信网络是相对的，一般来讲内部网络是可信网络,互联网是不可信网络,但是在内部网络中，比如财务部网络需要特殊保护，在这里财务部网络是可信网络，其他的内部网络就变成了不可信网络。对于服务器来说，比如Web服务器或数据库服务器，内部网络和外部网络则都是不可信网络。防火墙的安放位置是可信网络通向不可信网络的边界防火墙所保护的对象是网络中有明确闭合边界的网段，防火墙是可信网络通向不可信网络的唯一出口，在被保护网络周边形成被保护网络与外部网络的隔离，防范来自被保护网络外部的对被保护网络安全的威胁，所以它是一种边界保护，它对可信网络内部之间的访问无法进行控

22、制，它仅对穿过边界的访问进行控制。9.3.4 防火墙的局限性安装防火墙并不能做到绝对的安全，它有许多防范不到的地方。 防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与互联网的直接，从而绕过防火墙，造成一个潜在的后门攻击渠道。 防火墙不能防止感染了病毒的软件或文件传输。这只能在每台主机上装反病毒软件。这是因为病毒的类型太多，操作系统也有多种，不能期望防火墙对每一个进出内部网络的文件进行扫描，查出潜在的病毒，否则的话防火墙将成为网络中最大的瓶颈。 防火墙不能防止数据驱动式攻击。有些表面看起来无害的数据通过电子邮件发送或者其他方式复制到内部主机上，

23、一旦被执行就形成攻击。 防火墙不能防范恶意的内部人员。内部人员通晓内部网络的结构，如果它从内部来入侵内部主机，或进行一些破坏活动，因为该通信没有通过防火墙，所以防火墙无法阻止。 防火墙不能防范不断更新的攻击方式。防火墙制定的安全策略是在已知的攻击模式下的制定的，所以对全新的攻击方式缺少阻止功能。防火墙不能自动阻止全新的侵入，所以以为安装防火墙就可以什么问题都没有了的思想是很危险的。9.3.6 防火墙技术（1）包过滤技术包过滤(packet filtering)技术是防火墙在网络层中根据数据包中包头信息实施有选择地允许通过或阻断。依据防火墙内事先过滤规则，检查数据流中每个数据包头部，根据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤规则的设计。（2）应用网关技术应用网关(application gateway)与包过滤防火墙不同