计算机网络技术第8章-网络安全课件

1、Computer Network Technology计算机网络技术第2版 第8章 网络安全第8章 网络安全学习目标:了解网络安全基本知识掌握计算机病毒的基本知识理解计算机病毒的原理和木马原理掌握防火墙技术掌握数字加密和数字签名原理 8.1 网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。8.1.1网络安全隐患安全隐患主要有以下几种：1黑客入侵 黑客（hacker）一般指一些恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人。8.1.1网络安全隐患2计算机病毒的攻击 计算机

2、病毒是对网络安全最严重的威胁。3陷阱和特洛伊木马 在合法程序中插入恶意源代码以实现非授权进程，从而达到某种特定目的。4来自内部人员的攻击 指在信息安全处理系统范围内或对信息安全处理系统有直接访问权限的人对网络的攻击。8.1.1网络安全隐患5修改或删除关键信息 通过对原始内容进行一定的修改或删除，从而达到某种破坏网络安全的目的。6拒绝服务 当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时，就发生了拒绝服务。7人为地破坏网络设施，造成网络瘫痪 人为地从物理上对网络设施进行破坏，使网络不能正常运行。8.1.2网络攻击网络攻击分为两类:（1）被动攻击 攻击者简单地监视所有信息流以获得某些

3、秘密。这种攻击可以基于网络或者基于系统。对付这类攻击的重点是预防，主要手段是数据加密。（2）主动攻击 攻击者试图突破网络的安全防线。这种攻击涉及网络传输数据的修改或创建错误数据信息，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。主要手段有防火墙、入侵检测系统等。8.1.3网络基本安全技术网络安全基本措施有防火墙、数字加密、数字签名、身份认证。（1）防火墙：设置在被保护的内部网络和有危险性的外部网络之间的一道屏障，系统管理员按照一定的规则控制数据包在内外网之间的进出。（2）数字加密：通过对传输的信息进行一定的重新组合，而使只有通信双方才能识别原有信息的一种手段。 （3）数字签名：可以被用

4、来证明数据的真实发送者，当数字签名用在存储的数据或程序时，可以用来验证其完整性。 （4）身份认证：用多种方式来验证用户的合法性，如密码技术、指纹识别、智能IC卡、网银U盾等。8.2 计算机病毒与木马8.2.1计算机病毒的基本知识 计算机病毒是指编写或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。1计算机病毒的特点寄生性传染性隐蔽性潜伏性破坏性8.2.1计算机病毒的基本知识2计算机病毒的分类 一般将病毒大致分为：传统病毒、宏病毒、恶意脚本、木马程序、黑客程序、蠕虫程序、破坏性程序。（1）传统病毒 包括文件型病毒和感染引导扇区的引导型病毒

5、，如CIH病毒。（2）宏病毒（macro） 利用Word、Excel等的宏脚本功能进行传播的病毒，如梅丽莎（macro. melissa）病毒。（3）恶意脚本（script） 进行破坏的脚本程序，包括HTML脚本、批处理脚本、Visual Basic和JavaScript脚本等，如欢乐时光（VBS. Happytime）。8.2.1计算机病毒的基本知识2计算机病毒的分类（4）木马（trojan）程序 当病毒程序被激活或启动后用户无法终止其运行，如QQ盗号木马。（5）黑客（hack）程序 利用网络攻击其他计算机的网络工具。（6）蠕虫（worm）程序 蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件

6、、P2P软件等自动传播自身的病毒，如冲击波。 （7）破坏性程序（harm） 病毒启动后，破坏用户的计算机系统，如删除文件、格式化硬盘等。如bat文件、可执行文件等。8.2.2计算机病毒工作原理1程序型病毒工作原理 通过网络、U盘和光盘等为载体传播，主要感染.exe和.dll等可执行文件和动态连接库文件，当染毒文件被运行，病毒就进入内存，并获取了内存控制权，开始感染所有之后运行的文件。2引导型病毒工作原理 引导型病毒把自己写入磁盘引导区，这样，只要磁盘被读写，病毒就首先被读取入内存。 8.2.3木马原理木马的全称是特洛伊木马，是一种恶意程序。木马在宿主机器上运行，可在用户毫无察觉的情况下，让攻击

7、者获得远程访问和控制用户计算机的权限。木马包括客户端和服务器端两个部分。著名的有“冰河”“灰鸽子”“QQ盗号木马”等。8.2.4常见autorun.inf文件 autorun.inf文件本身并不是一个病毒文件，它可以实现双击盘符自动运行某个程序的功能，病毒利用这个文件的特点，自动运行一些病毒程序。 打开方式（中毒）8.2.4常见autorun.inf文件 autorun.inf文件可以双击打开，或者把名称改为autorun.txt再打开，查看修改内容。 autorun.inf文件图标autorun.inf文件的内容8.2.5杀毒软件工作原理 病毒特征码:病毒是用某种语言写出来的一段代码，每种病

8、毒都会具有一些独一无二的特征叫作病毒特征码。病毒库：杀毒软件公司找到病毒特征码，更新其病毒库。 杀毒软件的杀毒引擎根据自己独特的技术（算法）对磁盘文件进行高速检查，发现病毒并杀毒。8.3 防火墙8.3.1防火墙的基本概念 防火墙是网络安全的保障，可以实现内部可信任网络与外部不可信任网络（互联网）之间或内部网络不同区域之间的隔离与访问控制，阻止外部网络中的恶意程序访问内部网络资源，防止更改、复制、损坏用户的重要信息。8.3.1防火墙的基本概念防火墙是一种网络安全保障方式，主要目的是通过检查入、出一个网络的所有连接，来防止某个需要保护的网络遭受外部网络的干扰和破坏。从逻辑上讲，防火墙是一个分离器、

9、限制器、分析器，可有效地检查内部网络和外部网络之间的任何活动。从物理上讲，防火墙是集成在网络特殊位置的一组硬件设备路由器和三层交换机、PC之间。防火墙可以是一个独立的硬件系统，也可以是一个软件系统。8.3.2防火墙的分类按照工作的网络层次和作用对象可分为4种类型。1包过滤防火墙又被称为访问控制表（Access Control List，ACL），它根据预先静态定义好的规则审查内、外网之间通信的数据包是否与自己定义的规则（分组包头源地址、目的地址端口号、协议类型等）相一致，从而决定是否转发数据包。工作于网络层和传输层。8.3.2防火墙的分类1包过滤防火墙包过滤防火墙的优点（1）不用改动用户主机上

10、的客户端程序。（2）可以与现有设备集成，也可以通过独立的包过滤软件实现。（3）成本低廉、速度快、效率高，可以在很大程度上满足企业的需要。包过滤防火墙的缺点（1）工作在网络层，不能检测对于高层的攻击。（2）如果使用很复杂的规则，会大大降低工作效率。（3）需要手动建立安全规则，要求管理人员清楚了解网络需求。（4）包过滤主要依据IP包头中的各种信息，但IP包头信息可以被伪造，这样就可以轻易地绕过包过滤防火墙。8.3.2防火墙的分类2应用程序代理防火墙又称为应用网关防火墙，可在网关上执行一些特定的应用程序和服务器程序，实现协议的过滤和转发功能。工作于应用层。 其特点是完全阻隔了网络信息流。8.3.2防

11、火墙的分类3复合型防火墙基于包过滤的方法与应用程序代理的方法结合起来形成复合型防火墙产品。（1）屏蔽主机防火墙体系结构 分组过滤路由器或防火墙与Internet相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上设置过滤规则，使堡垒主机成为Internet上其他节点所能到达的唯一节点，从而确保内部网络不受未授权外部用户攻击。（2）屏蔽子网防火墙体系结构 堡垒主机放在一个子网内形成非军事化区，两个分组过滤路由器放在该子网的两端，使该子网与Internet及内部网络分离。堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。8.3.2防火墙的分类4个人防火墙人防火墙软件一般集成在

12、杀毒软件当中，它是应用程序级的，在某一台计算机上运行，保护其不受外部网络的攻击。一般的个人防火墙都具有“学习”机制，就是说一旦主机防火墙收到一种新的网络通信要求，它会询问用户是允许还是拒绝，并应用于以后该通信要求。8.3.3网络地址转换NAT技术网络地址转换NAT的作用原理就是通过替换一个数据包的源地址和目的地址，来保证这个数据包能被正确识别。通过这种地址映射技术，内部计算机上使用私有地址，当内部网络计算机通过路由器向外部网络发送数据包时，私有地址被转换成合法的IP地址（全局地址）在Internet上使用。NAT技术解决了IPv4版本IP地址不足问题提高了网络的安全性。缺点是增加了网络延迟。8

13、.4 数字加密与数字签名8.4.1数字加密1数字加密的原理 数据加密是指将原始的数据通过一定的加密方式加密成非授权人难以理解的数据，授权人在接收到加密数据后，会利用自己知道的解密方式把数据还原成原始数据。 数据加密的常用术语。（1）明文：没有加密的原始数据。（2）密文：加密后的数据。（3）加密：把明文转换成密文的过程。（4）解密：把密文转换成明文的过程。（5）算法：加密或解密过程中使用的一系列运算方式。（6）密钥：用于加密或解密的一个字符串。8.4.1数字加密2经典的数字加密技术 （1）替换加密 用某个字母替换另一个字母，替换的方式事先确定，例如替换方式是字母按顺序往后移5位，hello在网络

14、中传输时就用mjqqt。 数据加密的常用术语。（2）换位加密 按照一定的规律重新排列传输数据。例如预先设置换位的顺序是4213，明文bear在网络中传输时就是reba。8.4.1数字加密3秘密密钥与公开密钥加密技术 （1）秘密密钥技术也叫作对称密钥加密技术。特点是把算法和密钥分开进行处理，密钥最为关键，而且在加密和解密过程中，使用的密钥相同。著名密钥加密算法是数据加密标准（Data Encryption Standard，DES）。8.4.1数字加密3秘密密钥与公开密钥加密技术 （2）公开密钥加密技术也叫作非对称密钥加密技术。加密和解密过程中使用两个不同的密钥，两个密钥在数学上是相关的，成对出

15、现，但互相不能破解。著名的公开密钥加密算法是RSA（三位发明者名字首字母组合）。8.4.2数字签名数字签名是指在计算机网络中，用电子签名来代替纸质文件或协议的签名，以保证信息的完整性、真实性和发送者的不可否认性。利用报文摘要和公开密钥加密技术相结合的方式进行数字签名。 1报文摘要设计思想是把一个任意长度的明文数据转换成一个固定长度的比特串，在签名时，只要对这个报文摘要签名即可，不用对整个明文数据进行签名。（1）处理任意长度的数据，生成固定大小的比特串。（2）生成的比特串是不可预见的，看上去与原始明文没有任何联系，原始明文有任何变化，新的比特串会与原来的不同。（3）生成的比特串具有不可逆性，不能通过它还原成原始明文。8.4.2数字签名2数字签名的过程（1）发送端把明文利用单向散列函数转换成消息摘要。（2）发送者利用自己的私钥对消息摘要进行签名。（3）发送端把明文和签名的消息摘要通过网络传递给接收端。（4）接收端对明文和消息摘要分别处理，明文通过单向散列函数转换为消息摘要，签名的消息