网络安全技术基础

1、网络平安技术根底Network Security TechnologyEssentials Training Course.网络平安技术根底Network Security Technology Essentials Training Course课 程 简 介.课 程 综 述.课 程 综 述课 程 内 容 本课程以分析计算机网络面临的平安要挟为起点，论述了常用的网络平安技术，引见了主流网络平安产品和常用网络平安战略，并着重强调内容平安防病毒在网络平安中的重要位置。 分析计算机网络面临的平安要挟论述常用的计算机网络平安技术引见主要的网络平安产品类型引荐企业网络平安战略.课 程 综 述课程目的

2、本课程的目的是提高学员的网络平安认识，使学员熟习根本的网络平安实际知识和常用网络平安产品，了解部署整个网络平安的防护系统和战略的方法。在此根底上，让学员充分了解病毒防备的重要性和艰巨性，了解“内部人员的不当运用和“病毒是整个网络系统中最难对付的两类平安问题。 全面了解根本的网络弱点 了解平安技术原理 了解各类平安技术的产品及其实现方式 了解内容平安防病毒的难度及在网络平安中日益重要的位置 .授 课 对 象.授 课 对 象授课对象本课程面向以下人员：企业指点IT 部门任务人员销售人员工程师其他对网络平安根底知识有兴趣的人士.网络平安概述第一章.网 络 安 全 概 述本 章 概 要 本章引见网络平

3、安的定义、平安网络的根本特征以及计算机网络面临的要挟。本章内容包含以下几部分：网络平安背景计算机网络面临的要挟网络平安的定义平安网络的根本特征.网 络 安 全 概 述课 程 目 标经过本章的学习，学员应可以了解：网络平安的定义及其涵盖的范围计算机网络面临的要挟主要来自哪些方面平安的计算机网络的根本特征.在我们的生活中，经常可以听到下面的报道：XX网站遭到黑客攻击XX计算机系统遭到攻击，呵斥客户数据丧失目前又出现XX计算机病毒，已分散到各大洲网络平安的背景 计算机网络在带给我们便利的同时曾经表达出了它的脆弱性.网络平安的背景经常有网站蒙受黑客攻击.网络平安的背景用户数据的走漏.网络平安的背景调查

4、显示：网络攻击数量与日俱增/stats/cert_stats.htmlIncidents reported to CERT/CC in recent yearsYear.网络平安的背景网络病毒在全球范围内高速分散2001年7月19日 01:05:00 2001年7月19日 20:15:00 .网络病毒在全球范围内高速分散Sat Jan 25 05:29:00 2003Sat Jan 25 06:00:00 2003.网络平安的背景黑客攻击技术与网络病毒日趋交融.网络平安的背景攻击者需求的技艺日趋下降攻击工具复杂性攻击者所需技艺.网络平安面临的要挟 互联网在推进社会开展的同时，也面临着日益严重的

5、平安问题：信息系统存在诸多弱点企业外部的网络攻击企业内部发起的网络破坏计算机病毒的破坏 计算机网络的最大要挟是来自企业内部员工的恶意攻击和计算机病毒的要挟。.网络平安面临的要挟物理风险 系统风险信息风险运用风险其它风险网络的风险管理风险 设备防盗，防毁 链路老化人为破坏 网络设备本身缺点 停电导致无法任务 机房电磁辐射 其他 信息存储平安 信息传输平安 信息访问平安 其他 身份鉴别 访问授权 性 完好性 不可否认性 可用性 计算机病毒 外部攻击 内部破坏 其他风险 软件弱点能否存在管理方面的风险需有无制定相应的平安制度 平安拓扑 平安路由网络面临多种风险Internet.磁盘不测损坏光盘不测损

6、坏磁带被不测盗走 导致数据丧失 导致数据无法访问信息系统的弱点信息存储的弱点.信息系统的弱点信息传输的弱点搭线窃听信息总部下属机构黑客 信息泄密 信息被篡改Internet.企业网络非法用户非法登录合法用户越权访问信息系统的弱点计算机网络信息被非法访问 信息被越权访问 信息被非授权访问.各种网络攻击企业外部的网络攻击1993年3月1日，由于骇客入侵，纽约市区供电中断8个小时，呵斥宏大经济损失。1998年6月，国内某著名银行一用户经过网络运用非法手段盗支36万元人民币。1999年8月，一少年侵入德里医院篡改血库信息，致使12名病人因错误输血而死亡。据美国报道，如今平均每20秒就发生一次入侵计算机

7、网络的事件；超越1/3的互联网被攻破。.各种网络攻击企业内部的网络破坏统计显示：来自企业内部的网络破坏更加危险；员工的不正常运用也是企业内网的一个重要不平安要素。 虽然企业外部的攻击可以对企业网络呵斥宏大要挟，企业内部员工的不正确运用和恶意破坏是一种更加危险的要素。摘自ICSA/FBI,2001 .计算机病毒的破坏1998年，CIH病毒影响到2000万台计算机；1999年，梅利莎呵斥8000万美圆损失；2000年，爱虫病毒影响到1200万台计算机，损失高达几十亿美圆；2001年，红色代码病毒，目前呵斥的损失已超越十二亿美圆。如今计算机病毒已达5万多种，并呈几何级数增长.网络平安问题的严重性网络

8、平安隐患四处存在据美国报道，如今平均每20秒就发生一次入侵计算机网络的事件；超越1/3的互联网被攻破。被以为维护措施最严密的美国白宫被多次闯入。中国国内80的网络存在平安隐患，20的网站有严重平安问题。.网络平安问题的严重性网络平安问题呵斥的宏大损失据统计，在全球范围内，由于信息系统的脆弱性而导致的经济损失，每年达数亿美圆，并且呈逐年上升的趋势。美国FBI统计数据：美国每年由于网络平安问题而呵斥的经济损失高达75亿美圆。.网络平安的定义广义的网络平安定义：凡是涉及到网络上信息的平安性，完好性，可用性，真实性和可控性的相关实际和技术都是网络信息平安所要研讨的领域。 狭义的网络平安定义：指信息内容

9、的平安性，即维护信息的性、真实性和完好性，防止攻击者利用系统的平安破绽进展窃听、冒充、诈骗、盗用等有损合法用户利益的行为，维护合法用户的利益和隐私。本课程涉及的网络平安是指狭义的网络平安。 网络平安从其本质上来讲就是网络上的信息平安，它涉及的范围相当广。.平安网络的特征平安的网络具有以下四个特征：严密性完好性可用性可控性.如何构建一个平安的网络？构建方案缜密、平安可行的安防体系人制度技术安防体系完好的安防体系应该由人、制度和技术三方面组成；本课程的第二章到第四章讨论了网络平安技术的相关问题；本课程第五章着重讨论了安防体系中人和制度的要素，并提出了规划企业安防体系的普通方法。.计算机网络面临的平

10、安要挟第二章.本章概要计算机网络面临的平安要挟 本章分析了要挟计算机网络平安的各种要素，详细如下：网络平安破绽网络攻击概述网络攻击手段计算机病毒的危害.网络平安破绽系统存在平安方面的脆弱性非法用户得以获得访问权合法用户未经授权提高访问权限系统易受来自各方面的攻击网络平安破绽的概念网络协议的平安破绽操作系统的平安破绽运用程序的平安破绽平安破绽的分类.网络平安破绽系统和软件的设计存在缺陷，通讯协议不完备；如TCP/IP协议就有很多破绽。技术实现不充分；如很多缓存溢出方面的破绽就是在实现时短少必要的检查。配置管理和运用不当也能产生平安破绽； 如口令过于简单，很容易被黑客猜中。平安破绽产生的缘由.网络

11、平安破绽常见的Internet 效力中都存在平安破绽： 平安破绽FTP文件传输的平安破绽WWW效力的平安破绽Usenet新闻的平安破绽网络效力的平安破绽网络文件系统的平安破绽电子邮件的平安破绽Telnet的平安破绽.网络平安破绽常见的Internet 效力中都存在平安破绽： 平安破绽FTP文件传输的平安破绽WWW效力的平安破绽Usenet新闻的平安破绽网络效力的平安破绽网络文件系统的平安破绽电子邮件的平安破绽Telnet的平安破绽网络攻击病毒破坏.网络攻击概述网络攻击的概念利用平安破绽运用攻击软件或命令运用网络命令运用公用网络软件本人编写攻击软件攻击详细内容非法获取、修正或删除用户系统信息在用

12、户系统上添加渣滓、色情或有害的信息破坏用户的系统.网络攻击概述常见的网络攻击者骇客Hacker黑客Cracker幼稚黑客Script Kiddie内奸工业间谍病毒制造者.网络攻击概述网络攻击的工具分布式工具(Distributed Tool)攻击程序(Intrusion Program)自治代理(Autonomous Agents )工具集(Tool Sets)用户命令(User Command ).网络攻击概述一个网络攻击的组成网络攻击攻击者工具访问结果目的骇客黑客幼稚黑客内奸工业间谍分布式工具程序自治代理工具集用户命令信息破坏信息暴露效力偷窃效力回绝 破坏配置的脆弱点实现的破绽黑客用户命令

13、配置的脆弱点信息破坏破坏.网络攻击的类型回绝效力：使蒙受的资源目的不能继续正常提供效力侵入攻击：攻击者窃取到系统的访问权并盗用资源信息盗窃：攻击者从目的系统中偷走数据。信息篡改：攻击者篡改信息内容。网络攻击主要可以分为以下几种类型：.网络攻击的类型回绝效力Denial of ServiceCPU回绝效力.网络攻击的类型信息盗窃Eavesdropping信息盗窃telnet username: danpassword:m-y-p-a-s-s-w-o-r-d d-a-n.网络攻击的类型侵入攻击IntrusionBob侵入攻击Im Bob, Please let me Log in.网络攻击的类型信

14、息篡改Loss of IntegrityBankCustomerDeposit $1000Deposit $100信息篡改.常见的网络攻击手段主要网络攻击手段炸弹 ( Bombing)逻辑炸弹 (Logic Bombing)DDos攻击 (Distributed Denial of Service )特洛伊木马 (Trojan Horse Program)口令入侵 (Password Intrusion)网络窃听 (Eavesdropping)IP地址欺骗 (IP Spoofing)病毒攻击 (Viruses).计算机病毒的危害计算机病毒的概念计算机病毒的特征计算机病毒的种类网络病毒网络病毒的

15、特点及危害性常见的网络病毒病毒网络攻击的有效载体本部分主要讨论以下几内容：.计算机病毒的概念 计算机病毒是指一段具有自我复制和传播功能的计算机代码，这段代码通常能影响计算机的正常运转，甚至破坏计算机功能和毁坏数据。.计算机病毒的特征病毒是一段可执行的程序病毒具有广泛的传染性病毒具有很强的隐蔽性病毒具有埋伏性病毒具有可触发性病毒具有破坏性.计算机病毒的种类启动型病毒文件型病毒宏病毒Script病毒JAVA病毒Shockwave病毒.网络病毒的概念 利用网络协议及网络的体系构造作为传播的途径或传播机制，并对网络或联网计算机呵斥破坏的计算机病毒称为网络病毒。.网络病毒的特点及危害破坏性强传播性强针对

16、性强分散面广传染方式多消除难度大.常见的网络病毒蠕虫病毒多态病毒同伴病毒梅利莎病毒BO病毒隐藏病毒JAVA病毒.病毒网络攻击的有效载体网络的新要挟病毒+网络攻击.网络平安技术根底第三章.网络平安技术根底本 章 概 要 本章首先引见了计算机网络的根本知识，然后分别就各种网络平安技术进展了论述。本章涉及的网络平安技术有：数据加密技术 Encryption身份认证技术Authentication包过滤技术Packet Filtering资源授权运用Authorization内容平安防病毒技术.网络平安技术根底课 程 目 标 经过本章的学习，学员应可以了解：计算机网络的根本知识和常用网络协议常用的网络

17、平安技术及其适用范围内容平安防病毒技术在网络平安领域的重要位置.计算机网络根底知识计算机网络的分层构造复杂的计算机网络计算机网络的七层模型OSITCP/IP网络的层次构造常用的网络协议和网络技术TCP/IP协议族局域网技术和广域网技术常见的Internet效力 .复杂的计算机网络计算机网络分层构造IBM 3274Dial-on-DemandSDLCT1/E1X WindowsASCIIProtocolTranslatorLAT HostPoint-to-Point SMDS, X.25, Frame RelayIBM Mainframe with FEPFDDIDial BackupDial

18、Backup Load SharingLAN SwitchLAN SwitchInter- SwitchLink (ISL)VLANsSwitch 1Switch 2Switch 3Switch 4Router 1Router 2Router 3Router 4Router 5Router 6Router 7Router 8.OSI七层模型计算机网络分层构造运用层Application Layer表示层Presentation Layer会话层Session Layer传输层Transport Layer网络层Network Layer数据链路层Data Link Layer物理层Physic

19、al Layer与用户运用的接口数据格式的转换会话管理与数据同步端到端的可靠传输分组传送、路由选择、流量控制相邻节点间无过失地传送帧在物理媒体上透明传送位流.OSI七层模型计算机网络分层构造运用层表示层会话层传输层网络层数据链路层物理层运用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层运用层协议表示层协议会话层协议传输层协议主机A主机B路由器路由器.计算机网络分层构造TCP/IP网络层次构造运用层Application Layer表示层Presentation Layer会话层Session Layer传输层Transport Layer网络层Netwo

20、rk Layer数据链路层Data Link Layer物理层Physical Layer运用层Application Layer传输层Transport Layer互联网络层Inter-Networking Layer网络接口层Network Access LayerTCP/IP 网络分层构造OSI 网络分层构造.计算机网络分层构造运用层Application Layer传输层Transport Layer互联网络层Inter-Networking Layer网络接口层Network Access LayerX WindowNFSSMTPDNSSNMPFTPTelnetUDPTCPIPRAR

21、PARPBootPICMPFDDIToken RingX.25EthernetTCP/IP网络层次构造.常用的网络协议和网络技术TCP/IP协议族(网络互联层和传输层) IP协议：Internet ProtocolTCP协议：Transmission Control ProtocolUDP协议：User Datagram ProtocolICMP协议：Internet Control Message ProtocolARP协议：Address Resolution ProtoclRARP协议：Reversed Address Resolution Protocol.常用的网络协议和网络技术TC

22、P/IP协议族(运用层)：HyperText Transmission ProtocolFTP：File Transmission ProtocolSMTP：Simple Mail Transmission ProtocolDNS：Domain name ServiceSNMP：Simple Network Management ProtocolTelnetPOP3.常用的网络协议和网络技术TCP/IP协议支持的链路层协议EthernetToken RingFDDIHLDCPPPX.25Frame Relay TCP/IP协议几乎能支持一切的链路层协议，包括局域网协议和广域网协议.常用的网络协

23、议和网络技术局域网(LAN)技术令牌环网Token Ring分布式光纤接入FDDI以太网/快速以太网/千兆以太网Ethernet/ Fast Ethernet/ Gigabit Ethernet.常用的网络协议和网络技术局域网(LAN)常见设备集线器HUB交换机Switch网卡NICPCMCIA网卡.常用的网络协议和网络技术 广域网(WAN)技术租用专线 Leased Line 帧中继技术Frame Relay拨号接入技术Dial UpISDN拨号接入技术ISDN虚拟公用网技术VPNService provider.常用的网络协议和网络技术广域网(WAN)常见设备ADSL 路由器Cable M

24、odemISDN 适配器.常见的Internet效力电子邮件WWW 效力Telnet文件传输网络管理拨号网络.数据加密技术 数据加密的概念数据加密技术原理数据传输的加密常用加密协议本部分涉及以下内容：.数据加密的概念 数据加密模型密文网络信道明文明文三要素：信息明文(Plaintext) 、密钥(Key) 、信息密文(Ciphertext).加密密钥信息窃取者解密密钥加密算法解密算法.数据加密的概念 数据加密技术的概念 数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进展函数转换成密文(Ciphertext)，只需特定接受方才干将其解密(Decryption)复

25、原成明文的过程。 明文(Plaintext) ： 加密前的原始信息；密文(Ciphertext) ：明文被加密后的信息；密钥(Key)： 控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥；加密(Encryption)：将明文经过数学算法转换成密文的过程；解密(Decryption)：将密文复原成明文的过程。.数据加密的概念 数据加密技术的运用数据严密；身份验证；坚持数据完好性；确认事件的发生。.数据加密技术原理 对称密钥加密严密密钥法非对称密钥加密公开密钥法混合加密算法哈希Hash算法数字签名数字证书公共密钥体系数据加密技术原理.数据加密技术原理对称密钥加密严密密钥法加密算法解

26、密算法密钥网络信道明文明文密文加密密钥解密密钥两者相等.数据加密技术原理非对称密钥加密公开密钥加密加密算法解密算法公开密钥网络信道明文明文密文私有密钥公钥私钥 公钥私钥不可相互推导不相等.数据加密技术原理 混合加密系统对称密钥加密算法对称密钥解密算法对称密钥网络信道明文明文密文 混合加密系统既可以平安地交换对称密钥，又可以抑制非对称加密算法效率低的缺陷！非对称密钥加密算法非对称密钥解密算法对称密钥公开密钥私有密钥 混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合.数据加密技术原理 哈希Hash算法信息加密解密网络信道信息密文 哈希算法hash algorithm，也叫信息标志算法mes

27、sage-digest algorithm，可以提供数据完好性方面的判别根据。哈希算法 结果一样，那么数据未被篡改比较 结果不同，那么数据已被篡改信息标志digest常用的哈希算法：MD5SHA-1哈希算法.数据加密技术原理数字签名 数字签名digital signature技术经过某种加密算法，在一条地址音讯的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进展数据完好性检查。.数据加密技术原理数字签名的任务原理非对称加密算法非对称解密算法Alice的私有密钥网络信道合同Alice的公开密钥哈希算法标志标志-2合同哈希算法比较标志-1假设两标志一样，那么符合上述确认要求。

28、AliceBob假定Alice需求传送一份合同给Bob。Bob需求确认：合同确实是Alice发送的合同在传输途中未被修正.数据加密技术原理数字签名的作用独一地确定签名人的身份；对签名后信件的内容 能否又发生变化进展验证；发信人无法对信件的内容进展抵赖。 当我们对签名人同公开密钥的对应关系产生疑问时，我们需求第三方颁证机构CA: Certificate Authorities的协助。.数据加密技术原理数字证书 数字证书相当于电子化的身份证明，应有值得信任的颁证机构CA机构的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。 数字证书既可以向一家公共的办证机构恳求，也可以向运转在企业

29、内部的证书效力器恳求。这些机构提供证书的签发和失效证明效力。.数据加密技术原理数字证书规范：X.509X.509是由国际电信联盟ITU-T制定的数字证书规范。在X.500确保用户称号独一性的根底上,X.509为X.500用户称号提供了通讯实体的鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口。X.509的最初版本公布于1988年。X.509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者称号、证书有效期等信息。X.509规范的最新版本是X.509v3，它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段，用来提供更多的

30、灵敏性及特殊运用环境下所需的信息传送。.数据加密技术原理数字证书中的常见内容发信人的公开密钥；发信人的姓名；证书颁发者的称号；证书的序列号；证书颁发者的数字签名；证书的有效期限。.数据加密技术原理恳求数字证书，并利用它发送电子邮件用户向CA机构恳求一份数字证书，恳求过程会生成他的公开/私有密钥对。公开密钥被发送给CA机构，CA机构生成证书，并用本人的私有密钥签发之，然后向用户发送一份拷贝。用户的同事从CA机构查到用户的数字证书，用证书中的公开密钥对签名进展验证。用户把文件加上签名，然后把原始文件同签名一同发送给本人的同事。证书恳求签发的数字证书文件和数字签名数字证书的验证用户同事CA.数据传输

31、的加密 链路加密方式SH：会话层包头； TH：传输层包头； NH：网络层包头；LH：链路层包头； E： 链路层包尾；运用层表示层会话层传输层网络层链路层物理层MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEE：明文信息：密文信息.数据传输的加密 链路加密方式 用于维护通讯节点间传输的数据，通常用硬件 在物理层或数据链路层实现。优点由于每条通讯链路上的加密是独立进展的，因此当某条链路遭到破坏不会导致其它链路上传输的信息的平安性。报文中的协议控制信息和地址都被加密，可以有效防止各种流量分析。

32、不会减少网络有效带宽。只需相邻节点运用同一密钥，因此，密钥容易管理。加密对于用户是透明的，用户不需求了解加密、解密过程。.数据传输的加密 链路加密方式缺陷在传输的中间节点，报文是以明文的方式出现，容易遭到非法访问的要挟。每条链路都需求加密/解密设备和密钥，加密本钱较高。.数据传输的加密 端对端加密方式运用层表示层会话层传输层网络层链路层物理层MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEESH：会话层包头； TH：传输层包头； NH：网络层包头；LH：链路层包头； E： 链路层包尾；：

33、明文信息：密文信息.数据传输的加密 端对端加密方式 在源节点和目的节点对传输的报文进展加密和解密，普通在运用层或表示层完成。优点在高层实现加密，具有一定的灵敏性。用户可以根据需求选择不同的加密算法。缺陷报文的控制信息和地址不加密，容易遭到流量分析的攻击。需求在全网范围内对密钥进展管理和分配。.常用加密协议 SSL协议:平安套接层协议Secure Socket Layer。SSL是建立平安通道的协议，位于传输层和运用层之间，实际上可以为任何数量的运用层网络通讯协议提供通讯平安。SSL协议提供的功能有平安加密通讯、效力器或客户身份鉴别、信息完好性检查等。SSL协议最初由Netscape公司开发胜利

34、，是在Web客户和Web效力器之间建立平安通道的现实规范。SSL协议大量运用于网站的平安衔接。.常用加密协议 数据链路层和物理层网络层IP传输层TCP平安套接层SSLTelnt,mail,news,ftp,nntp,dns等S/MIMES- SSL协议:平安套接层协议所在层次.常用加密协议 SSL协议:建立SSL协议的六个步骤建立SSL协议的前三个步骤1。客户传送“ClientHello2。效力器传送“ServerHello3。效力器传送公开密钥效力器效力器效力器客户端客户端客户端公开密钥.常用加密协议 SSL协议:建立SSL协议的六个步骤建立SSL协议的后三个步骤4。客户传送密钥给效力器5。

35、效力器和客户端均传送“ChangeCipherSpec和“Finished给对方6。客户端与效力器开场运用密钥交换资料效力器效力器效力器客户端客户端客户端.常用加密协议 TLS协议:传输层平安协议Transport Layer Security。 TLS协议由IETFInternet Engineering Task Force组织开发。TLS协议是对SSL 3.0 协议的进一步开展。同SSL协议相比，TLS协议是一个开放的、以有关规范为根底的处理方案，运用了非专利的加密算法。.常用加密协议 IP-Sec协议(VPN 加密规范):InternetInternalNetworkEncrypted

36、 IP 与SSL协议不同，IP-Sec协议试图经过对IP数据包进展加密，从根本上处理因特网的平安问题。IP-Sec是目前远程访问VPN网的根底，可以在Internet上创建出平安通道来。 .常用加密协议 IP-Sec协议:IP HDRMay Be EncryptedIP HDRDataIPsec HDRDataIP HDRDataIPsec HDRIP HDRNew IP HDRMay Be EncryptedData信道方式透明方式 IP-Sec协议有两种方式：透明方式：把IP-Sec协议施加到IP数据包上，但保管数据包原来的数据头；信道方式：把数据包的一切内容都加密包括数据头，然后再加上一

37、个新的数据头。.常用加密协议 其它加密协议与规范:SSH：Secure Shell，在UNIX操作系统中用于远程控制Web效力器和其他效力器。DNSSEC：Domain Name Server Security，主要用于分布式域名效力。GSSAPI： Generic Security Services API，为各种密码学提供身份鉴别、密钥交换、数据加密的平台。 PGP协议：Pretty Good Protocol，适宜于加密文件和加密电子邮件。.身份鉴别技术Is that Alice?Hi, this is Alice. Please send me data.Internet身份鉴别技术的

38、提出 在开放的网络环境中，效力提供者需求经过身份鉴别技术判别提出效力恳求的网络实体能否拥有其所声称的身份。.身份鉴别技术常用的身份鉴别技术基于用户名和密码的身份鉴别基于对称密钥密码体制的身份鉴别技术基于KDC密钥分配中心的身份鉴别技术基于非对称密钥密码体制的身份鉴别技术基于证书的身份鉴别技术.身份鉴别技术Yes. I have a user named “Alice whose password is “byebye. I can send him data.Hi, this is Alice. My User Id is “Alice, my password is “byebye. Ple

39、ase send me data.Internet基于用户名和密码的身份鉴别 .身份鉴别技术This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? Internet基于对称密钥体制的身份鉴别A 在这种技术中，鉴别双方共享一个对称密钥KAB，该对称密钥在鉴别之前曾经协商好不经过网络。RBKAB(RB)RAKAB(RA)AliceBob.身份鉴别技术This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? Internet基于KDC的身份鉴别技术A, KA(B,KS)

40、基于KDCKey Distribution Center，密钥分配中心的身份鉴别技术抑制了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中，参与鉴别的实体只与KDC共享一个对称密钥，鉴别经过KDC来完成。KB(A,KS)AliceBobKDC.身份鉴别技术基于非对称密钥体制的身份鉴别 在这种技术中，双方均用对方的公开密钥进展加密和传输。This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob.身份鉴别技术基于证书的身份鉴别技术

41、为处理非对称密钥身份鉴别技术中存在的“公开密钥真实性的问题，可采用证书对实体的公开密钥的真实性进展保证。This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? InternetPKB(A,KS), CAPKA(B,KS)AliceBob.资源运用授权资源运用授权的概念当用户登陆到系统时，其任何动作都要遭到约束在运用者和各类系统资源间建立详细的授权映射，确保用户只能运用其授权范围内的资源。经过访问控制列表(ACL: Access Control List)来实现资源运用授权。系统中的每一个对象与一个ACL关联。ACL中包含一个或多

42、个访问控制入口(Access Control Entry, ACE)。.资源运用授权资源运用授权实例分析InternetIntranetDNS/Mail DMZTelnetJoeInside Host AFirewallInternetSecure MonitorJoeUser Profileid=JoeFail=0Service=ShellCmd=TelnetPermit Host ACmd=FTPPermit Host B.包过滤技术包过滤技术的根本概念包过滤技术指在网络中适当的位置作用在网络层和传输层对数据包有选择的经过；选择的根据是系统内设置的过滤规那么分组包头源地址，目的地址和端口号

43、、协议类型等标志确定能否允许数据包经过；只需满足过滤规那么的数据包才被转发到相应的网络接口；其他数据包那么被从数据流中删除。包过滤普通由屏蔽路由器来完成。包过滤技术是防火墙最常用的技术。.数据包数据包查找对应的控制战略拆开数据包根据战略决议如何处置该数据包数据TCP报头IP报头分组过滤判别信息企业内部网屏蔽路由器数据包包过滤技术包过滤技术的根本原理数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制战略.包过滤技术包过滤技术的特点 较高的网络性能。 本钱较低。 缺乏： 优点：包过滤技术是安防强度最

44、弱的防火墙技术。虽然有一些维护工具，但维护起来非常困难。 IP包的源地址、目的地址、TCP端口号是独一可以用于判别能否允许包经过的信息。 不能阻止IP地址欺骗，不能防止DNS欺骗。.内容平安防病毒技术病毒检测方法比较法搜索法特征字的识别法分析法病毒去除方法文件型病毒的去除引导型病毒的去除内存杀毒未知病毒的检测紧缩文件病毒的检测和去除.计算机病毒的检测病毒检测方法：搜索法分析法特征字识别法比较法病毒检测方法.计算机病毒的检测比较法比较法是经过用原始备份与被检测的引导扇区或文件进展比较，来判别系统能否感染病毒的方法。文件长度的变化和文件中程序代码的变化都可以用来作为比较法判别有无病毒的根据。 比较

45、法的优点： 简单、方便，不需公用软件，并且还能发现尚不 能被现有的查病毒程序发现的计算机病毒。比较法的缺陷： 无法确认病毒的种类。当发现差别时，无法判别产生差别的缘由是由于病毒的感染，还是由于忽然停电、程序失控、恶意程序破坏等缘由呵斥的。.计算机病毒的检测搜索法搜索法的主要缺陷：当被扫描的文件很长时，扫描所花的时间也多。当新的病毒特征串未参与病毒代码库时，老版本的扫描程序无法识别新病毒。当病毒产生新的变种时，病毒特征串被改动， 因此可以躲过扫描程序。容易产生误报警。搜索法是用每一种病毒体含有的特征字节串对被检测的对象进展扫描，假设发现特征字节串，就阐明发现了该特征串所代表的病毒。 被广泛运用。

46、.计算机病毒的检测特征字的识别法同搜索法不同，特征字识别法只需从病毒体内抽取很少几个关键的特征字，组成特征字库，可进展病毒的查杀。由于需求处置的字节很少，又不用进展串匹配，特征字识别法的识别速度大大高于搜索法。特征字识别法比搜索法更加留意“程序活性，减少了错报的能够性。.计算机病毒的检测分析法分析法是反病毒专家运用的方法，不适宜普通用户。反病毒专家采用分析法对染毒文件和病毒代码进展分析，得出分析结果后构成反病毒产品。 分析法可分为动态和静态两种。普通必需采用动静结合的方法才干完成整个分析过程。.计算机病毒的去除病毒去除方法：文件型病毒的去除引导型病毒的去除紧缩文件病毒的检测与去除内存杀毒病毒去

47、除方法.计算机病毒的去除文件型病毒的去除去除文件型病毒，可以有如下一些方案：假设染毒文件有未染毒的备份的话，用备份文件覆盖染毒文件即可。假设可执行文件有免疫疫苗的话，遇到病毒后，程序可以自动复原。假设文件没有任何防护的话，可以经过杀毒程序进展杀毒和文件的恢复。但杀毒程序不能保证文件的完全复原。.计算机病毒的去除引导型病毒的去除去除引导型病毒，可以有以下一些方案：对于硬盘，可以在其未感染病毒时进展硬盘启动区和分区表的备份。当感染引导型病毒后，可以将备份的数据写回启动区和分区表即可去除引导型病毒。可以用杀毒软件来去除引导型病毒。.计算机病毒的去除内存杀毒由于内存中的活病毒领会干扰反病毒软件的检测结

48、果，所以几乎一切的反病毒软件设计者都要思索到内存杀毒。 内存杀毒技术首先找到病毒在内存中的位置，重构其中部分代码，使其传播功能失效。.计算机病毒的去除紧缩文件病毒的检测和去除紧缩程序在紧缩文件的同时也改动了依靠在文件上的病毒代码，使得普通的反病毒软件无法检查到病毒的存在。已被紧缩的文件被解紧缩并执行时，病毒代码也被恢复并激活，将四处传播和破坏。目前的主流防病毒软件都曾经在其产品中包含了特定的解紧缩模块，可以既检查被紧缩后的病毒，又不破坏被紧缩后没有病毒的文件。.主要网络平安产品第四章.主要网络平安产品本 章 概 要 本章针对目前主流的几类网络平安产品进展引见，涉及的网络平安产品有以下几种：防火

49、墙产品入侵监测产品VPN网关 防病毒产品 破绽评价.防火墙的根本概念 防火墙是一种高级访问控制设备，是置于不同网络平安域之间的一系列部件的组合，是不同网络平安域间通讯流的独一通道，能根据企业有关平安政策控制(允许、回绝、监视、记录)进出网络的访问行为。不可信的网络及效力器可信任的网络防火墙路由器InternetIntranet供外部访问的效力及资源可信任的用户不可信的用户 DMZ .防火墙的主要技术运用层代理技术 (Application Proxy)包过滤技术 (Packet Filtering)形状包过滤技术 (Stateful Packet Filtering)运用层表示层会话层传输层网

50、络层数据链路层物理层防火墙的主要技术种类.数据包数据包查找对应的控制战略拆开数据包根据战略决议如何处置该数据包数据TCP报头IP报头分组过滤判别信息企业内部网屏蔽路由器数据包防火墙的主要技术包过滤技术的根本原理数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制战略.数据包数据包查找对应的控制战略拆开数据包根据战略决议如何处置该数据包企业内部网屏蔽路由器数据包防火墙的主要技术形状检测包过滤技术的根本原理数据包数据3TCP报头IP报头分组过滤判别信息数据2TCP报头IP报头数据1TCP报头IP报头数

51、据1TCP报头IP报头数据形状检测控制战略.数据包数据包查找对应的控制战略拆开数据包根据战略决议如何处置该数据包企业内部网屏蔽路由器数据包防火墙的主要技术运用层代理技术的根本原理数据包数据TCP报头IP报头分组过滤判别信息运用代理判别信息控制战略.防火墙的用途防火墙的用途控制对网点的访问和封锁网点信息的泄露能限制被维护子网的泄露具有审计作用能强迫平安战略.防火墙不能防备病毒防火墙对不经过它的衔接无能为力防火墙不能防备内部人员的攻击限制有用的网络效力防火墙不能防备新的网络平安问题防火墙的弱点防火墙的弱点.防火墙的构筑原那么构筑防火墙要从以下几方面思索：体系构造的设计平安战略的制定平安战略的实施.

52、防火墙的产品(国外).防火墙的产品(国内).入侵监测系统入侵监测系统的概念入侵监测的主要技术入侵监测系统的主要类型入侵监测系统的优点和缺乏含入侵监测系统的网络体系构造入侵监测系统的开展本节将分以下几部分引见入侵监测系统：.入侵监测系统的概念防火墙不能彻底消除网络入侵的要挟；入侵监测系统(IDS：Intrusion detection system)用于监控网络和计算机系统被入侵或滥用的征兆；IDS系统以后台进程的方式运转，发现可疑情况，立刻通知有关人员；IDS是监控和识别攻击的规范处理方案，是安防体系的重要组成部分；假设说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。根本概念

53、.入侵监测系统的概念可以发现异于正常行为的操作不需求人工干涉即可不延续运转对网络入侵行为进展实时报警和自动呼应不需求占用大量的系统资源能方便地进展晋级入侵监测系统应有的功能.入侵监测的主要技术主要技术签名分析法Signature Analysis统计分析法Statistics Analysis数据完好性分析法Data Integration Analysis.入侵监测系统的主要类型运用软件入侵监测系统Application Intrusion Detection主机入侵监测系统Host Intrusion Detection网络入侵监测系统Network Intrusion Detection

54、集成入侵监测系统Integrated Intrusion DetectionIDS的主要类型.含入侵监测系统的网络体系构造含IDS的网络体系构造InternetIDS 1IDS 2IDS 3IDS 4子网 A子网 B交换机带主机IDS感应器的效力器效力器.入侵监测系统的优点和缺乏能完善现有的安防体系；能协助用户更好地掌握系统情况；能追踪攻击线路，以便抓住攻击者。入侵监测系统的优点 入侵监测系统可以加强网络的平安性，它.入侵监测系统的优点和缺乏传统的入侵监测系统不能在没有用户参与的情况下对攻击行为展开调查。传统的入侵监测系统不能在没有用户参与的情况下阻止攻击行为的发生。不能抑制网络协议方面的缺陷

55、不能抑制设计原理方面的缺陷。呼应不够及时，签名数据库难以及时更新。入侵监测系统的缺乏 入侵监测系统不是万能的，也存在许多缺乏：.入侵监测系统的开展能对入侵做出自动的反映；不再完全依赖于签名数据库，易于管理；追求的目的是在攻击对系统呵斥真正的危害之前将它们化解掉；随时都可以对攻击展开的跟踪调查；极大的改善了IDS系统的易用性，减轻了主机安防在系统管理方面的压力。抗入侵技术入侵监测的开展方向 入侵监测系统的开展方向是抗入侵技术Intrusion Resistant。该技术能在系统遇到攻击时设法把它化解掉，让网络和系统还能正常运转。抗入侵技术具有如下优势：.入侵监测产品常见的入侵监测产品Cisco

56、System: NetRangerNetwork Associate: Cyber CopInternet Security System: Real SecureIntrusion Detection: Kane Security MonitorAxent Technologies: OmniGuard/Intruder Alert中科网威：天眼启明星辰：SkyBell天阗.VPN网关VPN的根本概念VPN的功能VPN的分类及用途VPN常用协议基于IPSec协议的VPN体系构造本节将分以下几部分引见VPN网关：.VPN的根本概念 虚拟公用网VPNVirtual Private Network

57、技术是指在公共网络中建立公用网络，数据经过平安的“加密管道在公共网络中传播。InternetVPN通道隧道交换机挪动用户VPN的根本概念.VPN必需具备如下功能： VPN的功能保证数据的真实性，通讯主机必需是经过授权的，要有抵抗地址冒认IP Spoofing的才干。 保证数据的完好性，接纳到的数据必需与发送时的一致，要有抵抗不法分子纂改数据的才干。 保证通道的性，提供强有力的加密手段，必需使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能，提供密钥中心管理效力器，必需具备防止数据重演Replay的功能，保证通道不能被重演。 提供平安防护措施和访问控制，要有抵抗黑客经过VPN通道攻击企业网

58、络的才干，并且可以对VPN通道进展访问控制Access Control. 内 部 网VPN用VPN衔接公司总部和其分支机构. 远程访问VPN用VPN衔接公司总部和远程用户. 外 联 网VPN用VPN衔接公司和其业务同伴.VPN的分类及用途子公司LAN协作同伴LAN远程用户Internet.InternetVPN效力器VPN效力器路由器路由器加密信道加密认证VPN总部LAN子公司LAN一个平安的VPN效力，应该为子公司的不同用户指定不同的访问权限。VPN的分类及用途内部网VPN .InternetVPN效力器加密信道总部LANVPN的功能：1、访问控制管理。2、用户身份认证。3、数据加密。4、智

59、能监视和审计记录。5、密钥和数字签名管理。PC机挪动用户公共效力器VPN的分类及用途远程访问VPN .InternetVPN效力器VPN效力器加密信道加密认证VPN公司内联网协作公司内联网1、VPN效力应有详细的访问控制。2、与防火墙/协议兼容。FTP效力器VPN的分类及用途外联网VPN .VPN常用协议OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCK V5网络层数据链路层物理层包过滤IPSecPPTP/L2TP VPN常用的协议有SOCK v5、IPSec、PPTP以及L2TP等。这些协议对应的OSI层次构造如下：VPN常用协议 .不平安网网关或主机网关或主机

60、IP数据包传输层数据运用程序IP数据包传输层数据运用程序SA加密算法加密密钥认证算法认证密钥SA加密算法加密密钥认证算法认证密钥平安联络基于IPSec协议的VPN体系构造.VPN产品.防病毒产品企业防病毒战略建立多层次病毒防护体系防病毒产品的选择原那么防病毒厂商及主要产品本节将分以下几部分引见防病毒产品相关内容：.企业防病毒战略多层次病毒防护体系企业防病毒战略的制定 企业应建立多层次的、立体的病毒防护体系，并应配备完善的管理系统来设置和维护病毒防护战略，从而到达防备各种病毒危害的目的。在企业每台台式机上安装客户端防病毒软件在效力器上安装基于效力器的防病毒软件在网关上安装基于Internet网关