培训课件网络工程师-第章网络安全技术

第10章网络安全技术

本章要点：10.1基本概念10.2数据备份10.3加密技术10.4防火墙10.5防病毒10.6入侵检测10.1.1信息安全威胁30310.1.2网络攻击30410.1.3网络安全的基本要素30410.1.4计算机系统安全等级30510.1.5安全模型30510.1基本概念

1．窃听 信息在传输过程中被直接或是间接地窃听网络上的特定数据包，通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点，其数据并没有丢失。

2．截获

信息在传输过程中被非法截获，并且目的结点并没有收到该信息，即信息在中途丢失了。

10.1.1信息安全威胁 3．伪造 没有任何信息从源信息结点发出，但攻击者伪造出信息并冒充源信息结点发出信息，目的结点将收到这个伪造信息。 4．篡改 信息在传输过程中被截获，攻击者修改其截获的特定数据包，从而破坏了数据的数据的完整性，然后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来，数据似乎是完整没有丢失的，但其实已经被恶意篡改过。

图10-1信息安全威胁10.1.2网络攻击 1．服务攻击 服务攻击即指对网络中的某些服务器进行攻击，使其“拒绝服务”而造成网络无法正常工作。

2．非服务攻击 利用协议或操作系统实现协议时的漏洞来达到攻击的目的，它不针对于某具体的应用服务，因此非服务攻击是一种更有效的攻击手段。

10.1.3网络安全的基本要素（1）机密性（2）完整性（3）可用性（4）可鉴别性（5）不可抵赖性10.1.4计算机系统安全等级1．D类 D类的安全级别最低，保护措施最少且没有安全功能。2．C类 C类是自定义保护级，该级的安全特点是系统的对象可自主定义访问权限。C类分为两个级别：C1级与C2级。（1）C1级 C1级是自主安全保护级，它能够实现用户与数据的分离。数据的保护是以用户组为单位的，并实现对数据进行自主存取控实现制。（2）C2级

C2级是受控访问级，该级可以通过登录规程、审计安全性相关事件来隔离资源。3．B类 B类是强制式安全保护类，它的特点在于由系统强制实现安全保护，因此用户不能分配权限，只能通过管理员对用户进行权限的分配。（1）B1级 B1级是标记安全保护级。该级对系统数据进行标记，并对标记的主客体实行强制存取控制。（2）B2级B2级是结构化安全保护级。该级建立形式化的安全策略模型，同时对系统内的所有主体和客体，都实现强制访问和自主访问控制。（3）B3级 B3级是安全级，它能够实现访问监控器的要求，访问监控器是指监控器的主体和客体之间授权访问关系的部件。该级还支持安全管理员职能、扩充审计机制、当发生与安全相关的事件时将发出信号、同时可以提供系统恢复过程。4．A类 A类是可验证的保护级。它只有一个等级即A1级。A1级的功能与B3几乎是相同的，但是A1级的特点在于它的系统拥有正式的分析和数学方法，它可以完全证明一个系统的安全策略和安全规格的完整性与一致性。同时，A1级还规定了将完全计算机系统运送到现场安装所遵守的程序。10.1.4网络安安全模模型1．基本本模型型在网络络信息息传输输中，，为了了保证证信息息传输输的安安全性性，一一般需需要一一个值值得信信任的的第三三方，，负责责向源源结点点和目目的结结点进进行秘秘密信信息分分发，，同时时在双双方发发生争争执时时，也也要起起到仲仲裁的的作用用。在在基本本的安安全模模型中中，通通信的的双方方在进进行信信息传传输前前，先先建立立起一一条逻逻辑通通道，，并提提供安安全的的机制制和服服务，，来实实现在在开放放网络络环境境中信信息的的安全全传输输。（1）从源结点发发出的信息，，使用如信息息加密等加密密技术对其进进行安全的转转，从而实现现该信息的保保密性，同时时也可以在该该信息中附加加一些特征的的信息，作为为源结点的身身份验证。（2）源结点与目目的结点应该该共享如加密密密钥这样的的保密信息，，这些信息除除了发送双方方和可信任的的第三方以外外，对其他用用户都是保密密的。图10-2网络安全基本本模型2．P2DR模型（1）安全策略（（Policy）安全策略是模模型中的防护护、检测和响响应等部分实实施的依据，，一个安全策策略体系的建建立包括策略略的制定、评评估与执行。。（2）防护（Protection）防护技术包括括：防火墙、、操作系统身身份认证、数数据加密、访访问控制、授授权、虚拟专专用网技术和和数据备份等等，它对系统统可能出现的的安全问题采采取预防措施施。（3）检测（Detection）检测功能使用用漏洞评估、、入侵检测等等系统检测技技术，当攻击击者穿透防护护系统时，发发挥功用。（4）响应（Response）响应包括紧急急响应和恢复复处理，而恢恢复又包括系系统恢复和信信息恢复，响响应系统在检检测出入侵时时，开始事件件处理的工作作。图10-3P2DR模型10.2数据备份10.2.1数据备份模型型10.2.2冷备份与热备备分10.2.3数据备分的设设备10.2.4数据备分的策策略10.2.1数据备备份模型1．物理备份物理备份是将将磁盘块的数数据从拷贝到到备份介质上上的备份过程程，它忽略了了文件和结构构，它也被称称为“基于块块的备份”和和“基于设备备的备份”。。2．逻辑备份逻辑备份顺序序地读取每个个文件的物理理块，并连续续地将文件写写在备份介质质上，实现每每个文件的恢恢复，因此，，逻辑备份也也被称为“基基于文件的备备份”。10.2.2冷备份与热备备分1．冷备份冷备份是指““不在线”的的备份，当进进行冷备份操操作时，将不不允许来自用用户与应用对对数据的更新新。2．热备份热备份是指““在线”的备备份，即下载载备份的数据据还在整个计计算机系统和和网络中，只只不过传到令令一个非工作作的分区或是是另一个非实实时处理的业业务系统中存存放。10.2.3数据据备备分分的的设设备备1．磁磁盘盘阵阵列列2．磁磁带带机机3．磁磁带带库库4．光光盘盘塔塔5．光光盘盘库库6．光光盘盘镜镜像像服服务务器器10.2.4数据据备备份份的的策策略略1．完完全全备备份份完全全备备份份即即是是将将用用户户指指定定的的数数据据甚甚至至是是整整个个系系统统的的数数据据进进行行完完全全的的备备份份。。2．增增量量备备份份增量量备备份份是是针针对对完完全全备备份份，，在在进进行行增增量量备备份份，，只只有有那那些些在在上上次次完完全全或或者者增增量量备备份份后后被被修修改改了了的的文文件件才才会会被被备备份份。。3．差异备备份差异备份份是将最最近一次次完全备备份后产产生的所所有数据据更新进进行备份份。差异异备份将将完全恢恢复时所所涉及到到的备份份文件数数量限制制为2

个。。表10-1三种备份份策略的的比较空间使用备份速度恢复速度完全备份最多最慢最快增量备份最少最快最慢差异备份少于完全备份快于完全备份快于增量备份10.3加密技术术10.3.1加密与解解密10.3.2对称密钥钥技术10.3.3非对称密密钥技术术10.3.1加加密密与解密密1．基本流流程A发送消息息“Passwordiswelcome”这样的报报文给B，但不希希望有第第三个人人知道这这个报文文的内容容，因此此他使用用一定的的加密算算法，将将该报文文转换为为别人无无法识别别的密文文，这个个密文即即使在传传输的过过程中被被截获，，一般人人也无法法解密。。当B收到该密密文后，，使用共共同协商商的解密密算法与与密钥，，则将该该密文转转化为原原来的报报文内容容。图10-4加密与与解密密的流流程密钥位数尝试个数密钥位数尝试个数401125612864表10-2密钥位位数与与尝试试密钥钥的个个数2．密钥钥加密与解密密的操作过过程都是在在一组密钥钥的控下进进行的，这这个密钥可可以作为加加密算法中中可变参数数，它的改改变可以改改变明文与与密文之间间的数学函函数关系。。10.3.2对称密钥技技术1．工作原理理对称密钥技技术即是指指加密技术术的加密密密钥与解密密密钥是相相同的，或或者是有些些不同，但但同其中一一个可以很很容易地推推导出另一一个。图10-5对称密钥技技术2．常用对称称密钥技术术常用的对称称密钥算法法有DES算法与IDES算法。（1）DES算法DES算法是一种种迭代的分分组密码，，它的输入入与输出都都是64，包括一个56位的密钥和附附加的8位奇偶校验位位。（2）IDEA算法IDEA算法的明文与与密文都是64位的，密钥的的长度为128位，它是比DEA算法更有效的的算法。10.3.3非对称密钥技技术1．工作原理不可能从任何何一个密钥推推导出另一个个密钥。同时时加密密钥为为公钥是可以以公开的，而而解密密钥为为私钥是保密密的。在此，，非对称密钥钥技术也被称称为公钥加密密加技术。图10-6非对称密钥技技术2．常用非对称称密钥技术常用的非对称称密钥算法包包括RSA算法、DSA算法、PKCS算法与PGP算法。其中最最常见的技术术即为RSA算法，它的理理论基础是数数论中大素数数分解，它的的保密性随着着密钥的长度度的增加而增增强。但是，，现在使用这这种算法来加加密大量的数数据，其实现现的速度太慢慢了，因此该该算法现在广广泛应用于密密钥的分发。。10.4防火墙10.4.1防火墙的基本本概念10.4.2防火墙的基本本类型10.4.3防火墙的结构构10.4.4防火墙的安装装与配置10.4.1防火墙墙的基本概念念（1）所有的从外外部到内部的的通信都必须须经过它。（2）只有有内部部访问策略授授权的通信才才能被允许通通过。（3）系统本身具具有很强的高高可靠性。图10-7防火墙的安装装位置10.4.2防火墙的基本本类型1．包过滤路由由器图10-8包过滤路由器器的工作原理理2．应用网关图10-9应用网关的工工作原理3．应用代理图10-10应用代理的工工作原理4．状态检测状态检测能通通过状态检测测技术，动态态地维护各个个连接的协议议状态。10.4.3防火墙的结构构1．包过滤型结结构包过滤型结构构是通过专用用的包过滤路路由器或是安安装了包过滤滤功能的普通通路器来实现现的。包过滤滤型结构对进进出内部网络络的所有信息息进行分析，，按照一定的的安全策略对对这些信息进进行分析与限限制。2．双宿网关结结构连接接了了两两个个网网络络的的多多宿宿主主机机称称为为双双宿宿主主机机。。多多宿宿主主机机是是具具有有多多个个网网络络接接口口卡卡的的主主机机，，每每个个接接口口都都可可以以和和一一个个网网络络连连接接，，因因为为它它能能在在不不同同的的网网络络之之间间进进行行数数据据交交换换换换，，因因此此也也称称为为网网关关。。双双宿宿网网关关结结构构即即是是一一台台装装有有两两块块网网卡卡的的主主机机作作为为防防火火墙墙，，将将外外部部网网络络与与同同部部网网络络实实现现物物理理上上的的隔隔开开。。图10-11双宿宿网网关关结结构构3．屏屏蔽蔽主主机机结结构构屏蔽蔽主主机机结结构构将将所所有有的的外外部部主主机机强强制制与与一一个个堡堡垒垒主主机机相相连连，，从从而而不不允允许许它它们们直直接接与与内内部部网网络络的的主主机机相相连连，，因因此此屏屏撇撇主主机机结结构构是是由由包包过过滤滤路路由由器器和和堡堡垒垒主主机机组组成成的的。。4．屏蔽子网结结构屏蔽子网结构构使用了两个个屏蔽路由器器和两个堡垒垒主机。在该该系统中，从从外部包过滤滤由器开始的的部分是由网网络系统所属属的单位组建建的，属于内内部网络，也也称为“DMZ网络”。外部部包过滤路由由器与外部堡堡垒主机构成成了防火墙的的过滤子网；；内部包过滤滤路由器和内内部堡垒主机机则用于对内内部网络进行行进一步的保保护。图10-12包过滤路由器器的数据包转转发过程图10-13屏蔽子网结构构示意图10.4.4防火墙的安装装与配置1．防火墙的网网络接口（1）内网内网一般包括括企业的内部部网络或是内内部网络的一一部分。（2）外网外网指的是非非企业内部的的网络或是Internet，内网与外网网之间进行通通信，要通过过防火墙来实实现访问限制制。（3）DMZ（非军事化区区）DMZ是一个隔离的的网络，可以以在这个网络络中放置Web服务器或是E-mail服务器等，外外网的用户可可以访问DMZ。2．防火墙的安安装与初始配配置给防火墙加电电令它启动。。将防火墙的Console口连接到计算算机的串口上上，并通过Windows操作系统的超超级终端，进进入防火墙的的特权模式。。配置Ethernet的参数。配置内外网卡卡的IP地址、指定外外部地址范围围和要进行转转换的内部地地址。设置指向内网网与外肉的缺缺省路由。配置静态IP地址映射。设置需要控制制的地址、所所作用的端口口和连接协议议等控制选项项并设置允许许telnet远程登录防火火墙的IP地址。保存配置。3．防火墙的访访问模式（1）非特权模式式（2）特权模式（3）配置模式（4）监视模式10.5防病毒10.5.1计算机病毒10.5.2网络病毒10.5.3网络版防病毒毒系统10.5.1计算机机病毒1．计算机病毒毒的概念计算机病毒是是指计算机程程序中的一段段可执行程序序代理，它可可以破坏计算算机的功能甚甚至破坏数据据从而影响计计算机的能力力。计算机病病毒通过对其其他程序的修修改，可以感感染这些程序序，使其成为为病毒程序的的复制，使之之很快蔓延开开来，很难根根除。2．计算机病毒毒的特征（1）非授权可可执行性（2）隐蔽性（3）传染性（4）潜伏性（5）破坏性（6）可触发性性3．计算机病病毒分类（1）按破坏性性分类（2）按传染方方式分类（3）按连接方方式分类10.5.2网络病毒1．网络病毒毒的特征（1）传播方式式多样，传传播速度快快。（2）影响面广广（3）破坏性强强（4）难以控制制（5）病毒变种种多样（6）病毒智能能化、隐蔽蔽化（7）出现混合合病毒2．蠕虫与木木马（1）蠕虫蠕虫是一种种通过网络络传播的恶恶性病毒，，它具有病病毒的一些些共性，如如传播性、、隐蔽性、、破坏性等等等。与普普通病毒相相比，而蠕蠕虫不使用用驻留文件件即可在系系统之间进进行自我复复制，它的的传染目标标是互联网网内的所有有计算机。。（2）木马“木马”程程序是目前前比较流行行的病毒文文件，但是是它不会自自我繁殖，，也并不““刻意”地地去感染其其他文件，，它通过将将自身伪装装吸引用户户下载执行行，向施种种木马者提提供打开被被种者电脑脑的门户，，使施种者者可以任意意毁坏、窃窃取被种者者的文件，，甚至远程程操控被种种者的电脑脑。10.5.3网络版防病病毒系统1．系统中心心系统中心实实时记录计计算机的病病毒监控、、检测和清清除的信息息，实现对对整个防护护系统的自自动控制。。2．服务器端端服务器端为为网络服务务器操作系系统应用而而设计。3．客户端客户端对当当前工作站站上病毒监监控、检测测和清除，，并在需要要时向系统统中心发送送病毒监测测报告。4．管理控制制台管理控制台台是为了网网络管理员员的应用而而设计的，，通过它可可以集中管管理网络上上所有已安安装的防病病毒系统防防护软件的的计算机。。10.6入侵检测10.6.1入侵检测技技术的基本本概念10.6.2入侵检测系系统10.6.3入侵防护系系统10.6.1入入侵检测技技术的基本本概念1．入侵检测测技术入侵检测技技术即是对对入侵行为为进行检测测的技术。。2．入侵检测测技术的分分类入侵检测技技术分为异异常检测和和误用检测测两种。10.6.2入入侵检测系系统1．入侵检测测系统的功功能（1）监控和分分析系统、、用户的行行为。（2）评估系统统文件与数数据文件的的完整性。。（3）检检查查系系统统漏漏洞洞。。（4）对对系系统统的的异异常常行行为为进进行行分分析析和和识识别别，，及及时时向向网网络络管管理理人人员员报报警警。。（5）跟跟踪踪管管理理操操作作系系统统，，识识别别无无授授仅仅用用户户活活动动。。2．