计算机网络与通信8课件

Chapter8SafetyTechnologyofNetwork

该章主要介绍网络安全技术。包括网络安全基本内容、网络的安全威胁、网络攻击和防御方法、常用的加密技术、防火墙技术、网络欺骗技术。目的是希望同学能够了解网络安全的基本知识，掌握网络维护的基本内容和方法。重点难点：网络安全涉及的内容；网络安全的威胁；网络攻击的常用方法；网络防御的方法；常用的加密技术；常用的防火墙技术；常用的网络欺骗技术。8.1ViewofNetworksafety

8.1.1关于网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。网络安全从本质上来讲就是网络上的信息安全。8.1.2网络安全涉及的内容1．运行系统安全2．信息系统的安全3．信息传播的安全

4．信息内容的安全8.1.3信息系统对安全的基本需求1．保密性

2．完整性

3．可用性4．可控性

5．可核查性8.1.4网络的安全威胁

见下图8.2NetworkAttackingMethods

8.2.1密码破解密码是对抗攻击的第一道防线。破解密码的方法:第一种方法是猜测法。另一种方法是设法偷走密码文件，然后通过密码破解工具来破解这些加密的密码。

8.2.2网络监听网络监听工具原本是提供给管理员的一类管理工具，使用这种工具可以监视网络的状态、数据流动情况以及网络上传输的信息。网络攻击者用这种方法能够很容易地获取想要的密码和其它信息。8.2.3拒绝服务攻击

拒绝服务是指网络攻击者采用具有破坏性的方法阻塞目标网络的资源，从而使系统没有剩余的资源给其他用户使用，导致目标机性能降低或失去服务，甚至使网络暂时或永久性瘫痪。

1．SYNFlood攻击

2．电子邮件炸弹

3．分布式拒绝服务攻击8.2.4程序攻击

程序攻击指利用危险程序对系统进行攻击，从而达到控制或破坏系统的目的。危险程序主要包括病毒、特洛伊木马、后门等。

1．病毒2．特洛伊木马：BackOrifice，YAI，Netspy，NetBus，冰河等

3．后门：后门是指攻击者为了不引起管理员的注意发展起来的能躲过日志，使自己重返被攻击系统的技术。8.3DefenseMethodsofNetwork8.3.1加密技术加密措施是保护信息的最后防线，被公认为是保护信息传输惟一实用的方法。对信息进行加密保护是在密钥的控制下，通过密码算法将敏感的机密明文数据变换成不可懂的密文数据，称加密(Encryption)。

1．信息加密方式

信息加密分为信息的传输加密和信息的存储加密两种方式。（1）信息的传输加密

信息的传输加密是面向线路的加密措施，有链路加密、节点加密和端－端加密三种。（2）信息的存储加密

信息的存储加密是面向存储介质的技术，有数据库加密和文件加密。

2．信息加密技术

（1）对称密钥加密机制——私有密钥

DES加密过程动画演示

基本过程：用56位密钥对64位的数据块进行16轮加密，每轮产生一个48位的“每轮”密钥值，并参与下一轮的加密过程。特点：简单，但用户必须也只能让接收人知道自己使用的密钥，双方必须共同保守密钥，任何一方失误均会导致密钥的泄露。（2）非对称密钥加密机制——公开/私有密钥非对称密钥加密机制使用相互关联的一对密钥。一个是公开密钥，任何人都可知道；一个是私有密钥，发送方用公开密钥加密数据后发送，接收方用私有密钥进行解密。反之依然。

典型的算法是RSA公钥体制。8.3.3防火墙技术所谓防火墙（Firewall）是一个或一组系统，用在两个或多个网络间提供加强访问控制。一般分为两类：一类是基于包过滤型（Packet-Filter）的，另一类是基于代理服务型（Proxy-Service）的。

1．包过滤防火墙

（1）包过滤防火墙的基本原理包过滤防火墙动画演示（2）包过滤器的检查规则

•

包过滤规则必须存储在包过滤设备端口上

•

当包到达端口的时候，包报头被进行语法分析。大多数包过滤器只检查IP，TCP或UDP报头中的字段

•

包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤规则存储的顺序相同

•

如果一条规则阻止包传输或接收，则此包便不被允许

•

如果一条规则允许包传输或接收，该包可以被继续处理

•

如果一个包不被满足任何一条规则，该包被阻塞（3）包过滤器检查的内容

包过滤器检查的一般是下列几项：

•

IP源地址。

•

IP目标地址。

•

协议的类型（TCP包、UDP包、ICMP包）。

•

TCP或UDP的源端口。

•

TCP或UDP的目标端口。

•

ICMP消息类型。

•

TCP报头中的ACK位。

2．代理服务防火墙

代理服务防火墙使用了与包过滤器不同的方法。代理服务器使用一个客户程序与特定的中间节点（防火墙）连接，然后中间节点与期望的服务器进行实际连接。与包过滤器所不同的是，内部与外部网络之间不存在直接连接。因此，即使防火墙发生了问题，外部网络也无法获得与被保护的网络的连接。双宿主主机防火墙、被屏蔽主机、堡垒主机、被屏蔽子网等均属于代理型防火墙。（1）双宿主主机型防火墙

双宿主主机型防火墙由具有两个网络接口的双宿主主机构成。每一个接口都连接在物理和逻辑上分离的不同的网段，代理服务器软件在双宿主主机上运行。这种防火墙的结构如图所示。（2）被屏蔽主机型防火墙

被屏蔽主机型防火墙由一台仅与内部网络相连的主机和一台单独的过滤路由器构成。其中与内部网络相连的主机用于提供安全控制功能，通常称其为堡垒主机。而过滤路由器负责将所有到达路由器的数据包都发送到被屏蔽主机。被屏蔽主机型防火墙结构演示习题

1网络安全的含义是什么？

2