计算机网络技术第9章

计算机网络技术第9章

以前，我总控制不住自己的嘴巴，一直吃零食，就因为这样，中药也跟我形影不离了。只要一有零食，我就会一把夺过在沙发上津津有味地吃起来。可过几天，我就会咳嗽起来。就连在幼儿园里，妈妈也不忘送中药过来，这也不是一次两次的事儿了。我恨透了中药，只要它在，我碰一下零食都不行。我讨厌喝中药。虽然妈妈说这是最后一碗作文，但最后一次也还是得去面对。我很不情愿地跟妈妈来到桌前，噘着嘴巴，生气地盯着眼前的中药，一脸的不服从。妈妈又开始催我喝药了，而我心想：都是最后一次了，还不如痛痛快快地干了。我把碗端起来喝得一干二净，心里默默地说：再见了，中药！但愿这是我最后一次喝中药了，我以后一定要管住我这张贪吃的嘴巴，彻底地跟中药说再见！计算机网络技术第9章计算机网络技术第9章以前，我总控制不住自己的嘴巴，一直吃零食，就因为这样，中药也跟我形影不离了。只要一有零食，我就会一把夺过在沙发上津津有味地吃起来。可过几天，我就会咳嗽起来。就连在幼儿园里，妈妈也不忘送中药过来，这也不是一次两次的事儿了。我恨透了中药，只要它在，我碰一下零食都不行。我讨厌喝中药。虽然妈妈说这是最后一碗作文，但最后一次也还是得去面对。我很不情愿地跟妈妈来到桌前，噘着嘴巴，生气地盯着眼前的中药，一脸的不服从。妈妈又开始催我喝药了，而我心想：都是最后一次了，还不如痛痛快快地干了。我把碗端起来喝得一干二净，心里默默地说：再见了，中药！但愿这是我最后一次喝中药了，我以后一定要管住我这张贪吃的嘴巴，彻底地跟中药说再见！主要内容9.1网络安全概述9.2密码学9.3防火墙技术9.4计算机病毒与木马防治计算机网络技术第9章全文共44页，当前为第1页。主要内容9.1网络安全概述9.2密码学9.3防火墙技术9.4计算机病毒与木马防治计算机网络技术第9章全文共44页，当前为第2页。9.1网络安全概述9.1.1计算机网络面临的安全威胁9.1.2网络安全服务9.1.3网络安全机制9.1.4网络安全标准计算机网络技术第9章全文共44页，当前为第3页。9.1.1计算机网络面临的安全威胁(1)伪装(2)非法连接(3)非授权访问(4)拒绝服务(5)抵赖(6)信息泄露(7)通信量分析(8)无效的信息流(9)篡改或破坏数据(10)推断或演绎信息(11)非法篡改程序计算机网络技术第9章全文共44页，当前为第4页。9.1.2网络安全服务ISO描述了在OSI参考模型下进行安全通信所必须提供的5种安全服务鉴别服务访问控制服务数据保密服务数据完整性服务防抵赖服务-数字签名计算机网络技术第9章全文共44页，当前为第5页。9.1.3网络安全机制加密机制数字签名机制访问控制机制数据完整性机制认证（鉴别）机制通信业务填充机制路由选择控制机制公证机制计算机网络技术第9章全文共44页，当前为第6页。计算机网络技术第9章全文共44页，当前为第7页。计算机网络技术第9章全文共44页，当前为第8页。计算机网络技术第9章全文共44页，当前为第9页。9.2.1密码技术概述密码学（Cryptography）一词来源于希腊语中的短语“secretwriting(秘密的书写)”。古希腊人使用一根叫做scytale的棍子来加密。送信人先在棍子上呈螺旋式绕一张纸条，然后把信息竖写在纸条上，收信人如果不知道棍子的直径，就不能正确地恢复信息。密码学包括密码编码学与密码分析学。人们利用加密算法和密钥来对信息编码进行隐藏，而密码分析学则试图破解算法和密钥。计算机网络技术第9章全文共44页，当前为第10页。9.2.2对称密码对称加密的基本概念典型的对称加密算法计算机网络技术第9章全文共44页，当前为第11页。对称加密的基本概念对称加密技术对信息的加密与解密都使用相同的密钥，因此又被称为密钥密码技术。由于在对称加密体系中加密方和解密方使用相同的密钥，系统的保密性主要取决于密钥的安全性。计算机网络技术第9章全文共44页，当前为第12页。典型的对称加密算法数据加密标准（DataEncryptionStandard，DES）是典型的对称加密算法，它是由IBM公司提出，于1977年被美国政府采用。DES是一种对二元数据进行加密的算法。明文按64位数据块的单位被加密，生成64位密文。DES算法带一个56位密钥作为参数。DES的整个体制是公开的，系统的安全性完全依赖于密钥的保密。已经有一些比DES算法更安全的对称加密算法，如IDEA算法、RC2算法、RC4算法与Skipjack算法等。计算机网络技术第9章全文共44页，当前为第13页。DES算法的执行过程计算机网络技术第9章全文共44页，当前为第14页。9.2.3非对称密码非对称加密的基本概念非对称加密的标准计算机网络技术第9章全文共44页，当前为第15页。非对称加密的基本概念非对称加密技术对信息的加密与解密采用不同的密钥，用来加密的密钥是可以公开的，用来解密的私钥是需要保密的，因此又被称为公钥加密（PublicKeyEncryption）技术。非对称加密的产生主要因为两个方面的原因，一是由于对称密码的密钥分配问题，另一个是对数字签名的需求。非对称加密技术与对称加密技术相比，其优势在于不需要共享通用的密钥，用于解密的密钥不需要发往任何地方，公钥在传递和发布过程中即使被截获，由于没有与公钥相匹配的私钥，截获的公钥对入侵者也就没有太大意义。公钥加密技术的主要缺点是加密算法复杂，加密与解密的速度比较慢。计算机网络技术第9章全文共44页，当前为第16页。非对称加密的标准目前，主要的公钥算法包括RSA算法、DSA算法、PKCS算法与PGP算法等。

1978年由Rivest、Shamir和Adleman提出RSA体制被认为是目前为止理论最为成熟的一种公钥密码体制，多用在数字签名、密钥管理和认证等方面。1985年，ElGamal构造一种基于离散对数的公钥密码体制，这就是ElGamal公钥体制。许多商业产品采用的公钥加密算法还有Diffie-Hellman密钥交换、数据签名标准DSS、椭圆曲线密码等。计算机网络技术第9章全文共44页，当前为第17页。9.2.4数字签名技术数字签名技术的基本概念数字签名的工作原理数字签名的具体工作过程计算机网络技术第9章全文共44页，当前为第18页。数字签名技术的基本概念数字签名是在网络环境中模拟日常生活中的亲笔签名以保证文件或资料真实性的一种方法。数字签名将信息发送人的身份与信息传送结合起来，可以保证信息在传输过程中的完整性，并提供信息发送者的身份验证，以防止信息发送者抵赖行为的发生。利用非对称加密算法（例如RSA算法）进行数字签名是最常用的方法。数字签名需要实现以下3项功能。(1)接收方可以核对发送方对报文的签名，以确定对方的身份。(2)接收方在发送报文之后无法对发送的报文及签名抵赖。(3)接收方无法伪造发送方的签名。计算机网络技术第9章全文共44页，当前为第19页。数字签名的工作原理数字签名使用两对公开密钥的加密/解密的密钥计算机网络技术第9章全文共44页，当前为第20页。数字签名的具体工作过程(1)发送方使用单向散列函数对要发送的信息进行运算，生成信息摘要。(2)发送方使用自己的私钥，利用非对称加密算法，对生成的信息摘要进行数字签名。(3)发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收方。(4)接收方使用与发送方相同的单向散列函数，对接收到的信息进行运算，重新生成信息摘要。(5)接收方使用发送方的公钥对接收的信息摘要进行解密。(6)将解密的信息摘要与重新生成的信息摘要进行比较，以判断信息在发送过程中是否被篡改过计算机网络技术第9章全文共44页，当前为第21页。9.3防火墙技术9.3.1防火墙的概念9.3.2实现防火墙的技术9.3.3防火墙的体系结构计算机网络技术第9章全文共44页，当前为第22页。9.3.1防火墙的概念防火墙是在网络之间执行控制策略的系统，它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部网络受到外部非法用户的攻击。防火墙的位置在内部网络和外部网络之间。计算机网络技术第9章全文共44页，当前为第23页。9.3.1防火墙的概念（续）防火墙的主要功能(1)检查所有从外部网络进入内部网络的数据包。(2)检查所有从内部网络流出到外部网络的数据包。(3)执行安全策略，限制所有不符合安全策略要求的数据包通过。(4)具有防攻击能力，保证自身的安全性。防火墙只是一种整体安全防范策略的一部分。防火墙不能防范不经由防火墙的攻击。防火墙不能防止感染了病毒的软件或文件的传输防火墙不能防止数据驱动式攻击。计算机网络技术第9章全文共44页，当前为第24页。9.3.2实现防火墙的技术实现防火墙的技术大体上分为两类：一类作用于网络层之上，保护整个网络不受非法用户的侵入，这类防火墙可以通过包过滤技术实现；另一类作用于应用层之上，控制对应用层的访问。包过滤技术应用层网关计算机网络技术第9章全文共44页，当前为第25页。包过滤技术包过滤技术是基于路由器技术的普通的路由器只对分组的网络层包头进行处理，而包过滤路由器通过系统内部设置的包过滤规则（即访问控制表），检查TCP报头的端口号字节。计算机网络技术第9章全文共44页，当前为第26页。包过滤规则举例包过滤规则一般是基于部分或全部报头的内容。计算机网络技术第9章全文共44页，当前为第27页。包过滤的流程图包过滤路由器会对所有收到的分组按照每一条规则加以判断凡是符合包转发规则的被转发不符合包转发规则的包被丢弃。计算机网络技术第9章全文共44页，当前为第28页。应用层网关作用于应用层的防火墙技术称为应用层网关，应用层网关控制对应用层的访问。应用层网关通过应用程序访问控制允许或禁止对某些程序的访问。计算机网络技术第9章全文共44页，当前为第29页。9.3.3防火墙的体系结构在防火墙与网络的配置上，有以下3种典型结构：双宿/多宿主机模式屏蔽主机模式屏蔽子网模式堡垒主机是一种配置了较为全面的安全防范措施的网络上的计算机，从网络安全上来看，堡垒主机是防火墙管理员认为最强壮的系统。通常情况下，堡垒主机可作为应用层网关的平台。计算机网络技术第9章全文共44页，当前为第30页。双宿/多宿主机防火墙又称为双宿/多宿网关防火墙它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有两块或多网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连这种防火墙的特点是主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理服务来实现。计算机网络技术第9章全文共44页，当前为第31页。屏蔽主机模式由包过滤路由器和堡垒主机组成堡垒主机安装在内部网络上，通常在路由器上设置过滤规则，并使这个堡垒主机成为外部网络唯一可以直接到达的主机，这保证了内部网络不被未经授权的外部用户攻击。计算机网络技术第9章全文共44页，当前为第32页。屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机在内外网络之间建立了一个被隔离的子网，定义为“非军事区”网络。将堡垒主机、WWW服务器、E-mail服务器等公用的服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。计算机网络技术第9章全文共44页，当前为第33页。9.4计算机病毒与木马防治9.4.1计算机病毒9.4.2特洛伊木马计算机网络技术第9章全文共44页，当前为第34页。9.4.1计算机病毒编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且自我复制的一组计算机指令或者程序代码计算机病毒的特点计算机病毒的分类计算机病毒的预防计算机病毒的清除计算机网络技术第9章全文共44页，当前为第35页。计算机病毒的特点传染性破坏性隐蔽性潜伏性计算机网络技术第9章全文共44页，当前为第36页。计算机病毒的分类引导型病毒文件型病毒网络病毒计算机网络技术第9章全文共44页，当前为第37页。计算机病毒的预防管理上的预防管理人员充分认识计算机病毒对计算机的危害性，制定完善的使用计算机的管理制度。用技术手段预防这是指采用一定的技术措施预防计算机病毒，如使用查杀毒软件、防火墙软件，一旦发现病毒及时向用户发出警报等。计算机网络技术第9章全文共44页，当前为第38页。计算机病毒的清除最佳的解决办法就是用杀毒软件对计算机进行一次全面地清查。目前我国病毒的清查技术已经成熟，已出现一些世界领先水平的杀毒软件，如瑞星杀毒软件、KV3000、KILL2000、金山毒霸等。计算