计算机网络基础-课件第9章-计算机网络安全与管理

第9章计算机网络

安全与管理本章学习目标：

理解网络安全的相关概念 掌握加密技术的基本原理 了解防火墙的功能和分类 掌握防火墙的工作原理 了解入侵检测技术和入侵防御技术 了解网络管理的内容和要求 掌握简单网络管理协议9.1网络安全概述计算机网络安全是指保护网络中的硬件资源、软件资源和数据资源，不会因为恶意的或无意的侵害而受到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等的综合性学科。

网络安全的目的就是要保护网络中的信息安全，防止非授权的用户进入以及事后的安全审计。保密性保密性是指保证机密信息只有授权用户才可以正常访问，非授权用户即使得到信息也不能知晓信息的内容。9.1.1网络安全的基本要素

2.完整性数据的完整性是指网络中传输的数据不被非法操作，即保证数据不被插入、替换和删除，数据不丢失、乱序、数据不被破坏。3.可用性可用性是在保证系统正常运行和数据完整性的同时，还要保证数据能够正常使用和操作。4.可控性可控性主要是指对危害国家信息的监视审计，控制授权范围内的信息流向及行为方式。5.不可否认性不可否认性是对出现的网络安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使攻击者、破坏者、抵赖者“无处可逃”。所谓的安全威胁是指对网络中的信息和设备构成威胁的用户、事物、程序等。1. 人为失误2. 病毒感染3. 来自网络外部的攻击4. 来自网络内部的攻击。5. 系统的漏洞及“后门”6. 隐私及机密资料的存储和传输9.1.2网络安全面临的威胁9.1.3网络安全模型图9-1网络安全的基本模型图中包含了消息加密和以消息内容为基础的补充代码。加密消息使对手无法阅读；补充代码可以用来验证发送方的身份。为了实现安全传送，通常还需要一个可信任的第三方，其作用是负责向两个主体分发保密信息，而向其他用户保密，以及在双方发生争执时进行仲裁。安全的网络通信必须做到以下四点：（1）设计与实现与安全相关的信息转化的规则或算法。（2）信息转化算法所需要的保密信息（如密钥）。（3）秘密信息的分发和共享。（4）实现信息转换算法和秘密信息获取所需要的安全协议。

采用密码技术保护数据，是一种非常实用、经济、有效的方法。对信息进行加密可以防止攻击者窃取网络机密信息，也可以检测出他们对数据的插入、删除、修改及滥用数据的各种行为。9.2网络安全概述三个阶段，即古典密码学阶段、现代密码学阶段、公钥密码学阶段。密码学可以分为密码编码学和密码分析学两个子学科。前者研究如何加密信息的学科，后者研究解密的学科。9.2.1网络安全模型信息的原始形式即加密前的信息称为明文，在网络中也叫报文（Message），一般用P或M表示。明文经过加密就变成密文也叫密码，用C表示。把明文变换成密文的过程叫加密，其反过程叫解密。加密和解密一般都要使用数学函数，称为加密算法和解密算法，他们一般互为反函数。密钥可以看成加密函数或解密函数中的参数，用K表示。古典密码学基本上是对字符的替代和换位的加密技术。1．替代密码例将字母a，b，c，…，x，y，z按字母表顺序排列，用d，e，f,…，a，b，c分别代替（字母表中后移3个位置）：abcdefghIjklmnopqrstuvwxyzdefghIjklmnopqrstuvwxyzabc若明文为zhengzhou，则对应的密文为ckhqjchrx凯撒密码非常简单，也非常容易破译，只要进行最多25次尝试就可以找到密钥K。可见，这种密码的安全性很差。9.2.2替代密码与置换密码2．置换密码将替换关系变成没有规律的，即将字母表中的26个字母随意替换到其他字母上，每个字母都有一个唯一的替换字母，这样的方法称为单表置换法。另外我们还可以采用多表替换的密码技术，即明文中的同一个字符在密文中可以表现为多种字符。多表替换技术的出现大大提高了加密的安全性。数据加密标准DES属于常规密钥密码体制，是一种分组密码。在加密前，先对整个明文进行分组。每一个组长为64位。然后对每一个64位二进制数据进行加密处理，产生一组64位密文数据。最后将各组密文串接起来，即得出整个的密文。使用的密钥为64位（实际密钥长度为56位，有8位用于奇偶校验)。9.2.3数据加密标准DES图9-2DES加密算法的一般步骤64位的明文X进行初始置换IP后得出X0，其左半边32位和右半边32位分别记为L0和R0，然后再经过16次的迭代。

Li=Ri-1Ri=Li-1+f(Ri-1,Ki)式中i=1,2,…,16,Ki是48位的密钥。Li和Ri为DES加密方程，每次迭代中要进行f函数的变换，即模2加运算以及左右半边交换。在最后一次迭代之后，左右半边没有交换。这是为了使算法既能加密又能解密。注意，最后一次的交换是IP的逆交换IP-1，其输入是L16和R16。Y即为输出的密文。存在几个问题：不能保证也无法知道密钥在传输中的安全。若密钥泄漏，黑客可用它解密信息，也可假冒一方做坏事；假设每对交易方用不同的密钥，N对交易方需要N*(N-1)/2个密钥，难于管理；不能鉴别数据的完整性。已有一些比DES算法更安全的对称密钥算法，如IDEA算法，RC2、RC4算法，Skipjack等。公开密钥密码简称公钥密码，也叫做非对称密码，它使用两个不同的密钥加密解密。俩个密钥中的任何一个都可以用来加密，另一个用来解密。前者叫公用密钥，后者叫私有密钥。现有最著名的公钥密码体制是RSA体制，它基于数论中大数分解问题的体制，由美国三位科学家Rivest,Shamir和Adleman于1976年提出并在1978年正式发表的。9.2.4公开密钥密码体制RSA选取密钥的过程如下：①随机选取两个不同的大质数p和q。素数越大，密码的安全性越高。②计算n=pq以及欧拉函数=（p-1）·(q-1)。③选择一个和

互质的整数e。④再选择一个数d，满足ed-1被

整除。公共密钥对是（n，e），秘密密钥对是（n，d）。加密过程：

加密时将明文m进行分组，使m<n，计算公式c=memodn，得到密文c。解密过程：

将收到的消息c进行计算：m=cdmodn，得到明文m。

例选取p=5，q=11。

计算n=pq=55，=40.取e=3(公钥)，则可得d=27（私钥）。

设明文为m=8，则密文c=83mod55=17.恢复明文m=1727mod55=8.数字签名广泛采用了密码技术，其安全性取决于密码的安全性。现在通常采用公钥密钥加密实现数字签名，特别是RSA算法。一个完善的数字签名要满足以下三个条件：（1）接收方能够核实发送方对报文的签名。（2）签名者事后不能否认自己的签名。（3）除了发送方的任何人不能伪造对报文进行篡改。9.2.5数字签名目前，数字签名在经济生活中得到广泛应用，尤其是在电子商务中需要手书签名的时候都可以使用数字签名。图9-3数字签名的实现（1）发送方A的私钥只有自己知道，所以就保证了生成的DSKA(P)的私密性，这足可以让B相信报文DSKA(P)是A发送出来的。（2）如果事后A否认发送了报文DSKA(P)，B可以将报文向第三方进行公证，第三方很容易验证DSKA(P)是A发送的，防止A抵赖。（3）如果B要篡改报文，由于他没有A的私钥无法对报文以A的名义进行签名。同理其他任何人都不能篡改A签过名的报文。9.3防火墙9.3.1防火墙概述图9-4防火墙在网络中的位置防火墙是一种将内部网和外部网分开的方法，它实际上是一种隔离技术，是在两个网络通信时执行的一种访问控制手段。防火墙的作用是阻止未经授权的流量进出被保护的内部网络，通过访问控制，保护内部网络不受外网的攻击。防火墙具有以下三个基本特性：（1）所有从内到外和外到内的网络信息流量都要经过防火墙。这是防火墙所处的位置特性，主要是通过物理上阻塞所有的不经过防火墙的局域网访问来实现的。（2）只有经过授权的信息流量才可以通过防火墙。这是防火墙的工作原理特性，防火墙之所以能保护内部网络的安全，就是依据这样的工作原理或防护过滤机制来实现的。防火墙对于渗透是免疫的，它具有非常强的抗攻击能力。（3）防火墙能够在很大程度上保证网络安全，但是它不能解决所有的安全问题。防火墙暴漏出的局限性：（1）防火墙不能防护来自内部网络用户的攻击。（2）防火墙不能防范不经过防火墙的攻击和安全问题。（3）防火墙不能防范由于策略配置不当或错误配置引起的安全威胁。（4）防火墙不能防范病毒。（某些防火墙集成了第三方的防病毒软件）（5）防火墙不能防范数据夹带式攻击。数据夹带式的攻击从表面上看是无害的数据被邮寄或复制到Internet主机上，但是一旦执行就开始攻击。（6）防火墙不能防范未知的网络安全问题。按技术分类：包过滤防火墙、应用层网关防火墙、电路级网关防火墙按形式分类：软件防火墙和硬件防火墙按基于防火墙的硬件环境来分类：基于路由器的防火墙和基于主机的防火墙按保护对象分类：单击防火墙和网络防火墙按功能分类：FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙等

下面主要讨论按防火墙的技术来分的3种类型的防火墙。9.3.2防火墙的分类1．包过滤防火墙包过滤防火墙也叫网络层防火墙，是在网络层对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的特定信息来确定是否允许数据包通过。包过滤规则一般基于部分的或全部的包头信息，一般包括源IP地址、目的IP地址、源和目的传输层地址（传输层端口号）、IP协议域、接口（进出路由器的端口）等。所有的规则形成一个规则表。2．电路级网关防火墙当客户机需要使用外部网络服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向外部服务器索取数据，然后再由代理服务器将数据传输给客户机。当内部网需要与外部网通信时，首先建立与代理服务器的代理程序的连接，然后将请求发送到代理程序，代理程序接受该请求，建立与网络相应主机的连接，反过来也是一样。3．电路级网关防火墙电路级网关也是一种代理，但是它只能是建立一个回路，对数据包只起转发作用，是在网络的传输层上实施的访问策略，电路级网关只依赖于TCP连接。网关建立两个TCP连接，一个是在网关本身和内部主机上的一个TCP用户之间，一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建立起来之后，网关的中继程序从一个连接向另一个连接转发TCP报文，而不检查其内容。其安全功能体现在哪些连接是允许的。1.双宿主机网关结构图9-5双宿主机网关结构这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。9.3.3防火墙的配置2.屏蔽主机网关结构图9-6屏蔽主机网关（单宿堡垒主机）单宿堡垒主机结构由一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只安装有一个网卡，用于与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机。双宿堡垒主机结构与单宿堡垒主机结构的区别是，双宿堡垒主机有两块网卡，一块连接内部网络，另一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务与单宿堡垒主机结构相比更加安全。图9-7屏蔽主机网关（双宿堡垒主机）3.屏蔽子网结构

图9-8屏蔽子网防火墙这种方法是在Internet和Intranet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”。入侵检测就是对企图入侵，正在进行的入侵或者已经发生的入侵进行识别的过程。所有能够执行入侵检测任务的系统，都可称为入侵检测系统。9.4网络安全防范技术9.4.1入侵检测系统图9-9CIDF模型CIDF将入侵检测系统分为四个基本组件，事件发生器、事件分析器、事件数据库和响应单元。入侵检测方法的分类有多种。从数据来源看，入侵检测可以分为基于主机的入侵检测和基于网络的入侵检测。从数据分析手段来看，入侵检测通常可分为误用入侵检测和异常入侵检测。误用检测对比已知的攻击所构成的数据库中的数据和当前数据来发现入侵。而异常检测是通过观察当前活动与历史正常活动之间的差异来发现入侵。简单地理解，可认入侵防御系统（IntrusionPreventionSystem，IPS）就是防火墙加上入侵检测系统。而IPS则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。9.4.2入侵防御系统网络管理是指通过采用一定的网络管理技术对网络上的通信设备及系统进行有效的监视、控制、诊断和测试，使网络能够正常高效地运行。网络管理包含两个任务，一是对网络状态进行监测，二是对网络的运行状态进行控制。它的目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。9.5网络管理9.5.1网络管理模型图9-10网络管理的基本模型网络管理模型的核心是一对相互通信的管理实体。管理进程与一个远程系统相互作用，去实现对远程资源的控制。一个系统中的管理进程担当管理者角色，而另一个系统的对等实体(进程)担当代理者角色，代理者负责提供对被管资源的信息进行访问。前者被称为网络管理者，后者被称为网管代理网络管理的五大功能：配置管理、故障管理、计费管理、性能管理和安全管理。1.配置管理配置管理是网络管理的首要步骤。配置管理负责网络的建立、业务的开展以及配置数据的维护，其目的是实现某个特定功能或使网络性能达到最优。配置管理主要包括资源清单管理、资源开通以及业务开通。资源开通是为满足新业务需求及时地配备资源，业务开通是为端点用户分配业务或功能9.5.2网络管理功能2.故障管理故障管理的主要任务是发现和排除网络故障。当网络中的某个对象发生故障时，网络管理器必须迅速查找到故障并及时排除。故障管理