《计算机组网技术》省公开课金奖全国赛课一等奖微课获奖课件

第9章

网络安全与管理技术1/63本章主要内容9.1网络安全问题概述

9.1.1网络安全概念

9.1.2网络安全控制模型

9.1.3安全威胁9.2网络安全技术

9.2.1加密与认证技术

9.2.2数字署名技术

9.2.3入侵检测技术

9.2.4防火墙技术

9.2.5访问控制列表9.3网络管理技术9.4计算机病毒习题与思索题九2/639.1网络安全问题概述安全问题正日益突出，要求提升网络安全性呼声也日益高涨。所以，为了确保网络信息安全必须采取对应技术。当前网络中采取安全技术，主要包含物理安全、数据加密、网络认证技术、防火墙技术、入侵检测、网络安全协议和网络管理。3/639.1.1网络安全概念网络安全是指网络系统硬件、软件及其系统中数据受到保护，不会因为偶然或恶意原因而遭到破坏、更改、泄露等意外发生。网络安全是一个包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等各种学科边缘学科。网络安全普通能够了解为：（1）运行系统安全，即确保信息处理和传输系统安全。（2）网络上系统信息安全。（3）网络上信息内容安全。4/63图9-1网络安全组成操作安全通信安全TEMPEST信息安全物理安全工业安全计算机安全人员安全网络安全5/639.1.2网络安全控制模型可信任第三方（比如保密信息仲裁者、公布者）信息通道主体消息秘密

信息主体消息秘密

信息安全性相关转换安全性相关转换对手图9-2网络安全模型6/63确保安全性全部机制包含以下两部分：（1）对被传送信息进行与安全相关转换。图9-2中包含了消息加密和以消息内容为基础补充代码。加密消息使对手无法阅读，补充代码能够用来验证发送方身份。（2）两个主体共享不希望对手得知保密信息。比如，使用密钥连接，在发送前对信息进行转换，在接收后再转换过来。7/63这种通用模型指出了设计特定安全服务4个基本任务：（1）设计执行与安全性相关转换算法，该算法必须使对手不能破坏算法以实现其目标。（2）生成算法使用保密信息。（3）开发分发和共享保密信息方法。（4）指定两个主体要使用协议，并利用安全算法和保密信息来实现特定安全服务。8/639.1.3安全威胁针对网络安全威胁主要有三种：（1）人为无意失误。（2）人为恶意攻击。（3）网络软件漏洞和“后门”。9/631．安全攻击信源信宿（a）正常流动信源信宿信源信宿（d）修改（e）捏造信源信宿信源信宿（b）中止（c）截取10/63以上攻击可分为被动攻击和主动攻击两种。被动攻击特点是偷听或监视传送，其目标是取得正在传送消息。被动攻击有：泄露信息内容和通信量分析等。主动攻击包括修改数据或创建错误数据流，包含假冒、重放、修改消息和拒绝服务等。主动攻击含有与被动攻击相反特点。即使极难检测出被动攻击，但能够采取办法预防它成功。相反，极难绝对预防主动攻击，因为这么需要在任何时候对全部通信工具和路径进行完全保护。预防主动攻击做法是对攻击进行检测，并从它引发中止或延迟中恢复过来。因为检测含有威慑效果，它也能够对预防做出贡献。11/63另外，从网络高层协议角度，攻击方法能够概括地分为两大类：服务攻击与非服务攻击。服务攻击（ApplicationDependentAttack）是针对某种特定网络服务攻击，如针对E-mail、Telnet、FTP、HTTP等服务专门攻击。非服务攻击（ApplicationIndependentAttack）不针对某项详细应用服务，而是基于网络层等低层协议进行。与服务攻击相比，非服务攻击与特定服务无关，往往利用协议或操作系统实现协议时漏洞来到达攻击目标，更为隐蔽，而且当前也是经常被忽略方面，因而被认为是一个更为有效攻击伎俩。12/632．基本威胁网络安全基本目标是实现信息机密性、完整性、可用性和正当性。4个基本安全威胁直接反应了这4个安全目标。普通认为，当前网络存在威胁主要表现在：（1）信息泄漏或丢失。（2）破坏数据完整性。（3）拒绝服务攻击。（4）非授权访问。13/633．主要可实现威胁这些威胁能够使基本威胁成为可能，所以十分主要。它包含两类：渗透威胁和植入威胁。（1）主要渗透威胁有：假冒、旁路控制、授权侵犯。（2）主要植入威胁有：特洛伊木马、陷门。14/634．潜在威胁对基本威胁或主要可实现威胁进行分析，能够发觉一些特定潜在威胁，而任意一个潜在威胁都可能造成发生一些更基本威胁。15/639.2网络安全技术

9.2.1加密与认证技术1．密码学基本概念密码学（或称密码术）是保密学一部分。保密学是研究密码系统或通信安全科学，它包含两个分支：密码学和密码分析学。密码学是对信息进行编码实现隐蔽信息一门学问。密码分析学是研究分析破译密码学问。二者相互独立，又相互促进。采取密码技术能够隐藏和保护需要保密消息，使未授权者不能提取信息。需要隐藏消息称为明文。明文被变换成另一个隐藏形式称为密文。这种变换称为加密。加密逆过程，即从密文恢复出明文过程称为解密。对明文进行加密时采取一组规则称为加密算法，加密算法所使用密钥称为加密秘钥。对密文解密时采取一组规则称为解密算法，解密算法所使用密钥称为解密密钥。16/63密码系统通常从三个独立方面进行分类。（1）按将明文转换成密文操作类型可分为置换密码和易位密码。（2）按明文处理方法可分为分组密码和序列密码。（3）按密钥使用个数可分为对称密码体制和非对称密码体制。17/632．加密技术数据加密技术能够分为三类，即对称型加密、非对称型加密和不可逆加密。对称型加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。不过这类算法在分布式系统上使用较为困难，主要是密钥管理困难，从而使用成本较高，安全性能也不易确保。这类算法代表是在计算机网络系统中广泛使用DES算法（DigitalEncryptionStandard）。当前经常使用一些对称加密算法有数据加密标准（DataEncryptionStandard，DES）、三重DES（3DES，或称TDEA）、RivestCipher5（RC-5）、国际数据加密算法（InternationalDataEncryptionAlgorithm，IDEA）。18/63公开密钥算法不对称型加密算法也称为公开密钥算法，其特点是有两个密钥（即公用密钥和私有密钥），只有二者搭配使用才能完成加密和解密全过程。因为不对称算法拥有两个密钥，它尤其适合用于分布式系统中数据加密，在Internet中得到广泛应用。其中公用密钥在网上公布，由数据发送方对数据加密时使用，而用于解密对应私有密钥则由数据接收方妥善保管。不对称加密另一使用方法称为数字署名（DigitalSignature），即数据源使用其私有密钥对数据校验和（Checksum）或其它与数据内容相关变量进行加密，数据接收方则用对应公用密钥解读数字签字，并将解读结果用于对数据完整性检验。在网络系统中得到应用不常规加密算法有RSA算法和美国国家标准局提出DSA算法（DigitalSignatureAlgorithm）。不常规加密法在分布式系统中应用时需注意问题是怎样管理和确认公用密钥正当性。19/63不可逆加密算法和特征是加密过程不需要密钥，而且经过加密数据无法被解密，只有一样输入数据经过一样不可逆加密算法才能得到相同加密数据。不可逆加密算法不存在密钥保管和分发问题，适合于在分布式网络系统上使用，不过其加密时计算机工作量相当可观，所以通惯用于数据量有限情形下加密，比如计算机系统中口令就是利用不可逆算法加密。最近伴随计算机系统性能不停改进，不可逆加密应用逐步增加。在计算机网络中应用较多有RSA企业创造MD5算法和由美国国家标准局提议可靠不可逆加密标准（SecureHashStandard，SHS）。20/63加密技术用于网络安全通常有两种形式：面向网络或面向应用服务。面向网络服务加密技术经过工作在网络层或传输层，使用经过加密数据包传送、认证网络路由及其它网络协议所需信息，从而确保网络连通性和可用性不受损害。在网络层上实现加密技术对于网络应用层用户通常是透明。另外，经过适当密钥管理机制，使用这一方法还能够在公用互联网络上建立虚拟专用网络并保障虚拟专用网上信息安全性。面向网络应用服务加密技术使用则是当前较为流行加密技术使用方法，比如使用Kerberos服务Telnet、NFS、Rlogin等，以及用作电子邮件加密PEM（PrivacyEnhancedMail）和PGP（PrettyGoodPrivacy）。这类加密技术优点在于实现相对较为简单，不需要对电子信息（数据包）所经过网络安全性能提出特殊要求，对电子邮件数据实现了端到端安全保障。21/63从通信网络传输方面，数据加密技术还能够分为以下三类：链路加密方式、节点到节点方式和端到端方式。链路加密方式是普通网络通信安全主要采取方式。它对网络上传输数据报文进行加密。不但对数据报文正文进行加密，而且把路由信息、校验码等控制信息全部加密。节点到节点加密方式是为了处理在节点中数据是明文缺点，在中间节点中装有加密、解密保护装置，由这个装置来完成一个密钥向另一个密钥交换。在端到端加密方式中，由发送方加密数据在没有抵达最终目标节点之前是不被解密。加密、解密只在源、宿节点进行，所以，这种方式能够实现按各种通信对象要求改变加密密钥以及按应用程序进行密钥管理等，而且采取这种方式能够处理文件加密问题。22/633．认证技术认证技术是实现计算机网络安全关键技术之一，认证主要是指对某个实体身份加以判别、确认，从而证实是否名副其实或者是否是有效过程。认证基本思想是验证某一实体一个或多个参数真实性和有效性。网络用户身份认证能够经过下述三种基本路径之一或它们组合来实现：①所知（Knowledge），个人所掌握密码、口令等；②全部（Possesses），个人身份认证、护照、信用卡、钥匙等；③个人特征（Characteristics），人指纹、声音、笔记、手型、血型、视网膜、DNA以及个人动作方面特征等。23/639.2.2数字署名技术数字署名提供了一个判别方法，普遍用于银行、电子商业等，以处理以下问题：（1）伪造：接收者伪造一份文件，声称是对方发送。（2）冒充：网上某个用户冒充另一个用户发送或接收文件。（3）篡改：接收者对收到文件进行局部修改。（4）抵赖：发送者或接收者最终不认可自己发送或接收文件。24/63数字署名数字署名普通经过公开密钥来实现。在公开密钥体制下，加密密钥是公开，加密和解密算法也是公开，保密性完全取决于解密密钥秘密。只知道加密密钥不可能计算出解密密钥，只有知道解密密钥正当解密者才能正确解密，将密文还原成明文。从另一角度，保密解密密钥代表解密者身份特征，能够作为身份识别参数。所以，能够用解密密钥进行数字署名，并发送给对方。接收者接收到信息后，只要利用发信方公开密钥进行解密运算，如能还原出明文来，就可证实接收者信息是经过发信方署名。接收者和第三者不能伪造署名文件，因为只有发信方才知道自己解密密钥，其它人是不可能推导出发信方私人解密密钥。这就符合数字署名唯一性、不可仿冒、不可否定特征和要求。25/639.2.3入侵检测技术入侵检测（IntrusionDetection）是对入侵行为检测。它经过搜集和分析计算机网络或计算机系统中若干关键点信息，检验网络或系统中是否存在违反安全策略行为和被攻击迹象。入侵检测作为一个主动主动安全防护技术，提供了对内部攻击、外部攻击和误操作实时保护，在网络系统受到危害之前拦截和响应入侵。进行入侵检测软件与硬件组合便是入侵检测系统（IntrusionDetectionSystem，IDS）。26/63图9-4入侵检测/响应流程图27/631．入侵检测分类按照检测类型划分，入侵检测有两种检测模型。（1）异常检测模型（AnomalyDetection）：检测与可接收行为之间偏差。假如能够定义每项可接收行为，那么每项不可接收行为就应该是入侵。首先总结正常操作应该含有特征（用户轮廓），当用户活动与正常行为有重大偏离时就被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知入侵。（2）误用检测模型（MisuseDetection）：检测与已知不可接收行为之间匹配程度。假如能够定义全部不可接收行为，那么每种能够与之匹配行为都会引发告警。搜集非正常操作行为特征，建立相关特征库，当监测用户或系统行为与库中统计相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低，漏报率高。对于已知攻击，它能够详细、准确地汇报出攻击类型，不过对未知攻击却效果有限，而且特征库必须不停更新。28/63按照检测对象划分，有基于主机、基于网络和混合型三种类型。（1）基于主机：系统分析数据是计算机操作系统事件日志、应用程序事件日志、系统调用、端口调用和安全审计统计。主机型入侵检测系统保护普通是所在主机系统。是由代理（agent）来实现，代理是运行在目标主机上小可执行程序，它们与命令控制台（console）通信。（2）基于网络：系统分析数据是网络上数据包。网络型入侵检测系统担负着保护整个网段任务。基于网络入侵检测系统由遍布网络传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式计算机，用于嗅探网络上数据包。（3）混合型：基于网络和基于主机入侵检测系统都有不足之处，会造成防御体系不全方面。综合了基于网络和基于主机混合型入侵检测系统既能够发觉网络中攻击信息，也能够从系统日志中发觉异常情况。29/632．入侵检测过程分析入侵检测过程分析分为三部分：信息搜集、信息分析和结果处理。（1）信息搜集。入侵检测第一步是信息搜集，搜集内容包含系统、网络、数据及用户活动状态和行为。由放置在不一样网段传感器或不一样主机代理来搜集信息，包含系统和网络日志文件、网络流量、非正常目录和文件改变、非正常程序执行。（2）信息分析。搜集到相关系统、网络、数据及用户活动状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，普通经过三种技术伎俩进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。（3）结果处理。控制台按照告警产生预先定义响应采取对应办法，能够是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也能够只是简单告警。30/633．检测和访问控制技术将共存共荣以IDS为代表检测技术和以防火墙为代表访问控制技术从根本上来说是两种截然不一样技术行为。（1）防火墙是网关形式，要求高性能和高可靠性。所以防火墙重视吞吐率、延时、HA等方面要求。防火墙最主要特征应该是通（传输）和断（阻隔）两个功效，所以其传输要求是非常高。（2）IDS是一个以检测和发觉为特征技术行为，其追求是漏报率和误报率降低。其对性能追求主要表现在：抓包不能漏、分析不能错，而不是微秒级快速结果。因为IDS较高技术特征，所以其计算复杂度是非常高。31/639.2.4防火墙技术普通来说，防火墙是设置在被保护网络和外部网络之间一道屏障，以预防发生不可预测、潜在破坏性侵入。它能够经过监测、限制、更改跨越防火墙数据流，尽可能地对外部屏蔽内部网络信息、结构和运行情况，以此来实现网络安全保护。防火墙能够是一个实现安全功效路由器、个人计算机、主机或主机集合等，通常位于一个受保护网络对外连接处，若这个网络到外界有多个连接，那么需要安装多个防火墙系统。32/63防火墙能有效地对网络进行保护，预防其它网络入侵，归纳起来，防火墙含有以下作用：（1）控制进出网络信息流向和信息包。（2）提供对系统访问控制。（3）提供使用和流量日志和审计。（4）增强保密性。使用防火墙能够阻止攻击者获取攻击网络系统有用信息。（5）隐藏内部IP地址及网络结构细节。（6）统计和统计网络利用数据以及非法使用数据。33/631．防火墙系统结构防火墙系统结构普通分为以下几个：（1）屏蔽路由器。（2）双目主机结构。（3）屏蔽主机结构。（4）屏蔽子网结构。34/63图9-5屏蔽路由器实现防火墙屏蔽路由器Internet内部主机代理服务器35/63图9-6双目主机实现防火墙Internet包过滤路由器代理服务器内部主机Web服务器36/63图9-7屏蔽主机实现防火墙Internet包过滤路由器代理服务器路由器内部主机37/63图9-8屏蔽子网防火墙Internet外部屏蔽路由器内部主机内部屏蔽路由器壁垒主机对外服务器DMZ区38/632．防火墙分类从组成上能够将防火墙分为以下几类：（1）硬件防火墙。（2）软件防火墙。（3）软硬结合防火墙。39/633．防火墙设计策略防火墙设计策略基于特定防火墙，定义完成服务访问策略规则。通常有两种基本设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一个特点是“在被判有罪之前，任何嫌疑人都是无罪”，它好用但不安全。第二种特点是“宁可错杀一千，也不放过一个”，它安全但不好用。在实际应用中防火墙通常采取第二种设计策略，但多数防火墙都会在两种策略之间采取折衷。40/63（1）防火墙实现站点安全策略技术。1）服务控制。2）方向控制。3）用户控制。4）行为控制。41/63（2）防火墙在大型网络系统中布署。1）在局域网内VLAN之间控制信息流向时加入防火墙。2）Internet与Internet之间连接时加入防火墙。3）在广域网系统中，因为安全需要，总部局域网能够将各分支机构局域网看成不安全系统，总部局域网和各分支机构连接时，普通经过公网ChinaPac、ChinaDD和NFrameRelay等连接，需要采取防火墙隔离，并利用一些软件提供功效组成虚拟专网VPN。4）总部局域网和分支机构局域网是经过Internet连接，需要各自安装防火墙，并组成虚拟专网。42/635）在远程用户拨号访问时，加入虚拟专网。6）利用一些防火墙软件提供负载平衡功效，ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志统计等功效。7）两网对接时，可利用硬件防火墙作为网关设备实现地址转换（NAT）、地址映射（MAP）、网络隔离（DMZ，De-MilitarizedZone，非军事区，其名称起源于朝鲜战争三八线）及存取安全控制，消除传统软件防火墙瓶颈问题。43/639.2.5访问控制列表访问控制列表（AccessControlList，ACL），也称为访问列表（AccessList），最直接功效就是包过滤。经过访问控制列表ACL能够在路由器、三层交换机上进行网络安全属性配置，能够实现对进入到路由器、三层交换机输入数据流进行过滤。访问控制列表主要作用有以下两个：（1）限制路由更新。控制路由更新信息发往什么地方，同时希望在什么地方收到路由更新信息。（2）限制网络访问。为了确保网络安全，经过定义规则限制用户访问一些服务（如只需要访问WWW和电子邮件服务，其它服务如Telnet则禁止），或只允许一些主机访问网络等。44/63过滤输入数据流定义能够基于网络地址、TCP/UDP应用等。能够选择对于符合过滤标准流是丢弃还是转发，所以必须知道网络是怎样设计，以及路由器接口是怎样在过滤设备上使用。要经过ACL配置网络安全属性，只有经过命令完成配置。创建访问列表时，定义准则将应用于路由器上全部分组报文，路由器经过判断分组是否与准则匹配来决定是否转发或阻断分组报文。45/63ACL类型主要分为IP标准访问控制列表（StandardIPACL）和IP扩展访问控制列表（ExtendedIPACL），每一条ACL必须指定唯一名称或编号，标准访问控制列表编号范围为1～99；扩展列表编号范围为100～199。主要动作为允许（Permit）和拒绝（Deny）；主要应用方法是入栈（In）应用和出栈（Out）应用。46/63访问列表中定义经典准则主要以下：源地址。目标地址。上层协议。47/63标准IP访问列表主要是依据源地址进行转发或阻断分组；扩展IP访问列表使用以上三种组合进行转发或阻断分组；其它类型访问列表依据相关代码来转发或阻断分组。对于单一访问列表来说，能够使用多条独立访问列表语句来定义各种准则，其中全部语句引用同一个编号，方便将这些语句绑定到同一个访问列表。但使用语句越多，阅读和了解访问列表就越困难。48/63在每个访问列表末尾隐含一条“拒绝全部数据流”准则语句，所以假如分组与任何准则都不匹配，将被拒绝。加入每条准则都被追加到访问列表最终，语句被创建后，就无法单独删除它，而只能删除整个访问列表。所以访问列表语句次序非常主要。路由器在决定转发还是阻断分组时，路由器按语句创建次序将分组与语句进行比较，找到匹配语句后，便不再检验其它准则语句。49/639.3网络管理技术网络管理包含五个功效：配置管理、故障管理、性能管理、安全管理、计费管理。网络管理是控制一个复杂计算机网络，使它含有最高效率和生产力过程。依据进行网络管理系统能力，这一过程通常包含数据搜集、数据处理、数据分析和产生用于管理网络汇报。50/63第一个使用网络管理（简称网管）协议称为简单网络管理协议（SNMP，又称SNMP第一版或SNMPv1），当初这个协议被认为是暂时、简单、处理当初急需处理问题协议，而复杂、功效强大网络管理协议需要深入设计。到20世纪80年代，在SNMP基础上设计了两个网络管理协议：一个称为SNMP第二版（简称SNMPv2），它包含了原有特征，这些特征当前被广泛使用，同时增加了很多新特征以克服原先SNMP缺点；第二个网络管理协议称为公共管理信息协议（简称CMIP），它是一个组织得更加好，而且比SNMPv1和SNMPv2有更多特征网络管理协议。对用户而言，要求网络管理协议含有好安全性、简单用户界面、价格相对低廉而且对网络管理是有效。因为Internet大规模发展以及用户要求，使得SNMPv1和SNMPv2成为业界实际上标准而被广泛使用。51/631．ISO网络管理模式当前国际标准化组织ISO在网络管理标准化上做了许多工作，它尤其定义了网络管理五个功效域。配置管理：管理全部网络设备，包含各设备参数配置与设备账目标管理。故障管理：找出故障位置并进行恢复。性能管理：统计网络使用情况，依据网络使用情况进行扩充，确定设置规划。安全管理：限制非法用户窃取或修改网络中主要数据等。计费管理：统计用户使用网络资源数据，调整用户使用网络资源配额和记账收费。52/632．公共管理信息协议CMIP在网络管理模型中，网络管理者和代理之间需要交换大量管理信息。这一过程必须遵照统一通信规范，我们把这个通信规范称为网络管理协议。网络管理协议是高层网络应用协议，它建立在个体物理网络及其基础通信协议基础之上，为网络管理平台服务。网络管理协议提供了访问任何生产厂商生产任何网络设备，并取得一系列标准值一致性方式。对网络设备查询包含设备名字、设备中软件版本、设备中接口数、设备中一个接口每秒包数等。用于设置网络设备参数包含设备名字、网络接口地址、网络接口运行状态、设备运行状态等。53/63当前使用标准网络管理协议包含简单网络管理协议（SNMP）、公共管理信息服务/协议（CMIS/CMIP）和局域网个人管理协议（LMMP）等。CMIS/CMIP是ISO定义网络管理协议，它制订受到了政府和工业界支持。CMIP优点是安全性高，功效强大，不但可用于传输管理数据，而且可执行一定任务。但因为CMIP对系统处理能力要求过高，操作复杂，覆盖范围广，因而难以实现，限制了它使用范围。CMIP采取管理者/代理模型，当对网络实体进行监控时，管理者只需向代剪发出一个监控请求，代理会自动监视指定对象，并在异常事件（如线路故障）发生时向管理者发出指示。CMIP这种管理监控方式称为委托监控，委托监控主要优点是开销小、反应及时，缺点是对代理资源要求高。54/633．简单网络管理协议SNMPSNMP是由因特网工程任务组IETF（InternetEngineeringTaskForce）提出面向Internet管理