《网络安全防护技术》教学课件1

6.2网络安全防护技术网络信息安全概述网络面临的安全威胁计算机网络通信面临的四种威胁：（1）截获（Interception）攻击者从网络上窃听他人的通信内容。（2）中断（Interruption）攻击者有意中断他人在网络上的通信。网络信息安全概述（3）篡改（Modification）攻击者故意篡改网络上传送的报文。（4）伪造（Fabrication）攻击者伪造信息在网络上传送。网络面临的安全威胁网络信息安全概述安全威胁可以分为两大类：主动攻击：更改信息和拒绝用户使用资源的攻击。（如2,3,4）被动攻击：截获信息的攻击（如1）。防火墙技术概述

防火墙是一种网络安全防护系统，是由软件和硬件构成，用来在网络之间执行控制策略的系统。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。一般都将防火墙设置在内部网络和外部网络之间。

防火墙技术防火墙的主要功能包括：

1）检查所有从外部网络进入内部网络的数据包；

2）检查所有从内部网络流出到外部网络的数据包；

3）执行安全策略，限制所有不符合安全策略要求的分组通过；

4）具有防攻击能力，保证自身的安全性。防火墙技术防火墙的实现

防火墙系统往往由包过滤路由器和应用级网关组合而成，由于组合方式有多种，因此防火墙系统的结构也有多种形式。防火墙技术1.包过滤路由器（1）包过滤基本概念包过滤路由器示意图包过滤流程图防火墙技术（2）包过滤路由器配置的基本方法过滤规则号方向动作源主机地址源端口号目的主机地址目的端口号协议描述1进入阻塞OTHERHOST****阻塞来自OTHERHOST的数据包2输出阻塞**OTHERHOST**阻塞传到OTHERHOST的数据包3进入允许*＞1023192.3.8.125TCP允许外部用户传送到内部网络电子邮件服务器的数据包4输出允许192.3.8.125*＞1023TCP允许内部邮件服务器传送到外部网络的电子邮件数据包包过滤规则表防火墙技术（3）包过滤方法的优缺点分析优点：1）结构简单，便于管理，造价低。2）由于操作在网络层和传输层进行，所以对应用层透明。缺点：1）在路由器中配置包过滤规则比较困难。2）只能控制到主机一级，不涉及包的内容与用户一级，有局限性。防火墙技术2.应用级网关（1）多归属主机多归属主机又称为多宿主主机，它是具有多个网络接口卡的主机，其结构如图所示。如果将多归属主机用在应用层的用户身份认证与服务请求合法性检查上，那么这一类可以起到防火墙作用的多归属主机就叫做应用级网关，或应用网关。多归属主机结构示意图防火墙技术（2）应用级网关应用级网关原理示意图

如果多归属主机连接了两个网络，那么它可以叫做双归属主机（dual-homedhost）。双归属主机可以用在网络安全与网络服务的代理上。防火墙技术（3）应用代理

应用代理是应用级网关的另一种形式，但它们的工作方式不同。应用级网关是以存储转发方式，检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。因此从某种意义上说，应用级网关在应用层“转发”合法的应用请求。应用代理与应用级网关不同之处在于：应用代理完全接管了用户与服务器的访问，隔离了用户主机与被访问服务器之间的数据包的交换通道。防火墙技术（3）应用代理

应用代理的基本工作原理认证技术数据加密可以防止信息在传输过程中被截获，但是如何确定发送人的身份问题，就需要使用数字签名技术来解决。1、数字签名的基本概念数字签名将信息发送人的身份与信息传送结合起来，可以保证信息在传输过程中的完整性，并提供信息发送者的身份认证，以防止信息发送者抵赖行为的发生。认证技术2、数字签名的工作原理数字签名的具体工作过程为：（1）发送方使用单向散列函数对要发送的信息进行运算，生成信息摘要；（2）发送方使用自己的私钥，利用非对称加密算法，对生成的信息摘要进行数字签名；（3）发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收方；认证技术（4）接收方使用与发送方相同的单向散列函数，对收到的信息进行运算，重新生成信息摘要；（5）接收方使用发送方的公钥对接收的信息摘要解密；（6）将解密的信息摘要与重新生成的信息摘要进行比较，以判断信息在发送过程中是否被篡改过。认证技术数字签名的工作原理示意图加密技术

密码技术是保证网络与信息安全的核心技术之一。密码学包括密码编码学与密码分析学。密码体制的设计是密码学研究的主要内容。人们利用加密算法和一个秘密的值（称为密钥）来对信息编码进行隐蔽，而密码分析学试图破译算法和密钥。两者相互对立，又互相促进地向前发展。加密技术密码学的基本概念1、加密算法与解密算法加密的基本思想是伪装明文以隐蔽其真实内容，即将明文伪装成密文，如图所示。伪装明文的操作称为加密，加密时所使用的信息变换规则称为加密算法。由密文恢复出原明文的过程称为解密。解密时所采用的信息变换规则称作解密算法。加密和解密过程示意图加密技术2、密钥的作用加密算法和解密算法的操作通常都是在一组密钥控制下进行的。传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制。如果加密密钥和解密密钥不相同，则称为非对称密码体制。密码算法实际上很难做到绝对保密，因此现代密码学的一个基本原则是：一切秘密寓于密钥之中。在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。加密技术3、什么是密文密文是明文和加密密钥相结合，然后经过加密算法运算的结果。实际上，密文是含有一个参数k的数学变换，即C＝Ek（m）。其中，m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，参数k称为密钥。密文C是明文m使用密钥k，经过加密算法计算后的结果。加密技术密码长度密钥组合个数40240＝109951162777656256＝7.205759403793×101664264＝1.844674407371×10191122112＝5.192296858535×10331282128＝3.402823669209×1038密钥长度密钥组合个数的关系4、密钥长度对于同一种加密算法，密钥的位数越长，破译的困难也就越大，安全性也就越好。但是密钥越长，进行加密和解密过程所需要的计算时间也将越大。我们的目标是要使破译密钥所需要的“花费”比

该密钥所保护的信息价值

还要大。加密技术对称加密技术1、对称加密的基本概念对称加密技术对信息的加密与解密都使用相同的密钥，因此又被称为密钥密码技术。但密钥的管理和传送是必须注意解决的问题。对称加密的原理示意图加密技术2、典型的对称加密算法数据加密标准（dataencryptionstandard，DES）是最典型的对称加密算法，它是由IBM公司提出，经过国际标准化组织认定的数据加密的国际标准。DES算法是目前广泛采用的对称加密方式之一，主要用于银行业中的电子资金转账领域。DES算法采用了64位密钥长度，其中8位用于奇偶校验，用户可以使用其余的56位。加密技术非对称加密技术1、非对称加密的基本