版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第三章网络通信安全
第一节网络通信的安全性第二节网络通信存在的安全威胁
第三节调制解调器的安全第四节
IP安全12/24/20241网络通信安全共23页知识点网络通信线路的安全、不同层的安全网络通信存在的安全威胁调制解调器的安全
IP安全12/24/20242网络通信安全共23页难点
不同层的安全
IP安全机制12/24/20243网络通信安全共23页要求熟练掌握以下内容:网络通信线路的安全传输过程中的威胁
IP的基础知识、IP安全调制解调器的安全了解以下内容:不同层的安全
RAS的安全性12/24/20244网络通信安全共23页第一节网络通信的安全性
线路安全不同层的安全12/24/20245网络通信安全共23页3.1.1线路安全电缆加压技术:提供了安全的通信线路。不是将电缆埋在地下,而是架线于整座楼中,每寸电缆都暴露在外。如果任何人企图割电缆,监视器会自动报警,通知安全保卫人员电缆有可能被破坏。如果有人成功地在电缆上接上了自己的通讯设备,安全人员定期检查电缆的总长度,就会发现电缆的拼接处。加压电缆是屏蔽在波纹铝钢包皮中的,因此几乎没有电磁辐射,如果要用电磁感应窃密,势必会动用大量可见的设备,因此很容易被发觉。12/24/20246网络通信安全共23页
光纤通讯线:曾被认为是不可搭线窃听的,因为其断列或者破坏处会立即被检测到,拼接处的传输会令人难以忍受的缓慢。光纤没有电磁辐射,所以也不可能有电磁感应窃密。不幸的是光纤的最大长度有限制,长于这一最大长度的光纤系统必须定期地放大信号,这就需要将信号转换成电脉冲,然后再恢复成光脉冲,继续通过另一条线传送。完成这一操作的设备(复制器)是光纤通讯系统的安全薄弱环节,因为信号可能在这一环节被搭线窃听。有两个办法可以解决这个问题:距离大于最大长度限制的系统间,不要用光纤通信(目前,网络覆盖范围半径约100公里),或者加强复制器的安全(如用加压电缆、警卫、报警系统等)。12/24/20247网络通信安全共23页3.1.2不同层的安全1.Internet层的安全性2.传输层的安全性3.应用层的安全性12/24/20248网络通信安全共23页第二节网络通信存在的安全威胁
传输过程中的威胁
TCP/IP协议的脆弱性
12/24/20249网络通信安全共23页3.2.1传输过程中的威胁1.截获2.窃听3.篡改4.伪造:源目的第三方源源源目的目的目的第三方第三方第三方12/24/202410网络通信安全共23页3.2.2TCP/IP协议的脆弱性背景知识:
在Internet没有形成之前,已有很多小型局域网,Internet实际上就是将全球各地的局域网连接起来形成的一个“网际网”,然而在连接之前各局域网存在不同的网络结构和数据传输规则。就像世界各个国家的人说各自的语言。世界上任意两个人进行沟通,必须都能说同一种语言(世界语)才能解决问题,TCP/IP协议正是Internet上的“世界语”。TCP/IP协议创建之初面向的是可信的用户群,并只考虑要扩展它,并没有想限制访问,没有提供必要的安全机制。12/24/202411网络通信安全共23页3.2.2TCP/IP协议的脆弱性TCP/IP的缺陷:1.易被窃听和欺骗2.脆弱的TCP/IP服务3.缺乏安全策略4.复杂的系统配置12/24/202412网络通信安全共23页3.2.2TCP/IP协议的脆弱性一.易被窃听和欺骗1.网络监听(嗅探)12/24/202413网络通信安全共23页2、IP欺骗12/24/202414网络通信安全共23页12/24/202415网络通信安全共23页12/24/202416网络通信安全共23页12/24/202417网络通信安全共23页12/24/202418网络通信安全共23页12/24/202419网络通信安全共23页3.2.2TCP/IP协议的脆弱性
TCP/IP服务的解释及脆弱性12/24/202420网络通信安全共23页一、WWW服务WWW又称为万维网,简称为Web,是Internet技术发展中的一个重要的里程碑;WWW系统的结构采用了客户/服务器模式;信息资源以web页的形式存储在WWW服务器中,用户通过WWW客户端浏览器程序图、文、声并茂的Web页内容;通过Web页中的链接,用户可以方便地访问位于其他WWW服务器中的Web页,或是其他类型的网络信息资源。
12/24/202421网络通信安全共23页WWW服务的主要特点以超文本方式组织网络多媒体信息,用户可以访问文本、语音、图形和视频信息;用户可以在Internet范围内的任意网站之间查询、检索、浏览及发布信息,并实现对各种信息资源透明的访问;提供生动、直观、统一的图形用户界面;WWW服务的核心技术是:超文本标记语言(HTML)
超文本传输协议(HTTP)
超链接(hyperlink)12/24/202422网络通信安全共23页WWW服务的工作原理12/24/202423网络通信安全共23页URL与信息定位
URL是对能从Internet上得到的资源的位置和访问方法的一种简洁的表示;标准的URL由3部分组成:服务器类型、主机名和路径及文件名
http://www.nankai.edu.cn/index.html
协议类型
主机名
路径及地址12/24/202424网络通信安全共23页URL通过指定其他协议类型访问其他类型的服务器:gopher://gopher.cernet.edu.cn
连接到名为gopher.cernet.edu.cn的Gopher服务器ftp://ftp.pku.edu.cn/pub/dos/readme.txt
通过FTP连接来获得名为readme.txt的文本文件file://linux001.nankai.edu.cn/pub/gif/wu.gif
在所连接的主机上获得并显示名为wu.gif的图形文件telnet://cs.nankai.edu.cn
远程登录到名为cs.nankai.edu.cn的主机12/24/202425网络通信安全共23页主页的概念信息资源以网页的形式存储在WWW服务器中;用户通过浏览器向WWW服务器发出请求,服务器根据客户请求内容,将保存在WWW服务器中的某个页面发送给客户;用户可以通过页面中的链接,方便地访问位于其他WWW服务器中的页面,或其他类型的网络信息资源;主页(homepage)是一种特殊的Web页面,是指包含个人或机构基本信息的页面,用于对个人或机构进行综合性介绍,是访问个人或机构详细信息的入口点。12/24/202426网络通信安全共23页主页包含的基本元素:文本(text):最基本的元素,就是通常所说的文字;图像(image):WWW浏览器一般只识别GIF与JPG两种图像格式;表格(table):类似于Word中的表格,表格单元内容一般为字符类型;超链接(hyperlink):用于将HTML与其他主页相连。
12/24/202427网络通信安全共23页搜索引擎是Internet上的一个WWW服务器,它的主要任务是在Internet中主动搜索其他WWW服务器中的信息并对其自动索引,将索引内容存储在可供查询的大型数据库中;用户可以利用搜索引擎所提供的分类目录和查询功能查找所需要的信息。
搜索引擎的概念12/24/202428网络通信安全共23页电子邮件服务是目前Internet上使用最频繁的服务;电子邮件系统不但可以传输各种格式的文本信息,还可以传输图像、声音、视频等多种信息;邮件服务器系统的核心是邮件服务器,它负责接收用户送来的邮件,根据收件人地址发送到对方的邮件服务器中,还负责接收由其他邮件服务器发来的邮件,并根据收件人地址分发到相应的电子邮箱中。二、电子邮件服务12/24/202429网络通信安全共23页当用户向ISP申请Internet账户时,ISP就会在它的邮件服务器上建立该用户的电子邮件账户,它包括用户名与用户密码。用户的电子邮件地址格式为:用户名@主机名,其中“@”符号表示“at”。例如,在“nankai.edu.cn”主机上,有一个名为island的用户,那么该用户的E-mail地址为:island@nankai.edu.cn。12/24/202430网络通信安全共23页电子邮件服务的工作原理12/24/202431网络通信安全共23页电子邮件应用程序基本服务功能:创建与发送电子邮件;接收、阅读与管理电子邮件;账号、邮箱与通信簿管理。电子邮件协议:在电子邮件程序向邮件服务器中发送邮件时,使用的是简单邮件传输协议SMTP;在电子邮件程序从邮件服务器中读取邮件时,可以使用邮局协议POP3或交互式邮件存取协议IMAP,它取决于邮件服务器支持的协议类型。12/24/202432网络通信安全共23页E-mail的漏洞1、明文传输。2、E-mail欺骗。3、匿名转发。4、E-mail轰炸和炸弹。12/24/202433网络通信安全共23页三、文件传输服务文件传输服务又称为FTP服务,它是Internet中最早提供的服务功能之一,目前仍然在广泛使用中;文件传输服务由FTP应用程序提供,FTP应用程序遵循TCP/IP协议组中的文件传输协议,它允许用户将文件从一台计算机传输到另一台计算机,并且能保证传输的可靠性;在Internet中,许多公司、大学的主机上含有数量众多的各种程序与文件,这是Internet的巨大与宝贵的信息资源。通过使用FTP服务,用户就可以方便地访问这些信息资源。12/24/202434网络通信安全共23页文件传输的工作原理12/24/202435网络通信安全共23页匿名FTP服务
匿名FTP服务的实质是:提供服务的机构在它的FTP服务器上建立一个公开账户(一般为anonymous),并赋予该账户访问公共目录的权限,以便提供免费服务;如果要访问提供匿名服务的FTP服务器,一般不需输入用户名与密码。如果需要,可以使用“anonymous”作为用户名,使用“guest”作为用户密码;大多数FTP服务都是匿名服务;为了保证FTP服务器的安全,几乎所有匿名FTP服务器都只允许用户下载文件,而不允许用户上载文件。12/24/202436网络通信安全共23页FTP的安全一、操作系统的选择
FTP服务器首先是基于操作系统而运作的,因而操作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Win98/Me一样可以架设FTP服务器,但由于其本身的安全性就不强,易受攻击,因而最好不要采用。WindowsNT就像鸡肋,不用也罢。最好采用Windows2000及以上版本,并记住及时打上补丁。至于Unix、Linux,则不在讨论之列。
二、使用防火墙
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多,可以使用第三方的个人防火墙,如天网个人防火墙等.12/24/202437网络通信安全共23页四、Finger服务:提供用户信息12/24/202438网络通信安全共23页第三节调制解调器的安全
拨号调制解调器访问安全
RAS的安全性概述
12/24/202439网络通信安全共23页3.3.1拨号调制解调器访问安全1.使用一次性口令2.基于位置的身份验证3.设置回呼安全机制4.增加核实身份服务器5.不传播拨号号码6.防范通过调制调解器对WindowsNT的RAS访问带来的安全隐患12/24/202440网络通信安全共23页3.3.2RAS的安全性概述
WindowsNT的远程访问服务(RAS)给用户提供了一种远程用调制解调器访问远程网络的功能,当用户通过远程访问服务连接到远程网络当中,电话线就变得透明了,用户可以访问所有资源,就像他们坐在办公室进而访问这资源一样,RAS调制解调器起着像网卡一样的作用。12/24/202441网络通信安全共23页在WindowsNT操作系统域中,主域控制器是通过RAS服务器实现其安全性的。RAS服务器只允许合法的域用户访问,并且对已认证和注册的信息加密。通过在RAS客户和RAS服务器之间连接一个中间的安全性主机,而使为RAS配置另一个级别的安全机制成为可能。12/24/202442网络通信安全共23页有关IP的基础知识IP安全安全关联(SA)IP安全机制第四节IP安全
12/24/202443网络通信安全共23页3.4.1有关IP的基础知识(1)IP地址在Internet上,每台计算机或路由器都有一个由授权机构分配的号码,这就是IP地址。
12/24/202444网络通信安全共23页IP地址是Internet地址的一种表示形式;IP地址由网络号与主机号两部分组成,网络号标识一个逻辑网络,主机号标识网络中一台主机;一台Internet主机至少有一个IP地址,而且这个IP地址是全网唯一的。
12/24/202445网络通信安全共23页IP地址的分类IP地址长度为32位,采用x.x.x.x的格式来表示,每个x为8位。例如,19,每个x的值为0~255。这种格式的地址被称为点分十进制地址;根据不同的取值范围,IP地址可以分为五类。IP地址中前5位用于标识IP地址的类别,A类地址的第一位为“0”,B类地址的前两位为“10”,C类地址的前三位为“110”,D类地址的前四位为“1110”,E类地址的前五位为“11110”。其中,A类、B类与C类地址为基本的IP地址。
12/24/202446网络通信安全共23页IP地址的分类12/24/202447网络通信安全共23页如果WWW服务器地址IP地址用点分十进制表示,例如为22,那么用户很难记住;如果告诉用户WWW服务器地址用字符表示为www.nankai.edu.cn,每个字符都有一定的意义,并且书写有一定的规律,这样地址用户就容易理解,又容易记忆,因此提出了域名的概念;Internet的域名结构是由TCP/IP协议集的域名系统(DNS)定义的;域名系统也与IP地址的结构一样,采用的是典型的层次结构;域名机制12/24/202448网络通信安全共23页域名系统将整个Internet划分为多个顶级域,并为每个顶级域规定了通用的顶级域名;网络信息中心(NIC)将顶级域的管理权授予指定的管理机构;各个管理机构再为它们所管理的域分配二级域名,并将二级域名的管理权授予其下属的管理机构;这样就形成了层次结构的域名体系。
12/24/202449网络通信安全共23页顶级域名分配12/24/202450网络通信安全共23页我国的域名结构中国互联网信息中心(CNNIC)负责管理我国的顶级域,它将cn域划分为多个二级域;Internet主机域名的格式为:四级域名.三级域名.二级域名.顶级域名。例如,主机域名cs.nankai.edu.cn代表中国南开大学计算机系的主机。
12/24/202451网络通信安全共23页(2)IP协议
IP协议是国际网络协议,由于它对底层网络硬件几乎没有任何要求,因此具有适应各种各样的网络硬件的灵活性。任何一个网络只要可以从一个地点向另一个地点传送二进制数据,就可以使用IP协议加入Internet了。
12/24/202452网络通信安全共23页3.4.2IP安全
IP安全主要包括:
间接访问控制支持
无连接完整性
数据源认证
防止IP包重放/重排的保护
机密性
有限话务流的秘密性12/24/202
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 核电站施工图设计合同
- 时尚家居杂志模特招聘合同
- 城市运动会彩绘施工合同
- 基坑支护施工合同:热力工程篇
- 科技园区绿化养护承包合同
- 高端写字楼租赁合同门面
- 2025年机械设备维修合同模板范文
- 赣州市产权交易委托合同
- 土石方居间合同
- 2025劳务合同书电子版
- 创业机会与商业模式分析
- 吊篮作业规范及专项施工方案
- 万达经营管理之宁波万达突发事件应急预案
- GB 5009.34-2022 食品安全国家标准 食品中二氧化硫的测定
- 进出境动植物检疫除害处理单位核准——延续申请
- 中学生体育课运动损伤预防和处理
- 北京大学数字图像处理(冈萨雷斯)(课堂PPT)
- 无功补偿装置安装验收表格
- 进修汇报—疼痛
- 杨世登英语新闻听力教程 原文答案 Unit完整
- 过热蒸汽焓值表
评论
0/150
提交评论