1、第九章 網絡安全網絡安全網絡安全 本章介紹網絡安全方面的基礎知識，了解網絡安全的基本內容、安全威脅和安全策略，然后對防火墻技術、加密技術、數字簽名技術、 反病毒技術、入侵檢測技術等安全技術進行概括性的介紹，了解網絡安全技術的發展和目前業界具有代表性的網絡安全產品。網絡安全網絡安全學習目標：了解網絡安全的基本內容了解安全威脅了解安全策略理解防火墻技術掌握加密技術和數字簽名技術了解反病毒技術及入侵檢測技術9.1 9.1 網絡安全概述網絡安全概述 網絡安全的基本概念 網絡安全是指保護網絡系統中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保障網絡系統的正常運行、網絡服務不中斷。 9.

2、1 9.1 網絡安全概述網絡安全概述網絡安全的5個特點：1.保密性2.完整性3.可用性4.可控性5.可審查性9.1 9.1 網絡安全概述網絡安全概述影響網絡安全的因素1硬件系統2軟件系統3網絡及其通信協議網絡安全性風險主要有4種基本的安全威脅：信息泄露、完整性破壞、拒絕服務、非授權訪問。9.1 9.1 網絡安全概述網絡安全概述 網絡攻擊的類型（1）從安全屬性分類 網絡攻擊的類型可分為阻斷攻擊、截獲攻擊、篡改攻擊和偽造攻擊。網絡攻擊的類型9.1 9.1 網絡安全概述網絡安全概述 網絡攻擊的類型 （2）從攻擊方式分類 按攻擊方式分類可分為主動攻擊和被動攻擊。9.1 9.1 網絡安全概述網絡安全概述

3、 網絡攻擊的常見形式1.非授權訪問2.拒絕服務攻擊3.計算機病毒4.特洛伊木馬5.破環數據的完整性6.蠕蟲7.陷門8.IP欺騙9.信息泄露或丟失9.1 9.1 網絡安全概述網絡安全概述 網絡安全策略網絡安全策略包括對企業的各種網絡服務的安全層次和用戶的權限進行分類，確定管理員的安全職責，如何實施安全故障管理、入侵及攻擊的防御和檢測、備份和災難恢復等內容。9.1 9.1 網絡安全概述網絡安全概述 網絡安全策略系統安全策略主要涉及4個方面：物理安全策略訪問控制策略信息加密策略安全管理策略9.1 9.1 網絡安全概述網絡安全概述（1）物理安全策略物理安全策略的目的是保護計算機網絡設備、設施以及其他硬

4、件媒體和通信鏈路免受自然災害、人為破壞和搭線攻擊；從而保障環境安全、設備安全和媒體安全。主要措施：對主機及重要信息的存儲收發部門進行屏蔽處理對本地網傳輸線路上的輻射進行抑制對終端設備的輻射進行防范。9.1 9.1 網絡安全概述網絡安全概述 網絡安全策略系統安全策略主要涉及4個方面：物理安全策略訪問控制策略信息加密策略安全管理策略9.1 9.1 網絡安全概述網絡安全概述（2）訪問控制策略訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。它是維護網絡系統安全、保護網絡資源的重要手段。訪問控制可以說是保證網絡安全最重要的核心策略之一。9.1 9.1 網絡安全概

5、述網絡安全概述（2）訪問控制策略幾種常用的安全控制的策略：入網訪問控制為網絡訪問網絡的權限控制目錄級安全控制屬性安全控制網絡服務器安全控制網絡監測和鎖定控制網絡端口和節點的安全控制9.1 9.1 網絡安全概述網絡安全概述（3）防火墻控制策略 該策略是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，稱之為防火墻，也叫控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻止外部網絡的侵入。9.1 9.1 網絡安全概述網絡安全概述（4）入侵防范策略目的是通過一個網絡的入侵檢測系統(IDS)，提供24小時的網絡監控，通過分析網絡中的數據流搜索未經授權的訪

6、問，向管理臺發送含有黑客攻擊的活動信息，阻斷非法訪問的會話。9.1 9.1 網絡安全概述網絡安全概述（5）信息加密策略其目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密。9.1 9.1 網絡安全概述網絡安全概述（6）網絡安全管理策略加強網絡的安全管理，制定有關規章制度，對于確保網絡安全、可靠地運行，也將起到十分有效的作用。安全管理策略是指在一個特定的環境里，為提供一定級別的安全保護所必須遵守的規則，如法律、法規和制度。9.2 9.2 密碼技術密碼技術對網絡傳輸的報文進行數據加密是一種很有效的反竊聽手段，通常采用一定算法對原文進行加密，然后將

7、密文進行傳輸，到達目的節點后再進行解密。 與數據加密相關的一些術語： 明文M、密文C、密鑰K、加密E、解密D9.2 9.2 密碼技術密碼技術一個好的密碼體制至少滿足兩個條件：（1）在已知明文M和加密密鑰K的情況下，計算密文C較容易；已知密文C和解密密鑰K，還原明文M較容易；（2）當不知道解密密鑰時，不能由密文推出銘文。9.2 9.2 密碼技術密碼技術 數據加密/解密的一般模型9.2 9.2 密碼技術密碼技術 密碼技術的分類有很多標準，按執行的操作方式可分為替換密碼技術和換位密碼技術；按收發雙方使用的密匙是否相同，可分為對稱密碼技術和非對稱密碼技術。9.2 9.2 密碼技術密碼技術 對稱密碼技術

8、 對稱加密是指加密和解密過程均采用同一把密鑰，這個密鑰是通信雙方在通信前協商好的，協商過程成為發送密鑰，發送方使用這把密鑰，采用合適的算法將要發送的明文轉換為密文，通過網絡傳輸到接收方，接收方利用約定的密鑰和解密算法完成解密。 比較著名的對稱密鑰算法為美國的DES、AES以及歐洲的IDEA等算法。9.2 9.2 密碼技術密碼技術 對稱密碼技術對稱密鑰算法的模型9.2 9.2 密碼技術密碼技術 非對稱密碼技術 非對稱密碼算法又稱公開密鑰密碼算法，公開密鑰密碼體制最主要的特點是加密和解密使用不同的密鑰，不能從其中的一個推導出另一個。典型的公鑰加密算法是RSA，是至今最為廣泛使用的加密算法之一。9.

9、2 9.2 密碼技術密碼技術 非對稱密碼技術非對稱密鑰算法模型9.3 9.3 認證認證 PKI公開密鑰體系 PKI（Public Key Infrastructure，公鑰基礎設施）公開密鑰體系是一種基于加密技術的安全認證機制。 PKI是一種遵循標準的利用公鑰理論和技術建立的可提供安全服務的基礎設施。PKI的內容包括認證機構（Certificate Authority ，CA）、注冊機構（Registration Authority ，RA）、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復、撤銷系統和PKI應用接口。9.3 9.3 認證認證 數字簽名 數字簽名實際上是附加在

10、數據單元上的一些數據或是對數據單元所做的密碼變換，這種數據或變換能使數據單元的接收者確認數據單元的來源和數據的完整性，并保護數據，防止被人偽造。9.3 9.3 認證認證 數字簽名的實現方法1 使用對稱加密和仲裁者實現數字簽名2使用公開密鑰體制進行數字簽名3使用報文摘要完成數字簽名。9.3 9.3 認證認證 數字簽名的實現原理圖9.3 9.3 認證認證具有保密性的數字簽名過程9.3 9.3 認證認證 CA認證技術CA(Certificate Authority )即證書機構，是保證公鑰的完整性的機構。是網絡上電子交易安全的關鍵環節，認證中心的功能有證書發放、證書更新、證書撤銷和證書驗證。9.3

11、9.3 認證認證證書名稱證書名稱證書類型證書類型主要功能描述主要功能描述個人證書用于個人網上交易、網上支付、電子郵件等單位證書單位身份證書用于企事業單位網上交易、網上支付等單位證書E-mail證書用于企事業單位內安全電子郵件通信單位證書部門證書用于企事業單位內某個部門的身份認證服務器證書用于服務器、安全站點認證等代碼簽名證書個人證書用于個人軟件開發者對其軟件的簽名代碼簽名證書企業證書用于軟件開發企業對軟件的簽名證書的類型與作用證書的類型與作用9.3 9.3 證書證書 數據完整性驗證用報文摘要鑒別9.4 9.4 網絡訪問控制網絡訪問控制 訪問控制技術訪問控制是網絡安全防范和保護的主要策略，它的主

12、要任務是保證網絡資源不被非法使用和訪問，他是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。9.4 9.4 網絡訪問控制網絡訪問控制 訪問控制涉及的技術 1 入網訪問控制為網絡訪問提供了第一層訪問控制。 2 權限控制是針對網絡非法操作所提出的一種安全保護措施。 3目錄級控制是指用戶還可進一步指定對目錄下的子目錄和文件的權限。 4屬性安全控制是指當使用文件、目錄和網絡設備時，網管員應給文件、目錄等指定訪問屬性。9.4 9.4 網絡訪問控制網絡訪問控制 防火墻技術常見防火墻的類型包過濾防火墻代理防火墻9.4 9.4 網絡訪問控制

13、網絡訪問控制 包過濾防火墻路由器在其端口能夠區分包和限制包的能力叫作包過濾（packet filtering）。包過濾路由器可以通過檢查數據流中每個數據包的源地址、目的地址、所有的端口號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。Cisco 路由器是通過訪問列表access-list 命令來完成包過濾規則的設置，故包過濾器又被稱為訪問控制列表（Access Control List，ACL）。9.4 9.4 網絡訪問控制網絡訪問控制 代理防火墻代理(Proxy)防火墻也叫應用層網關（Application Gateway）防火墻。它的核心技術就是代理服務器技術，內部發出的數據包經

14、過這樣的防火墻處理后，就好像是數據包是從代理發出一樣，從而可以達到隱藏內部網絡結構的作用。9.5 9.5 網絡安全檢測網絡安全檢測 入侵檢測是指對計算機和網絡資源的惡意使用行為進行識別和響應的處理過程。網絡數據與計算機系統數據數據分析比較數據（違反安全策略或遭受攻擊）響應處理+安全策略YN入侵檢測的一般過程9.5 9.5 網絡安全檢測網絡安全檢測 漏洞是指硬件/軟件或策略上存在的安全缺陷，從而使攻擊者能夠在位授權的情況下訪問控制系統。漏洞檢測技術被動式策略（基于主機的檢測，對系統中不合適的設置、脆弱的口令以及其他同安全規則相抵觸的對象進行檢查）主動式策略（基于網略的檢測，通過執行一些腳本文件對

15、系統進行攻擊，并記錄他的反應，從而發現其中的漏洞）9.6.1 9.6.1 網際層安全協議網際層安全協議 IPSec協議族主要由三個協議構成：頭認證（AH）協議封裝安全負載（ESP）協議互聯網密鑰管理協議（IKMP）9.6.1 9.6.1 網際層安全協議網際層安全協議 1 頭認證（AH）協議是在所有的數據包頭加入一個密碼，AH通過一個只有密鑰持有人知道的數字簽名密鑰，來完成對用戶的認證。 2 封裝安全負載（ESP）協議通過對數據包的全部數據和加載內容進行全加密的方法來嚴格保證傳輸的機密性，從而避免其他用戶通過監聽來打開信息交換的內容，只有受信任的用戶擁有密鑰才能打開內容。 3 密鑰管理包括密鑰確

16、定和密鑰分發兩個方面。9.6.1 9.6.1 網際層安全協議網際層安全協議原原IPIP頭頭TCPTCP頭頭數據數據原原IPIP頭頭AHAH頭頭TCPTCP頭頭數據數據原原IPIP頭頭ESPESP頭頭TCPTCP頭頭數據數據ESPESP尾尾ESPESP驗證驗證原原IPIP頭頭AHAH頭頭ESPESP頭頭TCPTCP頭頭數據數據ESPESP尾尾ESPESP頭驗證頭驗證（a）原IPv4數據包（b）AH封裝（c）ESP封裝（d）AH+ESP封裝傳輸模式的IPv4數據包的IPSec封裝9.6.1 9.6.1 網際層安全協議網際層安全協議原原IPIP頭頭TCPTCP頭頭數據數據新新IPIP頭頭AHAH頭頭

17、原原IPIP頭頭TCPTCP頭頭新新IPIP頭頭ESPESP頭頭原原IPIP頭以及擴頭以及擴展展TCPTCP頭頭數據數據ESPESP尾尾（a）原IPv4數據包（b）AH封裝（c）ESP封裝隧道模式的IPv4數據包的IPSec封裝數據ESP驗證9.6.2 9.6.2 傳輸層安全協議傳輸層安全協議 SSL（Secure Sockets Layer ，安全套接層）是Netscape設計的一種去年全傳輸協議。 SSL基于客戶服務器的工作模式，通過SSL（Transport Layer Security ， 安全傳輸層協議）報文交換實現通信。 （1）建立安全通信 （2）結束安全通信 （3）驗證身份9.6

18、.2 9.6.2 傳輸層安全協議傳輸層安全協議 （1）建立安全通信建立安全通信的過程建立安全通信的過程9.6.2 9.6.2 傳輸層安全協議傳輸層安全協議 （2）結束安全通信結束安全通信的過程結束安全通信的過程9.6.3 9.6.3 應用層安全協議應用層安全協議 PGP安全電子郵件概述用于電子郵件的隱私協議（Pretty Good Privacy，PGP）為電子郵件提供認證和保密協議。 PGP提供的安全訪問如下：1發送明文2加密3報文認證4報文壓縮5代碼轉換6數據分段9.6.3 9.6.3 應用層安全協議應用層安全協議 PGP安全電子郵件的發送方處理過程PGP實現對電子郵件的認證和加密9.6.3 9.6.3 應用層安全協議應用層安全協議 PGP使用的部分加密算法和代號算法算法代號代號說明說明公開密鑰算法1RSA（用于加密或簽名）2RSA（只用于加密）3RSA（只用于簽名）17DSS（用于簽名）Hash算法1MD52SHA-13RIPE-MD對稱密鑰算法0未加密1IDEA2三重 DES9AES9.6.3 9.6.3 應用層安全協議應用層安全協議 PGP安全電子郵件的接受方處理過程1，B從電子郵件服務器中收到A發的郵件后，利用自己的私有密鑰從尾部對數據解密，得到本郵件的一次性會話密鑰，從代號SA知道采用的對稱密鑰加密算法2