計算機網絡技術

第8章網絡安全與管理學習內容：網絡安全的相關概念威脅網絡安全的主要因素加密技術的基本原理網絡防病毒的基本方法防火墻的概念、類型和作用網絡管理的內容和要求網絡故障檢測及維護方法8.1網絡安全概述網絡安全問題成為互聯網的焦點；每個人都時刻關注著與自身密不可分的網絡系統的安全，從應用和管理的角度建立起一套完整的網絡安全體系無論對于單位還是個人都顯得尤為重要，提高網絡安全意識、掌握網絡安全管理工具的使用的重要性日益突出。8.1.1網絡安全的概念網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全具備五個特征：保密性、完整性、可用性、可控性與可審查性。保密性：信息不泄露給非授權用戶、實體或過程，或供其利用。完整性：數據未經授權不能進行改變。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失。可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。可控性：對信息的傳播及內容具有控制能力。可審查性：對出現的網絡安全問題提供調查的依據和手段。8.1.2威脅網絡安全的因素信息泄露：指敏感數據在有意或無意中被泄露出去或丟失。拒絕服務：它不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶不能進入計算機網絡系統或不能得到相應的服務。信息破壞：自然因素人為因素無意破壞故意破壞網絡攻擊網絡安全威脅是指對網絡信息的一種潛在的侵害，威脅的實施稱為攻擊。攻擊是一種故意性威脅，故意性威脅是指對計算機網絡的有意圖、有目的的威脅。主動攻擊：以各種方式有選擇地破壞信息的有效性和完整性。被動攻擊：在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。8.1.3網絡安全機制網絡安全機制可分為兩類：一類與安全服務有關，另一類與管理功能有關。ISO7498-2建議了以下八種機制。（1）加密機制：加密是確保數據保密性。（2）數字簽名機制：數字簽名用來確保數據真實性和進行身份驗證。（3）訪問控制機制：訪問控制按照事先確定的規則來決定主體對客體的訪問是否合法。（4）數據完整性機制：數據完整性是保證數據不被修改。（5）認證機制：計算機網絡中認證機制主要有站點認證、報文認證、用戶和進程的認證。（6）信息流填充機制：信息流填充使攻擊者不知道哪些是有用信息，哪些是無用信息，從而挫敗信息流分析攻擊。（7）路由控制機制：路由控制機制可根據信息發送者的申請選擇安全路徑，以確保數據安全。（8）公證機制：主要是在發生糾紛時進行公證仲裁用。8.2加密技術8.2.1加密技術基本概念加密技術又稱為數據加密技術。加密就是把用戶原始的數據（稱為明文）通過某種算法進行處理后變為不可直接識別的數據（稱為密文）。把密文轉換成為明文叫做解密。加密算法E解密算法DInternet明文數據X發送端密文數據Y密文數據Y接收端明文數據X加密密鑰Ke解密密鑰Kd信息加密傳遞過程基本概念明文消息：需要變換的原消息。簡稱明文。密文消息：明文經過變換成為的一種隱蔽形式。簡稱密文。加密：完成明文到密文的變換過程。解密：從密文恢復出明文的過程。加密算法：對明文進行加密時所采用的一組規則的集合。解密算法：對密文進行解密時所采用的一組規則的集合。密碼算法強度：對給定密碼算法的攻擊難度。密鑰(key)：加解密過程中只有發送者和接收者知道的關鍵信息。對稱密鑰加密又稱常規密鑰加密、傳統密鑰加密、私鑰加密、專用密鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。對稱密鑰加密及解密8.2.2對稱加密技術對稱加密優缺點優點：加/解密速度快，適合對大量數據進行加密。缺點：對稱加密技術存在著在通信方之間確保密鑰安全交換的問題。在公眾網絡上通信方之間的密鑰分配（密鑰產生、傳送和存儲）很麻煩。當某一通信方有n個通信關系，那么他就要維護n個專用密鑰（即每把密鑰對應一個通信方）。常用的對稱密鑰加密算法數據加密標準DES（DataEncryptionStandard）：

DES算法是IBM公司于1972年研制成功的，后被美國國家標準局和國家安全局選為數據加密標準，并于1977年頒布使用，ISO也已將DES作為數據加密標準。

DES是一種分組加密算法。RC5：

RC5是RSASecurity公司擁有專利的加密方法，也是一種分組加密算法。8.2.3非對稱加密技術非對稱密鑰加密又稱公開密鑰加密（PublicKeyEncryption）。它最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰：公鑰和私鑰，公鑰對外公開，私鑰由個人秘密保存；用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對稱密鑰加密及解密非對稱加密技術特點加密算法和解密算法都是公開的；不能根據公鑰計算出私鑰；公鑰和私鑰均可以作為加密密鑰，用其中一把密鑰來加密，就只能用另一把密鑰來解密，具有對應關系；加密密鑰不能用來解密；在計算機上可以容易地產生成對的公鑰和私鑰常見的非對稱加密算法非對稱加密體系一般建立在某些已知的數學難題之上，是計算機復雜性理論發展的必然結果。最具有代表性的是RSA公鑰密碼體制。RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數之積。8.2.4PKIPKI（PublicKeyInfrastructure）即“公鑰基礎設施”，是一種遵循既定標準的密鑰管理平臺,它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。PKI采用非對稱的加密算法，即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰，以避免第三方獲取密鑰后將密文解密。8.2.5證書簽發機構CA

CA是證書的簽發機構，它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。CA制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。8.2.6數字證書數字證書是一種權威性的電子文檔,由權威公正的第三方機構，即CA中心簽發的證書。數字證書為實現雙方安全通信提供了電子認證。在因特網、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。8.2.7加密技術的應用電子商務（E-business）虛擬專用網（VirtualPrivateNetwork，VPN）8.3防火墻技術8.3.1防火墻的概念防火墻是一個位于計算機和它所連接的網絡之間的軟件或硬件。計算機流入流出的所有網絡通信均要經過防火墻。防火墻可以最大限度地阻止網絡中的黑客來訪問你的網絡，即保護內部網免受非法用戶的侵入。防火墻示意圖包過濾防火墻(IPFiltingFirewall)代理服務器(ProxyServer)狀態監視器(StatefulInspection)8.3.2防火墻的分類1.包過濾防火墻

包過濾防火墻工作在OSI參考模型的網絡層,根據數據包包頭源地址、目的地址和端口號、協議類型等標志確定是否允許數據包通過，只有滿足過濾邏輯的數據包才被轉發到相應的目的地點出口端，其余的數據包則從數據流中丟棄。包過濾防火墻的工作原理2.代理服務器應用代理技術又稱代理服務器(ProxyService)技術，代理服務器的實質就是代理網絡用戶去取得網絡信息。代理服務器通常也稱作應用級防火墻，工作在應用層，它是客戶機和真實服務器之間的中介，代理系統完全控制客戶機和真實服務器之間的流量，并對流量情況加以記錄。代理服務器是介于瀏覽器和Web服務器之間的另一臺服務器，有了它之后，瀏覽器不是直接到Web服務器去取回網頁而是向代理服務器發出請求，信號會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。3.狀態監視器狀態監視器安全特性最佳，它采用了一個在網關上執行網絡安全策略的軟件引擎（也稱檢測模塊）。檢測模塊在不影響網絡正常工作的前提下，采用抽取相關數據的方法對網絡通信的各層實施檢測，抽取部分數據，即狀態信息，并動態地保存起來作為以后制定安全策略的參考。當用戶訪問到達網關的操作系統前，狀態檢測器要抽取有關數據進行分析，結合網絡配置和安全規定作出接納、拒絕、鑒定或給該通信加密等決定。一旦某個訪問違反安全規定，安全報警器就會拒絕該訪問，并做下紀錄，然后向系統管理員報告網絡狀態。8.3.3防火墻的體系結構屏蔽路由器結構雙宿主主機結構屏蔽主機結構屏蔽子網結構屏蔽路由器結構包過濾路由器雙宿主主機結構屏蔽主機結構屏蔽子網結構8.3.4防火墻的功能

網絡安全的屏障強化網絡安全策略監控審計防止內部信息的外泄8.4安全漏洞及掃描

8.4.1安全漏洞的定義漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。漏洞會影響到很大范圍的軟硬件設備，包括操作系統本身及其支撐軟件，網絡客戶和服務器軟件，網絡路由器和安全防火墻等。8.4.2安全漏洞掃描安全掃描技術主要分為兩類：主機安全掃描技術和網絡安全掃描技術。網絡安全掃描技術主要針對系統中不合適的設置脆弱的口令，以及針對其它同安全規則抵觸的對象進行檢查等。主機安全掃描技術則是通過執行一些腳本文件模擬對系統進行攻擊的行為并記錄系統的反應，從而發現其中的漏洞。常用的漏洞掃描軟件MBSAScanBDX-Scanner在線安全掃描瑞星：http:///天網：http:///main/view.php?cid=68.5網絡黑客與網絡病毒8.5.1網絡黑客的定義黑客：專門研究、發現計算機和網絡漏洞的計算機愛好者。黑客不斷地研究計算機和網絡知識，發現計算機和網絡中存在的漏洞，喜歡挑戰高難度的網絡系統并從中找到漏洞，然后向管理員提出解決和修補漏洞的方法。駭客：專門利用計算機進行破壞或入侵他人。8.5.2常見的黑客攻擊方法Web欺騙技術特洛伊木馬口令攻擊暴力破解密碼控測網絡監聽登錄界面攻擊法電子郵件攻擊網絡監聽端口掃描攻擊緩沖區溢出8.5.3防范黑客的措施提高安全意識使用防火墻使用反黑客軟件盡量不暴露自己的IP安裝殺毒軟件作好數據的備份8.5.4病毒的概念計算機病毒（ComputerVirus）指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒的特點寄生性傳染性潛伏性隱蔽性破壞性可觸發性8.5.5病毒的分類按病毒存在的媒體網絡病毒文件病毒引導型病毒按病毒傳染的方法駐留型病毒非駐留型病毒按病毒破壞的能力無害型無危險型危險型非常危險型按病毒的算法伴隨型病毒“蠕蟲”型病毒寄生型病毒詭秘型病毒變型病毒（幽靈病毒）8.5.6網絡病毒的識別及防治網絡病毒的識別：網絡病毒具有病毒的一些共性，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以及與黑客技術相結合等等。網絡病毒大致可以分為兩類：一類是面向企業用戶和局域網的；另外一類是針對個人用戶的。一般病毒網絡病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網絡資源一般病毒與網絡病毒的差異8.5.6網絡病毒的識別及防治不使用或下載來源不明的軟件。

不輕易上一些不正規的網站。提防電子郵件病毒的傳播。一些郵件病毒會利用ActiveX控件技術，當以HTML方式打開郵件時，病毒可能就會被激活。

經常關注一些網站、BBS發布的病毒報告，這樣可以在未感染病毒時做到預先防范。

及時更新操作系統，為系統漏洞打上補丁。

對于重要文件、數據做到定期備份。8.6網絡管理

8.6.1網絡管理概述網絡管理，簡稱網管，是為保證網絡系統能夠持續、穩定、安全、可靠和高效地運行，對網絡上的通信設備及傳輸系統進行監測和控制的方法和措施。網絡管理的任務就是收集、監控網絡中各種設備和設施的工作參數、工作狀態信息，將結果顯示給管理員并進行處理，從而控制網絡中的設備、設施的工作參數和工作狀態，使其可靠運行。OSI管理功能域

故障管理（faultmanagement）計費管理（accountingmanagement）配置管理（configurationmanagement）性能管理（performancemanagement）安全管理（securitymanagement）故障管理 故障管理的功能是迅速發現和糾正故障，動態維護網絡的有效性。故障管理主要功能有報警監測、故障定位、故障隔離、故障恢復以及維護故障日志。計費管理 計費管理的功能是正確地計算和收取用戶使用網絡服務的費用，進行網絡資源利用率的統計和網絡的成本效益核算。配置管理 配置管理是最基本的網絡管理功能，主要用于配置和優化網絡。配置管理就是在網絡建立、擴充、改造以及業務的開展過程中，對網絡的拓撲結構、資源配備、使用狀態等配置信息進行定義、監測和修改。性能管理性能管理保證有效地運營網絡并提供約定的服務質量。性能管理包括性能檢測功能、性能分析功能和性能管理控制功能。安全管理 安全管理的作用是提供信息的保密、認證和完整性保護機制，使網絡中的服務、數據和系統免受侵擾和破壞。安全管理主要包括：風險分析功能、安全服務功能、告警、日志和報告功能以及網絡管理系統保護功能。8.6.2簡單網絡管理協議SNMPSNMP在應用層上進行網絡設備間通信的管理，它可以進行網絡狀態監視、網絡參數設定、網絡流量統計與分析以及發現網絡故障等。SNMP建立在TCP/IP傳輸層的UDP協議之上，提供的是不可靠的無連接服務，以保證信息的快速傳遞和減少對帶寬的消耗。SNMP管理模型SNMP協議管理實體網絡管理代理管理信息數據庫被管設備管理代理管理信息數據庫被管設備管理代理管理信息